中海信托信息安全风险评估及整改项目技术方案.doc

北京天融信公司 第 32 页 目目 录录 1概述概述 35 1 1项目背景 35 1 2项目目标 35 1 3项目内容 36 1 4项目设计原则 37 1 5项目范围 38 1 6文件和法律法规 38 2天融信对本项目的理解天融信对本项目的理解 39 2 1对项目目标的理解 39 2 2对项目特点的理解 39 3项目总体方法与流程项目总体方法与流程 41 3 1概述 41 3 2天融信风险评估方法 44 3 3本项目采用的安全风险评估方法 45 3 4技术难点和关键突破 48 4信息资产调查和赋值信息资产调查和赋值 50 4 1信息资产概述 50 4 2信息资产分类 50 4 3保护对象框架 56 4 4资产识别过程 58 4 5信息资产赋值 59 4 6赋值工作操作方法指南 64 5IT 设备评估设备评估 66 5 1评估的过程 66 5 2评估的方法 68 5 3评估的内容 70 5 4评估的风险和应对 72 6网络设备安全风险评估网络设备安全风险评估 73 6 1评估过程描述 74 6 2评估的方法 77 6 3评估的内容 78 6 4评估的风险和应对 81 7应用系统和管理安全风险评估应用系统和管理安全风险评估 81 7 1评估过程描述 84 7 2评估方法 46 7 3评估内容 47 7 4风险及应对措施 60 8安全增强与加固安全增强与加固 61 8 1安全加固内容 62 8 2安全加固流程 64 9应急响应服务应急响应服务 65 9 1服务目标 65 北京天融信公司 第 33 页 9 2服务特点 66 9 3一般实施流程 66 9 4流程说明 66 10安全解决方案安全解决方案 68 10 1解决方案设计概述 68 10 2安全需求分析 68 10 3安全解决方案设计 69 11项目组织结构项目组织结构 71 11 1现场实施阶段 项目组织结构 71 11 2项目角色和责任 71 12项目进度计划项目进度计划 74 12 1项目主要过程时间安排 74 13项目启动和准备阶段项目启动和准备阶段 75 13 1概述 75 13 2参加人员 75 13 3过程描述 75 13 4需要中海信托配合的工作 75 13 5输出 76 14现场实施阶段现场实施阶段 76 14 1资产调查 76 14 2安全评估 包括漏洞扫描 人工检查等 77 14 3渗透测试 79 14 4安全加固 80 14 5应急响应服务 81 15数据分析及报告阶段数据分析及报告阶段 83 15 1概述 83 15 2过程描述 83 15 3需要中海信托配合的工作 84 15 4输出 84 16项目收尾阶段项目收尾阶段 84 16 1概述 84 16 2过程描述 85 16 3需要中海信托配合的工作 85 16 4输出 85 17售后服务售后服务 85 17 1安全服务技术支持服务 85 17 2安全服务跟踪服务 85 17 3天融信安全服务业务关键能力 86 18项目管理及沟通办法项目管理及沟通办法 87 18 1天融信工程项目管理方法 87 18 2天融信项目管理遵循的标准 88 18 3项目沟通办法 88 19项目风险管理及保密控制项目风险管理及保密控制 92 北京天融信公司 第 34 页 19 1项目风险分析及规避措施 92 19 2项目的保密控制 94 20天融信信息安全服务业务介绍天融信信息安全服务业务介绍 95 20 1安全服务组织结构图 95 20 2安全服务业务范围 96 21项目实施质量保证项目实施质量保证 98 21 1项目执行人员的质量职责 98 21 2天融信安全服务质量保证体系严格贯彻以下过程 98 22项目验收方式项目验收方式 101 22 1验收方法确认 102 22 2验收程序 103 22 3版本控制 105 22 4交付件归档办法 106 23项目分项报价表项目分项报价表 107 北京天融信公司 第 35 页 1 概述概述 1 1项目背景项目背景 近年来 随着信息化技术越来越深入和广泛的应用 信息安全的风险日 益加大 国家和各行业主管机构都对防范信息安全风险非常重视 国家信息 化领导小组颁发的 信息安全等级化保障体系 系列标准文件对我国信息安 全保障工作做出原则性战略性的规定 要求坚持积极防御 综合防范的方针 全面提高信息安全防护能力 重点保障基础信息网络和重要信息系统安全 经过五年左右的努力 基本形成国家信息安全保障体系 2006 年起 银监 会发布了 商业银行内部控制指引 并进一步发出了关于信托投资公司加 强内部控制和风险控制的要求 2008 年 7 月 国家财政部和证监会 银监 会 保监会等联合发布了 企业内部控制基本规范 对企业的内部控制提 出了较为具体的要求 为进一步保障银联网络的边界安全 降低信息安全风险 中海信托投资 有限公司拟于 2009 年在业界知名互联网安全服务公司的协助下 对中海信 托信息系统实施安全风险管理服务 包括安全技术和管理评估 互联网应 用渗透测试 安全体系建设咨询 安全加固服务 紧急安全事件响应等服务 为中海信托的核心业务系统稳定运行提供安全保障 1 2项目目标项目目标 通过实施整体信息安全风险评估服务 包括安全技术和管理评估 互联 网应用渗透测试 安全体系建设咨询 安全加固服务 紧急安全事件响应等 服务 