信息安全技术信息安全风险评估实施指南

信息安全技术信息安全风险评估实施指南

国家标准 GB/T3150g一2015 信息安全技术信息安全风险评估 实施指南 Informationseeuritytechnology一(Gideofimplementationfor informationsecurityriskassessmenmt 2015-05-15发布 2016-01-01实施 国家质量监督检验检疫总局 发布 国家标准化管理委员会国家标准
GB/I3150g一2015 目 次 前言 引言 范围 规范性引用文件 术语、定义和缩略语 风险评估实施概述 4.1实施的基本原则 4.2实施的基本流程 4.3风险评估的工作形式 信息系统生命周期内的风险评估 4.4 风险评估实施的阶段性工作 淮备阶段 5.1 5.2识别阶段 5.3风险分析阶段 21 5.4风险处理建议 24 附录A(资料性附录)调查表 28 附录B(资料性附录)安全技术脆弱性核查表 35 附录c(资料性附录)安全管理脆弱性核查表 45 附录D(资料性附录)风险分析案例 52
GB/T31509一2015 前 言 本标准按照GB/T1.1一2009给出的规则起草 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口 本标准起草单位;国家信息中心,国家保密技术研究所、北京信息安全测评中心、上海市信息安全测 评认证中心,沈阳东软系统集成工程有限公司、国和信诚(北京)信息安全有限公司 本标准主要起草人:吴亚非,禄凯、张志军、陈永刚、赵章界、席斐、应力、马朝斌、倪志强 m
GB/I31509g一2015 引 言 信息安全风险评估是信息安全保障工作的重要内容之一,与信息系统等级保护、信息安全检查、信 息安全建设等工作紧密相关,并通过风险发现、分析、评价为上述相关工作提供支持 为指导信息安全风险评估工作的开展,本标准依据《信息安全技术信息安全风险评估规范》 (GB/T20984一2007)，从风险评估工作开展的组织、管理、流程、文档、审核等儿个方面提出了相关要 求,是《信息安全技术信息安全风险评估规范GB/T20984一2007)的操作性指导标准,它也是信息 安全风险管理相关标准之
GB/T31509一2015 信息安全技术信息安全风险评估 实施指南 范围 本标准规定了信息安全风险评估实施的过程和方法 本标准适用于各类安全评估机构或被评估组织对非涉密信息系统的信息安全风险评估项目的管 理,指导风险评估项目的组织,实施、验收等工作 规范性引用文件 下列文件对于本文件的应用是必不可少的 凡是注日期的引用文件,仅注日期的版本适用于本文 件 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T20984一2007信息安全技术信息安全风险评估规范 GB/Z24364一2009信息安全技术信息安全风险管理指南 术语,定义和缩略语 GB/T20984一2007和GB/Z243642009中界定的以及下列术语和定义适用于本文件 术语和定义 3.1 3.1.1 实施 implementation 将一系列活动付诸实践的过程 3.1.2 信息系统生命周期informationsystemlifeeyele 信息系统的各个生命阶段.包括规划阶段、设计阶段、实施阶段、运行维护阶段和废弃阶段 3.1.3 评估目标 assesSmenttarget 评估活动所要达到的最终目的 3.1.4 系统调研swsteminvestigatiom 对信息系统相关的实际情况进行调查了解与分析研究的活动 3.1.5 评估要素assessmenfnctor 风险评估活动中必须要识别、分析的一系列基本因素 3.1.6 识别idemtify 对某一评估要素进行标识与辨别的过程
GB/I31509g一2015 3.1.7 赋值assignmemt 对识别出的评估要素根据已定的量化模型给予定量数值的过程 3.1.8 核查check in 将信息系统中的检查信息与制定的检查项进行核对检查的活动 3.1.9 关键控制点thekeypoint 在项目实施活动中,具有能够影响到项目整体进度决定性作用的实施活动 3.1.10 分析模型analysismdel 依据一定的分析原理,构造的一种模拟分析方法,用于对评估要素的分析 3.1.11 评价模型evaluationmodel 依据一定的评价体系,构造若干评价指标,能够对相应的活动进行较为完善的评价 3.1.12 风险处理risktreatment 对风险进行处理的一系列活动,如接受风险,规避风险、转移风险、降低风险等 3.1.13 验收acceptanee 风险评估活动中用于结束项目实施的一种方法,主要由被评估方组织,对评估活动进行逐项检验 以是否达到评估目标为接受标准 3.2缩略语 下列缩略语适用于本文件 AC;访问(人侵)复杂性(AccessComplexity) s、Vector AV;访问(人侵)路径(Access BOF;缓冲区溢出(BufferOverlow cDP破坏潜力(ColateralDamagePotentiaD) CVE;公共漏洞和暴露(CommonVulnerabillities& Exposures7 CVSS,通用安全弱点评估系统(ComnmonVulnerabilityScoringSystem RC;报告可信性(ReportConference' RL;补救水平RemediationLevel SR;安全要求(Security Reguiremen TD目标分布(TargetDistribution VLAN;虚拟局域网(VirtualL.ocalAreaNetwork) 风险评估实施概述 4.1 实施的基本原则 4.1.1标准性原则 信息系统的安全风险评估,应按照GB/T20984一2007中规定的评估流程进行实施,包括各阶段性
GB/T31509一2015 的评估工作 4.1.2关键业务原则 信息安全风险评估应以被评估组织的关键业务作为评估工作的核心,把涉及这些业务的相关网络 与系统,包括基础网络、业务网络、应用基础平台、业务应用平台等作为评估的重点 4.1.3可控性原则 在风险评估项目实施过程中,应严格按照标准的项目管理方法对服务过程、人员和工具等进行控 制,以保证风险评估实施过程的可控和安全 服务可拉性 a 评估方应事先在评估工作沟通会议中向用户介绍评估服务流程,明确需要得到被评估组织协作的 工作内容,确保安全评估服务工作的顺利进行 b人员与信息可控性 所有参与评估的人员应签署保密协议,以保证项目信息的安全;应对工作过程数据和结果数据严格 管理,未经授权不得泄露给任何单位和个人 过程可控性 c) 应按照项目管理要求,成立项目实施团队,项目组长负责制,达到项目过程的可控 d) 工具可控性 安全评估人员所使用的评估工具应该事先通告用户,并在项目实施前获得用户的许可,包括产品本 身、,测试策略等 4.1.4最小影响原则 对于在线业务系统的风险评估,应采用最小影响原则,即首要保障业务系统的稳定运行,而对于需 要进行攻击性测试的工作内容,需与用户沟通并进行应急备份,同时选择避开业务的高峰时间进行 4.2 实施的基本流程 GB/T20984一2007规定了风险评估的实施流程,根据流程中的各项工作内容，一般将风险评估实 施划分为评估准备、风险要素识别风险分析与风险处理四个阶段 其中,评估准备阶段工作是对评估 实施有效性的保证,是评估工作的开始;风险要素识别阶段工作主要是对评估活动中的各类关键要素资 产,威胁、脆弱性,安全措施进行识别与赋值;风险分析阶段工作主要是对识别阶段中获得的各类信息进 行关联分析,并计算风险值;风险处理建议工作主要针对评估出的风险,提出相应的处置建议,以及按照 处置建议实施安全加固后进行残余风险处理等内容 风险评估的工作形式 4.3 GB/T20984一2007明确了风险评估的基本工作形式是自评估与检查评估 自评估是信息系统拥有,运营或使用单位发起的对本单位信息系统进行的风险评估,可由发起方实 施或委托信息安全服务组织支持实施 实施自评估的组织可根据组织自身的实际需求进行评估目标的 设立,采用完整或剪裁的评估活动 检查评估是信息系统上级管理部门或国家有关职能部门依法开展的风险评估,检查评估也可委托 信息安全服务组织支持实施 检查评估除可对被检查组织的关键环节或重点内容实施抽样评估外,还 可实施完整的风险评估 信息安全风险评估应以自评估为主,自评估和检查评估相互结合、互为补充
