中海信托信息安全風險評估及整改項目技術方案建議書

中海信托信息安全風險評估及整改項目技術方案建議書北京天融信公司第32頁目錄TOC\o"1-2"\h\z\u1 概述 351.1 項目背景 351.2 項目目標 351.3 項目內容 361.4 項目設計原則 371.5 項目范圍 381.6 文件和法律法規(guī) 382 天融信對本項目的理解 392.1 對項目目標的理解 392.2 對項目特點的理解 393 項目總體方法與流程 413.1 概述 413.2 天融信風險評估方法 443.3 本項目采用的安全風險評估方法 453.4 技術難點和關鍵突破 484 信息資產調查和賦值 504.1 信息資產概述 504.2 信息資產分類 504.3 保護對象框架 564.4 資產識別過程 584.5 信息資產賦值 594.6 賦值工作操作方法指南 645 IT設備評估 665.1 評估的過程 665.2 評估的方法 685.3 評估的內容 705.4 評估的風險和應對 726 網絡設備安全風險評估 736.1 評估過程描述 746.2 評估的方法 776.3 評估的內容 786.4 評估的風險和應對 817 應用系統(tǒng)和管理安全風險評估 817.1 評估過程描述 847.2 評估方法 467.3 評估內容 477.4 風險及應對措施 608 安全增強與加固 618.1 安全加固內容 628.2 安全加固流程 649 應急響應服務 659.1 服務目標： 659.2 服務特點： 669.3 一般實施流程： 669.4 流程說明： 6610 安全解決方案 6810.1 解決方案設計概述 6810.2 安全需求分析 6810.3 安全解決方案設計 6911 項目組織結構 7111.1 現(xiàn)場實施階段，項目組織結構 7111.2 項目角色和責任 7112 項目進度計劃 7412.1 項目主要過程時間安排 7413 項目啟動和準備階段 7513.1 概述 7513.2 參加人員 7513.3 過程描述 7513.4 需要中海信托配合的工作 7513.5 輸出 7614 現(xiàn)場實施階段 7614.1 資產調查 7614.2 安全評估（包括漏洞掃描、人工檢查等） 7714.3 滲透測試 7914.4 安全加固 8014.5 應急響應服務 8115 數(shù)據分析及報告階段 8315.1 概述 8315.2 過程描述 8315.3 需要中海信托配合的工作 8415.4 輸出 8416 項目收尾階段 8416.1 概述 8416.2 過程描述 8516.3 需要中海信托配合的工作 8516.4 輸出 8517 售后服務 8517.1 安全服務技術支持服務 8517.2 安全服務跟蹤服務 8517.3 天融信安全服務業(yè)務關鍵能力 8618 項目管理及溝通辦法 8718.1 天融信工程項目管理方法 8718.2 天融信項目管理遵循的標準 8818.3 項目溝通辦法 8819 項目風險管理及保密控制 9219.1 項目風險分析及規(guī)避措施 9219.2 項目的保密控制 9420 天融信信息安全服務業(yè)務介紹 9520.1 安全服務組織結構圖 9520.2 安全服務業(yè)務范圍 9621 項目實施質量保證 9821.1 項目執(zhí)行人員的質量職責 9821.2 天融信安全服務質量保證體系嚴格貫徹以下過程 9822 項目驗收方式 10122.1 驗收方法確認 10222.2 驗收程序 10322.3 版本控制 10522.4 交付件歸檔辦法 10623 項目分項報價表 107概述項目背景近年來，隨著信息化技術越來越深入和廣泛的應用，信息安全的風險日益加大，國家和各行業(yè)主管機構都對防范信息安全風險非常重視。國家信息化領導小組頒發(fā)的《信息安全等級化保障體系》系列標準文件對我國信息安全保障工作做出原則性戰(zhàn)略性的規(guī)定，要求堅持積極防御、綜合防范的方針，全面提高信息安全防護能力，重點保障基礎信息網絡和重要信息系統(tǒng)安全，經過五年左右的努力，基本形成國家信息安全保障體系。2006年起，銀監(jiān)會發(fā)布了《商業(yè)銀行內部控制指引》，并進一步發(fā)出了關于信托投資公司加強內部控制和風險控制的要求。2008年7月，國家財政部和證監(jiān)會、銀監(jiān)會、保監(jiān)會等聯(lián)合發(fā)布了《企業(yè)內部控制基本規(guī)范》，對企業(yè)的內部控制提出了較為具體的要求。為進一步保障銀聯(lián)網絡的邊界安全，降低信息安全風險，中海信托投資有限公司擬于2009年在業(yè)界知名互聯(lián)網安全服務公司的協(xié)助下，對中海信托信息系統(tǒng)實施安全風險管理服務（包括安全技術和管理評估、互聯(lián)網應用滲透測試、安全體系建設咨詢、安全加固服務、緊急安全事件響應等服務），為中海信托的核心業(yè)務系統(tǒng)穩(wěn)定運行提供安全保障。項目目標通過實施整體信息安全風險評估服務（包括安全技術和管理評估、互聯(lián)網應用滲透測試、安全體系建設咨詢、安全加固服務、緊急安全事件響應等服務）提高中海信托信息系統(tǒng)的安全性和可靠性，并在緊急情況下對提供緊急安全事件響應支持，控制并降低來自于互聯(lián)網的安全風險。通過本次對中海信托網絡安全服務項目，可以達到以下主要目標：通過安全風險評估，得到中海信托的整體安全現(xiàn)狀；通過滲透測試和安全技術評估，分析中海信托信息系統(tǒng)存在的各類技術性安全缺陷，并進行整改；通過管理體系評估，發(fā)現(xiàn)中海信托在風險管理、安全策略和內部控制等方面存在的問題并加以改進；通過安全加固和策略體系改進，全方位的提升中海信托的信息安全管理水平。項目內容本次整體信息安全風險評估項目的內容可以分為幾個部分：信息安全風險評估信息資產調查調查和統(tǒng)計中海信托信息系統(tǒng)所包含的信息資產（包含物理環(huán)境、終端、網絡設備、主機、應用軟件、業(yè)務系統(tǒng)、數(shù)據、人員、標準流程等），明確其現(xiàn)有狀況、配置情況和管理情況。如主機系統(tǒng)，需要明確其平臺、版本、補丁等基本情況外，還需明確開放端口、服務和進程等配置管理信息。并對所有信息資產按照一定標準進行資產賦值?，F(xiàn)有安全系統(tǒng)調查工作包括明確現(xiàn)有安全設備(包括防火墻、防病毒系統(tǒng)、入侵檢測系統(tǒng)、安全掃描系統(tǒng)、帳號口令集中管理系統(tǒng)、域控制服務器等)的部署情況和使用情況；同時了解在建網絡與信息安全建設項目，使之服從統(tǒng)一部署原則。安全風險評估根據中海信托現(xiàn)有的安全標準規(guī)范和業(yè)務對安全的要求，分析主機、網絡及安全設備面臨的威脅，評估現(xiàn)有系統(tǒng)的存在的弱點，明確所有信息系統(tǒng)面臨的安全風險和隱患。應用系統(tǒng)滲透測試通過黑客或白客方式對指定的Internet業(yè)務系統(tǒng)進行滲透攻擊，發(fā)現(xiàn)該系統(tǒng)存在的安全隱患，并提出解決措施。信息系統(tǒng)安全加固安全加固和優(yōu)化服務是實現(xiàn)客戶信息系統(tǒng)安全的關鍵環(huán)節(jié)。