1、xxxx 网络安全等级保护评估服务技术建议书2010-09-10 目 录第一部份 综述 .4第二部份 总体方案建议 51. 项目目标 52. 等级保护评估范围 .53. 等级保护评估原则 .94. 等级保护评估理论及标准 .104.1 标准与规范 .104.1.1 等级保护评估标准 .104.1.2 标准体现 124.2 等级保护模型 124.2.1 等级保护 124.2.2 等级划分 134.2.3 等级保护能力 144.2.4 安全要求评估与检查 164.2.5 券商网安全等级 174.3 券商网安全等级计算方法 194.3.1 对数法 .194.3.2 矩阵法 .194.4 评估理论模型
2、 204.4.1 安全风险过程模型 .204.4.2 安全风险关系模型 .204.4.3 安全风险计算模型 .214.5 安全风险分析策略 244.5.1 风险计算原理 244.5.2 风险结果判定 254.6 券商网安全防护体系 265. 等级保护评估方案 .275.1 第一次检查和评估 285.1.1 等级保护评估目标 .285.1.2 等级保护评估方法 .285.1.3 等级保护评估步骤 .285.1.4 等级保护评估内容 .295.2 第二次检查和评估 335.2.1 等级保护评估目标 .335.2.2 等级保护评估方法 .335.2.3 等级保护评估内容 .345.2.4 远程评估
3、375.2.5 本地风险评估 435.3 评估过程风险控制 48第一部份 综述随着近年来我国网络建设和信息化建设的加快,企业、政府机关等组织的业务和信息化的结合越来越紧密,在给组织带来巨大经济和社会效益的同时,也给组织的信息安全和管理带来了严峻的挑战。一方面,信息安全由于其专业性,目前组织信息安全管理人员在数量和技能的缺乏等给全网的安全管理带来了很大的难度;另一方面现在的网络攻击技术新、变化快,往往会在短时间内造成巨大的破坏,同时由于互联网的传播使黑客技术具有更大的普及性和破坏性,会给组织造成很大的威胁,必需加强信息安全集中监管的能力和水平,从而减少组织的运营风险。通过对 xxxx 的重要信息
4、系统等级保护安全技术检查和风险评估,可以了解目前 xxxx 等级保护的定级是否准确、是否按照国家要求进行定级,同时能够识别网络中存在的各种安全风险,并以此为依据有目的性地调整网络的保护等级并提供解决方案,针对网络保护中存在的各种安全风险进行相应的网络安全技术和网络安全产品的选用和部署,对全网的安全进行统一的规划和建设,并根据等级保护检查和风险评估的结果指导 xxxx 下一步等级保护工作的开展,确实有效保障网络安全稳定运行。正是在这样的背景下,yyyy 结合自身多年在安全行业和等级保护的积累,为 xxxx 的网络安全等级保护提出了具有国内领先水平的等级保护评估方案。本方案主要包括以下组成部分:一
5、综述二总体方案建议第二部份 总体方案建议1. 项目目标本次对 xxxx 重要信息系统等级保护安全技术检查和风险评估的目标是: 对重要信息系统的安全等级进行检查和评估,判断其定级是否准确,定级是否符合国家有关部门的要求。 通过等级保护安全技术检查和评估,对等级保护定级不准确或者不符合要求的信息系统给出建议。2. 等级保护评估范围本次评估,yyyy 充分理解公安部的信息系统安全等级保护实施指南 、信息系统安全等级保护定级指南等标准设计等级保护安全评估方案,对xxxx 公司的重要信息系统的等级和安全现状进行评估。本项目所评估的网络系统包含:等等。具体评估系统如下:3 级以下信息系统如下:(共个信息系
6、统)3. 等级保护评估原则yyyy 等级保护评估服务将遵循以下原则: 保密原则:yyyy 将与 xxxx 签订保密协议,同时公司与每个参与本项目的员工签订信息保密协议,保证项目过程中和项目结束后不会向第三方泄漏机密信息,保证公司和个人不会利用评估结果对 xxxx 造成侵害。在项目过程中获知的任何用户的信息,经过双方确认,并对相关文档属用户秘密信息,严格遵守保密协议中规定的要求,确保在实施,维护,合同有效期内的信息安全。 标准性原则:yyyy 对 xxxx 等级保护评估方案的设计与实施应依据相关的等级保护安全标准以及国家有关部门制定信息安全和风险管理领域的国家标准进行,确保等级保护风险评估过程的