GB/I31509g一2015 4.4信息系统生命周期内的风险评估 信息系统生命周期一般包括信息系统的规划、设计,实施、,运维和废弃五个阶段,风险评估活动应贯 穿于信息系统生命周期的上述各个阶段 信息系统生命周期各个阶段的风险评估由于各阶段的评估对象,安全需求不同,评估的目的一般也 不同 规划阶段风险评估的目的是识别系统的业务战略,以支撑系统安全需求及安全战略等;设计阶段 风险评估的目的是评估安全设计方案是否满足信息系统安全功能的需求;实施阶段的评估目的是对系 统开发、实施过程进行风险识别,对建成后的系统安全功能进行验证;运行维护阶段的评估目的是了解 和控制系统运行过程中的安全风险;废弃阶段的评估目的是对废弃资产对组织的影响进行分析 此外,当信息系统的业务目标和需求或技术和管理环境发生变化时,需要再次进人上述五个阶段的 风险评估,使得信息系统的安全适应自身和环境的变化 风险评估实施的阶段性工作 5.1准备阶段 5.1.1准备阶段工作内容 5.1.1.1概述 风险评估准备是整个风险评估过程有效性的保证 由于风险评估受到组织的业务战略、业务流程、 安全需求、系统规模和结构等方面的影响,因此,在风险评估实施前,应充分做好评估前的各项准备工 作 信息安全风险评估涉及组织内部有关重要信息,被评估组织应慎重选择评估单位、评估人员的资质 和资格,并遵从国家或行业相关管理要求 5.1.1.2确定评估目标 风险评估应贯穿于信息系统生命周期的各阶段中,由于信息系统生命周期各阶段中风险评估实施 的内容,对象,安全需求均不同,因此被评估组织应首先根据当前信息系统的实际情况来确定在信息系 统生命周期中所处的阶段,并以此来明确风险评估目标 一般而言,组织确定的各阶段的评估目标应符 合以下原则 规划阶段风险评估的目标是识别系统的业务战略,以支撑系统安全需求及安全战略等 规划 a 阶段的评估应能够描述信息系统建成后对现有业务模式的作用,包括技术,管理等方面,并根 据其作用确定系统建设应达到的安全目标 设计阶段风险评估的目标是根据规划阶段所明确的系统运行环境、资产重要性,提出安全功能 需求 设计阶段的风险评估结果应对设计方案中所提供的安全功能符合性进行判断,作为采 购过程风险控制的依据 实施阶段风险评估的目标是根据系统安全需求和运行环境对系统开发,实施过程进行风险识 别,并对系统建成后的安全功能进行验证 根据设计阶段分析的威胁和制定的安全措施,在实 施及验收时进行质量控制 运行维护阶段风险评估的目标是了解和控制运行过程中的安全风险 评估内容包括信息系统 的资产,面临威胁、自身脆弱性以及已有安全措施等各方面 废弃阶段风险评估的目标是确保废弃资产及残留信息得到了适当的处置,并对废弃资产对组织的 影响进行分析,以确定是否会增加或引人新的风险
GB/T31509一2015 5.1.1.3确定评估范围 在确定风险评估所处的阶段及相应目标之后,应进一步明确风险评估的评估范围,可以是组织全部 信息及与信息处理相关的各类资产,管理机构,也可以是某个独立信息系统,关健业务流程等 在确定 评估范围时,应结合已确定的评估目标和组织的实际信息系统建设情况,合理定义评估对象和评估范围 边界,可以参考以下依据来作为评估范围边界的划分原则 a)业务系统的业务逻辑边界; b)网络及设备载体边界; 物理环境边界; c d)组织管理权限边界; e)其他 5.1.1.4组建评估团队 5.1.1.4.1综述 风险评估实施团队应由被评估组织、评估机构等共同组建风险评估小组;由被评估组织领导、相关 部门负责人,以及评估机构相关人员成立风险评估领导小组;聘请相关专业的技术专家和技术骨干组成 专家组 风险评估小组应完成评估前的表格,文档、检测工具等各项准备工作;进行风险评估技术培训和保 密教育;制定风险评估过程管理相关规定;编制应急预案等 双方应签署保密协议,适情签署个人保密 协议 5.1.1.4.2角色与职责 为确保风险评估工作的顺利有效进行,应采用合理的项目管理机制,主要相关成员角色与职责说明 如表1和表2所示 表1风险评估小组一评估机构成员角色与职责说明 评估机构 工作职责 人员角色 是风险评估项目中实施方的管理者、责任人,具体工作职责包括 根据项目情况组建评估项目实施团队; 根据项目情况与被评估方一起确定评估目标和评估范围,并组织项目组成员对被评估方实施系 统调研 根据评估目标,评估范围及系统调研的情况确定评估依据,并组织编写评估方案; 3 项目组长 组织项目组成员开展风险评估各阶段的工作,并对实施过程进行监督,协调和控制,确保各阶段 工作的有效实施; 5 与被评估组织进行及时有效的沟通,及时商讨项目进展状况及可能发生问题的预测等 组织项目组成员将风险评估各阶段的工作成果进行汇总，编写《风险评估报告》与《安全整改建 议书》等项目成果物 负责将项目成果物移交被评估组织,向被评估组织汇报项目成果,并提请项目验收
GB/I31509g一2015 表1(续 评估机构 工作职责 人员角色 是负责风险评估项目中技术方面评估工作的实施人员 具体工作职责包括 根据评估目标与评估范围的确定参与系统调研,并编写《系统调研报告)的技术部分内容" 2) 参与编写《评估方案》; 遵照《评估方案》实施各阶段具体的技术性评估工作,主要包括.信息资产调查、威胁调查、安全 33 安全技术 技术脆弱性核查等 评估人员 对评估工作中遇到的问题及时向项目组长汇报,并提出需要协调的资源; 将各阶段的技术性评估工作成果进行汇总,参与编写《风险评估报告》与《安全整改建议书》等项 5 目成果物 负责向被评估方解答项目成果物中有关技术性细节问题 是负责风险评估项目中管理方面评估工作的实施人员 具体工作职责包括 1 根据评估目标与评估范围的确定参与系统调研,并编写《系统调研报告》的管理部分内容 2 参与编写《评估方案》; 遵照《评估方案》实施各阶段具体的管理性评估工作,主要包括;信息资产调查,威胁调查、安全 3 安全管理 管理脆弱性核查等 评估人员 对评估工作中遇到的问题及时向项目组长汇报,并提出需要协调的资源 5)将各阶段的管理性评估工作成果进行汇总,参与编写《风险评估报告)与《安全整改建议书》等项 目成果物; 负责向被评估方解答项目成果物中有关管理性细节问题 是负责风险评估项目中质量管理的人员 具体工作职责包括; 监督审计各阶段工作的实施进度与时间进度,对可能出现的影响项目进度的问题及时通告项目 质量管控员 组长; 负责对项目文档进行管控 表2风险评估小组一被评估组织成员角色与职责说明 被评估组织 工作职责 人员角色 是风险评估项目中被评估组织的管理者 具体工作职责包括 1 与评估机构的项目组长进行工作协调; 组织本单位的项目组成员在风险评估各阶段活动中的配合工作 2 3) 组织本单位的项目组成员对项目过程中实施方提交的评估信息、数据及文档资料等进行确认， 项目组长 对出现的偏离及时指正 组织本单位的项目组成员对评估机构提交的《风险评估报告)与《安全整改建议书)等项目成果 物进行审阅; 5 组织对风险评估项目进行验收; 可授权项目协调人负责各阶段性工作,代理实施自己的职责
GB/T31509一2015 表2(续 被评估组织 工作职责 人员角色 是指被评估组织的专职信息安全管理人员 在风险评估项目中的具体工作职责包括 在项目组长的安排下,配合评估机构在风险评估各阶段中的工作; 信息安全 2) 参与对评估机构提交的《评估方案)进行研讨 33) 管理人员 参与对项目过程中实施方提交的评估信息、数据及文档资料等进行确认,及时指正出现的偏离; 4 参与对评估机构提交的《风险评估报告)与《安全整改建议书》等项目成果物进行审阅 参与对风险评估项目的验收 是指风险评估项目中被评估组织的工作协调人员 具体工作职责是负责与被评估组织各级部门之 项目协调人 间的信息沟通,及时协调,调动相关部门的资源,包括工作场地、物资,人员等,以保障项目的顺利开展 是指在被评估组织的业务使用人员代表(应由各业务部门负责人或其授权人员担任) 在风险评估 项目中的具体工作职责包括 在项目组长的安排下,配合评估机构在风险评估各阶段中的工作 业务人员 2)参与对评估机构提交的《评估方案》进行研讨; 参与对项目过程中实施方提交的评估信息,数据及文档资料等进行确认,及时指正出现的偏离; 3 参与 对评估机构提交的《风险评估报告)与《安全整改建议书)等项目成果物进行审阅" 参与对风险评估项目的验收 是指在被评估组织的信息系统运行维护人员 在风险评估项目中的具体工作职责包括 在项目组长的安排下,配合评估机构在风险评估各阶段中的工作 2 参与对评估机构提交的《评估方案》进行研讨; 运维人员 3) 参与对项目过程中实施方提交的评估信息、数据及文档资料等进行确认,及时指正出现的偏离 4！ 参与对评估机构提交的《风险评估报告》与《安全整改建议书》等项目成果物进行审阅; 5 参与对风险评估项目的验收 是指在被评估组织本单位或第三方外包商的软件开发人员代表 在风险评估项目中的具体工作职 责包括 在项目组长的安排下,配合评估机构在风险评估各阶段中的工作 开发人员 参与对评估机构提交的《评估方案》进行研讨; 2 3) 参与对项目过程中实施方提交的评估信息、数据及文档资料等进行确认,及时指正出现的偏离; 4！ 参与对评估机构提交的《风险评估报告》与《安全整改建议书》等项目成果物进行审阅; 5 参与对风险评估项目的验收 5.1.1.4.3风险评估领导小组 风险评估工作领导小组主要负责决策风险评估工作的目的、目标;参与并指导风险评估准备阶段的 启动会议;协调评估实施过程中的各项资源;组织评估项目验收会议;推进并监督风险处理工作等 风险评估工作领导小组一般由被评估组织主管信息化或信息安全工作的领导负责,成员一般包括 被评估组织信息技术部门领导、相关业务部门领导等,评估机构相关人员参与