通過使用該項服務，將在中海信托信息系統(tǒng)的網絡層、主機層和應用層等層次建立符合中海信托安全需求的安全狀態(tài)，并以此作為保證中海信托信息系統(tǒng)安全的起點。安全策略體系整改通過對現(xiàn)有安全體系策略制度的審閱、解讀和差距性分析，對現(xiàn)有安全管理制度和內控制度進行改善，使之能夠完全符合當前國內相關控制標準的要求，并向相關的國際化標準看齊。項目設計原則符合性原則：符合國家等級化保護體系指出的積極防御、綜合防范的方針和等級保護的原則。標準性原則：服務方案的設計與實施應依據國內或國際的相關標準進行；規(guī)范性原則：服務工作中的過程和文檔，具有很好的規(guī)范性，可以便于項目的跟蹤和控制；可控性原則：方法和過程在雙方認可的范圍之內，安全服務的進度要按照進度表進度的安排，保證甲方對于服務工作的可控性；整體性原則：安全服務的范圍和內容整體全面，包括安全涉及的各個層面（應用、系統(tǒng)、網絡、管理制度、人員等），避免由于遺漏造成未來的安全隱患；最小影響原則：安全服務中的工作盡可能小的影響系統(tǒng)和網絡的正常運行，不能對現(xiàn)網的運行和業(yè)務的正常提供產生顯著影響；保密性原則：對過程數(shù)據和結果數(shù)據嚴格保密，未經授權不得泄露給任何單位和個人，不得利用此數(shù)據進行任何侵害甲方的行為，否則甲方有權追究乙方的責任。甲方有權要求乙方在服務結束之后銷毀所有和本項目有關的數(shù)據和文檔。項目范圍本項目選擇中海信托的核心業(yè)務系統(tǒng)作為服務對象。文件和法律法規(guī)國內政策與標準：《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）；《關于開展信息安全風險評估工作的意見》2006年1月國家網絡與信息安全協(xié)調小組；《關于印發(fā)《信息安全風險評估指南》的通知》2006年2月國信辦（國信辦綜[2006]9號）；《商業(yè)銀行內部控制指引》2006年12月銀監(jiān)會《企業(yè)內部控制基本規(guī)范》2008年7月財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會國際政策與標準：ISO/IEC27001信息安全管理體系標準COSO/COBIT內控和信息技術控制框架ISO/IECTR13335Series,GuidelinesforthemanagementofITSecurity(CMITS)，1996-2001NISTSP800Series,ComputerSecuritySpecialPublications，1991-2005天融信對本項目的理解對項目目標的理解安全風險評估工作是中海信托信息安全體系運作體系中風險管理的重要組成部分，通過周期性的安全風險評估工作發(fā)現(xiàn)公司的安全現(xiàn)狀，為公司安全建設和安全加固提供數(shù)據基礎。綜上所述，本期項目的目標是：通過安全評估的技術手段，盡可能發(fā)現(xiàn)和定位中海信托各信息系統(tǒng)存在的安全風險，為安全加固、系統(tǒng)整改及應急響應提供依據和技術指導，降低中海信托整體的安全風險。對項目特點的理解通過上面對本項目目標的分析，本期深度安全風險評估工作存在如下特點：要求高：由于中海信托業(yè)務的快速增長，對信息安全的要求越來越高，所以要比以前采用更加規(guī)范的項目管理要求；本次評估的技術深度和廣度，都要強于以前的項目及同行業(yè)的要求（多個系統(tǒng)的應用分析）；采用的技術標準，是當前最新、最及時的，相比歷史評估工作和同行業(yè)類似工作的技術要求是最高的；技術與管理并重：由于面臨的外部威脅的壓力和影響力比以往要大很多，所以本次項目更加側重于通過外部滲透測試的方法，發(fā)現(xiàn)從外部的威脅和影響（尤其是從外部Internet進行滲透測試）；本次項目滲透測試涉及的系統(tǒng)范圍更廣，而且更深地分析通過“信任關系”發(fā)生的滲透，從而發(fā)現(xiàn)“木桶原理”中的“最短那塊板”；更加側重于應用系統(tǒng)自身特點的安全評估：綜合分析業(yè)務和管理層（數(shù)據流，角色權限…）；應用層（數(shù)據庫，中間件）；系統(tǒng)層（主機操作系統(tǒng)）；網絡層（網絡架構，網絡設備），提出的安全風險更加有針對性；中海信托各應用系統(tǒng)有不同的特點，在本次項目中要結合不同部門、不同系統(tǒng)特點進行相應的應用系統(tǒng)安全評估；更加考慮安全加固和應急響應體系建設的可行性：本次項目在實施過程中安排了時間，對發(fā)現(xiàn)的問題進行及時地講解和答疑；對發(fā)現(xiàn)的問題提出的解決方案，和系統(tǒng)管理員及時溝通，并協(xié)助進行講解和培訓，對不能直接解決的，提出綜合解決、降低風險的方案。項目總體方法與流程概述風險管理（RiskManagement）旨在對潛在機會和不利影響進行有效管理的文化、程序和結構。風險管理是良好管理的一個組成部分，它用一種將損失減小到最低程度而使商業(yè)機會達到最大限度的方式，對與機構的任何活動、功能和過程相關的風險進行環(huán)境建立、鑒定、分析、評價、處理、監(jiān)控和信息交流。風險管理過程（RiskManagementProcess）是指系統(tǒng)地將管理方針、程序和結構應用于風險的環(huán)境建立、鑒定、分析、評價、處理、監(jiān)控和信息交流等過程任務。在信息安全領域，同樣適用于風險管理的理念和方法論。在當前信息技術得到普遍應用，并且很多成為關鍵業(yè)務系統(tǒng)的環(huán)境下，企業(yè)或組織的信息安全風險很大，而且普遍缺乏有效的控制和管理，但過度的風險管理，無疑會導致大量的金錢和人力的花費、以及工作效率的嚴重降低。所以，如何適度和有效地進行信息安全的風險的管理和控制，成為了一項迫切和重要的任務。下面的描述即是闡明風險評估過程的理念和方法論，以作為天融信安全服務的標準方法論和理論基礎，指導和規(guī)范天融信的安全風險安全服務工作。安全模型參考在澳大利亞和新西蘭國家標準《風險管理RiskManagement》（AS/NZS4360:1999）中描述了風險管理過程，如下圖所示：在國際標準ISO13335中，安全模型如下圖所示，特點是以風險為核心。在國際標準中，安全模型如下圖所示，其特點是強調了模型的對抗性和動態(tài)性?？梢钥闯?，安全模型中的核心要素都是資產、弱點、威脅、風險、安全措施等，各要素之間的關系也基本類似，只是描述和關注的角度不同。