网络安全等级保护评估服务建议书

1、xxxx网络安全等级保护评估服务技术建议书2009年6月目 录第一部份 综述4第二部份 总体方案建议51.项目目标52.等级保护评估范围53.等级保护评估原则94.等级保护评估理论及标准104.1标准与规范104.1.1等级保护评估标准104.1.2标准体现124.2等级保护模型124.2.1等级保护124.2.2等级划分134.2.3等级保护能力144.2.4安全要求评估与检查164.2.5券商网安全等级174.3券商网安全等级计算方法194.3.1对数法194.3.2矩阵法194.4评估理论模型204.4.1安全风险过程模型204.4.2安全风险关系模型204.4.3安全风险计算模型214

2、.5安全风险分析策略244.5.1风险计算原理244.5.2风险结果判定254.6券商网安全防护体系265.等级保护评估方案275.1第一次检查和评估285.1.1等级保护评估目标285.1.2等级保护评估方法285.1.3等级保护评估步骤285.1.4等级保护评估内容295.2第二次检查和评估335.2.1等级保护评估目标335.2.2等级保护评估方法335.2.3等级保护评估内容345.2.4远程评估375.2.5本地风险评估435.3评估过程风险控制48第一部份 综述随着近年来我国网络建设和信息化建设的加快，企业、政府机关等组织的业务和信息化的结合越来越紧密，在给组织带来巨大经济和社会效

3、益的同时，也给组织的信息安全和管理带来了严峻的挑战。一方面，信息安全由于其专业性，目前组织信息安全管理人员在数量和技能的缺乏等给全网的安全管理带来了很大的难度；另一方面现在的网络攻击技术新、变化快，往往会在短时间内造成巨大的破坏，同时由于互联网的传播使黑客技术具有更大的普及性和破坏性，会给组织造成很大的威胁，必需加强信息安全集中监管的能力和水平，从而减少组织的运营风险。通过对xxxx的重要信息系统等级保护安全技术检查和风险评估，可以了解目前xxxx等级保护的定级是否准确、是否按照国家要求进行定级，同时能够识别网络中存在的各种安全风险，并以此为依据有目的性地调整网络的保护等级并提供解决方案，针对

4、网络保护中存在的各种安全风险进行相应的网络安全技术和网络安全产品的选用和部署，对全网的安全进行统一的规划和建设，并根据等级保护检查和风险评估的结果指导xxxx下一步等级保护工作的开展,确实有效保障网络安全稳定运行。正是在这样的背景下，yyyy结合自身多年在安全行业和等级保护的积累，为xxxx的网络安全等级保护提出了具有国内领先水平的等级保护评估方案。本方案主要包括以下组成部分：一综述二总体方案建议第二部份 总体方案建议1. 项目目标本次对xxxx重要信息系统等级保护安全技术检查和风险评估的目标是：l 对重要信息系统的安全等级进行检查和评估，判断其定级是否准确，定级是否符合国家有关部门的要求。l

5、 通过等级保护安全技术检查和评估，对等级保护定级不准确或者不符合要求的信息系统给出建议。2. 等级保护评估范围本次评估，yyyy充分理解公安部的信息系统安全等级保护实施指南、信息系统安全等级保护定级指南等标准设计等级保护安全评估方案，对xxxx公司的重要信息系统的等级和安全现状进行评估。本项目所评估的网络系统包含：等等。具体评估系统如下：3级以下信息系统如下：（共个信息系统）3. 等级保护评估原则yyyy等级保护评估服务将遵循以下原则：l 保密原则：yyyy将与xxxx签订保密协议，同时公司与每个参与本项目的员工签订信息保密协议，保证项目过程中和项目结束后不会向第三方泄漏机密信息，保证公司和个

6、人不会利用评估结果对xxxx造成侵害。在项目过程中获知的任何用户的信息，经过双方确认，并对相关文档属用户秘密信息，严格遵守保密协议中规定的要求，确保在实施，维护，合同有效期内的信息安全。l 标准性原则：yyyy对xxxx等级保护评估方案的设计与实施应依据相关的等级保护安全标准以及国家有关部门制定信息安全和风险管理领域的国家标准进行，确保等级保护风险评估过程的规范、合理，并为等级保护评估成果提供了质量保证。l 规范性原则：yyyy在等级保护评估项目中提供规范的工作过程和文档，具有很好的规范性，可用于项目的跟踪和控制。评估项目的实施由专业的项目管理人员和安全服务人员依照规范的操作流程进行，在评估之

7、前制定计划和必要的工作申请，并提前告知对系统可能的影响，并提出风险规避措施并做出必要的应急准备，在操作过程中对操作的过程和结果要提供规范的记录，并形成完整的评估过程报告。l 可控性原则：yyyy的等级保护评估的方法、过程以及评估工具在项目开始之前经过xxxx严格测试并认可，评估服务的实际进度与进度表安排一致，对于由于客观因素需要的项目计划变更，将由双方项目经理进行确认，保证客户对于评估工作的可控性。l 整体性原则：yyyy在xxxx网络安全等级保护评估项目中的范围和内容整体全面，涉及，明确xxxx计算机网络中的各个定级对象，评估其安全等级，同时评估其安全风险以及其产生的原因。l 最小影响原则：