GB/I31509g一2015 5.1.1.4.4专家组 对于大型复杂的风险评估项目,应考虑在项目期间聘请相关领域的专家对风险评估项目的关键阶 段进行工作指导,具体包括 a)帮助被评估组织和实施方规划风险评估项目的总体工作思路和方向 b对出现的关键性难点问题进行决策; 对风险评估结论进行确定 c 5.1.1.5评估工作启动会议 为保障风险评估工作的顺利开展,确立工作目标,统一思想、协调各方资源,应召开风险评估工作启 动会议 启动会一般由风险评估领导小组负责人组织召开,参与人员应该包括评估小组全体人员,相关 业务部门主要负责人 ,如有必要可邀请相关专家组成员参加 启动会主要内容主要包括;被评估组织领导宣布此次评估工作的意义、目的,目标,以及评估工作中 的责任分工;被评估组织项目组长说明本次评估工作的计划和各阶段工作任务,以及需配合的具体事 项;评估机构项目组长介绍评估工作一般性方法和工作内容等 通过启动会可对被评估组织参与评估人员以及其他相关人员进行评估方法和技术培训,使全体人 员了解和理解评估工作的重要性,以及各工作阶段所需配合的工作内容 5.1.1.6系统调研 系统调研是了解、熟悉被评估对象的过程,风险评估小组应进行充分的系统调研,以确定风险评估 的依据和方法 调研内容应包括 a)系统安全保护等级; b)主要的业务功能和要求 c)网络结构与网络环境,包括内部连接和外部连接; d 系统边界,包括业务逻辑边界,网络及设备载体边界、物理环境边界,组织管理权限边界等， 主要的硬件、软件 e) 数据和信息 f g)系统和数据的敏感性 A 支持和使用系统的人员 信息安全管理组织建设和人员配备情况 信息安全管理制度 k) 法律法规及服务合同 1 其他 系统调研可采取问卷调查、现场面谈相结合的方式进行 5.1.1.7确定评估依据 根据风险评估目标以及系统调研结果,确定评估依据和评估方法 评估依据应包括: 适用的法律、法规; b现有国际标准、国家标准、行业标准; 行业主管机关的业务系统的要求和制度; d)与信息系统安全保护等级相应的基本要求; 被评估组织的安全要求; fD 系统自身的实时性或性能要求等
GB/T31509一2015 根据评估依据,应根据被评估对象的安全需求来确定风险计算方法,使之能够与组织环境和安全要 求相适应 5.1.1.8确定评估工具 根据评估对象和评估内容合理选择相应的评估工具,评估工具的选择和使用应遵循以下原则: a)对于系统脆弱性评估工具,应具备全面的已知系统脆弱性核查与检测能力 b) 评估工具的检测规则库应具备更新功能,能够及时更新 e)评估工具使用的检测策略和检测方式不应对信息系统造成不正常影响 可采用多种评估工具对同一测试对象进行检测,如果出现检测结果不一致的情况,应进一步采 d 用必要的人工检测和关联分析,并给出与实际情况最为相符的结果判定 评估工具的选择和使用必须符合国家有关规定 5.1.1.9制定评估方案 风险评估方案是评估工作实施活动总体计划,用于管理评估工作的开展,使评估各阶段工作可控 并作为评估项目验收的主要依据之一 风险评估方案应得到被评估组织的确认和认可 风险评估方案 的内容应包括 风险评估工作框架;包括评估目标,评估范围,评估依据等; a b)评估团队组织:包括评估小组成员、组织结构角色、责任;如有必要还应包括风险评估领导小 组和专家组组建介绍等; c 评估工作计划;包括各阶段工作内容、工作形式、工作成果等; d)风险规避;包括保密协议,评估工作环境要求,评估方法、工具选择,应急预案等; e 时间进度安排;评估工作实施的时间进度安排; f 项目验收方式:包括验收方式、验收依据、验收结论定义等 5.1.2准备阶段工作保障 5.1.2.1组织协调 为了确保风险评估工作的顺利开展,风险评估方案应得到被评估组织最高管理者的支持、批准 同 时,须对管理层和技术人员进行传达,在组织范围内就风险评估相关内容进行培训,以明确有关人员在 评估工作中的任务 5.1.2.2文档管理 确保文档资料的完整性、准确性和安全性,应遵循以下原则 a)指派专人负责管理和维护项目进程中产生的各类文档,确保文档的完整性和准确性; 文档的存储应进行合理的分类和编目,确保文档结构清晰可控; b e)所有文档都应注明项目名称,文档名称,版本号,审批人,编制日期,分发范围等信息; 不得泄露给与本项目无关的人员或组织,除非预先征得被评估组织项目负责人的同意 D 5.1.2.3评估风险的规避 风险评估工作自身也存在风险，一是评估结果是否准确有效,能够达到预先目标存在风险;二是评 估中的某些测试操作可能给被评估组织或信息系统引人新的风险 应通过以下工作消除或降低评估工 作中可能存在的风险 风险评估工作应实行质量控制,以保证评估结果的准确有效 风险评估工作应明确划分各个阶段
GB/I31509g一2015 在各个阶段中,一是要根据相应的管理规范开展评估工作;二是保证数据采集的准确性和有效性;三是 充分了解被评估组织的行业背景及安全特性要求,以及对被评估信息系统所承担的业务和自身流程的 理解 在进行脆弱性识别前,应做好应急准备 评估机构应对测试工具进行核查 内容包括:测试工具是 否安装了必要的系统补丁,是否存有与本次评估工作无关的残余信息、病毒木马、漏洞库或检测规则库 升级情况及工具运行情况;核查人员应填写测试工具核查记录;评估人员事先应将测试方法与被评估组 织相关人员进行充分沟通;测试过程中,评估人员应在被评估组织相关人员配合下进行测试操作 5.2 识别阶段 5.2.1概述 识别阶段是风险评估工作的重要工作阶段,通过对组织和信息系统中资产,威胁、脆弱性等要素的 识别,是进行信息系统安全风险分新的前提 5.2.2资产识别 5.2.2.1概述 资产是对组织具有价值的信息或资源,是安全策略保护的对象 在风险评估工作中,风险的重要因 素都以资产为中心,威胁、脆弱性以及风险都是针对资产而客观存在的 威胁利用资产自身脆弱性,使 得安全事件的发生成为可能,从而形成了安全风险 这些安全事件一旦发生,对具体资产甚至是整个信 息系统都将造成一定影响,从而对组织的利益造成影响 因此,资产是风险评估的重要对象 不同价值的资产受到同等程度破坏时对组织造成的影响程度不同 资产价值是资产重要程度或敏 感程度的表征 识别资产并评估资产价值是风险评估的一项重要内容 5.2.2.2资产分类 在一个组织中,资产的存在形式多种多样,不同类别资产具有的资产价值,面临的威胁,拥有的脆弱 性,可采取的安全措施都不同 对资产进行分类既有助于提高资产识别的效率,又有利于整体的风险 评估 在风险评估实施中,可按照GB/T209842007中资产分类方法,把资产分为硬件、软件、数据、服 务、人员以及其他六大类 具体资产分类请见GB/T20984一2007 5.2.2.3资产调查 资产调查是识别组织和信息系统中资产的重要途径 资产调查一方面应识别出有哪些资产,另一 方面要识别出每项资产自身的关键属性 业务是组织存在的必要前提,信息系统承载业务 信息系统的正常运行,保证业务的正常开展,关 乎组织的利益 通过资产调查,应确定评估对象中包含哪些信息系统,每个信息系统处理哪些种类业 务,每种业务包括哪些具体业务功能,以及相关业务处理的流程 分析并清楚理解各种业务功能和流 程,有利于分析系统中的数据流向及其安全保证要求 在信息系统中,业务处理表现为数据处理和服务提供,数据和服务都是组织的信息资产 在识别各 种业务后,应进行数据处理和服务的识别,确定各种数据和服务对组织的重要性,以及数据和服务的保 密性,完整性,可用性、抗抵赖性等安全属性,从而确定哪些是关键资产 信息系统依赖于数据和服务等信息资产,而信息资产又依赖于支撑和保障信息系统运行的硬件和 软件资源,即系统平台,包括物理环境、网络、主机和应用系统等,其基础设施如服务器,交换机防火墙 等称之为系统单元;在系统单元上运行的操作系统、数据库、应用软件等称之为系统组件 在数据和服 10o