風險評估標準風險評估過程中主要選擇的規(guī)范和標準包括：中海信托技術規(guī)范和標準：國內政策與標準：《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）；《關于開展信息安全風險評估工作的意見》2006年1月國家網絡與信息安全協(xié)調小組；《關于印發(fā)《信息安全風險評估指南》的通知》2006年2月國信辦（國信辦綜[2006]9號）；國際政策與標準：ISO/IEC27001ISO/IECTR13335Series,GuidelinesforthemanagementofITSecurity(CMITS)，1996-2001NISTSP800Series,ComputerSecuritySpecialPublications，1991-2005ISO/IEC15408-1999“信息技術安全技術信息技術安全性評估準則”（簡稱CC）天融信風險評估方法風險評估模型在安全評估服務中，天融信參照上述兩個安全模型，根據自己的工程實踐，建立了自己的風險評估模型，描述如下：在天融信的風險評估模型中，主要包含信息資產，弱點/脆弱性、威脅和風險四個要素。每個要素有各自的屬性，信息資產的屬性是資產價值，弱點的屬性是弱點被威脅利用后對資產帶來的影響的嚴重程度，威脅的屬性是威脅發(fā)生的可能性，風險的屬性是風險發(fā)生的路徑。因此，天融信風險評估的過程是：對信息資產進行識別，并對資產賦值；識別信息資產的脆弱性（弱點/漏洞），并對弱點的嚴重程度賦值；對威脅進行分析，并對威脅發(fā)生的可能性賦值；綜合分析資產價值、資產的脆弱性和威脅發(fā)生的可能性，得到信息資產的風險發(fā)生的路徑和級別，并對風險進行處置，選擇合適的控制措施。總體工作流程圖根據安全風險評估模型，天融信安全風險評估的總體工作流程如下圖：在評估過程中首先要進行全網的資產調查，識別的內容包括：“信息設備、應用系統(tǒng)、網絡環(huán)境、組織結構及物理環(huán)境；然后進行應用系統(tǒng)安全目標的識別和分析；以及通過安全評估的“業(yè)務系統(tǒng)評估”、“滲透測試”、“網絡架構評估”、“IT設備弱點評估”、“應用安全評估”、“安全管理評估”、“物理安全評估”各項內容獲取“安全現(xiàn)狀”(包括：安全威脅)、“安全弱點”。最后通過各系統(tǒng)、子系統(tǒng)的安全目標和其“安全現(xiàn)狀”、“安全弱點”的對比分析，得到安全現(xiàn)狀和解決方案。本項目采用的安全風險評估方法本次項目由于側重點于技術問題的發(fā)現(xiàn)，并指導今后的安全加固和系統(tǒng)技術整改等技術工作；根據本次項目的特點，準備采用如下三種安全風險評估的方法，主要針對非重點系統(tǒng)、重點系統(tǒng)網絡類、重點系統(tǒng)計算類；非重點系統(tǒng)的IT設備弱點評估如下圖所示：本評估主要目標是為IT設備的弱點提供安全加固的指導和依據，主要涉及“主機系統(tǒng)弱點評估”；“網絡設備弱點評估”；“安全設備弱點評估”。主機系統(tǒng)弱點評估采用人工現(xiàn)場檢查和工具掃描兩種方式；網絡設備弱點評估和安全設備弱點評估，對能夠導出配置信息、并配置信息可識別分析的，采用后臺人工分析方式；對不能導出配置信息、或配置信息不可識別分析的，采用人工現(xiàn)場檢查方式。評估的結果，是體現(xiàn)各單點資產的弱點狀況，以及綜合的統(tǒng)計分析報告，主要為指導單點設備的安全加固工作。網絡類重點系統(tǒng)的安全評估如下圖所示：網絡類重點系統(tǒng)是公司主要承載各業(yè)務的基礎平臺，其評估的目標不僅是發(fā)現(xiàn)現(xiàn)存系統(tǒng)的問題，指導安全加固和系統(tǒng)整改的工作和依據；而且還要根據業(yè)務發(fā)展需要，為網絡建設提供安全保障的規(guī)劃依據。本安全評估包含：“IT設備弱點評估；網絡架構安全評估和滲透測試”，其中IT設備弱點評估和前面的一致。網絡架構安全評估包括：網絡現(xiàn)狀安全合理性分析以及隨業(yè)務發(fā)展需要的網絡安全需求分析，主要采用的方法是：后臺分析（對網絡拓撲、相關技術文檔、訪問控制等配置信息分析）、現(xiàn)場設備檢查（對網絡設備或網管系統(tǒng)的安全狀況查看）、系統(tǒng)管理員的顧問訪談（網絡現(xiàn)狀存在的問題、網絡安全事件、業(yè)務發(fā)展對網絡的影響及假設）、主管領導的顧問訪談（業(yè)務發(fā)展對網絡安全的要求）；滲透測試，主要采用嗅探及入侵的手法，分析從外部越權進入本系統(tǒng)的路徑和可能性，以及可越權訪問接入本網絡系統(tǒng)的系統(tǒng)范圍和影響。注：如無特殊需要，不采用DOS等惡意攻擊手段。本評估的結果，除體現(xiàn)單個資產的弱點狀況，指導安全加固外；還可為系統(tǒng)整改，劃分安全域以及未來網絡規(guī)劃提供參考；同時由于公司涉及網絡類系統(tǒng)之間是有強的關聯(lián)，最后要綜合分析各網絡類系統(tǒng)和應用系統(tǒng)的關聯(lián)性，設計全網的網絡安全解決方案建議。應用計算類重點系統(tǒng)的安全評估如下圖所示：應用計算類重點系統(tǒng)是公司各獨立的業(yè)務單元，包括完整的主機、網絡、應用各項內容；其評估的目標是從深度上（業(yè)務管理層<數(shù)據流，用戶角色權限…>；應用層<數(shù)據庫，中間件>）；到廣度上系統(tǒng)層（主機操作系統(tǒng)）；網絡層（網絡架構，網絡設備），提出全面的安全風險分析報告。本安全評估包含：“IT設備弱點評估；網絡架構安全評估；應用系統(tǒng)安全評估和滲透測試”，其中IT設備弱點評估和前面一致。網絡架構安全評估主要從網絡結構上分析其應用系統(tǒng)安全域劃分的合理性及訪問控制策略的符合性，具體方法和前面一致。應用系統(tǒng)安全評估，主要包括：對業(yè)務邏輯和數(shù)據流的安全分析；對應用平臺的安全分析。主要方法是：后臺分析（對業(yè)務系統(tǒng)設計、運行相關技術文檔）、現(xiàn)場設備檢查（對應用平臺和數(shù)據庫進行安全狀況查看）、源代碼評估（對部分關鍵流程的代碼進行分析）、系統(tǒng)管理員的顧問訪談（現(xiàn)狀存在的問題、安全事件、業(yè)務發(fā)展的影響及假設）。滲透測試，主要采用入侵和角色提升的手法，分析從外部越權侵入本系統(tǒng)的路徑和可能性；以及模擬不同用戶角色提升權限，進行數(shù)據篡改或越權訪問的可能性分析。本評估的結果，除體現(xiàn)單個資產的弱點狀況，指導安全加固外；重點為系統(tǒng)整改，安全域劃分以及系統(tǒng)開發(fā)提供參考。技術難點和關鍵突破在對中海信托進行安全風險評估的過程中，由于其規(guī)模龐大，信息系統(tǒng)復雜，業(yè)務系統(tǒng)的特性和安全屬性存在巨大差異，因此對于評估標準的選擇，以及評估成果的適用性都提出了巨大的挑戰(zhàn)。評估指標的定制面臨困難：安全沒有定制化的適用的安全指標，造成評估結果不可信一般在安全評估時，評估服務提供者因為在評估前并不熟悉和理解被評估方的業(yè)務特性和安全特性，所以不能定制非常適用的評估標準指標，也就是說沒有非常適用，反映被評估對象特性的評估標準，一般都采用國際或國家標準。雖然國際或國家標準適用于所有信息系統(tǒng)，但其適用廣泛性原因，評估標準比較籠統(tǒng)，不反映行業(yè)特性和企業(yè)特性。這樣，因為缺乏適用的評估標準，造成的評估結果可用性差，也缺乏針對性，不能反映業(yè)務特性和行業(yè)特性。尤其是如果服務提供者對客戶首次評估，存在評估質量較低的風險，這是評估服務業(yè)務一個多年存在的難題，很難解決。