1、I C S 3 5 . 0 4 01 8 0督黔中 华 人 民 共 和 国 国 家 标 准G B / T 2 0 9 8 4 一 2 0 0 7 信息安全技术信息安全风险评估规范 I n for m a t i o ns e c u r i t yt c c h n o l o g y 一R i s ka s s c s s me n t s P e c i f i c a t i o nfOr i n for ma t i o ns e c u r i t y2 0 0 7 一 0 6 一 1 4发 布2 0 0 7 一 1 1 一 0 1实施中华人民共和国国家质量监督检验检疫总局中 国 国
2、 家 标 准 化 管 理 委 员 会发 布GB / T 2 0 9 8 4 一2 0 0 7目次别 舀 , , 1引言 , , n1 范围 12 规范性引用文件 , . . . . . . . . . . . . . . , . . . . . . . . . . . . . . ,13 术语和定义 , . . . . . . . . . . . . . . . . . . . . . . . . 14 风险评估框架及流程 . . . . . . . . . . . . . . , . . . . . . . . . . . . . , 34 . 1 风险要素关系 , , , . . . .
3、. . . . . . . . . . . . . . . . . . . . , . , 34 . 2 风险分析原理 , , . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34 . 3 实施流程 4 . . . . . . . . , , . . . 45 风险评估实施 . . . . . . . . . . . . . , . . . . . . . . . . , . , , , . . . . . . 551 风险评估准备 , , . . . . . . . , . , . . . . . . .
4、 . . . . . . . . . . . . . 55 . 2 资产识别 , , , . . . . . . . . . . . . 65 . 3 威胁识别 , , . . 85 . 4 脆弱性识别 . . . . . . . . . . . . . . , 105 . 5 已有安全措施确认 . . . . . . . . . . . . . , . . . . . . . . . . . . . . , , . . . , . , . . . . . . . . . . H5 . 6 风险分析 , 125 . 7 风险评估文档记录 , , , , . . . . . . . . . .
5、. . . . . . . . . . . . , . . . . . . . . . . . . . . 136 信息系统生命周期各阶段的风险评估 , , , . . . . . . . . . . . . . . . . . . . . . . . . 146 . 1 信 息 系 统 生 命 周 期 概 述 从 1 46 . 2 规划阶段的风险评估 , 146 . 3 设计阶段的风险评估 , . , . . . . . . . . . . . . . , , 1 56 . 4 实施阶段的风险评估 , , , . . . . . . . . . . . , , . . . . . . . .
6、 . . . . . . . . . . . . . . . . 156 . 5 运行维护阶段的风险评估 , 166 . 6 废弃阶 段的风险评估 , . . . . . . . . . . . . . , , . . . . . . . . . . . . . . . . . 1 67 风险评估的工作形式 , , . . . . . . . . . . . . , . . . . . . . . . . . . . . . . . . . . . . . . . . . 177 . 1 概 述 . . . , . . . . . . . . , . . . 177 . 2 自 评估 177
7、. 3 检查评估 , , . . . . . . . . . . . . . . . . . . . . . . . 17附录A( 资料性附录) 风险的计算方法 . . . . . . . . . , . 18A . 1 使用矩阵法计算风险 二18A . 2 使用相乘法计算风险 21附录B ( 资料性附录) 风险评估的工具 , 2 4B . 1 风险评估与管理工具 . , , . . . . . . . . . . . . . . . . . . . . . . 24B . 2 系统基础平台风险评估工具 , . . . . . . . . . . . . . . . . . . . . . .
