2020信息系统安全等级测评量化评价方法

信息系统安全等级测评量化评价方法II目 次前言 II引言 III范围 1规范性引用文件 1术语和定义 1安全等级测评判定流程 1安全等级测评结果判定 2风险分析 3量化评价 4附录A（资料性附录） 量化评价计算示例 6参考文献 7PAGEPAGE10信息系统安全等级测评量化评价方法范围本标准规定了安全等级测评判定流程、安全等级测评结果判定、风险分析、量化评价等内容。本标准适用于根据GB/T22239-2008进行信息系统安全等级测评，对测评结果在风险分析的基础上进行量化评价。规范性引用文件GB/T22239-2008信息安全技术信息系统安全等级保护基本要求GB/T20984-2007信息安全技术信息安全风险评估规范术语和定义GB/T22239和GB/T20984确立的以及下列术语和定义适用于本标准。等级测评确定信息系统安全保护能力是否达到相应等级基本要求的过程。测评对象安全等级测评判定流程1图1 安全等级测评结果判定流程单项测评结果判定主要是针对测评指标中的单个测评项，结合具体测评对象，客观、准确地分析测评证据，形成初步单项测评结果，单项测评结果是形成等级测评结论的基础。单元测评结果判定是将单项测评结果进行汇总，分别统计不同测评对象的单项测评结果，从而判定单元测评结果。整体测评是针对单项测评结果的不符合项，采取逐条判定的方法，从安全控制间、层面间和区域风险分析过程是采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测系统安全造成的影响。等级测评结论形成是在测评结果汇总的基础上，找出系统保护现状与等级保护基本要求之间的差距，并形成等级测评结论。安全等级测评结果判定单项测评结果判定如果测评证据表明所有要求内容与预期测评结果不一致，判定该测评项的单项测评结果为不符合；上述两种情况之外判定该测评项的单项测评结果为部分符合。单元测评结果判定测评指标包含的所有适用测评项的单项测评结果均为符合，则该测评对象对应该测评指标的单元测评结果为符合；测评指标包含的所有适用测评项的单项测评结果均为不符合，则该测评对象对应该测评指标的单元测评结果为不符合；测评指标包含的所有测评项均为不适用项，则该测评对象对应该测评指标的单元测评结果为不适用；测评指标包含的所有适用测评项的单项测评结果不全为符合或不符合，则该测评对象对应该测评指标的单元测评结果为部分符合。等级测评结论判定等级测评结论判定基于单项测评结果判定、单元测评结果判定、整体测评、风险分析，是对信息系统基本安全保护状态的综合判断；当测评结果中不存在部分符合项或不符合项时，系统测评结论为符合；当测评结果中存在部分符合项或不符合项，但不会导致信息系统面临高等级安全风险时，系统测评结论为基本符合；当等级测评结果中存在部分符合项或不符合项，导致信息系统面临高等级安全风险时，系统测评结论为不符合。风险分析风险分析围绕安全等级测评结果中部分符合项或不符合项所产生的安全问题进行。安全问题对应脆弱性，测评对象对应资产，威胁相同。GB/T20984-20074.2GB/T20984-20074.3风险分析的主要内容1表1 安全问题严重程度赋值表等级标识定义5很高如果被威胁利用，将对资产造成完全损害4高如果被威胁利用，将对资产造成重大损害3中等如果被威胁利用，将对资产造成一般损害2低如果被威胁利用，将对资产造成较小损害1很低如果被威胁利用，将对资产造成的损害可以忽略2表2 测评对象等级及含义描述等级标识定义5很高非常重要，其安全属性破坏后可能对组织造成非常严重的损失4高重要，其安全属性破坏后可能对组织造成比较严重的损失3中等比较重要，其安全属性破坏后可能对组织造成中等程度的损失2低不太重要，其安全属性破坏后可能对组织造成较低的损失1很低不重要，其安全属性破坏后对组织造成很小的损失，甚至忽略不计3表3 威胁赋值表等级标识定义5很高出现的频率很高(或)1次/周);或在大多数情况下几乎不可避免;或可以证实经常发生过4高出现的频率较高(或)1次/月);或在大多数情况下很有可能会发生;或可以证实多次发生过3中等出现的频率中等(或>1次/半年);或在某种情况下可能会发生;或被证实曾经发生过2低出现的频率较小;或一般不太可能发生;或没有被证实发生过1很低威胁几乎不可能发生;仅可能在非常罕见和例外的情况下发生根据威胁及威胁利用安全问题的难易程度判断安全事件发生的可能性；根据安全问题的严重程度及安全事件所作用的测评对象的价值计算安全事件造成的损失；GB/T20984-2007A.2量化评价FZMinZMaxZ100% (1)式中：–信息系统量化最大值，即信息系统安全要求对应的量化值；–信息系统量化最小值，即信息系统安全现状对应的量化值。信息系统量化最大值