提高中海信托信息系统的安全性和可靠性 并在紧急情况下对提供紧 急安全事件响应支持 控制并降低来自于互联网的安全风险 通过本次对中海信托网络安全服务项目 可以达到以下主要目标 通过安全风险评估 得到中海信托的整体安全现状 北京天融信公司 第 36 页 通过渗透测试和安全技术评估 分析中海信托信息系统存在的各类 技术性安全缺陷 并进行整改 通过管理体系评估 发现中海信托在风险管理 安全策略和内部控 制等方面存在的问题并加以改进 通过安全加固和策略体系改进 全方位的提升中海信托的信息安全 管理水平 1 3项目内容项目内容 本次整体信息安全风险评估项目的内容可以分为几个部分 1 3 1信息安全风险评估信息安全风险评估 1 信息资产调查 调查和统计中海信托信息系统所包含的信息资产 包含物理环境 终端 网络设备 主机 应用软件 业务系统 数据 人员 标准流程等 明确 其现有状况 配置情况和管理情况 如主机系统 需要明确其平台 版本 补丁等基本情况外 还需明确开放端口 服务和进程等配置管理信息 并对 所有信息资产按照一定标准进行资产赋值 现有安全系统调查工作包括明确现有安全设备 包括防火墙 防病毒系 统 入侵检测系统 安全扫描系统 帐号口令集中管理系统 域控制服务器 等 的部署情况和使用情况 同时了解在建网络与信息安全建设项目 使之 服从统一部署原则 2 安全风险评估 根据中海信托现有的安全标准规范和业务对安全的要求 分析主机 网 络及安全设备面临的威胁 评估现有系统的存在的弱点 明确所有信息系统 面临的安全风险和隐患 北京天融信公司 第 37 页 1 3 2应用系统渗透测试应用系统渗透测试 通过黑客或白客方式对指定的 Internet 业务系统进行渗透攻击 发现该 系统存在的安全隐患 并提出解决措施 1 3 3信息系统安全加固信息系统安全加固 安全加固和优化服务是实现客户信息系统安全的关键环节 通过使用该 项服务 将在中海信托信息系统的网络层 主机层和应用层等层次建立符合 中海信托安全需求的安全状态 并以此作为保证中海信托信息系统安全的起 点 1 3 4安全策略体系整改安全策略体系整改 通过对现有安全体系策略制度的审阅 解读和差距性分析 对现有安全 管理制度和内控制度进行改善 使之能够完全符合当前国内相关控制标准的 要求 并向相关的国际化标准看齐 1 4项目设计原则项目设计原则 符合性原则 符合国家等级化保护体系指出的积极防御 综合防范 的方针和等级保护的原则 标准性原则 服务方案的设计与实施应依据国内或国际的相关标准 进行 规范性原则 服务工作中的过程和文档 具有很好的规范性 可以 便于项目的跟踪和控制 可控性原则 方法和过程在双方认可的范围之内 安全服务的进度 要按照进度表进度的安排 保证甲方对于服务工作的可控性 整体性原则 安全服务的范围和内容整体全面 包括安全涉及的各 个层面 应用 系统 网络 管理制度 人员等 避免由于遗漏 北京天融信公司 第 38 页 造成未来的安全隐患 最小影响原则 安全服务中的工作尽可能小的影响系统和网络的正 常运行 不能对现网的运行和业务的正常提供产生显著影响 保密性原则 对过程数据和结果数据严格保密 未经授权不得泄露 给任何单位和个人 不得利用此数据进行任何侵害甲方的行为 否 则甲方有权追究乙方的责任 甲方有权要求乙方在服务结束之后销 毁所有和本项目有关的数据和文档 1 5项目范围项目范围 本项目选择中海信托的核心业务系统作为服务对象 1 6文件和法律法规文件和法律法规 国内政策与标准 国家信息化领导小组关于加强信息安全保障工作的意见 中办 发 2003 27 号 关于开展信息安全风险评估工作的意见 2006 年 1 月国家网络与 信息安全协调小组 关于印发 信息安全风险评估指南 的通知 2006 年 2 月国信办 国信办综 2006 9 号 商业银行内部控制指引 2006 年 12 月 银监会 企业内部控制基本规范 2008 年 7 月 财政部 证监会 审计署 银监会 保监会 国际政策与标准 ISO IEC 27001 信息安全管理体系标准 COSO COBIT 内控和信息技术控制框架 ISO IEC TR 13335 Series Guidelines for the management of IT Security CMITS 1996 2001 NIST SP800 Series Computer Security Special Publications 1991 北京天融信公司 第 39 页 2005 2 天融信对本项目的理解天融信对本项目的理解 2 1对项目目标的理解对项目目标的理解 安全风险评估工作是中海信托信息安全体系运作体系中风险管理的重要 组成部分 通过周期性的安全风险评估工作发现公司的安全现状 为公司安 全建设和安全加固提供数据基础 综上所述 本期项目的目标是 通过安全评估的技术手段 尽可能发现和定位中海信托各信息系统存在通过安全评估的技术手段 尽可能发现和定位中海信托各信息系统存在 的安全风险 为安全加固 系统整改及应急响应提供依据和技术指导 降低的安全风险 为安全加固 系统整改及应急响应提供依据和技术指导 降低 中海信托整体的安全风险 中海信托整体的安全风险 2 2对项目特点的理解对项目特点的理解 通过上面对本项目目标的分析 本期深度安全风险评估工作存在如下特 点 要求高 由于中海信托业务的快速增长 