7、规范、合理,并为等级保护评估成果提供了质量保证。 规范性原则:yyyy 在等级保护评估项目中提供规范的工作过程和文档,具有很好的规范性,可用于项目的跟踪和控制。评估项目的实施由专业的项目管理人员和安全服务人员依照规范的操作流程进行,在评估之前制定计划和必要的工作申请,并提前告知对系统可能的影响,并提出风险规避措施并做出必要的应急准备,在操作过程中对操作的过程和结果要提供规范的记录,并形成完整的评估过程报告。 可控性原则:yyyy 的等级保护评估的方法、过程以及评估工具在项目开始之前经过 xxxx 严格测试并认可,评估服务的实际进度与进度表安排一致,对于由于客观因素需要的项目计划变更,将由双方项
8、目经理进行确认,保证客户对于评估工作的可控性。 整体性原则:yyyy 在 xxxx 网络安全等级保护评估项目中的范围和内容整体全面,涉及 ,明确 xxxx 计算机网络中的各个定级对象,评估其安全等级,同时评估其安全风险以及其产生的原因。 最小影响原则:yyyy 的等级保护风险评估工作的原则是做到对于用户系统和网络运行的影响最小化,不能对正在运行的系统和业务的正常提供产生显著不利影响。在评估项目实施过程中,首先,远程风险评估和本地安全审计在业务不繁忙时段进行;其次,有主次互备的主机系统和设备,首先在备份机上进行安全评估,确信对业务系统不会有不利影响后方在主机上实施相应的安全评估;对于特别重要的系
9、统和设备,若不满足直接对本机进行风险评估的条件,则应考虑采取其他更为稳妥的安全措施(如:考虑在其边界部署安全防护措施)。4. 等级保护评估理论及标准标准与规范4.1.1 等级保护评估标准yyyy 为 xxxx 提供的网络安全等级保护风险评估服务,将主要依据信息系统安全等级保护定级指南、信息系统安全等级保护实施指南和信息系统安全等级保护基本要求进行评估,同时为保证本次评估的全面性,还将参考相关的国际标准、国内标准和电信行业的相关规范,并有选择性地采纳了优秀的风险评估理论。国际标准包括 BS7799, AS/NZS 4360: 1999 , ISO15408等;国家标准包括 GAO/AIMD-00
10、-33信息安全风险评估,GB17859,GB18336 等。这些标准和操作指南目前已经被我公司在以往的评估项目中进行了实践,并得到了用户的认可和好评。除对标准的遵循外,yyyy 的风险评估过程还紧密结合 xxxx 的各种业务特征,依据 xxxx 各业务的业务特点,系统地制定了 xxxx 网络安全等级保护风险评估方案。4.1.2 标准体现评估过程 参照标准全过程 信息安全等级保护管理办法调查表和问题的设计 信息系统安全等级保护定级指南 加拿大威胁和风险评估工作指南 美国国防部彩虹系列 NCSC-TG-019 ISO17799/BS7799定级对象评估 信息系统安全等级保护定级指南 ISO1779
11、9/BS7799 加拿大威胁和风险评估工作指南风险分析方法 ISO13335风险分析模型 AS/NZS 4360: 1999 风险管理标准风险计算模型 AS/NZS 4360: 1999 风险管理标准 GAO/AIMD-00-33信息安全风险评估4.2 等级保护模型4.2.1 等级保护信息系统是颇受诱惑力的被攻击目标。它们抵抗着来自各方面威胁实体的攻击。对信息系统实行安全保护的目的就是要对抗系统面临的各种威胁,从而尽量降低由于威胁给系统带来的损失。能够应对威胁的能力构成了系统的安全保护能力之一对抗能力。但在某些情况下,信息系统无法阻挡威胁对自身的破坏时,如果系统具有很好的恢复能力,那么即使遭到
12、破坏,也能在很短的时间内恢复系统原有的状态。能够在一定时间内恢复系统原有状态的能力构成了系统的另一种安全保护能力恢复能力。对抗能力和恢复能力共同形成了信息系统的安全保护能力。不同级别的信息系统应具备相应等级的安全保护能力,即应该具备不同的对抗能力和恢复能力,以对抗不同的威胁和能够在不同的时间内恢复系统原有的状态。针对各等级系统应当对抗的安全威胁和应具有的恢复能力, 基本要求提出各等级的基本安全要求。基本安全要求包括了基本技术要求和基本管理要求,基本技术要求主要用于对抗威胁和实现技术能力,基本管理要求主要为安全技术实现提供组织、人员、程序等方面的保障。各等级的基本安全要求,由包括物理安全、网络安