8、 . . . . . . . . . . . . . . . . . . 25B . 3 风险评估辅助工具 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . , . . . . . . . . . . 25参考文献 2 GB / T 2 0 9 8 4 一2 0 0 7月 明舌 本标准的附录 A和附录 B是资料性附录。 本标准由国务院信息化工作办公室提出。 本标准由全国信息安全标准化技术委员会归口。 本标准主要起草单位: 国家信息中心、 公安部第三研究所、 国家保密技术研究所、 中国信息安全产品测评认证中
9、心、 中国科学院信息安全国家重点实验室、 解放军信息技术安全研究中心、 中国航天二院七0六所、 北京信息安全测评中心、 上海市信息安全测评认证中心。 本标准主要起草人: 范红、 吴亚非、 李京春、 马朝斌、 李篙、 应力、 王宁、 江常青、 张鉴、 赵敬宇。GB / T2 0 9 8 4 一2 0 0 7引言 随着政府部门、 企事业单位以及各行各业对信息系统依赖程度的日益增强 , 信息安全问题受到普遍关注。运用风险评估去识别安全风险, 解决信息安全问题得到了广泛的认识和应用。 信息安全风险评估就是从风险管理角度, 运用科学的方法和手段, 系统地分析信息系统所面临的威胁及其存在的 脆弱 性, 评
10、估安全事件 一旦发生可能造成的 危害程度, 提出有针对性的 抵御威胁的防护对策和整改措施, 为防范和化解信息安全风险, 将风险控制在可接受的水平, 最大限度地保障信息安全提供科学依据。 信息安全风险评估作为信息安全保障工作的基础性工作和重要环节, 要贯穿于信息系统的规划、 设计、 实施、 运行维护以及废弃各个阶段, 是信息安全等级保护制度建设的重要科学方法之一。 本标准条款中所指的“ 风险评估” , 其含义均为“ 信息安全风险评估” 。GB / T 2 0 9 8 4 一2 0 0 7 信息安全技术信 息 安全 风 险评 估规 范范围 本标准提出了风险评估的基本概念、 要素关系、 分析原理、
11、实施流程和评估方法, 以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。 本标准适用于规范组织开展的风险评估工作2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注 日期的引用文件, 其随后所有的修改单( 不包括勘误的内容) 或修订版均不适用于本标准, 然而, 鼓励根据本部分达成协议的各方研究是否可 使用这 些文件的最新版本。 凡是不注日 期的引 用文件, 其最新版本适用于本标准。 G B / T9 3 61计算站场地安全要求 GB1 7 8 5 9 一1 9 9 9 计算机信息系统安全保护等级划分准则 GB / T1 8 3 3 6 一2 0 0 1 信息
12、技术安全技术信息技术安全性评估准则( 记t 1 S O / I E C1 5 4 o s : 1 9 9 9 ) G B / T1 9 7 1 6 一2 0 0 5 信息技术信息安全管理实用规则( 1 5 0 / I E C1 7 7 9 9 : 2 0 0 0 , MOD )3 术语和定义 下列术语和定义适用于本标准。3 . 1 资产a sse t 对组织具有价值的信息或资源, 是安全策略保护的对象3 . 2 资产价值a sse tv a l u e 资产的重要程度或敏感程度的表征。资产价值是资产的属性, 也是进行资产识别的主要内容3 . 3 可用性 a v a il a b 川 t y 数
13、据或资源的特性, 被授权实体按要求能访问和使用数据或资源。3 . 4 业务战略b u s i n e s s s t r a t e g y 组织为实现其发展目标而制定的一组规则或要求。3 . 5 保密性 c o n f i d e n t i a l it y 数据所具有的特性, 即表示数据所达到的未提供或未泄露给非授权的个人、 过程或其他实体的程度3 . 6 信息安全风险i n for m a t i o ns e c u r i t yr i s k 人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。 GB/ T 2 0 9 8 4 一2 0
