分册7-业务平台安全风险自评估.doc

中国电信增值业务平台安全管理办法 试行 中国电信增值业务平台安全管理办法 试行 业务平台安全自评估业务平台安全自评估 中国电信集团公司网络运行维护事业部 二 一 年七月 目录目录 一 概述 1 1 1目标 1 1 2术语和定义 1 1 3风险评估参考依据 1 二 业务平台安全自评估原则 2 三 自评估方法 2 3 1资产收集 2 3 2工具扫描 3 3 3脚本采集 4 3 4人工检查 4 3 5人员访谈 4 3 6调查问卷 4 3 7文档查阅 5 3 8渗透测试 5 四 业务平台安全自评估实施步骤 5 4 1确定自评估计划 5 4 2确定自评估小组人员 5 4 3评估信息获取 5 4 4分析与计算风险 6 4 5生成报告 6 五 附录 7 5 1附录 1 安全风险分析计算方法 7 5 2风险矩阵测量法 7 5 2 1威胁分级计算法 8 5 2 2风险综合评价法 9 5 3附录 2 XX 平台风险现状分析报告 模板 10 5 4附录 3 XX 平台风险评估报告 11 5 5附录 4 业务平台安全不可接受风险处置计划 12 中国电信增值业务平台安全管理办法 分册 7 业务平台安全风险自评估 1 1 一一 概述概述 1 1 目标目标 本文件是业务平台相关部门进行业务平台安全自评估的重要指导依据 依照 本文件的要求 业务平台能够基于自身力量 及时识别业务平台安全风险 通过 对风险的可能性和影响进行评估 从而最终及时有效地处置风险 最后起到加强 中国电信业务平台安全保障能力 提高整体的网络与业务平台安全水平 保证业 务系统的正常运营 提高服务质量的作用 1 2 术语和定义术语和定义 业务平台安全风险业务平台安全风险 某种特定的威胁利用资产或一组资产的脆弱点 导致 这些资产受损或破坏的潜在可能 信息资产信息资产 通过信息化建设积累起来的信息系统 信息 生产或服务能力 人员能力和赢得的信誉等 资产价值资产价值 资产是有价值的 资产价值可通过资产的敏感程度 重要程度 或关键程度来表示 威胁威胁 一个单位的信息资产的安全可能受到的侵害 威胁由多种属性来刻 画 威胁的主体 威胁源 能力 资源 动机 途径 可能性和后果等 脆弱性脆弱性 信息资产及其安全措施在安全方面的不足和弱点 脆弱性也常常 被称为漏洞 1 3 风险评估参考依据风险评估参考依据 电信网和互联网安全风险评估实施指南 ISO IEC 27005 2008 信息技术 安全技术 信息安全风险管理 ISO IEC13335 3 1998 IT 安全管理技术 中国电信增值业务平台安全管理办法 分册 7 业务平台安全风险自评估 2 2 二二 业务平台安全自评估原则业务平台安全自评估原则 标准性原则 风险自评估工作的标准性原则 指遵循业务平台相关标准开展 安全风险自评估工作 可控性原则在评估过程中 保证参与评估的人员 使用的技术和工具 评估 过程都是可控的 评估人员多样原则除业务平台安全相关责任人 运维人员以外 尽可能获取 其他相关部门的支持和配合 以确保自评估工作能够尽可能以风险为中心 以业务为导向 最小影响原则从管理层面和技术层面 将自评估工作对相关系统正常运行可 能造成的影响降低到最低限度 与第三方评估相结合原则自评估工作通常面临评估人员知识 技能不足的现状 其中评估的关键环节 如渗透测试等可考虑与第三方评估相结合 三三 自评估方法自评估方法 评估方法是指在安全评估中检测评估对象的方式方法 主要有以下几种方法 具体操作可参见 业务平台安全操作手册 试行 即将印发 的具体步骤 按照网络层 主机数据库 应用安全 机房安全 安全管理等方面的内容 对业 务平台进行分层次的安全检查和自评估 3 1 资产收集资产收集 资产收集的目标是要从系统的角度分析资产彼此之间的相互关联 作用等 以备后面的风险评估工作所用 而非资产清点 可以使用如下资产信息登记表来 收集资产信息并初步说明资产彼此之间的关系 