T-COSOCC 009-2024 信息安全技术 网络弹性评价指南

Informationsecuritytechnology-Evaluationcriteriaforcyberre 2 3 4 4 5 6 9 9 2 3 5 3 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定有限责任公司、广东盈世计算机科技有限公司、嵩嘉标准化技术服务（北京）有限公司。关注网络信息系统的关键组成部分在受到打击的极端状态下的业务能否持续开展的能力。该概念自从供指导，帮助其在设计网络信息系统过程中，预防和缓解网络安全为了与已有的国家网络安全标准体系相衔接，本文件在评价指标体系的设计过程中，积极借鉴了GB/T22239—2018《信息安全技术网络安全等级保护基本信息系统安全管理要求》、GB/T20984—2022《信息安全技术信息安全风险评估方法》以及GB/T1信息安全技术网络弹性评价指南本文件适用于网络信息系统的设计、建设、运维以及网络安全评估的网络弹性评用于准备和适应不断变化的条件，承受破坏并从破坏中迅速恢复网络信息系统能够预测、抵受、恢复、适应2网络弹性的评价对象是网络信息系统，组织所运营的网络信息系统由7a)系统业务层：业务战略、业务运行指标、业务运行策略、系统功能性能。b)应用功能层：业务服务、应用接口、应用软件、用户界面。c)系统数据层：中间件、数据库、业务数据、系d)基础设施层：服务器、存储设备、终端设备、f)物理环境层：机房位置、机房设施、机房供电、机房线路。g)管理层：机构、制度、人员、策略、建设、运维、管理、供应链、测评。保护弹性和安全保障弹性的动态补充；网络信息系统安全保障弹4.2网络弹性评价要素b)内部缺陷：包括系统设计、系统建设、技术措施、管理手段等c)评价对象：包括系统业务层、应用功能层、系统数据层、基础设施层、网络设施层、物理环境d)网络弹性指标：包括板块指标、一级指标、二级指标、三级指标，每个三级指标下还包含了多e)网络弹性指标评价：包括组织预测安全风险能力、抵受安全风险能力、系统遭到破坏后恢复能f)网络弹性评价对照标准：包括系统业务功能集、系统业务服务集、系统业务数据集、系统风险34.3网络弹性指标体系4.3.1概述标体系和网络信息系统安全保障的评价指标体系，设置了5个层级，包括板块指标、一级指标、二级指板块指标包括安全保护、安全运营和安全保障；一级指标主要包括网络信息系统的7个层面以及网4.3.2网络信息系统安全保护弹性指标体系12345678944.3.3网络信息系统安全运营评价弹性指标体系1234567894.3.4网络信息系统安全保障弹性评价指标体系1234567895.1评价流程网络弹性评价流程为三个阶段，包括要素识别、指标设定a)要素识别，包括评价对象要素识别、评价对象1)评价对象要素识别：组织识别、业务识别、应用识别、数据识别、设施识别、网络识别、52)评价对象风险识别：安全风险自评估结果和历年来第三方风险评估结果，形成系统风险指b)指标设定，包括网络弹性三级指标设定、二级指标设定、一级指标设定、板块指标设定以及分4)板块指标设定：应包含网络信息系统安全保护的弹性指标、网络信息系统安全运营的弹性c)指标评价，通过对三级指标、二级指标、一级指标、板块指标以及总体指标评价，得到组织所5.2评价对象识别123456671234服务器、存储设备、终端设备、云平台、操作567机构、制度、人员、策略、建设、运维、管组织自评估风险指标和第三方风险评估表分123456712345675.3评价方法3)B1=在每个抵受能力组织达到的4)B2=在每个抵受能力中要求项总数；5)C1=在每个恢复能力中组织达到8)D2=在每个适应能力中要求项总7A=00123A＞80%4A=0012340123401234N=N1X1+N2X4+N3X4+N4X1·················································(1)N=每个二级指标数值；102132435484)V3=（S3÷S）×100%；12345板块指标评价包括指标项定义、弹性计算、弹性评价。