通常情況下，評估質量取決于評估服務提供者和評估顧問的經驗是否豐富，是否非常熟悉被評估者的業(yè)務特性和行業(yè)特性。解決方法：在評估前設計行業(yè)安全評估指標，并在評估開始階段盡可能的定制能否準確定制行業(yè)安全評估指標，即行業(yè)評估標準是評估項目能否成功的關鍵環(huán)節(jié)之一，它對評估結果的適用性和真實性起著關鍵作用。在作評估前，我們根據多年對不同行業(yè)的豐富評估經驗和深刻理解，根據不同的行業(yè)業(yè)務特性和安全要求特性的理解，總結出反映行業(yè)特性的安全要求，設計出針對不同行業(yè)的安全對策指標體系，再細化成不同行業(yè)的安全評估指標。強調評估成果的適用性面臨困難：評估成果和建議難以實施，技術和管理難以有效融合，缺乏抗打擊能力和可控性信息安全問題包含管理方面問題、技術方面問題以及兩者的交叉，它從來都不是靜態(tài)的，隨著組織的策略、組織架構、業(yè)務流程和操作流程的改變而改變。中海信托現(xiàn)有的安全防護措施大多屬于靜態(tài)的單點技術防護，單純部署安全產品是一種靜態(tài)的解決辦法，單純防范黑客入侵和病毒感染更是是片面的。一旦單點防護措施被突破、繞過或失效，整個安全保障將會失效，威脅將影響到整個信息系統(tǒng)。評估成果中解決方案在設計過程中需要系統(tǒng)化的全面考慮，避免單點考慮，形成系統(tǒng)化措施。解決方案：強調多重深度保障和抗打擊能力，強調評估成果的可用性27號文件提出“堅持積極防御、綜合防范的方針”，《美國國家安全戰(zhàn)略》中指出，國家的關鍵基礎設施的“這些關鍵功能遭到的任何破壞或操縱必須控制在歷時短、頻率小、可控、地域上可隔離以及對利益損害最小這樣一個規(guī)模上”。兩者都強調了抗打擊能力和可控性，這就要求采用多層保護的深度防御策略，實現(xiàn)安全管理和安全技術的緊密結合，防止單點突破。天融信在輸出評估結果時，會將管理手段和安全技術緊密結合，充分吸收業(yè)務特性，建立一個適用性強、可行性強并具有多重深度保障手段的防護網絡。信息資產調查和賦值信息資產概述資產是企業(yè)、機構直接賦予了價值因而需要保護的東西。它可能是以多種形式存在，有無形的、有有形的，有硬件、有軟件，有文檔、代碼，也有服務、企業(yè)形象等。它們分別具有不同的價值屬性和存在特點，存在的弱點、面臨的威脅、需要進行的保護和安全控制都各不相同。為此，有必要對企業(yè)、機構中的信息資產進行科學識別，以便于進行后期的信息資產抽樣、制定風險評估策略、分析安全功能需求等活動。雖然信息資產具有非常廣泛的含義，但這里將信息資產定義如下：信息資產是指組織的信息系統(tǒng)、其提供的服務以及處理的數(shù)據。信息資產分類參照ISO27001對信息資產的描述和定義，結合安全評估的經驗，將信息資產按照下面的方法進行分類：類別解釋/示例網絡設備一臺或一組互備的網絡設備，包括網絡設備中的硬件，IOS，配置文件數(shù)據及其提供的網絡服務。包括路由器、交換機、RAS等，防火墻、IDS等安全設備除外。服務器一臺或一組服務器，包括服務器硬件、運行于其上的OS、通用應用、服務，數(shù)據庫、磁盤陣列等。工作站客戶端用機、個人用機等。安全設備作為安全用途的硬件和軟件,如:防火墻、IDS、AV等。存儲設備提供存儲用途的硬件和軟件，如：磁盤陣列等。業(yè)務系統(tǒng)指組織為其應用而開發(fā)或購買的各類應用軟件及其提供的業(yè)務服務。應用平臺軟件主要是指提供通用服務的各種平臺系統(tǒng)，包括：數(shù)據庫WWW、Mail、FTP、DNS、以及專有的中間件產品等；數(shù)據及文檔主要指存在于電子媒介或紙制的各種數(shù)據和資料，包括數(shù)據庫數(shù)據、存放于硬盤上的文件、代碼；財務數(shù)據及書面報告等。組織和人員指和安全相關的組織和人員，包括各級安全組織，安全人員、各級管理人員，網管員，系統(tǒng)管理員，業(yè)務操作人員，第三方人員等物理環(huán)境指支持IT系統(tǒng)運行的基礎物理設施，如：機房、空調、UPS、監(jiān)控器等。網絡設備網絡設備是指構成信息系統(tǒng)網絡傳輸環(huán)境的設備，軟件和介質。包括路由器、交換機、通信終端和網關以及網絡設備控制臺等硬件設施和軟件系統(tǒng)，為了更清晰地區(qū)別資產的安全屬性，網絡設備類資產不包括防火墻、VPN、網絡入侵檢測等網絡安全產品。服務器服務器是指信息系統(tǒng)中承載業(yè)務系統(tǒng)和軟件的計算環(huán)境。包括大型機、小型機、Unix服務器、Windows服務器、移動計算設備、應用加密機和磁盤陣列等計算設備硬件及其操作系統(tǒng)、數(shù)據庫。除此之外，行業(yè)特殊的設備，例如銀行的ATM等，也屬于主機系統(tǒng)。同一臺主機系統(tǒng)，安裝兩種或以上操作系統(tǒng)（主要針對工作站、移動計算設備），并均能接入到網絡中的，應視為多項主機系統(tǒng)信息資產。工作站工作站是指信息系統(tǒng)中承載業(yè)務系統(tǒng)軟件客戶端軟件的計算環(huán)境和OA系統(tǒng)中個人用機。同一臺主機系統(tǒng)，安裝兩種或以上操作系統(tǒng)（主要針對工作站、移動計算設備），并均能接入到網絡中的，應視為多項主機系統(tǒng)信息資產。安全設備安全設備主要指在信息系統(tǒng)中用作網絡安全保護用途的硬件設施和軟件系統(tǒng)，包括：防火墻、VPN、網絡入侵檢測、網閘、防病毒系統(tǒng)以及相關系統(tǒng)的控制臺軟硬件設施。存儲設備存儲設備主要指在信息系統(tǒng)中用作數(shù)據存儲用途的硬件設施和軟件系統(tǒng)，并均能接入到網絡中的信息資產。包括：DAS、NAS、SAN等軟硬件設施。業(yè)務系統(tǒng)業(yè)務系統(tǒng)主要指為業(yè)務生產、管理支撐及辦公等業(yè)務需求提供服務的軟件系統(tǒng)，此類資產在信息資產中占有非常重要的地位。本項目所指的業(yè)務系統(tǒng)是指獨立應用、運作的系統(tǒng)，例如短消息業(yè)務系統(tǒng)、MISC系統(tǒng)、辦公自動化系統(tǒng)、管理信息系統(tǒng)等，網管系統(tǒng)等。業(yè)務系統(tǒng)屬于需要重點評估、保護的對象。業(yè)務系統(tǒng)作為獨立的資產存在的同時，對于其他資產又存在如下關系：作為“網絡設備、服務器、工作站、安全設備、存儲設備”資產的屬性之一列出。在其資產賦值時，作為考慮的因素。應用平臺軟件主要是指提供通用服務的各種平臺系統(tǒng)，包括：數(shù)據庫WWW、Mail、FTP、DNS、以及專有的中間件產品等；通常將其所代表的安全屬性落實到如下部分來體現(xiàn)：應用平臺軟件作為“服務器、工作站、安全設備、存儲設備”資產的屬性之一列出，在進行資產賦值和弱點的時候，作為考慮的因素。數(shù)據及文檔數(shù)據及文檔主要指存在于電子媒介或紙制的各種數(shù)據和資料，包括源代碼、數(shù)據庫數(shù)據、業(yè)務數(shù)據、客戶數(shù)據、各種數(shù)據資料、系統(tǒng)文檔、運行管理規(guī)程、計劃、報告、用戶手冊等。