今天想和大家交流的是《GB/T 31509 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南》�。
該標(biāo)準(zhǔn)主要用來(lái)指導(dǎo)風(fēng)險(xiǎn)評(píng)估項(xiàng)目的組織、實(shí)施����、驗(yàn)收等工作��。并且規(guī)定了信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施的過(guò)程和方法��。
一����、該標(biāo)準(zhǔn)的框架結(jié)構(gòu)如下
二�、風(fēng)險(xiǎn)評(píng)估的基本原則
(一)、標(biāo)準(zhǔn)性原則
意思是要按照本標(biāo)準(zhǔn)中規(guī)定的評(píng)估流程來(lái)實(shí)施風(fēng)險(xiǎn)評(píng)估�����。
(二)��、關(guān)鍵業(yè)務(wù)原則
意思是要把被評(píng)估方的關(guān)鍵業(yè)務(wù)作為評(píng)估核心�����,圍繞這個(gè)核心的相關(guān)網(wǎng)絡(luò)與系統(tǒng)作為評(píng)估重點(diǎn)����。
(三)、可控性原則
a)服務(wù)可控性(就是要提前和客戶溝通好評(píng)估服務(wù)的流程)
b)人員與信息可控性(就是說(shuō)參與風(fēng)險(xiǎn)評(píng)估項(xiàng)目的所有人都要簽個(gè)保密協(xié)議)
c)過(guò)程可控性(這點(diǎn)呢就是要求要成立一個(gè)實(shí)施團(tuán)隊(duì)�,項(xiàng)目組長(zhǎng)負(fù)責(zé)制)
d)工具可控性(把實(shí)施過(guò)程中要使用的評(píng)估工具告訴客戶,提前通氣兒)
(四)�、最小影響原則
在實(shí)施風(fēng)險(xiǎn)評(píng)估時(shí)一定要最大限度的減小評(píng)估工作帶來(lái)的影響����。
三�、風(fēng)險(xiǎn)評(píng)估的流程
1. 評(píng)估準(zhǔn)備階段:對(duì)評(píng)估實(shí)施有效性的保證�,是評(píng)估工作的開(kāi)始。
2. 風(fēng)險(xiǎn)要素識(shí)別階段:對(duì)評(píng)估活動(dòng)中的各類關(guān)鍵要素資產(chǎn)��、威脅�����、脆弱性���、安全措施進(jìn)行識(shí)別與賦值�����。
3. 風(fēng)險(xiǎn)分析階段:對(duì)識(shí)別階段中獲得的各類信息進(jìn)行關(guān)聯(lián)分析����,并計(jì)算風(fēng)險(xiǎn)值�����。
4. 風(fēng)險(xiǎn)處置建議:針對(duì)評(píng)估出的風(fēng)險(xiǎn),提出相應(yīng)的處置建議���,以及按照處置建議實(shí)施安全加固后進(jìn)行殘余風(fēng)險(xiǎn)處置等內(nèi)容���。
四、風(fēng)險(xiǎn)評(píng)估的工作形式
兩種形式:自評(píng)估與檢查評(píng)估��。自評(píng)估就是組織自身對(duì)信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估�,也可以委托第三方服務(wù)機(jī)構(gòu)來(lái)實(shí)施;檢查評(píng)估是信息系統(tǒng)上級(jí)管理部門或國(guó)家有關(guān)職能部門依法開(kāi)展的風(fēng)險(xiǎn)評(píng)估,一般來(lái)說(shuō)��,這種形式的評(píng)估采用的是抽樣評(píng)估���,同樣也可以委托第三方服務(wù)機(jī)構(gòu)來(lái)實(shí)施(在選擇第三方單位時(shí)���,應(yīng)審查評(píng)估單位、評(píng)估人員的資質(zhì)和資格)���。
五�、信息系統(tǒng)生命周期內(nèi)的風(fēng)險(xiǎn)評(píng)估