14、0 7 ( 信息安全) 风险 评估( i n fo r m a t i o n s e c u r i t y ) r is k as s es s m e n t 依据有关信息安全技术与管理标准, 对信息系统及由其处理、 传输和存储的信息的保密性、 完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性, 并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。3 . 8 信息系统 i n fo r m a t i o n s y s t e m 由计算机及其相关的和配套的设备、 设施( 含网络) 构成的, 按照一定的应用目标和规则
15、对信息进行采集、 加工、 存储、 传输、 检索等处理的人机系统。 典型的信息系统由三部分组成: 硬件系统( 计算机硬件系统和网络硬件系统) ; 系统软件( 计算机系统软件和网络系统软件) ; 应用软件( 包括由其处理、 存储的信息) 。3 . 9 检查评估 i n s p e c t io n a s se s s m e n t 由被评估组织的上级主管机关或业务主管机关发起的, 依据国家有关法规与标准, 对信息系统及其管理进行的具有强制性的检查活动。3 . 1 0 完整性i n t e g r i t y 保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。3 1 1
16、 组织。 嗯a n iz a t i o n 由作用不同的个体为实施共同的业务目标而建立的结构。一个单位是一个组织, 某个业务部门也可 以是一个组织 。3 . 1 2 残余风 险r e s i d u a lr i s k 采取了安全措施后, 信息系统仍然可能存在的风险3 . 1 3 自评估s e l f-a s s e s s me n t 由组织 自身发起, 依据国家有关法规与标准, 对信息系统及其管理进行的风险评估活动3 . 1 4 安全事件 s e c u r i t y in c i d e n t 系统、 服务或网络的一种可识别状态的发生, 它可能是对信息安全策略的违反或防护措施的
17、失效,或未预 知的不 安全状况3 . 1 5 安全 措施 s e c u r i t y m e a s u re 保护资产、 抵御威胁、 减少脆弱性、 降低安全事件的影响, 以及打击信息犯罪而实施的各种实践、 规程和机制 。3 . 1 6 安全需求 s ec u r i t y re q u i re m e n t 为保证组织业务战略的正常运作而在安全措施方面提出的要求。3 . 1 7 威 胁t h r e a t 可能导致对系统或组织危害 的不希望事 故潜在起因 。GB / T 2 0 9 8 4 一2 0 0 73 1 8脆弱性v u l n e r a b i l i t y可能被威
18、胁所利用的资产或若干资产的薄弱环节。4风 险评估框 架及流 程风险要素关系风险评估中各要素的关系如图1 所示:妙依 赖演 变抵 御降 低被 满 足办 可份 图 1 风险评估要素关系图 图 1 中方框部分的内容为风险评估的基本要素, 椭圆部分的内容是与这些要素相关的属性。风险评估围绕着资产、 威胁、 脆弱性和安全措施这些基本要素展开, 在对基本要素的评估过程中, 需要充分考虑业务战略、 资产价值、 安全需求、 安全事件、 残余风险等与这些基本要素相关的各类属性。 图 1 中的风险要素及属性之间存在着以下关系: a)业务战略的实现对资产具有依赖性, 依赖程度越高, 要求其风险越小; 1)资产是有价
19、值的, 组织的业务战略对资产的依赖程度越高, 资产价值就越大; 。 ) 风险是由威胁引发的, 资产面临的威胁越多则风险越大, 并可能演变成为安全事件; d)资产的脆弱性可能暴露资产的价值, 资产具有的脆弱性越多则风险越大; e)脆弱性是未被满足的安全需求, 威胁利用脆弱性危害资产; 幻 风险的存在及对风险的认识导出安全需求; 9 ) 安全需求可通过安全措施得以满足, 需要结合资产价值考虑实施成本; 11)安全措施可抵御威胁, 降低风险; 1) 残余风险有些是安全措施不当或无效, 需要加强才可控制的风险; 而有些则是在综合考虑了安 全成本与效益后不去控制的风险; ) 残余风险应受到密切监视, 它
