公司信息安全评估体系研究报告

信息安全评估体系研究报告目录TOC\o"1-3"\u1 前言 12 信息安全保障中的风险评估 22.1 在安全保障体系中的位置 22.2 在生命周期中的作用 32.3 与安全工程建设的关系 53 行业信息安全风险评估 73.1 行业信息安全风险评估方法论 73.2 评估实施方法 84 评估组织与管理体系 94.1 工作组织与管理 94.2 工作的开展机制 114.3 工作措施和要求 115 评估服务体系 155.1 技术服务与支撑 155.2 评估培训与队伍建设 156 评估技术体系 176.1 评估规范 176.2 实施指南 186.3 技术指导与监督 186.4 技术支撑工具 197 评估工作基础设施 237.1 网络攻防技术 237.2 应用安全研究 237.3 评估方法研究 24前言在信息化时代，信息系统成为国家安全的基座，事关国家经济和人民生活的金融、行业、电信等国家基础设施系统，其运行都依赖于网络与信息系统。这些系统一旦发生问题，轻则导致经济损失和社会生活不便，重则会使整个国家的政治、经济或军事陷入瘫痪，社会秩序失控。同时，随着行业企业管理、运营向自动化和网络化方面的发展，越来越多的行业企业实现了管理的信息化和生产控制的自动化，行业企业内部、行业企业间和行业用户之间的数据交换随着信息系统的集成化提高也越来越多，这些都对行业企业信息系统的安全性提出了强烈的要求。在行业企业信息安全保障工作中，怎样才能全面和充分的认识到信息系统面临的安全风险，怎样才能使得信息安全保障工作的目的和目标符合降低安全风险的要求，怎样才能保证信息安全防护的充分性和科学性，怎样才能使得防护工作是有效和合理的。这些问题已经成为关系到行业企业信息安全保障工作的根本问题。信息安全保障中的风险评估信息安全保障体系是指通过技术、管理、运维等防护机制合理地配置安全资源，形成的保障信息系统安全性的机制。XX公司信息安全保障体系内容参见下图：图2-1XX公司信息安全保障体系在信息安全保障体系框架下，技术、管理和运行维护机制围绕公司信息安全总体方针展开。信息安全总方针指导公司各层面的信息安全管理工作，形成公司信息安全管理体系；信息安全运行维护体系通过技术体系落实信息安全管理工作要求。信息安全保障体系中的每个安全防护机制都包含着多项具体内容，同时，这些内容都并不简单的属于技术、运维或管理措施。在安全保障体系中的位置信息安全保障体系是围绕信息安全风险所采取的一系列控制措施的有机体。通过管理、运行维护系和技术防护体系的建立，实现对信息安全风险的可控、能控、在控，是安全保障体系的目标。因此，风险管理是信息安全保障工作的核心内容。同时，风险管理也是推动信息安全保障工作持续开展的主要动力。在风险管理中，信息安全风险评估是主要手段。通过信息安全风险评估可以明确信息安全防护的目标，实现对风险的发现与掌握，并在综合风险分析的基础上实现对安全风险的有效管理。下图是风险管理理论模型在XX公司中的应用情况图示：图2-2风险管理理论模型上途中，信息安全威胁、安全漏洞、网络与信息系统及其价值是构成信息安全风险的主要因素。信息安全防护体系的主要作用就是抗击威胁、消除漏洞，进而达到降低风险、保证网络与信息系统安全性目的的主要手段。针对具体网络与信息系统的防护体系建立，需要对威胁、漏洞和网络与信息系统进行分析，确定其风险的主要来源和内容。这样建立起来的防护体系才是有针对性的、科学的防护体系。信息安全防护体系建立的过程就是对网络与信息系统风险进行分析和控制的过程。在风险评估指导下建立的防护体系，将在一定的时期内对网络与信息系统尽心有效的保护。但是，随着时间的推移和技术的发展，信息安全防护体系的防护效果会下降，需要重新启动风险评估过程，修正风险管理目标，指导对信息安全防护体系进行修正或重新规划、设计，以确保对风险的有效控制。