13、全、主机系统安全、应用安全和数据安全等五个层面的基本安全技术措施和包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的基本安全管理措施来实现和保证。下图表明了基本要求的描述模型。每一等级信息系统安全保护能力技术措施 管理措施包含具备基本安全要求满足包含满足实现图1-2基本要求的描述模型4.2.2 等级划分作为保护对象, 管理办法中将信息系统分为五级,分别为:第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利
14、益造成损害,但不损害国家安全。第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。 第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。4.2.3 等级保护能力1) 定义a) 对抗能力能够应对威胁的能力构成了系统的安全保护能力之一对抗能力。不同等级系统所应对抗的威胁主要从威胁源(自然、环境、系统、人为)动机(不可抗外力、无意、有意)范围(局部、全局)能力(工具、技术、资源等)四个要素来考虑。在对威胁进行级别划分前,我们首先解释以上几个要素: 威胁源 是指任何
15、能够导致非预期的不利事件发生的因素,通常分为自然(如自然灾害)环境(如电力故障)IT 系统(如系统故障)和人员(如心怀不满的员工)四类。 动机与威胁源和目标有着密切的联系,不同的威胁源对应不同的目标有着不同的动机,通常可分为不可抗外力(如自然灾害)无意的(如员工的疏忽大意)和故意的(如情报机构的信息收集活动) 。 范围是指威胁潜在的危害范畴,分为局部和整体两种情况;如病毒威胁,有些计算机病毒的传染性较弱,危害范围是有限的;但是蠕虫类病毒则相反,它们可以在网络中以惊人的速度迅速扩散并导致整个网络瘫痪。 能力主要是针对威胁源为人的情况,它是衡量攻击成功可能性的主要因素。能力主要体现在威胁源占有的计
16、算资源的多少、工具的先进程度、人力资源(包括经验)等方面。通过对威胁主要因素的分析,我们可以组合得到不同等级的威胁:第一级:本等级的威胁是 1)危害范围为局部的环境或者设备故障、2)无意的员工失误以及 3)低能力的渗透攻击等威胁情景。典型情况如灰尘超标(环境)单个非重要工作站(设备)崩溃等。第二级:本等级的威胁主要是 1)危害局部的较严重的自然事件、2)具备中等能力、有预设目标的威胁情景。典型情况如有组织的情报搜集等。第三级:本等级的威胁主要是 1)危害整体的自然事件、2)具备较高能力、大范围的、有预设目标的渗透攻击。典型情况如较严重的自然灾害、大型情报组织的情报搜集等。第四级:本等级的威胁主
17、要是 1)危害整体的严重的自然事件、2)国家级渗透攻击。典型情况如国家经营,组织精良,有很好的财政资助,从其他具有经济、军事或政治优势的国家收集机密信息等。b) 恢复能力但在某些情况下,信息系统无法阻挡威胁对自身的破坏时,如果系统具有很好的恢复能力,那么即使遭到破坏,也能在很短的时间内恢复系统原有的状态。能够在一定时间内恢复系统原有状态的能力构成了另一种安全保护能力恢复能力。恢复能力主要从恢复时间和恢复程度上来衡量其不同级别。恢复时间越短、恢复程度越接近系统正常运行状态,表明恢复能力越高。第一级:系统具有基本的数据备份功能,在遭到破坏后能够不限时的恢复部分系统功能。第二级:系统具有一定的数据备
18、份功能,在遭到破坏后能够在一段时间内恢复部分功能。第三级:系统具有较高的数据备份和系统备份功能,在遭到破坏后能够较快的恢复绝大部分功能。第四级:系统具有极高的数据备份和系统备份功能,在遭到破坏后能够迅速恢复所有系统功能。2) 不同等级的安全保护能力信息系统的安全保护能力包括对抗能力和恢复能力。不同级别的信息系统应具备相应等级的安全保护能力,即应该具备不同的对抗能力和恢复能力。将“能力”分级,是基于系统的保护对象不同,其重要程度也不相同,重要程度决定了系统所具有的能力也就有所不同。一般来说,信息系统越重要,应具有的保护能力就越高。因为系统越重要,其所伴随的遭到破坏的可能性越大,遭到破坏后的后果越
19、严重,因此需要提高相应的安全保护能力。不同等级信息系统所具有的保护能力如下:一级安全保护能力:应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害,在系统遭到损害后,能够恢复部分功能。二级安全保护能力:应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。三级安全保护能力:应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起