20、可能会在将来诱发新的安全事件4 2风险分析原理 风险分析原理如图2所示: 风险分析中要涉及资产、 威胁、 脆弱性三个基本要素。每个要素有各自的属性, 资产的属性是资产价值; 威胁的属性可以是威胁主体、 影响对象、 出现频率、 动机等; 脆弱性的属性是资产弱点的严重程度GB/ T 2 0 9 8 4 一2 0 0 7风险分析的主要内容为: a)对资产进行识别, 并对资产的价值进行赋值; b)对威胁进行识别, 描述威胁的属性, 并对威胁出现的频率赋值; c)对脆弱性进行识别, 并对具体资产的脆弱性的严重程度赋值; d)根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性; e)根据脆弱性的严
21、重程度及安全事件所作用的资产的价值计算安全事件造成的损失; f)根据安全事件发生的可能性以及安全事件出现后的损失, 计算安全事件一旦发生对组织的影 响, 即风险值。图 2风险分析原理 图4 . 3 实施流程 风险评估的实施流程如图3所示:图 3风险评估 实施流程图GB / T 2 0 9 8 4 一2 0 0 7风险评估实施流程的详细说明见第 5章。5 风 险评估实施5 . 1 风险评估准备5 .1 .1 概 述 风险评估准备是整个风险评估过程有效性的保证。组织实施风险评估是一种战略性的考虑, 其结果将受到组织的业务战略、 业务流程、 安全需求、 系统规模和结构等方面的影响。因此, 在风险评估
22、实施前 , 应 : a)确定风险评估的目标; b)确定风险评估的范围; c)组建适当的评估管理与实施团队; d)进行系统调研; e)确定评估依据和方法; f)制定风险评估方案; 9 ) 获得最高管理者对风险评估工作的支持。5 . 1 . 2 确定目标 根据满足组织业务持续发展在安全方面的需要、 法律法规的规定等内容, 识别现有信息系统及管理上的不足, 以及可能造成的风险大小。5 . 飞 . 3 确定范围 风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、 管理机构, 也可能是某个独立的信息系统、 关键业务流程、 与客户知识产权相关的系统或部门等5 . 1 . 4 组建 团队 风险评估
23、实施团队, 由管理层、 相关业务骨干、 信息技术等人员组成风险评估小组。必要时, 可组建由评估方、 被评估方领导和相关部门负责人参加的风险评估领导小组, 聘请相关专业的技术专家和技术骨干组成专家小组。 评估实施团队应做好评估前的表格、 文档、 检测工具等各项准备工作, 进行风险评估技术培训和保密教育, 制定风险评估过程管理相关规定。可根据被评估方要求, 双方签署保密合同, 必要时签署个人保 密协议。5 . 1 . 5 系统调研 系统调研是确定被评估对象的过程, 风险评估小组应进行充分的系统调研, 为风险评估依据和方法的选择、 评估内容的实施奠定基础。调研内容至少应包括: a)业务战略及管理制度
24、; b)主要的业务功能和要求; c ) 网络结构与网络环境, 包括内部连接和外部连接; d ) 系统边界; e)主要的硬件、 软件; f)数据和信息; 9)系统和数据的敏感性; h)支持和使用系统的人员; 1)其他 系统调研可 以采取 问卷 调查、 现场面谈相结合 的方式进行 。调查问卷 是提供一 套关 于管理或操 作GB / T2 0 9 8 4 一2 0 0 7控制的问题表格, 供系统技术或管理人员填写; 现场面谈则是由评估人员到现场观察并收集系统在物理、 环境和操作方面的信息。5 . 1 . 6 确定依据 根据系统调研结果, 确定评估依据和评估方法。评估依据包括( 但不仅限于) : a)
25、现行国际标准、 国家标准、 行业标准; b)行业主管机关的业务系统的要求和制度; c ) 系统安全保护等级要求; d)系统互联单位的安全要求; e)系统本身的实时性或性能要求等 根据评估依据, 应考虑评估的目的、 范围、 时间、 效果、 人员素质等因素来选择具体的风险计算方法,并依据业务实施对系统安全运行的需求, 确定相关的判断依据, 使之能够与组织环境和安全要求相适 应。51 . 7 制定方案 风险评估方案的目的是为后面的风险评估实施活动提供一个总体计划, 用于指导实施方开展后续工作。风险评估方案的内容一般包括( 但不仅限于) : a)团队组织: 包括评估团队成员、 组织结构、 角色、 责任
26、等内容; b)工作计划: 风险评估各阶段的工作计划, 包括工作内容、 工作形式、 工作成果等内容; c ) 时间进度安排: 项目实施的时间进度安排。5 . 1 . 8 获得支持 上述所有内容确定后, 应形成较为完整的风险评估实施方案, 得到组织最高管理者的支持、 批准; 对管理层和技术人员进行传达, 在组织范围内就风险评估相关内容进行培训, 以明确有关人员在风险评估中的任务 。5 . 2资产识别5 . 2 . 1 资产分类 保密性、 完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量, 而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响