MaxZn(2)式中：n-信息系统的全部测评结果数；α+β–安全测评结果量化基数；i1iα-量化基数的固定系数，取正整数；β-量化基数的调节系数，取正整数。i1i信息系统量化最小值式中：Ａ–测评对象；Ｂ–基本要求

MinZ

xBMG (3)xi-由单一测评对象及对应单一基本要求所确定的测评结果的量化值；Ｇ–量化安全因子，含义为安全问题导致安全事件的风险高低情况，M存在的先决条件；M–M

， 测评结果为符合xiG测评结果为部分符合

(4)式中：

G

，测评结果为不符合GG取正整数。量化安全因子计算原理GRA，V，TRLT，V，FIV，Ia (5)式中：R-安全风险计算函数；A-测评对象；T-威胁；V-安全问题；Ia-安全事件所作用的测评对象价值；Va-安全问题严重程度；L-威胁利用测评对象的安全问题导致安全事件的可能性；F-安全事件发生后造成的损失。附 录 A（资料性附录）67前提条件测评对象本例中测评对象为部分选取，确定的测评对象，如表A.1所示。表A.1 确定的测评对象序号设备名称1核心交换机Cisco65092防火墙NetGuradFireWall4000UF3主机监控系统4IPSPACKETEER测评指标确定的测评指标，如表A.2所示。表A.2 确定的测评指标安全分类安全子类测评项数网络安全结构安全7网络安全访问控制8网络安全安全审计4网络安全边界完整性检查2网络安全入侵防范2网络安全恶意代码防范2网络安全网络设备防护8测评结果表A.3 测评结果序号测评指标关联对象测评结果1应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要Cisco6509符合2应在网络边界部署访问控制设备，启用访问控制功能NetGuradFireWall4000UF符合3用户行为等进行日志记录主机监控系统符合4应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断主机监控系统5应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP碎片攻击和网络蠕虫攻击等IPS不符合6应在网络边界处对恶意代码进行检测和清除防毒墙不符合7应对登录网络设备的用户进行身份鉴别Cisco6509符合8应对登录网络设备的用户进行身份鉴别NetGuradFireWall4000UF符合9应对网络设备的管理员登录地址进行限制Cisco6509不符合10应对网络设备的管理员登录地址进行限制NetGuradFireWall4000UF不符合安全问题安全问题，如表A.4所示。表A.4 安全问题序号问题描述1主机监控系统对NAT转换的用户，存在监控不到的问题2网络系统内部旁路部署了IPS设备，但处于关机停用状态。3未在网络边界处部署对恶意代码进行检测和清除的措施或者设备4未对Cisco6509的管理员登录地址进行限制5未对NetGuradFireWall4000UF的管理员登录地址进行限制风险分析安全问题严重程度赋值安全问题赋值结果，如表A.5所示，赋值结果仅为示例计算过程所需。表A.5 安全问题赋值结果编号问题描述赋值结果V1主机监控系统对NAT转换的用户，存在监控不到的问题3V2网络系统内部旁路部署了IPS设备，但处于关机停用状态。4V3未在网络边界处部署对恶意代码进行检测和清除的措施或者设备4V4未对Cisco6509的管理员登录地址进行限制3V5未对NetGuradFireWall4000UF的管理员登录地址进行限制3测评对象等级赋值测评对象等级赋值结果，如表A.6所示，赋值结果仅为示例计算过程所需。表A.6 测评对象等级赋值结果编号设备名称赋值结果A1核心交换机Cisco65094A2防火墙NetGuradFireWall4000UF4A3XX主机监控系统3A4IPSPACKETEER3威胁赋值威胁赋值结果，如表A.7所示，赋值结果仅为示例计算过程所需。表A.7 威胁赋值结果编号威胁类别赋值结果T1软硬件故障3T2物理环境影响2T3无作为或操作失误2T4网络攻击4T5物理攻击1T6恶意代码4T7越权和滥用4风险分析结果风险计算结果，如表A.8所示。表A.8 风险计算结果编号问题描述V1A1-A4T733V2网络系统内部旁路部署了IPS设备，但处于关机停用状态。A1-A4T444V3未在网络边界处部署对恶意代码进行检测和清除的措施或者设备。A1-A4T644V4未对Cisco6509的管理员登录地址进行限制。A1T433V5未对NetGuradFireWall4000UF的管理员登录地址进行限制。A2T433至此，风险计算结果表明，安全问题V2、V3对应风险等级均为4，即高风险等级，针对V2、V3应采取相应弥补措施，进行消除或降低风险等级。量化评价量化安全因子计算本例中安全因子取值同风险