信息系統(tǒng)生命周期一般包括以下五個(gè)階段:
根據(jù)各個(gè)階段的評(píng)估對(duì)象以及安全需求的不同����,風(fēng)險(xiǎn)評(píng)估的目的也各不相同��。
1. 規(guī)劃階段:識(shí)別系統(tǒng)的業(yè)務(wù)戰(zhàn)略���,支撐系統(tǒng)安全需求及安全戰(zhàn)略。
2. 設(shè)計(jì)階段:評(píng)估安全設(shè)計(jì)方案是否滿足信息系統(tǒng)安全功能的需求�。
3. 實(shí)施階段:對(duì)系統(tǒng)開(kāi)發(fā)、實(shí)施過(guò)程進(jìn)行風(fēng)險(xiǎn)識(shí)別�,對(duì)建成后的系統(tǒng)安全功能進(jìn)行驗(yàn)證�。
4. 運(yùn)維階段:了解和控制系統(tǒng)運(yùn)行過(guò)程中的安全風(fēng)險(xiǎn)。
5. 廢棄階段:分析廢棄資產(chǎn)對(duì)組織的影響���。
六���、風(fēng)險(xiǎn)評(píng)估的實(shí)施
在第三節(jié)我們已經(jīng)講過(guò)了風(fēng)險(xiǎn)評(píng)估的基本流程,這里主要是風(fēng)險(xiǎn)評(píng)估的具體實(shí)施��。
(一)準(zhǔn)備階段
1.工作內(nèi)容
這是評(píng)估工作的開(kāi)始����,分八步來(lái)完成準(zhǔn)備工作
這幾步都很好理解��,其中需要注意的有以下幾點(diǎn)
第一����、確定評(píng)估范圍時(shí)���,需合理定義評(píng)估對(duì)象和評(píng)估范圍邊界,一般劃分原則為:
a) 業(yè)務(wù)系統(tǒng)的業(yè)務(wù)邏輯邊界;
b) 網(wǎng)絡(luò)及設(shè)備載體邊界;
c) 物理環(huán)境邊界;
d) 組織管理權(quán)限邊界;
第二��、風(fēng)險(xiǎn)評(píng)估團(tuán)隊(duì)由被評(píng)估單位����、評(píng)估機(jī)構(gòu)共同組建風(fēng)險(xiǎn)評(píng)估小組,由被評(píng)估單位領(lǐng)導(dǎo)��、相關(guān)部門負(fù)責(zé)人��,以及評(píng)估機(jī)構(gòu)相關(guān)人員成立風(fēng)險(xiǎn)評(píng)估領(lǐng)導(dǎo)小組;聘請(qǐng)相關(guān)專業(yè)的技術(shù)專家和技術(shù)骨干組成專家組�。風(fēng)險(xiǎn)評(píng)估小組應(yīng)完成評(píng)估前的表格、文檔�����、檢測(cè)工具等各項(xiàng)準(zhǔn)備工作;進(jìn)行風(fēng)險(xiǎn)評(píng)估技術(shù)培訓(xùn)和保密教育;制定風(fēng)險(xiǎn)評(píng)估過(guò)程管理相關(guān)規(guī)定;編制應(yīng)急預(yù)案等���,同時(shí)雙方應(yīng)簽署保密協(xié)議�����,適情簽署個(gè)人保密協(xié)議��。
第三����、信息系統(tǒng)調(diào)研的內(nèi)容包括:
a) 信息系統(tǒng)安全保護(hù)等級(jí);
b) 主要的業(yè)務(wù)功能和要求;
c) 網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)環(huán)境,包括內(nèi)部連接和外部連接;
d) 系統(tǒng)邊界�,包括業(yè)務(wù)邏輯邊界、網(wǎng)絡(luò)及設(shè)備載體邊界��、物理環(huán)境邊界��、組織管理權(quán)限邊界等;
e) 主要的硬件����、軟件;
f) 數(shù)據(jù)和信息;
g) 系統(tǒng)和數(shù)據(jù)的敏感性;
h) 支持和使用系統(tǒng)的人員;
i) 信息安全管理組織建設(shè)和人員配備情況;
j) 信息安全管理制度;
k) 法律法規(guī)及服務(wù)合同;