板块指标弹性计算方法同6.3.a)一级弹性指标分布：通过雷达图展示每个一级指标中，无弹性、弱弹性、低弹性、中弹性和高b)板块弹性指标分布：通过雷达图展示每个板块指标中，无弹性、弱弹性、低弹性9c)总体弹性指标分布：通过雷达图展示总体指标中，无弹性、弱弹性、低弹性、中弹性和高弹性2)业务安全设施是否根据对关键服务的潜在影响进行优先排序，以确定哪些应该成为保护和维持活动重点的设施；业务安全设施恢复的优先顺序是否经过审查和业务完整性和连续性包括预测、抵受、恢复和1)最小基础功能集、高价值资产相关资产是否设置冗余。在选择了业务系统设施时是否考虑了关键服务的保护和维持要求；是否为交付关键服务所需的资产制定并记录了服务连2)拥有备份的高价值资产占总高价值资产的百分比；性能下降期间让功能保持在阈值内的时间最大化；中断状态期间最大化剩余功能，最小化功能损失；业务系统实际能承受最1)业务调整后，该业务完整性和连续性1)评测业务系统中业务的关联性，预估每个业务可能承受的1)业务流程在压力测试下是否可以完整运行；业务实际能承受最大并发量；当超过最大并2)能否根据历史风险数据动态调整业务架1)最小基础功能集、高价值资产相关资产是否设置冗余。在选择了业务系统设施时是否考虑了关键服务的保护和维持要求；是否为交付关键服务所需的资产制定并记录了服务连2)弹性指标：拥有备份的高价值资产占总高价值资产的百分比；性能下降期间让功能保持在阈值内的时间最大化；中断状态期间最大化剩余功能，最小化功能损失；业务系统实际能承受最大容量占系统预估最大承受容量的系统从最小必要应用服务功能集恢复到正常1)数据传输、存储和发送、接受过程中，是2)一般数据的完整性保护能力；哪些资产的数据的完整性是可以得到验证的（百分比2)一般数据本地备份率百分比；重要数据和一般数据备份率；重要数据恢复可用性达到），3)备份数据带宽和正常应用数据带宽2)是否能够将鉴别信息和敏感数据进行分1)经验证鉴别信息和敏感数据在主机内存中被完全2)经验证残留在应用软件、硬盘以及其他存储介质中的鉴别信息和敏感数据能够被彻底清1)鉴别信息和敏感数据存储位置发生变化时，能够2)残留在应用软件、硬盘以及其他存储介质中的鉴别信息和敏感数据能够被彻底清除的比3)是否具备对业务系统、应用软件、操作系统、数据库、虚拟环境、存储以及终端等身份2)远程管理时，具备鉴别信息防止受到网络窃听措1)边界防护设备遭到破坏，从部分能力3)是否具有对设施层访问的记录和审1)针对用户身份和角色，是否设置了对4)审计弹性：发现越权行为的时间长度，对越权行为进行记录内容，审计的颗粒度来确定4)是否具有对网络入侵行为的记录、审计和预警功能；1)在不同等级的外部入侵（国家行为、专业组织行为、业余组织行为、个人行为），入侵2)可抵御国家级、专业组织、业余组织和个人攻击，系统核心业务功能运行正常，重要数3)在上述攻击下系统所有业务功能和服务正常运行，所有数据无泄漏、无丢失，保持时间4)有对攻击行为分析能力，对攻击行为的定位和溯源能力，对攻击的诱导能力，对攻击态1)系统核心功能重建和重要数据恢复速度＞系统遭受攻击破坏后核心业务中断和重要数据2)能够恢复核心业务和重要数据需要的时2)是否具备对攻击量和攻击频次的统计分析能1)遭受分布式拒绝服务攻击（DDOS）等外部攻击，网络设备业务处理能力满足基本业务需3)验证重要网络区域与其他区域之间采用隔离手段的有效2)是否能够保证业务处理能力满足业务高峰需2)通信线路、关键网络设备、关键计算设备具备冗4)验证重要网络区域与其他区域之间采用隔离手段的有效性；2)是否能够根据业务高峰需求变化调整网络带2)应在通信前基于密码技术对通信的双方进行验证或认证防止鉴别信息和传输数据被窃听4)通信加密手段被破解后更换密码和密钥的时间；2)验证通信过程中数据完整性保护措施强1)部署网络边界防护设备，实施网络边界防护措施，边界防护措施覆盖到核心设备、核心2)在遭受外