DB21∕T 1936-2012 安全等级测评量化评价

ICS35040L80DB21辽宁省地方标准DB21/T19362012信息系统安全等级测评量化评价方法QUANTITATIVEEVALUATIONMETHODFORTHETESTINGANDEVALUATIONFORCLASSIFIEDPROTECTIONOFINFORMATIONSYSTEM点击此处添加与国际标准一致性程度的标识（报批稿）（本稿完成日期2011/10/31）20120109发布20120209实施辽宁省质量技术监督局发布DB21/XXXXXXXXXI目次前言II引言III1范围12规范性引用文件13术语和定义14安全等级测评判定流程15安全等级测评结果判定26风险分析37量化评价4附录A（资料性附录）量化评价计算示例6参考文献7DB21/XXXXXXXXXII前言本标准的编制依据GB/T112009标准化工作导则第1部分标准的结构和编写规则的要求进行。本标准由辽宁省经济和信息化委员会提出。本标准由辽宁省质量技术监督局归口。本标准附录A为资料性附录。本标准起草单位辽宁北方实验室有限公司。本标准主要起草人于春刚、郭剑锋、吴治、郝玉军、姜志坤、王智纲。本标准为首次发布。DB21/XXXXXXXXXIII引言关于信息系统安全等级保护工作的实施意见（公通字200466号）和信息安全等级保护管理办法（公通字200743号）等有关文件的出台，加快推进了我国信息系统安全等级保护工作的实施，等级测评是信息系统安全等级保护工作的重要环节。本标准是GB/T222392008的相关配套标准之一。本标准针对依据GB/T222392008等相关标准规范开展安全等级测评，提出对安全等级测评进行量化评价的一种方法。DB21/XXXXXXXXX1信息系统安全等级测评量化评价方法1范围本标准规定了安全等级测评判定流程、安全等级测评结果判定、风险分析、量化评价等内容。本标准适用于根据GB/T222392008进行信息系统安全等级测评，对测评结果在风险分析的基础上进行量化评价。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T222392008信息安全技术信息系统安全等级保护基本要求GB/T209842007信息安全技术信息安全风险评估规范3术语和定义GB/T22239和GB/T20984确立的以及下列术语和定义适用于本标准。31等级测评确定信息系统安全保护能力是否达到相应等级基本要求的过程。32测评对象信息系统的组成部分，包括整体对象，如机房、办公环境、网络等，也包括具体对象，如边界设备、网关设备、服务器设备、工作站、应用系统等。4安全等级测评判定流程41安全等级测评判定流程如图1所示DB21/XXXXXXXXX2图1安全等级测评结果判定流程42单项测评结果判定主要是针对测评指标中的单个测评项，结合具体测评对象，客观、准确地分析测评证据，形成初步单项测评结果，单项测评结果是形成等级测评结论的基础。43单元测评结果判定是将单项测评结果进行汇总，分别统计不同测评对象的单项测评结果，从而判定单元测评结果。44整体测评是针对单项测评结果的不符合项，采取逐条判定的方法，从安全控制间、层面间和区域间出发考虑，给出整体测评的具体结果，并对系统结构进行整体安全测评。经过整体测评后，有的单元测评结果可能会有所变化，需进一步修订单元测评结果。45风险分析过程是采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测系统安全造成的影响。46等级测评结论形成是在测评结果汇总的基础上，找出系统保护现状与等级保护基本要求之间的差距，并形成等级测评结论。5安全等级测评结果判定51单项测评结果判定511如果测评证据表明所有要求内容与预期测评结果一致，则判定该测评项的单项测评结果为符合；512如果测评证据表明所有要求内容与预期测评结果不一致，判定该测评项的单项测评结果为不符合；513上述两种情况之外判定该测评项的单项测评结果为部分符合。52单元测评结果判定DB21/XXXXXXXXX3521测评指标包含的所有适用测评项的单项测评结果均为符合，则该测评对象对应该测评指标的单元测评结果为符合；522测评指标包含的所有适用测评项的单项测评结果均为不符合，则该测评对象对应该测评指标的单元测评结果为不符合；523测评指标包含的所有测评项均为不适用项，则该测评对象对应该测评指标的单元测评结果为不适用；524测评指标包含的所有适用测评项的单项测评结果不全为符合或不符合，则该测评对象对应该测评指标的单元测评结果为部分符合。