对信息安全的要求越来越高 所以要比以前采用更加规范的项目管理要求 本次评估的技术深度和广度 都要强于以前的项目及同行业的 要求 多个系统的应用分析 采用的技术标准 是当前最新 最及时的 相比历史评估工作 和同行业类似工作的技术要求是最高的 技术与管理并重 由于面临的外部威胁的压力和影响力比以往要大很多 所以本 次项目更加侧重于通过外部渗透测试的方法 发现从外部的威 胁和影响 尤其是从外部 Internet 进行渗透测试 北京天融信公司 第 40 页 本次项目渗透测试涉及的系统范围更广 而且更深地分析通过 信任关系 发生的渗透 从而发现 木桶原理 中的 最短 那块板 更加侧重于应用系统自身特点的安全评估 综合分析业务和管理层 数据流 角色权限 应用层 数 据库 中间件 系统层 主机操作系统 网络层 网络架 构 网络设备 提出的安全风险更加有针对性 中海信托各应用系统有不同的特点 在本次项目中要结合不同 部门 不同系统特点进行相应的应用系统安全评估 更加考虑安全加固和应急响应体系建设的可行性 本次项目在实施过程中安排了时间 对发现的问题进行及时地 讲解和答疑 对发现的问题提出的解决方案 和系统管理员及时沟通 并协 助进行讲解和培训 对不能直接解决的 提出综合解决 降低 风险的方案 北京天融信公司 第 41 页 3 项目总体方法与流程项目总体方法与流程 3 1概述概述 风险管理 Risk Management 旨在对潜在机会和不利影响进行有效管理 的文化 程序和结构 风险管理是良好管理的一个组成部分 它用一种将损失 减小到最低程度而使商业机会达到最大限度的方式 对与机构的任何活动 功 能和过程相关的风险进行环境建立 鉴定 分析 评价 处理 监控和信息交 流 风险管理过程 Risk Management Process 是指系统地将管理方针 程 序和结构应用于风险的环境建立 鉴定 分析 评价 处理 监控和信息交流 等过程任务 在信息安全领域 同样适用于风险管理的理念和方法论 在当前信息技 术得到普遍应用 并且很多成为关键业务系统的环境下 企业或组织的信息安 全风险很大 而且普遍缺乏有效的控制和管理 但过度的风险管理 无疑会导 致大量的金钱和人力的花费 以及工作效率的严重降低 所以 如何适度和有 效地进行信息安全的风险的管理和控制 成为了一项迫切和重要的任务 下面的描述即是阐明风险评估过程的理念和方法论 以作为天融信安全 服务的标准方法论和理论基础 指导和规范天融信的安全风险安全服务工作 3 1 1安全模型安全模型参考参考 在澳大利亚和新西兰国家标准 风险管理Risk Management AS NZS 4360 1999 中描述了风险管理过程 如下图所示 北京天融信公司 第 42 页 在国际标准 ISO13335 中 安全模型如下图所示 特点是以风险为核心 在国际标准中 安全模型如下图所示 其特点是强调了模型的对抗性和 动态性 北京天融信公司 第 43 页 可以看出 安全模型中的核心要素都是资产 弱点 威胁 风险 安全 措施等 各要素之间的关系也基本类似 只是描述和关注的角度不同 3 1 2风险评估标准风险评估标准 风险评估过程中主要选择的规范和标准包括 中海信托技术规范和标准 国内政策与标准 国家信息化领导小组关于加强信息安全保障工作的意见 中办 发 2003 27 号 关于开展信息安全风险评估工作的意见 2006 年 1 月国家网络与 信息安全协调小组 关于印发 信息安全风险评估指南 的通知 2006 年 2 月国信办 国信办综 2006 9 号 国际政策与标准 ISO IEC 27001 ISO IEC TR 13335 Series Guidelines for the management of IT Security CMITS 1996 2001 NIST SP800 Series Computer Security Special Publications 1991 2005 北京天融信公司 第 44 页 ISO IEC 15408 1999 信息技术 安全技术 信息技术安全性评估准 则 简称 CC 3 2天融信风险评估方法天融信风险评估方法 3 2 1风险评估模型风险评估模型 在安全评估服务中 天融信参照上述两个安全模型 根据自己的工程实 践 建立了自己的风险评估模型 描述如下 资资产产拥拥有有者者 资资产产拥拥有有者者资资产产拥拥有有者者 威威胁胁来来源源 威威胁胁来来源源威威胁胁来来源源 价价值值价价值值 信信息息资资产产信信息息资资产产 安安全全风风险险 严严重重程程度度严严重重程程度度 弱弱点点弱弱点点 可可能能性性可可能能性性 威威胁胁威威胁胁 资资产产拥拥有有者者 资资产产拥拥有有者者资资产产拥拥有有者者 威威胁胁来来源源 威威胁胁来来源源威威胁胁来来源源 价价值值价价值值 信信息息资资产产信信息息资资产产 安安全全风风险险 严严重重程程度度严严重重程程度度 弱弱点点弱弱点点 可可能能性性可可能能性性 威威胁胁威威胁胁 在天融信的风险评估模型中 主要包含信息资产 弱点 脆弱性 威胁和 风险四个要素 每个要素有各自的属性 信息资产的属性是资产价值 弱点的 属性是弱点被威胁利用后对资产带来的影响的严重程度 威胁的属性是威胁发 生的可能性 风险的属性是风险发生的路径 因此 天融信风险评估的过程是 