GB/T31509一2015 务等信息资产识别的基础上,根据业务处理流程,可识别出支撑业务系统运行所需的系统平台,并且识 别出这些软硬件资源在重要性,保密性、完整性、可用性、抗抵赖性等安全属性 为保证风险评估工作的进度要求和质量要求,有时不可能对所有资产做全面分析,应选取其中关键 资产进行分析 资产识别的一般步骤如图1所示 a)根据评估目标和范围,确定风险评估对象中包含的信息系统; b)识别信息系统处理的业务功能,以及处理业务所需的业务流程,特别应识别出关键业务功能和 关键业务流程; 根据业务特点和业务流程识别业务需要处理的数据和提供的服务,特别应识别出关键数据和 关键服务 识别处理数据和提供服务所需的系统单元和系统组件,特别应识别出关键系统单元和关键系 D 统组件 组织 业务 业务 信息系统 僧息系统 关健业务 关键流程 --- 关键业务 关健流程 关 关 关 键 键 键 展 务 系 剩 系 其 统 统 统 力 依 -*=-- 组 资 资 资 件 源 产 源 图1资产识别一般步骤示意图 系统单元、系统组件均可作为安全技术脆弱性测试的测试对象 所有资产均可作为安全管理脆弱 性测试的测试对象 资产调查的方法包括阅读文档,访谈相关人员,查看相关资产等 一般情况下,可通过查阅信息系 统需求说明书、可行性研究报告、设计方案、实施方案、安装手册、用户使用手册、测试报告、运行报告、安 全策略文件、安全管理制度文件、操作流程文件、制度落实的记录文件,资产清单、网络拓扑图等,识别组 织和信息系统的资产 如文档记录信息之间存在互相矛盾,或存在不清楚的地方,以及文档记录信息与实际情况有出人. 资产识别须就关键资产和关键问题与被评估组织相关人员进行核实,并选择在组织和信息系统管理中 1l
GB/I31509g一2015 担任不同角色的人员进行访谈,包括主管领导、业务人员、开发人员、实施人员、运维人员、监督管理人员 等 通常情况下,经过阅读文档和现场访谈相关人员,基本可清晰识别组织和信息系统资产,对关键资 产应进行现场实际查看 5.2.2.4资产赋值 在资产调查基础上,需分析资产的保密性、完整性和可用性等安全属性的等级,安全属性等级包括 很高、高、中等、低、很低5种级别,某种安全属性级别越高表示资产该安全属性越重要 保密性,完整 性、可用性的5个赋值的含义可见GB/T209842007 因资产保密性,完整性和可用性等安全属性的量化过程易带有主观性,可以参考如下因素,利用加 权等方法综合得出资产保密性、完整性和可用性等安全属性的赋值等级 a)资产所承载信息系统的重要性; b)资产所承载信息系统的安全等级 c)资产对所承载信息安全正常运行的重要程度 d)资产保密性、完整性、可用性等安全属性对信息系统,以及相关业务的重要程度 资产价值应依据资产保密性、完整性和可用性的赋值等级,经综合评定确定 资产价值等级包括 很高、高、中等、低、很低5种等级，每种等级含义见GB/T20984一2007 综合评定的方法可根据信息系统所承载的业务对不同安全属性的依赖程度,选择资产保密性、完整 性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果;也可以根据资产保密性、完整性 和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果,加权方法可根据组织的业务特 点确定 评估小组可根据资产赋值结果,确定关键资产范围,并围绕关键资产进行后续的风险评估 工作 5.2.2.5资产赋值报告 经过资产识别和资产分析,确定了组织和信息系统中的资产,明确了资产价值以及相应的保密性、 完整性、可用性等安全属性情况了解资产之间的相互关系和影响,识别出重要资产,在此基础上,可形 成资产列表和资产赋值报告 资产赋值报告是进行威胁识别和脆弱性识别的重要依据 资产赋值报告中,应包括如下内容; a)各项资产,特别是关键资产的资产名称,类别保密性赋值,完整性赋值、,可用性赋值、资产价值 以及资产所承载的的信息系统 b)通过资产保密性、完整性、可用性计算资产价值的方法; e)关键资产说明等 5.2.3威胁识别 5.2.3.1概述 威胁是指可能导致危害系统或组织的不希望事故的潜在起因 威胁是一个客观存在的,无论对于 多么安全的信息系统,它都存在 威胁的存在,组织和信息系统才会存在风险 因此,风险评估工作中 需全面、准确地了解组织和信息系统所面临的各种威胁 5.2.3.2威胁分类 威胁有多种分类方法,如;按照GB:/T20984一2007的威胁分类方法,可威胁分为软硬件故障、物理 环境影响、无作为或操作失误、管理不到位、恶意代码、越权或滥用、网络攻击、物理攻击、泄密、篡改、抵 赖11类 12
GB/T31509一2015 而根据威胁产生的起因,表现和后果不同,威胁也可分为:有害程序 有害程序是指插人到信 息系统中的一段程序,危害系统中数据、应用程序或操作系统的保密性、完整性或可用性,或影 响信息系统的正常运行 危害程序包括;计算机病毒、蠕虫、特洛伊木马、僵尸网络、混合攻击 程序,网页内嵌恶意代码和其他有害程序 网络攻击 网络攻击是指通过网络或其他手段,利用信息系统的配置缺陷,协议缺陷、程序缺 陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜 在危害 网络攻击包括;拒绝服务攻击、后门攻击、漏洞攻击、网络扫描窃听、网络钓鱼、干扰和 其他网络攻击 信息破坏 信息破坏是指通过网络或其他技术手段,造成信息系统中的信息被篡改、假冒、泄 露、窃取等 信息破坏包括;信息篡改、信息假冒、信息泄露、信息窃取、信息丢失及其他信息 破坏; 信息内容攻击 信息内容攻击指利用信息网络发布、传播危害国家安全、社会稳定和公共利 益、企业和个人利益的内容的攻击 设备设施故障 设备设施故障是指由于信息系统自身故障或外围保障设施故障,造成信息系 统异常或对信息系统当前运行造成潜在危害 设备设施故障包括软硬件自身故障、外围保障 设施故障、人为破坏和其他设备设施故障 灾害性破坏 灾害性破坏指由于不可抗力对信息系统造成物理破坏 灾害性破坏包括;水灾、 台风、地震、雷击、坍塌、火灾、恐怖袭击,战争等; 其他威胁 g 5.2.3.3威胁调查 5.2.3.3.1概述 威胁是客观存在的,任何一个组织和信息系统都面临威胁 但在不同组织和信息系统中,威胁发生 的可能性和造成的影响可能不同 不仅如此,同一个组织或信息系统中不同资产所面临的威胁发生的 可能性和造成的影响也可能不同 威胁调查就是要识别组织和信息系统中可能发生并造成影响的威 胁,进而分析哪些发生可能性较大、可能造成重大影响的威胁 威胁调查工作包括:威胁源动机及其能力、威胁途径、威胁可能性及其影响 5.2.3.3.2威胁源动机及其能力 威胁源是产生威胁主体 在进行威胁调查时,首要应识别存在哪些威胁源,同时分析这些威胁源的 动机和能力 根据威胁源的不同,可以将威胁分为非人为的和人为的 对信息系统非人为的安全威胁主要是自然灾难 典型的自然灾难包括:水灾、台风、地震、雷击、坍 塌、火灾,恐怖袭击、战争等 自然灾难可能会对信息系统造成毁灭性的破坏 另外,由于技术的局限 性,造成系统不稳定,不可靠等情况,也会引发安全事件,这也是非人为的安全威胁 人为的安全威胁是指某些个人和组织对信息系统造成的安全威胁 人为的安全威胁主体可以来自 组织内部,也可以来自组织外部 从威胁动机来看,人为的安全威胁又可细分为非恶意行为和恶意攻击行为 非恶意行为主要包括 粗心或未受到良好培训的管理员和用户,由于特殊原因而导致的无意行为,造成对信息系统的破坏 恶 意攻击是指出于各种目的而对信息系统实施的攻击 恶意攻击具有明显的目的性，一般经过精心策略 和准备,并可能是有组织的,并投人一定的资源和时间 不同的危险源具有不同的攻击能力,攻击者的能力越强,攻击成功的可能性就越大 衡量攻击能力 主要包括:施展攻击的知识、技能、经验和必要的资金、人力和技术资源等 13