中国电信增值业务平台安全管理办法 分册 7 业务平台安全风险自评估 3 3 资产收集与整理既是安全评估的基础 本身又可以看成是一种评估方法 同资产收集与整理既是安全评估的基础 本身又可以看成是一种评估方法 同 时 通过资产的收集整理 又可以帮助各个部门梳理内部信息资产和职责关系 时 通过资产的收集整理 又可以帮助各个部门梳理内部信息资产和职责关系 其重要性不可小视 其重要性不可小视 3 2 工具扫描工具扫描 工具评估是利用各种具有不同侧重面的软 硬件专业安全漏洞扫描工具 对 评估对象 例如 网络结构 网络设备 服务器主机 数据库 进行安全隐患扫 描的方法 通过工具扫描 可以较快速地了解各业务系统当前的网络 主机 操 作系统 数据库 应用程序 的安全漏洞 扫描工具有很多 有很多还是免费的 比如 NESSUS WEBSCAN NMAP X SCAN 等工具 同时市面上还存在多款商业 化的漏洞扫描工具 工具扫描的难点在于安全扫描策略的定制及工具选择 不当 的安全扫描策略可能导致低效无用的扫描 中国电信没有的服务也开启了扫描策 略 或宕机 业务中断等风险 针对不同系统 版本扫描项有相应要求 同时我们也需要认识到 仅仅通过工具扫描并不能有效评估业务系统的安全 现状 并且由于各种扫描工具自身的不足 往往需要结合多种工具进行综合的分 析 另外 工具扫描只是安全评估的一种方式并且是很基础的一种方式 为了有 效获得中国电信安全现状 其他评估方式不可获缺 中国电信增值业务平台安全管理办法 分册 7 业务平台安全风险自评估 4 4 3 3 脚本采集脚本采集 工具扫描因为其固定的模板 适用的范围 特定的运行环境 以及它的缺乏 智能性等诸多因素 不能全面的发现和评估所有弱点 具有一定的局限性 而脚 本采集与工具扫描相结合 可以完成扫描工具无法完成的事情 从而得出全面的 客观的评估结果 脚本采集主要针对重要的主机进行检查 采用自编脚本进行采集 主要采集 内容包括主机基本信息 安全配置文件 日志文件 开放服务端口等 3 4 人工检查人工检查 工具扫描 脚本采集都是很重要的搜集信息了解现状的工具 除此之外 通 过人工的配置检查 可以更为全面的 客观的评估现实情况 人工检查依赖于服务人员的技术水平和以往经验 这也是衡量一个服务机构 能力的很重要的一个指标 3 5 人员访谈人员访谈 人员访谈可以基于业务 管理和 IT 技术应用的实际状况 结合专家的经验 对组织业务流程 组织架构 管理体系 信息系统 现有防护体系等进行深入的 了解和多层次 多角度的分析 并通过相关人员的沟通 确认 充分 客观 准 确的获得组织在技术 管理方面存在业务安全风险 通常 人员访谈仅限于对组织内相关领导 系统开发管理维护人员 有时也 对普通员工进行抽样访谈 3 6 调查问卷调查问卷 根据组织部门 岗位 人员等具体情况 设计相应的问卷进行抽样调查 可 以较为客观 准确的了解组织在安全管理方面的情况 调查问卷与顾问访谈是相辅相承的 调查问卷是大范围调研的一种形式 顾 问访问是针对特定对象更深入的调研形式 中国电信增值业务平台安全管理办法 分册 7 业务平台安全风险自评估 5 5 3 7 文档查阅文档查阅 通过收集 查阅现有安全管理制度 流程以及记录 了解中国电信安全现状 对安全管理现状进行评估 3 8 渗透测试渗透测试 渗透测试可以通过第三方机构实施 在授权许可和可控制的范围内 通过真 实模拟黑客使用的工具 攻击方法来对业务系统进行非破坏性质的安全测试 以 对业务系统的安全现状 安全保护程度进行评估 渗透测试的目标是最大限度的发现业务应用系统存在的可被外部攻击所利用 的漏洞 弱点 以及验证安全保护措施的有效性 同时 将侵入系统并获取机密 信息的过程和细节记录下来并呈现给用户 渗透测试的对象通常是重要的应用系统 核心服务器及重要的网络设备等 四四 业务平台安全自评估实施步骤业务平台安全自评估实施步骤 4 