a 对信息资产进行识别 并对资产赋值 b 识别信息资产的脆弱性 弱点 漏洞 并对弱点的严重程度赋值 c 对威胁进行分析 并对威胁发生的可能性赋值 d 综合分析资产价值 资产的脆弱性和威胁发生的可能性 得到信息资产 的风险发生的路径和级别 并对风险进行处置 选择合适的控制措施 北京天融信公司 第 45 页 3 2 2总体工作流程图总体工作流程图 根据安全风险评估模型 天融信安全风险评估的总体工作流程如下图 在评估过程中首先要进行全网的资产调查 识别的内容包括 信息设 备 应用系统 网络环境 组织结构及物理环境 然后进行应用系统安全目 标的识别和分析 以及通过安全评估的 业务系统评估 渗透测试 网 络架构评估 IT 设备弱点评估 应用安全评估 安全管理评估 物理安全评估 各项内容获取 安全现状 包括 安全威胁 安全弱 点 最后通过各系统 子系统的安全目标和其 安全现状 安全弱点 的 对比分析 得到安全现状和解决方案 3 3本项目采用的安全风险评估方法本项目采用的安全风险评估方法 本次项目由于侧重点于技术问题的发现 并指导今后的安全加固和系统 技术整改等技术工作 根据本次项目的特点 准备采用如下三种安全风险评估 的方法 主要针对非重点系统 重点系统网络类 重点系统计算类 3 3 1非重点系统的非重点系统的 IT 设备弱点评估设备弱点评估 如下图所示 北京天融信公司 第 46 页 本评估主要目标是为 IT 设备的弱点提供安全加固的指导和依据 主要涉 及 主机系统弱点评估 网络设备弱点评估 安全设备弱点评估 主机系统弱点评估采用人工现场检查和工具扫描两种方式 网络设备弱 点评估和安全设备弱点评估 对能够导出配置信息 并配置信息可识别分析的 采用后台人工分析方式 对不能导出配置信息 或配置信息不可识别分析的 采用人工现场检查方式 评估的结果 是体现各单点资产的弱点状况 以及综合的统计分析报告 主要为指导单点设备的安全加固工作 3 3 2网络类重点系统的安全评估网络类重点系统的安全评估 如下图所示 网络类重点系统是公司主要承载各业务的基础平台 其评估的目标不仅 是发现现存系统的问题 指导安全加固和系统整改的工作和依据 而且还要根 北京天融信公司 第 47 页 据业务发展需要 为网络建设提供安全保障的规划依据 本安全评估包含 IT 设备弱点评估 网络架构安全评估和渗透测试 其中 IT 设备弱点评估和前面的一致 网络架构安全评估包括 网络现状安全合理性分析以及随业务发展需要 的网络安全需求分析 主要采用的方法是 后台分析 对网络拓扑 相关技术 文档 访问控制等配置信息分析 现场设备检查 对网络设备或网管系统的 安全状况查看 系统管理员的顾问访谈 网络现状存在的问题 网络安全事 件 业务发展对网络的影响及假设 主管领导的顾问访谈 业务发展对网络 安全的要求 渗透测试 主要采用嗅探及入侵的手法 分析从外部越权进入本系统的 路径和可能性 以及可越权访问接入本网络系统的系统范围和影响 注 如无 特殊需要 不采用 DOS 等恶意攻击手段 本评估的结果 除体现单个资产的弱点状况 指导安全加固外 还可为 系统整改 划分安全域以及未来网络规划提供参考 同时由于公司涉及网络类 系统之间是有强的关联 最后要综合分析各网络类系统和应用系统的关联性 设计全网的网络安全解决方案建议 3 3 3应用计算类重点系统的安全评估应用计算类重点系统的安全评估 如下图所示 北京天融信公司 第 48 页 应用计算类重点系统是公司各独立的业务单元 包括完整的主机 网络 应用各项内容 其评估的目标是从深度上 业务管理层 应用层 到广度上系统层 主机操作系统 网 络层 网络架构 网络设备 提出全面的安全风险分析报告 本安全评估包含 IT 设备弱点评估 网络架构安全评估 应用系统安 全评估和渗透测试 其中 IT 设备弱点评估和前面一致 网络架构安全评估主要从网络结构上分析其应用系统安全域划分的合理 性及访问控制策略的符合性 具体方法和前面一致 应用系统安全评估 主要包括 对业务逻辑和数据流的安全分析 对应 用平台的安全分析 主要方法是 后台分析 对业务系统设计 运行相关技术 文档 现场设备检查 对应用平台和数据库进行安全状况查看 源代码评估 对部分关键流程的代码进行分析 系统管理员的顾问访谈 现状存在的问 题 安全事件 业务发展的影响及假设 渗透测试 主要采用入侵和角色提升的手法 分析从外部越权侵入本系 统的路径和可能性 以及模拟不同用户角色提升权限 进行数据篡改或越权访 问的可能性分析 本评估的结果 除体现单个资产的弱点状况 指导安全加固外 重点为 系统整改 安全域划分以及系统开发提供参考 3 4技术难点和关键突破技术难点和关键突破 在对中海信托进行安全风险评估的过程中 由于其规模庞大 信息系统 复杂 业务系统的特性和安全属性存在巨大差异 因此对于评估标准的选择 以及评估成果的适用性都提出了巨大的挑战 3 4 1评估指标的定制评估指标的定制 面临困难 安全没有定制化的适用的安全指标 造成评估结果不可信面临困难 安全没有定制化的适用的安全指标 造成评估结果不可信 一般在安全评估时 评估服务提供者因为在评估前并不熟悉和理解被评 估方的业务特性和安全特性 所以不能定制非常适用的评估标准指标 也就 北京天融信公司 第 49 页 是说没有非常适用 反映被评估对象特性的评估标准 一般都采用国际或国 