在生命周期中的作用信息安全建设的宗旨之一，就是在信息系统生命周期中，综合考虑成本与效益，通过对信息系统进行安全评估，并根据评估结论采取安全控制措施，将信息系统残余风险降低到可接受的程度的过程。由于信息系统外部环境的变化，信息系统在其生命周期中的各个阶段面临的安全风险并不相同。因此，作为确定信息系统面临的安全风险的信息安全风险评估在信息系统的整个生命周期中对保障信息系统安全运行都起着重要的作用。下图是信息应用系统全生命周期信息安全风险管理示意图：图2-3信息应用系统全生命周期信息安全风险管理示意图信息应用系统在全生命周期各阶段中形态与特性各不相同，对不同阶段的信息应用系统的风险管理的目标与形式也不相同。针对生命周期不同阶段的信息安全风险评估工作内容如下：规划阶段：对业务模式、业务流程和当前系统环境进行评估，明确业务系统和其将来运行环境的安全需求。这一阶段的评估目的是保证规划中的安全需求合理明确。设计阶段：根据规划阶段提出的安全需求，对设计计划、方案中所提出的安全功能、安全措施，依据《XX公司信息应用系统通用安全要求》进行符合性评估。这一阶段的评估目的是保证安全功能设计符合安全需求。实施阶段：在实施及上线验收前，依据系统安全需求，对系统实现的安全功能进行测试、对系统的运行环境进行评估，以验证系统安全功能是否达到规划与设计目标、系统运行环境是否满足安全需求。这一阶段的评估是保证系统以安全可靠的状态上线运行。运维阶段：投运后的系统，必须定期进行信息安全风险评估，了解和控制运行过程中的系统安全风险。这一阶段的评估是一种较为全面的风险评估。信息安全风险评估内容包括对真实运行的信息系统、资产、威胁、脆弱性等各方面。这一阶段的评估是保证信息应用系统的安全稳定运行。废弃阶段：信息安全风险评估的目的是确保硬件和软件等资产及残留信息得到了适当的废弃处置，并确保系统更新过程在一个安全、系统化的状态下完成。系统维护人员和管理人员均应该参与此阶段的评估。这一阶段的评估目的是保证废气过程的合理，以及信息系统的平稳过渡。信息应用系统生命周期各阶段的评估工作是业务安全保障的基础性工作，评估将对系统建设的资源投入与预期安全防护效果产生直接的影响。与安全工程建设的关系信息安全工程建设是信息安全保障体系建立的重要手段。通过信息安全工程建设可以构建有效的防护体系，解决需要较大资源投入才能解决的基础性安全问题、降低网络与信息系统面临的重大风险，保障信息化业务的安全稳定运转。在国际标准（ISO/IEC21827:2002《信息技术系统安全工程－成熟度模型》）中，信息安全工程模型把一个信息安全工程分为相互作用的三个部分，分别为风险过程、工程过程和保证过程。这三个过程是相互关联、相互作用的，包含了信息安全过程的全部内容。图示如下：图2-4信息安全工程模型其中，风险过程的核心内容是风险评估。风险过程通过对资产具有的脆弱性被利用的可能性、资产面临的威胁的发生可能性和资产损失的影响进行三方综合评价，进而确定出资产风险大小。通过风险过程，可以确定工程建设的内容，为保证过程提供论据。风险过程可以确保信息安全工程的实施符合信息安全的需求，并且为工程目标的和质量目标提供有效的证明。风险评估可以帮助安全工程建设方确定哪些风险是需要通过工程建设、需要采取那些措施来消除的，从而达到控制安全工程建设投入、平衡安全控制效果的目的。行业信息安全风险评估行业信息安全风险评估方法论根据行业企业的业务、技术、管理特性，XX公司在丰富的行业系统信息安全评估工作实践中总结出一套行之有效的行业系统信息安全评估方法论――以行业业务为核心，基于统一参考体系，运用风险评估方法进行安全性评价，方法要点如下：以业务为核心。以行业企业主营业务为核心，重点考虑与关键业务相关的资产。资产安全属性赋值充分反映业务安全性要求，并有所侧重。统一参考体系。行业系统已经制定了明确的安全管理要求，以及系统的安全防护体系，如：《行业二次系统安全防护规定》、《全国行业二次系统安全防护总体方案》、《XX公司信息安全深度防护体系框架（讨论稿）》，为行业企业的安全评估提供了统一的参考标准。