DB32T-1439信息安全风险评估实施规范

1、江苏省质量技术监督局 发布2009-10-26实施2009-08-26发布信息安全风险评估实施规范Implementation specification of risk assessmentfor information securityDB32/T14392009DB32江苏省地方标准L 70备案号：27548-2010目 次 TOC o 1-4 h z u HYPERLINK l _Toc238389446 前 言引 HYPERLINK l _Toc238389447 言 HYPERLINK l _Toc238389448 1 范围 PAGEREF _Toc238389448 h 1 H

2、YPERLINK l _Toc238389449 2 规范性引用文件 PAGEREF _Toc238389449 h 1 HYPERLINK l _Toc238389450 3 术语和定义 PAGEREF _Toc238389450 h 1 HYPERLINK l _Toc238389451 4 风险评估实施 PAGEREF _Toc238389451 h 1 HYPERLINK l _Toc238389452 风险评估准备 PAGEREF _Toc238389452 h 1 HYPERLINK l _Toc238389453 评估目的 PAGEREF _Toc238389453 h 1 HY

3、PERLINK l _Toc238389454 确定评估范围 PAGEREF _Toc238389454 h 1 HYPERLINK l _Toc238389456 建立评估团队 PAGEREF _Toc238389456 h 1 HYPERLINK l _Toc238389457 前期系统调研 PAGEREF _Toc238389457 h 1 HYPERLINK l _Toc238389458 确定评估依据 PAGEREF _Toc238389458 h 1 HYPERLINK l _Toc238389459 制定评估方案 PAGEREF _Toc238389459 h 1 HYPERLI

4、NK l _Toc238389461 资产识别 PAGEREF _Toc238389461 h 1 HYPERLINK l _Toc238389462 资产识别内容 PAGEREF _Toc238389462 h 2 HYPERLINK l _Toc238389463 资产赋值 PAGEREF _Toc238389463 h 2 HYPERLINK l _Toc238389464 威胁识别 PAGEREF _Toc238389464 h 2 HYPERLINK l _Toc238389465 威胁识别内容 PAGEREF _Toc238389465 h 2 HYPERLINK l _Toc23

5、8389466 威胁赋值 PAGEREF _Toc238389466 h 2 HYPERLINK l _Toc238389467 脆弱性识别 PAGEREF _Toc238389467 h 2 HYPERLINK l _Toc238389468 脆弱性识别内容 PAGEREF _Toc238389468 h 2 HYPERLINK l _Toc238389469 脆弱性识别方式 PAGEREF _Toc238389469 h 8 HYPERLINK l _Toc238389470 脆弱性赋值 PAGEREF _Toc238389470 h 8 HYPERLINK l _Toc238389471

6、 已有安全措施确认 PAGEREF _Toc238389471 h 8 HYPERLINK l _Toc238389472 风险分析 PAGEREF _Toc238389472 h 8 HYPERLINK l _Toc238389473 风险评估文档记录 PAGEREF _Toc238389473 h 8 HYPERLINK l _Toc238389474 附录A（规范性性附录）信息安全风险评估报告 PAGEREF _Toc238389474 h 10前 言信息安全风险评估是信息安全保障工作的基础性工作和重要环节，是信息安全等级保护制度建设的重要科学方法之一。本规范20002002标准化工作导

7、则 第2部分：标准中规范性技术要素内容的确定方法编写。本规范附录A为规范性附录。本规范由江苏省信息产业厅提出。本规范起草单位：江苏省电子信息产品质量监督检验研究院（江苏省信息安全测评中心）。本规范起草人：吴兰、张影秋、黄申、薛凤鸣。本规范由江苏省经济和信息化委员会归口。引 言脆弱性的识别是风险评估最重要的环节，对脆弱性识别的强度、粒度及深度将直接关系到风险评估的准确性、有效性。GB/T 20984-2007信息安全技术 信息安全风险评估规范中对脆弱性的识别只是给出了一个识别内容的框架参考，对具体的识别内容未做详细的规定。此规范是对GB/T 20984-2007信息安全技术 信息安全风险评估规范

8、的细化和补充，本规范“资产识别”“威胁识别”“风险分析”执行的标准是GB/T 20984-2007信息安全技术 信息安全风险评估规范。本规范条款中所指的“风险评估”，其含义均为“信息安全风险评估”。信息安全风险评估实施技术规范范围本规范规定了信息安全风险评估实施技术规范的术语和定义、风险评估实施。本规范适用于信息安全风险评估实施技术规范，与GB/T20984-2007配合使用。规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。