家标准 虽然国际或国家标准适用于所有信息系统 但其适用广泛性原因 评估 标准比较笼统 不反映行业特性和企业特性 这样 因为缺乏适用的评估标 准 造成的评估结果可用性差 也缺乏针对性 不能反映业务特性和行业特 性 尤其是如果服务提供者对客户首次评估 存在评估质量较低的风险 这 是评估服务业务一个多年存在的难题 很难解决 通常情况下 评估质量取 决于评估服务提供者和评估顾问的经验是否丰富 是否非常熟悉被评估者的 业务特性和行业特性 解决方法 在评估前设计行业安全评估指标 并在评估开始阶段尽可能解决方法 在评估前设计行业安全评估指标 并在评估开始阶段尽可能 的定制的定制 能否准确定制行业安全评估指标 即行业评估标准是评估项目能否成功 的关键环节之一 它对评估结果的适用性和真实性起着关键作用 在作评估前 我们根据多年对不同行业的丰富评估经验和深刻理解 根 据不同的行业业务特性和安全要求特性的理解 总结出反映行业特性的安全 要求 设计出针对不同行业的安全对策指标体系 再细化成不同行业的安全 评估指标 3 4 2强调评估成果的适用性强调评估成果的适用性 面临困难 评估成果和建议难以实施 技术和管理难以有效融合 缺乏面临困难 评估成果和建议难以实施 技术和管理难以有效融合 缺乏 抗打击能力和可控性抗打击能力和可控性 信息安全问题包含管理方面问题 技术方面问题以及两者的交叉 它从 来都不是静态的 随着组织的策略 组织架构 业务流程和操作流程的改变 而改变 中海信托现有的安全防护措施大多属于静态的单点技术防护 单纯 部署安全产品是一种静态的解决办法 单纯防范黑客入侵和病毒感染更是是 片面的 一旦单点防护措施被突破 绕过或失效 整个安全保障将会失效 威胁将影响到整个信息系统 评估成果中解决方案在设计过程中需要系统化 的全面考虑 避免单点考虑 形成系统化措施 北京天融信公司 第 50 页 解决方案 强调多重深度保障和抗打击能力 强调评估成果的可用性解决方案 强调多重深度保障和抗打击能力 强调评估成果的可用性 27 号文件提出 坚持积极防御 综合防范的方针 美国国家安全战 略 中指出 国家的关键基础设施的 这些关键功能遭到的任何破坏或操纵 必须控制在历时短 频率小 可控 地域上可隔离以及对利益损害最小这样 一个规模上 两者都强调了抗打击能力和可控性 这就要求采用多层保护 的深度防御策略 实现安全管理和安全技术的紧密结合 防止单点突破 天 融信在输出评估结果时 会将管理手段和安全技术紧密结合 充分吸收业务 特性 建立一个适用性强 可行性强并具有多重深度保障手段的防护网络 4 信息资产调查和赋值信息资产调查和赋值 4 1信息资产概述信息资产概述 资产是企业 机构直接赋予了价值因而需要保护的东西资产是企业 机构直接赋予了价值因而需要保护的东西 它可能是以多 种形式存在 有无形的 有有形的 有硬件 有软件 有文档 代码 也有服 务 企业形象等 它们分别具有不同的价值属性和存在特点 存在的弱点 面 临的威胁 需要进行的保护和安全控制都各不相同 为此 有必要对企业 机 构中的信息资产进行科学识别 以便于进行后期的信息资产抽样 制定风险评 估策略 分析安全功能需求等活动 虽然信息资产具有非常广泛的含义 但这里将信息资产定义如下 信息资产是指组织的信息系统 其提供的服务以及处理的数据 信息资产是指组织的信息系统 其提供的服务以及处理的数据 4 2信息资产分类信息资产分类 参照 ISO 27001 对信息资产的描述和定义 结合安全评估的经验 将信 息资产按照下面的方法进行分类 类别类别解释 示例 网络设备网络设备一台或一组互备的网络设备 包括网络设备中的硬件 IOS 配置文件数据及其提供的网络服务 包括路由器 交换机 北京天融信公司 第 51 页 RAS 等 防火墙 IDS 等安全设备除外 服务器服务器一台或一组服务器 包括服务器硬件 运行于其上的 OS 通用 应用 服务 数据库 磁盘阵列等 工作站工作站客户端用机 个人用机等 安全设备安全设备作为安全用途的硬件和软件 如 防火墙 IDS AV 等 存储设备存储设备提供存储用途的硬件和软件 如 磁盘阵列等 业务系统业务系统指组织为其应用而开发或购买的各类应用软件及其提供的业务 服务 应用平台软件应用平台软件 主要是指提供通用服务的各种平台系统 包括 数据库 WWW Mail FTP DNS 以及专有的中间件产品等 数据及文档数据及文档主要指存在于电子媒介或纸制的各种数据和资料 包括数据库 数据 存放于硬盘上的文件 代码 财务数据及书面报告等 组织和人员组织和人员指和安全相关的组织和人员 包括各级安全组织 安全人员 各级管理人员 网管员 系统管理员 业务操作人员 第三方 人员等 物理环境物理环境指支持 IT 系统运行的基础物理设施 如 机房 空调 UPS 监控器等 4 2 1网络设备网络设备 网络设备是指构成信息系统网络传输环境的设备 软件和介质 包括路 由器 交换机 通信终端和网关以及网络设备控制台等硬件设施和软件系统 为了更清晰地区别资产的安全属性 网络设备类资产不包括防火墙 VPN 网 络入侵检测等网络安全产品 4 2 2服务器服务器 服务器是指信息系统中承载业务系统和软件的计算环境 包括大型机 小型机 Unix 服务器 Windows 服务器 移动计算设备 应用加密机和磁盘阵 列等计算设备硬件及其操作系统 