中海信托信息安全风险评估与整改项目技术方案

《中海信托信息安全风险评估与整改项目技术方案》由会员分享，可在线阅读，更多相关《中海信托信息安全风险评估与整改项目技术方案（118页珍藏版）》请在装配图网上搜索。

1、 . 目 录1概述351.1项目背景351.2项目目标351.3项目容361.4项目设计原则371.5项目围381.6文件和法律法规382天融信对本项目的理解392.1对项目目标的理解392.2对项目特点的理解393项目总体方法与流程413.1概述413.2天融信风险评估方法443.3本项目采用的安全风险评估方法453.4技术难点和关键突破484信息资产调查和赋值504.1信息资产概述504.2信息资产分类504.3保护对象框架564.4资产识别过程584.5信息资产赋值594.6赋值工作操作方法指南645IT设备评估665.1评估的过程665.2评估的方法685.3评估的容705.4评估的风

2、险和应对726网络设备安全风险评估736.1评估过程描述746.2评估的方法776.3评估的容786.4评估的风险和应对817应用系统和管理安全风险评估817.1评估过程描述847.2评估方法467.3评估容477.4风险及应对措施608安全增强与加固618.1安全加固容628.2安全加固流程649应急响应服务659.1服务目标：659.2服务特点：669.3一般实施流程：669.4流程说明：6610安全解决方案6810.1解决方案设计概述6810.2安全需求分析6810.3安全解决方案设计6911项目组织结构7111.1现场实施阶段,项目组织结构7111.2项目角色和责任7112项目进度计划

3、7412.1项目主要过程时间安排7413项目启动和准备阶段7513.1概述7513.2参加人员7513.3过程描述7513.4需要中海信托配合的工作7513.5输出7614现场实施阶段7614.1资产调查7614.2安全评估包括漏洞扫描、人工检查等7714.3渗透测试7914.4安全加固8014.5应急响应服务8115数据分析及报告阶段8315.1概述8315.2过程描述8315.3需要中海信托配合的工作8415.4输出8416项目收尾阶段8416.1概述8416.2过程描述8516.3需要中海信托配合的工作8516.4输出8517售后服务8517.1安全服务技术支持服务8517.2安全服务跟

4、踪服务8517.3天融信安全服务业务关键能力8618项目管理及沟通办法8718.1天融信工程项目管理方法8718.2天融信项目管理遵循的标准8818.3项目沟通办法8819项目风险管理及控制9219.1项目风险分析及规避措施9219.2项目的控制9420天融信信息安全服务业务介绍9520.1安全服务组织结构图9520.2安全服务业务围9621项目实施质量保证9821.1项目执行人员的质量职责9821.2天融信安全服务质量保证体系严格贯彻以下过程9822项目验收方式10122.1验收方法确认10222.2验收程序10322.3版本控制10522.4交付件归档办法10623项目分项报价表1071

5、概述1.1 项目背景近年来,随着信息化技术越来越深入和广泛的应用,信息安全的风险日益加大,国家和各行业主管机构都对防信息安全风险非常重视。国家信息化领导小组颁发的信息安全等级化保障体系系列标准文件对我国信息安全保障工作做出原则性战略性的规定,要求坚持积极防御、综合防的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全,经过五年左右的努力,基本形成国家信息安全保障体系。20XX起,银监会发布了商业银行部控制指引,并进一步发出了关于信托投资公司加强部控制和风险控制的要求。20XX7月,国家财政部和证监会、银监会、保监会等联合发布了企业部控制基本规,对企业的部控制提出了较为具体的

6、要求。为进一步保障银联网络的边界安全,降低信息安全风险,中海信托投资拟于20XX在业界知名互联网安全服务公司的协助下,对中海信托信息系统实施安全风险管理服务 包括安全技术和管理评估、互联网应用渗透测试、安全体系建设咨询、安全加固服务、紧急安全事件响应等服务 ,为中海信托的核心业务系统稳定运行提供安全保障。1.2 项目目标通过实施整体信息安全风险评估服务包括安全技术和管理评估、互联网应用渗透测试、安全体系建设咨询、安全加固服务、紧急安全事件响应等服务提高中海信托信息系统的安全性和可靠性,并在紧急情况下对提供紧急安全事件响应支持,控制并降低来自于互联网的安全风险。通过本次对中海信托网络安全服务项目

7、,可以达到以下主要目标：n 通过安全风险评估,得到中海信托的整体安全现状；n 通过渗透测试和安全技术评估,分析中海信托信息系统存在的各类技术性安全缺陷,并进行整改；n 通过管理体系评估,发现中海信托在风险管理、安全策略和部控制等方面存在的问题并加以改进；n 通过安全加固和策略体系改进,全方位的提升中海信托的信息安全管理水平。1.3 项目容本次整体信息安全风险评估项目的容可以分为几个部分：1.3.1 信息安全风险评估1. 信息资产调查调查和统计中海信托信息系统所包含的信息资产包含物理环境、终端、网络设备、主机、应用软件、业务系统、数据、人员、标准流程等,明确其现有状况、配置情况和管理情况。如主机

8、系统,需要明确其平台、版本、补丁等基本情况外,还需明确开放端口、服务和进程等配置管理信息。并对所有信息资产按照一定标准进行资产赋值。现有安全系统调查工作包括明确现有安全设备的部署情况和使用情况；同时了解在建网络与信息安全建设项目,使之服从统一部署原则。2. 安全风险评估根据中海信托现有的安全标准规和业务对安全的要求,分析主机、网络及安全设备面临的威胁,评估现有系统的存在的弱点,明确所有信息系统面临的安全风险和隐患。1.3.2 应用系统渗透测试通过黑客或白客方式对指定的Internet业务系统进行渗透攻击,发现该系统存在的安全隐患,并提出解决措施。1.3.3 信息系统安全加固安全加固和优化服务是