9、凡是不注日期的引用文件，其最新版本适用于本标准。GB/T 209842007 信息安全技术 信息安全风险评估规范术语和定义GB/T209842007确立的术语和定义适用于本标准。风险评估实施风险评估准备评估目的按GB/T209842007中的规定执行。确定评估范围.1 在符合GB/T 20984-2007中的基础上,应包含但不限于信息系统、组织和人员、安全管理与操作实践及地理范围四个方面。.2 应至少识别信息系统的资产、威胁、脆弱性以及已有安全措施等要素。.3 确定与信息系统相关的组织人员以及相互关系。.4 确定对信息系统的安全管理与操作实践。.5 确定涉及信息系统评估的场所。4.1.3建立评

10、估团队按GB/T 209842007中的规定执行。4.1.4前期系统调研按GB/T 209842007中的规定执行。4.1.5确定评估依据按GB/T 209842007中的规定执行。4.1.6制定评估方案.1 按GB/T 209842007中5.1.7制定评估方案。.2 将风险评估实施方案提交给最高管理者，对涉及评估的组织和人员进行培训，以明确有关人员在风险评估活动中的任务。资产识别资产识别内容按GB/T 209842007中的规定进行分类，填写资产清单（见表A.1）。识别内容至少包括：物理资产和地点；网络和逻辑连接；软件（操作系统和应用软件等）；通过网络传送的数据流等。4.2.2资产赋值按G

11、B/T 209842007中的规定执行。对风险评估的重要资产进行赋值，填写资产赋值表（见表A.2）。威胁识别4.3.1威胁识别内容按GB/T 209842007中的规定执行。对威胁进行识别，填写威胁列表（见表A.3）。4.3.2威胁赋值按GB/T 209842007中的规定执行。在威胁识别的基础上，对每个关键资产或关键资产类别构建威胁场景图，排除不可能的“资产威胁”对，填写威胁赋值表（见表A.4）。脆弱性识别脆弱性识别内容脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理环境、网络结构、主机系统、应用系统、数据及备份恢复方面；管理脆弱性涉及技术管理和组织管理方面。物理环境物理位置的选择

12、机房和办公场地的选择。物理访问控制机房出入口的控制；进入机房的来访人员的控制；对机房区域的其他管理。防盗窃和防破坏主要设备的放置地点；设备的固定及标记；线缆的铺设；介质分类标识；设备或存储介质带出工作场所时的控制措施；机房的监控、防盗报警系统。接地与防雷机房建筑避雷装置的设置；防雷保安器（单元）的设置；机房交流电源地线的设置；线路防雷的设置。防火机房火灾消防系统的设置；机房及相关的工作房间和辅助房采用的建筑材料；机房采取的防火措施；防火设备的有效期。防水和防潮水管安装及保护措施；防雨措施；防水的检测和报警；防止机房内水蒸气结露和地下积水的转移与渗透措施。防静电机房及主要设备采用的防静电措施。温

13、湿度控制机房温、湿度控制措施。供配电计算机系统供电与其他供电的关系；机房供电稳压和过压防护设备的配置；机房备用电力供应；主要设备在断电情况下的电力供应。电磁防护对外界电磁干扰和设备寄生耦合干扰的防护；对电源线和通信线缆干扰的防护；对关键设备和磁介质电磁防护；机房的电磁屏蔽。通信线缆的保护对光缆、电缆、网络线缆的保护、维护措施。网络系统网络结构安全网络拓扑设计的安全性；网络地址的划分的合理性、可扩展性、规范性；网络边界连接的安全性。网络访问控制网络边界部署的访问控制设备的控制功能；数据流的允许/拒绝访问的能力，控制粒度；对进出网络的信息内容的过滤，对应用层协议命令级的控制；在会话处于非活跃一定时

