DB32T_1439信息安全风险评估实施规范.doc

ics 35.040 l 70 备案号：27548-2010 江苏省地方标准 db32 db32/t14392009 信息安全风险评估实施规范 implementation specification of risk assessment for information security 2009-08-26 发布2009-10-26 实施 江苏省质量技术监督局 发布 db32/t14392009 i 目 次 前 言. 引 言. 1 范围1 2 规范性引用文件1 3 术语和定义1 4 风险评估实施1 4.1 风险评估准备1 4.1.1 评估目的.1 4.1.2 确定评估范围.1 4.1.3 建立评估团队.1 4.1.4 前期系统调研.1 4.1.5 确定评估依据.1 4.1.6 制定评估方案.1 4.2 资产识别1 4.2.1 资产识别内容.2 4.2.2 资产赋值.2 4.3 威胁识别2 4.3.1 威胁识别内容.2 4.3.2 威胁赋值.2 4.4 脆弱性识别2 4.4.1 脆弱性识别内容2 4.4.2 脆弱性识别方式8 4.4.3 脆弱性赋值.8 4.5 已有安全措施确认8 4.6 风险分析8 4.7 风险评估文档记录8 附录 a（规范性性附录）信息安全风险评估报告.10 db32/t 14392009 前 言 信息安全风险评估是信息安全保障工作的基础性工作和重要环节，是信息安全等级保护制度建设 的重要科学方法之一。 本规范依据 gb/t 1.12000标准化工作导则 第 1 部分：标准的结构和编写规则和 gb/t 1.22002标准化工作导则 第 2 部分：标准中规范性技术要素内容的确定方法编写。 本规范附录 a 为规范性附录。 本规范由江苏省信息产业厅提出。 本规范起草单位：江苏省电子信息产品质量监督检验研究院（江苏省信息安全测评中心） 。 本规范起草人：吴兰、张影秋、黄申、薛凤鸣。 本规范由江苏省经济和信息化委员会归口。 db32/t 14392009 iii 引 言 脆弱性的识别是风险评估最重要的环节，对脆弱性识别的强度、粒度及深度将直接关系到风险评 估的准确性、有效性。gb/t 20984-2007信息安全技术 信息安全风险评估规范中对脆弱性的识别 只是给出了一个识别内容的框架参考，对具体的识别内容未做详细的规定。 此规范是对 gb/t 20984-2007信息安全技术 信息安全风险评估规范的细化和补充，本规范 的 4.2“资产识别” 、4.3“威胁识别” 、4.6“风险分析”执行的标准是 gb/t 20984-2007信息安全技 术 信息安全风险评估规范 。 本规范条款中所指的“风险评估” ，其含义均为“信息安全风险评估” 。 db32/t 14392009 1 信息安全风险评估实施技术规范 1 范围 本规范规定了信息安全风险评估实施技术规范的术语和定义、风险评估实施。 本规范适用于信息安全风险评估实施技术规范，与gb/t20984-2007配合使用。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有 的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方 研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 gb/t 209842007 信息安全技术 信息安全风险评估规范 3 术语和定义 gb/t209842007确立的术语和定义适用于本标准。 4 风险评估实施 4.1 风险评估准备 4.1.1 评估目的 按 gb/t209842007 中 5.1.2 的规定执行。 4.1.2 确定评估范围 4.1.2.1 在符合 gb/t 20984-2007 中 5.1.3 的基础上,应包含但不限于信息系统、组织和人员、安全 管理与操作实践及地理范围四个方面。 4.1.2.2 应至少识别信息系统的资产、威胁、脆弱性以及已有安全措施等要素。 