20、的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。四级安全保护能力:应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够迅速恢复所有功能。4.2.4 安全要求评估与检查首先介绍基本要求的安全要求的分类。安全要求从整体上分为技术和管理两大类,其中,技术类安全要求按其保护的侧重点不同,将其下的控制点分为三类:信息安全类(S 类)关注的是保护数据
21、在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改。如,自主访问控制,该控制点主要关注的是防止未授权的访问系统,进而造成数据的 修改或泄漏。至于对保证业务的正常连续运行并没有直接的影响。服务保证类(A 类)关注的是保护系统连续正常的运行,避免因对系统的未授权修改、破坏而导致系统不可用。如,数据的备份和恢复,该控制点很好的体现了对业务正常运行的保护。通过对数据 进行备份,在发生安全事件后能够及时的进行恢复,从而保证了业务的正常运行。通用安全保护类(G 类)既关注保护业务信息的安全性,同时也关注保护系统的 连续可用性。大多数技术类安全要求都属于此类,保护的重点既是为了保证业务能够正常运行,同
22、时数据要安全。如,物理访问控制,该控制点主要是防止非授权人员物理访问系统主要工作环境,由于进入工作环境可能导致的后果既可能包括系统无法正常运行(如,损坏某台重要服务器) ,也可能窃取某些重要数据。因此,它保护的重点二者兼而有之。技术安全要求按其保护的侧重点不同分为 S、A 、 G 三类,如果从另外一个角度考虑,根据信息系统安全的整体结构来看,信息系统安全可从五个层面:物理、网络、主机系统、应用系统和数据对系统进行保护,因此,技术类安全要求也相应的分为五个层面上的安全要求:物理层面安全要求:主要是从外界环境、基础设施、运行硬件、介质等方面为信息系统的安全运行提供基本的后台支持和保证;网络层面安全
23、要求:为信息系统能够在安全的网络环境中运行提供支持,确保网络系统安全运行,提供有效的网络服务;主机层面安全要求:在物理、网络层面安全的情况下,提供安全的操作系统和安全的数据库管理系统,以实现操作系统和数据库管理系统的安全运行;应用层面安全要求:在物理、网络、系统等层面安全的支持下,实现用户安全需求所确定的安全目标;数据及备份恢复层面安全要求:全面关注信息系统中存储、传输、处理等过程的数据的安全性。管理类安全要求主要是围绕信息系统整个生命周期全过程而提出的,均为G 类要求。信息系统的生命周期主要分为五个阶段:初始阶段、采购/ 开发阶段、实施阶段、运行维护阶段和废弃阶段。管理类安全要求正是针对这五
24、个阶段的不同安全活动提出的,分为:安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理五个方面。4.3 券商网安全等级计算方法4.3.1 对数法可使用下面的公式来计算券商网和互联网及相关系统的安全等级值:k = Round1Log22I+2V+2R 其中, k 代表安全等级值,I代表社会影响力赋值、V 代表所提供服务的重要性赋值、R代表服务用户数赋值, Round1表示四舍五入处理,保留1位小数;Log2表示取以 2为底的对数, 、 、 分别表示券商网和互联网及相关系统的社会影响力、所提供服务的重要性、服务用户数赋值所占的权重,网络和业务运营商可根据具体网络的情况确定的 、 、
25、 取值, 0, 0, 0,且+=1。计算所得券商网和互联网及相关系统的安全等级值与安全等级的映射关系如表A.1 所示。表A.1 安全等级值与安全等级的映射关系安全等级值 k 安全等级k 1 自主保护级1 3 重点监督保护级4.3.2 矩阵法矩阵法是通过建立券商网和互联网及相关系统的社会影响力、所提供服务的重要性、服务用户数的一个对应矩阵,并且预先根据一定的方法确定了安全等级。使用本方法需要首先确定券商网和互联网及相关系统的社会影响力、所提供服务的重要性、服务用户数赋值,再查矩阵获得其安全等级。例如,采用对数法提前确定矩阵中的安全等级,并设 =1/3,安全等级的 1、2 、 3.1 和 3.2