數(shù)據及文檔資產在信息資產中占有非常重要的地位，通常作為企業(yè)知識產權、競爭優(yōu)勢、商業(yè)秘密的載體。屬于需要重點評估、保護的對象。通常，數(shù)據及文檔類資產需要保護的安全屬性是機密性。例如，公司的財務信息和薪酬數(shù)據就是屬于高度機密性的數(shù)據。但是，完整性的重要性會隨著機密性的提高而提高。企業(yè)內部對于數(shù)據類資產的分類方法通常根據數(shù)據的敏感性（Sensitivity）來進行，與機密性非常類似。例如，下表是常用的一種數(shù)據分類方法：簡稱解釋/舉例公開Public不需要任何保密機制和措施，可以公開使用（例如產品發(fā)表新聞等）。內部Internal公司內部員工或文檔所屬部門使用，或文檔涉及的公司使用（例如合同等）秘密Private由和項目相關公司和客戶公司成員使用機密Confidential只有在文檔中指定的人員可使用，文檔的保管要在規(guī)定的時間內受到控制絕密Secret非文檔的擬訂者或文檔的所有者及管理者，其他指定人員在使用文檔后迅速的按要求銷毀但是，由于數(shù)據及文檔數(shù)量巨大，且對其分類存在巨大的偏差和困難，通常將其所代表的安全屬性落實到如下部分來體現(xiàn)：作為“服務器、工作站、存儲設備”資產的屬性之一列出。在進行資產賦值和弱點及威脅分析的時候，作為考慮的因素。作為“組織和人員”資產的屬性之一列出。在進行弱點及威脅分析的時候，作為考慮的因素。組織和人員主要指企業(yè)與信息相關的人員和組織，包括各級安全組織，安全人員、各級管理人員，網管員，系統(tǒng)管理員，業(yè)務操作人員，第三方人員等與被評估信息系統(tǒng)相關人員和組織。組織和人員作為獨立的資產存在進行識別，但不對其進行資產賦值，對其安全性因素的考慮如下：作為“業(yè)務系統(tǒng)、網絡設備、服務器、工作站、安全設備、存儲設備”資產的屬性之一列出。物理環(huán)境主要指支持信息系統(tǒng)運行的環(huán)境的非IT類的設備，主要包括機房、UPS、空調、保險柜、文件柜、門禁、消防設施等。此處一般屬于物理安全的問題，主要的設備一般集中在機房內，所以評估時應重點考慮機房提供的環(huán)境安全。物理環(huán)境與其他資產存在如下關系：物理位置作為“業(yè)務系統(tǒng)、網絡設備、服務器、工作站、安全設備、存儲設備”資產的屬性之一列出。在其弱點及威脅評估時，作為考慮的因素。信息資產分類整體圖網絡設備網絡設備服務器工作站安全設備存儲設備組織和人員業(yè)務系統(tǒng)信息資產調查表屬性描述資產名稱在一個業(yè)務系統(tǒng)中不能重名資產編號全局唯一資產類型資產的類別屬性包括服務器、工作站、網絡設備、安全設備等資產子類型子類型是對類型的進一步說明，例如網絡設備中的路由器、交換機等操作系統(tǒng)類型設備所承載的系統(tǒng)的類型，例如包括windows2000,windows2003,hp-unix,aix,solaris等操作系統(tǒng)版本號各類操作系統(tǒng)的版本，例如solaris2.8，8.0等操作系統(tǒng)補丁各類操作系統(tǒng)的安全補丁信息應用軟件平臺應用系統(tǒng)所需的應用軟件，例如WEB、J2EE等應用平臺軟件版本應用軟件所對應的相應版本。應用平臺軟件補丁應用軟件廠商發(fā)布的安全補丁。設備型號網絡、服務器、工作站等的硬件設備型號設備工作方式硬件、系統(tǒng)之間的工作方式，例如熱備、冷備、負載均衡等用途信息資產的主要功能。資產所在地理位置信息資產所處的地域、機房和機柜等資產所在業(yè)務系統(tǒng)和部門信息資產所屬的業(yè)務系統(tǒng)名稱和業(yè)務系統(tǒng)所屬的部門名稱資產責任人信息資產在登記過程中的責任人。資產維護人維護信息資產的人員名稱資產安全三性安全屬性，機密性、完整性和可用性資產創(chuàng)建時間信息資產入網的時間資產最后修改時間信息資產功能修改、人員變換等信息更換的最后時間資產最后修改人信息資產功能修改、人員變換等信息更換的修改人員名稱保護對象框架一般來說，信息系統(tǒng)的資產數(shù)量十分龐大，為了更好的研究其計算機安全問題，還需要從龐大的信息資產中提煉出保護對象。保護對象框架是指以結構化的方法表達信息系統(tǒng)的框架模型。所謂結構化是指通過特定的結構將問題拆分成子問題的迭代方法。例如“魚刺圖”或“問題樹”。結構化方法包括以下幾條基本原則：充分覆蓋所有子問題的總和必須覆蓋原問題。如果不能充分覆蓋，那么解決問題的方法就可能出現(xiàn)遺漏，嚴重影響本方法的可行性?；ゲ恢丿B所有子問題都不允許出現(xiàn)重復，類似以下的情況不應出現(xiàn)在一個框架中：兩個不同的子問題其實是同一個子問題的兩種表述；某一個子問題其實是另外兩個問題或多個問題的合并；不可再細分所有子問題都必須細分到不能再被細分。當一個問題經過框架分析后，所有不可再細分的子問題構成了一個“框架”。保護對象的主要作用為：有助于信息資產識別的全面性。在列舉信息資產時，保護對象框架有助于識別者系統(tǒng)的進行思考；從資產安全估價到區(qū)域的安全性賦值，有助于降低風險分析的難度，同時確保風險分析的有效性。保護對象框架內容保護對象框架主要包括計算區(qū)域、網絡及基礎設施、邊界、支撐性基礎設施四部分；計算區(qū)域還可作為下一級保護對象，向下細分為下一級計算區(qū)域、網絡及基礎設施、邊界、支撐性基礎設施。1）計算區(qū)域計算區(qū)域是指由相同功能集合在一起，安全價值相近，且面臨相似的威脅來源的一組信息系統(tǒng)組成。同一計算區(qū)域內的信息資產在安全性上具有較強的同質性。計算區(qū)域還可以按照安全性能進一步細分，直至到安全性完全同質。2）網絡及基礎設施網絡及基礎設施是指相同功能集合在一起，安全價值相近，且面臨相似的威脅來源的一組網絡系統(tǒng)組成。通常包括路由器，交換機和防火墻等提供網路服務的局域網和廣域網。3）邊界邊界是指兩個區(qū)域或兩組區(qū)域之間的隔離功能集。邊界是一組功能集合，包括訪問控制，身份認證等。4）支撐性基礎設施支撐性基礎設施是指在區(qū)域內提供安全保障功能的功能集。支撐性基礎設施是一組功能集合，包括入侵檢測、審計及計算機病毒防護等。保護對象和信息資產保護對象框架就是信息系統(tǒng)的真實模型，計算區(qū)域、網絡與基礎設施作為保護對象框架的兩類基本元素，分別對應了不同信息資產的集合。計算區(qū)域：對應信息資產，通常包括：工作站、存儲設備，服務器，安全設備（不具有訪問控制及邊界隔離功能）；當計算區(qū)域作為一級保護對象框架時，應按照保護對象框架的思路向下繼續(xù)分解。網絡與基礎設施：對應信息資產，通常包括：網絡設備，安全設備（具有訪問控制及邊界隔離功能）。邊界：對應信息資產，通常包括:網絡設備(具有訪問控制及邊界隔離的功能模塊)，安全設備（具有訪問控制及邊界隔離功能）。支撐性基礎設施：對應信息資產，通常包括：安全設備（不具有訪問控制及邊界隔離功能）如上信息資產和保護對象框架的關系，都為各類信息資產的一個或多個屬性。對于業(yè)務系統(tǒng)資產來說，在確立保護對象框架時，可以將其作為一個獨立的保護對象來看待。