4.1.2.3 确定与信息系统相关的组织人员以及相互关系。 4.1.2.4 确定对信息系统的安全管理与操作实践。 4.1.2.5 确定涉及信息系统评估的场所。 4.1.3 建立评估团队 按gb/t 209842007中5.1.4的规定执行。 4.1.4 前期系统调研 按 gb/t 209842007 中 5.1.5 的规定执行。 4.1.5 确定评估依据 按 gb/t 209842007 中 5.1.6 的规定执行。 4.1.6 制定评估方案 4.1.6.1 按 gb/t 209842007 中 5.1.7 制定评估方案。 4.1.6.2 将风险评估实施方案提交给最高管理者，对涉及评估的组织和人员进行培训，以明确有关人 员在风险评估活动中的任务。 4.2 资产识别 db32/t 14392009 2 4.2.1 资产识别内容 按gb/t 209842007中5.2.1的规定进行分类，填写资产清单（见表a.1）。识别内容至少包 括： a) 物理资产和地点； b) 网络和逻辑连接； c) 软件（操作系统和应用软件等）； d) 通过网络传送的数据流等。 4.2.2 资产赋值 按gb/t 209842007中5.2.2的规定执行。对风险评估的重要资产进行赋值，填写资产赋值表 （见表a.2）。 4.3 威胁识别 4.3.1 威胁识别内容 按gb/t 209842007中5.3.1的规定执行。对威胁进行识别，填写威胁列表（见表a.3）。 4.3.2 威胁赋值 按gb/t 209842007中5.3.2的规定执行。在威胁识别的基础上，对每个关键资产或关键资产类别 构建威胁场景图，排除不可能的“资产威胁”对，填写威胁赋值表（见表a.4）。 4.4 脆弱性识别 4.4.1 脆弱性识别内容 脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理环境、网络结构、主机系统、 应用系统、数据及备份恢复方面；管理脆弱性涉及技术管理和组织管理方面。 4.4.1.1 物理环境 4.4.1.1.1 物理位置的选择 机房和办公场地的选择。 4.4.1.1.2 物理访问控制 a） 机房出入口的控制； b） 进入机房的来访人员的控制； c） 对机房区域的其他管理。 4.4.1.1.3 防盗窃和防破坏 a)主要设备的放置地点； b)设备的固定及标记； c)线缆的铺设； d)介质分类标识； e)设备或存储介质带出工作场所时的控制措施； f)机房的监控、防盗报警系统。 4.4.1.1.4 接地与防雷 a） 机房建筑避雷装置的设置； db32/t 14392009 3 b） 防雷保安器（单元）的设置； c） 机房交流电源地线的设置； d） 线路防雷的设置。 4.4.1.1.5 防火 a） 机房火灾消防系统的设置； b） 机房及相关的工作房间和辅助房采用的建筑材料； c） 机房采取的防火措施； d） 防火设备的有效期。 4.4.1.1.6 防水和防潮 a)水管安装及保护措施； b)防雨措施； c)防水的检测和报警； d)防止机房内水蒸气结露和地下积水的转移与渗透措施。 4.4.1.1.7 防静电 机房及主要设备采用的防静电措施。 4.4.1.1.8 温湿度控制 机房温、湿度控制措施。 4.4.1.1.9 供配电 a） 计算机系统供电与其他供电的关系； b） 机房供电稳压和过压防护设备的配置； c） 机房备用电力供应； d） 主要设备在断电情况下的电力供应。 4.4.1.1.10 电磁防护 a)对外界电磁干扰和设备寄生耦合干扰的防护； b)对电源线和通信线缆干扰的防护； c)对关键设备和磁介质电磁防护； d)机房的电磁屏蔽。 4.4.1.1.11 通信线缆的保护 对光缆、电缆、网络线缆的保护、维护措施。 4.4.1.2 网络系统 4.4.1.2.1 网络结构安全 a)网络拓扑设计的安全性； b)网络地址的划分的合理性、可扩展性、规范性； c)网络边界连接的安全性。 