26、分别对应自主保护级、指导保护级、普通监督保护级和重点监督保护级,则可得表 A.2 所示的安全等级判别矩阵。表A.2 安全等级判别矩阵社会影响力 1 2 3 4安全等级服务用户数 1 2 3 4 1 2 3 4 1 2 3 4 1 2 3 41 1 2 2 3.1 2 2 3.1 3.1 2 3.1 3.1 3.2 3.1 3.1 3.2 3.22 2 2 3.1 3.1 2 2 3.1 3.1 3.1 3.1 3.1 3.2 3.1 3.1 3.2 3.23 2 3.1 3.1 3.2 3.1 3.1 3.1 3.2 3.1 3.1 3.1 3.2 3.2 3.2 3.2 3.2所提供服务的重
27、要性4 3.1 3.1 3.2 3.2 3.1 3.1 3.2 3.2 3.2 3.2 3.2 3.2 3.2 3.2 3.2 3.24.4 评估理论模型xxxx 风险评估项目方案中提供的安全风险模型主要依据 ASNZS 4360:1999 标准、国际风险评估标准 BBS7799,ISO/IEC 13335,结合xxxx 数据网和网管网的特点,建立以下安全模型: 安全风险过程模型 安全风险关系模型 安全风险计算模型 安全风险管理模型4.4.1 安全风险过程模型安全风险可以理解为一种状态向另一种状态迁移的过程。下图给出了一个安全风险状态的转换过程。 安全风险过程模型(摘自 GA/T 391-20
28、02)4.4.2 安全风险关系模型为了更加清晰的描述 xxxx 面临的安全风险,以及造成风险的各个要素之间的关系,我们根据相关国际标准(ASNZS 4360:1999;BS7799/ISO 17799; ISO/IEC 13335 等)建立 xxxx 网络安全风险关系模型。主要以风险为中心形象的进行描述了 xxxx 网络络所面临的风险、弱点、威胁及其相应的资产价值、安全需求、安全控制、安全影响等动态循环的复杂关系。 安全风险关系模型安全风险关系模型动态的表现了 xxxx 网络所面临的安全风险与其它各个要素之间的内在关系。从评估的角度来说,xxxx 网络面临很多威胁(外部威胁、内部威胁),攻击者
29、利用网络存在的弱点(物理环境、网络结构、网络服务、网管系统、主机系统、数据、应用系统、安全系统、安全相关人员、处理流程、安全管理制度、安全策略等等),攻击网络,增加了 xxxx 网络所面临的威胁,同时,攻击事件的成功导致资产的暴露(信息资产、物质资产、软件资产、服务、设备、人员等),造成安全风险;同时资产的暴露(如 xxxx 高级管理人员由于不小心而导致重要机密信息的泄露),随着资产价值的大小而导致相应安全风险。4.4.3 安全风险计算模型安全风险计算过程描述如下图:计算模型要素及相互关系说明 输入 资产级别:是指资产的相对级别,在进行资产评估时进行资产价值定义,一般从资产的机密性、完整性和可
30、用性三个方面的安全需求去描述。 脆弱性级别:业务系统中的各种脆弱性级别,包括技术性和非技术性脆弱性。 威胁级别:根据威胁的可能性以及威胁的后果计算出的等级。 方法简要描述 定量分析方法:用于建立风险级别矩阵,计算出风险等级。 历史分析方法:威胁的可能性通过该方法计算得出。通过检测过去发生过的事件发生的频率来决定该事件再次发生的概率。在 xxxx网络风险评估中采用该方法主要通过统计分析 CERT 库来得出世界上各种典型攻击事件发生的概率。 风险计算矩阵与输出风险计算矩阵是按照相关国际标准(ASNZS 4360:1999;BS7799/ISO 17799; ISO/IEC 13335 等) ,采用
31、国际上典型的风险计算方法对 xxxx 网络所面临的风险级别矩阵进行计算得到 xxxx 所面临的各种安全风险,计算出 xxxx 网络的安全风险。对于特定环境下资产的脆弱性,安全风险的相关因素包括威胁利用的可能标 准 输 出 输 入 资 产 级 别 脆 弱 性 级 别 威 胁 级 别 1 风 险 列 表 远 程 风 险 中 国 移 动 全网 安 全 风 险 相 关 国 际 标 准 : ASNZS 4360: 19;BS79/ISO 179; IO/IEC 135等 定 量 分 析 方 法 风 险 评 估 矩 阵 性以及造成的影响。 可能性评价可能性需要考虑资产已有的安全控制措施、弱点的利用难易程度