GB/I31509g一2015 恶意员工具有的知识和技能一般非常有限,攻击能力较弱,但恶意员工可能掌握关于系统的大 量信息,并具有一定的权限,而且比外部的攻击者有更多的攻击机会,攻击的成功率高,属于比 较严重的安全威胁; b)独立黑客是个体攻击者,可利用资源有限,主要采用外部攻击方式,通常发动零散的,无目的的 攻击,攻击能力有限; 国内外竟争者、犯罪团伙和恐怖组织是有组织攻击者,具有一定的资源保障,具有较强的协作 能力相计算能力.攻击目的性强,可进行长朋译人的攻击难备,并能够果取外船攻击.内部攻击 和邻近攻击相结合的攻击方式,甚至进行简单的分发攻击方式,攻击能力很强 来自国家行为的攻击是能力最强的攻击,国家攻击行为不仅组织严密,具有充足资金、人力和技术 资源,而且可能在必要时实施高隐蔽性和高破坏性的分发攻击,窃取组织核心机密或使网络和信息系统 全面瘫痪 表3分析了典型的攻击者类型,动机和特点 表3典型的攻击者类型、动机和能力 类型 措述 主要动机 能力 掌握内部情况，了解系统结构和配置 主要指对机构不满或具由于对机构不满而有意破坏系 具有系统合法账户,或掌握可利用的账 恶意员工 有某种恶意目的内部统,或出于某种目的窃取信息或 户信息;可以从内部攻击系统最淋弱 员工 破坏系统 环节 企图寻找并利用信息系统的脆 占有少量资源，一般从系统外部侦察并 嘱性以达到满足好奇心,检验 独立黑客 主要指个体黑客 攻击网络和系统;攻击者水平高低差异 技术能力以及恶意破坏等目的， 很大 动机复杂,目的性不强 具有一定的资金、人力和技术资源 主 国内 主要指具有竟争关系的获取商业情报;破坏竟争对手的要是通过多种渠道搜集情报,包括利用 外竞 国内外工业和商业机构 业务和声誉，,目的性较强 竞争对手内部员工、独立黑客以至犯罪 争者 团伙 有组 主要指计算机犯罪团伙 织的犯罪 具有一定的资金、人力和技术资源;实 对犯罪行为可能进行长偷窃、,诈骗钱财;窃取机密信息 攻击团伙 施网上犯罪,对犯罪有精密划和准备 期的策划和投人 者 恐怖组织通过强迫或恐吓政府 具有丰富的资金,人力和技术资源,对 或社会以满足其需要为目的， 恐怖 ,采 主要指国内外恐怖组织 攻击行为可能进行长期策划和投人,可 组织 用暴力或暴力威胁方式制造 能获得敌对国家的支持 恐慌 主要指其他国家或地区 组织严密,具有充足的资金、人力和技 设立的从事网络和信息从其他国家搜集政治、经济,军 外国政府 术资源;将网络和信息系统攻击作为战 系统攻击的军事,情报等事情报或机密信息,目的性极强 争的作战手段 机构 在识别威胁源时,一方面要调查存在哪些威胁源,特别要了解组织的客户,伙伴或竟争对手以及系 统用户等情况;另一方面要调查不同威胁源的动机、特点,发动威胁的能力等 通过威胁源的分析,识别 出威胁源名称,类型(包括自然环境、系统缺陷、政府、组织,职业个人等,动机(非人为,人为非故意、人 为故意等 14
GB/T31509一2015 5.2.3.3.3威胁途径 威胁途径是指威胁源对组织或信息系统造成破坏的手段和路径 非人为的威胁途径表现为发生自 然灾难,出现恶劣的物理环境、出现软硬件故障或性能降低等;人为的威胁手段包括;主动攻击,被动攻 击、邻近攻击、分发攻击、误操作等 其中人为的威胁主要表现为 主动攻击为攻击者主动对信息系统实施攻击,导致信息或系统功能改变 常见的主动攻击包 括;利用缓冲区溢出(BOF)漏洞执行代码,协议、软件、系统故障和后门,插人和利用恶意代码 如:特洛依木马、后门,病毒等),伪装,盗取合法建立的会话,非授权访问,越权访问,重放所截 获的数据,修改数据,插人数据,拒绝服务攻击等 被动攻击不会导致对系统信息的篡改,而且系统操作与状态不会改变 被动攻击一般不易被 发现 常见的被动攻击包括;侦察,嗅探,监听,流量分析,口令截获等 、系统和设备 邻近攻击是指攻击者在地理位置上尽可能接近被攻击的网络 ，目的是修改、收集 信息,或者破坏系统 这种接近可以是公开的或隐秘的,也可能是两种都有 常见的包括:偷 取磁盘后又还回,偷窥屏幕信息,收集作废的打印纸,房间窃听,毁坏通信线路 分发攻击是指在软件和硬件的开发、生产、运输和安装阶段,攻击者恶意修改设计、配置等行 为 常见的包括利用制造商在设备上设置隐藏功能,在产品分发、安装时修改软硬件配置,在 设备和系统维护升级过程中修改软硬件配置等 直接通过互联网进行远程升级维护具有较大 的安全风险 误操作是指由于合法用户的无意行为造成了对系统的攻击,误操作并非故意要破坏信息和系 统,但由于误操作、经验不足、培训不足而导致一些特殊的行为发生,从而对系统造成了无意的 破坏 常见的误操作包括;由于疏忽破坏了设备或数据、删除文件或数据、破坏线路、配置和操 作错误,无意中使用了破坏系统命令等 威胁源对威胁客体造成破坏,有时候并不是直接的,而是通过中间若干媒介的传递,形成一条威胁 路径 在风险评估工作中,调查威胁路径有利于分析各个环节威胁发生的可能性和造成的破坏 威胁 路径调查要明确威胁发生的起点,威胁发生的中间点以及威胁发生的终点,并明确威胁在不同环节的 特点 5.2.3.3.4威胁可能性及其影响 威胁是客观存在的.但对于不同的组织和信息系统威胁发生的可能性不尽相同 威胁产生的影响 与脆弱性是密切相关的 脆弱性越多,越严重,威胁产生影响的可能性越大 例如,在雨水较多的地区， 出现洪灾的可能性较大,因此对于存在严重漏洞的系统,被威胁攻击的成功性可能较大 威胁客体是威胁发生时受到影响的对象,威胁影响跟威胁 小客体密切相关 当一个威胁发生时,会影 响到多个对象 这些威胁客体有层次之分,通常威胁直接影响的对象是资产,间接影响到信息系统和组 织 在识别威胁客体时,首先识别那些直接受影响的客体,再逐层分析间接受影响的客体 威胁客体的价值越重要， 、威协发 生的影响越大;威胁破坏的客体范围越广泛,威胁发生的影响越大 分析并确认威胁发生时受影响客体的范围和客体的价值,有利于分析组织和信息系统存在风险的大小 遭到威胁破坏的客体,有的可以补救且补救代价可以接受,有的不能补救或补救代价难以接受 受 影响客体的可补救性也是威胁影响的一个重要方面 5.2.3.3.5威胁调查方法 不同组织和信息系统由于所处自然环境、业务类型等不尽相同,面临的威胁也具有不同的特点 例 如,处于自然环境恶劣的信息系统,发生自然灾难的可能性较大,业务价值高或敏感的系统遭遇攻击的 可能性较大 威胁调查的方法多种多样,可以根据组织和信息系统自身的特点,发生的历史安全事件记 15
GB/I31509g一2015 ,面临威胁分析等方法进行调查 录 运行过一段时间的信息系统,可根据以往发生的安全事件记录,分析信息系统面临的威胁 例 a 如,系统受到病毒攻击频率,系统不可用频率,系统遭遇黑客攻击频率等; b在实际环境中,通过检测工具以及各种日志,可分析信息系统面临的威胁" 对信息系统而言,可参考组织内其他信息系统面临的威胁来分析本系统所面临威胁;对组织而 言,可参考其他类似组织或其他组织类似信息系统面临威胁分析本组织和本系统面临威胁 -些第三方组织发布的安全态势方面的数据 d 5.2.3.4威胁分析 通过威胁调查,可识别存在的威胁源名称,类型,攻击能力和攻击动机,威胁路径,威胁发生可能性， 威胁影响的客体的价值、覆盖范围,破坏严重程度和可补救性 在威胁调查基础上,可作如下威胁分析 通过分析威胁路径,结合威胁自身属性、资产存在的脆弱性以及所采取的安全措施,识别出威 a 胁发生的可能性,也就是威胁发生的概率; b)通过分析威胁客体的价值和威胁覆盖范围、破坏严重程度和可补救性等,识别威胁影响; c)分析并确定由威胁源攻击能力、攻击动机,威胁发生概率,影响程度计算威胁值的方法 d威胁赋值 综合分析上述因素,对威胁的可能性进行赋值,威胁赋值分为很高,高、中等,低,很低5个级别,级 别越高表示威胁发生的可能性越高 各级别含义可见GB/T209842007 5.2.3.5威胁分析报告 通过威胁调查和威胁分析,可确定组织或信息系统面临的威胁源,威胁方式以及影响,在此基础上 可形成威胁分析报告 威胁分析报告是进行脆弱性识别的重要依据,在脆弱性识别时,对于那些可能被 严重威胁利用的脆弱性要进行重点识别 威胁分析报告应包括如下内容: a)威胁名称、威胁类型、威胁源攻击能力、攻击动机、威胁发生概率、影响程度以及威胁发生的可 能性; b 威胁赋值 e)严重威胁说明等 5.2.4脆弱性识别 5.2.4.1概述 脆弱性是资产自身存在的.如没有被威胁利用.脆弱性本身不会对资产造成损害 如信息系统足够 健壮,威胁难以导致安全事件的发生 也就是说,威胁是通过利用资产的脆弱性,才可能造成危害 因 此,组织一般通过尽可能消减资产的脆弱性,来阻止或消减威胁造成的影响,所以脆弱性识别是风险评 估中最重要的一个环节 脆弱性可从技术和管理两个方面进行识别 技术方面,可从物理环境、网络,主机系统、应用系统、 数据等方面识别资产的脆弱性;管理方面,可从技术管理脆弱性和组织管理脆弱性两方面识别资产的脆 弱性,技术管理脆弱性与具体技术活动相关，组织管理脆弱性与管理环境相关 脆弱性识别包括,脆弱性的基本特征,时间特征和环境特征的识别 脆弱性的基本特征包括 a 访问路径 该特征反映了脆弱性被利用的路径,包括;本地访问,邻近网络访问,远程网络 访问 16