9、实现客户信息系统安全的关键环节。通过使用该项服务,将在中海信托信息系统的网络层、主机层和应用层等层次建立符合中海信托安全需求的安全状态,并以此作为保证中海信托信息系统安全的起点。1.3.4 安全策略体系整改通过对现有安全体系策略制度的审阅、解读和差距性分析,对现有安全管理制度和控制度进行改善,使之能够完全符合当前国相关控制标准的要求,并向相关的国际化标准看齐。1.4 项目设计原则n 符合性原则：符合国家等级化保护体系指出的积极防御、综合防的方针和等级保护的原则。n 标准性原则：服务方案的设计与实施应依据国或国际的相关标准进行；n 规性原则：服务工作中的过程和文档,具有很好的规性,可以便于项目的

10、跟踪和控制；n 可控性原则：方法和过程在双方认可的围之,安全服务的进度要按照进度表进度的安排,保证甲方对于服务工作的可控性；n 整体性原则：安全服务的围和容整体全面,包括安全涉及的各个层面应用、系统、网络、管理制度、人员等,避免由于遗漏造成未来的安全隐患；n 最小影响原则：安全服务中的工作尽可能小的影响系统和网络的正常运行,不能对现网的运行和业务的正常提供产生显著影响；n 性原则：对过程数据和结果数据严格,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害甲方的行为,否则甲方有权追究乙方的责任。甲方有权要求乙方在服务结束之后销毁所有和本项目有关的数据和文档。1.5 项目围本项目选择中

11、海信托的核心业务系统作为服务对象。1.6 文件和法律法规国政策与标准：n 国家信息化领导小组关于加强信息安全保障工作的意见中办发200327号；n 关于开展信息安全风险评估工作的意见20XX1月国家网络与信息安全协调小组；n 关于印发信息安全风险评估指南的通知20XX2月国信办国信办综20069号；n 商业银行部控制指引 20XX12月 银监会n 企业部控制基本规 20XX7月 财政部、证监会、审计署、银监会、保监会国际政策与标准：n ISO/IEC 27001信息安全管理体系标准n COSO/COBIT 控和信息技术控制框架n ISO/IEC TR 13335 Series, Guideli

12、nes for the management of IT Security ,1996-2001n NIST SP800 Series, Computer Security Special Publications,1991-20052 天融信对本项目的理解2.1 对项目目标的理解安全风险评估工作是中海信托信息安全体系运作体系中风险管理的重要组成部分,通过周期性的安全风险评估工作发现公司的安全现状,为公司安全建设和安全加固提供数据基础。综上所述,本期项目的目标是：通过安全评估的技术手段,尽可能发现和定位中海信托各信息系统存在的安全风险,为安全加固、系统整改及应急响应提供依据和技术指导,降低中海

13、信托整体的安全风险。2.2 对项目特点的理解通过上面对本项目目标的分析,本期深度安全风险评估工作存在如下特点：n 要求高：l 由于中海信托业务的快速增长,对信息安全的要求越来越高,所以要比以前采用更加规的项目管理要求；l 本次评估的技术深度和广度,都要强于以前的项目及同行业的要求多个系统的应用分析；l 采用的技术标准,是当前最新、最及时的,相比历史评估工作和同行业类似工作的技术要求是最高的；n 技术与管理并重：l 由于面临的外部威胁的压力和影响力比以往要大很多,所以本次项目更加侧重于通过外部渗透测试的方法,发现从外部的威胁和影响尤其是从外部Internet进行渗透测试；l 本次项目渗透测试涉及

14、的系统围更广,而且更深地分析通过信任关系发生的渗透,从而发现木桶原理中的最短那块板；n 更加侧重于应用系统自身特点的安全评估：l 综合分析业务和管理层数据流,角色权限；应用层数据库,中间件；系统层主机操作系统；网络层网络架构,网络设备,提出的安全风险更加有针对性；l 中海信托各应用系统有不同的特点,在本次项目中要结合不同部门、不同系统特点进行相应的应用系统安全评估；n 更加考虑安全加固和应急响应体系建设的可行性：l 本次项目在实施过程中安排了时间,对发现的问题进行及时地讲解和答疑；l 对发现的问题提出的解决方案,和系统管理员及时沟通,并协助进行讲解和培训,对不能直接解决的,提出综合解决、降低风

15、险的方案。3 项目总体方法与流程3.1 概述风险管理Risk Management旨在对潜在机会和不利影响进行有效管理的文化、程序和结构。风险管理是良好管理的一个组成部分,它用一种将损失减小到最低程度而使商业机会达到最大限度的方式,对与机构的任何活动、功能和过程相关的风险进行环境建立、鉴定、分析、评价、处理、监控和信息交流。风险管理过程Risk Management Process是指系统地将管理方针、程序和结构应用于风险的环境建立、鉴定、分析、评价、处理、监控和信息交流等过程任务。在信息安全领域,同样适用于风险管理的理念和方法论。在当前信息技术得到普遍应用,并且很多成为关键业务系统的环境下,

16、企业或组织的信息安全风险很大,而且普遍缺乏有效的控制和管理,但过度的风险管理,无疑会导致大量的金钱和人力的花费、以及工作效率的严重降低。所以,如何适度和有效地进行信息安全的风险的管理和控制,成为了一项迫切和重要的任务。下面的描述即是阐明风险评估过程的理念和方法论,以作为天融信安全服务的标准方法论和理论基础,指导和规天融信的安全风险安全服务工作。3.1.1 安全模型参考在澳大利亚和新西兰国家标准风险管理Risk ManagementAS/NZS 4360:1999中描述了风险管理过程,如下图所示：在国际标准ISO13335中,安全模型如下图所示,特点是以风险为核心。在国际标准中,安全模型如下图所

17、示,其特点是强调了模型的对抗性和动态性。可以看出,安全模型中的核心要素都是资产、弱点、威胁、风险、安全措施等,各要素之间的关系也基本类似,只是描述和关注的角度不同。3.1.2 风险评估标准风险评估过程中主要选择的规和标准包括：中海信托技术规和标准：国政策与标准：n 国家信息化领导小组关于加强信息安全保障工作的意见中办发200327号；n 关于开展信息安全风险评估工作的意见20XX1月国家网络与信息安全协调小组；n 关于印发信息安全风险评估指南的通知20XX2月国信办国信办综20069号；国际政策与标准：n ISO/IEC 27001n ISO/IEC TR 13335 Series, Guid

18、elines for the management of IT Security ,1996-2001n NIST SP800 Series, Computer Security Special Publications,1991-2005n ISO/IEC 15408-1999信息技术 安全技术 信息技术安全性评估准则简称CC3.2 天融信风险评估方法3.2.1 风险评估模型在安全评估服务中,天融信参照上述两个安全模型,根据自己的工程实践,建立了自己的风险评估模型,描述如下：在天融信的风险评估模型中,主要包含信息资产,弱点/脆弱性、威胁和风险四个要素。每个要素有各自的属性,信息资产的属性是资

19、产价值,弱点的属性是弱点被威胁利用后对资产带来的影响的严重程度,威胁的属性是威胁发生的可能性,风险的属性是风险发生的路径。因此,天融信风险评估的过程是：a) 对信息资产进行识别,并对资产赋值；b) 识别信息资产的脆弱性弱点/漏洞,并对弱点的严重程度赋值；c) 对威胁进行分析,并对威胁发生的可能性赋值；d) 综合分析资产价值、资产的脆弱性和威胁发生的可能性,得到信息资产的风险发生的路径和级别,并对风险进行处置,选择合适的控制措施。3.2.2 总体工作流程图根据安全风险评估模型,天融信安全风险评估的总体工作流程如下图：在评估过程中首先要进行全网的资产调查,识别的容包括：信息设备、应用系统、网络环境

20、、组织结构及物理环境；然后进行应用系统安全目标的识别和分析；以及通过安全评估的业务系统评估、渗透测试、网络架构评估、IT设备弱点评估、应用安全评估、安全管理评估、物理安全评估各项容获取安全现状、安全弱点 。最后通过各系统、子系统的安全目标和其安全现状、安全弱点的对比分析,得到安全现状和解决方案。3.3 本项目采用的安全风险评估方法本次项目由于侧重点于技术问题的发现,并指导今后的安全加固和系统技术整改等技术工作；根据本次项目的特点,准备采用如下三种安全风险评估的方法,主要针对非重点系统、重点系统网络类、重点系统计算类；3.3.1 非重点系统的IT设备弱点评估如下图所示：本评估主要目标是为IT设备

21、的弱点提供安全加固的指导和依据,主要涉及主机系统弱点评估；网络设备弱点评估；安全设备弱点评估 。主机系统弱点评估采用人工现场检查和工具扫描两种方式；网络设备弱点评估和安全设备弱点评估,对能够导出配置信息、并配置信息可识别分析的,采用后台人工分析方式；对不能导出配置信息、或配置信息不可识别分析的,采用人工现场检查方式。评估的结果,是体现各单点资产的弱点状况,以及综合的统计分析报告,主要为指导单点设备的安全加固工作。3.3.2 网络类重点系统的安全评估如下图所示：网络类重点系统是公司主要承载各业务的基础平台,其评估的目标不仅是发现现存系统的问题,指导安全加固和系统整改的工作和依据；而且还要根据业务

22、发展需要,为网络建设提供安全保障的规划依据。本安全评估包含：IT设备弱点评估；网络架构安全评估和渗透测试 ,其中IT设备弱点评估和前面的一致。网络架构安全评估包括：网络现状安全合理性分析以及随业务发展需要的网络安全需求分析,主要采用的方法是：后台分析对网络拓扑、相关技术文档、访问控制等配置信息分析、现场设备检查对网络设备或网管系统的安全状况查看、系统管理员的顾问访谈网络现状存在的问题、网络安全事件、业务发展对网络的影响及假设、主管领导的顾问访谈业务发展对网络安全的要求；渗透测试,主要采用嗅探及入侵的手法,分析从外部越权进入本系统的路径和可能性,以及可越权访问接入本网络系统的系统围和影响。注：如

23、无特殊需要,不采用DOS等恶意攻击手段。本评估的结果,除体现单个资产的弱点状况,指导安全加固外；还可为系统整改,划分安全域以及未来网络规划提供参考；同时由于公司涉及网络类系统之间是有强的关联,最后要综合分析各网络类系统和应用系统的关联性,设计全网的网络安全解决方案建议。3.3.3 应用计算类重点系统的安全评估如下图所示：应用计算类重点系统是公司各独立的业务单元,包括完整的主机、网络、应用各项容；其评估的目标是从深度上业务管理层；应用层；到广度上系统层主机操作系统；网络层网络架构,网络设备,提出全面的安全风险分析报告。本安全评估包含：IT设备弱点评估；网络架构安全评估；应用系统安全评估和渗透测试

24、 ,其中IT设备弱点评估和前面一致。网络架构安全评估主要从网络结构上分析其应用系统安全域划分的合理性及访问控制策略的符合性,具体方法和前面一致。应用系统安全评估,主要包括：对业务逻辑和数据流的安全分析；对应用平台的安全分析。主要方法是：后台分析对业务系统设计、运行相关技术文档、现场设备检查对应用平台和数据库进行安全状况查看、源代码评估对部分关键流程的代码进行分析、系统管理员的顾问访谈现状存在的问题、安全事件、业务发展的影响及假设。渗透测试,主要采用入侵和角色提升的手法,分析从外部越权侵入本系统的路径和可能性；以及模拟不同用户角色提升权限,进行数据篡改或越权访问的可能性分析。本评估的结果,除体现

25、单个资产的弱点状况,指导安全加固外；重点为系统整改,安全域划分以及系统开发提供参考。3.4 技术难点和关键突破在对中海信托进行安全风险评估的过程中,由于其规模庞大,信息系统复杂,业务系统的特性和安全属性存在巨大差异,因此对于评估标准的选择,以及评估成果的适用性都提出了巨大的挑战。3.4.1 评估指标的定制面临困难：安全没有定制化的适用的安全指标,造成评估结果不可信一般在安全评估时,评估服务提供者因为在评估前并不熟悉和理解被评估方的业务特性和安全特性,所以不能定制非常适用的评估标准指标,也就是说没有非常适用,反映被评估对象特性的评估标准,一般都采用国际或国家标准。虽然国际或国家标准适用于所有信息

26、系统,但其适用广泛性原因,评估标准比较笼统,不反映行业特性和企业特性。这样,因为缺乏适用的评估标准,造成的评估结果可用性差,也缺乏针对性,不能反映业务特性和行业特性。尤其是如果服务提供者对客户首次评估,存在评估质量较低的风险,这是评估服务业务一个多年存在的难题,很难解决。通常情况下,评估质量取决于评估服务提供者和评估顾问的经验是否丰富,是否非常熟悉被评估者的业务特性和行业特性。解决方法：在评估前设计行业安全评估指标,并在评估开始阶段尽可能的定制能否准确定制行业安全评估指标,即行业评估标准是评估项目能否成功的关键环节之一,它对评估结果的适用性和真实性起着关键作用。在作评估前,我们根据多年对不同行

27、业的丰富评估经验和深刻理解,根据不同的行业业务特性和安全要求特性的理解,总结出反映行业特性的安全要求,设计出针对不同行业的安全对策指标体系,再细化成不同行业的安全评估指标。3.4.2 强调评估成果的适用性面临困难：评估成果和建议难以实施,技术和管理难以有效融合,缺乏抗打击能力和可控性信息安全问题包含管理方面问题、技术方面问题以及两者的交叉,它从来都不是静态的,随着组织的策略、组织架构、业务流程和操作流程的改变而改变。中海信托现有的安全防护措施大多属于静态的单点技术防护,单纯部署安全产品是一种静态的解决办法,单纯防黑客入侵和病毒感染更是是片面的。一旦单点防护措施被突破、绕过或失效,整个安全保障将

28、会失效,威胁将影响到整个信息系统。评估成果中解决方案在设计过程中需要系统化的全面考虑,避免单点考虑,形成系统化措施。解决方案：强调多重深度保障和抗打击能力,强调评估成果的可用性27号文件提出 坚持积极防御、综合防的方针,美国国家安全战略中指出,国家的关键基础设施的这些关键功能遭到的任何破坏或操纵必须控制在历时短、频率小、可控、地域上可隔离以及对利益损害最小这样一个规模上。两者都强调了抗打击能力和可控性,这就要求采用多层保护的深度防御策略,实现安全管理和安全技术的紧密结合,防止单点突破。天融信在输出评估结果时,会将管理手段和安全技术紧密结合,充分吸收业务特性,建立一个适用性强、可行性强并具有多重

29、深度保障手段的防护网络。4 信息资产调查和赋值4.1 信息资产概述资产是企业、机构直接赋予了价值因而需要保护的东西。它可能是以多种形式存在,有无形的、有有形的,有硬件、有软件,有文档、代码,也有服务、企业形象等。它们分别具有不同的价值属性和存在特点,存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同。为此,有必要对企业、机构中的信息资产进行科学识别,以便于进行后期的信息资产抽样、制定风险评估策略、分析安全功能需求等活动。虽然信息资产具有非常广泛的含义,但这里将信息资产定义如下：信息资产是指组织的信息系统、其提供的服务以及处理的数据。4.2 信息资产分类参照ISO 27001对信息资产的

30、描述和定义,结合安全评估的经验,将信息资产按照下面的方法进行分类：类别解释/示例网络设备一台或一组互备的网络设备,包括网络设备中的硬件,IOS,配置文件数据及其提供的网络服务。包括路由器、交换机、RAS等,防火墙、IDS等安全设备除外。服务器一台或一组服务器,包括服务器硬件、运行于其上的OS、通用应用、服务,数据库、磁盘阵列等。工作站客户端用机、个人用机等。安全设备作为安全用途的硬件和软件,如:防火墙、IDS、AV等。存储设备提供存储用途的硬件和软件,如：磁盘阵列等。业务系统指组织为其应用而开发或购买的各类应用软件及其提供的业务服务。应用平台软件主要是指提供通用服务的各种平台系统,包括：数据库

31、WWW、Mail、FTP、DNS、以及专有的中间件产品等；数据及文档主要指存在于电子媒介或纸制的各种数据和资料,包括数据库数据、存放于硬盘上的文件、代码；财务数据及书面报告等。组织和人员指和安全相关的组织和人员,包括各级安全组织,安全人员、各级管理人员,网管员,系统管理员,业务操作人员,第三方人员等物理环境指支持IT系统运行的基础物理设施,如：机房、空调、UPS、监控器等。4.2.1 网络设备网络设备是指构成信息系统网络传输环境的设备,软件和介质。包括路由器、交换机、通信终端和网关以及网络设备控制台等硬件设施和软件系统,为了更清晰地区别资产的安全属性,网络设备类资产不包括防火墙、VPN、网络入

32、侵检测等网络安全产品。4.2.2 服务器服务器是指信息系统中承载业务系统和软件的计算环境。包括大型机、小型机、Unix服务器、Windows服务器、移动计算设备、应用加密机和磁盘阵列等计算设备硬件及其操作系统、数据库。除此之外,行业特殊的设备,例如银行的ATM等,也属于主机系统。同一台主机系统,安装两种或以上操作系统主要针对工作站、移动计算设备,并均能接入到网络中的,应视为多项主机系统信息资产。4.2.3 工作站工作站是指信息系统中承载业务系统软件客户端软件的计算环境和OA系统中个人用机。同一台主机系统,安装两种或以上操作系统主要针对工作站、移动计算设备,并均能接入到网络中的,应视为多项主机系

33、统信息资产。4.2.4 安全设备安全设备主要指在信息系统中用作网络安全保护用途的硬件设施和软件系统,包括：防火墙、VPN、网络入侵检测、网闸、防病毒系统以及相关系统的控制台软硬件设施。4.2.5 存储设备存储设备主要指在信息系统中用作数据存储用途的硬件设施和软件系统,并均能接入到网络中的信息资产。包括：DAS、NAS、SAN等软硬件设施。4.2.6 业务系统业务系统主要指为业务生产、管理支撑及办公等业务需求提供服务的软件系统,此类资产在信息资产中占有非常重要的地位。本项目所指的业务系统是指独立应用、运作的系统,例如短消息业务系统、MISC系统、办公自动化系统、管理信息系统等,网管系统等。业务系

34、统属于需要重点评估、保护的对象。业务系统作为独立的资产存在的同时,对于其他资产又存在如下关系：n 作为网络设备、服务器、工作站、安全设备、存储设备资产的属性之一列出。在其资产赋值时,作为考虑的因素。4.2.7 应用平台软件主要是指提供通用服务的各种平台系统,包括：数据库WWW、Mail、FTP、DNS、以及专有的中间件产品等；通常将其所代表的安全属性落实到如下部分来体现：n 应用平台软件作为服务器、工作站、安全设备、存储设备资产的属性之一列出,在进行资产赋值和弱点的时候,作为考虑的因素。4.2.8 数据及文档数据及文档主要指存在于电子媒介或纸制的各种数据和资料,包括源代码、数据库数据、业务数据

35、、客户数据、各种数据资料、系统文档、运行管理规程、计划、报告、用户手册等。数据及文档资产在信息资产中占有非常重要的地位,通常作为企业知识产权、竞争优势、商业秘密的载体。属于需要重点评估、保护的对象。通常,数据及文档类资产需要保护的安全属性是性。例如,公司的财务信息和薪酬数据就是属于高度性的数据。但是,完整性的重要性会随着性的提高而提高。企业部对于数据类资产的分类方法通常根据数据的敏感性Sensitivity来进行,与性非常类似。例如,下表是常用的一种数据分类方法：简称解释/举例公开Public不需要任何机制和措施,可以公开使用例如产品发表新闻等。部Internal公司部员工或文档所属部门使用,

36、或文档涉及的公司使用例如合同等秘密Private由和项目相关公司和客户公司成员使用Confidential只有在文档中指定的人员可使用,文档的保管要在规定的时间受到控制绝密Secret非文档的拟订者或文档的所有者及管理者,其他指定人员在使用文档后迅速的按要求销毁但是,由于数据及文档数量巨大,且对其分类存在巨大的偏差和困难,通常将其所代表的安全属性落实到如下部分来体现：n 作为服务器、工作站、存储设备资产的属性之一列出。在进行资产赋值和弱点及威胁分析的时候,作为考虑的因素。n 作为组织和人员资产的属性之一列出。在进行弱点及威胁分析的时候,作为考虑的因素。4.2.9 组织和人员主要指企业与信息相关

37、的人员和组织,包括各级安全组织,安全人员、各级管理人员,网管员,系统管理员,业务操作人员,第三方人员等与被评估信息系统相关人员和组织。组织和人员作为独立的资产存在进行识别,但不对其进行资产赋值,对其安全性因素的考虑如下：n 作为业务系统、网络设备、服务器、工作站、安全设备、存储设备资产的属性之一列出。4.2.10 物理环境主要指支持信息系统运行的环境的非IT类的设备,主要包括机房、UPS、空调、保险柜、文件柜、门禁、消防设施等。此处一般属于物理安全的问题,主要的设备一般集中在机房,所以评估时应重点考虑机房提供的环境安全。物理环境与其他资产存在如下关系：n 物理位置作为业务系统、网络设备、服务器

38、、工作站、安全设备、存储设备资产的属性之一列出。在其弱点及威胁评估时,作为考虑的因素。4.2.11 信息资产分类整体图网络设备服务器工作站安全设备存储设备组织和人员业务系统4.2.12 信息资产调查表属性描述资产名称在一个业务系统中不能重名资产编号全局唯一资产类型资产的类别属性包括服务器、工作站、网络设备、安全设备等资产子类型子类型是对类型的进一步说明,例如网络设备中的路由器、交换机等操作系统类型设备所承载的系统的类型,例如包括windows2000,windows2003,hp-unix,aix,solaris等操作系统版本号各类操作系统的版本,例如solaris2.8,8.0等操作系统补丁

39、各类操作系统的安全补丁信息应用软件平台应用系统所需的应用软件,例如WEB、J2EE等应用平台软件版本应用软件所对应的相应版本。应用平台软件补丁应用软件厂商发布的安全补丁。设备型号网络、服务器、工作站等的硬件设备型号设备工作方式硬件、系统之间的工作方式,例如热备、冷备、负载均衡等用途信息资产的主要功能。资产所在地理位置信息资产所处的地域、机房和机柜等资产所在业务系统和部门信息资产所属的业务系统名称和业务系统所属的部门名称资产责任人信息资产在登记过程中的责任人。资产维护人维护信息资产的人员名称资产安全三性安全属性,性、完整性和可用性资产创建时间信息资产入网的时间资产最后修改时间信息资产功能修改、人

40、员变换等信息更换的最后时间资产最后修改人信息资产功能修改、人员变换等信息更换的修改人员名称4.3 保护对象框架一般来说,信息系统的资产数量十分庞大,为了更好的研究其计算机安全问题,还需要从庞大的信息资产中提炼出保护对象。保护对象框架是指以结构化的方法表达信息系统的框架模型。所谓结构化是指通过特定的结构将问题拆分成子问题的迭代方法。例如鱼刺图或问题树。结构化方法包括以下几条基本原则：l 充分覆盖所有子问题的总和必须覆盖原问题。如果不能充分覆盖,那么解决问题的方法就可能出现遗漏,严重影响本方法的可行性。l 互不重叠所有子问题都不允许出现重复,类似以下的情况不应出现在一个框架中：n 两个不同的子问题

41、其实是同一个子问题的两种表述；n 某一个子问题其实是另外两个问题或多个问题的合并；l 不可再细分所有子问题都必须细分到不能再被细分。当一个问题经过框架分析后,所有不可再细分的子问题构成了一个框架。保护对象的主要作用为：1. 有助于信息资产识别的全面性。在列举信息资产时,保护对象框架有助于识别者系统的进行思考；2. 从资产安全估价到区域的安全性赋值,有助于降低风险分析的难度,同时确保风险分析的有效性。4.3.1 保护对象框架容保护对象框架主要包括计算区域、网络及基础设施、边界、支撑性基础设施四部分；计算区域还可作为下一级保护对象,向下细分为下一级计算区域、网络及基础设施、边界、支撑性基础设施。1

42、计算区域 n 计算区域是指由相同功能集合在一起,安全价值相近,且面临相似的威胁来源的一组信息系统组成。n 同一计算区域的信息资产在安全性上具有较强的同质性。计算区域还可以按照安全性能进一步细分,直至到安全性完全同质。2网络及基础设施 n 网络及基础设施是指相同功能集合在一起,安全价值相近,且面临相似的威胁来源的一组网络系统组成。通常包括路由器,交换机和防火墙等提供网路服务的局域网和广域网。3边界 n 边界是指两个区域或两组区域之间的隔离功能集。边界是一组功能集合,包括访问控制,身份认证等。4支撑性基础设施 n 支撑性基础设施是指在区域提供安全保障功能的功能集。支撑性基础设施是一组功能集合,包括

43、入侵检测、审计及计算机病毒防护等。4.3.2 保护对象和信息资产保护对象框架就是信息系统的真实模型,计算区域、网络与基础设施作为保护对象框架的两类基本元素,分别对应了不同信息资产的集合。n 计算区域：对应信息资产,通常包括：工作站、存储设备,服务器,安全设备不具有访问控制及边界隔离功能；当计算区域作为一级保护对象框架时,应按照保护对象框架的思路向下继续分解。n 网络与基础设施：对应信息资产,通常包括：网络设备,安全设备具有访问控制及边界隔离功能。n 边界：对应信息资产,通常包括: 网络设备,安全设备具有访问控制及边界隔离功能。n 支撑性基础设施：对应信息资产,通常包括：安全设备不具有访问控制及

44、边界隔离功能如上信息资产和保护对象框架的关系,都为各类信息资产的一个或多个属性。对于业务系统资产来说,在确立保护对象框架时,可以将其作为一个独立的保护对象来看待。对于组织和人员资产,通过业务系统的属性和相应的保护对象框架相关联。4.4 资产识别过程4.4.1 绘制拓扑图资产识别的首要步骤是绘制拓扑图。在拓扑图中尽可能真实地描绘拓扑图。一般来说,拓扑图越详细,资产识别的精度也就越高。如果系统非常复杂,一拓扑图很难描述清楚,则应采用多拓扑图。在安全咨询项目中,顾问应要求用户首先提供用户事先拓扑图。并以此为基础改成标准化的拓扑图。4.4.2 确定业务系统绘制拓扑图以后,通过访谈等方式,确定业务系统,

45、且识别业务系统的功能类型。4.4.3 确定第一层保护对象框架根据业务系统的各服务功能,对划分出第一层保护对象框架,划分的原则：n 根据业务的类型：比如是生产业务,管理支撑业务,还是办公业务等。n 根据业务的重要性：比如核心区域,非核心区域等。n 划分出存在哪些外部区域4.4.4 确定第二层保护对象框架第二层保护对象框架在第一层的区域划分,划分原则：n 通常依据业务系统及其提供的功能特性4.4.5 顺序识别资产识别出系统级保护对象框架后,才真正开始进行资产识别。在这一阶段,根据信息资产的种类来进行识别。并将其归属入相应的保护对象框架,或在过程中创建下一级保护对象框架。4.5 信息资产赋值信息资产

46、识别完成后,形成了一个信息资产的清单,但对于大型组织来说,信息资产数目十分庞大,所以需要确认资产的价值和重要性,重点保护关键的、重要的资产,并便于进一步考察资产相关的弱点、威胁和风险属性,并进行量化,因此需要对资产进行估价。安全风险评估中所指的信息资产价值有别于资产的帐面价值和重置价值,而是指资产在安全方面的相对价值。本文中所指的信息资产价值全部都表示相对价值。在本文中,信息资产的安全价值主要是指其性、完整性和可用性。资产的安全价值具有很强的时间特性,所以应该根据时间变化的频度制定资产相关的评估和安全策略的频度。例如,某公司重要的市场活动策划方案数据资产,在活动开始之前,为达成市场目标,需要对

47、该数据资产进行性、完整性和可用性方面的保护。但是在该活动之后,策划已经基本上都传达给了大众,所以资产价值已经大部分消失,相关的安全属性也失去保护意义。4.5.1 信息资产估价方法信息资产估价的方法有定性、半定量、定量三种,鉴于定量估价的巨大工作量和技术难度,所以采用定性估价的方法。信息资产分别具有不同的安全属性,性、完整性和可用性分别反映了资产在三个不同方面的特性。安全属性的不同通常也意味着安全控制、保护功能需求的不同。通过考察三种不同安全属性,可以得出一个能够基本反映资产价值的定性的数值。在信息资产估价时,主要对资产的这三个安全属性分别赋予价值,以此反映出信息资产的价值。性、完整性和可用性的

48、定义如下：l 性：确保只有经过授权的人才能访问信息；l 完整性：保护信息和信息的处理方法准确而完整；l 可用性：确保经过授权的用户在需要时可以访问信息并使用相关信息资产。对安全属性赋值时主要考虑的是对整个评估体影响和损害,然后按照下面的赋值标准来衡量。这里整个评估体是指本次评估的主体,包含本次评估围的所有信息资产。下面描述信息资产赋值时采用的标准。要求顾问在评估工作中,严格依照赋值标准进行赋值,并且所有顾问对赋值标准的理解应该达成一致,以避免赋值的随意性和不一致性,从而避免降低评估工作的质量。4.5.2 半定量化的资产赋值在分析资产的安全性价值时,分析其真实数值非常困难,因此在本项目中我们采用

49、半定量化的方式,即资产价值等级划分。在本项目中,我们对于所有资产的性、完整性和可用性价值,均划分为5级。其中5代表资产安全性价值最高,1代表资产性价值最低。采用这种方法,使得资产赋值简便易行,同时也体现了不同资产之间安全价值的差距。其缺点是由于缺乏统一准则,对于每项资产,其性、完整性和可用性三者之间价值是不可比的。也就是说,如果一项资产的性和可用性赋值都是4,并不意味该资产的性和可用性价值相同。4.5.3 资产赋值方法采用5级标准,较好地反映了资产价值的差异,但对于用户和顾问来说,在为某一项资产的性、完整性或可用性价值赋值时,仍然很难在相邻的两个数值之间作出选择。为此,本项目中提出了一套方法,

50、通过将性、完整性和可用性的每个值分解为两个相乘的指标,而每个指标均分为三级。从而得出五级安全价值。V = Vc, Vi, Va资产的安全价值由性价值、完整性价值和可用性价值三者组成。Vc = Xc * YcVi = Xi * YiVa = Xa * Ya将三个安全性价值分别分解为两个相乘的指标。VX=3X=2X=1Y=3543Y=2432Y=1321分别为两个指标三级赋值,然后查上表得出价值五级。4.5.3.1 性赋值Vc资产的性价值是指该资产被暴露时对组织造成的损害,因此资产的性价值可分解为以下两个指标：Xc=资产被暴露时与所造成最严重后果之间的关系；Yc后果对组织的最严重损害程度；Vc =

51、 Xc * YcXc资产被暴露时与造成后果之间的关系可分为下述三级：l 直接产生后果：即当资产被暴露时,后果既已发生。例如,组织的商业秘密,要求密级的涉密信息,这些信息一旦被暴露,后果随之发生,无法挽回。l 容易产生后果：当资产被暴露时,后果非常容易发生。例如当操作系统的超级用户口令失密时,如果获知者无恶意,后果可能不会发生,但是如果获知者具有恶意,那么后果非常容易发生。l 可能产生后果：当资产被暴露时,后果有可能会发生,但离后果发生仍存在一定距离。例如某客户端软件被盗用,在没有得到服务器验证口令之前,后果仍未造成。Yc后果对组织的损害程度包括下述三种情况：严重损害：例如引起法律纠份、造成声誉

52、下降或带来严重的经济损失；中等损害：例如局部围的声誉下降或明显的经济损失；轻度损害：例如轻微的经济损失。4.5.3.2 完整性赋值Vi资产的完整性价值是指该资产不处于准确,完整或可依赖状态时对组织造成损害,因此资产的完整性价值可分解为以下两个指标：Xi=资产不处于准确,完整或可依赖状态时与所造成最严重后果之间的关系；Yi后果对组织的最严重损害程度；Vi = Xi * YiXi资产不处于准确,完整或可依赖状态时与造成后果之间的关系可分为下述三级：l 直接产生后果：即当资产不准确或被篡改时,后果既已发生。例如,数据库中的交易记录。l 容易产生后果：当资产不准确或被篡改时,后果非常容易发生。例如当应

53、用软件的流程被篡改。l 可能产生后果：当资产被暴露时,后果有可能会发生,例如操作系统被种入木马等。Yc后果对组织的损害程度包括下述三种情况：严重损害：例如引起法律纠份、造成声誉下降或带来严重的经济损失；中等损害：例如局部围的声誉下降或明显的经济损失；轻度损害：例如轻微的经济损失。4.5.3.3 可用性赋值Va资产的可用性价值是指当某一项资产完全不可用时对业务系统所造成的后果。它可被分解为以下两个指标：Xa资产不可用时对某个业务的影响Ya该业务系统的关键性程度Va = Xa * YaXa资产不可用时对某个业务的影响可分为下述三级：l 整体不可用：当资产不可用时,业务系统即不可用。例如,服务器当机

54、,主干网络瘫痪等。l 局部不可用：当资产不可用时,业务系统局部不可用。例如局部网络瘫痪,网络阻塞等。l 个体不可用：当资产不可用时,业务系统的某个或某几个客户不可用,例如终端故障,客户机当机等。Ya该业务系统的关键性程度包括下述三种情况：l 核心业务系统；l 关键业务系统；l 一般业务系统。采用5级标准,较好地反映了资产价值的差异,但对于用户和顾问来说,在为某一项资产的性、完整性或可用性价值赋值时,仍然很难在相邻的两个数值之间作出选择。为此,本项目中提出了一套方法,通过将性、完整性和可用性的每个值分解为两个相乘的指标,而每个指标均分为三级。从而得出五级安全价值。V = Vc, Vi, Va资产

55、的安全价值由性价值、完整性价值和可用性价值三者组成。Vc = Xc * YcVi = Xi * YiVa = Xa * Ya将三个安全性价值分别分解为两个相乘的指标。VX=3X=2X=1Y=3543Y=2432Y=1321分别为两个指标三级赋值,然后查上表得出价值五级。4.6 赋值工作操作方法指南4.6.1 首先对各资产赋值通过对各资产赋值,我们可以获得在同一个区域核心资产。4.6.2 对保护对象框架赋值在资产识别和赋值过程中,最大的障碍在于资产数量过多、过杂,得不到全局、宏观的分析。通过对保护对象框架进行赋值,可以同一层保护对象框架的核心保护对象框架。保护对象框架赋值除了要考虑其所属资产的价

56、值,还要综合考虑到其框架业务系统、数据及文档、组织和人员、物理环境等因素。业务系统的资产赋值与其映射的保护对象一致。4.6.3 赋值标准的理解资产赋值时,赋值的原则是这个资产或资产组在某个安全属性方面的价值或者在安全属性方面受到损失和破坏时对整个评估体的影响和损害,安全属性指性、完整性和可用性。理解赋值标准时,这个安全属性价值非常关键,对整个评估体具有致命性的潜在影响或无法接受、特别不愿接受的影响和损害,符合这样的描述时表明这个安全属性值为4,其余类推。这里整个评估体是指本次评估的主体,可能是评估围的所有信息资产组成的系统,如ERP信息系统；也可能是一个部门,如IT部门；也可能时整个企业或组织

57、。赋值时考虑的是对整个评估体的影响,注意不要扩大到整个企业或集团,也不要缩小到部门。顾问在工作中,开始一般不要直接问客户应该赋值为几,应该是问客户这个安全属性完全损害或破坏时,对企业的影响如何,对关键业务的影响如何,企业的接受程度如何,然后根据影响程度按照赋值标准自己来判断应该赋值为几。当然,随着赋值工作的进行,当客户完全理解赋值标准后可以由客户进行判断,顾问如有疑问进行详细询问和修正。独立资产按照赋值标准来理解,对资产组需要考虑组中所有资产的安全属性,然后综合起来作为一个整体的概念来赋值。4.6.4 选择访谈对象的原则赋值时,选择访谈对象的原则是找具有企业整体概念,又清楚各个具体资产的情况的

58、人。可以找一个知道所有情况的人,也可以找几个人。人员选择时一般选择中层干部,具有一定企业整体概念,又熟悉具体工作。如果选择多人,一般资产可以找安全主管或网管主管,业务系统的资产找业务部门主管或维护主管。对于一个资产的价值,可能不同的人理解会不一样,赋出来也不同,因为这个资产对不同的人具有不同的意义,但从效率来讲,一个资产的赋值最好找一个人来访谈,不推荐找一组不同性质和级别的人来访谈,再把结果综合,所以选择访谈对象要比较谨慎,尽可能按照上述的原则找到合适的人。赋值本来就是个定性分析,允许存在一个粒度的误差,但如果顾问觉得有明显疑问或较大误差,也可以找其他人来核实。在只找一个人来访谈时,为了避免太

59、大的误差和明显错误,影响整个项目的质量,一般最后赋值结束后,要把结果向对方的项目经理核实,需要对方确认。此步工作不能省略。赋值访谈时应向对方说明,考虑影响的出发点应是对整个评估体,使之站在对整个评估体的高度来。5 IT设备评估IT设备评估是所有系统都要进行的,也是非重点系统安全评估的主要容,业务系统的正常运行不仅仅需要高效的网络传输和交换,还需要主机、服务器的良好运转,也需要足够的安全保证。通过IT设备安全评估,发现系统的风险点和脆弱性,为设备安全加固提供指导和依据,从而提高系统安全状况,保障业务系统的高性能、高可靠性、高可用性、高效率运行。IT设备评估容包括：主机操作系统弱点评估、网络设备弱

60、点评估、安全设备弱点评估。5.1 评估的过程IT设备评估的评估过程,根据容和方法分为两种：现场操作的评估过程；后台分析的评估过程。5.1.1 现场操作的评估过程现场操作的评估过程,主要针对：主机操作系统人工评估、工具扫描、网络及安全设备需要的现场评估工作,下图是现场操作评估过程的流程图 ：安全顾问根据信息资产调查的结果,提前一周确定评估申请表,并提交给相关部门安全管理员和该系统管理员,评估申请表容包括：评估设备详细围、评估容、相关的管理人员,以及风险规避措施建议等。部门安全管理员和涉及系统的管理员最终确定具体的评估时间,并做好评估准备工作。评估时间通知项目负责人,如有必要正式发文。安全顾问进行

61、现场实施评估,如有必要,在现场之间和相关人员沟通评估发现的问题；现场全部评估工作完成后,确认该现场评估工作结束如有必要,系统管理员可及时检查系统的可用性是否存在问题。现场评估后,安全顾问进行后台数据分析,完成评估分析报告,提交给各部门安全管理员和该系统管理员,并进行沟通和讲解工作；最终,由该项目负责人确认评估报告,评估结束。5.1.2 后台分析的评估过程后台分析的评估过程,主要针对：网络及安全设备配置信息可以后台进行分析的评估工作,下图是后台分析评估过程的流程图 ：安全顾问根据信息资产调查的结果,提前一周确定评估申请表,并提交给相关部门安全管理员和该系统管理员,评估申请表容包括：评估设备详细围、评估容、相关的管理人员等。部门安全管理员和涉及系统的管理员在一周提交申请评估设备的配置信息给安全顾问。安全顾问进行后台配置分析,如有必要,和相关人员沟通评估发现的问题；如有必要,进行现场评估设备的检查。安全顾问完成评估分析报告,提交给各部门安全管理员和该系统管理员,并进行沟通和讲解工