4.4.1.2.2 网络访问控制 db32/t 14392009 4 a)网络边界部署的访问控制设备的控制功能； b)数据流的允许/拒绝访问的能力，控制粒度； c)对进出网络的信息内容的过滤，对应用层协议命令级的控制； d)在会话处于非活跃一定时间或会话结束后的网络连接控制； e)网络最大流量数及网络连接数的限制； f)对重要网段防止地址欺骗的技术手段； g)允许或拒绝用户对受控系统进行资源访问的控制粒度； h)具有拨号访问权限的用户数量的限制。 4.4.1.2.3 网络安全审计 a)对网络系统中的网络设备运行状况、网络流量、用户行为的审计情况； b)安全审计记录的生成、分析、保护。 4.4.1.2.4 边界完整性检查 a)对非授权设备接入内部网络行为的检查； b)对内部网络用户非授权接入外部网络行为的检查。 4.4.1.2.5 网络入侵防范 a)对网络攻击行为的监视； b)对网络攻击行为的响应； c)网络入侵检测设备的配置与更新。 4.4.1.2.6 恶意代码防范 a)在网络边界处对恶意代码的防范； b)恶意代码库的升级和检测系统的更新。 4.4.1.2.7 网络设备管理 a)对登录网络设备的用户身份鉴别机制； b)系统漏洞的弥补情况和补丁的安装情况； c)配置文件的备份情况； d)访问控制表的配置情况； e)管理员口令设置和管理情况以及口令文件所采取的存储形式。 4.4.1.3 主机系统 4.4.1.3.1 身份鉴别 a)操作系统和数据库系统登录用户身份标识； b)操作系统和数据库系统登录用户鉴别机制； c)操作系统和数据库系统管理用户口令策略； d)登录失败处理功能； e)鉴别警示功能。 4.4.1.3.2 访问控制 a)操作系统和数据库系统的访问控制策略； db32/t 14392009 5 b)对重要信息资源的强制访问控制。 4.4.1.3.3 安全审计 a)对操作系统和数据库系统中的重要用户行为、系统资源的异常使用和重要系统命令的使用等 系统内重要的安全相关事件的审计情况； b)安全审计记录的生成、分析、保护。 4.4.1.3.4 历史及临时信息保护 a)操作系统和数据库系统用户鉴别等历史及临时信息的保护； b)系统内的文件、目录和数据库记录等历史及临时信息资源的保护。 4.4.1.3.5 入侵防范 a)对重要服务器入侵行为的检测； b)对重要程序的完整性检测； c)注册表类控制检测。 4.4.1.3.6 恶意代码防范 a)防恶意代码软件安装，以及防恶意代码软件版本和恶意代码库的更新； b)防恶意代码软件的管理。 4.4.1.3.7 资源控制 a)终端登录的限制； b)登录终端的操作超时的控制； c)对重要服务器的监视； d)对单个用户对系统资源的最大或最小使用限度的限制； e)对系统的服务水平降低到预先规定的最小值进行的检测和报警。 4.4.1.4 应用系统 4.4.1.4.1 身份鉴别 a)应用系统登录用户身份标识； b)应用系统登录用户鉴别机制； c)应用系统管理用户口令策略； d)登录失败处理功能； e)鉴别警示功能。 4.4.1.4.2 访问控制 a)用户对文件、数据库表等客体的访问控制； b)访问控制的覆盖范围； c)访问控制策略配置的控制； d)默认帐户的访问权限限制； e)不同帐户所需最小权限及相互制约关系的控制； f)对重要信息资源敏感标记的设置； db32/t 14392009 6 g)有敏感标记重要信息资源操作的控制。 4.4.1.4.3 安全审计 a)应用系统重要安全事件的审计情况； b)安全审计记录的生成、分析、保护。 4.4.1.4.4 历史及临时信息保护 a)应用系统用户鉴别等历史及临时信息的保护； b)应用系统内的文件、目录和数据库记录等资源的保护。 4.4.1.4.5 通信完整性 通信过程中数据的完整性。 4.4.1.4.6 通信保密性 通信过程中数据的保密性。 4.4.1.4.7 抗抵赖 a)数据原发抗抵赖； b)数据接受抗抵赖。 4.4.1.4.8 软件容错 a)数据有效性检验； b)软件自动保护功能。 