安全性评价。在统一的参考体系下，采用“风险评估”与“安全审计”相结合的方式对行业信息系统进行分析。对满足参考体系要求的评估对象，则认为其残余风险可以接受；重点关注未满足部分，用风险的概念表达与参考体系的差异程度。行业系统信息安全风险评估方法论模型如下图，由三个方法组成。图3-1行业系统信息安全风险评估方法论模型行业信息系统分析及安全需求定义方法从信息安全角度对行业信息系统进行描述和分析，并按照行业业务系统的安全分类分级、业务系统功能分解、业务和业务子系统（或业务模块）安全需求分析三个步骤对行业业务系统的安全性进行分析和判断。主要适用于信息安全风险评估中的“信息系统描述”和“资产识别与赋值”过程。行业业务系统安全性评测方法以“行业信息系统分析及安全要求定义方法”确定的安全需求为基础，参考《信息技术安全性通用评估准则》（GB18336）中定义的安全功能，结合《XX公司信息安全深度防护体系（讨论稿）》和《行业二次系统防护规定》中对行业业务系统的安全分区、分级保护、深度防御的要求，形成对行业业务系统信息安全基线要求，并根据基线要求对实际业务系统的安全符合度进行评价。主要适用于系统规划、设计阶段的安全性评估及信息系统安全性测试。行业信息系统风险评估方法依据《信息安全风险管理指南》、《信息安全风险评估指南》和《XX公司网络与信息安全风险评估规范（试行）》中定义的风险评估方法，并适当进行扩展，其核心内容为：一是行业化的资产评估，二是将脆弱性、风险细分为技术、运行维护、管理三个维度进行综合评价，使得风险分析能够反映出一个信息系统普通层面的风险及总体的综合风险情况，确定技术手段、运维保障和管理等方面的措施在一个系统范围内对其安全性影响的相互关联。行业系统风险计算公式详见“风险分析阶段”的内容。评估实施方法行业信息安全风险评估方法论决定了评估实施方法的多样性和全面性，确保可以通过不同的技术途径达到对信息系统风险的评定。对于行业系统的评估实施方法，在《XX公司信息安全风险评估实施指南》等技术规范和标准中已经有详细的描述，这里不作说明。评估组织与管理体系XX公司信息安全风险评估工作是一项涉及面广、技术要求高的工作，如何将评估工作落实到各单位，确保评估工作的有效性和科学性，最大的发挥评估工作在公司信息安全保障工作中的作用，需要在公司各层面建立起统一、体系化管理的工作模式。工作组织与管理按照《信息安全风险评估指南》中的定义，信息安全风险评估有“自评估”和“检查评估”两种形式。自评估是指各级行业企业发起的对本单位信息系统进行的评估，检查评估是指由上级主管部门或地方政府部门组织开展的风险评估。一方面，从国家相关部门和外部机构的角度看，由XX公司组织发起对公司内部信息系统的安全评估，是一种典型的“自评估”。另一方面，XX公司内的评估存在上级单位组织发起，对下级单位的网络与信息安全情况进行评估和检查，因此又是一种“检查评估”。XX公司信息安全评估的形式图示如下：图4-1XX公司信息安全评估的形式图公司总部和区域（省）行业公司、公司直属单位、地市供电公司的信息化管理部门是信息安全风险评估工作的管理机构，负责落实本单位的自评估工作和发起下级单位的检查评估工作。评估单位、被评估单位和涉及到信息安全风险评估的活动应接受被评估单位及其上级信息安全主管部门的协调与管理。评估单位上级主管部门负责组织对评估工作的完整性、有效性，结果的真实性、可靠性进行审核。公司总部、区域（省）、自治区、直辖市公司的评估工作，由相关资质和经验的技术机构进行技术监督和工作跟踪，建立各单位信息系统资产与安全风险档案库，实现长期的数据分析和对比。公司各单位内开展信息安全风险评估工作的机构须通过公司信息化主管部门的资质审核，并且进行登记备案。重要信息系统必须由公司认可的可信、可控的专业机构进行评估。