8、yyyy的等级保护风险评估工作的原则是做到对于用户系统和网络运行的影响最小化，不能对正在运行的系统和业务的正常提供产生显著不利影响。在评估项目实施过程中，首先，远程风险评估和本地安全审计在业务不繁忙时段进行；其次，有主次互备的主机系统和设备，首先在备份机上进行安全评估，确信对业务系统不会有不利影响后方在主机上实施相应的安全评估；对于特别重要的系统和设备，若不满足直接对本机进行风险评估的条件，则应考虑采取其他更为稳妥的安全措施（如：考虑在其边界部署安全防护措施）。4. 等级保护评估理论及标准12344.1 标准与规范4.1.1 等级保护评估标准yyyy为xxxx提供的网络安全等级保护风险评估服务

9、，将主要依据信息系统安全等级保护定级指南、信息系统安全等级保护实施指南和信息系统安全等级保护基本要求进行评估，同时为保证本次评估的全面性，还将参考相关的国际标准、国内标准和电信行业的相关规范，并有选择性地采纳了优秀的风险评估理论。国际标准包括BS7799， AS/NZS 4360: 1999 , ISO15408等；国家标准包括GAO/AIMD-00-33信息安全风险评估，GB17859，GB18336等。这些标准和操作指南目前已经被我公司在以往的评估项目中进行了实践，并得到了用户的认可和好评。除对标准的遵循外，yyyy的风险评估过程还紧密结合xxxx的各种业务特征，依据xxxx各业务的业务特

10、点，系统地制定了xxxx网络安全等级保护风险评估方案。4.1.2 标准体现评估过程参照标准全过程 信息安全等级保护管理办法调查表和问题的设计 信息系统安全等级保护定级指南 加拿大威胁和风险评估工作指南 美国国防部彩虹系列NCSC-TG-019 ISO17799/BS7799定级对象评估 信息系统安全等级保护定级指南 ISO17799/BS7799 加拿大威胁和风险评估工作指南风险分析方法 ISO13335风险分析模型 AS/NZS 4360: 1999 风险管理标准风险计算模型 AS/NZS 4360: 1999 风险管理标准 GAO/AIMD-00-33信息安全风险评估4.2 等级保护模型4

11、.2.1 等级保护信息系统是颇受诱惑力的被攻击目标。它们抵抗着来自各方面威胁实体的攻击。对信息系统实行安全保护的目的就是要对抗系统面临的各种威胁，从而尽量降低由于威胁给系统带来的损失。能够应对威胁的能力构成了系统的安全保护能力之一对抗能力。但在某些情况下，信息系统无法阻挡威胁对自身的破坏时，如果系统具有很好的恢复能力，那么即使遭到破坏，也能在很短的时间内恢复系统原有的状态。能够在一定时间内恢复系统原有状态的能力构成了系统的另一种安全保护能力恢复能力。对抗能力和恢复能力共同形成了信息系统的安全保护能力。不同级别的信息系统应具备相应等级的安全保护能力，即应该具备不同的对抗能力和恢复能力，以对抗不同

12、的威胁和能够在不同的时间内恢复系统原有的状态。针对各等级系统应当对抗的安全威胁和应具有的恢复能力，基本要求提出各等级的基本安全要求。基本安全要求包括了基本技术要求和基本管理要求，基本技术要求主要用于对抗威胁和实现技术能力，基本管理要求主要为安全技术实现提供组织、人员、程序等方面的保障。各等级的基本安全要求，由包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面的基本安全技术措施和包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的基本安全管理措施来实现和保证。下图表明了基本要求的描述模型。每一等级信息系统安全保护能力技术措施管理措施包含具备基本安全

13、要求满足包含满足实现图1-2基本要求的描述模型4.2.2 等级划分作为保护对象，管理办法中将信息系统分为五级，分别为：第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

14、4.2.3 等级保护能力1) 定义a) 对抗能力能够应对威胁的能力构成了系统的安全保护能力之一对抗能力。不同等级系统所应对抗的威胁主要从威胁源（自然、环境、系统、人为）动机（不可抗外力、无意、有意）范围（局部、全局）能力（工具、技术、资源等）四个要素来考虑。在对威胁进行级别划分前，我们首先解释以上几个要素：l 威胁源是指任何能够导致非预期的不利事件发生的因素，通常分为自然（如自然灾害）环境（如电力故障）IT系统（如系统故障）和人员（如心怀不满的员工）四类。l 动机与威胁源和目标有着密切的联系，不同的威胁源对应不同的目标有着不同的动机，通常可分为不可抗外力（如自然灾害）无意的（如员工的疏忽大意）