4.4.1.4.9 资源控制 a)系统的最大并发会话连接数的限制； b)单个帐户的多重并发会话的限制； c)对一个时间段内可能的并发会话连接数的限制； d)对一个访问帐户或一个请求进程占用的资源分配最大限额和最小限额的限制； e)系统服务水平降低到预先规定的最小值进行的检测和报警； f)分配系统资源的优先级设定功能。 4.4.1.4.10 系统配置 a)系统端口配置； b)系统服务和协议配置； c)系统漏洞检测； 4.4.1.5 数据及备份恢复 4.4.1.5.1 数据完整性 a)系统管理数据、鉴别信息和重要业务数据在传输过程中的完整性； b)系统管理数据、鉴别信息和重要业务数据在存储过程中完整性。 4.4.1.5.2 数据保密性 a)系统管理数据、鉴别信息和重要业务数据传输保密性； b)系统管理数据、鉴别信息和重要业务数据存储保密性。 4.4.1.5.3 备份和恢复 db32/t 14392009 7 a)操作系统、数据库系统、应用系统、网络设备的备份机制； b)操作系统、数据库系统、应用系统、网络设备的恢复功能； 4.4.1.6 技术管理 4.4.1.6.1 物理和环境安全 a)安全区域； b)设备安全； c)一般控制。 4.4.1.6.2 通信与操作管理 a） 操作规程和职责； b） 系统规划和验收； c） 防范恶意软件； d） 内务管理； e） 网络管理； f） 存储介质处置和安全； g） 信息和软件的交换。 4.4.1.6.3 访问控制 a） 访问控制的业务要求； b） 用户访问管理； c） 用户职责； d） 网络访问控制； e） 操作系统访问控制； f） 应用访问控制； g） 对系统访问和使用的监督； h） 移动设备和远程工作。 4.4.1.6.4 系统开发与维护 a）系统的安全要求； b）应用系统的安全； c）密码控制； d）系统文件的安全； e）开发和支持过程的安全； f）业务连续性管理。 4.4.1.7 组织管理 4.4.1.7.1 安全策略 信息安全策略。 4.4.1.7.2 组织安全 db32/t 14392009 8 a）信息安全基础架构； b）第三方访问的安全性； c）外包。 4.4.1.7.3 资产可核查性 资产分类与控制。 4.4.1.7.4 人员安全 a）岗位设定和人力资源的安全； b）用户培训。 4.4.1.7.5 符合性 a） 符合法律要求； b） 安全策略和技术符合性的评审； c） 系统审核考虑。 4.4.2 脆弱性识别方式 4.4.2.1 问卷调查 通过调查问卷来进行脆弱性识别和分析。 4.4.2.2 工具检测 使用漏洞检测工具(或定制的脚本)检测脆弱性。 4.4.2.3 人工核查 通过设备、系统或应用的检查列表，对脆弱性进行人工检查。 4.4.2.4 文档查阅 通过查阅系统的相关文档来进行脆弱性识别和分析。 4.4.2.5 渗透性测试 在确保被检测系统安全稳定运行的前提下，对目标网络、系统及应用的安全性进行深入的探测， 发现系统脆弱环节，并进行一定程度的验证。渗透测试分为现场渗透性测试和远程渗透性测试。 4.4.3 脆弱性赋值 按gb/t 209842007中5.4.2的规定执行，在对脆弱性进行识别的基础上，对脆弱性进行赋值，填 写脆弱性赋值表（见表a.5）。 4.5 已有安全措施确认 按gb/t 209842007第5.5的规定执行，对已有安全措施进行识别，填写已有安全措施列表 （见表a.6）。 4.6 风险分析 按 gb/t 209842007 中 5.6 的规定执行。 4.7 风险评估文档记录 风险评估的相关文档应在发布前得到批准，其更改和现行修订状态是可识别的，防止作废文档的 使用。 风险评估文档至少应包括以下部分： db32/t 14392009 9 a) 风险评估报告（格式见附录 a）； b) 风险控制建议； c) 评估过程文档。 db32/t 14392009 10 附 录 a （标准性附录） 信息安全风险评估报告格式 信息安全风险评估报告 报告编号： 评估系统名称： 系统建设单位： 风险评风险评估机构估机构 年年 月月 日日 db32/t 14392009 报告编号： 11 声 明 1.1. 