53等级测评结论判定531等级测评结论判定基于单项测评结果判定、单元测评结果判定、整体测评、风险分析，是对信息系统基本安全保护状态的综合判断；532当测评结果中不存在部分符合项或不符合项时，系统测评结论为符合；533当测评结果中存在部分符合项或不符合项，但不会导致信息系统面临高等级安全风险时，系统测评结论为基本符合；534当等级测评结果中存在部分符合项或不符合项，导致信息系统面临高等级安全风险时，系统测评结论为不符合。6风险分析61风险分析围绕安全等级测评结果中部分符合项或不符合项所产生的安全问题进行。安全问题对应脆弱性，测评对象对应资产，威胁相同。62风险分析的原理同GB/T209842007中42风险分析原理。63风险分析实施流程同GB/T209842007中43实施流程。64风险分析的主要内容641对安全问题进行识别，并对其严重程度赋值，赋值原则如表1所示；表1安全问题严重程度赋值表等级标识定义5很高如果被威胁利用，将对资产造成完全损害4高如果被威胁利用，将对资产造成重大损害3中等如果被威胁利用，将对资产造成一般损害2低如果被威胁利用，将对资产造成较小损害1很低如果被威胁利用，将对资产造成的损害可以忽略DB21/XXXXXXXXX4642对安全问题所关联测评对象进行识别，并对其等级进行赋值，赋值原则如表2所示；表2测评对象等级及含义描述等级标识定义5很高非常重要，其安全属性破坏后可能对组织造成非常严重的损失4高重要，其安全属性破坏后可能对组织造成比较严重的损失3中等比较重要，其安全属性破坏后可能对组织造成中等程度的损失2低不太重要，其安全属性破坏后可能对组织造成较低的损失1很低不重要，其安全属性破坏后对组织造成很小的损失，甚至忽略不计643对安全问题所关联威胁进行识别，并对其进行赋值，赋值原则如表3所示；表3威胁赋值表等级标识定义5很高出现的频率很高或1次/周或在大多数情况下几乎不可避免或可以证实经常发生过4高出现的频率较高或1次/月或在大多数情况下很有可能会发生或可以证实多次发生过3中等出现的频率中等或1次/半年或在某种情况下可能会发生或被证实曾经发生过2低出现的频率较小或一般不太可能发生或没有被证实发生过1很低威胁几乎不可能发生仅可能在非常罕见和例外的情况下发生644根据威胁及威胁利用安全问题的难易程度判断安全事件发生的可能性；645根据安全问题的严重程度及安全事件所作用的测评对象的价值计算安全事件造成的损失；646根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响，即风险值。65风险计算的方法采用GB/T209842007中附录A2使用相乘法计算风险。7量化评价71信息系统量化评价函数FZ110MAXZINZFDB21/XXXXXXXXX5式中MAXZ信息系统量化最大值，即信息系统安全要求对应的量化值；MINZ信息系统量化最小值，即信息系统安全现状对应的量化值。72信息系统量化最大值2NMAXZ式中N信息系统的全部测评结果数；安全测评结果量化基数；量化基数的固定系数，取正整数；量化基数的调节系数，取正整数。73信息系统量化最小值3GMBAXMINZNI1,式中测评对象；基本要求XI由单一测评对象及对应单一基本要求所确定的测评结果的量化值；量化安全因子，含义为安全问题导致安全事件的风险高低情况，M存在的先决条件；M人工变量，当测评结果存在不符合项且对应安全因子为高风险状态时M表示一个负的大数，以使MINZ为0，其他情况下M取0。74测评结果量化值4测评结果为不符合，测评结果为部分符合，测评结果为符合，GXI式中G量化安全因子，0G；G取正整数。75量化安全因子计算原理5AVIFTLRA，V式中R安全风险计算函数；A测评对象；T威胁；V安全问题；IA安全事件所作用的测评对象价值；VA安全问题严重程度；L威胁利用测评对象的安全问题导致安全事件的可能性；DB21/XXXXXXXXX6F安全事件发生后造成的损失。DB21/XXXXXXXXX7AA附录A（资料性附录）量化评价计算示例本附录基于6风险分析和7量化评价中规定的方法，结合某信息系统安全等级测评中网络安全部分测评实际结果进行实例化验证。A1前提条件A11测评对象本例中测评对象为部分选取，确定的测评对象，如表A1所示。表A1确定的测评对象序号设备名称1核心交换机CISCO65092防火墙NETGURADFIREWALL4000UF3主机监控系统4IPSPACKETEERA12测评指标确定的测评指标，如表A2所示。