15、和故意的（如情报机构的信息收集活动）。l 范围是指威胁潜在的危害范畴，分为局部和整体两种情况；如病毒威胁，有些计算机病毒的传染性较弱，危害范围是有限的；但是蠕虫类病毒则相反，它们可以在网络中以惊人的速度迅速扩散并导致整个网络瘫痪。l 能力主要是针对威胁源为人的情况，它是衡量攻击成功可能性的主要因素。能力主要体现在威胁源占有的计算资源的多少、工具的先进程度、人力资源（包括经验）等方面。通过对威胁主要因素的分析，我们可以组合得到不同等级的威胁：第一级：本等级的威胁是1）危害范围为局部的环境或者设备故障、2）无意的员工失误以及3）低能力的渗透攻击等威胁情景。典型情况如灰尘超标（环境）单个非重要工作站

16、（设备）崩溃等。第二级：本等级的威胁主要是1）危害局部的较严重的自然事件、2）具备中等能力、有预设目标的威胁情景。典型情况如有组织的情报搜集等。第三级：本等级的威胁主要是1）危害整体的自然事件、2）具备较高能力、大范围的、有预设目标的渗透攻击。典型情况如较严重的自然灾害、大型情报组织的情报搜集等。第四级：本等级的威胁主要是1）危害整体的严重的自然事件、2）国家级渗透攻击。典型情况如国家经营，组织精良，有很好的财政资助，从其他具有经济、军事或政治优势的国家收集机密信息等。b) 恢复能力但在某些情况下，信息系统无法阻挡威胁对自身的破坏时，如果系统具有很好的恢复能力，那么即使遭到破坏，也能在很短的时

17、间内恢复系统原有的状态。能够在一定时间内恢复系统原有状态的能力构成了另一种安全保护能力恢复能力。恢复能力主要从恢复时间和恢复程度上来衡量其不同级别。恢复时间越短、恢复程度越接近系统正常运行状态，表明恢复能力越高。第一级：系统具有基本的数据备份功能，在遭到破坏后能够不限时的恢复部分系统功能。第二级：系统具有一定的数据备份功能，在遭到破坏后能够在一段时间内恢复部分功能。第三级：系统具有较高的数据备份和系统备份功能，在遭到破坏后能够较快的恢复绝大部分功能。第四级：系统具有极高的数据备份和系统备份功能，在遭到破坏后能够迅速恢复所有系统功能。2) 不同等级的安全保护能力信息系统的安全保护能力包括对抗能力

18、和恢复能力。不同级别的信息系统应具备相应等级的安全保护能力，即应该具备不同的对抗能力和恢复能力。将“能力”分级，是基于系统的保护对象不同，其重要程度也不相同，重要程度决定了系统所具有的能力也就有所不同。一般来说，信息系统越重要，应具有的保护能力就越高。因为系统越重要，其所伴随的遭到破坏的可能性越大，遭到破坏后的后果越严重，因此需要提高相应的安全保护能力。不同等级信息系统所具有的保护能力如下：一级安全保护能力：应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害，在系统遭到损害后，能够恢复部分功能。二级安全保护能力：应能

19、够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在一段时间内恢复部分功能。三级安全保护能力：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。四级安全保护能力：应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难

20、、以及其他相当危害程度的威胁所造成的资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够迅速恢复所有功能。4.2.4 安全要求评估与检查首先介绍基本要求的安全要求的分类。安全要求从整体上分为技术和管理两大类，其中，技术类安全要求按其保护的侧重点不同，将其下的控制点分为三类：信息安全类（S类）关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改。如，自主访问控制，该控制点主要关注的是防止未授权的访问系统，进而造成数据的修改或泄漏。至于对保证业务的正常连续运行并没有直接的影响。服务保证类（A类）关注的是保护系统连续正常的运行，避免因对系统的未授权修改、破坏而导致系统不可

21、用。如，数据的备份和恢复，该控制点很好的体现了对业务正常运行的保护。通过对数据进行备份，在发生安全事件后能够及时的进行恢复，从而保证了业务的正常运行。通用安全保护类（G类）既关注保护业务信息的安全性，同时也关注保护系统的连续可用性。大多数技术类安全要求都属于此类，保护的重点既是为了保证业务能够正常运行，同时数据要安全。如，物理访问控制，该控制点主要是防止非授权人员物理访问系统主要工作环境，由于进入工作环境可能导致的后果既可能包括系统无法正常运行（如，损坏某台重要服务器），也可能窃取某些重要数据。因此，它保护的重点二者兼而有之。技术安全要求按其保护的侧重点不同分为S、A、G三类，如果从另外一个角

22、度考虑，根据信息系统安全的整体结构来看，信息系统安全可从五个层面：物理、网络、主机系统、应用系统和数据对系统进行保护，因此，技术类安全要求也相应的分为五个层面上的安全要求：物理层面安全要求：主要是从外界环境、基础设施、运行硬件、介质等方面为信息系统的安全运行提供基本的后台支持和保证；网络层面安全要求：为信息系统能够在安全的网络环境中运行提供支持，确保网络系统安全运行，提供有效的网络服务；主机层面安全要求：在物理、网络层面安全的情况下，提供安全的操作系统和安全的数据库管理系统，以实现操作系统和数据库管理系统的安全运行；应用层面安全要求：在物理、网络、系统等层面安全的支持下，实现用户安全需求所确定