對于組織和人員資產，通過業(yè)務系統(tǒng)的屬性和相應的保護對象框架相關聯(lián)。資產識別過程繪制拓撲圖資產識別的首要步驟是繪制拓撲圖。在拓撲圖中盡可能真實地描繪拓撲圖。一般來說，拓撲圖越詳細，資產識別的精度也就越高。如果系統(tǒng)非常復雜，一張拓撲圖很難描述清楚，則應采用多張拓撲圖。在安全咨詢項目中，顧問應要求用戶首先提供用戶事先拓撲圖。并以此為基礎改成標準化的拓撲圖。確定業(yè)務系統(tǒng)繪制拓撲圖以后，通過訪談等方式，確定業(yè)務系統(tǒng)，且識別業(yè)務系統(tǒng)的功能類型。確定第一層保護對象框架根據業(yè)務系統(tǒng)的各服務功能，對劃分出第一層保護對象框架，劃分的原則：根據業(yè)務的類型：比如是生產業(yè)務，管理支撐業(yè)務，還是辦公業(yè)務等。根據業(yè)務的重要性：比如核心區(qū)域，非核心區(qū)域等。劃分出存在哪些外部區(qū)域確定第二層保護對象框架第二層保護對象框架在第一層的區(qū)域內劃分，劃分原則：通常依據業(yè)務系統(tǒng)及其提供的功能特性順序識別資產識別出系統(tǒng)級保護對象框架后，才真正開始進行資產識別。在這一階段，根據信息資產的種類來進行識別。并將其歸屬入相應的保護對象框架，或在過程中創(chuàng)建下一級保護對象框架。信息資產賦值信息資產識別完成后，形成了一個信息資產的清單，但對于大型組織來說，信息資產數(shù)目十分龐大，所以需要確認資產的價值和重要性，重點保護關鍵的、重要的資產，并便于進一步考察資產相關的弱點、威脅和風險屬性，并進行量化，因此需要對資產進行估價。安全風險評估中所指的信息資產價值有別于資產的帳面價值和重置價值，而是指資產在安全方面的相對價值。本文中所指的信息資產價值全部都表示相對價值。在本文中，信息資產的安全價值主要是指其機密性、完整性和可用性。資產的安全價值具有很強的時間特性，所以應該根據時間變化的頻度制定資產相關的評估和安全策略的頻度。例如，某公司重要的市場活動策劃方案（數(shù)據資產），在活動開始之前，為達成市場目標，需要對該數(shù)據資產進行機密性、完整性和可用性方面的保護。但是在該活動之后，策劃已經基本上都傳達給了大眾，所以資產價值已經大部分消失，相關的安全屬性也失去保護意義。信息資產估價方法信息資產估價的方法有定性、半定量、定量三種，鑒于定量估價的巨大工作量和技術難度，所以采用定性估價的方法。信息資產分別具有不同的安全屬性，機密性、完整性和可用性分別反映了資產在三個不同方面的特性。安全屬性的不同通常也意味著安全控制、保護功能需求的不同。通過考察三種不同安全屬性，可以得出一個能夠基本反映資產價值的定性的數(shù)值。在信息資產估價時，主要對資產的這三個安全屬性分別賦予價值，以此反映出信息資產的價值。機密性、完整性和可用性的定義如下：保密性：確保只有經過授權的人才能訪問信息；完整性：保護信息和信息的處理方法準確而完整；可用性：確保經過授權的用戶在需要時可以訪問信息并使用相關信息資產。對安全屬性賦值時主要考慮的是對整個評估體影響和損害，然后按照下面的賦值標準來衡量。這里整個評估體是指本次評估的主體，包含本次評估范圍內的所有信息資產。下面描述信息資產賦值時采用的標準。要求顧問在評估工作中，嚴格依照賦值標準進行賦值，并且所有顧問對賦值標準的理解應該達成一致，以避免賦值的隨意性和不一致性，從而避免降低評估工作的質量。半定量化的資產賦值在分析資產的安全性價值時，分析其真實數(shù)值非常困難，因此在本項目中我們采用半定量化的方式，即資產價值等級劃分。在本項目中，我們對于所有資產的機密性、完整性和可用性價值，均劃分為5級。其中5代表資產安全性價值最高，1代表資產性價值最低。采用這種方法，使得資產賦值簡便易行，同時也體現(xiàn)了不同資產之間安全價值的差距。其缺點是由于缺乏統(tǒng)一準則，對于每項資產，其機密性、完整性和可用性三者之間價值是不可比的。也就是說，如果一項資產的機密性和可用性賦值都是4，并不意味該資產的機密性和可用性價值相同。資產賦值方法采用5級標準，較好地反映了資產價值的差異，但對于用戶和顧問來說，在為某一項資產的機密性、完整性或可用性價值賦值時，仍然很難在相鄰的兩個數(shù)值之間作出選擇。為此，本項目中提出了一套方法，通過將機密性、完整性和可用性的每個值分解為兩個相乘的指標，而每個指標均分為三級。從而得出五級安全價值。V={Vc,Vi,Va} 資產的安全價值由機密性價值、完整性價值和可用性價值三者組成。Vc=Xc*YcVi=Xi*YiVa=Xa*Ya 將三個安全性價值分別分解為兩個相乘的指標。VX=3X=2X=1Y=3543Y=2432Y=1321 分別為兩個指標（三級）賦值，然后查上表得出價值（五級）。機密性賦值Vc（資產的機密性價值）是指該資產被暴露時對組織造成的損害，因此資產的機密性價值可分解為以下兩個指標：Xc=資產被暴露時與所造成最嚴重后果之間的關系；Yc＝后果對組織的最嚴重損害程度；Vc=Xc*YcXc（資產被暴露時與造成后果之間的關系）可分為下述三級：直接產生后果：即當資產被暴露時，后果既已發(fā)生。例如，組織的商業(yè)秘密，要求密級的涉密信息，這些信息一旦被暴露，后果隨之發(fā)生，無法挽回。容易產生后果：當資產被暴露時，后果非常容易發(fā)生。例如當操作系統(tǒng)的超級用戶口令失密時，如果獲知者無惡意，后果可能不會發(fā)生，但是如果獲知者具有惡意，那么后果非常容易發(fā)生?？赡墚a生后果：當資產被暴露時，后果有可能會發(fā)生，但離后果發(fā)生仍存在一定距離。例如某客戶端軟件被盜用，在沒有得到服務器驗證口令之前，后果仍未造成。Yc（后果對組織的損害程度）包括下述三種情況：嚴重損害：例如引起法律糾份、造成聲譽下降或帶來嚴重的經濟損失；中等損害：例如局部范圍內的聲譽下降或明顯的經濟損失；輕度損害：例如輕微的經濟損失。完整性賦值Vi（資產的完整性價值）是指該資產不處于準確，完整或可依賴狀態(tài)時對組織造成損害，因此資產的完整性價值可分解為以下兩個指標：Xi=資產不處于準確，完整或可依賴狀態(tài)時與所造成最嚴重后果之間的關系；Yi＝后果對組織的最嚴重損害程度；Vi=Xi*YiXi（資產不處于準確，完整或可依賴狀態(tài)時與造成后果之間的關系）可分為下述三級：直接產生后果：即當資產不準確或被篡改時，后果既已發(fā)生。例如，數(shù)據庫中的交易記錄。容易產生后果：當資產不準確或被篡改時，后果非常容易發(fā)生。例如當應用軟件的流程被篡改?？赡墚a生后果：當資產被暴露時，后果有可能會發(fā)生，例如操作系統(tǒng)被種入木馬等。Yc（后果對組織的損害程度）包括下述三種情況：嚴重損害：例如引起法律糾份、造成聲譽下降或帶來嚴重的經濟損失；中等損害：例如局部范圍內的聲譽下降或明顯的經濟損失；輕度損害：例如輕微的經濟損失。可用性賦值Va（資產的可用性價值）是指當某一項資產完全不可用時對業(yè)務系統(tǒng)所造成的后果。它可被分解為以下兩個指標：Xa＝資產不可用時對某個業(yè)務的影響Ya＝該業(yè)務系統(tǒng)的關鍵性程度Va=Xa*YaXa（資產不可用時對某個業(yè)務的影響）可分為下述三級：整體不可用：當資產不可用時，業(yè)務系統(tǒng)即不可用。