数据库 除此之外 行业特殊的设备 例如 银行的 ATM 等 也属于主机系统 同一台主机系统 安装两种或以上操作系统 主要针对工作站 移动计 北京天融信公司 第 52 页 算设备 并均能接入到网络中的 应视为多项主机系统信息资产 4 2 3工作站工作站 工作站是指信息系统中承载业务系统软件客户端软件的计算环境和 OA 系 统中个人用机 同一台主机系统 安装两种或以上操作系统 主要针对工作站 移动计 算设备 并均能接入到网络中的 应视为多项主机系统信息资产 4 2 4安全设备安全设备 安全设备主要指在信息系统中用作网络安全保护用途的硬件设施和软件 系统 包括 防火墙 VPN 网络入侵检测 网闸 防病毒系统以及相关系统 的控制台软硬件设施 4 2 5存储设备存储设备 存储设备主要指在信息系统中用作数据存储用途的硬件设施和软件系统 并均能接入到网络中的信息资产 包括 DAS NAS SAN 等软硬件设施 4 2 6业务系统业务系统 业务系统主要指为业务生产 管理支撑及办公等业务需求提供服务的软 件系统 此类资产在信息资产中占有非常重要的地位 本项目所指的业务系统 是指独立应用 运作的系统 例如短消息业务系统 MISC 系统 办公自动化 系统 管理信息系统等 网管系统等 业务系统属于需要重点评估 保护的对 象 业务系统作为独立的资产存在的同时 对于其他资产又存在如下关系 作为作为 网络设备 服务器 工作站 安全设备 存储设备网络设备 服务器 工作站 安全设备 存储设备 资产的属性资产的属性 之一列出 在其资产赋值时 作为考虑的因素 之一列出 在其资产赋值时 作为考虑的因素 北京天融信公司 第 53 页 4 2 7应用平台软件应用平台软件 主要是指提供通用服务的各种平台系统 包括 数据库 WWW Mail FTP DNS 以及专有的中间件产品等 通常将其所代表的安全属 性落实到如下部分来体现 应用平台软件作为应用平台软件作为 服务器 工作站 安全设备 存储设备服务器 工作站 安全设备 存储设备 资产的属资产的属 性之一列出 在进行资产赋值和弱点的时候 作为考虑的因素 性之一列出 在进行资产赋值和弱点的时候 作为考虑的因素 4 2 8数据及文档数据及文档 数据及文档主要指存在于电子媒介或纸制的各种数据和资料 包括源代 码 数据库数据 业务数据 客户数据 各种数据资料 系统文档 运行管理 规程 计划 报告 用户手册等 数据及文档资产在信息资产中占有非常重要 的地位 通常作为企业知识产权 竞争优势 商业秘密的载体 属于需要重点 评估 保护的对象 通常 数据及文档类资产需要保护的安全属性是机密性 例如 公司的 财务信息和薪酬数据就是属于高度机密性的数据 但是 完整性的重要性会随 着机密性的提高而提高 企业内部对于数据类资产的分类方法通常根据数据的敏感性 Sensitivity 来进行 与机密性非常类似 例如 下表是常用的一种数据 分类方法 简称解释 举例 公开Public不需要任何保密机制和措施 可以公开使用 例如产 品发表新闻等 内部Internal公司内部员工或文档所属部门使用 或文档涉及的公 司使用 例如合同等 秘密Private由和项目相关公司和客户公司成员使用 机密Confidential只有在文档中指定的人员可使用 文档的保管要在规 定的时间内受到控制 绝密Secret非文档的拟订者或文档的所有者及管理者 其他指定 人员在使用文档后迅速的按要求销毁 北京天融信公司 第 54 页 但是 由于数据及文档数量巨大 且对其分类存在巨大的偏差和困难 通常将其所代表的安全属性落实到如下部分来体现 作为作为 服务器 工作站 存储设备服务器 工作站 存储设备 资产的属性之一列出 在进行资产资产的属性之一列出 在进行资产 赋值和弱点及威胁分析的时候 作为考虑的因素 赋值和弱点及威胁分析的时候 作为考虑的因素 作为作为 组织和人员组织和人员 资产的属性之一列出 在进行弱点及威胁分析的时资产的属性之一列出 在进行弱点及威胁分析的时 候 作为考虑的因素 候 作为考虑的因素 4 2 9组织和人员组织和人员 主要指企业与信息相关的人员和组织 包括各级安全组织 安全人员 各级管理人员 网管员 系统管理员 业务操作人员 第三方人员等与被评估 信息系统相关人员和组织 组织和人员作为独立的资产存在进行识别 但不对其进行资产赋值 对 其安全性因素的考虑如下 作为作为 业务系统 网络设备 服务器 工作站 安全设备 存储设备业务系统 网络设备 服务器 工作站 安全设备 存储设备 资产的属性之一列出 资产的属性之一列出 4 2 10物理环境物理环境 主要指支持信息系统运行的环境的非 IT 类的设备 主要包括机房 UPS 空调 保险柜 文件柜 门禁 消防设施等 此处一般属于物理安全的问题 主要的设备一般集中在机房内 所以评 估时应重点考虑机房提供的环境安全 物理环境与其他资产存在如下关系 物理位置作为物理位置作为 业务系统 网络设备 服务器 工作站 安全设备 存业务系统 网络设备 服务器 工作站 安全设备 存 储设备储设备 资产的属性之一列出 在其弱点及威胁评估时 作为考虑的因资产的属性之一列出 在其弱点及威胁评估时 作为考虑的因 素 素 北京天融信公司 第 55 页 4 2 11信息资产分类整体图信息资产分类整体图 4 2 12信息资产调查表信息资产调查表 属性属性描述描述 