23、的安全目标；数据及备份恢复层面安全要求：全面关注信息系统中存储、传输、处理等过程的数据的安全性。管理类安全要求主要是围绕信息系统整个生命周期全过程而提出的，均为G类要求。信息系统的生命周期主要分为五个阶段：初始阶段、采购/开发阶段、实施阶段、运行维护阶段和废弃阶段。管理类安全要求正是针对这五个阶段的不同安全活动提出的，分为：安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理五个方面。4.3 券商网安全等级计算方法4.3.1 对数法可使用下面的公式来计算券商网和互联网及相关系统的安全等级值：k = Round1Log22I+2V+2R 其中，k 代表安全等级值，I代表社会影响力

24、赋值、V代表所提供服务的重要性赋值、R代表服务用户数赋值，Round1表示四舍五入处理，保留1位小数；Log2表示取以2为底的对数，、分别表示券商网和互联网及相关系统的社会影响力、所提供服务的重要性、服务用户数赋值所占的权重，网络和业务运营商可根据具体网络的情况确定的、取值，0，0，0，且+=1。计算所得券商网和互联网及相关系统的安全等级值与安全等级的映射关系如表A.1所示。表A.1 安全等级值与安全等级的映射关系安全等级值k安全等级k 1自主保护级1 k 2指导保护级2 3重点监督保护级4.3.2 矩阵法矩阵法是通过建立券商网和互联网及相关系统的社会影响力、所提供服务的重要性、服务用户数的一

25、个对应矩阵，并且预先根据一定的方法确定了安全等级。使用本方法需要首先确定券商网和互联网及相关系统的社会影响力、所提供服务的重要性、服务用户数赋值，再查矩阵获得其安全等级。例如，采用对数法提前确定矩阵中的安全等级，并设=1/3，安全等级的1、2、3.1和3.2分别对应自主保护级、指导保护级、普通监督保护级和重点监督保护级，则可得表A.2所示的安全等级判别矩阵。表A.2 安全等级判别矩阵安全等级社会影响力1234服务用户数1234123412341234所提供服务的重要性11223.1223.13.123.13.13.23.13.13.23.22223.13.1223.13.13.13.13.13

26、.23.13.13.23.2323.13.13.23.13.13.13.23.13.13.13.23.23.23.23.243.13.13.23.23.13.13.23.23.23.23.23.23.23.23.23.24.4 评估理论模型xxxx风险评估项目方案中提供的安全风险模型主要依据ASNZS 4360:1999标准、国际风险评估标准BBS7799，ISO/IEC 13335，结合xxxx数据网和网管网的特点，建立以下安全模型：l 安全风险过程模型l 安全风险关系模型l 安全风险计算模型l 安全风险管理模型4.4.1 安全风险过程模型安全风险可以理解为一种状态向另一种状态迁移的过程。下

27、图给出了一个安全风险状态的转换过程。v 安全风险过程模型（摘自GA/T 391-2002）4.4.2 安全风险关系模型为了更加清晰的描述xxxx面临的安全风险，以及造成风险的各个要素之间的关系，我们根据相关国际标准（ASNZS 4360：1999;BS7799/ISO 17799; ISO/IEC 13335等）建立xxxx网络安全风险关系模型。主要以风险为中心形象的进行描述了xxxx网络络所面临的风险、弱点、威胁及其相应的资产价值、安全需求、安全控制、安全影响等动态循环的复杂关系。v 安全风险关系模型安全风险关系模型动态的表现了xxxx网络所面临的安全风险与其它各个要素之间的内在关系。从评估

28、的角度来说，xxxx网络面临很多威胁（外部威胁、内部威胁），攻击者利用网络存在的弱点（物理环境、网络结构、网络服务、网管系统、主机系统、数据、应用系统、安全系统、安全相关人员、处理流程、安全管理制度、安全策略等等），攻击网络，增加了xxxx网络所面临的威胁，同时，攻击事件的成功导致资产的暴露（信息资产、物质资产、软件资产、服务、设备、人员等），造成安全风险；同时资产的暴露（如xxxx高级管理人员由于不小心而导致重要机密信息的泄露），随着资产价值的大小而导致相应安全风险。4.4.3 安全风险计算模型安全风险计算过程描述如下图：计算模型要素及相互关系说明l 输入u 资产级别：是指资产的相对级别，在

29、进行资产评估时进行资产价值定义，一般从资产的机密性、完整性和可用性三个方面的安全需求去描述。u 脆弱性级别：业务系统中的各种脆弱性级别，包括技术性和非技术性脆弱性。u 威胁级别：根据威胁的可能性以及威胁的后果计算出的等级。 l 方法简要描述u 定量分析方法：用于建立风险级别矩阵，计算出风险等级。u 历史分析方法：威胁的可能性通过该方法计算得出。通过检测过去发生过的事件发生的频率来决定该事件再次发生的概率。在xxxx网络风险评估中采用该方法主要通过统计分析CERT库来得出世界上各种典型攻击事件发生的概率。l 风险计算矩阵与输出风险计算矩阵是按照相关国际标准(ASNZS 4360：1999;BS7