部攻击时，通过边界防护措施能够保证核心业务功能运行、重要数据完整性保4)能够监测和审计访问网络资源的行为；1)边界防护设备遭到破坏，从部分能力4)切换到备份资源所需时间；5)可以动态改变配置的安全防护资源占安全保护总资源的百分表11网络信息系统安全保护弹性三级评价指标1234表12网络信息系统安全保护弹性二级评价指标123456789表13网络信息系统安全保护弹性一级评价指标12345表14网络信息系统安全保护弹性模块指标1a)在网络信息系统安全保护的弹性指标中，无弹性（一级指标）、弱弹性（一级指标）、低弹性（一级指标）、中弹性（一级指标）和高弹性的（一b)在网络信息系统安全保护的弹性指标中，无弹性（二级指标）、弱弹性（二级指标）、低弹性（二级指标）、中弹性（二级指标）和高弹性的（二1)制定网络安全工作的总体方针和安全策略、日常管理操作规程、定期更新安全管理制度2)建立检查和改进制度,做到定期检查实施的所有安全程序是否遵从了组织机构制定的安全方针和政策,根据检查过程中发现的不足对安全管理体系进行不3)对照组织机构的安全策略和管理制度做到自管、自查、自评,并应落实责任制,接受国家2)制定内部规程，并在收集与处理用于纪律和法律目的的证据时遵守；3)对信息系统安全事件的严重程度予以不同的响应，严重程度越大，响应级别越高，弹性1)是否检测到并报告事件（包括与人员活动、网络活动、网络安全相关的网络安全事件、3)事件数据是否记录在事件知识库或类似7)是否已确定为取证目的识别事件证据的要求（规则、法律、法规、8)是否有流程确保事件证据按照法律或其他义务的要求进行处理；1)信息安全事件发生后，根据其危害和发生的部位，迅速确定事件等级，并根据等级启动相应的响应和处置预案；事件处理后应有相应的反馈程序，应追究安全事件发生的技术2)依据安全事件对信息系统的破坏程度、所造成的社会影响及涉及的范围，确定具体信息1)当发生危害关键业务的安全事件后，立即向安全管理机构报告，并组织研判，形成事件2)及时将危害关键业务的安全事件通报到可能受影响的内部部门和人员，并按照规定向供应链涉及的、与事件相关的其他组织通报安4)在事件发生后尽快收集证据，按要求留存攻击线索，进行信息安全取证分析。在进行取5)在事件处理完成后，采用手工或者自动方式形成完整的事件处理报告。事件处理报告包括：不同部门对事件的处理记录，事件的状态和取证相关的其他必要信息，评估事件细6)在恢复关键业务和信息系统后，对关键业务和系统恢复情况进行评估，查找事件原因，7)在进行事件处理活动时，协调组织内部多个部门和外部相关组织，以更好的对事件进行8)经营者应及时将安全事件及其处置情况通报到可能受影响的部门和相关人员，向供应链涉及的、与事件相关的其他组织提供安全事件信息，并按照《国家网络安全事件应急预2)运维团队有责任尽可能快地报告信息系统安全事态。熟知报告信息安全事态的规程和联3)服务台使用已商定文件化的信息系统安全事态和事件分级尺度评估每个信息系统安全事态，并决定该事态是否该归于信息系统安全事件。事件的分级和优先级有助于标识事件1)是否已识别、分析、处置、监控和控制与计划资产管理、控制管理活动的绩效相关的风2)是否已识别可能影响运营的风险来4)是否已确定影响领域，例如声誉、财务状况和法规遵从性；5)是否确定了可能影响关键服务交付的运1)采用风险分析的方法对单项测评结果中存在的不符合项或部分符合项,分析所产生的安全问题被威胁利用的可能性,判断其被威胁利用后对业务信息安全和系统服务安全造成影响的程度,综合评价这些不符合项或部分符合项对定级对象造成的安2)识别威胁/脆弱性/影响三者组合(暴1)由用户和专家对资产、威胁和脆弱性2)评估报告中包括风险级别、风险点等内容,确定信息系统的安全风险状4)应将风险评估中的信息资产、威胁、脆弱性、防护措施等评估项信息综合到一个数据库2)是否已识别可能影响运营的风险来1)以系统安全运行和数据安全保护为出发点，全面分析由于物理的、系统的、管理的、人2)通过对影响信息系统安全运行的诸多因素的了解和分析，明确系统存在的风险，找出克3)对常见的风险（如：后门／陷阱门、拒绝使用、辐射、盗用、伪造、假冒、逻辑炸弹、4)系统设计前和运行前应进行静态风险分析，以发现系统的潜在安全隐患；5)系统运行过程中应进行动态风险分析，测试、跟踪并记录其活动，以发现系统运行期的6)采用风险分析工具，通过收集数据、分析数据、输出数据，确定危险的严重性等级，分析危险的可能性等方法，进行风险分析，并确定APT检测能力包括预测、抵受、恢复和适应。