2020年中海信托信息安全风险评估及整改项目技术方案

中海信托信息安全

风险评估及整改项

目技术方案

文档仅供参考，不当之处，请联系改正。

目录

1概述.......................................错误味定义书签。

1.1项目背景................................错误!未定义书签。

1.2项目目标................................错误!未定义书签。

1.3项目内容................................错误!未定义书签。

1.4项目设计原则............................错误!未定义书签。

1.5项目范围................................错误!未定义书签。

1.6文件和法律法规..........................错误!未定义书签。

2天融信对本项目的理解......................错误味定义书签。

2.1对项目目标的理解........................错误!未定义书签。

2.2对项目特点的理解........................错误!未定义书签。

3项目总体方法与流程........................错误!未定义书签。

3.1概述.....................................错误!未定义书签。

3.2天融信风险评估方法......................错误!未定义书签。

3.3本项目采用的安全风险评估方法...........错误!未定义书签。

3.4技术难点和关键突破......................错误侏定义书签。

4信息资产调查和赋值........................错误!未定义书签。

4.1信息资产概述............................错误!未定义书签。

4.2信息资产分类............................错误!未定义书签。

4.3保护对象木匡架............................错误!未定义书签。

文档仅供参考，不当之处，请联系改正。

4.4资产识别过程............................错误!未定义书签。

4.5信息资产赋值............................错误!未定义书签。

4.6赋值工作操作方法指南....................错误!未定义书签。

5IT设备评估................................错误!未定义书签。

5.1评估的过程..............................错误!未定义书签。

5.2评估的方法..............................错误!未定义书签。

5.3评估的内容..............................错误!未定义书签。

5.4评估的风险和应对........................错误!未定义书签。

6网络设备安全风险评估......................错误味定义书签。

6.1评估过程描述............................错误!未定义书签。

6.2评估的方法..............................错误!未定义书签。

6.3评估的内容..............................错误!未定义书签。

6.4评估的风险和应对........................错误!未定义书签。

7应用系统和管理安全风险评估................错误!未定义书签。

7.1评估过程描述............................错误!未定义书签。

7.2评估方法................................错误!未定义书签。

7.3评估内容................................错误!未定义书签。

7.4风险及应对措施..........................错误!未定义书签。

8安全增强与加固............................错误!未定义书签。

8.1安全力口固内容............................错误!未定义书签。

文档仅供参考，不当之处，请联系改正。

8.2安全力口固流程............................错误!未定义书签。

9应急响应服务...............................错误!未定义书签。

9.1服务目标：..............................错误!未定义书签。

9.2服务特点：..............................错误!未定义书签。

9.3一般实施流程：..........................错误!未定义书签。

9.4流程说明：..............................错误!未定义书签。

10安全解决方案...............................错误!未定义书签。

10.1解决方案设计概述........................错误!未定义书签。

10.2安全需求分析............................错误侏定义书签。

10.3安全解决方案设计........................错误!未定义书签。

n项目组织结构.............................错误味定义书签。

11.1现场实施阶段，项目组织结构.............错误!未定义书签。

11.2项目角色和责任..........................错误!未定义书签。

12项目进度计划.............................错误!未定义书签。

12.1项目主要过程时间安排....................错误!未定义书签。

13项目启动和准备阶段.......................错误味定义书签。

13.1概述....................................错误!未定义书签。

13.2参加人员................................错误!未定义书签。

13.3过程描述................................错误!未定义书签。

文档仅供参考，不当之处，请联系改正。

13.4需要中海信托配合的工作.................错误!未定义书签。

13.5输出....................................错误!未定义书签。

14现场实施阶段.............................错误!未定义书签。

14.1资产调查................................错误!未定义书签。

14.2安全评估（包括漏洞扫描、人工检查等）...错误!未定义书签。

14.3渗透测试................................错误!未定义书签。

14.4安全力口固................................错误!未定义书签。

14.5应急响应服务............................错误!未定义书签。

15数据分析及报告阶段.......................错误味定义书签。

15.1概述....................................错误!未定义书签。

15.2过程描述................................错误!未定义书签。

15.3需要中海信托配合的工作..................错误!未定义书签。

15.4输出....................................错误!未定义书签。

16项目收尾阶段.............................错误!未定义书签。

16.1概述....................................错误!未定义书签。

16.2过程描述................................错误!未定义书签。

16.3需要中海信托配合的工作..................错误!未定义书签。

16.4输出....................................错误!未定义书签。

17售后服务.................................错误!未定义书签。

17.1安全服务技术支持服务....................错误!未定义书签。

文档仅供参考，不当之处，请联系改正。

17.2安全服务跟踪服务........................错误!未定义书签。

17.3天融信安全服务业务关键能力.............错误!未定义书签。

18项目管理及沟通办法.......................错误!未定义书签。

18.1天融信工程项目管理方法..................错误!未定义书签。

18.2天融信项目管理遵循的标准...............错误!未定义书签。

18.3项目沟通办法............................错误!未定义书签。

19项目风险管理及保密控制...................错误味定义书签。

19.1项目风险分析及规避措施..................错误!未定义书签。

19.2项目的保密控制..........................错误侏定义书签。

20天融信信息安全服务业务介绍...............错误!未定义书签。

20.1安全服务组织结构图......................错误!未定义书签。

20.2安全服务业务范围........................错误!未定义书签。

21项目实施质量保证.........................错误!未定义书签。

21.1项目执行人员的质量职责..................错误!未定义书签。

21.2天融信安全服务质量保证体系严格贯彻以下过程错误!未定义书

签。

22项目验收方式.............................错误味定义书签。

22.1验4攵方法确认............................错误!未定义书签。

22.2验收:程序................................错误!未定义书签。

22.3版本控制................................错误!未定义书签。

文档仅供参考，不当之处，请联系改正。

22.4交付件归档办法....................................错误!未定义书签。

23项目分项报价表...........................错误味定义书签。

文档仅供参考，不当之处，请联系改正。

1概述

1.1项目背景

近年来，随着信息化技术越来越深入和广泛的应用，信息

安全的风险日益加大，国家和各行业主管机构都对防范信息安

全风险非常重视。国家信息化领导小组颁发的《信息安全等级

化保障体系》系列标准文件对中国信息安全保障工作做出原则

性战略性的规定，要求坚持积极防御、综合防范的方针，全面

提高信息安全防护能力，重点保障基础信息网络和重要信息系

统安全，经过五年左右的努力，基本形成国家信息安全保障体

系。起，银监会发布了《商业银行内部控制指引》，并进一

步发出了关于信托投资公司加强内部控制和风险控制的要求。

7月，国家财政部和证监会、银监会、保监会等联合发布了

《企业内部控制基本规范》，对企业的内部控制提出了较为具

体的要求。

为进一步保障银联网络的边界安全，降低信息安全风险，

中海信托投资有限公司拟于在业界知名互联网安全服务公司

的协助下，对中海信托信息系统实施安全风险管理服务（包

括安全技术和管理评估、互联网应用渗透测试、安全体系建设

咨询、安全加固服务、紧急安全事件响应等服务），为中海

信托的核心业务系统稳定运行提供安全保障。

文档仅供参考，不当之处，请联系改正。

1.2项目目标

经过实施整体信息安全风险评估服务（包括安全技术和管

理评估、互联网应用渗透测试、安全体系建设咨询、安全加固

服务、紧急安全事件响应等服务）提高中海信托信息系统的安

全性和可靠性，并在紧急情况下对提供紧急安全事件响应支

持，控制并降低来自于互联网的安全风险。

经过本次对中海信托网络安全服务项目，能够达到以下主

要目标：

■经过安全风险评估，得到中海信托的整体安全现状；

■经过渗透测试和安全技术评估，分析中海信托信息系统

存在的各类技术性安全缺陷，并进行整改；

■经过管理体系评估，发现中海信托在风险管理、安全策

略和内部控制等方面存在的问题并加以改进；

■经过安全加固和策略体系改进，全方位的提升中海信托

的信息安全管理水平。

1.3项目内容

本次整体信息安全风险评估项目的内容能够分为几个部

分:

文档仅供参考，不当之处，请联系改正。

1.3.1信息安全风险评估

1.信息资产调查

调查和统计中海信托信息系统所包含的信息资产（包含物

理环境、终端、网络设备、主机、应用软件、业务系统、数

据、人员、标准流程等），明确其现有状况、配置情况和管理

情况。如主机系统，需要明确其平台、版本、补丁等基本情况

外，还需明确开放端口、服务和进程等配置管理信息。并对所

有信息资产按照一定标准进行资产赋值。

现有安全系统调查工作包括明确现有安全设备（包括防火

墙、防病毒系统、入侵检测系统、安全扫描系统、帐号口令集

中管理系统、域控制服务器等）的部署情况和使用情况；同时

了解在建网络与信息安全建设项目，使之服从统一部署原则。

2.安全风险评估

根据中海信托现有的安全标准规范和业务对安全的要求，

分析主机、网络及安全设备面临的威胁，评估现有系统的存在

的弱点，明确所有信息系统面临的安全风险和隐患。

1.3.2应用系统渗透测试

经过黑客或白客方式对指定的Internet业务系统进行渗透

攻击，发现该系统存在的安全隐患，并提出解决措施。

文档仅供参考，不当之处，请联系改正。

1.3.3信息系统安全加固

安全加固和优化服务是实现客户信息系统安全的关键环

节。经过使用该项服务，将在中海信托信息系统的网络层、主

机层和应用层等层次建立符合中海信托安全需求的安全状态，

并以此作为保证中海信托信息系统安全的起点。

1.3.4安全策略体系整改

经过对现有安全体系策略制度的审阅、解读和差距性分

析，对现有安全管理制度和内控制度进行改进，使之能够完全

符合当前国内相关控制标准的要求，并向相关的国际化标准看

齐。

1.4项目设计原则

■符合性原则：符合国家等级化保护体系指出的积极防

御、综合防范的方针和等级保护的原则。

■标准性原则：服务方案的设计与实施应依据国内或国际

的相关标准进行；

■规范性原则：服务工作中的过程和文档，具有很好的规

范性，能够便于项目的跟踪和控制；

■可控性原则：方法和过程在双方认可的范围之内，安全

服务的进度要按照进度表进度的安排，保证甲方对于服

文档仅供参考，不当之处，请联系改正。

务工作的可控性；

■整体性原则：安全服务的范围和内容整体全面，包括安

全涉及的各个层面（应用、系统、网络、管理制度、人

员等），避免由于遗漏造成未来的安全隐患；

■最小影响原则：安全服务中的工作尽可能小的影响系统

和网络的正常运行，不能对现网的运行和业务的正常提

供产生显著影响；

■保密性原则：对过程数据和结果数据严格保密，未经授

权不得泄露给任何单位和个人，不得利用此数据进行任

何侵害甲方的行为，否则甲方有权追究乙方的责任。甲

方有权要求乙方在服务结束之后销毁所有和本项目有关

的数据和文档。

1.5项目范围

本项目选择中海信托的核心业务系统作为服务对象。

1.6文件和法律法规

国内政策与标准：

■《国家信息化领导小组关于加强信息安全保障工作的意

见》（中办发口27号）；

■《关于开展信息安全风险评估工作的意见》1月国家网

络与信息安全协调小组；

文档仅供参考，不当之处，请联系改正。

■《关于印发《信息安全风险评估指南》的通知》2月国

信办(国信办综口9号)；

■《商业银行内部控制指引》12月银监会

■《企业内部控制基本规范》7月财政部、证监会、审

计署、银监会、保监会

国际政策与标准：

■ISO/IEC27001信息安全管理体系标准

■COSO/COBIT内控和信息技术控制框架

■ISO/IECTR13335Series,Guidelinesforthemanagement

ofITSecurity(CMITS),1996-

■NISTSP800Series,ComputerSecuritySpecial

Publications,1991-

2天融信对本项目的理解

2.1对项目目标的理解

安全风险评估工作是中海信托信息安全体系运作体系中风

险管理的重要组成部分，经过周期性的安全风险评估工作发现

公司的安全现状，为公司安全建设和安全加固提供数据基础。

综上所述，本期项目的目标是：

经过安全评估的技术手段，尽可能发现和定位中海信托各

信息系统存在的安全风险，为安全加固、系统整改及应急响应

文档仅供参考，不当之处，请联系改正。

提供依据和技术指导，降低中海信托整体的安全风险。

2.2对项目特点的理解

经过上面对本项目目标的分析，本期深度安全风险评估工

作存在如下特点：