30、799/ISO 17799; ISO/IEC 13335等)，采用国际上典型的风险计算方法对xxxx网络所面临的风险级别矩阵进行计算得到xxxx所面临的各种安全风险，计算出xxxx网络的安全风险。对于特定环境下资产的脆弱性，安全风险的相关因素包括威胁利用的可能性以及造成的影响。u 可能性评价可能性需要考虑资产已有的安全控制措施、弱点的利用难易程度。可能性属性非常难以度量，它依赖于具体的资产、弱点和影响。该属性还和时间有关系。所以，在威胁评估中，评估者的专家经验非常重要。遵照AS/NZS 4360:1999标准，对风险可能性说明如下：赋值说明4几乎肯定，预计在大多数情况下发生，不可避免（99%）

31、3很可能，在大多数情况下可能会发生（90% 99%）2可能，在某个时间可能会发生（50% 90%）1不太可能，在某个时间能够发生（50%10%）0不可能，罕见，仅在例外的情况下可能发生（10%）u 影响评价威胁的影响需要考虑资产的价值以及弱点利用对业务造成的影响：赋值说明4资产全部损失，对业务造成巨大的财务损失，且不可恢复3资产遭受重大损失，对业务造成大量财务损失，但可以恢复2资产遭受明显损失，对业务造成一定影响1资产遭受一定破坏，但可以立即控制0无破坏，损失可忽略u 风险计算矩阵在本项目中，可以参照下面的矩阵进行风险分析和计算：风险影响01234可能性4HHEEE3MHHEE2LMHEE1L

32、LMHE0LLMHH风险等级说明：E：极度风险，要求立即采取措施H：高风险，需要高级管理部门的注意M：中等风险，必须规定管理责任L：低风险，用日常程序处理4.5 安全风险分析策略4.5.1 风险计算原理在完成了资产识别、威胁识别、脆弱性识别后，将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性，综合资产价值及脆弱性的严重程度判断安全事件一旦发生造成的损失，最终得到风险值。风险计算原理如下图所示：风险计算原理示意图对风险计算原理可以采用下面的范式形式化加以说明：风险值 = R（A，T，V）= R（L（Ta，Vb），F（Ia，Va）其中，R表示安全风险计算函数，A表示资产，T表示威胁

33、，V表示脆弱性，Ta表示威胁出现的频率，Ia表示安全事件所作用的资产价值，Va表示脆弱性严重程度，Vb表示存在的脆弱性，L表示威胁利用资产存在的脆弱性导致安全事件发生的可能性，F表示安全事件发生后产生的损失。有以下三个关键计算环节：a）计算安全事件发生的可能性根据威胁出现频率及脆弱性状况，计算威胁利用脆弱性导致安全事件发生的可能性，即：安全事件发生的可能性 = L（威胁出现频率，脆弱性）= L（Ta，Vb）在具体评估中，应综合攻击者技术能力（专业技术程度、攻击设备等）、脆弱性被利用的难易程度（可访问时间、设计和操作知识公开程度等）、资产吸引力等因素来判断安全事件发生的可能性。b）计算安全事件发

34、生后的损失 根据资产价值及脆弱性严重程度，计算安全事件一旦发生造成的损失，即：安全事件的损失 = F（资产价值，脆弱性严重程度）= F（Ia，Va）部分安全事件发生造成的损失不仅仅是针对该资产本身，还可能影响其提供业务的连续性。不同安全事件对组织造成的影响也是不一样的，在计算某个安全事件的损失时，应将对组织的影响也考虑在内。c）计算风险值根据计算出的安全事件发生的可能性以及安全事件的损失，计算风险值，即：风险值 = R（安全事件发生的可能性，安全事件的损失）= R（L（Ta，Vb），F（Ia，Va）4.5.2 风险结果判定为实现对风险的控制与管理，对风险值进行等级化处理，将风险划分为一定的级别

35、，本标准文件将风险等级划分为五级，每个等级代表了相应风险的严重程度，等级越高，风险越高。表12提供了一种风险等级划分方法。风险等级划分表等级标识描述5很高一旦发生将使券商网和互联网及相关系统遭受非常严重破坏，组织利益受到非常严重损失，如组织信誉严重破坏、严重影响组织业务的正常运行、经济损失重大、社会影响恶劣4高如果发生将使券商网和互联网及相关系统遭受比较严重的破坏，组织利益受到很严重损失3中等发生后将使券商网和互联网及相关系统受到一定的破坏，组织利益受到中等程度的损失2低发生后将使券商网和互联网及相关系统受到的破坏程度和利益损失一般1很低即使发生只会使券商网和互联网及相关系统受到较小的破坏在得