27、程度来决定的。安全属性达成程度的不同将使资产具有不同的价值, 而资产面临的威胁、 存在的脆弱性、 以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此, 应对组织中的资产进行识别。 在一个组织中, 资产有多种表现形式; 同样的两个资产也因属于不同的信息系统而重要性不同, 而且对于提供多种业务的组织, 其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类, 以此为基础进行下一步的风险评估。在实际工作中, 具体的资产分类方法可以根据具体的评估对象和要求, 由评估者灵活把握。根据资产的表现形式, 可将资产分为数据、 软件、硬件、 服务、 人员等类型表 1
28、列出了一种资产分类方法。 表 1 一种基于表现形式的资产分类 方法分 类示例数 据保存在信息媒介上的各种数据资料, 包括源代码、 数据库数据、 系统文档、 运行管理规程、 计划、 报告、 用户手册、 各类纸质的文档等软 件系统软件: 操作系统、 数据库管理系统、 语句包、 开发系统等应用软件: 办公软件、 数据库软件、 各类工具软件等源程序: 各种共享源代码、 自行或合作开发的各种代码等GB / T 2 0 9 8 4 一2 0 0 7表 1 ( 续 )分 类示例硬 件网络设备: 路由器、 网关、 交换机等计算机设备: 大型机、 小型机、 服务器、 工作站、 台式计算机、 便携计算机等存储设备
29、: 磁带机、 磁盘阵列、 磁带、 光盘、 软盘、 移动硬盘等传输线路: 光纤、 双纹线等保障设备: U P S 、 变电设备、 空调、 保险柜、 文件柜、 门禁、 消防设施等安全设备 防火墙、 人侵检测系统、 身份鉴别等其他: 打印机、 复印机、 扫描仪、 传真机等服 务信息服务: 对外依赖该系统开展的各类服务网络服务: 各种网络设备、 设施提供的网络连接服务办公服务: 为提高效率而开发的管理信息系统, 包括各种内部配置管理、 文件流转管理等服务人 员掌握重要信息和核心业务的人员, 如主机维护主管、 网络维护主管及应用项目经理等其 他企业形象、 客户关系等5 . 22 资产赋值5 . 221
30、保密性赋值 根据资产在保密性上的不同要求, 将其分为五个不同的等级, 分别对应资产在保密性上应达成的不同程度或者保密性缺失时对整个组织的影响。表 2提供了一种保密性赋值的参考。 表 2 资产保密性赋值表赋 值标 识定义口很 高包含组织最重要的秘密, 关系未来发展的前途命运, 对组织根本利益有着决定性的影响, 如果泄露会造成灾难性的损害4高包含组织的重要秘密, 其泄露会使组织的安全和利益遭受严重损害3中 等组织的一般性秘密, 其泄露会使组织的安全和利益受到损害2低仅能在组织内部或在组织某一部门内部公开的信息, 向外扩散有可能对组织的利益造成轻微损 害l很 低可对社会公开的信息, 公用的信息处理设
31、备和系统资源等5 . 2 . 22完整性赋值 根据资产在完整性 仁 的不同要求, 将其分为五个不同的等级, 分别对应资产在完整性上缺失时对整个组织的影响表3提供了一种完整性赋值的参考。 表 3 资产完整性赋值表赋 值标 识定义5很 高完整性价值非常关键, 未经授权的修改或破坏会对组织造成重大的或无法接受的影响, 对业务冲击重大 并可能造成严重的业务中断, 难以弥补4高完整性价值较高, 未经授权的修改或破坏会对组织造成重大影响, 对业务冲击严重, 较难弥补3中 等完整性价值中等, 未经授权的修改或破坏会对组织造成影响, 对业务冲击明显, 但可以弥补2低完整性价值较低, 未经授权的修改或破坏会对组
32、织造成轻微影响, 对业务冲击轻微, 容易弥补l很 低完整性价值非常低 未经授权的修改或破坏对组织造成的影响可以忽略, 对业务冲击可以忽 略GB / T2 0 9 8 4 一2 0 0 75 . 2 . 2 . 3 可用性赋值 根据资产在可用性上的不同要求, 将其分为五个不同的等级, 分别对应资产在可用性上应达成的不同程度。表 4 提供了一种可用性赋值的参考。 表 4资产可用性赋值 表赋值标 识定义5很高可用性价值非常高, 合法使用者对信息及信息系统的可用度达到年度 9 9 . 9 月以上, 或系统不允许中断4高可用性价值较高, 合法使用者对信息及信息系统的可用度达到每天 90%以上, 或系统允
