等级保护评估服务建议书vWord文档下载推荐.doc
《等级保护评估服务建议书vWord文档下载推荐.doc》由会员分享,可在线阅读,更多相关《等级保护评估服务建议书vWord文档下载推荐.doc(42页珍藏版)》请在冰点文库上搜索。
5.1 第一次检查和评估 28
5.1.1 等级保护评估目标 28
5.1.2 等级保护评估方法 28
5.1.3 等级保护评估步骤 28
5.1.4 等级保护评估内容 29
5.2 第二次检查和评估 33
5.2.1 等级保护评估目标 33
5.2.2 等级保护评估方法 33
5.2.3 等级保护评估内容 34
5.2.4 远程评估 37
5.2.5 本地风险评估 43
5.3 评估过程风险控制 48
第一部份综述
随着近年来我国网络建设和信息化建设的加快,企业、政府机关等组织的业务和信息化的结合越来越紧密,在给组织带来巨大经济和社会效益的同时,也给组织的信息安全和管理带来了严峻的挑战。
一方面,信息安全由于其专业性,目前组织信息安全管理人员在数量和技能的缺乏等给全网的安全管理带来了很大的难度;
另一方面现在的网络攻击技术新、变化快,往往会在短时间内造成巨大的破坏,同时由于互联网的传播使黑客技术具有更大的普及性和破坏性,会给组织造成很大的威胁,必需加强信息安全集中监管的能力和水平,从而减少组织的运营风险。
通过对xxxx的重要信息系统等级保护安全技术检查和风险评估,可以了解目前xxxx等级保护的定级是否准确、是否按照国家要求进行定级,同时能够识别网络中存在的各种安全风险,并以此为依据有目的性地调整网络的保护等级并提供解决方案,针对网络保护中存在的各种安全风险进行相应的网络安全技术和网络安全产品的选用和部署,对全网的安全进行统一的规划和建设,并根据等级保护检查和风险评估的结果指导xxxx下一步等级保护工作的开展,确实有效保障网络安全稳定运行。
正是在这样的背景下,yyyy结合自身多年在安全行业和等级保护的积累,为xxxx的网络安全等级保护提出了具有国内领先水平的等级保护评估方案。
本方案主要包括以下组成部分:
一.综述
二.总体方案建议
第二部份总体方案建议
1.项目目标
本次对xxxx重要信息系统等级保护安全技术检查和风险评估的目标是:
l对重要信息系统的安全等级进行检查和评估,判断其定级是否准确,定级是否符合国家有关部门的要求。
l通过等级保护安全技术检查和评估,对等级保护定级不准确或者不符合要求的信息系统给出建议。
2.等级保护评估范围
本次评估,yyyy充分理解公安部的《信息系统安全等级保护实施指南》、《信息系统安全等级保护定级指南》等标准设计等级保护安全评估方案,对xxxx公司的重要信息系统的等级和安全现状进行评估。
本项目所评估的网络系统包含:
……等等。
具体评估系统如下:
3级以下信息系统如下:
(共……个信息系统)
3.等级保护评估原则
yyyy等级保护评估服务将遵循以下原则:
l保密原则:
yyyy将与xxxx签订保密协议,同时公司与每个参与本项目的员工签订信息保密协议,保证项目过程中和项目结束后不会向第三方泄漏机密信息,保证公司和个人不会利用评估结果对xxxx造成侵害。
在项目过程中获知的任何用户的信息,经过双方确认,并对相关文档属用户秘密信息,严格遵守保密协议中规定的要求,确保在实施,维护,合同有效期内的信息安全。
l标准性原则:
yyyy对xxxx等级保护评估方案的设计与实施应依据相关的等级保护安全标准以及国家有关部门制定信息安全和风险管理领域的国家标准进行,确保等级保护风险评估过程的规范、合理,并为等级保护评估成果提供了质量保证。
l规范性原则:
yyyy在等级保护评估项目中提供规范的工作过程和文档,具有很好的规范性,可用于项目的跟踪和控制。
评估项目的实施由专业的项目管理人员和安全服务人员依照规范的操作流程进行,在评估之前制定计划和必要的工作申请,并提前告知对系统可能的影响,并提出风险规避措施并做出必要的应急准备,在操作过程中对操作的过程和结果要提供规范的记录,并形成完整的评估过程报告。
l可控性原则:
yyyy的等级保护评估的方法、过程以及评估工具在项目开始之前经过xxxx严格测试并认可,评估服务的实际进度与进度表安排一致,对于由于客观因素需要的项目计划变更,将由双方项目经理进行确认,保证客户对于评估工作的可控性。
l整体性原则:
yyyy在xxxx网络安全等级保护评估项目中的范围和内容整体全面,涉及……,明确xxxx计算机网络中的各个定级对象,评估其安全等级,同时评估其安全风险以及其产生的原因。
l最小影响原则:
yyyy的等级保护风险评估工作的原则是做到对于用户系统和网络运行的影响最小化,不能对正在运行的系统和业务的正常提供产生显著不利影响。
在评估项目实施过程中,首先,远程风险评估和本地安全审计在业务不繁忙时段进行;
其次,有主次互备的主机系统和设备,首先在备份机上进行安全评估,确信对业务系统不会有不利影响后方在主机上实施相应的安全评估;
对于特别重要的系统和设备,若不满足直接对本机进行风险评估的条件,则应考虑采取其他更为稳妥的安全措施(如:
考虑在其边界部署安全防护措施)。
4.等级保护评估理论及标准
1
2
3
4
4.1标准与规范
4.1.1等级保护评估标准
yyyy为xxxx提供的网络安全等级保护风险评估服务,将主要依据《信息系统安全等级保护定级指南》、《信息系统安全等级保护实施指南》和《信息系统安全等级保护基本要求》进行评估,同时为保证本次评估的全面性,还将参考相关的国际标准、国内标准和电信行业的相关规范,并有选择性地采纳了优秀的风险评估理论。
国际标准包括BS7799,AS/NZS4360:
1999,ISO15408等;
国家标准包括GAO/AIMD-00-33《信息安全风险评估》,GB17859,GB18336等。
这些标准和操作指南目前已经被我公司在以往的评估项目中进行了实践,并得到了用户的认可和好评。
除对标准的遵循外,yyyy的风险评估过程还紧密结合xxxx的各种业务特征,依据xxxx各业务的业务特点,系统地制定了xxxx网络安全等级保护风险评估方案。
4.1.2标准体现
评估过程
参照标准
全过程
¨
《信息安全等级保护管理办法》
调查表和问题的设计
《信息系统安全等级保护定级指南》
加拿大《威胁和风险评估工作指南》
美国国防部彩虹系列NCSC-TG-019
ISO17799/BS7799
定级对象评估
风险分析方法
ISO13335
风险分析模型
《AS/NZS4360:
1999风险管理标准》
风险计算模型
GAO/AIMD-00-33《信息安全风险评估》
4.2等级保护模型
4.2.1等级保护
信息系统是颇受诱惑力的被攻击目标。
它们抵抗着来自各方面威胁实体的攻击。
对信息系统实行安全保护的目的就是要对抗系统面临的各种威胁,从而尽量降低由于威胁给系统带来的损失。
能够应对威胁的能力构成了系统的安全保护能力之一——对抗能力。
但在某些情况下,信息系统无法阻挡威胁对自身的破坏时,如果系统具有很好的恢复能力,那么即使遭到破坏,也能在很短的时间内恢复系统原有的状态。
能够在一定时间内恢复系统原有状态的能力构成了系统的另一种安全保护能力——恢复能力。
对抗能力和恢复能力共同形成了信息系统的安全保护能力。
不同级别的信息系统应具备相应等级的安全保护能力,即应该具备不同的对抗能力和恢复能力,以对抗不同的威胁和能够在不同的时间内恢复系统原有的状态。
针对各等级系统应当对抗的安全威胁和应具有的恢复能力,《基本要求》提出各等级的基本安全要求。
基本安全要求包括了基本技术要求和基本管理要求,基本技术要求主要用于对抗威胁和实现技术能力,基本管理要求主要为安全技术实现提供组织、人员、程序等方面的保障。
各等级的基本安全要求,由包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个层面的基本安全技术措施和包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的基本安全管理措施来实现和保证。
下图表明了《基本要求》的描述模型。
每一等级信息系统
安全保护能力
技术措施
管理措施
包含
具备
基本安全要求
满足
实现
图1-2《基本要求》的描述模型