表A2确定的测评指标安全分类安全子类测评项数网络安全结构安全7网络安全访问控制8网络安全安全审计4网络安全边界完整性检查2网络安全入侵防范2网络安全恶意代码防范2网络安全网络设备防护8A13测评结果本例中测评指标为部分选取，测评结果为经过整体测评，关联性增强或削弱分析后所得结果，测评结果，如表A3所示。DB21/XXXXXXXXX8表A3测评结果序号测评指标关联对象测评结果1应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要CISCO6509符合2应在网络边界部署访问控制设备，启用访问控制功能NETGURADFIREWALL4000UF符合3应对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录主机监控系统符合4应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断主机监控系统部分符合5应在网络边界处监视以下攻击行为端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等IPS不符合6应在网络边界处对恶意代码进行检测和清除防毒墙不符合7应对登录网络设备的用户进行身份鉴别CISCO6509符合8应对登录网络设备的用户进行身份鉴别NETGURADFIREWALL4000UF符合9应对网络设备的管理员登录地址进行限制CISCO6509不符合10应对网络设备的管理员登录地址进行限制NETGURADFIREWALL4000UF不符合A14安全问题安全问题，如表A4所示。表A4安全问题序号问题描述1主机监控系统对NAT转换的用户，存在监控不到的问题2网络系统内部旁路部署了IPS设备，但处于关机停用状态。3未在网络边界处部署对恶意代码进行检测和清除的措施或者设备4未对CISCO6509的管理员登录地址进行限制5未对NETGURADFIREWALL4000UF的管理员登录地址进行限制A2风险分析A21安全问题严重程度赋值安全问题赋值结果，如表A5所示，赋值结果仅为示例计算过程所需。DB21/XXXXXXXXX9表A5安全问题赋值结果编号问题描述赋值结果V1主机监控系统对NAT转换的用户，存在监控不到的问题3V2网络系统内部旁路部署了IPS设备，但处于关机停用状态。4V3未在网络边界处部署对恶意代码进行检测和清除的措施或者设备4V4未对CISCO6509的管理员登录地址进行限制3V5未对NETGURADFIREWALL4000UF的管理员登录地址进行限制3A22测评对象等级赋值测评对象等级赋值结果，如表A6所示，赋值结果仅为示例计算过程所需。表A6测评对象等级赋值结果编号设备名称赋值结果A1核心交换机CISCO65094A2防火墙NETGURADFIREWALL4000UF4A3XX主机监控系统3A4IPSPACKETEER3A23威胁赋值威胁赋值结果，如表A7所示，赋值结果仅为示例计算过程所需。表A7威胁赋值结果编号威胁类别赋值结果T1软硬件故障3T2物理环境影响2T3无作为或操作失误2T4网络攻击4T5物理攻击1DB21/XXXXXXXXX10T6恶意代码4T7越权和滥用4A24风险分析结果风险计算结果，如表A8所示。表A8风险计算结果编号问题描述关联资产关联威胁风险等级安全因子V1主机监控系统对NAT转换的用户，存在监控不到的问题。A1A4T733V2网络系统内部旁路部署了IPS设备，但处于关机停用状态。A1A4T444V3未在网络边界处部署对恶意代码进行检测和清除的措施或者设备。A1A4T644V4未对CISCO6509的管理员登录地址进行限制。A1T433V5未对NETGURADFIREWALL4000UF的管理员登录地址进行限制。A2T433至此，风险计算结果表明，安全问题V2、V3对应风险等级均为4，即高风险等级，针对V2、V3应采取相应弥补措施，进行消除或降低风险等级。A3量化评价A31量化安全因子计算本例中安全因子取值同风险等级，结果见表A8所示。假设本例中已针对V2、V3应采取相应弥补措施，风险等级分别降至1、2，继续完成示例计算。A32测评结果量化值计算本例中记为3，记为2，根据74中公式（4）进行计算，结果如下X15；X25；X35；X438；X546；X642；X75；X85；X92；X102。A33信息系统量化最小值计算根据73中公式（