第四�、評(píng)估依據(jù)包括:
a) 適用的法律、法規(guī);
b) 現(xiàn)有國(guó)際標(biāo)準(zhǔn)����、國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn);
c) 行業(yè)主管機(jī)關(guān)的業(yè)務(wù)系統(tǒng)的要求和制度;
d) 與信息系統(tǒng)安全保護(hù)等級(jí)相應(yīng)的基本要求;
e) 被評(píng)估組織的安全要求;
f) 系統(tǒng)自身的實(shí)時(shí)性或性能要求等����。
第五����、合理選擇相應(yīng)的評(píng)估工具��,遵循如下原則:
a) 對(duì)于系統(tǒng)脆弱性評(píng)估工具�����,應(yīng)具備全面的已知系統(tǒng)脆弱性核查與檢測(cè)能力;
b) 評(píng)估工具的檢測(cè)規(guī)則庫(kù)應(yīng)具備更新功能�����,能夠及時(shí)更新;
c) 評(píng)估工具使用的檢測(cè)策略和檢測(cè)方式不應(yīng)對(duì)信息系統(tǒng)造成不正常影響;
d) 可采用多種評(píng)估工具對(duì)同一測(cè)試對(duì)象進(jìn)行檢測(cè)����,如果出現(xiàn)檢測(cè)結(jié)果不一致的情況,應(yīng)進(jìn)一步采用必要的人工檢測(cè)和關(guān)聯(lián)分析�����,并給出與實(shí)際情況最為相符的結(jié)果判定;
第六�、風(fēng)險(xiǎn)評(píng)估方案的內(nèi)容應(yīng)包括:
a) 風(fēng)險(xiǎn)評(píng)估工作框架:包括評(píng)估目標(biāo)、評(píng)估范圍����、評(píng)估依據(jù)等;
b) 評(píng)估團(tuán)隊(duì)組織:包括評(píng)估小組成員�����、組織結(jié)構(gòu)��、角色����、責(zé)任;如有必要還應(yīng)包括風(fēng)險(xiǎn)評(píng)估領(lǐng)導(dǎo)小組和專家組組建介紹等;
c) 評(píng)估工作計(jì)劃:包括各階段工作內(nèi)容���、工作形式����、工作成果等;
d) 風(fēng)險(xiǎn)規(guī)避:包括保密協(xié)議���、評(píng)估工作環(huán)境要求、評(píng)估方法�、工具選擇、應(yīng)急預(yù)案等;
e) 時(shí)間進(jìn)度安排:評(píng)估工作實(shí)施的時(shí)間進(jìn)度安排;
2.工作保障
(二)識(shí)別階段
這個(gè)階段差不多是整個(gè)風(fēng)險(xiǎn)評(píng)估工作中很重要的一個(gè)階段了���,首先還是先畫一個(gè)結(jié)構(gòu)圖來(lái)了解一下����。
1.資產(chǎn)識(shí)別
風(fēng)險(xiǎn)的重要因素是以資產(chǎn)為中心,威脅��、脆弱性以及風(fēng)險(xiǎn)都是針對(duì)資產(chǎn)而客觀存在的�����。
一般識(shí)別流程如下:
(1)資產(chǎn)分類:一般來(lái)說(shuō)�����,我們把資產(chǎn)分為硬件�、軟件、數(shù)據(jù)��、服務(wù)��、人員以及其他6大類����。
(2)資產(chǎn)調(diào)查:識(shí)別組織和信息系統(tǒng)中資產(chǎn)(包括資產(chǎn)屬性)的重要途徑。一般情況下���,可通過(guò)查閱信息系統(tǒng)需求說(shuō)明書���、可行性研究報(bào)告�、設(shè)計(jì)方案�����、實(shí)施方案�����、安裝手冊(cè)���、用戶使用手冊(cè)�、測(cè)試報(bào)告�、運(yùn)行報(bào)告、安全策略文件�����、安全管理制度文件���、操作流程文件、制度落實(shí)的記錄文件�����、資產(chǎn)清單、網(wǎng)絡(luò)拓?fù)鋱D以及訪談相關(guān)人員等����,識(shí)別組織和信息系統(tǒng)的資產(chǎn)。