4.2.2等级划分
作为保护对象,《管理办法》中将信息系统分为五级,分别为:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。
4.2.3等级保护能力
1)定义
a)对抗能力
能够应对威胁的能力构成了系统的安全保护能力之一—对抗能力。
不同等级系统所应对抗的威胁主要从威胁源(自然、环境、系统、人为)动机(不可抗外力、无意、有意)范围(局部、全局)能力(工具、技术、资源等)四个要素来考虑。
在对威胁进行级别划分前,我们首先解释以上几个要素:
l威胁源——是指任何能够导致非预期的不利事件发生的因素,通常分为自然(如自然灾害)环境(如电力故障)IT系统(如系统故障)和人员(如心怀不满的员工)四类。
l动机——与威胁源和目标有着密切的联系,不同的威胁源对应不同的目标有着不同的动机,通常可分为不可抗外力(如自然灾害)无意的(如员工的疏忽大意)和故意的(如情报机构的信息收集活动)。
l范围——是指威胁潜在的危害范畴,分为局部和整体两种情况;
如病毒威胁,有些计算机病毒的传染性较弱,危害范围是有限的;
但是蠕虫类病毒则相反,它们可以在网络中以惊人的速度迅速扩散并导致整个网络瘫痪。
l能力——主要是针对威胁源为人的情况,它是衡量攻击成功可能性的主要因素。
能力主要体现在威胁源占有的计算资源的多少、工具的先进程度、人力资源(包括经验)等方面。
通过对威胁主要因素的分析,我们可以组合得到不同等级的威胁:
第一级:
本等级的威胁是1)危害范围为局部的环境或者设备故障、2)无意的员工失误以及3)低能力的渗透攻击等威胁情景。
典型情况如灰尘超标(环境)单个非重要工作站(设备)崩溃等。
第二级:
本等级的威胁主要是1)危害局部的较严重的自然事件、2)具备中等能力、有预设目标的威胁情景。
典型情况如有组织的情报搜集等。
第三级:
本等级的威胁主要是1)危害整体的自然事件、2)具备较高能力、大范围的、有预设目标的渗透攻击。
典型情况如较严重的自然灾害、大型情报组织的情报搜集等。
第四级:
本等级的威胁主要是1)危害整体的严重的自然事件、2)国家级渗透攻击。
典型情况如国家经营,组织精良,有很好的财政资助,从其他具有经济、军事或政治优势的国家收集机密信息等。
b)恢复能力
能够在一定时间内恢复系统原有状态的能力构成了另一种安全保护能力——恢复能力。
恢复能力主要从恢复时间和恢复程度上来衡量其不同级别。
恢复时间越短、恢复程度越接近系统正常运行状态,表明恢复能力越高。
系统具有基本的数据备份功能,在遭到破坏后能够不限时的恢复部分系统功能。
系统具有一定的数据备份功能,在遭到破坏后能够在一段时间内恢复部分功能。
系统具有较高的数据备份和系统备份功能,在遭到破坏后能够较快的恢复绝大部分功能。
系统具有极高的数据备份和系统备份功能,在遭到破坏后能够迅速恢复所有系统功能。
2)不同等级的安全保护能力
信息系统的安全保护能力包括对抗能力和恢复能力。
不同级别的信息系统应具备相应等级的安全保护能力,即应该具备不同的对抗能力和恢复能力。
将“能力”分级,是基于系统的保护对象不同,其重要程度也不相同,重要程度决定了系统所具有的能力也就有所不同。
一般来说,信息系统越重要,应具有的保护能力就越高。
因为系统越重要,其所伴随的遭到破坏的可能性越大,遭到破坏后的后果越严重,因此需要提高相应的安全保护能力。
不同等级信息系统所具有的保护能力如下:
一级安全保护能力:
应能够防护系统免受来自个人的、拥有很少资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的关键资源损害,在系统遭到损害后,能够恢复部分功能。
二级安全保护能力:
应能够防护系统免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难、以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和安全事件,在系统遭到损害后,能够在一段时间内恢复部分功能。
三级安全保护能力:
应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够较快恢复绝大部分功能。
四级安全保护能力:
应能够在统一安全策略下防护系统免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难、以及其他相当危害程度的威胁所造成的资源损害,能够发现安全漏洞和安全事件,在系统遭到损害后,能够迅速恢复所有功能。
4.2.4安全要求评估与检查
首先介绍《基本要求》的安全要求的分类。
安全要求从整体上分为技术和管理两大类,其中,技术类安全要求按其保护的侧重点不同,将其下的控制点分为三类:
信息安全类(S类)——关注的是保护数据在存储、传输、处理过程中不被泄漏、破坏和免受未授权的修改。
如,自主访问控制,该控制点主要关注的是防止未授权的访问系统,进而造成数据的 修改或泄漏。
至于对保证业务的正常连续运行并没有直接的影响。
服务保证类(A类)——关注的是保护系统连续正常的运行,避免因对系统的未授权修改、破坏而导致系统不可用。
如,数据的备份和恢复,该控制点很好的体现了对业务正常运行的保护。
通过对数据 进行备份,在发生安全事件后能够及时的进行恢复,从而保证了业务的正常运行。
通用安全保护类(G类)——既关注保护业务信息的安全性,同时也关注保护系统的 连续可用性。
大多数技术类安全要求都属于此类,保护的重点既是为了保证业务能够正常运行,同时数据要安全。
如,物理访问控制,该控制点主要是防止非授权人员物理访问系统主要工作环境,由于进入工作环境可能导致的后果既可能包括系统无法正常运行(如,损坏某台重要服务器),也可能窃取某些重要数据。
因此,它保护的重点二者兼而有之。
技术安全要求按其保护的侧重点不同分为S、A、G三类,如果从另外一个角度考虑,根据信息系统安全的整体结构来看,信息系统安全可从五个层面:
物理、网络、主机系统、应用系统和数据对系统进行保护,因此,技术类安全要求也相应的分为五个层面上的安全要求:
——物理层面安全要求:
主要是从外界环境、基础设施、运行硬件、介质等方面为信息系统的安全运行提供基本的后台支持和保证;
——网络层面安全要求:
为信息系统能够在安全的网络环境中运行提供支持,确保网络系统安全运行,提供有效的网络服务;
——主机层面安全要求:
在物理、网络层面安全的情况下,提供安全的操作系统和安全的数据库管理系统,以实现操作系统和数据库管理系统的安全运行;
——应用层面安全要求:
在物理、网络、系统等层面安全的支持下,实现用户安全需求所确定的安全目标;
——数据及备份恢复层面安全要求:
全面关注信息系统中存储、传输、处理等过程的数据的安全性。
管理类安全要求主要是围绕信息系统整个生命周期全过程而提出的,均为G类要求。
信息系统的生命周期主要分为五个阶段:
初始阶段、采购/开发阶段、实施阶段、运行维护阶段和废弃阶段。
管理类安全要求正是针对这五个阶段的不同安全活动提出的,分为:
安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理五个方面。
4.3券商网安全等级计算方法
4.3.1对数法
可使用下面的公式来计算券商网和互联网及相关系统的安全等级值:
k=Round1{Log2{[α×
2I+β×
2V+γ×
2R]}}
其中,k代表安全等级值,I代表社会影响力赋值、V代表所提供服务的重要性赋值、R代表服务用户数赋值,Round1{}表示四舍五入处理,保留1位小数;
Log2[]表示取以2为底的对数,α、β、γ分别表示券商网和互联网及相关系统的社会影响力、所提供服务的重要性、服务用户数赋值所占的权重,网络和业务运营商可根据具体网络的情况确定的α、β、γ取值,α≥0,β≥0,γ≥0,且α+β+γ=1。
计算所得券商网和互联网及相关系统的安全等级值与安全等级的映射关系如表A.1所示。
表A.1安全等级值与安全等级的映射关系
安全等级值k
安全等级
k≤1
自主保护级
1<
k≤2
指导保护级
2<
k≤3
普通监督保护级
k>
3
重点监督保护级
4.3.2矩阵法