表4.1XX公司信息安全风险评估工作管理机构表XX公司信息安全风险评估工作管理机构组织管理机构部门与单位职责工作内容最高管理机构XX公司信息化工作领导小组对公司重大评估工作内容进行决策、大范围的协调XX公司评估工作管理机构公司信息工作办公室负责公司系统的评估工作的组织、管理和监督发起定期的安全检查执行评估工作的推广确定评估工作的总体组织与管理方式对网、省公司评估工作的审批、审核与监督各级单位主管机构各单位信息化工作领导小组对本单位范围内的评估工作进行决策和协调各级单位评估工作管理机构区域（省）行业公司、公司直属单位、地市供电公司信息化管理部门落实本单位的自评估工作和发起下级单位的检查评估工作执行定期的安全检查落实具体的评估工作确定本单位评估工作的组织与管理对下级单位评估工作进行审批、审核与监督评估机构XX公司信息安全实验室，以及具备在公司范围内进行评估工作资质或能力的固定、临时的部门、机构和组织按照评估工作内容、要求执行评估，提出评估结论和安全整改的建议制定评估工作的方案实施评估工作提出安全整改建议指导与监督机构XX公司制定的信息安全风险评估指导与监督机构执行评估工作，或按公司评估工作管理办法进行评估工作的指导和监督。进行评估工作的指导和监督长期跟踪公司各单位的评估工作进行风险数据的备案系统所有者各单位业务系统的管理部门和各单位信息系统运行管理部门按照公司评估工作管理办法进行自评估，配合评估机构的评估工作配合或执行评估工作工作的开展机制信息安全风险评估工作遵循“谁主管、谁负责，谁运营、谁负责”的方针、按照“严密组织、规范操作、讲求科学、注重实效”的原则有组织、规范的开展。按照《XX公司信息安全风险评估管理办法》的规定，管理信息系统和生产自动化系统的信息安全风险评估，均需按照《评估规范》和《实施指南》的要求开展，被评估单位和评估单位涉及到信息安全风险评估的活动都应当遵守这些要求。作为信息安全保障工作的一部分，评估工作应当结合XX公司相关的安全工作开展，符合常态化的安全评估工作要求，并满足特殊时期的安全生产工作要求，在特定时期启动评估工作。内容包括：定期的信息安全评估工作对普通信息系统应当保证每二年进行一次信息安全风险评估，重要及关键信息系统由上级主管部门一年进行一次检查评估。春检、秋检结合每年的安全检查工作，开展从上至下的检查评估工作，将信息安全风险评估同公司的安全生产工作结合起来。迎峰度夏与特使时期迎峰度夏和国家政治经济敏感时期（例如：两会）前，公司各单位应当结合安全生产的保障工作，开展信息安全检查评估，通过评估杜绝安全漏洞，降低关键时期信息系统的安全风险。工作措施和要求XX公司对信息安全风险评估工作提出了五条工作措施和要求，如下图所示。安全第一安全第一务求实效规避风险，合理应对高层参与，全程跟踪总结提高，持续改进合理利用外部资源图4-2主要工作措施规避风险，合理应对信息安全风险评估是通过一系列的技术和审计手段获取被评估系统的敏感信息和风险数据的过程，在实施的过程中不可避免的会给被评估系统带来一定的安全风险。为了确保被评估系统敏感信息不被泄露，正常的业务运作不被评估工作影响，需要全力控制、消除评估中可能出现的安全隐患。基于这一工作要求，各单位开展的第一项工作应是制定覆盖工作全过程的《风险控制计划》，下图是评估实施中的风险控制流程：实施的风险分析实施的风险分析填写操作票、工作票操作过程人员监护确认系统状态应急预案审核现场操作评估准备应急预案分析报告操作申请工作记录图4-3风险控制流程第一步，获取系统实际情况，分析评估操作的风险情况，形成书面的应急预案；第二步，系统所有单位组织进行应急预案的会审，并安排人员负责操作的执行和监护；第三步，操作开始时填写“操作票”和“工作票”；第四步，人员就位，进行操作监护，一旦出现故障立即启动应急预案；第五步，操作之后检查系统情况，确认系统复原，评估机构与系统所有单位签字确认。