33、许中断时间小于 1 0min3中等可用性价值中等, 合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上, 或系统允许中断时间小于3 omin2低可用性价值较低, 合法使用者对信息及信息系统的可用度在正常工作时间达到2 5 %以上, 或系统允许中断时间小于60 minl很 低可用性价值可以忽略, 合法使用者对信息及信息系统的可用度在正常工作时间低于25%5 . 22 . 4 资产重要性等级 资产价值应依据资产在保密性、 完整性和可用性上的赋值等级, 经过综合评定得出。综合评定方法可以根据自身的特点, 选择对资产保密性、 完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果
34、; 也可以根据资产保密性、 完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。加权方法可根据组织的业务特点确定。 本标准中, 为与上述安全属性的赋值相对应, 根据最终赋值将资产划分为五级, 级别越高表示资产越重要, 也可以根据组织的实际情况确定资产识别中的赋值依据和等级。表5中的资产等级划分表明了不同等级的重要性的综合描述。评估者可根据资产赋值结果, 确定重要资产的范围, 并主要围绕重要资产进行下一步的风险评估。 表 5资产等级及 含义描 述等 级标 识描述5很高非常重要, 其安全属性破坏后可能对组织造成非常严重的损失4高重要, 其安全属性破坏后可能对组织造成比较严重的损失3
35、中等比较重要, 其安全属性破坏后可能对组织造成中等程度的损失2低不太重要, 其安全属性破坏后可能对组织造成较低的损失1很 低不重要, 其安全属性破坏后对组织造成很小的损失, 甚至忽略不计5 . 3威胁识别5 . 31 威胁分类 威胁可以通过威胁主体、 资源、 动机、 途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机, 人为因素又可分为恶意和非恶意两种。环境因素包括自然界不可抗的因素和其他物理因素。威胁作用形式可以是对信息系统直接或间接的攻击, 在保密性、 完整性和可用性等方面造成损害; 也可能是偶发的或蓄意的事件 在对威胁进 行分类 前 , 应考虑威 胁的来 源 。
36、表 6提供 了一种 威胁来 源的分类方法GB/ T 2 0 9 8 4 一2 0 0 7表 6 威胁来源列表来源描述环境因素断电、 静电、 灰尘、 潮湿、 温度、 鼠蚁虫害、 电磁干扰、 洪灾、 火灾、 地震、 意外事故等环境危害或自然灾害, 以及软件、 硬件、 数据、 通讯线路等方面的故障人 为 因 素恶 意 人 员不满的或有预谋的内部人员对信息系统进行恶意破坏; 采用自主或内外勾结的方式盗窃机密信息或进行篡改, 获取利益外部人员利用信息系统的脆弱性, 对网络或系统的保密性、 完整性和可用性进行破坏, 以获取利益或炫耀能力非 恶 意 人 员内部人员由于缺乏责任心, 或者由于不关心或不专注,
37、或者没有遵循规章制度和操作流程而导致故障或信息损坏; 内部人员由于缺乏培训、 专业技能不足、 不具备岗位技能要求而导致信息系统故障或被攻击 对威胁进行分类的方式有多种, 针对上表的威胁来源, 可以根据其表现形式将威胁进行分类。表7提供了一种基于表现形式的威胁分类方法。 表 7 一种基子表现形式的威胁分类表种类描述威胁子类软硬件故障对业务实施或系统运行产生影响的设备硬件故障、 通讯链路中断、 系统本身或软件缺陷等问题设备硬件故障、 传输设备故障、 存储媒体故障、 系统软件故障、 应用软件故障、 数据库软件故障、 开发环竟故障等物理环境影响对信息系统正常运行造成影响的物理环境问题和 自然 灾 害断
38、电、 静电、 灰尘、 潮湿、 温度、 鼠蚁虫害、电磁干扰、 洪灾、 火灾、 地震等无作为或操作失误应该执行而没有执行相应的操作, 或无意执行了错 误 的 操 作维护错误、 操作失误等管理不到位安全管理无法落实或不到位, 从而破坏信息系统正 常 有 序 运 行管理制度和策略不完善、 管理规程缺失、职责不明确、 监督控管机制不健全等恶意代码故意在计算机系统上执行恶意任务的程序代码病毒、 特洛伊木马、 蠕虫、 陷门、 间谍软件、窃听软件等越 权 或槛 用通过采用一些措施, 超越自己的权限访问了本来无权访问的资源, 或者滥用自已的权限, 做出破坏信息系统的行为非授权访间网络资源、 非授权访问系统资源、