例如，服務器當機，主干網絡癱瘓等。局部不可用：當資產不可用時，業(yè)務系統(tǒng)局部不可用。例如局部網絡癱瘓，網絡阻塞等。個體不可用：當資產不可用時，業(yè)務系統(tǒng)的某個或某幾個客戶不可用，例如終端故障，客戶機當機等。Ya（該業(yè)務系統(tǒng)的關鍵性程度）包括下述三種情況：核心業(yè)務系統(tǒng)；關鍵業(yè)務系統(tǒng)；一般業(yè)務系統(tǒng)。采用5級標準，較好地反映了資產價值的差異，但對于用戶和顧問來說，在為某一項資產的機密性、完整性或可用性價值賦值時，仍然很難在相鄰的兩個數(shù)值之間作出選擇。為此，本項目中提出了一套方法，通過將機密性、完整性和可用性的每個值分解為兩個相乘的指標，而每個指標均分為三級。從而得出五級安全價值。V={Vc,Vi,Va} 資產的安全價值由機密性價值、完整性價值和可用性價值三者組成。Vc=Xc*YcVi=Xi*YiVa=Xa*Ya 將三個安全性價值分別分解為兩個相乘的指標。VX=3X=2X=1Y=3543Y=2432Y=1321 分別為兩個指標（三級）賦值，然后查上表得出價值（五級）。賦值工作操作方法指南首先對各資產賦值通過對各資產賦值，我們可以獲得在同一個區(qū)域內核心資產。對保護對象框架賦值在資產識別和賦值過程中，最大的障礙在于資產數(shù)量過多、過雜，得不到全局、宏觀的分析。通過對保護對象框架進行賦值，可以同一層保護對象框架內的核心保護對象框架。保護對象框架賦值除了要考慮其所屬資產的價值，還要綜合考慮到其框架內業(yè)務系統(tǒng)、數(shù)據及文檔、組織和人員、物理環(huán)境等因素。業(yè)務系統(tǒng)的資產賦值與其映射的保護對象一致。賦值標準的理解資產賦值時，賦值的原則是這個資產或資產組在某個安全屬性方面的價值或者在安全屬性方面受到損失和破壞時對整個評估體的影響和損害，安全屬性指機密性、完整性和可用性。理解賦值標準時，這個安全屬性價值非常關鍵，對整個評估體具有致命性的潛在影響或無法接受、特別不愿接受的影響和損害，符合這樣的描述時表明這個安全屬性值為4，其余類推。這里整個評估體是指本次評估的主體，可能是評估范圍內的所有信息資產組成的系統(tǒng)，如ERP信息系統(tǒng)；也可能是一個部門，如IT部門；也可能時整個企業(yè)或組織。賦值時考慮的是對整個評估體的影響，注意不要擴大到整個企業(yè)或集團，也不要縮小到部門。顧問在工作中，開始一般不要直接問客戶應該賦值為幾，應該是問客戶這個安全屬性完全損害或破壞時，對企業(yè)的影響如何，對關鍵業(yè)務的影響如何，企業(yè)的接受程度如何，然后根據影響程度按照賦值標準自己來判斷應該賦值為幾。當然，隨著賦值工作的進行，當客戶完全理解賦值標準后可以由客戶進行判斷，顧問如有疑問進行詳細詢問和修正。獨立資產按照賦值標準來理解，對資產組需要考慮組中所有資產的安全屬性，然后綜合起來作為一個整體的概念來賦值。選擇訪談對象的原則賦值時，選擇訪談對象的原則是找具有企業(yè)整體概念，又清楚各個具體資產的情況的人?？梢哉乙粋€知道所有情況的人，也可以找?guī)讉€人。人員選擇時一般選擇中層干部，具有一定企業(yè)整體概念，又熟悉具體工作。如果選擇多人，一般資產可以找安全主管或網管主管，業(yè)務系統(tǒng)的資產找業(yè)務部門主管或維護主管。對于一個資產的價值，可能不同的人理解會不一樣，賦出來也不同，因為這個資產對不同的人具有不同的意義，但從效率來講，一個資產的賦值最好找一個人來訪談，不推薦找一組不同性質和級別的人來訪談，再把結果綜合，所以選擇訪談對象要比較謹慎，盡可能按照上述的原則找到合適的人。賦值本來就是個定性分析，允許存在一個粒度的誤差，但如果顧問覺得有明顯疑問或較大誤差，也可以找其他人來核實。在只找一個人來訪談時，為了避免太大的誤差和明顯錯誤，影響整個項目的質量，一般最后賦值結束后，要把結果向對方的項目經理核實，需要對方確認。此步工作不能省略。賦值訪談時應向對方說明，考慮影響的出發(fā)點應是對整個評估體，使之站在對整個評估體的高度來。IT設備評估IT設備評估是所有系統(tǒng)都要進行的，也是非重點系統(tǒng)安全評估的主要內容，業(yè)務系統(tǒng)的正常運行不僅僅需要高效的網絡傳輸和交換，還需要主機、服務器的良好運轉，也需要足夠的安全保證。通過IT設備安全評估，發(fā)現(xiàn)系統(tǒng)的風險點和脆弱性，為設備安全加固提供指導和依據，從而提高系統(tǒng)安全狀況，保障業(yè)務系統(tǒng)的高性能、高可靠性、高可用性、高效率運行。IT設備評估內容包括：主機操作系統(tǒng)弱點評估、網絡設備弱點評估、安全設備弱點評估。評估的過程IT設備評估的評估過程，根據內容和方法分為兩種：現(xiàn)場操作的評估過程；后臺分析的評估過程?，F(xiàn)場操作的評估過程現(xiàn)場操作的評估過程，主要針對：主機操作系統(tǒng)人工評估、工具掃描、網絡及安全設備需要的現(xiàn)場評估工作，下圖是“現(xiàn)場操作評估過程的流程圖”：安全顧問根據信息資產調查的結果，提前一周確定評估申請表，并提交給相關部門安全管理員和該系統(tǒng)管理員，評估申請表內容包括：評估設備詳細范圍、評估內容、相關的管理人員，以及風險規(guī)避措施建議等。部門安全管理員和涉及系統(tǒng)的管理員最終確定具體的評估時間，并做好評估準備工作。評估時間通知項目負責人，如有必要正式發(fā)文。安全顧問進行現(xiàn)場實施評估，如有必要，在現(xiàn)場之間和相關人員溝通評估發(fā)現(xiàn)的問題；現(xiàn)場全部評估工作完成后，確認該現(xiàn)場評估工作結束（如有必要，系統(tǒng)管理員可及時檢查系統(tǒng)的可用性是否存在問題）?，F(xiàn)場評估后，安全顧問進行后臺數(shù)據分析，完成評估分析報告，提交給各部門安全管理員和該系統(tǒng)管理員，并進行溝通和講解工作；最終，由該項目負責人確認評估報告，評估結束。后臺分析的評估過程后臺分析的評估過程，主要針對：網絡及安全設備配置信息可以后臺進行分析的評估工作，下圖是“后臺分析評估過程的流程圖”：安全顧問根據信息資產調查的結果，提前一周確定評估申請表，并提交給相關部門安全管理員和該系統(tǒng)管理員，評估申請表內容包括：評估設備詳細范圍、評估內容、相關的管理人員等。部門安全管理員和涉及系統(tǒng)的管理員在一周內提交申請評估設備的配置信息給安全顧問。安全顧問進行后臺配置分析，如有必要，和相關人員溝通評估發(fā)現(xiàn)的問題；如有必要，進行現(xiàn)場評估設備的檢查。安全顧問完成評估分析報告，提交給各部門安全管理員和該系統(tǒng)管理員，并進行溝通和講解工作；最終，由該項目負責人確認評估報告，評估結束。評估的方法本次的安全評估主要是依靠天融信具有多年豐富經驗的安全專家來進行的。我們依據天融信公司經多年實踐檢驗而積累下來的，在業(yè)內領先的安全檢查方案，在得到中海信托有關工作人員的授權并在有關人員的監(jiān)督下實施。