资产名称在一个业务系统中不能重名 资产编号全局唯一 资产类型资产的类别属性包括服务器 工作站 网络设备 安全设备等 资产子类型子类型是对类型的进一步说明 例如网络设备中的路由器 交换 机等 操作系统类型设备所承载的系统的类型 例如包括 windows2000 windows2003 hp unix aix solaris 等 操作系统版本号各类操作系统的版本 例如 solaris2 8 8 0 等 操作系统补丁各类操作系统的安全补丁信息 应用软件平台应用系统所需的应用软件 例如 WEB J2EE 等 应用平台软件版本应用软件所对应的相应版本 应用平台软件补丁应用软件厂商发布的安全补丁 设备型号网络 服务器 工作站等的硬件设备型号 设备工作方式硬件 系统之间的工作方式 例如热备 冷备 负载均衡等 用途信息资产的主要功能 资产所在地理位置信息资产所处的地域 机房和机柜等 资产所在业务系统和 部门 信息资产所属的业务系统名称和业务系统所属的部门名称 网络设备服务器 工作站安全设备 存储设备 组织和人员 业务系统 北京天融信公司 第 56 页 资产责任人信息资产在登记过程中的责任人 资产维护人维护信息资产的人员名称 资产安全三性安全属性 机密性 完整性和可用性 资产创建时间信息资产入网的时间 资产最后修改时间信息资产功能修改 人员变换等信息更换的最后时间 资产最后修改人信息资产功能修改 人员变换等信息更换的修改人员名称 4 3保护对象框架保护对象框架 一般来说 信息系统的资产数量十分庞大 为了更好的研究其计算机安 全问题 还需要从庞大的信息资产中提炼出保护对象 保护对象框架是指以结构化的方法表达信息系统的框架模型 所谓结构 化是指通过特定的结构将问题拆分成子问题的迭代方法 例如 鱼刺图 或 问题树 结构化方法包括以下几条基本原则 充分覆盖 所有子问题的总和必须覆盖原问题 如果不能充分覆盖 那么解决问题 的方法就可能出现遗漏 严重影响本方法的可行性 互不重叠 所有子问题都不允许出现重复 类似以下的情况不应出现在一个框架中 两个不同的子问题其实是同一个子问题的两种表述 某一个子问题其实是另外两个问题或多个问题的合并 不可再细分 所有子问题都必须细分到不能再被细分 当一个问题经过框架分析后 所有不可再细分的子问题构成了一个 框 架 保护对象的主要作用为 1 有助于信息资产识别的全面性 在列举信息资产时 保护对象框架有助 于识别者系统的进行思考 2 从资产安全估价到区域的安全性赋值 有助于降低风险分析的难度 同 时确保风险分析的有效性 北京天融信公司 第 57 页 4 3 1保护对象框架内容保护对象框架内容 保护对象框架主要包括计算区域 网络及基础设施 边界 支撑性基础 设施四部分 计算区域还可作为下一级保护对象 向下细分为下一级计算区域 网络及基础设施 边界 支撑性基础设施 1 计算区域 计算区域是指由相同功能集合在一起 安全价值相近 且面临相似的威 胁来源的一组信息系统组成 同一计算区域内的信息资产在安全性上具有较强的同质性 计算区域还 可以按照安全性能进一步细分 直至到安全性完全同质 2 网络及基础设施 网络及基础设施是指相同功能集合在一起 安全价值相近 且面临相似 的威胁来源的一组网络系统组成 通常包括路由器 交换机和防火墙等 提供网路服务的局域网和广域网 3 边界 边界是指两个区域或两组区域之间的隔离功能集 边界是一组功能集合 包括访问控制 身份认证等 4 支撑性基础设施 支撑性基础设施是指在区域内提供安全保障功能的功能集 支撑性基础 设施是一组功能集合 包括入侵检测 审计及计算机病毒防护等 4 3 2保护对象和信息资产保护对象和信息资产 保护对象框架就是信息系统的真实模型 计算区域 网络与基础设施作 为保护对象框架的两类基本元素 分别对应了不同信息资产的集合 计算区域 对应信息资产 通常包括 工作站 存储设备 服务器 安 全设备 不具有访问控制及边界隔离功能 当计算区域作为一级保护对 象框架时 应按照保护对象框架的思路向下继续分解 网络与基础设施 对应信息资产 通常包括 网络设备 安全设备 具 北京天融信公司 第 58 页 有访问控制及边界隔离功能 边界 对应信息资产 通常包括 网络设备 具有访问控制及边界隔离的 功能模块 安全设备 具有访问控制及边界隔离功能 支撑性基础设施 对应信息资产 通常包括 安全设备 不具有访问控 制及边界隔离功能 如上信息资产和保护对象框架的关系 都为各类信息资产的一个或多个 属性 对于业务系统资产来说 在确立保护对象框架时 可以将其作为一个独 立的保护对象来看待 对于组织和人员资产 通过业务系统的属性和相应的保 护对象框架相关联 4 4资产识别资产识别过程过程 4 4 1绘制拓扑图绘制拓扑图 资产识别的首要步骤是绘制拓扑图 在拓扑图中尽可能真实地描绘拓扑 图 一般来说 拓扑图越详细 资产识别的精度也就越高 如果系统非常复杂 一张拓扑图很难描述清楚 则应采用多张拓扑图 在安全咨询项目中 顾问应要求用户首先提供用户事先拓扑图 并以此 为基础改成标准化的拓扑图 4 4 2确定业务系统确定业务系统 绘制拓扑图以后 通过访谈等方式 确定业务系统 且识别业务系统的 功能类型 4 4 3确定第一层保护对象框架确定第一层保护对象框架 根据业务系统的各服务功能 对划分出第一层保护对象框架 划分的原 则 北京天融信公司 