32、。可能性属性非常难以度量,它依赖于具体的资产、弱点和影响。该属性还和时间有关系。所以,在威胁评估中,评估者的专家经验非常重要。遵照 AS/NZS 4360:1999 标准,对风险可能性说明如下:赋值 说明4 几乎肯定,预计在大多数情况下发生,不可避免( 99%)3 很可能,在大多数情况下可能会发生(90% 99%)2 可能,在某个时间可能会发生(50% 90%)1 不太可能,在某个时间能够发生(50%10%)0 不可能,罕见,仅在例外的情况下可能发生( 10%)影响评价威胁的影响需要考虑资产的价值以及弱点利用对业务造成的影响:赋值 说明4 资产全部损失,对业务造成巨大的财务损失,且不可恢复3
33、资产遭受重大损失,对业务造成大量财务损失,但可以恢复2 资产遭受明显损失,对业务造成一定影响1 资产遭受一定破坏,但可以立即控制0 无破坏,损失可忽略 风险计算矩阵在本项目中,可以参照下面的矩阵进行风险分析和计算:影响风险0 1 2 3 44 H H E E E3 M H H E E可能性 2 L M H E E1 L L M H E0 L L M H H风险等级说明:E:极度风险,要求立即采取措施H:高风险,需要高级管理部门的注意M:中等风险,必须规定管理责任L:低风险,用日常程序处理4.5 安全风险分析策略4.5.1 风险计算原理在完成了资产识别、威胁识别、脆弱性识别后,将采用适当的方法与
34、工具确定威胁利用脆弱性导致安全事件发生的可能性,综合资产价值及脆弱性的严重程度判断安全事件一旦发生造成的损失,最终得到风险值。风险计算原理如下图所示:威胁出现的频率脆弱性的严重程度资产价值风险值威胁识别脆弱性识别资产识别安全事件的可能性安全事件的损失存在的脆弱性风险计算原理示意图对风险计算原理可以采用下面的范式形式化加以说明:风险值 = R(A,T ,V ) = R(L (Ta ,Vb),F ( Ia,Va )其中,R 表示安全风险计算函数, A 表示资产,T 表示威胁,V 表示脆弱性,Ta 表示威胁出现的频率,Ia 表示安全事件所作用的资产价值,Va 表示脆弱性严重程度,Vb 表示存在的脆弱
35、性,L 表示威胁利用资产存在的脆弱性导致安全事件发生的可能性,F 表示安全事件发生后产生的损失。有以下三个关键计算环节:a)计算安全事件发生的可能性根据威胁出现频率及脆弱性状况,计算威胁利用脆弱性导致安全事件发生的可能性,即:安全事件发生的可能性 = L(威胁出现频率,脆弱性)= L(Ta,Vb )在具体评估中,应综合攻击者技术能力(专业技术程度、攻击设备等)、脆弱性被利用的难易程度(可访问时间、设计和操作知识公开程度等)、资产吸引力等因素来判断安全事件发生的可能性。b)计算安全事件发生后的损失 根据资产价值及脆弱性严重程度,计算安全事件一旦发生造成的损失,即:安全事件的损失 = F(资产价值
36、,脆弱性严重程度)= F(Ia ,Va)部分安全事件发生造成的损失不仅仅是针对该资产本身,还可能影响其提供业务的连续性。不同安全事件对组织造成的影响也是不一样的,在计算某个安全事件的损失时,应将对组织的影响也考虑在内。c)计算风险值根据计算出的安全事件发生的可能性以及安全事件的损失,计算风险值,即:风险值 = R(安全事件发生的可能性,安全事件的损失)= R(L (Ta,Vb),F(Ia ,Va)4.5.2 风险结果判定为实现对风险的控制与管理,对风险值进行等级化处理,将风险划分为一定的级别,本标准文件将风险等级划分为五级,每个等级代表了相应风险的严重程度,等级越高,风险越高。表12 提供了一
37、种风险等级划分方法。风险等级划分表等级 标识 描述5 很高一旦发生将使券商网和互联网及相关系统遭受非常严重破坏,组织利益受到非常严重损失,如组织信誉严重破坏、严重影响组织业务的正常运行、经济损失重大、社会影响恶劣4 高如果发生将使券商网和互联网及相关系统遭受比较严重的破坏,组织利益受到很严重损失3 中等发生后将使券商网和互联网及相关系统受到一定的破坏,组织利益受到中等程度的损失2 低发生后将使券商网和互联网及相关系统受到的破坏程度和利益损失一般1 很低 即使发生只会使券商网和互联网及相关系统受到较小的破坏在得到资产的风险值之后,需要结合资产已经采取的安全措施判断其风险是否在可以接受的范围内,如