39、 滥用权限非正常修改系统配置或数据、 滥用权限泄露秘密信息等网 络 攻 击利用工具和技术通过网络对信息系统进行攻击和 人 侵网络探测和信息采集、 漏洞探测、 嗅探( 帐号、 口令、 权限等) 、 用户身份伪造和欺骗、用户或业务数据的窃取和破坏、 系统运行的控制和破坏等物 理 攻 击通过物理的接触造成对软件、 硬件、 数据的破坏物理接触、 物理破坏、 盗窃等泄 密信息泄露给不应了解的他人内部信息泄露、 外部信息泄露等篡 改非法修改信息, 破坏信息的完整性使系统的安全性降低或信息不可用篡改网络配置信息、 篡改系统配置信息、篡改安全配置信息、 篡改用户身份信息或业务数据信息等抵 赖不承认收到的信息和
40、所作的操作和交易原发抵赖、 接收抵赖、 第三方抵赖等5 . 3 . 2 威 胁赋值 判断威胁出现的频率是威胁赋值的重要内容, 评估者应根据经验和( 或) 有关的统计数据来进行判GB / T 2 0 9 8 4 一2 0 0 7断。在评估中, 需要综合考虑以下三个方面, 以形成在某种评估环境中各种威胁出现的频率: a)以往安全事件报告中出现过的威胁及其频率的统计; b)实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计; c ) 近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计, 以及发布的威胁 预警 。 可以对威胁出现的频率进行等级化处理, 不同等级分别代表威胁出现的频
41、率的高低。等级数值越大, 威胁出现的频率越高。 表 8 提供了威胁出现频率的一种赋值方法。在实际的评估中, 威胁频率的判断依据应在评估准备阶段根据历史统计或行业判断予以确定, 并得到被评估方的认可。 表 8威胁赋值表等 级标 识定义5很 高出现的频率很高( 或)1次/ 周) ; 或在大多数情况下几乎不可避免; 或可以证实经常发生过4高出现的频率较高( 或)1次/ 月) ; 或在大多数情况下很有可能会发生; 或可以证实多次发生 过3中 等出现的频率中等( 或1 次/ 半年) ; 或在某种情况下可能会发生; 或被证实曾经发生过2低出现的频率较小; 或一般不太可能发生; 或没有被证实发生过1很 低威
42、胁几乎不可能发生; 仅可能在非常罕见和例外的情况下发生5 . 4脆弱性识别5 . 4 . 1 脆弱性识别内容 脆弱性是资产本身存在的, 如果没有被相应的威胁利用, 单纯的脆弱性本身不会对资产造成损害。而且如果系统足够强健, 严重的威胁也不会导致安全事件发生, 并造成损失。即, 威胁总是要利用资产的脆弱性才可能造成危害。 资产的脆弱性具有隐蔽性, 有些脆弱性只有在一定条件和环境下才能显现, 这是脆弱性识别中最为困难的部分。不正确的、 起不到应有作用的或没有正确实施的安全措施本身就可能是一个脆弱性 脆弱性识别是风险评估中最重要的一个环节。脆弱性识别可以以资产为核心, 针对每一项需要保护的资产, 识
43、别可能被威胁利用的弱点, 并对脆弱性的严重程度进行评估; 也可以从物理、 网络、 系统、 应用等层次进行识别, 然后与资产、 威胁对应起来。脆弱性识别的依据可以是国际或国家安全标准, 也可以是行业规范、 应用流程的安全要求。对应用在不同环境中的相同的弱点, 其脆弱性严重程度是不同的, 评估者应从组织安全策略的角度考虑、 判断资产的脆弱性及其严重程度。信息系统所采用的协议、应用流程的完备与否、 与其他网络的互联等也应考虑在内。 脆弱性识别时的数据应来 自于资产的所有者、 使用者, 以及相关业务领域和软硬件方面的专业人员等。脆弱性识别所采用的方法主要有: 问卷调查、 工具检测、 人工核查、 文档查
44、阅、 渗透性测试等。 脆弱性识别主要从技术和管理两个方面进行, 技术脆弱性涉及物理层、 网络层、 系统层、 应用层等各个层面的安全问题。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面, 前者与具体技术活动相关, 后者与管理环境相关。 对不同的识别对象, 其脆弱性识别的具体要求应参照相应的技术或管理标准实施。例如, 对物理环境的脆弱性识别应按 G B / T9 3 6 1中的技术指标实施; 对操作系统、 数据库应按GB1 7 8 5 9 一1 9 9 9中的技术指标实施; 对网络、 系统、 应用等信息技术安全性的脆弱性识别应按 G B / T1 8 3 3 6 一2 。 。 1中的技术指