评估报告无授权签字人批准签字无效。评估报告无授权签字人批准签字无效。 2.2. 评估报告涂改或部分复印无效。评估报告涂改或部分复印无效。 3.3. 对本报告如有异议，请于收到报告之日起十五日内向风险评估机构提出。对本报告如有异议，请于收到报告之日起十五日内向风险评估机构提出。 单位名称：单位名称：风险评估机构 单位地址：单位地址： 电电 话：话： 传传 真：真： 邮邮 编：编： 邮邮 件：件： db32/t14392009 报告编号： 12 评 估 报 告 评估系统名称评估系统名称 系统建设单位系统建设单位 建设单位地址建设单位地址 评估委托单位评估委托单位 评估日期评估日期 评估地点评估地点 评估依据评估依据 评估所依据的国际标准、国家标准、行业标准；行业主管机 关的业务系统的要求和制度；系统安全保护等级要求；系统互 联单位的安全要求；系统本身的实时性或性能要求等。 评估说明评估说明 描述系统的建设情况，是否为涉密系统，何时运行，评估 形式等情况。 评估结论评估结论 描述系统评估后所得出的安全状况，所存在的安全风险情 况。 编编 制制年 月 日 审审 核核年 月 日 批批 准准年 月 日 备备 注注 db32/t 14392009 报告编号： 13 信息安全风险汇总表 序号序号信息安全风险描述及分析信息安全风险描述及分析风险等级风险等级 风险等级划分说明。 db32/t14392009 报告编号： 14 风险控制建议汇总表 序号序号风险控制建议内容风险控制建议内容 db32/t 14392009 报告编号： 15 1 评估概述 1.1 项目简介 描述本次风险评估的项目背景、项目目标。 1.2 评估范围 描述本次风险评估的范围（包括信息系统范围、组织结构和人员范围、安全 管理和操作的范围、地理范围等）。 1.3 评估组织工作 描述本次风险评估工作的组织结构（含评估人员构成）、工作原则和采取的 保密措施。 2 评估方法和过程 2.1 评估依据 评估所依据的国际标准、国家标准、行业标准；行业主管机关的业务系统的 要求和制度；系统安全保护等级要求；系统互联单位的安全要求；系统本身的实时 性或性能要求等。 2.2 评估流程及方法 描述本次风险评估的实施流程、工作方法及阶段工作内容。明确所使用的脆 弱性扫描工具及其他所使用的工具。 db32/t14392009 报告编号： 16 3 系统概况 3.1 系统描述 描述系统的构成情况、网络结构与网络环境、系统边界、主要功能等，提供 网络拓扑图。 3.2 业务功能 描述系统所提供的业务功能。 3.3 安全等级保护定级情况 描述系统的安全等级保护定级情况。 4 资产识别 4.1 资产分类识别 根据资产的表现形式，可将资产分为数据、软件、硬件、服务、人员等类型。 填写表 1资产清单。 表 a.1 资产清单 序号名称型号数量应用描述其他 4.2 重要资产赋值 描述资产根据保密性、完整性、可用性进行赋值的评价尺度，以及依据此三 性进行重要性评定的规则。在资产识别的基础上，列出本次风险评估的重要资产， 填写表 2资产赋值表。 表 a.2 资产赋值表 db32/t 14392009 报告编号： 17 序号名称型号应用描述 保密性赋 值 完整性赋 值 可用性赋 值 重要性赋 值 5 威胁识别 5.1 威胁分类识别 对威胁来源（环境、人为）、威胁的种类方式进行分类识别，填写表 3威胁列 表。 表 a.3 威胁列表 序号威胁种类威胁方式描述 5.2 威胁赋值 对威胁发生的频率进行分析，描述威胁的赋值规则，对威胁赋值，填写表 4威胁赋值表。 表 a.4 威胁赋值表 资产名称 威胁种类 6 脆弱性识别 按照识别对识别对象、象、识别结识别结果、脆弱性分析果、脆弱性分析分别描述以下各方面的脆弱性检测结 果、严重程度。 db32/t14392009 报告编号： 18 6.1 脆弱性分析 6.1.1 物理环境脆弱性 从物理位置的选择、物理访问控制、防盗窃和防破坏、接地和防雷、防火、防 水和防潮、防静电、温湿度控制、供配电