38、果风险结果在可接受的范围内,则该风险是可接受的风险,应保持已有的安全措施;如果风险结果在可接受的范围外,是不可接受的风险,需要制定风险处理计划并采取新的安全措施降低、控制风险。主管部门或者网络和业务运营商应综合考虑风险控制成本与风险造成的影响,提出一个可接受风险阈值。4.6 券商网安全防护体系整个体系分为三层,第一层为整个安全防护体系的总体指导性规范,明确了对券商网和互联网安全防护的定义、目标、原则,并说明了安全防护体系中的角色划分以及体系组成。第二层从宏观的角度明确了如何进行安全防护工作,规范了安全防护体系中安全等级保护、安全风险评估、灾难备份及恢复等三部分工作的原则、流程、方法、步骤等。第
39、三层对券商网和互联网安全防护范畴中的安全防护工作的实施进行了具体规范,其中。等业务平台以及业务管理平台。对。业务网实施安全防护,应分别从构成上述网络的不同券商网和互联网相关系统入手进行安全等级保护、安全风险评估、灾难备份及恢复等工作,并制定相应的安全防护要求和安全防护检测要求。5. 等级保护评估方案本项目具体内容如下:1 第一次检查和评估5.1.1 等级保护评估目标对 xxxx 的重要信息系统等级保护安全技术检查和风险评估,具体包括xxxx 的。 。 。 。 。 。: 通过等级保护安全技术检查和评估获得 xxxx 重要信息系统的定级情况的报告和安全风险报告。 根据等级保护定级情况报告和安全风险
40、报告,为 xxxx 的等级保护工作以及安全建设工作提出建议。 通过评估了解 xxxx 重要信息系统的网络安全现状,为 xxxx 进一步加强对重要信息系统的安全防护提供建议。5.1.2 等级保护评估方法(1 ) 文档查询:阅读有关网络结构与网络环境,主要的硬件、软件及其承载的数据和信息、管理、维护和使用的人员等文档。从而为确定定级对象、等级提供参考。(2) 调查问卷:调查问卷是提供一套关于管理或操作控制的问题表格,供技术或管理人员填写;(3) 人员访谈:与有关人员访谈,了解系统发射故障对国家安全、社会秩序、公民法人的合法权益的影响程度。(4) 实地观察:,现场面谈则是由评估人员到现场观察并收集被
41、评估方在物理、环境和操作方面的信息。(5) 评估工具: 利用工具尽可能多地收集、分析和整理券商网和互联网的相关信息,在此基础上形成准确的券商网和互联网总体描述文件。5.1.3 等级保护评估步骤1) 定级对象评估2) 评定等级评估a) 相关系统的社会影响力赋值评估b) 服务的重要性赋值评估c) 服务用户数赋值评估5.1.4 等级保护评估内容根据主管部门的要求,遵照安全等级保护的管理和技术方面的标准,针对已经实施了安全等级保护的券商网和互联网及相关系统,检测实施的安全保护措施是否符合相应安全等级的安全防护要求。5.1.4.1 定级对象评估一个单位内运行的信息系统可能比较庞大,为了体现重要部分重点保
42、护,有效控制信息安全建设成本,优化信息安全资源配置的等级保护原则,可将较大的信息系统划分为若干个较小的、可能具有不同安全保护等级的定级对象。作为定级对象的信息系统应具有如下基本特征:a) 具有唯一确定的安全责任单位作为定级对象的信息系统应能够唯一地确定其安全责任单位。如果一个单位的某个下级单位负责信息系统安全建设、运行维护等过程的全部安全责任,则这个下级单位可以成为信息系统的安全责任单位;如果一个单位中的不同下级单位分别承担信息系统不同方面的安全责任,则该信息系统的安全责任单位应是这些下级单位共同所属的单位。b) 具有信息系统的基本要素作为定级对象的信息系统应该是由相关的和配套的设备、设施按照
43、一定的应用目标和规则组合而成的有形实体。应避免将某个单一的系统组件,如服务器、终端、网络设备等作为定级对象。c) 承载单一或相对独立的业务应用定级对象承载“单一”的业务应用是指该业务应用的业务流程独立,且与其他业务应用没有数据交换,且独享所有信息处理设备。定级对象承载“相对独立”的业务应用是指其业务应用的主要业务流程独立,同时与其他业务应用有少量的数据交换,定级对象可能会与其他业务应用共享一些设备,尤其是网络传输设备。5.1.4.2 安全等级评估券商网和互联网安全防护体系中,确定安全等级是进行安全等级保护的前提和基础,直接影响和指导安全防护体系中的安全风险评估和灾难备份及恢复工作。网络和业务运