36、到资产的风险值之后，需要结合资产已经采取的安全措施判断其风险是否在可以接受的范围内，如果风险结果在可接受的范围内，则该风险是可接受的风险，应保持已有的安全措施；如果风险结果在可接受的范围外，是不可接受的风险，需要制定风险处理计划并采取新的安全措施降低、控制风险。主管部门或者网络和业务运营商应综合考虑风险控制成本与风险造成的影响，提出一个可接受风险阈值。4.6 券商网安全防护体系整个体系分为三层，第一层为整个安全防护体系的总体指导性规范，明确了对券商网和互联网安全防护的定义、目标、原则，并说明了安全防护体系中的角色划分以及体系组成。第二层从宏观的角度明确了如何进行安全防护工作，规范了安全防护体系

37、中安全等级保护、安全风险评估、灾难备份及恢复等三部分工作的原则、流程、方法、步骤等。第三层对券商网和互联网安全防护范畴中的安全防护工作的实施进行了具体规范，其中。等业务平台以及业务管理平台。对。业务网实施安全防护，应分别从构成上述网络的不同券商网和互联网相关系统入手进行安全等级保护、安全风险评估、灾难备份及恢复等工作，并制定相应的安全防护要求和安全防护检测要求。5. 等级保护评估方案本项目具体内容如下：1 第一次23455.1 检查和评估5.1.1 等级保护评估目标对xxxx的重要信息系统等级保护安全技术检查和风险评估，具体包括xxxx的。：l 通过等级保护安全技术检查和评估获得xxxx重要信

38、息系统的定级情况的报告和安全风险报告。l 根据等级保护定级情况报告和安全风险报告，为xxxx的等级保护工作以及安全建设工作提出建议。l 通过评估了解xxxx重要信息系统的网络安全现状，为xxxx进一步加强对重要信息系统的安全防护提供建议。5.1.2 等级保护评估方法（1） 文档查询：阅读有关网络结构与网络环境，主要的硬件、软件及其承载的数据和信息、管理、维护和使用的人员等文档。从而为确定定级对象、等级提供参考。（2） 调查问卷：调查问卷是提供一套关于管理或操作控制的问题表格，供技术或管理人员填写；（3） 人员访谈：与有关人员访谈，了解系统发射故障对国家安全、社会秩序、公民法人的合法权益的影响程

39、度。（4） 实地观察:，现场面谈则是由评估人员到现场观察并收集被评估方在物理、环境和操作方面的信息。（5） 评估工具: 利用工具尽可能多地收集、分析和整理券商网和互联网的相关信息，在此基础上形成准确的券商网和互联网总体描述文件。5.1.3 等级保护评估步骤1） 定级对象评估2） 评定等级评估a) 相关系统的社会影响力赋值评估b) 服务的重要性赋值评估c) 服务用户数赋值评估5.1.4 等级保护评估内容根据主管部门的要求，遵照安全等级保护的管理和技术方面的标准，针对已经实施了安全等级保护的券商网和互联网及相关系统，检测实施的安全保护措施是否符合相应安全等级的安全防护要求。5.1.4.1 定级对象

40、评估一个单位内运行的信息系统可能比较庞大，为了体现重要部分重点保护，有效控制信息安全建设成本，优化信息安全资源配置的等级保护原则，可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。作为定级对象的信息系统应具有如下基本特征：a) 具有唯一确定的安全责任单位作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任，则这个下级单位可以成为信息系统的安全责任单位；如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任，则该信息系统的安全责任单位应是这些下级单位共同所属的单位。b) 具有信息系统的基

41、本要素作为定级对象的信息系统应该是由相关的和配套的设备、设施按照一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件，如服务器、终端、网络设备等作为定级对象。c) 承载单一或相对独立的业务应用定级对象承载“单一”的业务应用是指该业务应用的业务流程独立，且与其他业务应用没有数据交换，且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立，同时与其他业务应用有少量的数据交换，定级对象可能会与其他业务应用共享一些设备，尤其是网络传输设备。5.1.4.2 安全等级评估券商网和互联网安全防护体系中，确定安全等级是进行安全等级保护的前提和基础，直接影响和指

42、导安全防护体系中的安全风险评估和灾难备份及恢复工作。网络和业务运营商应应根据本标准文件的定级方法确定券商网和互联网及相关系统的安全等级，以保证定级的科学性和准确性。在券商网和互联网及相关系统中进行安全等级划分的总体原则是：券商网和互联网及相关系统受到破坏后对国家安全、社会秩序、经济建设、公共利益、网络和业务运营商的损害程度。券商网和互联网及相关系统可以划分为三个安全等级，分别为自主保护级、指导保护级和监督保护级，其中监督保护级又分为普通监督保护级和重点监督保护级。主管部门对不同级别的券商网和互联网及相关系统实行不同等级的监管。第1级 自主保护级券商网和互联网及相关系统遭到破坏后仅对其所有者的利