高层参与，全程跟踪信息安全风险评估工作是一个发现系统缺陷的过程，在评估工作中必然会遇到一定的阻力，因此，评估工作需要各单位高层参与，对评估工作进行全程的跟踪和工作协调，消除阻力，确保最大程度发现系统的缺陷。由高层领导主抓信息安全风险评估工作的意义和作用有以下三点：一是保证资源投入充分、及时；二是由最高领导承担主要责任，可以消除系统所有单位和评估机构的后顾之忧，使双方可以充分配合完成既定任务；三是确保工作质量和工作结果的权威有效性，并为下一步进行整改提供保障。合理利用外部资源评估工作作为一项专业性、技术性强的工作，各单位在开展评估工作时需要合理利用外部资源，一方面获得专业队伍全面的技术支持，另一方面也可最大程度培养各单位自身的技术力量。此外，利用公司系统的专业技术力量（例如：XX公司信息安全实验室）对各单位的评估工作具有多个方面的意义：熟悉行业行业内部信息系统的业务特性与网络特性，了解公司信息安全技术政策和安全管理要求，能够有效地将风险评估的理论、方法、手段灵活合理地应用到公司信息系统安全评估工作中，确保工作质量。作为系统内的信息安全机构，长期服务于行业系统，队伍的技术能力易获得公司系统的认可，同时沟通、协调较通畅，由于评估工作需要接触高度机密的网络系统，并且掌握其中的绝大部分安全隐患，所以评估机构的可靠性至关重要。公司系统内部机构进行评估，能够有效降低信息泄密的风险。总结提高，持续改进评估工作的目的是对信息系统的安全状况进行分析，制定出合理的、有针对性的整改措施。因此通过评估工作，可以全面总结各单位存在的安全风险，并且有针对性地制定出风险减缓方案，确保有效消除重大安全隐患，完善信息安全防护体系，提高整体信息安全保障水平。评估服务体系技术服务与支撑XX公司信息安全实验室目前是公司系统唯一的信息安全专业机构，完成了“XX公司信息安全风险评估试点”、多个网省公司和多级调度机构的评估工作。本报告中评估服务体系围绕XX公司信息安全实验室构建，可为公司各单位参考实施。下图示实验室规划的技术服务体系规划图：图5-1信息安全实验室技术服务体系规划图实验室与国家信息安全产品评测机构、国家信息安全重点实验室以及各大高校相关科研机构开展广泛的技术交流与合作，形成学术交流、科研合作、技术推广的平台；取得国家实验室认可委员会认可，取得国家信息安全产品认证管理委员会的信息系统安全评估相关资质，具备以高质量、高可控的服务团队为XX公司系统各单位提供信息安全咨询、以及评估服务的能力。评估培训与队伍建设信息安全风险评估工作贯穿网络和信息系统建设运行的全过程，是常态化工作，培养公司各单位“自评估”的队伍至关重要。由于开展评估的技术含量较高，为强化评估服务，需要对从事评估的人员进行培训，加强评估队伍的建设，形成XX公司层次化的评估队伍，为信息安全风险评估工作的开展提供保障。培训与队伍建设工作包括两方面的内容：加强公司信息安全实验室技术支撑能力，为公司系统评估技术研究、评估培训提供技术支撑力量。以培训与实践相结合的方式，逐步形成公司系统层次化（内部支撑、区域、省、地市）的自评估队伍体系，拥有开展常态化自评估工作的能力。评估培训与队伍建设是密不可分的，只有全面、高效的培训才能使评估队伍建设跟上评估工作的进展。评估技术体系为规范与指导XX公司信息安全风险评估工作，公司信息化管理部门从2004年就组织制定与编写了一系列的技术指导性文件。本报告中对其中最重要的两个文件进行简单的介绍。评估规范2004年XX公司颁布了《网络与信息系统风险评估技术规范（试行）》，对公司系统的风险评估工作提出了技术要求，推动了评估工作的开展。规范中提出了评估工作的原则、评估工作的策略，以及评估的基本方法。评估原则完整性原则：根据“木桶原理”，为了保证评估取得预期结果，应当综合评估信息系统对象本身及其相关的安全措施、人员、管理等方面，技术层面的评估与管理层面的评估相结合，全面反映信息系统安全状态，确保评估范围的完整、评估内容的全面和评估流程的完整。