矩阵法是通过建立券商网和互联网及相关系统的社会影响力、所提供服务的重要性、服务用户数的一个对应矩阵,并且预先根据一定的方法确定了安全等级。
使用本方法需要首先确定券商网和互联网及相关系统的社会影响力、所提供服务的重要性、服务用户数赋值,再查矩阵获得其安全等级。
例如,采用对数法提前确定矩阵中的安全等级,并设α=β=γ=1/3,安全等级的1、2、3.1和3.2分别对应自主保护级、指导保护级、普通监督保护级和重点监督保护级,则可得表A.2所示的安全等级判别矩阵。
表A.2安全等级判别矩阵
社会影响力
服务用户数
所提供服务的重要性
3.1
3.2
4.4评估理论模型
xxxx风险评估项目方案中提供的安全风险模型主要依据ASNZS4360:
1999标准、国际风险评估标准BBS7799,ISO/IEC13335,结合xxxx数据网和网管网的特点,建立以下安全模型:
l安全风险过程模型
l安全风险关系模型
l安全风险计算模型
l安全风险管理模型
4.4.1安全风险过程模型
安全风险可以理解为一种状态向另一种状态迁移的过程。
下图给出了一个安全风险状态的转换过程。
v安全风险过程模型(摘自GA/T391-2002)
4.4.2安全风险关系模型
为了更加清晰的描述xxxx面临的安全风险,以及造成风险的各个要素之间的关系,我们根据相关国际标准(ASNZS4360:
1999;
BS7799/ISO17799;
ISO/IEC13335等)建立xxxx网络安全风险关系模型。
主要以风险为中心形象的进行描述了xxxx网络络所面临的风险、弱点、威胁及其相应的资产价值、安全需求、安全控制、安全影响等动态循环的复杂关系。
v安全风险关系模型
安全风险关系模型动态的表现了xxxx网络所面临的安全风险与其它各个要素之间的内在关系。
从评估的角度来说,xxxx网络面临很多威胁(外部威胁、内部威胁),攻击者利用网络存在的弱点(物理环境、网络结构、网络服务、网管系统、主机系统、数据、应用系统、安全系统、安全相关人员、处理流程、安全管理制度、安全策略等等),攻击网络,增加了xxxx网络所面临的威胁,同时,攻击事件的成功导致资产的暴露(信息资产、物质资产、软件资产、服务、设备、人员等),造成安全风险;
同时资产的暴露(如xxxx高级管理人员由于不小心而导致重要机密信息的泄露),随着资产价值的大小而导致相应安全风险。
4.4.3安全风险计算模型
安全风险计算过程描述如下图:
计算模型要素及相互关系说明
l输入
u资产级别:
是指资产的相对级别,在进行资产评估时进行资产价值定义,一般从资产的机密性、完整性和可用性三个方面的安全需求去描述。
u脆弱性级别:
业务系统中的各种脆弱性级别,包括技术性和非技术性脆弱性。
u威胁级别:
根据威胁的可能性以及威胁的后果计算出的等级。
l方法简要描述
u定量分析方法:
用于建立风险级别矩阵,计算出风险等级。
u历史分析方法:
威胁的可能性通过该方法计算得出。
通过检测过去发生过的事件发生的频率来决定该事件再次发生的概率。
在xxxx网络风险评估中采用该方法主要通过统计分析CERT库来得出世界上各种典型攻击事件发生的概率。
l风险计算矩阵与输出
风险计算矩阵是按照相关国际标准(ASNZS4360:
ISO/IEC13335等),采用国际上典型的风险计算方法对xxxx网络所面临的风险级别矩阵进行计算得到xxxx所面临的各种安全风险,计算出xxxx网络的安全风险。
对于特定环境下资产的脆弱性,安全风险的相关因素包括威胁利用的可能性以及造成的影响。
u可能性
评价可能性需要考虑资产已有的安全控制措施、弱点的利用难易程度。
可能性属性非常难以度量,它依赖于具体的资产、弱点和影响。
该属性还和时间有关系。
所以,在威胁评估中,评估者的专家经验非常重要。
遵照AS/NZS4360:
1999标准,对风险可能性说明如下:
赋值
说明
几乎肯定,预计在大多数情况下发生,不可避免(>
99%)
很可能,在大多数情况下可能会发生(90%~99%)
可能,在某个时间可能会发生(50%~90%)
不太可能,在某个时间能够发生(50
升级会员 