GB/T ××××—××××
赋值 5 标识 很高 定义 可用性价值非常高,合法使用者对信息及信息系统的可用度达到年度99.9%以上,或系统不允许中断。 4 高 可用性价值较高,合法使用者对信息及信息系统的可用度达到每天90%以上,或系统允许中断时间小于10分钟。 3 中等 可用性价值中等,合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上,或系统允许中断时间小于30分钟。 2 低 可用性价值较低,合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上,或系统允许中断时间小于60分钟。 1 很低 可用性价值可以忽略,合法使用者对信息及信息系统的可用度在正常工作时间低于25%。 5.2.2.4 资产重要性等级
资产价值应依据资产在机密性、完整性和可用性上的赋值等级,经过综合评定得出。综合评定方法 可以根据自身的特点,选择对资产机密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的最终赋值结果;也可以根据资产机密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的最终赋值结果。加权方法可根据组织的业务特点确定。
本标准中,为与上述安全属性的赋值相对应,根据最终赋值将资产划分为五级,级别越高表示资产 越重要,也可以根据组织的实际情况确定资产识别中的赋值依据和等级。表5中的资产等级划分表明了不同等级的重要性的综合描述。评估者可根据资产赋值结果,确定重要资产的范围,并主要围绕重要资产进行下一步的风险评估。
表5 资产等级及含义描述
等级 5 4 3 2 标识 很高 高 中 低 描述 非常重要,其安全属性破坏后可能对组织造成非常严重的损失。 重要,其安全属性破坏后可能对组织造成比较严重的损失。 比较重要,其安全属性破坏后可能对组织造成中等程度的损失。 不太重要,其安全属性破坏后可能对组织造成较低的损失。 12
GB/T ××××—××××
1 很低 不重要,其安全属性破坏后对组织造成导很小的损失,甚至忽略不计。 5.3 威胁识别 5.3.1 威胁分类
威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机,人为因素又可分为恶意和非恶意两种。环境因素包括自然界不可抗的因素和其它物理因素。威胁作用形式可以是对信息系统直接或间接的攻击,在机密性、完整性或可用性等方面造成损害;也可能是偶发的、或蓄意的事件。
在对威胁进行分类前,应考虑威胁的来源。表6提供了一种威胁来源的分类方法。
表6 威胁来源列表
来源 描述 由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、环境因素 地震等环境条件或自然灾害,意外事故或软件、硬件、数据、通讯线路方面的故障。 人为因素 内部人员由于缺乏责任心,或者由于不关心和不专注,或者没有遵循规章制非恶意人员 度和操作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击。 不满的或有预谋的内部人员对信息系统进行恶意破坏;采用自主或内外勾结的方式盗窃机密信息或进行篡改,获取利益。 恶意人员 外部人员利用信息系统的脆弱性,对网络或系统的机密性、完整性和可用性进行破坏,以获取利益或炫耀能力。 对威胁进行分类的方式有多种,针对上表的威胁来源,可以根据其表现形式将威胁分为以下几类。 表7提供了一种基于表现形式的威胁分类方法。
表7 一种基于表现形式的威胁分类表
种类 描述 威胁子类 设备硬件故障、传输设备故障、由于设备硬件故障、通讯链路中断、系统本身或软件软硬件故障 缺陷造成对业务实施、系统稳定运行的影响。 应用软件故障、数据库软件故障、开发环境故障。 存储媒体故障、系统软件故障、13
GB/T ××××—××××
断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干物理环境影响 扰、洪灾、火灾、地震等环境问题或自然灾害。 由于应该执行而没有执行相应的操作,或无意地执行无作为或操作失误 了错误的操作,对系统造成的影响。 安全管理无法落实,不到位,造成安全管理不规范,管理不到位 或者管理混乱,从而破坏信息系统正常有序运行。 具有自我复制、自我传播能力,对信息系统构成破坏恶意代码和病毒 的程序代码。 间谍软件、窃听软件 未授权访问网络资源、未授权访通过采用一些措施,超越自己的权限访问了本来无权越权或滥用 访问的资源,或者滥用自己的职权,做出破坏信息系统的行为。 问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息 网络探测和信息采集、漏洞探测、利用工具和技术,如侦察、密码破译、安装后门、嗅网络攻击 探、伪造和欺骗、拒绝服务等手段,对信息系统进行攻击和入侵。 嗅探(账户、口令、权限等)、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏 物理攻击 泄密 通过物理的接触造成对软件、硬件、数据的破坏。 信息泄露给不应了解的他人。 物理接触、物理破坏、盗窃 内部信息泄露、外部信息泄露 篡改网络配置信息、篡改系统配非法修改信息,破坏信息的完整性使系统的安全性降篡改 低或信息不可用。 改用户身份信息或业务数据信息 原发抵赖、接收抵赖、第三方抵抵赖 不承认收到的信息和所作的操作和交易。 赖 置信息、篡改安全配置信息、篡 恶意代码、木马后门、网络病毒、维护错误、操作失误