GB/T31509一2015 访问复杂性 该特征反映了攻击者能访问目标系统时利用脆弱性的难易程度,可用高、 中,低3个值进行度量 鉴别 该特征反映了攻击者为了利用脆弱性需要通过目标系统鉴别的次数,可用多次、 1次、0次3个值进行度量 保密性影响 该特征反映了脆弱性被成功利用时对保密性的影响,可用完全泄密、部分泄 密、不泄密3个值进行度量 完整性影响 该特征反映了脆弱性被成功利用时对完整性的影响,可用完全修改,部分修 改、不能修改3个值进行度量 可用性影响 该特征反映了脆弱性被成功利用时对可用性的影响,可用完全不可用、部分 可用、可用性不受影响3个值进行度量 b)脆弱性的时间特征包括 可利用性 该特征反映了脆弱性可利用技术的状态或脆弱性可利用代码的可获得性,可 用未证明、概念证明,可操作、易操作、不确定6个值进行度量 补救级别 该特征反映了脆弱性可补救的级别,可用官方正式补救方案、官方临时补救方 2) 案、非官方补救方案、无补救方案、不确定5个值进行度量 报告可信性 该特征反映了脆弱性存在的可信度以及脆弱性技术细节的可信度,可用未 3 证实、需进一步证实,已证实、不确定4个值进行度量 脆弱性的环境特征包括 破坏潜力 该特征反映了通过破坏或偷窃财产和设备,造成物理资产和生命损失的潜在 可能性,可用无低、中等偏低、中等偏高、高、不确定6个值进行度量 目标分布 该特征反映了存在特定脆弱性的系统的比例,可用无、低、中,高、不确定5个 值进行度量 3 安全要求 该特征反映了组织和信息系统对IT资产的保密性、完整性和可用性的安全要 求,可以用低、中,高、,不确定4个值进行度量 在识别脆弱性同时,评估人员应对已采取的安全措施及其有效性进行确认 安全措施的确认应分 析其有效性,即是否能够抵御威胁的攻击 对有效的安全措施继续保持,以避免不必要的工作和费用 防止安全措施的重复实施,对确认为不适当的安全措施应核实是否需要取消或对其进行修正,或用更合 适的安全措施替代 脆弱性识别所采用的方法主要有;文档查阅、问卷调查、人工核查、工具检测、渗透性测试等 5.2.4.2安全技术脆弱性核查 5.2.4.2.1概述 安全技术脆弱性核查包括,检查组织和信息系统自身在技术方面存在的脆弱性,以及核查所采取的 安全措施有效程度 5.2.4.2.2物理环境安全 物理环境安全脆弱性是指机房和办公建筑物及其配套设施,设备、线路以及用电在安全方面存在的 脆弱性,包括;建筑物、设备或线路遭到破坏或出现故障、遭到非法访问,设备被盗窃,出现信息泄露,出 现用电中断等 核查物理环境所采取的安全措施及其有效性,包括;机房选址、建筑物的物理访问控制,防盗窃和防 破坏,防雷击,防火,防水和防潮、防静电、温湿度控制电力供应,电磁防护等 物理环境安全技术脆弱性核查的方法包括:现场查看,询问物理环境现状,验证安全措施的有效性 17
GB/I31509g一2015 5.2.4.2.3 网络安全 网络安全脆弱性是指网络通信设备及网络安全设备,网络通信线路、网络通信服务在安全方面存在 的脆弱性,包括;非法使用网络资源、非法访问或控制网络通信设备及网络安全设备、非法占用网络通信 信道、网络通信服务带宽和质量不能保证、网络线路泄密、传播非法信息等 核查网络安全所采取的安全措施及其有效性,包括网络拓扑图、vlan划分、网络访问控制网络设 备防护、安全审计,边界完整性检查、人侵防范、恶意代码防范等 网络安全脆弱性核查应该进行结构分析、功能分析,安全功能分析和性能分析;可采取白盒测试、黑 盒测试,灰盒测试等方法 网络安全脆弱性核查方法包括;查看网络拓扑图、网络安全设备的安全策略、配置等相关文档,询问 相关人员,查看网络设备的硬件配置情况,手工或自动查看或检测网络设备的软件安装和配置情况,查 看和验证身份鉴别访问控制、安全审计等安全功能检查分析网络和安全设备日志记录,利用工具探测 网络拓扑结构,扫描网络安全设备存在的漏洞,探测网络非法接人或外联情况,测试网络流量、网络设备 负荷承载能力以及网络带宽,手工或自动查看和检测安全槽施的使用情况并验证其有效性等 主机系统安全 5.2.4.2.4 主机系统安全脆弱性是指主机硬件设备、操作系统、数据库系统以及其他相关软件在安全方面存在 的脆弱性,包括非法访问或控制操作系统、数据库系统以及其他相关软件系统,非法占用网络或系统资 源等 核查主机系统所采取的安全措施及其有效性,包括身份鉴别访问控制安全审计、剩余信息保护、 人侵防范,恶意代码防范、资源控制等 主机系统安全脆弱性核查应该进行结构,功能,安全功能和性能分析;可采取白盒测试、黑盒测试、 灰盒测试等方法 主机系统安全脆弱性核查方法包括手工或自动查看或检测主机硬件设备的配置情况以及软件系 统的安装配置情况,查看软件系统的自启动和运行情况,查看和验证身份鉴别,访问控制,安全审计等安 全功能,查看并分析主机系统运行产生的历史数据(如鉴别信息、上网痕迹),检查并分析软件系统日志 记录,利用工具扫描主机系统存在的漏洞,测试主机系统的性能,手工或自动查看或检测安全措施的使 用情况并验证其有效性等 5.2.4.2.5应用系统安全 应用系统安全脆弱性是指应用系统在安全方面存在的脆弱性包括:非法访问或控制业务应用系 统,非法占用业务应用系统资源等 核查应用系统所采取的安全措施及其有效性,包括:身份鉴别访问控制、安全审计、剩余信息保护、 通信完整性,通信保密性、抗抵赖、软件容错、资源控制等 应用系统安全脆弱性核查应进行结构,功能、安全功能和性能分析;可采取白盒测试、黑盒测试、灰 盒测试等方法 应用系统安全脆弱性核查方法包括;可查阅应用系统的需求,设计、测试,运行报告等相关文档,检 查应用系统在架构设计方面的安全性(包括应用系统各功能模块的容错保障、各功能模块在交互过程中 的安全机制,以及多个应用系统之间数据交互接口的安全机制等),审查应用系统源代码,手工或自动查 看或检测应用系统的安装配置情况,查看和验证身份鉴别、访问控制、安全审计等安全功能,查看并分析 主机系统运行产生的历史数据(如用户登录、操作记录),检查并分析应该系统日志记录,利用扫描工具 检测应用系统存在的漏洞,测试应用系统的性能,手工或自动查看或检测安全措施的使用情况并验证其 有效性等 18
GB/T31509一2015 5.2.4.2.6数据安全 数据安全脆弱性是指数据存储和传播在安全方面存在的脆弱性,包括;数据泄露、数据篡改和破坏、 数据不可用等 核查数据安全所采取的安全措施及其有效性,包括;数据完整性保护措施、数据保密性保护措施、备 份和恢复等 数据安全核查的方法包括;通信协议分析、数据破解、数据完整性校验等 5.2.4.3安全管理脆弱性核查 5.2.4.3.1概述 根据被评估组织安全管理要求,应对负责信息系统管理和运行维护部门进行安全管理核查 安全 管理核查主要通过查阅文档、抽样调查和询问等方法,并核查信息安全规章制度的合理性,完整性,适用 性等 安全管理组织 5.2.4.3.2 安全管理组织脆弱性是指组织在安全管理机构设置、职能部门设置、岗位设置、人员配置等是否合 理,分工是否明确,职责是否清晰,工作是否落实等 安全管理组织脆弱性核查方法包括;查看安全管理机构设置,职能部门设置、岗位设置,人员配置等 相关文件,以及安全管理组织相关活动记录等文件 5.2.4.3.3安全管理策略 安全管理策略为组织实施安全管理提供指导 安全管理策略核查主要核查安全管理策略的全面性 和合理性 安全管理策略脆弱性核查方法包括;查看是否存在明确的安全管理策略文件,并就安全策略有关内 容询问相关人员,分析策略的有效性,识别安全管理策略存在的脆弱性 5.2.4.3.4安全管理制度 安全管理制度脆弱性是指安全管理制度体系的完备程度,制度落实等方面存在的脆弱性,以及安全 管理制度制定与发布、评审与修订、废弃等管理存在的问题 安全管理制度脆弱性核查方法包括;审查相关制度文件完备情况,查看制度落实的记录,就制度有 关内容询问相关人员,了解制度的执行情况,综合识别安全管理制度存在的脆弱性 5.2.4.3.5人员安全管理 人员安全管理包括:人员录用、教育与培训考核、离岗等,以及外部人员访问控制安全管理 人员安全管理脆弱性核查方法包括;查阅相关制度文件以及相关记录,或要求相关人员现场执行某 些任务,或以外来人员身份访问等方式进行人员安全管理脆弱性的识别 5.2.4.3.6系统运维管理 系统运维管理是保障系统正常运行的重要环节,涉及系统正常运行和组织正常运转,包括物理环 境、资产、设备、介质、网络、系统、密码的安全管理,以及恶意代码防范、安全监控和监管、变更、备份与恢 复、安全事件、应急预案管理等 系统运维管理脆弱性核查方法包括:审阅系统运维的相关制度文件,操作手册、运维记录等,现场查 19