1 确定自评估计划确定自评估计划 各业务平台安全责任人根据业务平台特点 制定自评估计划 自评估计划中 需明确自评估的范围 侧重点 技术 管理 频度 4 2 确定自评估小组人员确定自评估小组人员 确定自评估计划后 业务平台安全责任人基于业务平台资产 业务特点 组 件风险自评估小组 小组成员尽可能覆盖主要的业务流程和 IT 流程 4 3 评估信息获取评估信息获取 业务平台安全责任人组织自评估小组人员对评估过程中的重要要素 如资产 威胁 脆弱性进行识别 其中 中国电信增值业务平台安全管理办法 分册 7 业务平台安全风险自评估 6 6 资产识别包括对主要的信息 硬件 软件 组织 业务平台 拓扑结构等进 行信息收集 分类 统计 形成资产列表 确定重要资产列表 安全威胁分析主要针对已识别的系统重要资产 从系统合法用户 系统非法 用户 系统组件和物理环境四种威胁来源 分析重要资产面临的威胁 对威胁的 严重性 影响 进行分级标识 脆弱性识别主要针对信息系统重要资产面临的威胁来源 从管理和技术层面 识别系统的安全薄弱点 物理层包括机房与设施安全 机房控制 环境与人员安 全 网络层主要对网络拓扑结构 网络隔离与边界控制 主要网络设备安全配置 网络通信与传输安全等进行分析 系统层评估的对象是针对重要服务器操作系统 及部分终端操作系统 数据库服务器系统 应用层从典型应用系统的信息流出发 评估信息处理流程中的各类安全机制 管理层主要针对现有的业务流程 策略文 档进行评审 从管理制度 安全组织 人员安全 运行控制 风险评估 安全事 件处理等方面评估系统的保障措施 综合上述各个层面的评估结果 对系统各主 要资产的脆弱性被威胁利用的可能性和影响性进行分析 为安全风险评估提供重 要依据 根据对系统资产识别 威胁分析 脆弱性评估的情况及收集的数据 定性和 定量地评估系统安全现状及风险状况 评价现有保障措施的运行效能及对风险的 抵御程度 4 4 分析与计算风险分析与计算风险 通过对资产 脆弱性和威胁的赋值 最终形成对业务平台造成的影响与威胁 发生 或脆弱点被利用 发生的可能性 两者将决定最终的风险值 最终计算方 法可参考附录 1 安全风险分析计算方法 4 5 生成报告生成报告 自评估小组通过可能性和影响最终掌握业务平台的风险值后 应结合业务平 台的需求和处置成本 确定业务平台安全不可接受风险 并最终提交 XX 平台 风险现状分析报告 XX 平台风险评估报告 业务平台安全不可接受风 险处置计划 等文档 具体可参考附录部分的模板 中国电信增值业务平台安全管理办法 分册 7 业务平台安全风险自评估 7 7 五五 附录附录 5 1 附录附录 1 安全风险分析计算方法安全风险分析计算方法 对资产的风险综合判断方法可以分为结构化的风险计算方式 非结构化的风 险计算方式两种 评估者可以根据实际威胁分析的结果 资产划分的粒度在评估 实践中综合使用 结构化的风险计算方式 对风险所涉及的指标进行详细分析 得出风险结果 其结论详细 非结构化的风险计算方式通常都是建立在通用的威胁列表和脆弱性 列表之上 用户根据类表提供的线索对资产面临的威胁和威胁可利用的脆弱性进 行选择 从而确定风险 本附录介绍了几种用于判断资产风险的判断方法 这几种方法在使用中各有 侧重点 评估者可以根据组织的需求和实际情况 选择相应的判断方法和过程 5 2 风险矩阵测量法风险矩阵测量法 这种方法的特点是事先建立资产价值 威胁等级和脆弱性等级的一个对应矩 阵 预先将风险等级进行了确定 然后根据不同资产的赋值从矩阵中确定不同的 风险 使用本方法需要首先确定资产 威胁和脆弱性的赋值 要完成这些赋值 需要组织内部的管理人员 技术人员 后勤人员等方面的配合 资产风险判别矩 阵如表 A 1 所示 中国电信增值业务平台安全管理办法 分册 7 业务平台安全风险自评估 8 8 威胁级别低中高 脆弱性级别低中高低中高低中高 0012123234 1123234345 