43、益产生损害，但是不损害国家安全、社会秩序、经济建设、公共利益。本级按照通信行业安全标准进行自主保护。第2级 指导保护级券商网和互联网及相关系统遭到破坏后对社会秩序、经济建设、公共利益以及网络和业务运营商造成轻微损害。本级在主管部门的指导下，按照行业安全标准进行自主保护。第3级 监督保护级分为两种情况：3.1级 普通监督保护级券商网和互联网及相关系统遭到破坏后对国家安全、社会秩序、经济建设、公共利益以及网络和业务运营商造成较大损害。本级按照行业安全标准进行自主保护，主管部门对其进行监督、检查。3.2级 重点监督保护级券商网和互联网及相关系统遭到破坏后对国家安全、社会秩序、经济建设、公共利益以及网

44、络和业务运营商造成严重损害。本级按照通信行业安全标准进行自主保护，主管部门对其进行重点监督、检查。决定券商网和互联网及相关系统的安全等级的具体定级要素及其赋值如下：a）券商网和互联网及相关系统的社会影响力券商网和互联网及相关系统的社会影响力表示其无法提供有效服务对国家安全、社会秩序、经济建设、公共利益的影响程度，券商网和互联网及相关系统的社会影响力赋值如下表所示。对券商网和互联网及相关系统的社会影响力赋值表社会影响力定义赋值券商网和互联网及相关系统无法提供有效服务对国家安全、社会秩序、经济建设、公共利益的影响较小1券商网和互联网及相关系统无法提供有效服务对国家安全、社会秩序、经济建设、公共利益

45、的影响较大2券商网和互联网及相关系统无法提供有效服务对国家安全、社会秩序、经济建设、公共利益的影响很大3券商网和互联网及相关系统无法提供有效服务对国家安全、社会秩序、经济建设、公共利益的影响非常大4b）券商网和互联网及相关系统所提供服务的重要性券商网和互联网及相关系统所提供服务的重要性表示其提供的服务对网络和业务运营商的影响程度。券商网和互联网及相关系统所提供服务的重要性赋值如下表所示。券商网和互联网及相关系统所提供服务的重要性赋值表所提供服务的重要性定义赋值券商网和互联网及相关系统所提供服务的重要性一般，无法提供服务对网络和业务运营商产生较小的影响1券商网和互联网及相关系统所提供服务的重要性

46、较高，无法提供服务对网络和业务运营商产生较大的影响2券商网和互联网及相关系统所提供服务的重要性很高，无法提供服务对网络和业务运营商产生很大的影响3券商网和互联网及相关系统所提供服务的重要性非常高，无法提供服务对网络和业务运营商产生非常大的影响4c）券商网和互联网及相关系统的服务用户数券商网和互联网及相关系统的服务用户数表示其服务的用户数多少，券商网和互联网及相关系统的服务用户数赋值如下表所示。券商网和互联网及相关系统的服务用户数赋值表服务用户数定义赋值券商网和互联网及相关系统无法提供有效服务会对较少的用户造成影响1券商网和互联网及相关系统无法提供有效服务会对较多的用户造成影响2券商网和互联网及

47、相关系统无法提供有效服务会对很多的用户造成影响3券商网和互联网及相关系统无法提供有效服务会对非常多的用户造成影响4在确定好券商网和互联网及相关系统的社会影响力、所提供服务的重要性、服务用户数三个定级要素的赋值后，本方案第二部份4.3节内容中列举的几种安全等级计算方法可做参考。安全等级确定可能不是一个过程就可以完成的，可能需要经过定级要素赋值、定级、定级结果调整的循环过程，最终才能确定出较为科学、准确的安全等级。5.1.4.3 安全风险评估券商网和互联网安全风险评估工作通常采用自评估和检查评估的方式。自评估可在主管部门相关管理规定指导下，由网络和业务运营商实施或委托主管部门授权的具有安全防护检测

48、服务资质的检测机构实施。通过自评估，网络和业务运营商可以更好地了解处于自己管理的券商网和互联网及相关系统安全状况以及存在的风险，为规避损失、采取安全防护措施提供依据。检查评估由主管部门发起，由主管部门或具有安全防护检测服务资质的检测机构进行实施。检查评估通常采用定期、抽样的评估模式。通过检查评估，主管部门可以督促网络和业务运营商时刻保持安全防护意识，完善安全防护体系建设，保证券商网和互联网的安全和有效运行。安全风险评估实施的基本过程券商网和互联网安全风险评估应贯穿于券商网和互联网生命周期的各阶段中，在生命周期不同阶段的风险评估原则和方法是一致的。在券商网和互联网的安全风险评估工作中，应首先进行

49、相关工作的准备，通过安全风险分析计算券商网和互联网及相关系统的风险值，进而确定其风险等级和风险防范措施。安全风险分析中要涉及资产、威胁、脆弱性等基本要素，每个要素有各自的属性。资产的属性是资产价值；威胁的属性可以是威胁主体、影响对象、出现频率、动机等；而脆弱性的属性是资产弱点的严重程度等。5.2 第二次检查和评估5.2.1 等级保护评估目标l 对xxxx重要信息系统进行再次检查和评估，判断其安全保护等级是否需要进行调整,形成xxxx重要信息系统等级保护的定级调整建议。l 通过评估获得xxxx重要信息系统的网络安全风险报告，形成风险列表。l 通过等级保护安全技术检查和评估了解xxxx网络安全现状