44、营商应应根据本标准文件的定级方法确定券商网和互联网及相关系统的安全等级,以保证定级的科学性和准确性。在券商网和互联网及相关系统中进行安全等级划分的总体原则是:券商网和互联网及相关系统受到破坏后对国家安全、社会秩序、经济建设、公共利益、网络和业务运营商的损害程度。券商网和互联网及相关系统可以划分为三个安全等级,分别为自主保护级、指导保护级和监督保护级,其中监督保护级又分为普通监督保护级和重点监督保护级。主管部门对不同级别的券商网和互联网及相关系统实行不同等级的监管。第1 级 自主保护级券商网和互联网及相关系统遭到破坏后仅对其所有者的利益产生损害,但是不损害国家安全、社会秩序、经济建设、公共利益。
45、本级按照通信行业安全标准进行自主保护。第2 级 指导保护级券商网和互联网及相关系统遭到破坏后对社会秩序、经济建设、公共利益以及网络和业务运营商造成轻微损害。本级在主管部门的指导下,按照行业安全标准进行自主保护。第3 级 监督保护级分为两种情况:3.1级 普通监督保护级券商网和互联网及相关系统遭到破坏后对国家安全、社会秩序、经济建设、公共利益以及网络和业务运营商造成较大损害。本级按照行业安全标准进行自主保护,主管部门对其进行监督、检查。3.2级 重点监督保护级券商网和互联网及相关系统遭到破坏后对国家安全、社会秩序、经济建设、公共利益以及网络和业务运营商造成严重损害。本级按照通信行业安全标准进行自
46、主保护,主管部门对其进行重点监督、检查。决定券商网和互联网及相关系统的安全等级的具体定级要素及其赋值如下:a)券商网和互联网及相关系统的社会影响力券商网和互联网及相关系统的社会影响力表示其无法提供有效服务对国家安全、社会秩序、经济建设、公共利益的影响程度,券商网和互联网及相关系统的社会影响力赋值如下表所示。对券商网和互联网及相关系统的社会影响力赋值表社会影响力定义 赋值券商网和互联网及相关系统无法提供有效服务对国家安全、社会秩序、经济建设、公共利益的影响较小1券商网和互联网及相关系统无法提供有效服务对国家安全、社会秩序、经济建设、公共利益的影响较大2券商网和互联网及相关系统无法提供有效服务对国
47、家安全、社会秩序、经济建设、公共利益的影响很大3券商网和互联网及相关系统无法提供有效服务对国家安全、社会秩序、经 4济建设、公共利益的影响非常大b)券商网和互联网及相关系统所提供服务的重要性券商网和互联网及相关系统所提供服务的重要性表示其提供的服务对网络和业务运营商的影响程度。券商网和互联网及相关系统所提供服务的重要性赋值如下表所示。券商网和互联网及相关系统所提供服务的重要性赋值表所提供服务的重要性定义 赋值券商网和互联网及相关系统所提供服务的重要性一般,无法提供服务对网络和业务运营商产生较小的影响1券商网和互联网及相关系统所提供服务的重要性较高,无法提供服务对网络和业务运营商产生较大的影响2
48、券商网和互联网及相关系统所提供服务的重要性很高,无法提供服务对网络和业务运营商产生很大的影响3券商网和互联网及相关系统所提供服务的重要性非常高,无法提供服务对网络和业务运营商产生非常大的影响4c)券商网和互联网及相关系统的服务用户数券商网和互联网及相关系统的服务用户数表示其服务的用户数多少,券商网和互联网及相关系统的服务用户数赋值如下表所示。券商网和互联网及相关系统的服务用户数赋值表服务用户数定义 赋值券商网和互联网及相关系统无法提供有效服务会对较少的用户造成影响 1券商网和互联网及相关系统无法提供有效服务会对较多的用户造成影响 2券商网和互联网及相关系统无法提供有效服务会对很多的用户造成影响
49、 3券商网和互联网及相关系统无法提供有效服务会对非常多的用户造成影响 4在确定好券商网和互联网及相关系统的社会影响力、所提供服务的重要性、服务用户数三个定级要素的赋值后,本方案第二部份4.3节内容中列举的几种安全等级计算方法可做参考。安全等级确定可能不是一个过程就可以完成的,可能需要经过定级要素赋值、定级、定级结果调整的循环过程,最终才能确定出较为科学、准确的安全等级。5.1.4.3 安全风险评估券商网和互联网安全风险评估工作通常采用自评估和检查评估的方式。自评估可在主管部门相关管理规定指导下,由网络和业务运营商实施或委托主管部门授权的具有安全防护检测服务资质的检测机构实施。通过自评估,网络和业务运营商可以更好地了解处于自己管理的券商网和互联网及相关系统安全状况以及存在的风险,为规避损失、采取安全防护措施提供依据。检查评估由主管部门发起,由主管部门或具有安全防护检测服务资质的检测机构进行实施。检查评估通常采用定期、