評估將根據被評估系統(tǒng)的不同情況，選擇以下幾種方式進行：主機系統(tǒng)評估方法工具掃描的方法：使用中海信托提供的ISSInternetScanner安全漏洞掃描工具對主機進行掃描，掃描評估主要是根據已有的安全漏洞知識庫，模擬黑客的攻擊方法，檢測網絡協(xié)議、網絡服務、網絡設備、應用系統(tǒng)等各種信息資產所存在的安全隱患和漏洞。工具掃描主要依靠帶有安全漏洞知識庫的網絡安全掃描工具對信息資產進行基于網絡層面安全掃描，其特點是能對被評估目標進行覆蓋面廣泛的安全漏洞查找，并且評估環(huán)境與被評估對象在線運行的環(huán)境完全一致，能較真實地反映主機系統(tǒng)所存在的安全問題。專家評估（安全基線分析）方法：依據天融信對主機平臺的標準化的安全審計列表（安全基線），檢查和分析主機系統(tǒng)平臺存在的安全問題。根據天融信最新的安全檢查核對表內容，逐項檢查系統(tǒng)的各項配置和運行狀態(tài)。核對表內容根據最新漏洞發(fā)現(xiàn)、客戶不同的系統(tǒng)和運行環(huán)境、以及專家的經驗知識而制定，它主要包括有以下幾個方面：安全配置檢查：系統(tǒng)管理和維護的正常配置，合理配置，及優(yōu)化配置。例如系統(tǒng)目錄權限，帳號管理策略，文件系統(tǒng)配置，進程通信管理等。安全機制檢查：安全機制的使用和正常配置，合理配置，及優(yōu)化配置。例如日志及審計、備份與恢復，簽名與校驗，加密與通信，特殊授權及訪問控制等。入侵追查及事后取證：檢查與發(fā)現(xiàn)系統(tǒng)入侵，攻擊或其它危害，盡可能追查及取證。例如日志被毀壞篡改或刪除，計費數(shù)據被刪除，遭受DOS攻擊，系統(tǒng)被監(jiān)聽，控制或安裝后門等。網絡及安全設備評估方法專家評估（安全基線分析）方法：依據天融信對網絡和安全設備的標準化安全審計列表（安全基線），檢查和分析網絡及安全設備存在的安全問題。根據天融信最新的安全檢查核對表內容，逐項檢查系統(tǒng)的各項配置和運行狀態(tài)。核對表內容根據最新漏洞發(fā)現(xiàn)、客戶不同的系統(tǒng)和運行環(huán)境、以及專家的經驗知識而制定；可采用后臺配置檢查或現(xiàn)場登錄設備配置查看兩種方式。顧問訪談顧問訪談在安全顧問咨詢服務中處于不可替代的關鍵地位，目前尚沒有成型的工具、模型、算法等可以將專家的經驗完全體現(xiàn)出來，通過進行面對面或電話訪談，顧問會將自己的經驗體現(xiàn)于網絡安全脆弱性評估中。評估的內容主機系統(tǒng)評估主要內容主機系統(tǒng)的安全目標是保障主機平臺系統(tǒng)高效、優(yōu)質運行，滿足業(yè)務系統(tǒng)的需求，防止主機和系統(tǒng)遭受外部和內部的破壞和濫用，避免和降低由于主機和系統(tǒng)的問題對業(yè)務系統(tǒng)的損害；協(xié)助應用進行訪問控制和安全審計。主機系統(tǒng)安全評估主要包括如下內容：系統(tǒng)安全管理：嚴格管理系統(tǒng)帳戶、有效控制系統(tǒng)服務，優(yōu)化系統(tǒng)的安全配置，啟用系統(tǒng)必要的安全控制措施,避免系統(tǒng)發(fā)生故障或遭受攻擊；系統(tǒng)資源控制：系統(tǒng)的補丁管理、文件和目錄管理等安全配置；系統(tǒng)冗余：根據業(yè)務需要對系統(tǒng)進行冗余設計；系統(tǒng)訪問控制和審計：對系統(tǒng)進行有效訪問控制和日志審計。主機系統(tǒng)安全評估將進行如下幾個方面的檢查：系統(tǒng)補丁系統(tǒng)賬號文件系統(tǒng)網絡及服務系統(tǒng)配置文件NFS或其它文件系統(tǒng)共享審計及日志系統(tǒng)備份及恢復應用系統(tǒng)其它網絡及安全設備評估主要內容網絡及安全設備評估的目標是發(fā)現(xiàn)網絡設備或安全設備存在的弱點，防止網絡和通信系統(tǒng)遭受外部和內部的攻擊和濫用。主要檢查設備是否存在已知的漏洞，設備的安全配置是否正確。網絡及安全設備評估將主要涉及到以下幾個方面的內容：關閉不必要的服務禁止CDP(CiscoDiscoveryProtocol)禁止TCP、UDPSmall服務禁止Finger服務禁止NTP服務禁止BOOTp服務（路由器適用）禁止IPSourceRouting禁止IPDirectedBroadcast（路由器和三層交換機適用）啟用servicepassword-encryption關閉WINS和DNS服務關閉ARP-Proxy服務登錄要求和帳號管理采用enablesecret設置密碼采用認證設置exec-timeout（5分鐘及以內）采用訪問控制措施，限制可登錄的源地址關閉HTTP服務遠程登錄采用加密傳輸（SSH）采用多用戶分權管理SNMP協(xié)議設置和日志審計設置SNMP讀寫密碼更改SNMP協(xié)議端口限制SNMP發(fā)起連接源地址開啟日志審計功能其它安全要求禁止從網絡啟動和自動從網絡下載初始配置文件。禁止未使用或空閑的端口符合banner的設置要求符合設備提示符的設置要求啟用源地址路由檢查（路由器適用）VTP設置密碼（交換機適用）評估的風險和應對工具掃描風險分析采用ISSInternetScanner作為掃描工具，ISSInternetScanner是業(yè)界上最優(yōu)秀的網絡掃描器，通過掃描引擎發(fā)送掃描探測數(shù)據包，獲取遠程主機設備的安全漏洞。發(fā)送的數(shù)據包會占用網絡資源，通常百兆網絡占用3－5%的帶寬資源，目標主機設備由于需要響應探測數(shù)據包，會占用目標主機設備的資源，例如CPU和內存資源。特別是，InternetScanner可以發(fā)送DOS攻擊探測數(shù)據包，如果目標主機設備存在該漏洞，掃描過程中可能會宕機。主機人工評估風險分析人工評估采用安全檢查列表，評估過程中，對目標主機設備逐一按照安全檢查列表進行檢查。人工評估只是查看目標主機設備的配置信息，不會對目標主機設備進行修改操作，主要存在的安全風險是檢查操作帶來的安全風險，例如運行命令、操作界面帶來的安全風險。主機系統(tǒng)弱點評估的工具掃描過程，盡量避免使用含有拒絕服務類型的掃描方式，而主要采用人工檢查的方法來發(fā)現(xiàn)系統(tǒng)可能存在的拒絕服務漏洞。在掃描過程中如果出現(xiàn)被評估系統(tǒng)沒有響應的情況，應當立即停止掃描工作，與配合的工作人員一起分析情況，在確定原因后，并正確恢復系統(tǒng)，采取必要的預防措施（比如調整掃描策略等）后，才可以繼續(xù)進行。網絡設備配置檢查和網絡拓撲分析只對被評估對象進行運行狀態(tài)和配置檢查，因此不會對現(xiàn)有信息系統(tǒng)上的其他設備和資源帶來任何影響。評估成員會與中海信托系統(tǒng)管理員保持良好溝通，隨時協(xié)商解決出現(xiàn)的各種難題。并且在評估完成時，由相關的管理人員對被評估主機系統(tǒng)的狀態(tài)進行確認，保證評估后系統(tǒng)運行正常。網絡設備安全風險評估通過有針對性的安全評估，發(fā)現(xiàn)現(xiàn)存網絡類系統(tǒng)的安全風險點和脆弱性，防止網絡和通信系統(tǒng)遭受外部和內部的攻擊和濫用，避免和降低由于網絡和通信系統(tǒng)的問題對業(yè)務系統(tǒng)造成損害的風險；同時，也要從業(yè)務發(fā)展的角度分析網