45、标实施; 对管理脆弱性识别方面应按 G B / T1 9 7 1 6 一2 0 o 5的要求对安全管理制度及其执行情况进行检查, 发现管理脆弱性和不足。表 9 提供了一种脆弱性识别内容的参考。GB/ T 2 0 9 8 4 一2 0 0 7表 9 脆弱性识别内容表类型识 别 对 象识别内容技 术 脆 弱 性物 理 环 境从机房场地、 机房防火、 机房供配电、 机房防静电、 机房接地与防雷、 电磁防护、 通信线路的保护、 机房区域防护、 机房设备管理等方面进行识别网 络 结 构从网络结构设计、 边界保护、 外部访问控制策略、 内部访问控制策略、 网络设备安全配置等方面进行识别系 统 软 件从补丁
46、安装、 物理保护、 用户帐号、 口令策略、 资源共享、 事件审计、 访问控制、 新系统配置、 注册表加固、 网络安全、 系统管理等方面进行识别应 用 中 间 件从协议安全、 交易完整性、 数据完整性等方面进行识别应 用 系 统从审计机制、 审计存储、 访问控制策略、 数据完整性、 通信、 鉴别机制、 密码保护等方面进行识别管 理 脆 弱 性技术管理从物理和环境安全、 通信与操作管理、 访问控制、 系统开发与维护、 业务连续性等方面进行识别组 织 管 理从安全策略、 组织安全、 资产分类与控制、 人员安全、 符合性等方面进行识别5 . 4 . 2脆弱性赋值 可以根据脆弱性对资产的暴露程度、 技术
47、实现的难易程度、 流行程度等, 采用等级方式对已识别的脆弱性的严重程度进行赋值。由于很多脆弱性反映的是同一方面的问题, 或可能造成相似的后果, 赋值时应综合考虑这些脆弱性, 以确定这一方面脆弱性的严重程度。 对某个资产, 其技术脆弱性的严重程度还受到组织管理脆弱性的影响。因此, 资产的脆弱性赋值还应参考技术管理和组织管理脆弱性的严重程度。 脆弱性严重程度可以进行等级化处理, 不同的等级分别代表资产脆弱性严重程度的高低。等级数值越大, 脆弱性严重程度越高。表 10 提供了脆弱性严重程度的一种赋值方法。 表 IQ脆 弱性严重程度狱值表等级标识定义5很高如果被威胁利用, 将对资产造成完全损害4高如果
48、被威胁利用, 将对资产造成重大损害3中 等如果被威胁利用, 将对资产造成一般损害2低如果被威胁利用, 将对资产造成较小损害1很 低如果被威胁利用, 将对资产造成的损害可以忽略5 . 5 已有安全措施确认 在识别脆弱性的同时, 评估人员应对已采取的安全措施的有效性进行确认安全措施的确认应评估其有效性, 即是否真正地降低了系统的脆弱性, 抵御了威胁。对有效的安全措施继续保持, 以避免不必要的工作和费用, 防止安全措施的重复实施。对确认为不适当的安全措施应核实是否应被取消或对其进行修正, 或用更合适的安全措施替代。 安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆
49、弱性导致安全事件发生的可能性, 如人侵检测系统; 保护性安全措施可以减少因安全事件发生后对组织或系统造成的影响。 已有安全措施确认与脆弱性识别存在一定的联系。一般来说, 安全措施的使用将减少系统技术或 l GB/ T 2 0 9 8 4 一 2 0 0 7管理上的脆弱性, 但安全措施确认并不需要和脆弱性识别过程那样具体到每个资产、 组件的脆弱性, 而是一类具体措施的集合, 为风险处理计划的制定提供依据和参考。5 . 6 风险分析5 . 6 . 1 风险计算原理 在完成了资产识别、 威胁识别、 脆弱性识别, 以及已有安全措施确认后, 将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能
50、性。综合安全事件所作用的资产价值及脆弱性的严重程度, 判断安全事件造成的损失对组织的影响, 即安全风险。本标准给出了风险计算原理, 以下面的范式形式化加以说明: 风险值=R ( A, T, V) 一R( L ( T, V ) , F ( I a , V a) ) 。 其中, R表示安全风险计算函数; A表示资产; T表示威胁; V表示脆弱性; Ia表示安全事件所作用的资产价值; Va 表示脆弱性严重程度; L表示威胁利用资产的脆弱性导致安全事件的可能性; F表示安全事件发生后造成的损失。有以下三个关键计算环节: a)计算安全事件发生的可能性 根据威胁出现频率及脆弱性的状况, 计算威胁利用脆弱性