1)抗APT攻击系统对异常流量和未知威设备或相关组件是否能记录攻击类型、攻击时间、2)抗APT攻击系统设备或相关组件对云服务客户网络攻击行为的产生攻击动作,验证抗APT攻击系统4)抗APT攻击系统设备或相关组件是否能够检测出具有恶意行为、过分占1)是否能够监测异常行为，并报警提醒;2)是否能够对异常行为进行必要的阻断;1)是否能检测到用户发起的网络攻击行为,并能记录攻击2)是否能检测到对虚拟网络节点的网络攻击行为,并能记录攻击类型1)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关能模块、操作内容等,能进行组合查询、排序、数据输出,系5)对审计进程进行保护,防止未经授8)可以分配给个人或进程的不同特权的数量；1)受保护的审计踪迹存储，审计踪迹的存储受到应有的保护，能检测或防止对审计记录的2)审计数据的可用性确保，在意外情况出现时，能检测或防止对审计记录的修改，以及在3)审计数据可能丢失情况下的措施，当审计跟踪超过预定的门限时，应采取相应的措施，4)防止审计数据丢失，在审计踪迹存储记满时，应采取相应的防止审计数据丢失的措施，2)是否能够对异常行为进行必要的阻4)是否分配了监控威胁信息来源的责任；2)核查是否部署了具备运行状态监测功能的系统或设备,能够对网络4)对安全系统的运行状态进行监测与日志记录,并提供异常日志的查询和导出并进行有效1)是否具有监测预警机制，制定自身的监测预警和信息通报制度，确定网络安全预警分级4)是否具有与外部组织之间、与其他运营者之间，以及运营者内部管理人员、内部网络安全管理机构与内部其他部门之间的沟通与合作机制，定期召开协调会议，共同研判、处1)对网络安全共享信息和报警情况等进行综合分析、研判，必要时生成内部预警信息；能持续获取预警发布机构的安全预警信息，分析、研判相关事件或威胁对自身可能造成损2)采取相关措施对预警信息进行响应，当安全隐患得以控制或消除时，应执行预警解除流程。发现可能危害关键业务的迹象时，能自动报警，并自动采取相应措施，降低关键业表15网络信息系统安全运营弹性三级评价指标1234表16网络信息系统安全运营弹性二级评价指标123456789表17网络信息系统安全运营弹性一级评价指标123表18网络信息系统安全运营弹性板块评价指标1a)在网络信息系统安全运营的弹性指标中，无弹性（一级指标）、弱弹性（一级指标）、低弹性（一级指标）、中弹性（一级指标）和高弹性的（一b)在网络信息系统安全运营的弹性指标中，无弹性（二级指标）、弱弹性（二级指标）、低弹性（二级指标）、中弹性（二级指标）和高弹性的（二2)在安全事件发生时，调整业务运行策略以应对相关险情的时间；和业务运行策略的百分1)安全事件发生后，恢复业务运行策略2)弹性指标：当安全事件发生时，调整访问控制策略以应对相关险情的时间；具有访问控制策略的关键网络资源的百分比可以动态修改访问控制策略的系统服务和网络资源的百2)是否能对配置管理策略进行有效性和安全性的评2)当安全事件发生时，调整配置管理策略调度相关资源保证系统最小功能集运行的时间；2)在安全事件发生时，调整密码应用策略以应对相应险情的时间；可调整密码应用策略的2)在安全事件发生时，调整备份恢复策略以应对相应险情的时间；可调整备份恢复策略的关键网络资源的百分比；备份恢复策略可支持备份恢复的关键信息百分比以及备份恢复2)安全事件发生后，从被破坏的网络资源恢复的关键网络资源的时间和百分比。1)遭受安全事件时获得供应商维护支系统恢复时获得供应商维护支持