14、间或会话结束后的网络连接控制；网络最大流量数及网络连接数的限制；对重要网段防止地址欺骗的技术手段；允许或拒绝用户对受控系统进行资源访问的控制粒度；具有拨号访问权限的用户数量的限制。网络安全审计对网络系统中的网络设备运行状况、网络流量、用户行为的审计情况；安全审计记录的生成、分析、保护。边界完整性检查对非授权设备接入内部网络行为的检查；对内部网络用户非授权接入外部网络行为的检查。网络入侵防范对网络攻击行为的监视；对网络攻击行为的响应；网络入侵检测设备的配置与更新。恶意代码防范在网络边界处对恶意代码的防范；恶意代码库的升级和检测系统的更新。网络设备管理对登录网络设备的用户身份鉴别机制；系统漏洞的弥

15、补情况和补丁的安装情况；配置文件的备份情况；访问控制表的配置情况；管理员口令设置和管理情况以及口令文件所采取的存储形式。主机系统身份鉴别操作系统和数据库系统登录用户身份标识；操作系统和数据库系统登录用户鉴别机制；操作系统和数据库系统管理用户口令策略；登录失败处理功能；鉴别警示功能。访问控制操作系统和数据库系统的访问控制策略；对重要信息资源的强制访问控制。安全审计对操作系统和数据库系统中的重要用户行为、系统资源的异常使用和重要系统命令的使用等系统内重要的安全相关事件的审计情况；安全审计记录的生成、分析、保护。历史及临时信息保护操作系统和数据库系统用户鉴别等历史及临时信息的保护；系统内的文件、目录

16、和数据库记录等历史及临时信息资源的保护。入侵防范对重要服务器入侵行为的检测；对重要程序的完整性检测；注册表类控制检测。恶意代码防范防恶意代码软件安装，以及防恶意代码软件版本和恶意代码库的更新；防恶意代码软件的管理。资源控制终端登录的限制；登录终端的操作超时的控制；对重要服务器的监视；对单个用户对系统资源的最大或最小使用限度的限制；对系统的服务水平降低到预先规定的最小值进行的检测和报警。应用系统身份鉴别应用系统登录用户身份标识；应用系统登录用户鉴别机制；应用系统管理用户口令策略；登录失败处理功能；鉴别警示功能。访问控制用户对文件、数据库表等客体的访问控制；访问控制的覆盖范围；访问控制策略配置的控

17、制；默认帐户的访问权限限制；不同帐户所需最小权限及相互制约关系的控制；对重要信息资源敏感标记的设置；有敏感标记重要信息资源操作的控制。安全审计应用系统重要安全事件的审计情况；安全审计记录的生成、分析、保护。历史及临时信息保护应用系统用户鉴别等历史及临时信息的保护；应用系统内的文件、目录和数据库记录等资源的保护。通信完整性通信过程中数据的完整性。通信保密性通信过程中数据的保密性。抗抵赖数据原发抗抵赖；数据接受抗抵赖。软件容错数据有效性检验；软件自动保护功能。资源控制系统的最大并发会话连接数的限制；单个帐户的多重并发会话的限制；对一个时间段内可能的并发会话连接数的限制；对一个访问帐户或一个请求进程

18、占用的资源分配最大限额和最小限额的限制；系统服务水平降低到预先规定的最小值进行的检测和报警；分配系统资源的优先级设定功能。.4.10 系统配置系统端口配置；系统服务和协议配置；系统漏洞检测；数据及备份恢复数据完整性系统管理数据、鉴别信息和重要业务数据在传输过程中的完整性；系统管理数据、鉴别信息和重要业务数据在存储过程中完整性。数据保密性系统管理数据、鉴别信息和重要业务数据传输保密性；系统管理数据、鉴别信息和重要业务数据存储保密性。备份和恢复操作系统、数据库系统、应用系统、网络设备的备份机制；操作系统、数据库系统、应用系统、网络设备的恢复功能；技术管理物理和环境安全安全区域；设备安全；一般控制。

19、通信与操作管理操作规程和职责；系统规划和验收；防范恶意软件；内务管理；网络管理；存储介质处置和安全；信息和软件的交换。访问控制访问控制的业务要求； 用户访问管理； 用户职责； 网络访问控制； 操作系统访问控制； 应用访问控制； 对系统访问和使用的监督； 移动设备和远程工作。系统开发与维护系统的安全要求；应用系统的安全；密码控制；系统文件的安全；开发和支持过程的安全；业务连续性管理。组织管理安全策略信息安全策略。组织安全信息安全基础架构；第三方访问的安全性；外包。资产可核查性资产分类与控制。人员安全岗位设定和人力资源的安全；用户培训。符合性符合法律要求；安全策略和技术符合性的评审；系统审核考虑。