GB/I31509g一2015 看运维情况,访谈运维人员,让运维人员演示相关操作等方式进行系统运维管理脆弱性的识别 5.2.4.4脆弱性分析报告 脆弱性严重程度分为很高、高、中等低、很低5个级别,级别越高表示脆弱性越严重 各级别含义 可见GB/T20984一2007 脆弱性分析报告中,应当包括如下内容: 资产存在的各种脆弱性 a b)脆弱性的特征及其赋值,包括基本特征(如访问路径、访问复杂性、鉴别、保密性影响、完整性影 响可用性影响,时间特征(如可利用性,补救水平,报告可信性,环境特征(如破坏潜力、目标 分布,安全要求); 计算脆弱性严重程度的方法; d 严重脆弱性说明; 脆弱性之间的关联分析,不同的脆弱性可能反映同一方面的问题,或可能造成相似的后果,这 些脆弱性可以合并;某些脆弱性的严重程度互相影响,特别对于某个资产,其技术脆弱性的严 重程度还受到组织管理脆弱性的影响,因而这些脆弱性的严重程度可能需要修正 5.2.5识别阶段工作保障 5.2.5.1组织协调 评估小组应根据调研结果进行资产识别和威胁识别,并与被评估组织沟通确认 在对被评估组织 进行脆弱性识别前,评估小组应明确被评估组织提供的资源,确定被评估组织配合人员,在脆弱性识别 过程中,被评估组织应安排已确定的配合人员,并提供相关资源 5.2.5.2角色与职责 风险识别阶段的主要角色与工作职责划分如表4和表5所示 表4风险识别阶段一评估机构主要角色与工作职责划分说明 评估机构 工作职责 人员角色 与被评估组织的项目组长协调现场评估工作的事项 1 22 对核查人员进行评估工作分工; 项目组长 3)随时了解各项识别工作的进展,并审核识别结果的有效性; 4)及时发现识别工作中出现的偏差,并给予纠正; 汇总每日工作情况,发现重大安全问题应及时向被评估组织通报 根据分工情况进行现场评估工作 安全技术人员 22 在现场评估工作中提出需要协调的资源; 安全管理人员 每日工作情况上报项目组长 发现重大安全问题应及时上报项目组长 监督控制本阶段工作的实施进度与时间进度; 22 按照项目质量要求管控本阶段工作的输人输出文档 质量管控员 对文档的变更进行管控 3 发现问题及时纠正,并上报项目组长 20
GB/T31509一2015 表5风险识别阶段一被评估组织主要角色与工作职责划分说明 被评估组织 工作职责 人员角色 1 与评估机构的项目经理进行现场评估工作协调 2 组织本单位相关人员进行现场配合; 33 协调并提供开展评估工作所需的相关资源,如硬件、软件、访问权限等; 项目组长/协调人 ！ 对现场发现的重大安全问题,及时上报风险评估领导小组" 协调相关人员做好现场应急工作 5 6 确认识别结果 业务人员 根据分工情况,配合评估机构相关人员进行现场评估工作 1 管理人员 2 及时说明或补充有关信息,确保识别工作的顺利开展; 运维人员 33 确保提供的信息准确和有效 开发人员 5.2.5.3阶段关键控制点 风险评估识别阶段主要包括四个关键控制点 保证资产识别的完整和有效资产识别是风险评估的基础工作,应按照指定的评估范围,全面和 有效的识别相关资产,并确定重要资产情况 确定组织或信息系统的严重威胁 准确识别组织或信息系统面临的威胁,并分析其中的严重 威胁,对后续安全风险分析至关重要,并对相关脆弱性的加固整改方法提供关键依据 确认组织或信息系统的严重脆弱性 全面了解组织或信息系统自身安全状况,发现并验证其 存在的严重脆弱性,对后续安全风险分析至关重要,也是组织重点投人资源进行加固整改的 对象 现场评估工作小结会议 在现场评估工作结束前,应根据现场识别情况,召开现场评估工作小 结会议 小结会议由被评估组织项目组长组织召开,参与人员包括评估小组全体人员;必要时 风险评估领导小组成员及专家组成员可一并参加 会议主要内容是评估机构项目组长汇报现 场工作情况以及各项识别工作基本结果;并将现场发现的重要或紧急安全问题,与被评估组织 进行沟通,被评估组织应进行及时安全加固整改,以防安全事件发生 现场评估工作小结会议 应对识别阶段工作情况和结果进行确认 5.2.5.4文档管理 在识别阶段,应完成如下文档的提交 a)资产赋值报告; 威胁分析报告 b 脆弱性分析报告; c) d现场重要问题汇总报告 5.3风险分析阶段 5.3.1概述 风险评估是以围绕被评估组织核心业务开展为原则的,评估业务所面临的安全风险 风险分析的 21
GB/I31509g一2015 主要方法是对业务相关的资产、威胁、脆弱性及其各项属性的关联分析,综合进行风险分析和计算 5.3.2风险分析模型 依据GB/T20984一2007所确定的风险分析方法,如图2所示,一般构建风险分析模型是将资产 威胁、脆弱性三个基本要素及每个要素相关属性,进行关联,并建立各要素之间的相互作用机制关系 威胁识别 威胁出现的频率 安全事件的可能性 吮弱性识别 就弱性的严服杜度 风羚值 安全事件洽成的损失 资产价似 资产识别 图2信息安全风险分析原理图 建立风险评估分析模型,首先通过威胁与脆弱性进行关联,哪些威胁可以利用哪些脆弱性,可引发 安全事件,并分析安全事件发生的可能性;其次,通过资产与脆弱性进行关联,哪些资产存在脆弱性，一 旦安全事件发生,造成的损失有多大 信息安全风险各识别要素的关系,R=F(A,T,V) 其中,其中,R表示安全风险计算函数;A表示 资产;T表示威胁;V表示脆弱性 5.3.3风险计算方法 组织或信息系统安全风险需要通过具体的计算方法实现风险值的计算 风险计算方法一般分为定 性计算方法和定量计算方法两大类 定性计算方法是将风险的各要素资产,威胁、脆弱性等的相关属性进行量化(或等级化)赋值， 然后选用具体的计算方法(如相乘法或矩阵法)进行风险计算; b定量计算方法是通过将资产价值和风险等量化为财务价值的方式来进行计算的一种方法 由 于定量计算法需要等量化财务价值,在实际操作中往往难以实现 由于定量计算方法在实际工作中可操作性较差，一般风险计算多采用定性计算方法 风险的定性 计算方法实质反应的是组织或信息系统面临风险大小的准确排序,确定风险的性质(无关紧要、可接受、 待观察、不可接受等),而不是风险计算值本身的准确性 具体风险计算方法,可参考GB/T20984一2007中的附录A资料性附录)风险的计算方法 5.3.4风险分析与评价 通过风险计算,应对风险情况进行综合分析与评价 风险分析是基于计算出的风险值确定风险等 级 风险评价则是对组织或信息系统总体信息安全风险的评价 风险分析,首先对风险计算值进行等级化处理 风险等级化处理目的是,对风险的识别直观化,便 于对风险进行评价 等级化处理的方法是按照风险值的高低进行等级划分,风险值越高,风险等级越 高 风险等级一般可划分为5级;很高、高、中等、低、很低,也可根据项目实际情况确定风险的等级数 如划分为高、中、低3级 风险评价方法是根据组织或信息系统面临的各种风险等级,通过对不同等级的安全风险进行统计、 分析,并依据各等级风险所占全部风险的百分比,确定总体风险状况 具体风险评价如表6所示 22
GB/T31509一2015 表6安全风险评价表 总体风险评价结果 占全部风险 风险等级 百分比 中 低 高 高 >10% 很高 高 高 >30% 中 中等 >30% 低 低 很低 低 5.3.5风险评估报告 风险评估报告是风险分析阶段的输出文档,是对风险分析阶段工作的总结 风险评估报告中需要 对建立的风险分析模型进行说明,并需要阐明采用的风险计算方法及风险评价方法 报告中应对计算分析出的风险给予详细说明,主要包括;风险对组织,业务及系统的影响范围、影响 程度,依据的法规和证据;风险评价结论 风险评估报告是风险评估工作的重要内容,是风险处理阶段的关键依据 同时,风险评估报告可作 为组织从事其他信息安全管理工作的重要参考内容,如信息安全检查、信息系统等级保护测评,信息安 全建设等 5.3.6分析阶段工作保障 5.3.6.1组织协调 风险分析阶段的工作主要由评估机构完成,被评估组织参与配合,做好资料信息的补充,更正或确 认等工作 评估机构参与分析阶段工作的技术人员应对被评估组织的行业背景,政策要求,业务服务清 晰明确,保证分析结果的客观准确 5.3.6.2角色与责任 风险分析阶段工作的角色与责任划分如表7和表8所示 表7风险分析阶段工作一评估机构人员的角色与责任划分表 评估机构 工作职责 人员角色 与被评估组织协调并确认评估信息,数据及文档资料等 1 项目组长 组织召开小组内部研讨会议 2 组织编写《风险评估报告》 3 建立风险分析模型,确定风险计算方法,风险评价方法 安全技术人员 22 参与编写《风险评估报告》; 安全管理人员 提出需要被评估组织确认的评估信息、数据及相关文档 3 监控制本阶段工作的实施进度与时间进度; 2 质量管控员 按照项目质量要求管控本阶段工作的输人输出文档 对文档的变更进行管控 23