资产值2234345456 3345456567 4456567678 表 A 1 资产风险判别矩阵 对于每一资产的风险 都将考虑资产价值 威胁等级和脆弱性等级 例如 如果资产值为 3 威胁等级为 高 脆弱性为 低 查表可知风险值为 5 如果资产值为 2 威胁为 低 脆弱性为 高 则风险值为 4 由上表可以 推知 风险矩阵会随着资产值的增加 威胁等级的增加和脆弱性等级的增加而扩 大 当一个资产是由若干个子资产构成时 可以先分别计算子资产所面临的风险 然后计算总值 例如 系统 S 有三种资产 A1 A2 A3 并存在两种威胁 T1 T2 设资产 A1 的值为 3 A2 的值为 2 A3 的值为 4 如果对于 A1 和 T1 威胁发生的可能性为 低 脆弱性带来的损失是 中 则频率值为 1 则 A1 的风险为 4 同样 设 A2 的威胁可能性为 中 脆弱性带来损失为 高 得风险值为 6 对每种资产和相应威胁计算其总资产风险值 总系统分数 ST A1T A2T A3T 这样可以比较不同系统来建立优先权 并在同一系统内 区分各资产 5 2 1威胁分级计算法威胁分级计算法 这种方法是直接考虑威胁 威胁对资产产生的影响以及威胁发生的可能性来 中国电信增值业务平台安全管理办法 分册 7 业务平台安全风险自评估 9 9 确定风险 使用这种方法时 首先确定威胁对资产的影响 可用等级来表示 识别威胁 的过程可以通过两种方法完成 一是准备威胁列表 让系统所有者去选择相应的 资产的威胁 或由评估团队的人员识别相关的威胁 进行分析和归类 然后评价威胁发生的可能性 在确定威胁的影响值和威胁发生的可能性之后 计算风险值 风险的计算方法 可以是影响值与可能性之积 也可以是之和 具 体算法由用户来定 只要满足是增函数即可 在本例中 将威胁的影响值确定为 5 个等级 威胁发生的可能性也确定为 5 个等级 而风险的测量采用以上两值的 乘积 具体计算如表 A 2 所示 资产威胁描述影响 资产 值威胁发生可能性 c 风险测度风险等级划分 威胁 A52102 威胁 B2483 威胁 C35151 威胁 D1335 威胁 E4144 某个资 产 威胁 F2483 表 A 2 威胁分级计算法 经过表 A 2 的细分 风险被分为 25 个等级 在具体评估中 可以根据这种方 法明确表示 资产 威胁 风险 的对应关系 5 2 2风险综合评价法风险综合评价法 这种方法中风险由威胁产生的可能性 威胁对资产的影响程度以及已经存在 的控制措施三个方面来确定 与风险矩阵法和威胁分级法不同 本方法将控制措 施的采用引入风险的评价之中 在这种方法中 识别威胁的类型是很重要的 从资产的识别开始 接着识别 威胁以及威胁产生的可能性 然后对威胁造成的影响进行分析 在这里对威胁的 中国电信增值业务平台安全管理办法 分册 7 业务平台安全风险自评估 1010 影响进行了分类型的考虑 比如对人员的影响 对财产的影响 对业务的影响 在考虑这些影响时 是在假定不存在控制措施的情况下的影响 将以上各值相加 添入数值表中 比如 本例中将威胁分为的可能性分为 5 级 1 5 威胁的影响 也分为 5 级 1 5 在威胁发生的可能性和威胁的影响确定后 计算总的影响值 本例中采用加法 方法可由用户在使用过程中确定 最后分析是否采用了能够减小威胁的控制措施 这种控制措施包括从内部建 立的和从外部保障的 并确定它们的有效性 对其赋值 本例中将控制措施的有 效性有小到大分为 5 个等级 1 5 在此基础上根据公式求出总值 即风险值 已采用的控制措施威胁类 型 可能 性 对人的影 响 对财产 的影响 对业务 的影响 影响值 内部外部 风险 度量 威胁 A41128224 表 A 3 风险评估表 也可以首先建立通用风险矩阵和通用控制措施矩阵 然后在其中选择可能会 面临的风险以及相应的控制措施 5 3 附录附录 2 XX 平台风险现状分析报告平台