20、脆弱性识别方式.1问卷调查通过调查问卷来进行脆弱性识别和分析。.2工具检测使用漏洞检测工具(或定制的脚本)检测脆弱性。.3 人工核查通过设备、系统或应用的检查列表，对脆弱性进行人工检查。.4 文档查阅通过查阅系统的相关文档来进行脆弱性识别和分析。.5 渗透性测试在确保被检测系统安全稳定运行的前提下，对目标网络、系统及应用的安全性进行深入的探测，发现系统脆弱环节，并进行一定程度的验证。渗透测试分为现场渗透性测试和远程渗透性测试。脆弱性赋值按GB/T 209842007中5.4.2的规定执行，在对脆弱性进行识别的基础上，对脆弱性进行赋值，填写脆弱性赋值表（见表A.5）。已有安全措施确认按GB/T

21、20984200的规定执行，对已有安全措施进行识别，填写已有安全措施列表（见表A.6）。风险分析按GB/T 209842007中的规定执行。风险评估文档记录风险评估的相关文档应在发布前得到批准，其更改和现行修订状态是可识别的，防止作废文档的使用。风险评估文档至少应包括以下部分：风险评估报告（格式见附录A）；风险控制建议；评估过程文档。附 录A（标准性附录）信息安全风险评估报告格式信息安全风险评估报告报告编号：评估系统名称： 系统建设单位： 风险评估机构年 月 日声 明评估报告无授权签字人批准签字无效。评估报告涂改或部分复印无效。对本报告如有异议，请于收到报告之日起十五日内向风险评估机构提出。单

22、位名称：风险评估机构单位地址：电 话：传 真：邮 编：邮 件：评 估 报 告评估系统名称系统建设单位建设单位地址评估委托单位评估日期评估地点评估依据评估所依据的国际标准、国家标准、行业标准；行业主管机关的业务系统的要求和制度；系统安全保护等级要求；系统互联单位的安全要求；系统本身的实时性或性能要求等。评估说明描述系统的建设情况，是否为涉密系统，何时运行，评估形式等情况。评估结论描述系统评估后所得出的安全状况，所存在的安全风险情况。编 制年 月 日 审 核年 月 日 批 准年 月 日 备 注信息安全风险汇总表序号信息安全风险描述及分析风险等级风险等级划分说明。风险控制建议汇总表序号风险控制建议内

23、容1评估概述描述本次风险评估的项目背景、项目目标。描述本次风险评估的范围（包括信息系统范围、组织结构和人员范围、安全管理和操作的范围、地理范围等）。描述本次风险评估工作的组织结构（含评估人员构成）、工作原则和采取的保密措施。2评估方法和过程评估依据评估所依据的国际标准、国家标准、行业标准；行业主管机关的业务系统的要求和制度；系统安全保护等级要求；系统互联单位的安全要求；系统本身的实时性或性能要求等。评估流程及方法描述本次风险评估的实施流程、工作方法及阶段工作内容。明确所使用的脆弱性扫描工具及其他所使用的工具。3系统概况系统描述描述系统的构成情况、网络结构与网络环境、系统边界、主要功能等，提供网

24、络拓扑图。业务功能描述系统所提供的业务功能。安全等级保护定级情况描述系统的安全等级保护定级情况。4 资产识别资产分类识别根据资产的表现形式，可将资产分为数据、软件、硬件、服务、人员等类型。填写表1资产清单。表A.1资产清单序号名称型号数量应用描述其他重要资产赋值描述资产根据保密性、完整性、可用性进行赋值的评价尺度，以及依据此三性进行重要性评定的规则。在资产识别的基础上，列出本次风险评估的重要资产，填写表2资产赋值表。表A.2资产赋值表序号名称型号应用描述保密性赋值完整性赋值可用性赋值重要性赋值5威胁识别威胁分类识别对威胁来源（环境、人为）、威胁的种类方式进行分类识别，填写表3威胁列表。表A.3威胁列表序号威胁种类威胁方式描述威胁赋值对威胁发生的频率进行分析，描述威胁的赋值规则，对威胁赋值，填写表4威胁赋值表。表A.4威胁赋值表威胁种类资产名称6脆弱性识别按照识别对象、识别结果、脆弱性分析分别描述以下各方面的脆弱性检测结果、严重程度。脆弱性分析物