(3)資產(chǎn)賦值:依據(jù)資產(chǎn)保密性���、完整性和可用性等安全屬性為資產(chǎn)賦值��。一般來(lái)說(shuō)����,根據(jù)以下幾個(gè)因素綜合來(lái)為資產(chǎn)資產(chǎn)賦值:
a) 資產(chǎn)所承載信息系統(tǒng)的重要性;
b) 資產(chǎn)所承載信息系統(tǒng)的安全等級(jí);
c) 資產(chǎn)對(duì)所承載信息安全正常運(yùn)行的重要程度;
d) 資產(chǎn)保密性��、完整性�����、可用性等安全屬性對(duì)信息系統(tǒng)��,以及相關(guān)業(yè)務(wù)的重要程度�����。
(4)資產(chǎn)賦值報(bào)告:根據(jù)資產(chǎn)賦值情況,形成資產(chǎn)列表和資產(chǎn)賦值報(bào)告�。
2.威脅識(shí)別
威脅是指可能導(dǎo)致危害系統(tǒng)或組織的不希望事故的潛在起因。在信息安全領(lǐng)域���,不存在絕對(duì)的安全�。
威脅的一般識(shí)別流程如下:
(1)威脅分類:威脅分為軟硬件故障��、物理環(huán)境影響���、無(wú)作為或操作失誤����、管理不到位�����、惡意代碼����、越權(quán)或?yàn)E用、網(wǎng)絡(luò)攻擊���、物理攻擊��、泄密��、篡改�、抵賴11類�。如果根據(jù)威脅產(chǎn)生的起因、表現(xiàn)和后果不同�����,威脅又可分為有害程序��、網(wǎng)絡(luò)攻擊���、信息破壞��、信息內(nèi)容攻擊�����、設(shè)備設(shè)施故障�、災(zāi)害性破壞��、其他威脅7類。
(2)威脅調(diào)查:調(diào)查工作包括威脅源動(dòng)機(jī)及其能力���、威脅途徑���、威脅可能性及其影響;威脅調(diào)查的方法是多樣化的,根據(jù)組織和信息系統(tǒng)自身的特點(diǎn)�����,發(fā)生的歷史安全事件記錄(數(shù)據(jù))��,面臨威脅分析等方法進(jìn)行調(diào)查��。
(3)威脅分析:基于前面的威脅調(diào)查作出分析���。同樣也可對(duì)威脅的可能性進(jìn)行賦值�,威脅賦值分為很高�、高、中等����、低、很低5個(gè)級(jí)別��,級(jí)別越高表示威脅發(fā)生的可能性越高。
(4)威脅分析報(bào)告:報(bào)告內(nèi)容包括威脅名稱����、威脅類型、威脅源攻擊能力����、攻擊動(dòng)機(jī)���、威脅發(fā)生概率�����、影響程度�、威脅發(fā)生的可能性���、威脅賦值以及嚴(yán)重威脅說(shuō)明等����。
3.脆弱性識(shí)別
脆弱性可從技術(shù)和管理兩個(gè)方面進(jìn)行識(shí)別�����。
技術(shù)方面,可從物理環(huán)境�����、網(wǎng)絡(luò)��、主機(jī)系統(tǒng)�����、應(yīng)用系統(tǒng)��、數(shù)據(jù)等方面識(shí)別資產(chǎn)的脆弱性;管理方面�����,可從技術(shù)管理脆弱性和組織管理脆弱性兩方面識(shí)別資產(chǎn)的脆弱性����,技術(shù)管理脆弱性與具體技術(shù)活動(dòng)相關(guān),組織管理脆弱性與管理環(huán)境相關(guān)�。
脆弱性識(shí)別所采用的方法主要有:文檔查閱、問(wèn)卷調(diào)查�����、人工核查、工具檢測(cè)�����、滲透性測(cè)試等�。
(1)安全技術(shù)脆弱性核查
(2)安全管理脆弱性核查
安全管理核查主要通過(guò)查閱文檔、抽樣調(diào)查和詢問(wèn)等方法��,并核查信息安全規(guī)章制度的合理性���、完整性、適用性等�����。
4.工作保障
(三)風(fēng)險(xiǎn)分析階段
1.信息安全風(fēng)險(xiǎn)分析原理:
2.風(fēng)險(xiǎn)值的計(jì)算方法
風(fēng)險(xiǎn)計(jì)算方法一般分為定性計(jì)算方法和定量計(jì)算方法兩大類�。
(1)定性計(jì)算方法:將風(fēng)險(xiǎn)的各要素資產(chǎn)、威脅�、脆弱性等的相關(guān)屬性進(jìn)行量化(或等級(jí)化)賦值,然后選用具體的計(jì)算方法(如相乘法或矩陣法)進(jìn)行風(fēng)險(xiǎn)計(jì)算;
(2)定量計(jì)算方法:通過(guò)將資產(chǎn)價(jià)值和風(fēng)險(xiǎn)等量化為財(cái)務(wù)價(jià)值的方式來(lái)進(jìn)行計(jì)算的一種方法��。由于定量計(jì)算法需要等量化財(cái)務(wù)價(jià)值�����,在實(shí)際操作中往往難以實(shí)現(xiàn),所以一般不采用該計(jì)算方法����。
3.風(fēng)險(xiǎn)分析與評(píng)價(jià)
通過(guò)對(duì)風(fēng)險(xiǎn)的等級(jí)劃分,來(lái)確定總體的風(fēng)險(xiǎn)狀況����。
4.風(fēng)險(xiǎn)評(píng)估報(bào)告
報(bào)告內(nèi)容包括:風(fēng)險(xiǎn)對(duì)組織、業(yè)務(wù)及系統(tǒng)的影響范圍����、影響程度;依據(jù)的法規(guī)和證據(jù);風(fēng)險(xiǎn)評(píng)價(jià)結(jié)論。
5.工作保障
(四)風(fēng)險(xiǎn)處置建議
這個(gè)階段是圍繞風(fēng)險(xiǎn)評(píng)估報(bào)告來(lái)進(jìn)行的風(fēng)險(xiǎn)處置�����,還是有5點(diǎn)內(nèi)容����。
1.處置原則
將風(fēng)險(xiǎn)控制在可接受范圍內(nèi),具體處置時(shí)�,可依據(jù)等級(jí)保護(hù)相關(guān)要求實(shí)施的安全風(fēng)險(xiǎn)加固工作,應(yīng)滿足等級(jí)保護(hù)相應(yīng)等級(jí)的安全技術(shù)和管理要求;對(duì)于因不能夠滿足該等級(jí)安全要求產(chǎn)生的風(fēng)險(xiǎn)則不能夠適用適度接受風(fēng)險(xiǎn)的原則��。
2.安全整改建議
風(fēng)險(xiǎn)處置方式一般包括接受�、消減����、轉(zhuǎn)移����、規(guī)避等,安全整改屬于風(fēng)險(xiǎn)消減方法�����。整改建議根據(jù)安全等級(jí)有所不同:
a)對(duì)于非常嚴(yán)重���、需立即降低且加固措施易于實(shí)施的安全風(fēng)險(xiǎn),建議被評(píng)估組織立即采取安全整改措施���。
b)對(duì)于非常嚴(yán)重���、需立即降低,但加固措施不便于實(shí)施的安全風(fēng)險(xiǎn)�,建議被評(píng)估組織立即制定安全整改實(shí)施方案,盡快實(shí)施安全整改;整改前應(yīng)對(duì)相關(guān)安全隱患進(jìn)行嚴(yán)密監(jiān)控��,并作好應(yīng)急預(yù)案����。
c)對(duì)于比較嚴(yán)重�����、需降低且加固措施不易于實(shí)施的安全風(fēng)險(xiǎn)����,建議被評(píng)估組織制定限期實(shí)施的整改方案;整改前應(yīng)對(duì)相關(guān)安全隱患進(jìn)行監(jiān)控�。
3.組織評(píng)審會(huì)
評(píng)估項(xiàng)目結(jié)束時(shí)召開(kāi)評(píng)審會(huì),參與人員一般包括:被評(píng)估組織�、評(píng)估機(jī)構(gòu)及專家等。
評(píng)估項(xiàng)目驗(yàn)收文檔如下:
4.殘余風(fēng)險(xiǎn)處置
殘余風(fēng)險(xiǎn)處置是對(duì)仍然存在的安全風(fēng)險(xiǎn)進(jìn)行識(shí)別���、控制和管理的活動(dòng)�。
5.工作保障
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