50、，为xxxx今后的网络安全建设、安全管理体系建设提供建议。5.2.2 等级保护评估方法（1） 文档查询：阅读有关网络结构与网络环境，主要的硬件、软件及其承载的数据和信息、管理、维护和使用的人员等文档。从而为确定定级对象、等级提供参考。（2） 调查问卷：调查问卷是提供一套关于管理或操作控制的问题表格，供技术或管理人员填写；（3） 人员访谈：与有关人员访谈，了解系统发射故障对国家安全、社会秩序、公民法人的合法权益的影响程度。（4） 实地观察:，现场面谈则是由评估人员到现场观察并收集被评估方在物理、环境和操作方面的信息。（5） 评估工具: 利用工具尽可能多地收集、分析和整理券商网和互联网的相关信息，

51、在此基础上形成准确的券商网和互联网总体描述文件。5.2.3 等级保护评估内容5.2.3.1 等级再评估l 安全检查和持续改进在券商网和互联网及相关系统安全运维过程中，会发生券商网和互联网及相关系统变更、安全状态改变等情况，因此必须定期对券商网和互联网及相关系统进行安全检查。通过安全状态检查，为券商网和互联网及相关系统的持续改进过程提供依据和建议，确保券商网和互联网及相关系统的安全保护能力满足其相应等级的基本安全要求和自身特殊的安全需求。安全检查可以采用定期的安全等级保护检测、自我检查等手段实现。风险评估可以作为安全检查的一种手段。通过询问、检查和测试等多种手段，进行安全状况检查，记录各种检查活

52、动的结果数据，分析安全措施的有效性、安全事件产生的可能性，并可根据检查结果提出对券商网和互联网及相关系统的改进需求和建议等。l 改进方案制定和实施根据安全检查结果对券商网和互联网及相关系统进行持续改进，确定安全改进的策略，分为如下几种情况：1） 如果涉及安全等级的变化，则应进入安全等级保护的一个新的循环过程；2） 如果安全等级不变i. 如果调整内容较多、涉及范围较大，则应对安全改进项目进行立项，重新开始安全实施过程；ii. 如果调整内容较小，则制定安全改进方案进行局部补充或局部调整，确定安全改进的工作方法、工作内容、人员分工、时间计划、管理内容的调整和技术内容的调整等。然后进行安全改进方案的实

53、施，并对改进后的券商网和互联网及相关系统进行验收。通过对券商网和互联网及相关系统进行持续改进，确保券商网和互联网及相关系统的安全保护能力满足相应等级安全要求和自身特殊的安全需求，确保安全等级保护工作的有效性。对安全状态检查后，形成安全检查报告；制定安全改进方案以及验收报告。券商网和互联网及相关系统的生命周期包括五个阶段，即启动阶段、设计阶段、实施阶段、运维阶段和废弃阶段。券商网和互联网及相关系统的安全等级保护工作将贯穿其生命周期的各个阶段。安全等级保护工作可分为：对新建券商网和互联网及相关系统的安全等级保护和对已建券商网和互联网及相关系统的安全等级保护，两者在券商网和互联网及相关系统生命周期中

54、的切入点是不同的，但是安全等级保护工作的主要活动基本相同，其安全等级保护过程与券商网和互联网及相关系统生命周期的关系如下图所示。 新建的券商网和互联网及相关系统在生命周期中的各个阶段应同步考虑安全等级保护的主要活动。在启动阶段，应该仔细分析和合理划分各个券商网和互联网及相关系统，确定各个券商网和互联网及相关系统的安全等级，定级过程也可能在设计阶段；在设计阶段，应该根据各个券商网和互联网及相关系统的安全等级，进行安全规划设计；在实施阶段，应在券商网和互联网及相关系统建设的同时，同步进行安全措施的实施；在运维阶段，应按照本系列标准文件中安全等级保护的要求进行安全运维；在废弃阶段，应对废弃的设备、信

55、息或存储介质等资产进行有效的安全管理。已建的券商网和互联网及相关系统通常处于运维阶段，由于在启动阶段、设计阶段和实施阶段可能没有同步考虑安全等级保护的要求或者对安全等级保护的要求考虑不足，因此应在运维阶段启动安全等级保护工作，安全等级保护过程中的安全等级确定、安全规划设计、安全实施的主要活动都将在生命周期的运维阶段完成。由于是已经存在的券商网和互联网及相关系统，工作的重点是在现有网络的基础上，根据安全等级保护要求，在安全规划设计阶段如何制定满足要求的补充的安全建设方案，在安全实施阶段如何保证在不影响现有业务/应用的情况下，分步骤分阶段分目标地使各类安全补救措施可以顺利落实。在已建的券商网和互联网及相关系统基础上进行扩容的安全等级保护工作，扩容部分应与新建的券商网和互联网及相关系统的安全等级保护过程一致。5.2.3.2 技术评估通过调查或查阅资料等方式，确定具体进行安全等级保护工作的对象，包括整体对象（如机房、办公环境