标准化原则：认真遵循有关国际和国内标准制定评估要求、编写评估方案、安排评估流程，严格按照预先定义的实施方案开展安全评估和进行评估工作的管理，确保评估定义过程、操作流程和操作方法的规范性。最小影响原则：信息安全风险评估的部分工作内容可能会对信息系统的运行带来负面影响。必须设计合理与灵活的风险评估实施方案，对可能造成这些影响的工作内容进行有效管理，把评估对信息系统与业务可能造成的影响降低到最低限度。评估策略规范中根据评估的范围和深度不同，提出的信息安全风险评估策略包括安全审计、简单风险评估和专业风险评估三种方法。详细的说明见规范内容。实施指南为了规范行业企业信息安全风险评估工作，XX公司在《评估规范》的基础上，组织系统内专业机构，参照国家和国际相关标准与规范，在总结行业系统以往信息安全风险评估实践的基础上，编制了《XX公司信息安全风险评估实施指南》，以有效指导、规范与帮助行业企业进行信息安全风险评估工作。指南中对信息安全风险评估的方法、流程，以及评估采用的工具进行了详细的阐述，是XX公司评估技术体系的关键内容。详细内容请参阅实施指南。技术指导与监督为了有效的规范XX公司各单位的评估工作，XX公司信息化主管部门对评估工作提出了技术指导与监督的要求。目前，技术指导与监督工作已经开始准备，下一步计划成立专门的指导与监督机构或专家组，通过明确的技术指导与监督工作细则来规范公司各单位的评估工作。指导与监督依据公司系统的指导与监督工作主要依据为：国家标准《信息安全风险评估指南（试用）》、《XX公司网络与信息安全风险评估规范》、《XX公司信息安全风险评估实施指南（试用）》、《XX公司网络与信息安全风险评估工作要求（试行）》，监督与指导依据是规范公司各单位的评估工作的砝码，可以确保各单位按照国家和公司已经制定的标准、规范来开展。技术指导与监督细则评估工作的技术指导与监督细则规定了各单位实施评估工作必须遵守、符合的内容，主要包括四个方面的内容：评估工作方案、实施过程、评估报告与安全建议、评估项目的管理。通过技术指导与监督细则的实施可以明确各单位的评估工作是否合理、全面；评估的内容是否具有代表性，评估的过程是否完整和规范，数据是否全面、真实；评估报告是否全面、深入、客观真实，通过评估是否提出有效、可操作的建议；并保障评估工作与后续安全建设的衔接。实施风险控制监督此外，评估实施风险的指导与监督是工作的主要内容之一，实施风险控制监督主要从实施风险分析和相关控制措施两个方面进行。确保评估单位对评估工作对系统的安全性影响进行了分析，并制定了响应的控制措施和应急处理预案，可以有效的将评估对业务的影响控制在一定的范围内，评估中产生和收集的数据机密性能够保持。评估工作基础设施信息安全风险评估的技术范围涉及到从底层的通信与网络系统到上层应用系统的各个层次，涵盖了技术、管理和运行维护的各个方面，因此，评估技术是一个层次深、持续性久的研究课题。为确保信息安全风险评估工作的持久性和深度，公司系统应从以下几个方面开展持久的研究工作。网络攻防技术网络攻防技术包括了黑客攻防、信息完整性和机密性、操作系统安全性等多方面的技术内容，评估工作中的脆弱性识别就是由信息对抗技术的成果确定的。网络攻防技术是信息安全风险评估的基础性技术，为评估工作的技术深度和科学性提供保障。黑客技术：利用网络、主机操作系统和应用系统的技术漏洞，非法获取、提升用户在系统中的权限、或破坏、阻止系统的服务能力的技术。在信息安全风险评估中，渗透测试使用的技术和方法同黑客技术相同，不同点为测试人员不对系统进行破会、不非法获取系统中的数据与信息。信息完整性和机密性技术：利用特定的算法，对用户系统的数据和参数进行加密、签名，从而确保这些信息不被非法获取、篡改，或在被非法获取后攻击者无法解析、在被非法篡改后能及时发现和恢复数据。操作系统安全技术：对操作系统的技术漏