GB/I31509g一2015 表8风险分析阶段工作一被评估组织人员的角色与责任划分表 评估组织 工作职责 人员角色 1D 与评估机构的项目组长进行工作协调; 项目组长/协调人 22 组织本单位的业务人员、信息安全管理人员,运维人员、开发人员等对评估机构提交的 评估信息、数据及文档资料等进行确认 业务人员 管理人员 对评估机构提交的评估信息、,数据及文档资料等进行确认 运维人员 开发人员 5.3.6.3阶段关键控制点 风险分析阶段的关键控制点主要有以下两点 建立风险分析模型及确定风险计算方法,应能正确反应组织的行业安全特点,核心业务系统所 a 处的内、外部环境安全状况; b需被评估组织确认的评估信息,数据及相关文档资料应及时得到准确反馈 5.3.6.4文档管理 风险分析阶段产生的文档主要是《风险评估报告》 《风险评估报告》是风险评估工作中产生的最重 要文档,项目质量管控员应对其实施控制管理,包括版本变更控和分发控制 5.4风险处理建议 5.4.1 风险处理原则 风险处理依据风险评估结果,针对风险分析阶段输出的风险评估报告进行风险处理 风险处理的基本原则是适度接受风险,根据组织可接受的处置成本将残余安全风险控制在可以接 受的范围内 依据国家、行业主管部门发布的信息安全建设要求进行的风险处理,应严格执行相关规定 如依据 等级保护相关要求实施的安全风险加固工作,应满足等级保护相应等级的安全技术和管理要求;对于因 不能够满足该等级安全要求产生的风险则不能够适用适度接受风险的原则 对于有着行业主管部门特 殊安全要求的风险处理工作,同样不适用该原则 5.4.2安全整改建议 风险处理方式一般包括接受、消减、转移、规避等 安全整改是风险处理中常用的风险消减方法 风险评估需提出安全整改建议 安全整改建议需根据安全风险的严重程度、加固措施实施的难易程度、降低风险的时间紧迫程度、 所投人的人员力量及资金成本等因素综合考虑 a)对于非常严重,需立即降低且加固措施易于实施的安全风险,建议被评估组织立即采取安全整 改措施 b对于非常严重、需立即降低,但加固措施不便于实施的安全风险,建议被评估组织立即制定安 2
GB/T31509一2015 全整改实施方案,尽快实施安全整改;整改前应对相关安全隐患进行严密监控,并作好应急 预案 对于比较严重,需降低且加固措施不易于实随的安全风险,建议被评估组织制定限期实施的整 改方案;整改前应对相关安全隐患进行监控 5.4.3组织评审会 5.4.3.1概述 组织召开评审会是评估活动结束的重要标志 评审会应由被评估组织组织,评估机构协助 评审 会参与人员一般包括被评估组织、评估机构及专家等 被评估组织包括.单位信息安全主管领导、相关业务部门主管人员,信息技术部门主管人员、参 a 与评估活动的主要人员等; b)评估机构包括;项目组长、主要评估人员 专家包括;被评估组织行业信息安全专家,信息安全专业领域专家等 c) 5.4.3.2评审文档 评审会由被评估组织人员主持,提供有关文档供评审人员进行核查 项目组长及相关人员需对评 估技术路线、工作计划,实施情况、达标情况等内容进行汇报,并解答评审人员的置疑 表9列出了信息安全风险评估项目验收时,评估小组应提交的验收评审文档 表9信息安全风险评估项目验收文档 输出文档 工作阶段 文档内容 对被评估系统的调查了解情况,涉及网络结构、系统情况、业务 《系统调研报告 应用等内容 准备阶段 根据调研情况及评估目的,确定评估的目标,范围,对象、工作 《风险评估方案》 计划,主要技术路线,应急预案等 资产调查情况,分析资产价值以及重要资产说明 资产价值分析报告》 威胁调查情况,明确存在的威胁及其发生的可能性,以及严重 《威胁分析报告》 威胁说明 《安全技术脆弱性分析报告》 物力、网络、主机.应用、数据等方面的脆弱性说明 识别阶段 安全组织,安全策略、安全制度,人员安全、系统运维等方面的 《安全管理胞弱性分析报告》 脆弱性说明 分析组织或信息系统已部署安全措施的有效性,包括技术和管 《已有安全措施分析报告》 理两方面的安全管控说明 对资产,威胁、脆弱性等评估数据进行关联计算,分析评价等 风险分析 《风险评估报告》 应说明风险分析模型,分析计算方法 风险处理 《安全整改建议 对评估中发现的安全问题给予有针对性的风险处理建议 25
GB/I31509g一2015 5.4.3.3评审意见 评审会中,需有专门记录人员负责对各位专家发表意见进行记录 评审会成果是会议评审意见 评审意见包括针对评估项目的实施流程、风险分析的模型与计算方法、评估的结论及评估活动产 生的各类文档等内容提出意见 评审意见对于被评估组织是否接受评估结果,具有重要的参考意义 依据评审意见,评估机构应对相关报告进行完善、补充和修改,并将最终修订材料一并提交被评估 组织,做为评估项目结束的移交文档 5.4.4残余风险处理 残余风险处理是风险评估活动的延续,是被评估组织按照风安全整改建议全部或部分实施整改工 作后,对仍然存在的安全风险进行识别、控制和管理的话动 对于已完成安全加固措施的信息系统,为确保安全措施的有效性,可进行残余风险评估,评估流程 及内容可做有针对性的剪裁 残余风险评估的目的是对信息系统仍存在的残余风险进行识别、控制和管理 如某些风险在完成 了适当的安全措施后,残余风险的结果仍处于不可接受的风险范围内,应考虑进一步增强相应的安全 措施 5.4.5风险处理建议工作保障 5.4.5.1组织协调 风险处理建议工作由评估机构与被评估组织共同完成 评估机构主要工作是根据《风险评估报 告》,编制《安全整改建议》;被评估组织主要工作是审核评估机构提交的《安全整改建议》可行性 5.4.5.2角色与责任 风险处理建议工作的角色与责任划分如表10和表11所示 表10风险处理建议工作一评估机构人员角色与责任划分 评估机构 工作职责 人员角色 组织编写《安全整改建议》; 就《安全整改建议)中关键问题如技术方法、管理方式,时间计划、投资等能容与被评 2 项目组长 估组织进行充分沟通; 控制各项工作的实施进度; 参与评审会议,汇报相关工作 参 与编写《安全整改建议》; 安全技术人员 按照被评估组织反馈意见,对《安全整改建议》的意见进行修改 安全管理人员 参与评审会议,汇报相关工作 监督控制本阶段工作的实施进度与时间进度; 质量管控员 按照项目质量要求管控本阶段工作的输人输出文档 对文档的变更进行管控 26

信息安全风险评估实施指南GB/T31509-2015：如何保障信息安全

在信息化时代，各种信息系统日益普及和广泛运用，但是由此带来的信息安全问题也越来越复杂和严峻。为了更好地应对这些风险，行业需要一个能够有效评估信息安全风险的方法。而GB/T31509-2015标准的出现正是满足这一需求。

GB/T31509-2015标准是中国电子工业标准化技术协会与公安部信息安全测评中心共同制定的，旨在规范信息安全风险评估的实施方法和要求。标准主要包括风险评估流程、风险评估模型、风险评估报告和风险评估人员的资质等方面。

风险评估是一种系统性分析方法，主要是通过对信息系统中涉及到的各种风险进行量化、评估和管理，从而保障信息安全。标准中规定了风险评估的五个基本步骤，包括风险识别、风险分析、风险评估、风险处理和风险监控。这些步骤有助于系统地评估信息系统中可能存在的各种威胁和漏洞，并制定相应的风险处理策略。

此外，GB/T31509-2015还明确规定了风险评估所需的人员素质和技能要求。评估人员必须熟悉信息安全相关的法律法规和技术标准，具备系统工程和网络安全等专业背景知识，同时也需要具备一定的调查研究和分析判断能力。

通过风险评估，《GB/T31509-2015 信息安全风险评估实施指南》可以帮助企业或组织更好地了解自身信息系统的安全状况，以及所处的环境和风险特征。在此基础上，可以制定相应的安全措施和应急预案，提高信息系统的安全性和可靠性。

总之，《GB/T31509-2015 信息安全风险评估实施指南》为保障信息安全提供了有力的规范和指导，对于企业或组织来说具有重要的意义。在实际操作中，企业或组织应该遵守相关规定，加强风险评估工作，从而确保信息系统的安全性和稳定性。

信息安全技术信息安全风险评估实施指南的相关资料

和信息安全技术信息安全风险评估实施指南类似的标准