第 59 页 根据业务的类型 比如是生产业务 管理支撑业务 还是办公业务等 根据业务的重要性 比如核心区域 非核心区域等 划分出存在哪些外部区域 4 4 4确定第二层保护对象框架确定第二层保护对象框架 第二层保护对象框架在第一层的区域内划分 划分原则 通常依据业务系统及其提供的功能特性 4 4 5顺序识别资产顺序识别资产 识别出系统级保护对象框架后 才真正开始进行资产识别 在这一阶段 根据信息资产的种类来进行识别 并将其归属入相应的保护对象框架 或在过 程中创建下一级保护对象框架 4 5信息资产赋值信息资产赋值 信息资产识别完成后 形成了一个信息资产的清单 但对于大型组织来 说 信息资产数目十分庞大 所以需要确认资产的价值和重要性 重点保护关 键的 重要的资产 并便于进一步考察资产相关的弱点 威胁和风险属性 并 进行量化 因此需要对资产进行估价 安全风险评估中所指的信息资产价值有别于资产的帐面价值和重置价值 而是指资产在安全方面的相对价值 本文中所指的信息资产价值全部都表示相 对价值 在本文中 信息资产的安全价值主要是指其机密性 完整性和可用性 资产的安全价值具有很强的时间特性 所以应该根据时间变化的频度制 定资产相关的评估和安全策略的频度 例如 某公司重要的市场活动策划方案 数据资产 在活动开始之前 为达成市场目标 需要对该数据资产进行机 密性 完整性和可用性方面的保护 但是在该活动之后 策划已经基本上都传 达给了大众 所以资产价值已经大部分消失 相关的安全属性也失去保护意义 北京天融信公司 第 60 页 4 5 1信息资产估价方法信息资产估价方法 信息资产估价的方法有定性 半定量 定量三种 鉴于定量估价的巨大 工作量和技术难度 所以采用定性估价的方法 信息资产分别具有不同的安全属性 机密性 完整性和可用性分别反映 了资产在三个不同方面的特性 安全属性的不同通常也意味着安全控制 保护 功能需求的不同 通过考察三种不同安全属性 可以得出一个能够基本反映资 产价值的定性的数值 在信息资产估价时 主要对资产的这三个安全属性分别 赋予价值 以此反映出信息资产的价值 机密性 完整性和可用性的定义如下 保密性 确保只有经过授权的人才能访问信息 完整性 保护信息和信息的处理方法准确而完整 可用性 确保经过授权的用户在需要时可以访问信息并使用相关信息资 产 对安全属性赋值时主要考虑的是对整个评估体影响和损害 然后按照下 面的赋值标准来衡量 这里整个评估体是指本次评估的主体 包含本次评估范 围内的所有信息资产 下面描述信息资产赋值时采用的标准 要求顾问在评估工作中 严格依 照赋值标准进行赋值 并且所有顾问对赋值标准的理解应该达成一致 以避免 赋值的随意性和不一致性 从而避免降低评估工作的质量 4 5 2半定量化的资产赋值半定量化的资产赋值 在分析资产的安全性价值时 分析其真实数值非常困难 因此在本项目 中我们采用半定量化的方式 即资产价值等级划分 在本项目中 我们对于所有资产的机密性 完整性和可用性价值 均划 分为 5 级 其中 5 代表资产安全性价值最高 1 代表资产性价值最低 采用这种方法 使得资产赋值简便易行 同时也体现了不同资产之间安 北京天融信公司 第 61 页 全价值的差距 其缺点是由于缺乏统一准则 对于每项资产 其机密性 完整 性和可用性三者之间价值是不可比的 也就是说 如果一项资产的机密性和可 用性赋值都是 4 并不意味该资产的机密性和可用性价值相同 4 5 3资产赋值方法资产赋值方法 采用 5 级标准 较好地反映了资产价值的差异 但对于用户和顾问来说 在为某一项资产的机密性 完整性或可用性价值赋值时 仍然很难在相邻的两 个数值之间作出选择 为此 本项目中提出了一套方法 通过将机密性 完整 性和可用性的每个值分解为两个相乘的指标 而每个指标均分为三级 从而得 出五级安全价值 V Vc Vi Va 资产的安全价值由机密性价值 完整性价值和可用性价值三者组成 Vc Xc Yc Vi Xi Yi Va Xa Ya 将三个安全性价值分别分解为两个相乘的指标 VX 3X 2X 1 Y 3543 Y 2432 Y 1321 分别为两个指标 三级 赋值 然后查上表得出价值 五级 4 5 3 1机密性赋值机密性赋值 Vc 资产的机密性价值 是指该资产被暴露时对组织造成的损害 因此 资产的机密性价值可分解为以下两个指标 Xc 资产被暴露时与所造成最严重后果之间的关系 Yc 后果对组织的最严重损害程度 Vc Xc Yc 北京天融信公司 第 62 页 Xc 资产被暴露时与造成后果之间的关系 可分为下述三级 直接产生后果 即当资产被暴露时 后果既已发生 例如 组织的商业 秘密 要求密级的涉密信息 这些信息一旦被暴露 后果随之发生 无 法挽回 容易产生后果 当资产被暴露时 后果非常容易发生 例如当操作系统 的超级用户口令失密时 如果获知者无恶意 后果可能不会发生 但是 如果获知者具有恶意 那么后果非常容易发生 可能产生后果 当资产被暴露时 后果有可能会发生 但离后果发生仍 存在一定距离 例如某客户端软件被盗用 在没有得到服务器验证口令 之前 后果仍未造成 Yc 后果对组织的损害程度 包括下述三种情况 严重损害 例如引起法律纠份 造成声誉下降或带来严重的经济损失 中等损害 例如局部范围内的声誉下降或明显的经济损失 轻度损害 例如轻微的经济损失 4