■要求高：

•由于中海信托业务的快速增长，对信息安全的要求

越来越高，因此要比以前采用更加规范的项目管理

要求；

•本次评估的技术深度和广度，都要强于以前的项目

及同行业的要求（多个系统的应用分析）；

•采用的技术标准，是当前最新、最及时的，相比历

史评估工作和同行业类似工作的技术要求是最高

的；

■技术与管理并重：

•由于面临的外部威胁的压力和影响力比以往要大很

多，因此本次项目更加侧重于经过外部渗透测试的

方法，发现从外部的威胁和影响（特别是从外部

Internet进行渗透测试）；

•本次项目渗透测试涉及的系统范围更广，而且更深

地分析经过“信任关系”发生的渗透，从而发现

文档仅供参考，不当之处，请联系改正。

“木桶原理”中的“最短那块板”；

■更加侧重于应用系统自身特点的安全评估：

•综合分析业务和管理层（数据流，角色权限…）；

应用层（数据库，中间件）；系统层（主机操作系

统）；网络层（网络架构，网络设备），提出的安

全风险更加有针对性；

•中海信托各应用系统有不同的特点，在本次项目中

要结合不同部门、不同系统特点进行相应的应用系

统安全评估；

■更加考虑安全加固和应急响应体系建设的可行性：

•本次项目在实施过程中安排了时间，对发现的问题

进行及时地讲解和答疑；

•对发现的问题提出的解决方案，和系统管理员及时

沟通，并协助进行讲解和培训，对不能直接解决

的，提出综合解决、降低风险的方案。

文档仅供参考，不当之处，请联系改正。

3项目总体方法与流程

3.1概述

风险管理(RiskManagement)旨在对潜在机会和不利影响

进行有效管理的文化、程序和结构。风险管理是良好管理的一个

组成部分，它用一种将损失减小到最低程度而使商业机会达到最

大限度的方式，对与机构的任何活动、功能和过程相关的风险进

行环境建立、鉴定、分析、评价、处理、监控和信息交流。风险

管理过程(RiskManagementProcess)是指系统地将管理方针、

程序和结构应用于风险的环境建立、鉴定、分析、评价、处理、

监控和信息交流等过程任务。

在信息安全领域，同样适用于风险管理的理念和方法论。

在当前信息技术得到普遍应用，而且很多成为关键业务系统的环

境下，企业或组织的信息安全风险很大，而且普遍缺乏有效的控

制和管理，但过度的风险管理，无疑会导致大量的金钱和人力的

花费、以及工作效率的严重降低。因此，如何适度和有效地进行

信息安全的风险的管理和控制，成为了一项迫切和重要的任务。

下面的描述即是阐明风险评估过程的理念和方法论，以作

为天融信安全服务的标准方法论和理论基础，指导和规范天融信

的安全风险安全服务工作。

文档仅供参考，不当之处，请联系改正。

3.1.1安全模型参考

在澳大利亚和新西兰国家标准《风险管理Risk

Management》(AS/NZS4360:1999)中描述了风险管理过程，

如下图所示：

在国际标准ISO13335中，安全模型如下图所示，特点是以

风险为核心。

文档仅供参考，不当之处，请联系改正。

在国际标准中，安全模型如下图所示，其特点是强调了模

型的对抗性和动态性。

能够看出，安全模型中的核心要素都是资产、弱点、威

胁、风险、安全措施等，各要素之间的关系也基本类似，只是描

述和关注的角度不同。

3.1.2风险评估标准

风险评估过程中主要选择的规范和标准包括：

中海信托技术规范和标准：

国内政策与标准：

■《国家信息化领导小组关于加强信息安全保障工作的意

见》（中办发口27号）；

■《关于开展信息安全风险评估工作的意见》1月国家网

络与信息安全协调小组；

■《关于印发《信息安全风险评估指南》的通知》2月国

文档仅供参考，不当之处，请联系改正。

信办（国信办综口9号）；

国际政策与标准：

■ISO/IEC27001

■ISO/IECTR13335Series,Guidelinesforthemanagement

ofITSecurity（CMITS）,1996-

■NISTSP800Series,ComputerSecuritySpecial

Publications,1991-

■ISO/IEC15408-1999”信息技术安全技术信息技术安全

性评估准则”（简称CC）

3.2天融信风险评估方法

3.2.1风险评估模型

在安全评估服务中，天融信参照上述两个安全模型，根据

自己的工程实践，建立了自己的风险评估模型，描述如下:

在天融信的风险评估模型中，主要包含信息资产，弱点/脆

弱性、威胁和风险四个要素。每个要素有各自的属性，信息资产

的属性是资产价值，弱点的属性是弱点被威胁利用后对资产带来

文档仅供参考，不当之处，请联系改正。

的影响的严重程度，威胁的属性是威胁发生的可能性，风险的属

性是风险发生的路径。因此，天融信风险评估的过程是：

a）对信息资产进行识别，并对资产赋值；

b）识别信息资产的脆弱性（弱点/漏洞），并对弱点的严重程

度赋值；

c）对威胁进行分析，并对威胁发生的可能性赋值；

d）综合分析资产价值、资产的脆弱性和威胁发生的可能性，

得到信息资产的风险发生的路径和级别，并对风险进行处

理，选择合适的控制措施。

3.2.2总体工作流程图

根据安全风险评估模型，天融信安全风险评估的总体工作

流程如下图：

安全风除病缶实施方法检

£I：<w«v1

会

£

一

一

制

百--G2

///、、、

>

匕

；

在评估过程中首先要进行全网的资产调查，识别的内容包

括：”信息设备、应用系统、网络环境、组织结构及物理环

文档仅供参考，不当之处，请联系改正。

境；然后进行应用系统安全目标的识别和分析；以及经过安全

评估的“业务系统评估”、“渗透测试”、“网络架构评

估”、“IT设备弱点评估”、“应用安全评估”、“安全管理

评估”、“物理安全评估”各项内容获取“安全现状”（包

括：安全威胁）、“安全弱点”。

最后经过各系统、子系统的安全目标和其“安全现状”、

“安全弱点”的对比分析，得到安全现状和解决方案。

3.3本项目采用的安全风险评估方法

本次项目由于侧重点于技术问题的发现，并指导今后的安

全加固和系统技术整改等技术工作；根据本次项目的特点，准备

采用如下三种安全风险评估的方法，主要针对非重点系统、重点

系统网络类、重点系统计算类；

3.3.1非重点系统的IT设备弱点评估

如下图所示:

主机系统

弱点谛估

rr设备网络设备各系统单点设备

弱点评估弱点评估安全反险分析报告

安全设备

弱点评估

计算类

本评估主要目标是为IT设备的弱点提供安全加固的指导和

文档仅供参考，不当之处，请联系改正。

依据，主要涉及“主机系统弱点评估”；“网络设备弱点评

估”；“安全设备弱点评估”。

主机系统弱点评估采用人工现场检查和工具扫描两种方

式；网络设备弱点评估和安全设备弱点评估，对能够导出配置信

息、并配置信息可识别分析的，采用后台人工分析方式；对不能

导出配置信息、或配置信息不可识别分析的，采用人工现场检查

方式。

评估的结果，是体现各单点资产的弱点状况，以及综合的

统计分析报告，主要为指导单点设备的安全加固工作。

3.3.2网络类重点系统的安全评估

如下图所示:

网络类重点系统是公司主要承载各业务的基础平台，其评

估的目标不但是发现现存系统的问题，指导安全加固和系统整改

的工作和依据；而且还要根据业务发展需要，为网络建设提供安

文档仅供参考，不当之处，请联系改正。

全保障的规划依据。

本安全评估包含：“IT设备弱点评估；网络架构安全评估

和渗透测试”，其中IT设备弱点评估和前面的一致。

网络架构安全评估包括：网络现状安全合理性分析以及随

业务发展需要的网络安全需求分析，主要采用的方法是：后台分

析（对网络拓扑、相关技术文档、访问控制等配置信息分析）、

现场设备检查（对网络设备或网管系统的安全状况查看）、系统

管理员的顾问访谈（网络现状存在的问题、网络安全事件、业务

发展对网络的影响及假设）、主管领导的顾问访谈（业务发展对

网络安全的要求）；

渗透测试，主要采用嗅探及入侵的手法，分析从外部越权

进入本系统的路径和可能性，以及可越权访问接入本网络系统的

系统范围和影响。注：如无特殊需要，不采用DOS等恶意攻击

手段。

本评估的结果，除体现单个资产的弱点状况，指导安全加

固外；还可为系统整改，划分安全域以及未来网络规划提供参

考；同时由于公司涉及网络类系统之间是有强的关联，最后要综

合分析各网络类系统和应用系统的关联性，设计全网的网络安全

解决方案建议。

文档仅供参考，不当之处，请联系改正。

3.3.3应用计算类重点系统的安全评估

如下图所示:

应用计算类重点系统是公司各独立的业务单元，包括完整

的主机、网络、应用各项内容；其评估的目标是从深度上（业务

管理层〈数据流，用户角色权限…〉；应用层〈数据库，中间

件〉）；到广度上系统层（主机操作系统）；网络层（网络架

构，网络设备），提出全面的安全风险分析报告。

本安全评估包含：“IT设备弱点评估；网络架构安全评

估；应用系统安全评估和渗透测试”，其中IT设备弱点评估和

前面一致。

网络架构安全评估主要从网络结构上分析其应用系统安全

域划分的合理性及访问控制策略的符合性，具体方法和前面一

致。

应用系统安全评估，主要包括：对业务逻辑和数据流的安

文档仅供参考，不当之处，请联系改正。

全分析；对应用平台的安全分析。主要方法是：后台分析（对业

务系统设计、运行相关技术文档）、现场设备检查（对应用平台

和数据库进行安全状况查看）、源代码评估（对部分关键流程的

代码进行分析）、系统管理员的顾问访谈（现状存在的问题、安

全事件、业务发展的影响及假设）。

渗透测试，主要采用入侵和角色提升的手法，分析从外部

越权侵入本系统的路径和可能性；以及模拟不同用户角色提升权

限，进行数据篡改或越权访问的可能性分析。

本评估的结果，除体现单个资产的弱点状况，指导安全加

固外；重点为系统整改，安全域划分以及系统开发提供参考。

3.4技术难点和关键突破

在对中海信托进行安全风险评估的过程中，由于其规模庞

大，信息系统复杂，业务系统的特性和安全属性存在巨大差

异，因此对于评估标准的选择，以及评估成果的适用性都提出

了巨大的挑战。

3.4.1评估指标的定制

面临困难：安全没有定制化的适用的安全指标，造成评估

结果不可信

一般在安全评估时，评估服务提供者因为在评估前并不熟

悉和理解被评估方的业务特性和安全特性，因此不能定制非常

文档仅供参考，不当之处，请联系改正。

适用的评估标准指标，也就是说没有非常适用，反映被评估对

象特性的评估标准，一般都采用国际或国家标准。

虽然国际或国家标准适用于所有信息系统，但其适用广泛

性原因，评估标准比较笼统，不反映行业特性和企业特性。这

样，因为缺乏适用的评估标准，造成的评估结果可用性差，也

缺乏针对性，不能反映业务特性和行业特性。特别是如果服务

提供者对客户首次评估，存在评估质量较低的风险，这是评估

服务业务一个多年存在的难题，很难解决。一般情况下，评估

质量取决于评估服务提供者和评估顾问的经验是否丰富，是否

非常熟悉被评估者的业务特性和行业特性。

解决方法：在评估前设计行业安全评估指标，并在评估开

始阶段尽可能的定制

能否准确定制行业安全评估指标，即行业评估标准是评估

项目能否成功的关键环节之一，它对评估结果的适用性和真实

性起着关键作用。

在作评估前，我们根据多年对不同行业的丰富评估经验和

深刻理解，根据不同的行业业务特性和安全要求特性的理解，

总结出反映行业特性的安全要求，设计出针对不同行业的安全

对策指标体系，再细化成不同行业的安全评估指标。

文档仅供参考，不当之处，请联系改正。

3.4.2强调评估成果的适用性

面临困难：评估成果和建议难以实施，技术和管理难以有

效融合，缺乏抗打击能力和可控性

信息安全问题包含管理方面问题、技术方面问题以及两者

的交叉，它从来都不是静态的，随着组织的策略、组织架构、

业务流程和操作流程的改变而改变。中海信托现有的安全防护

措施大多属于静态的单点技术防护，单纯部署安全产品是一种

静态的解决办法，单纯防范黑客入侵和病毒感染更是是片面

的。一旦单点防护措施被突破、绕过或失效，整个安全保障将

会失效，威胁将影响到整个信息系统。评估成果中解决方案在

设计过程中需要系统化的全面考虑，避免单点考虑，形成系统

化措施。

解决方案：强调多重深度保障和抗打击能力，强调评估成

果的可用性

27号文件提出“坚持积极防御、综合防范的方针”，

《美国国家安全战略》中指出，国家的关键基础设施的“这些

关键功能遭到的任何破坏或操纵必须控制在历时短、频率小、

可控、地域上可隔离以及对利益损害最小这样一个规模上”。

两者都强调了抗打击能力和可控性，这就要求采用多层保护的

深度防御策略，实现安全管理和安全技术的紧密结合，防止单

点突破。天融信在输出评估结果时，会将管理手段和安全技术

文档仅供参考，不当之处，请联系改正。

紧密结合，充分吸收业务特性，建立一个适用性强、可行性强

并具有多重深度保障手段的防护网络。

4信息资产调查和赋值

4.1信息资产概述

资产是企业、机构直接赋予了价值因而需要保护的东西。

它可能是以多种形式存在，有无形的、有有形的，有硬件、有软

件，有文档、代码，也有服务、企业形象等。它们分别具有不同

的价值属性和存在特点，存在的弱点、面临的威胁、需要进行的

保护和安全控制都各不相同。为此，有必要对企业、机构中的信

息资产进行科学识别，以便于进行后期的信息资产抽样、制定风

险评估策略、分析安全功能需求等活动。

虽然信息资产具有非常广泛的含义，但这里将信息资产定

义如下：

信息资产是指组织的信息系统、其提供的服务以及处理的

数据。

4.2信息资产分类

参照ISO27001对信息资产的描述和定义，结合安全评估

的经验，将信息资产按照下面的方法进行分类:

文档仅供参考，不当之处，请联系改正。

解释/示例

网络设备一台或一组互备的网络设备，包括网络设备中的硬件，IOS,

配置文件数据及其提供的网络服务。包括路由器、交换机、

RAS等，防火墙、IDS等安全设备除外。

服务器一台或一组服务器，包括服务器硬件、运行于其上的OS、通用

应用、服务，数据库、磁盘阵列等。

工作站客户端用机、个人用机等。

安全设备作为安全用途的硬件和软件，如：防火墙、IDS、AV等。

存储设备提供存储用途的硬件和软件，如：磁盘阵列等。

业务系统指组织为其应用而开发或购买的各类应用软件及其提供的业务

服务。

应用平台软件主要是指提供通用服务的各种平台系统，包括：数据库WWW、

Mail、FTP、DNS、以及专有的中间件产品等；

数据及文档主要指存在于电子媒介或纸制的各种数据和资料，包括数据库

数据、存放于硬盘上的文件、代码；财务数据及书面报告等。

组织和人员指和安全相关的组织和人员，包括各级安全组织，安全人员、

各级管理人员，网管员，系统管理员，业务操作人员，第三方

人员等

物理环境指支持IT系统运行的基础物理设施，如：机房、空调、UPS,

监控器等。

4.2.1网络设备

网络设备是指构成信息系统网络传输环境的设备，软件和

介质。包括路由器、交换机、通信终端和网关以及网络设备控制

台等硬件设施和软件系统，为了更清晰地区别资产的安全属性，

网络设备类资产不包括防火墙、VPN、网络入侵检测等网络安全

产品。

4.2.2服务器

服务器是指信息系统中承载业务系统和软件的计算环境。

文档仅供参考，不当之处，请联系改正。

包括大型机、小型机、Unix服务器、Windows服务器、移动计

算设备、应用加密机和磁盘阵列等计算设备硬件及其操作系统、

数据库。除此之外，行业特殊的设备，例如银行的ATM等，也

属于主机系统。

同一台主机系统，安装两种或以上操作系统（主要针对工

作站、移动计算设备），并均能接入到网络中的，应视为多项主

机系统信息资产。

4.2.3工作站

工作站是指信息系统中承载业务系统软件客户端软件的计

算环境和OA系统中个人用机。

同一台主机系统，安装两种或以上操作系统（主要针对工

作站、移动计算设备），并均能接入到网络中的，应视为多项主

机系统信息资产。

4.2.4安全设备

安全设备主要指在信息系统中用作网络安全保护用途的硬

件设施和软件系统，包括：防火墙、VPN、网络入侵检测、网

闸、防病毒系统以及相关系统的控制台软硬件设施。

4.2.5存储设备

存储设备主要指在信息系统中用作数据存储用途的硬件设

文档仅供参考，不当之处，请联系改正。

施和软件系统，并均能接入到网络中的信息资产。包括：DAS、

NAS、SAN等软硬件设施。

4.2.6业务系统

业务系统主要指为业务生产、管理支撑及办公等业务需求

提供服务的软件系统，此类资产在信息资产中占有非常重要的地

位。本项目所指的业务系统是指独立应用、运作的系统，例如短

消息业务系统、MISC系统、办公自动化系统、管理信息系统

等，网管系统等。业务系统属于需要重点评估、保护的对象。

业务系统作为独立的资产存在的同时，对于其它资产又存

在如下关系：

■作为“网络设备、服务器、工作站、安全设备、存储设备”

资产的属性之一列出。在其资产赋值时，作为考虑的因素。

4.2.7应用平台软件

主要是指提供通用服务的各种平台系统，包括：数据库

WWW、Mail、FTP、DNS、以及专有的中间件产品等；一般将

其所代表的安全属性落实到如下部分来体现：

■应用平台软件作为“服务器、工作站、安全设备、存储设

备”资产的属性之一列出，在进行资产赋值和弱点的时候,

作为考虑的因素。

文档仅供参考，不当之处，请联系改正。

4.2.8数据及文档

数据及文档主要指存在于电子媒介或纸制的各种数据和资

料，包括源代码、数据库数据、业务数据、客户数据、各种数据

资料、系统文档、运行管理规程、计划、报告、用户手册等。数

据及文档资产在信息资产中占有非常重要的地位，一般作为企业

知识产权、竞争优势、商业秘密的载体。属于需要重点评估、保

护的对象。

一般，数据及文档类资产需要保护的安全属性是机密性。

例如，公司的财务信息和薪酬数据就是属于高度机密性的数据。

可是，完整性的重要性会随着机密性的提高而提高。

企业内部对于数据类资产的分类方法一般根据数据的敏感

性（Sensitivity）来进行，与机密性非常类似。例如，下表是常

见的一种数据分类方法：

简称解释/举例

公开Public不需要任何保密机制和措施，能够公开使用（例如产

品发表新闻等）。

内部Internal公司内部员工或文档所属部门使用，或文档涉及的公

司使用（例如合同等）

秘密Private由和项目相关公司和客户公司成员使用

机密Confidential只有在文档中指定的人员可使用，文档的保管要在规

定的时间内受到控制

绝密Secret非文档的拟订者或文档的所有者及管理者，其它指定

人员在使用文档后迅速的按要求销毁

可是，由于数据及文档数量巨大，且对其分类存在巨大的

偏差和困难，一般将其所代表的安全属性落实到如下部分来体

文档仅供参考，不当之处，请联系改正。

现:

■作为“服务器、工作站、存储设备”资产的属性之一列出。

在进行资产赋值和弱点及威胁分析的时候，作为考虑的因

素。

■作为“组织和人员”资产的属性之一列出。在进行弱点及威

胁分析的时候，作为考虑的因素。

4.2.9组织和人员

主要指企业与信息相关的人员和组织，包括各级安全组

织，安全人员、各级管理人员，网管员，系统管理员，业务操作

人员，第三方人员等与被评估信息系统相关人员和组织。

组织和人员作为独立的资产存在进行识别，但不对其进行

资产赋值，对其安全性因素的考虑如下：

■作为“业务系统、网络设备、服务器、工作站、安全设备、

存储设备”资产的属性之一列出。

4.2.10物理环境

主要指支持信息系统运行的环境的非IT类的设备，主要包

括机房、UPS、空调、保险柜、文件柜、门禁、消防设施等。

此处一般属于物理安全的问题，主要的设备一般集中在机

房内，因此评估时应重点考虑机房提供的环境安全。

物理环境与其它资产存在如下关系：

文档仅供参考，不当之处，请联系改正。

■物理位置作为“业务系统、网络设备、服务器、工作站、安

全设备、存储设备”资产的属性之一列出。在其弱点及威胁

评估时，作为考虑的因素。

4.2.11信息资产分类整体图

4.2.12信息资产调查表

属性描述

资产名称在一个业务系统中不能重名

资产编号全局唯一

资产类型资产的类别属性包括服务器、工作站、网络设备、安全设备等

资产子类型子类型是对类型的进一步说明，例如网络设备中的路由器、交换

机等

操作系统类型设备所承载的系统的类型，例如包括windows,windows,hp-

unix,aix,solans等

操作系统版本号各类操作系统的版本，例如solaris2.8,80等

操作系统补丁各类操作系统的安全补丁信息

应用软件平台应用系统所需的应用软件，例如WEB、J2EE

等

应用平台软件版本应用软件所对应的相应版本。

文档仅供参考，不当之处，请联系改正。

应用平台软件补丁应用软件厂商发布的安全补丁。

设备型号网络、服务器、工作站等的硬件设备型号

设备工作方式硬件、系统之间的工作方式，例如热备、冷备、负载均衡等

用途信息资产的主要功能。

资产所在地理位置信息资产所处的地域、机房和机柜等

资产所在业务系统和信息资产所属的业务系统名称和业务系统所属的部门名称

部门

资产责任人信息资产在登记过程中的责任人。

资产维护人维护信息资产的人员名称

资产安全三性安全属性，机密性、完整性和可用性

资产创立时间信息资产入网的时间

资产最后修改时间信息资产功能修改、人员变换等信息更换的最后时间

资产最后修改人信息资产功能修改、人员变换等信息更换的修改人员名称

4.3保护对象框架

一般来说，信息系统的资产数量十分庞大，为了更好的研

究其计算机安全问题，还需要从庞大的信息资产中提炼出保护对

象。

保护对象框架是指以结构化的方法表示信息系统的框架模

型。所谓结构化是指经过特定的结构将问题拆分成子问题的迭代

方法。例如“鱼刺图”或“问题树”。结构化方法包括以下几条

基本原则：

•充分覆盖

所有子问题的总和必须覆盖原问题。如果不能充分覆盖，

那么解决问题的方法就可能出现遗漏，严重影响本方法的可行

性。

•互不重叠

所有子问题都不允许出现重复，类似以下的情况不应出现

在一个框架中:

文档仅供参考，不当之处，请联系改正。

■两个不同的子问题其实是同一个子问题的两种表述；

■某一个子问题其实是另外两个问题或多个问题的合并；

•不可再细分

所有子问题都必须细分到不能再被细分。

当一个问题经过框架分析后，所有不可再细分的子问题构

成了一个“框架”。

保护对象的主要作用为：

1.有助于信息资产识别的全面性。在列举信息资产时，保护对

象框架有助于识别者系统的进行思考；

2.从资产安全估价到区域的安全性赋值，有助于降低风险分析

的难度，同时确保风险分析的有效性。

4.3.1保护对象框架内容

保护对象框架主要包括计算区域、网络及基础设施、边

界、支撑性基础设施四部分；计算区域还可作为下一级保护对

象，向下细分为下一级计算区域、网络及基础设施、边界、支撑

性基础设施。

1）计算区域

■计算区域是指由相同功能集合在一起，安全价值相近，且面

临相似的威胁来源的一组信息系统组成。

■同一计算区域内的信息资产在安全性上具有较强的同质性。

文档仅供参考，不当之处，请联系改正。

计算区域还能够按照安全性能进一步细分，直至到安全性完

全同质。

2）网络及基础设施

■网络及基础设施是指相同功能集合在一起，安全价值相近，

且面临相似的威胁来源的一组网络系统组成。一般包括路由

器，交换机和防火墙等提供网路服务的局域网和广域网。

3）边界

■边界是指两个区域或两组区域之间的隔离功能集。边界是一

组功能集合，包括访问控制，身份认证等。

4）支撑性基础设施

■支撑性基础设施是指在区域内提供安全保障功能的功能集。

支撑性基础设施是一组功能集合，包括入侵检测、审计及计

算机病毒防护等。

4.3.2保护对象和信息资产

保护对象框架就是信息系统的真实模型，计算区域、网络

与基础设施作为保护对象框架的两类基本元素，分别对应了不同

信息资产的集合。

■计算区域：对应信息资产，一般包括：工作站、存储设备，

服务器，安全设备（不具有访问控制及边界隔离功能）；当

计算区域作为一级保护对象框架时，应按照保护对象框架的

文档仅供参考，不当之处，请联系改正。

思路向下继续分解。

■网络与基础设施：对应信息资产，一般包括：网络设备，安

全设备（具有访问控制及边界隔离功能）。

■边界：对应信息资产，一般包括：网络设备（具有访问控制及

边界隔离的功能模块），安全设备（具有访问控制及边界隔离

功能）。

■支撑性基础设施：对应信息资产，一般包括：安全设备（不

具有访问控制及边界隔离功能）

如上信息资产和保护对象框架的关系，都为各类信息资产

的一个或多个属性。

对于业务系统资产来说，在确立保护对象框架时，能够将

其作为一个独立的保护对象来看待。对于组织和人员资产，经过

业务系统的属性和相应的保护对象框架相关联。

4.4资产识别过程

4.4.1绘制拓扑图

资产识别的首要步骤是绘制拓扑图。在拓扑图中尽可能真

实地描绘拓扑图。一般来说，拓扑图越详细，资产识别的精度也

就越高。如果系统非常复杂，一张拓扑图很难描述清楚，则应采

用多张拓扑图。

在安全咨询项目中，顾问应要求用户首先提供用户事先拓

文档仅供参考，不当之处，请联系改正。

扑图。并以此为基础改成标准化的拓扑图。

4.4.2确定业务系统

绘制拓扑图以后，经过访谈等方式，确定业务系统，且识

别业务系统的功能类型。

4.4.3确定第一层保护对象框架

根据业务系统的各服务功能，对划分出第一层保护对象框

架，划分的原则：

■根据业务的类型：比如是生产业务，管理支撑业务，还是办

公业务等。

■根据业务的重要性：比如核心区域，非核心区域等。

■划分出存在哪些外部区域

4.4.4确定第二层保护对象框架

第二层保护对象框架在第一层的区域内划分，划分原则：

■一般依据业务系统及其提供的功能特性

4.4.5顺序识别资产

识别出系统级保护对象框架后，才真正开始进行资产识

别。在这一阶段，根据信息资产的种类来进行识别。并将其归属

入相应的保护对象框架，或在过程中创立下一级保护对象框架。

文档仅供参考，不当之处，请联系改正。

4.5信息资产赋值

信息资产识别完成后，形成了一个信息资产的清单，但对

于大型组织来说，信息资产数目十分庞大，因此需要确认资产的

价值和重要性，重点保护关键的、重要的资产，并便于进一步考

察资产相关的弱点、威胁和风险属性，并进行量化，因此需要对

资产进行估价。

安全风险评估中所指的信息资产价值有别于资产的帐面价

值和重置价值，而是指资产在安全方面的相对价值。本文中所指

的信息资产价值全部都表示相对价值。在本文中，信息资产的安

全价值主要是指其机密性、完整性和可用性。

资产的安全价值具有很强的时间特性，因此应该根据时间

变化的频度制定资产相关的评估和安全策略的频度。例如，某公

司重要的市场活动策划方案（数据资产），在活动开始之前，为

达成市场目标，需要对该数据资产进行机密性、完整性和可用性

方面的保护。可是在该活动之后，策划已经基本上都传达给了大

众，因此资产价值已经大部分消失，相关的安全属性也失去保护

意义。

4.5.1信息资产估价方法

信息资产估价的方法有定性、半定量、定量三种，鉴于定

量估价的巨大工作量和技术难度，因此采用定性估价的方法。

文档仅供参考，不当之处，请联系改正。

信息资产分别具有不同的安全属性，机密性、完整性和可

用性分别反映了资产在三个不同方面的特性。安全属性的不同一

般也意味着安全控制、保护功能需求的不同。经过考察三种不同

安全属性，能够得出一个能够基本反映资产价值的定性的数值。

在信息资产估价时，主要对资产的这三个安全属性分别赋予价

值，以此反映出信息资产的价值。

机密性、完整性和可用性的定义如下：

•保密性：确保只有经过授权的人才能访问信息；

•完整性：保护信息和信息的处理方法准确而完整；

•可用性：确保经过授权的用户在需要时能够访问信息并使用

相关信息资产。

对安全属性赋值时主要考虑的是对整个评估体影响和损

害，然后按照下面的赋值标准来衡量。这里整个评估体是指本次

评估的主体，包含本次评估范围内的所有信息资产。

下面描述信息资产赋值时采用的标准。要求顾问在评估工

作中，严格依照赋值标准进行赋值，而且所有顾问对赋值标准的

理解应该达成一致，以避免赋值的随意性和不一致性，从而避免

降低评估工作的质量。

4.5.2半定量化的资产赋值

在分析资产的安全性价值时，分析其真实数值非常困难，

文档仅供参考，不当之处，请联系改正。

因此在本项目中我们采用半定量化的方式，即资产价值等级划

分。

在本项目中，我们对于所有资产的机密性、完整性和可用

性价值，均划分为5级。其中5代表资产安全性价值最高，1代

表资产性价值最低。

采用这种方法，使得资产赋值简便易行，同时也体现了不

同资产之间安全价值的差距。其缺点是由于缺乏统一准则，对于

每项资产，其机密性、完整性和可用性三者之间价值是不可比

的。也就是说，如果一项资产的机密性和可用性赋值都是4,并

不意味该资产的机密性和可用性价值相同。

4.5.3资产赋值方法

采用5级标准，较好地反映了资产价值的差异，但对于用

户和顾问来说，在为某一项资产的机密性、完整性或可用性价值

赋值时，依然很难在相邻的两个数值之间作出选择。为此，本项

目中提出了一套方法，经过将机密性、完整性和可用性的每个值

分解为两个相乘的指标，而每个指标均分为三级。从而得出五级

安全价值。

V={Vc,Vi,Va)

资产的安全价值由机密性价值、完整性价值和可用性

价值三者组成。

Vc=Xc*Yc

文档仅供参考，不当之处，请联系改正。

Vi=Xi*Yi

Va=Xa*Ya

将三个安全性价值分别分解为两个相乘的指标。

VX=3X=2X=1

Y=3543

Y=2432

Y=1321

分别为两个指标（三级）赋值，然后查上