5.3.2 威胁赋值
判断威胁出现的频率是威胁赋值的重要内容,评估者应根据经验和(或)有关的统计数据来进行判断。在评估中,需要综合考虑以下三个方面,以形成在某种评估环境中各种威胁出现的频率:
14
GB/T ××××—××××
(1) 以往安全事件报告中出现过的威胁及其频率的统计;
(2) 实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计;
(3) 近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计,以及发布的威胁
预警。
可以对威胁出现的频率进行等级化处理,不同等级分别代表威胁出现的频率的高低。等级数值越大,威胁出现的频率越高。
表8提供了威胁出现频率的一种赋值方法。在实际的评估中,威胁频率的判断依据应在评估准备阶段根据历史统计或行业判断予以确定,并得到被评估方的认可。
表8 威胁赋值表
等级 5 4 3 2 1 标识 很高 高 中 低 很低 定义 出现的频率很高(或≥1 次/周);或在大多数情况下几乎不可避免;或可以证实经常发生过。 出现的频率较高(或≥ 1 次/月);或在大多数情况下很有可能会发生;或可以证实多次发生过。 出现的频率中等(或> 1 次/半年);或在某种情况下可能会发生;或被证实曾经发生过。 出现的频率较小;或一般不太可能发生;或没有被证实发生过。 威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生。 5.4 脆弱性识别 5.4.1 脆弱性识别内容
脆弱性是资产本身存在的,如果没有被相应的威胁利用,单纯的脆弱性本身不会对资产造成损害。而且如果系统足够强健,严重的威胁也不会导致安全事件发生,并造成损失。即,威胁总是要利用资产的脆弱性才可能造成危害。
资产的脆弱性具有隐蔽性,有些脆弱性只有在一定条件和环境下才能显现,这是脆弱性识别中最为困难的部分。不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个弱点。
脆弱性识别是风险评估中最重要的一个环节。脆弱性识别可以以资产为核心,针对每一项需要保护的资产,识别可能被威胁利用的弱点,并对脆弱性的严重程度进行评估;也可以从物理、网络、系统、应用等层次进行识别,然后与资产、威胁对应起来。脆弱性识别的依据可以是国际或国家安全标准,也可以是行业规范、应用流程的安全要求。对应用在不同环境中的相同的弱点,其脆弱性严重程度是不同的,评估者应从组织安全策略的角度考虑、判断资产的脆弱性及其严重程度。信息系统所采用的协议、应用流程的完备与否、与其他网络的互联等也应考虑在内。
15
GB/T ××××—××××
脆弱性识别时的数据应来自于资产的所有者、使用者,以及相关业务领域和软硬件方面的专业人员等。脆弱性识别所采用的方法主要有:问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。
脆弱性识别主要从技术和管理两个方面进行,技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面,前者与具体技术活动相关,后者与管理环境相关。
对不同的识别对象,其脆弱性识别的具体要求应参照相应的技术或管理标准实施。例如,对物理环境的脆弱性识别可以参照《GB/T 9361-2000 计算机场地安全要求》中的技术指标实施;对操作系统、数据库可以参照《GB 17859-1999 计算机信息系统安全保护等级划分准则》中的技术指标实施。管理脆弱性识别方面可以参照《GB/T 19716-2005 信息技术 信息安全管理实用规则》的要求对安全管理制度及其执行情况进行检查,发现管理漏洞和不足。表9提供了一种脆弱性识别内容的参考。
表9 脆弱性识别内容表
类型 识别对象 识别内容 从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、物理环境 电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别。 从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络结构 网络设备安全配置等方面进行识别。 从补丁安装、物理保护、用户账号、口令策略、资源共享、事件审计、系统软件(含操作系技术脆弱性 访问控制、新系统配置(初始化)、注册表加固、网络安全、系统管理等统及系统服务) 方面进行识别。 从补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、备份数据库软件 恢复机制、审计机制等方面进行识别。 应用中间件 从协议安全、交易完整性、数据完整性等方面进行识别。 从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、应用系统 密码保护等方面进行识别。 管理脆弱性 技术管理 从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业16
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库风险评估指南-国标(4)在线全文阅读。
相关推荐: