1、ICS 07.040A 75备案号:XXXX-XXXX DB 32江 苏 省 地 方 标 准DB 32/T XXXXX2018基础地理信息系统安全风险评估规范Risk assessment specification for fundamental geographic information systems2018 - XX - XX 发布 2018 - XX - XX 实施江 苏 质 量 技 术 监 督 局 发 布DB32/T XXXXX2018I目 次前言 II引言 .III1 范围 .12 规范性引用文件 .13 术语、定义和缩略语 .14 风险评估的原 则 .25 风险评估的流程与评
2、估周期 .25.1 风险评估流程 .25.2 风险评估周期 .36 风险评估形式与方法 .46.1 风险评估形式 .46.2 风险评估方法 .57 风险评估准备 .57.1 基本 要求 .57.2 确定评估目标 .57.3 确定评 估范围 .67.4 组建 评估团队 .67.5 组织系统调研 .67.6 确定评估依据 .67.7 制定评估方案 .67.8 召开启动会议 .78 风险评估实施 .78.1 资产识别 .78.2 威胁识别 .88.3 脆弱性识别 109 风险分析 169.1 风险计算 169.2 风险结果判定 1610 风险评估 报告 .17附录 A (资 料性附录) 现场访谈问题
3、记录表 19附录 B (资料 性附录) 风险要素关系与评估团队组成 21附录 C (规范性附录) 风 险评估要求 24附录 D (规范性附录) 脆弱性核查表 28参考文献 32DB32/T XXXXX2018II前 言本标准按照GB/T 1.1-2009给出的规则起草。本标准由江苏省测绘地理信息局提出并归口。本标准起草单位:泰州市国土资源局、江苏省测绘地理信息局、泰州市公安局、江苏省测绘资料档案馆、南京市测绘勘察研究院股份有限公司、北京北信源软件股份有限公司。本标准主要起草人: 张彭、邵建、翟晓彤、储建华、孙如江、宫雪峰、徐扬、王忠华、王蓓、张亚钰、刘德广、薛志宏、沈雨、高曦、王孟和、魏勇、侯
4、先栋。DB32/T XXXXX2018III引 言基础地理信息系统是以基础地理数据为管理对象,实现对基础地理数据的采集、录入、处理、存储、查询、分析、显示、输出、更新、共享的信息系统,它具有完整的基础地理数据管理体系和数据服务体系。本标准依据GB/T 20984信息安全技术信息安全风险评估规范,结合江苏省基础地理信息系统的建设现状,针对已经建成的基础地理信息系统,包括数据的采集、加工、汇交、管理、分发和销毁,提出具体的风险评估方法。涉及国家秘密的基础地理信息系统的安全风险评估工作,应当符合国家有关保密法律法规要求。本标准旨在通过风险评估加强基础地理信息系统的数据安全保密防护能力,确保基础地理信
5、息系统及其数据在数据采集、加工、汇交、管理、分发和销毁等阶段的安全性。本标准主要为第三方安全检测评估机构进行基础地理信息系统现场风险评估提供指南,为基础地理信息系统的业主单位(生产、研发、使用和管理单位)进行自评估提供参考。DB32/T XXXXX20181基础地理信息系统安全风险评估规范1 范围本标准规定了基础地理信息系统风险评估的原则、流程与周期、风险评估的形式与方法,以及风险评估准备、执行及风险分析的内容与要求。本标准适用于江苏省基础地理信息主管部门或委托第三方安全检测评估机构针对已经建成的基础地理信息系统组织开展的现场安全风险评估工作,基础地理信息系统业主单位的自评估也可参照使用。2
6、规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 20984 信息安全技术 信息安全风险评估规范3 术语、定义和缩略语3.1 术语和定义GB/T 20984界定的以及下列术语和定义适用于本文件。3.1.1 基础地理信息系统 fundamental geographic information system以基础地理信息数据为管理对象,实现对基础地理信息数据的采集、录入、处理、存储、查询、分析、显示、输出、更新、共享的信息系统,具有完整的基础地理数据管理体系和数据服
7、务体系。3.1.2 风险 risk认为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。3.1.3 风险评估 risk assessment 依据有关信息安全技术与管理标准,对信息系统及其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。3.1.4评估要素 assessment factor风险评估活动中必须要识别、分析的一系列基本因素。DB32/T XXXXX201823.1.5资产 asset 对组
8、织具有价值的信息或资源,是安全策略保护的对象。3.1.6 威胁 threat可能导致对系统或组织威海的不希望事故潜在起因。3.1.7 脆弱性 vulnerability可能被威胁所利用的资产或若干资产的薄弱环节。3.1.8威胁调查 threat investigation识别组织和基础地理信息系统中可能发生并造成影响的威胁,分析威胁发生的类型与影响。3.1.9 风险处置 risk treatment对风险进行处理的一系列活动,如接受风险、规避风险、转移风险、降低风险等。3.2 缩略语下列缩略语适用于本文件。FGIS 基础地理信息系统 (fundamental geographic inform
9、ation system)4 风险评估的原则基础地理信息系统风险评估的基本原则包括:a) 安全保障性原则。不应因风险评估造成基础地理信息数据的泄露、篡改和删除,保障数据的安全性;b) 人员可控性原则。所有参与评估人员应签署保密协议,以保证项目信息的安全; c) 信息可控性原则。评估方应对工作过程数据和结果数据严格管理,未经授权不得泄露给任何单位和个人;d) 过程可控性原则。按照项目管理要求,成立风险评估项目实施团队,并实行项目组长负责制,达到项目过程的可控;e) 工具可控性原则。评估人员所使用的评估工具应事先告知用户,并在评估实施前获得被评估方的许可。5 风险评估形式与方法5.1 风险评估形式
10、5.1.1 自评估DB32/T XXXXX20183自评估是指基础地理信息系统拥有、运营或使用单位发起的对本单位基础地理信息系统进行的风险评估。自评估应根据本标准的相关要求,结合基础地理信息特定的安全要求进行实施。周期性进行的自评估可在评估流程上适当简化,重点考察自上次评估后系统发生变化引入的新威胁,以及系统脆弱性的完整识别,并进行两次评估结果的对比。当系统发生重大变更时,可参照本标准进行完整的评估。自评估可由本单位实施或委托具有能力的风险评估服务技术支持方实施。5.1.2 检查评估检查评估是指基础地理信息系统的上级管理部门、国家有关职能部门或由其委托的风险评估机构实施的风险评估。检查评估可依
11、据本标准的要求,实施完整的风险评估过程,也可在自评估实施的基础上,对关键环节或重点内容实施抽样评估,主要包括以下内容:a) 自评估队伍及技术人员审查;b) 自评估方法的检查;c) 自评估过程控制与文档记录检查;d) 自评估资产列表审查;e) 自评估威胁列表审查;f) 自评估脆弱性列表审查;g) 现有安全措施有效性检查;h) 自评估结果审查与采取相应措施的跟踪检查;i) 自评估技术技能限制未完成项目的检查评估;j) 上级关注或要求的关键环节和重点内容的检查评估;k) 软硬件维护制度及实施管理的检查;l) 突发事件应对措施的检查。5.2 风险评估方法5.2.1 方法类别基础地理信息系统风险评估的方
12、法主要包括:文档查阅、现场访谈和现场核查。全面评估基础地理信息系统的安全风险时,应将上述三种评估方法配合使用。在实际评估过程中由于评估环境的限制不能全部采用时,评估方应与被评估方相关部门、责任人协商后选取适当的方法进行风险评估。5.2.2 文档查阅5.2.2.1 基本要求文档查阅用于确认组织的政策及技术方面是否全面、最新;被评估方应提供评估所需的文件,以确保评估方对其进行全面审查;评估方应查阅基础地理信息系统的规划设计方案、网络拓扑图、安全防护计划、安全策略、业务应用、事件响应计划等文档,评估其准确性和完整性,并验证组织的文档是否符合标准和法规,查找组织政策的缺陷、过时内容或不合理。5.2.2
13、.2 文档查阅方法文档查阅的具体方法如下:a) 评估方文档查阅人员在准备阶段应编制一份通用的基础地理信息系统风险评估文档查阅所需文件目录;b) 评估方到达现场后,与基础地理信息系统相关文档的管理人员以及编制人员就通用文件目录中的文件进行讨论;DB32/T XXXXX20184c) 评估方将被评估方所提供文件与编制的文件目录进行对应;d) 当被评估方所提供的文件涵盖通用文件目录中几个文件时对其进行标注,反之亦然;e) 评估方查阅被评估方提供的文件并查看其内容是否完整合理。当文件不可调阅时,将文件的存放地点、管理人员姓名、电话、协调人姓名电话在文件目录中进行标注;f) 文档查阅时,评估方将未找的内
14、容向被评估方人员确认;g) 评估人员按照评估用例进行评估,记录结果,并在一旁标注该条款的具体位置。5.2.3 现场访谈5.2.3.1 基本要求评估方应在评估前设计调查问题,并在访谈中根据被访者的反映,对调查问题作调整或展开,现场访谈问题记录表参见附录A 。现场访谈应结合其他评估方法进行,以得到更加准确的评估结果。5.2.3.2 现场访谈方法现场访谈的具体方法如下:a) 评估方在评估准备阶段应编制一份通用的基础地理信息系统风险评估访谈问题表;b) 评估方到达现场后,将访谈问题表内容与被评估方的信息安全主管进行交流,信息安全主管根据具体问题分配不同的人员配合评估方访谈,分配的人员应是最熟悉该评估对
15、象的人员;c) 评估方应与被评估方就其组织架构进行交流,了解组织与基础地理信息系统相关的部门和职位,并且了解不同部门对基础地理信息系统管理操作权限;d) 评估方根据双方交流结果,与被评估方协商制定访谈计划,提高访谈效率;e) 评估方在访谈时,若访谈对象对该问题无法给出确定的答案,应对该问题进行标注。对标注问题应再次进行确认;f) 对访谈中需进行技术验证或者现场核查的问题,应进行标注,以备后期现场核查;g) 访谈结束后,访谈对象应对访谈记录进行核查,记录无误后,访谈对象签字确认。若同一问题,两人回答不一致,应分别签字,并做标注。5.2.4 现场核查现场核查是对基础地理信息系统进行的现场核查工作,
16、具体方法如下:a) 评估方将现场核查的测试项与基础地理信息系统现场的工作人员进行沟通,制定现场核查计划安排,并提前做好计划安排,统筹时间和人员等;b) 评估方核查基础地理信息系统的访问控制、审计等功能时,现场工作人员和相应的信息安全人员应在场,由工作人员对其进行核查操作,评估人员查看并记录结果;c) 现场核查测试时,评估方不应改动基础地理信息系统的任何配置;d) 现场核查时发现问题,应验证其有效性。6 风险评估的流程与评估周期6.1 风险评估流程基础地理信息系统风险评估的流程包括:风险评估准备、风险评估执行和风险分析,具体内容见图1。DB32/T XXXXX20185风 险 评 估 准 备威
17、胁 识 别资 产 识 别 脆 弱 性 识 别已 有 安 全 措 施 确 认风 险 计 算评 估 过 程 文 件风 险 是 否 接 受保 持 已 有 的安 全 措 施 是制 定 并 实 施 风 险 处 理计 划 并 评 估 残 余 风 险是 否 接 受 残 余 风 险是否否实 施 风 险 管 理评 估 过 程 文 件评 估 过 程 文 件风 险 评 估 过 程 记 录风 险 分 析风 险 评 估 执 行评 估 报 告图 1 风险评估流程图6.2 风险评估周期基础地理信息系统的风险评估周期一般为每年评估一次,基础地理信息系统更新后应及时评估。7 风险评估准备7.1 基本要求在风险评估实施前,评估方
18、应到被评估方进行沟通交流,做如下准备工作:a) 确定评估目标和范围;b) 组建评估团队;c) 组织系统调研;d) 确定评估依据;e) 制定评估方案;f) 召开启动会议。7.2 确定评估目标根据FGIS数据处理各阶段中风险评估实施内容、对象、安全需求的不同,确定数据采集、加工、汇交、管理、分发和销毁等各阶段的风险评估目标,采用文档查阅和现场访谈的方式进行。DB32/T XXXXX201867.3 确定评估范围风险评估范围包括基础地理信息系统相关的资产、管理机构和关键业务流程等。确定评估范围采用文档查阅和现场访谈的方式进行,具体方法如下:a) 评估方了解基础地理信息系统所达到的安全防护水平;b)
19、评估方了解组织要求评估的范围和基础地理信息系统的实际建设情况;c) 评估方结合已确定的评估目标、组织要求评估的范围和基础地理信息系统的实际建设情况,合理定义评估对象和评估范围边界。7.4 组建评估团队应组建评估管理与实施团队。评估方由基础地理信息系统专业人员和信息安全风险评估人员等组成,应具有评估基础地理信息系统风险的经验;被评估方由基础地理信息系统的管理部门、管理人员、运维人员、操作人员和开发集成人员等组成。评估方与被评估方应设定相应的成员角色和职责,具体内容参见附录B.2。7.5 组织系统调研系统调研是确定被评估对象的过程,以此修正评估目标和范围。系统调研采取文档查阅和现场访谈方式进行,具
20、体方法如下:a) 评估方与系统运维、系统操作、采购系统设备及软件等相关人员通过现场访谈,了解其承担的业务、网络结构、系统边界等信息;b) 评估方通过文档查阅查看其设计文档、使用说明文档、业务战略、管理制度和 FGIS 运维日志等文档,并收集基础地理信息系统的物理环境、操作过程和设备组成等方面的资料;c) 评估方根据上述资料整理调研结果,编写调研报告。7.6 确定评估依据根据调研结果 确定风险评估的依据。评估依据主要包括:a) 基础地理信息系统本身的特性及数据处理的不同阶段的要求;b) 相关的现行国际标准、国家标准、行业标准;c) 行业主管机关的要求和制度;d) 基础地理信息系统的安全保护要求;
21、e) 与基础地理信息系统互联的单位的安全要求。7.7 制定评估方案风险评估方案是评估工作实施活动总体计划,管理和把控评估工作的开展,应得到被评估方的确认或认可。主要内容包括:a) 风险评估工作框架:包括评估目标、评估范围、评估依据等;b) 评估团队:包括评估方成员、组织结构、角色、责任;c) 评估工作计划:包括在数据采集、加工、汇交、管理、分发、销毁等各阶段的工作内容和工作形式;d) 评估环境要求:根据具体的评估方法选取相应的评估环境,包括基础地理信息系统的现场环境,开发与测试环境,以及模拟仿真环境;e) 风险规避:包括保密协议、评估工作环境要求、评估方法、工具选择、应急预案等;f) 时间进度
22、安排:评估工作实施的时间进度安排。DB32/T XXXXX201877.8 召开启动会议启动会议一般由风险评估负责人组织召开。会议主要内容包括:被评估方说明此次评估工作的目标,以及被评估方人员在评估工作中的责任分工;评估方说明此次评估工作的计划和各阶段工作任务,以及被评估方应配合的具体事项;双方确定各工作阶段所应配合的工作内容。8 风险评估实施8.1 资产识别8.1.1 资产分类评估实施时可将资产分为数据、软件、硬件、服务、人员5种类型。表1列出了一种基础地理信息系统通常的资产分类方法。表 1 资产分类类别 说 明数据 保存在信息媒介上的各种数据资料,主要包括测绘控制点及参数、原始测绘数据、经
23、加工处理的数据、标密定密脱密的数据、基础地理信息数据、需要销毁的数据等。软件 系统软件:操作系统、数据库管理系统等;应用软件:基础地理信息系统相关的开发软件、管理平台和工具软件等。硬件采集设备:采集基础地理信息数据的设备,以及其品牌和型号等属性信息;存储设备:磁盘阵列、硬盘、光盘、移动硬盘、U盘和内存卡等,以及其品牌、型号和容量等属性信息;数据销毁设备:用于数据销毁的软硬件设备(销毁设备、销毁软件),以及其品牌和型号等属性信息;计算机设备:服务器、台式计算机、便携计算机等;网络设备:路由器、交换机等;安全设备:防病毒、网络入侵检测系统、网闸等。服务 数据服务:基础地理信息数据的分发、共享等服务
24、。人员 掌握基础地理信息系统重要信息和核心业务的人员,如测绘数据采集人员、测绘数据加工处理人员、数据管理人员、数据汇交和分发人员、数据销毁人员等。8.1.2 资产调查资产调查应识别出资产内容,以及每项资产自身的关键属性。评估方应对与基础地理信息系统相关的设备、数据和应用等资产进行调查,确定其对基础地理信息系统的重要性、可用性、完整性和保密性等安全属性,并确定关键资产。资产调查的具体方法如下:a) 评估方根据评估目标和范围,确定风险评估对象,梳理基本信息,可参照附录A中内容进行访谈;b) 评估方根据组织提供的规划书、设计方案、用户手册等文档并结合现场访谈相关人员,识别出基础地理信息系统的具体业务
25、内容; c) 评估方根据基础地理信息系统的业务并结合现场访谈相关人员,识别出基础地理信息系统的关键业务;DB32/T XXXXX20188d) 评估方根据基础地理信息系统的关键业务特点,并结合现场访谈相关人员,识别出关键数据及关键应用;e) 评估方根据识别的关键数据及关键应用、组织提供的资产清单、网络拓扑图等,识别出基础地理信息系统的关键平台和网络;f) 评估方根据 识别的基础地理信息系统关键平台和网络,查找支持其运行的软硬件资产设备。8.1.3 资产赋值根据基础地理信息系统承担的业务,判断资产的可用性、完整性和保密性等安全属性的优先级,通常将保密性和完整性作为首要需求。对资产安全属性的等级进
26、行分析、赋值及计算,得到资产的最终赋值结果,其内容应满足GB/T 20984中的相关要求。资产赋值的具体方法如下:a) 根据基础地理信息系统承担的业务,分析判断资产的可用性、完整性和保密性等安全属性的优先级;b) 评估方分析资产安全属性的等级,某种安全属性等级越高表示资产的该安全属性越重要,安全属性等级包括:很高、高、中等、低、很低五种级别;c) 根据资产在可用性上的不同要求,将其分为五个不同的等级,分别对应资产在可用性上应达成的不同程度,具体内容见附录 C 中的表 C.1;d) 根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上缺失时对整个组织的影响,具体内容见附录
27、 C 中的表 C.2;e) 根据资产在保密性上的不同要求,将其分为五个不同的等级,分别对应资产在保密性上应达成的不同程度或者保密性缺失时对整个组织造成的影响,具体内容见附录 C 中的表 C.3;f) 资产价值应依据资产的可用性、完整性、保密性赋值等级,经综合评定来确定;可根据基础地理信息资产的可用性、完整性、保密性的赋值,进行加权计算得到资产的最终赋值结果;g) 根据最终赋值将资产划分为五级,级别越高表示资产越重要,具体内容见附录 C 中的表C.4。8.2 威胁识别8.2.1 威胁源基础地理信息系统的威胁源分为环境因素的威胁和人为的威胁,人为的威胁按威胁动机分为非恶意行为和恶意攻击行为。在FG
28、IS不同的数据处理阶段,面临的威胁源也会不同,具体内容见表2。表 2 基础地理信息系统面临的威胁源威胁源 威胁动机及造成后果 可能产生的数据处理阶段环境因素 静电、灰尘、潮湿、温度等环境危害或自然灾害。 数据加工和数据管理内部人员内部人员威胁包括组织内部人员、外聘运维人员、外购产品的供应商;缺乏责任心、不关心或者不关注、从内部发起网络攻击、未遵循规章制度和操作流程、缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击。数据采集、数据加工、数据汇交、数据管理、数据分发和数据销毁黑客 黑客通过入侵网络和主机获得敏感数据;且数量庞大,分布在全球,即使是独立或短暂的攻击破坏,也会导致严
29、重的后果。 数据加工和数据管理恶意软件的作者居心不良的个人或组织通过制造并传播恶意软件对用户实施攻击,一些破坏性的恶意软件会损害系统文件、破坏敏感数据、控制关键过程、 数据加工和数据管理DB32/T XXXXX20189威胁源 威胁动机及造成后果 可能产生的数据处理阶段开启执行程序以及控制系统所控制的设备等。情报间谍 情报间谍通过暗中活动的方式企图获取有情报价值的地理信息数据。 数据采集、数据加工和数据管理8.2.2 威胁分类根据威胁的表现形式将威胁进行分类,不同类型的威胁及其可能产生在的数据处理阶段见表3。表 3 威胁分类威胁名称 描 述 可能产生的数据处理阶段非法信息披露 无权限者进行攻击
30、(嗅探,社会活动) ,以获得储存在基础地理信息系统中的敏感信息。数据采集、数据加工、数据汇交、数据管理、数据分发和数据销毁非法修改 无权限者进行攻击(修改,旁路,嗅探) ,以修改存储于基础地理信息系统中的敏感信息。 数据加工非法破坏 无权限者进行攻击(破坏,旁路) ,以破坏存储于基础地理信息系统中的敏感信息。 数据加工错误操作 合法操作员意外的发布错误指令或进行错误配置,导致受控基础地理信息系统过程和组件被破坏。 数据加工、数据管理、数据销毁冒充合法用户 无权限者进行攻击(嗅探,欺骗,社会活动) ,以获得存储于基础地理信息系统中的用户凭证,冒充合法用户。 数据管理提升权限无权限者进行攻击(错误
31、操作,嗅探,欺骗,社会活动) ,以获得存储于基础地理信息系统中的用户凭证,提升基础地理信息系统访问的权限,达成恶意目的。数据管理病毒感染 个人恶意或无意地将病毒传入基础地理信息系统网络,恶意代码造成不必要的系统停机和数据损坏。 数据加工、数据管理非法物理存取 无权限者进行一次物理攻击,以实现对受保护基础地理信息系统敏感数据的直接访问。 数据采集、数据加工、数据汇交、数据管理和数据分发8.2.3 威胁调查8.2.3.1 目标调查通过威胁调查,识别存在的威胁名称、类型、攻击能力和攻击动机、威胁路径、威胁发生的可能性、威胁影响的资产的价值、覆盖范围、破坏严重程度和可补救性。8.2.3.2 威胁确定评
32、估方将被评估的基础地理信息系统所处的自然环境、相关管理制定策略、资产清单、网络拓扑图、故障记录文件进行汇总,对FGIS 相关人员访谈,进行现场核查,识别基础地理信息系统在数据处理过程中的威胁。具体方法如下:a) 通过与 FGIS 数据处理相关人员访谈,识别可能存在的威胁,包括但不限于,采集人员可能的有意无意的数据泄露,数据非法披露给外部人员或间谍情报人员,私下的买卖数据,该标密、定密或脱密的数据未被标密、定密或脱密,未经过审批就发布数据等;DB32/T XXXXX201810b) 评估方通过查看系统日志和安全防护系统审计日志,分析 FGIS 面临的威胁,如数据有无被恶意软件窃取,数据有无被病毒
33、破坏、删除和加密;c) 评估方应收集一些第三方组织发布的安全态势或威胁情报方面的数据;d) 若 FGIS 已运行一段时间,应根据以往发生的安全事件记录,分析系统面临的威胁,查看有无数据的修改或破坏、数据销毁不彻底等情况出现。8.2.3.3 威胁途径威胁途径是指威胁源对基础地理信息系统造成破坏的手段和路径,具体包括:a) 非人为威胁途径表现为发生自然灾难、出现恶劣的物理环境、出现软硬件故障或性能降低,导致数据无法读取等;b) 人为的威胁途径表现为包括:数据主动外泄,存储卡在有数据情况下的外借或丢失,采集设备外借但存储卡仍有数据,使用国外采集设备、同时该设备可能存在主动数据外传的能力,误操作导致数
34、据被删除,网络远程数据窃取,感染病毒,误操作导致数据在分发之前未被脱密、脱敏,以及误操作导致数据未被销毁等;c) 调查威胁攻击路径,明确威胁发生的起点、威胁发生的中间点以及威胁发生的终点,并明确威胁在不同环节的特点,确定威胁路径。8.2.3.4 威胁发生的可能性及其影响通过现场访谈和以往事件记录信息,确定威胁发生可能性,即威胁发生的频率,具体方法如下:a) 评估方统计以往安全事件报告中出现过的威胁及其频率;b) 评估方统计现场基础地理信息系统中通过检测工具以及各种日志发现的威胁及其频率;c) 统计权威机构或第三方组织发布的关于基础地理信息系统面临的威胁及其频率;d) 确定不同威胁的频率值;e)
35、 识别直接受影响的数据,逐层分析间接受影响的数据;f) 确定受威胁数据的价值,其价值越重要,威胁发生的影响越大; g) 确定受威胁数据范围,其范围越广泛,威胁发生的影响越大;h) 遭到威胁影响的数据,若可补救且补救代价可接受,威胁发生的影响较小;若不能补救或补救代价难以接受,威胁发生的影响较大。8.2.4 威胁分析基于威胁调查的结果进行威胁分析,具体方法如下:a) 通过分析威胁路径,结合威胁自身属性、资产存在的脆弱性以及所采取的安全措施,识别威胁发生的概率,威胁频率赋值见附录 C 中的表 C.5;b) 威胁频率的判断依据应在评估准备阶段根据历史统计或行业判断予以确定,并得到被评估方的认可;c)
36、 通过分析威胁客体的价值和威胁覆盖范围、破坏严重程度和可补救性等,识别威胁影响;d) 分析并确定由威胁源攻击能力、攻击动机,威胁发生概率、影响程度计算威胁值的方法;e) 不同威胁对应的影响不同,按照安全事件发生后对系统造成的影响,确定威胁的影响程度值,威胁影响程度见附录 C 中的表 C.6。8.3 脆弱性识别8.3.1 基本要求DB32/T XXXXX201811基础地理信息系统的脆弱性应从物理环境、网络系统、应用系统和安全管理四个方面进行识别。国家标准、行业规范或应用流程的安全要求可作为脆弱性识别的依据。基础地理信息系统的风险评估报告、审计说明、安全需求、安全测试结果和已采取的安全措施、FG
37、IS计划实施的安全控制、评估范围、常见脆弱性等,可作为评估方进行脆弱性识别的资料;评估方通过文档查阅、现场访谈和现场核查,识别基础地理信息系统存在的脆弱性。8.3.2 物理环境脆弱性识别表 4 物理环境脆弱性脆弱性 描 述机房和办公场所无物理屏障或访问控制机制基础地理信息系统的机房和办公场所应使用安防措施,如,身份识别仪器、门禁系统、报警器、锁等,若无物理屏障可导致未授权人员可以进入系统所在场所。无明确的业务和人员管理规章制度 对基础地理信息数据处理业务和相关人员的管理,应制定相应的规章制度。无访客管理措施 应在系统所在机房和办公场所设置访客管理措施,如人员登记、专人陪同、不准携带移动介质等。
38、无移动存储介质管理制度 应针对基础地理信息数据所使用的移动存储介质管理,制定专门的规章制度。移动存储介质未得到管理基础地理信息数据所使用的移动存储介质应得到安全的管理和使用,包括:采集设备中的内存卡,移动硬盘、光盘和 U 盘等,若无管理将会导致涉密数据泄露。物理环境脆弱性识别是对基础地理信息系统物理环境的脆弱性进行识别,包括机房环境、办公环境、人员管理和移动存储设备管理等方面,见表4。评估方核查已采取物理环境的安全措施及验证其已采取的安全措施有效性,识别方法如下:a) 评估方进行文档查阅及现场访谈组织相关人员,确定基础地理信息系统的安全防护要求,以及应采取的安全措施,查看系统是否存在明显不符的
39、脆弱性;b) 评估方现场核查系统所在的机房和办公环境是否有安防措施,是否使用门禁系统等控制机制来保护,有无监控装置等,防制未授权进入,采用哪些安全措施,验证核实已采用措施的有效性;c) 评估方进行文档查阅,查看组织有无针对基础地理信息数据处理业务和相关人员的管理规章制度;d) 评估方现场核查系统所在的机房和办公场所是采用何种方式的访客管理措施,并核实其采取的安全措施的有效性,如:身份标识、人员登记、专人陪同、不准携带移动介质等措施;e) 评估方进行文档查阅和现场核查,查看组织是否制定了移动存储介质管理制度,基础地理信息系统数据所使用的移动存储介质是否得到了安全的管理和使用;物理环境脆弱性核查内
40、容见附录D中的表D.1 。8.3.3 网络系统脆弱性识别8.3.3.1 网络结构及网络边界脆弱性识别DB32/T XXXXX201812表 5 网络结构和网络边界脆弱性脆弱性 描 述网络未分层 设计实施时未对网络进行分层隔离,可能会导致部分设备出现的安全问题弥散到整个网络中。不同网络中未部署逻辑隔离设备不同网络之间未部署网络隔离设备,可直接通信。攻击数据包和恶意软件在网络之间传播,可轻易监测到其他网络上的敏感数据,造成未经授权的访问。安全边界定义不清晰 网络边界定义不清晰,将难以保证必要的安全措施被合适的实施或配置,会导致对系统和数据的未授权的访问和其它问题。表 5 网络结构和网络边界脆弱性(
41、续)设备 IP/MAC 地址未绑定 设备的 IP/MAC 地址未绑定,容易遭到中间人攻击。网络设备日志未开启 若无合适、详细的日志信息,将无法分析出导致安全事件发生的原因。未部署安全监控设备 若不进行定期的安全监控,事故可能被忽视,将可能导致额外的破坏或中断。无线连接客户端与接入点间数据保护不力无线客户端与接入点间传递的敏感数据未采用加密保护,攻击者监听明文信息造成信息泄露。无线网络边界不清 无线网络的范围无法精确控制,导致非受控终端的接入。非法外联 检查是否存在网络系统的内网主机非法连接外网或互联网。网络结构及网络边界脆弱性是指基础地理信息系统所在网络的网络结构及网络边界存在的脆弱性,见表
42、5。一些 FGIS 非常简单,无网络系统,在进行脆弱性识别时应忽略本部分。识别方法如下: a) 查看网络拓扑图及现场核查 FGIS 的网络结构是否分层,各层之间是否部署必要的安全防护设备;b) 查看 FGIS 网络系统的运维记录或日志,记录网络中曾出现过的故障及原因;c) 查看数据加工处理、管理相关的服务器、PC 和笔记本电脑的 IP/MAC 地址是否绑定;d) 查看网络拓扑图及现场核查其网络,验证组织划分 VLAN 合理性及安全性;e) 评估方现场对网络系统的边界完整性进行核查;f) 评估方现场核查是否有未授权接入无线网络的设备;g) 使用协议分析工具分析无线协议是否为明文传输;h) 评估方
43、现场核查,查看是否存在主机非法外联行为。8.3.3.2 网络设备脆弱性识别表 6 网络设备脆弱性脆弱性 描 述DB32/T XXXXX201813脆弱性 描 述无关人员物理访问网络设备对网络设备进行不当的物理访问会导致: 数据和硬件窃取; 数据和硬件的物理损伤破坏; 对网络安全环境(比如,修改 ACL 允许攻击进入网络)的篡改; 未授权的阻止或控制网络行为; 关闭物理数据链路。网络设备配置未备份 有无制定和实施网络设备配置备份和恢复规程,偶然或者恶意对网络设备配置进行修改造成系统通信中断时无法及时恢复。网络设备存在安全漏洞网络设备软件(操作系统)应升级到最新的版本,确保不存在已公开的安全漏洞。
44、网络设备管理员口令简单 网络设备的管理员口令过于简单,包括长度小于 8 位,仅为数字或字符串等。网络设备口令长期未更改口令应定期更换,即使未授权用户获得密码,也只有很短的时间段内可以访问网络设备。网络设备脆弱性是指基础地理信息系统所在网络的网络设备存在的脆弱性,见表 6。具体识别方法如下:a) 查看重要网络设备放置场所,场所有无物理访问控制、有无禁止无关人员进入的措施,是否安装监控系统,并针对这些采取的措施,验证其有效性;b) 查看网络设备的配置是否备份,有无制定和实施网络设备配置备份和恢复规程;c) 通过漏洞扫描器查找设备存在的系统漏洞;d) 查看网络设备口令更新周期及字符长度等配置;e)
45、现场访谈组织是否为网络硬件配备专门运维人员。网络系统脆弱性核查内容见附录D 中的表D.2 。8.3.4 平台脆弱性识别8.3.4.1 识别范围平台脆弱性的识别包括对平台硬件设备、平台软件和平台配置三个方面脆弱性的识别。8.3.4.2 平台硬件脆弱性识别表 7 平台硬件设备脆弱性脆弱性 描 述未授权人员对设备的物理访问应保证只有必要的人员可物理访问基础地理信息系统的平台硬件设备,访问不当会导致: 数据和硬件窃取; 数据和硬件的物理损伤和破坏; 对功能环境(比如,数据连接,可移动介质的未授权使用,增加/移除设备组 件)的非法篡改; 物理数据链路关闭; 检测不到的数据拦截或窃听(键盘输入或其他录入方
46、式)。重要设备无冗余配置 重要的设备未备份会导致单点失败。DB32/T XXXXX201814脆弱性 描 述设备丢失 设备丢失导致数据泄露,包括笔记本电脑、采集设备、存储设备(存储卡、移动硬盘、光盘和 U 盘)的丢失。设备未进行注册 设备未进行资产登记,可能会导致存在非授权用户访问点以及后门。是否为国产设备 关键的平台硬件设备应为国产设备,特别是采集设备和销毁设备。平台硬件脆弱性是指基础地理信息系统中服务器、桌面主机、笔记本电脑、采集设备、销毁设备和存储设备等设备存在的脆弱性,见表 7。识别方法如下:a) 现场核查是否仅必要人员可物理访问基础地理信息系统的设备;b) 现场核查组织是否对重要设备
47、进行冗余设计,并按设计进行部署;c) 现场访谈组织是否存在设备丢失的情况;d) 通过文档查阅和现场核查,查看资产清单是否包括基础地理信息系统的所有设备;e) 现场核查关键的平台硬件设备是否为国产设备。8.3.4.3 平台软件脆弱性识别表 8 软件脆弱性脆弱性 描 述操作系统存在漏洞 操作系统不升级补丁,存在已知漏洞。开启了不必要的服务 不必要的服务未被禁用关闭,可能会被利用。未安装终端安全管理软件入侵行为或非授权行为会导致系统不可用,数据被截获、修改和删除,控制命令的错误执行,发生违反安全策略的行为,主机行为不可审计追踪等。未安装防病毒软件 病毒等恶意代码会导致系统性能低下、系统不可用和数据被
48、截获、修改和删除。病毒库过期 病毒防护软件病毒库过期导致系统容易被新的病毒攻击。关键的平台软件非国产 关键的平台软件应为国产,包括数据库和安全软件。平台软件脆弱性是指基础地理信息系统平台软件存在的脆弱性,见表 8。平台软件包括基础地理信息系统使用的操作系统、数据库、应用软件和安全软件等,识别方法如下:a) 现场核查操作系统的版本及补丁,并通过漏洞扫描器扫描是否存在安全漏洞;b) 现场核查服务器、PC 和笔记本电脑开启的端口,是否开启了不必要的端口服务;c) 查看服务器、PC 和笔记本电脑是否安装了终端安全管理软件对终端进行了安全保护和监管;d) 查看是否安装了防病毒软件,病毒库是否定期更新,查
49、看病毒库更新记录;e) 查看关键的平台软件是否为国产软件,包括数据库、终端安全管理软件和防病毒软件。8.3.4.4 平台配置脆弱性识别表 9 平台配置脆弱性脆弱性 描 述缺少恰当的口令策略 无口令策略,系统就缺少合适的口令控制,使得对系统的非法访问更容易。口令DB32/T XXXXX201815脆弱性 描 述策略是整个基础地理信息系统安全策略的一部分,口令策略的制定应考虑到基础地理信息系统处理复杂口令的能力。未设置口令未设置口令可能导致非法访问,口令相关的脆弱性包括:系统登录无口令(如果系统有用户账户) 。系统启动无口令(如果系统无用户账户) 。系统待机无口令(如果基础地理信息系统组件一段时间内没被使用) 。口令保护不当缺少适当的密码控制措施,未授权用户可能擅自访问机密信息,包括: 以明文方式将口令记录在本地系统; 和个人账户使用同一的口令; 口令泄漏给第三方; 在未受保护的通信中以明文方式传输口令。平台配置脆弱性是指基础地理信息系统平台软硬件的口令配置存在的脆弱性,见表 9。识别方法如下:a) 现场核查口令是否以明文的方式存储在本地系统或便携设备中,过去是否存在泄漏口令的事件,使用暴力破解等方法验证口令的可靠性; b) 查看平台硬件设备口令更新周期及字符长度等配置;c) 现场核
