GBT 20984-2007 信息安全技术 信息安全风险评估规范

ICS 35.040 1 80 督黔 中 华 人 民 共 和 国 国 家 标 准 GB/T20984一2007 信息安全技术 信息安全风险评估规范 Informationsecuritytcchnology一 RiskasscssmentsPecificationfOrinformationsecurity 2007一06一14发布 2007一11一01实施 中华人民共和国国家质量监督检验检疫总局 中 国 国 家 标 准 化 管 理 委 员 会 发 布 GB/T 20984一2007 目 次 别 舀 ·········，················，······················································································⋯ ⋯ 1 引言 ············，·····································，·······························································⋯⋯ n 1 范围 ·············································································································⋯⋯ 1 2 规范性引用文件 ···········································，··········.·.............⋯⋯，..............⋯ ⋯，1 3 术语和定义 ······················································，·············............·······............⋯ ⋯ 1 4 风险评估框架及流程 ············································..............⋯⋯ ，.............⋯ ⋯ ，⋯⋯ 3 4.1 风险要素关系 ·····························，··········，·，···············........................⋯⋯，.⋯⋯，⋯ 3 4.2 风险分析原理 ···························，···········，·····················..................................⋯⋯ 3 4.3 实施流程 ······4·····································································........······⋯⋯，，...⋯⋯ 4 5 风险评估实施 ··········································.............⋯⋯，..........⋯⋯ ，.⋯⋯，，，......⋯⋯ 5 51 风险评估准备 ····························，················，···········.......⋯⋯，.⋯，....................⋯⋯ 5 5.2 资产识别 ·································，················，··············‘··············⋯⋯，............⋯⋯ 6 5.3 威胁识别 ···········································，··············································⋯⋯，..··⋯⋯ 8 5.4 脆弱性识别··············································································.··.............⋯⋯，⋯ 10 5.5 已有安全措施确认······················.............⋯⋯，..............⋯⋯，，...⋯⋯，.⋯，..........⋯⋯ H 5.6 风险分析·······················，···········································································⋯⋯12 5.7 风险评估文档记录······················，，············⋯⋯，，......................⋯⋯，..............⋯ ⋯ 13 6 信息系统生命周期各阶段的风险评估······························，，···⋯⋯，..................··......⋯⋯ 14 6.1信息系统生命周期概述·····························································⋯⋯从··············⋯⋯14 6.2 规划阶段的风险评估············································，··········································⋯⋯ 14 6.3 设计阶段的风险评估··················，························.·······，·············.............⋯⋯，，⋯⋯ 15 6.4 实施阶段的风险评估··················，·······，······⋯⋯，...........⋯⋯，，........................⋯⋯ 15 6.5 运行维护阶段的风险评估········，······································································⋯⋯ 16 6.6废弃阶段的风险评估··········································⋯⋯，.............⋯⋯，，.................⋯⋯ 16 7 风险评估的工作形式···················，··············⋯⋯，............⋯⋯，...........................⋯⋯ 17 7.1 概 述·······················································.·..············⋯⋯，.....···········...⋯⋯，...⋯⋯ 17 7.2 自评估·····································································································⋯⋯ 17 7.3 检查评估······························································⋯⋯，，......·····.··................⋯⋯ 17 附录A (资料性附录) 风险的计算方法 ·················..····.··········..···················....⋯，.⋯⋯ 18 A.1使用矩阵法计算风险 ····················································································二18 A.2 使用相乘法计算风险 ················································································⋯⋯21 附录B (资料性附录) 风险评估的工具 ····，···························································⋯⋯ 24 B.1 风险评估与管理工具 ····································.···············⋯⋯ ，，......................⋯⋯ 24 B.2 系统基础平台风险评估工具 ······，············..·.·.··············....................................⋯⋯ 25 B.3 风险评估辅助工具 ································.·.·.................................⋯⋯，..........⋯⋯ 25 参考文献 ··········································································································⋯⋯ 26 ??? www.zhunbiao.com ???? GB/T 20984一2007 月明 舌 本标准的附录A和附录B是资料性附录。 本标准由国务院信息化工作办公室提出。 本标准由全国信息安全标准化技术委员会归口。 本标准主要起草单位:国家信息中心、公安部第三研究所、国家保密技术研究所、中国信息安全产品 测评认证中心、中国科学院信息安全国家重点实验室、解放军信息技术安全研究中心、中国航天二院七 0六所、北京信息安全测评中心、上海市信息安全测评认证中心。 本标准主要起草人:范红、吴亚非、李京春、马朝斌、李篙、应力、王宁、江常青、张鉴、赵敬宇。 GB/T20984一2007 引 言 随着政府部门、企事业单位以及各行各业对信息系统依赖程度的日益增强，信息安全问题受到普遍 关注。运用风险评估去识别安全风险，解决信息安全问题得到了广泛的认识和应用。 信息安全风险评估就是从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的威 胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对 策和整改措施，为防范和化解信息安全风险，将风险控制在可接受的水平，最大限度地保障信息安全提 供科学依据。 信息安全风险评估作为信息安全保障工作的基础性工作和重要环节，要贯穿于信息系统的规划、设 计、实施、运行维护以及废弃各个阶段，是信息安全等级保护制度建设的重要科学方法之一。 本标准条款中所指的“风险评估”，其含义均为“信息安全风险评估”。 ??? www.zhunbiao.com ???? GB/T 20984一2007 信息安全技术 信息安全风险评估规范 范围 本标准提出了风险评估的基本概念、要素关系、分析原理、实施流程和评估方法，以及风险评估在信 息系统生命周期不同阶段的实施要点和工作形式。 本标准适用于规范组织开展的风险评估工作 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有 的修改单(不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励根据本部分达成协议的各方研究 是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 GB/T9361 计算站场地安全要求 GB17859一1999 计算机信息系统安全保护等级划分准则 GB/T18336一2001 信息技术 安全技术 信息技术安全性评估准则(记t1SO/IEC154os:1999) GB/T19716一2005 信息技术 信息安全管理实用规则(150/IEC17799:2000，MOD) 3 术语和定义 下列术语和定义适用于本标准。 3.1 资产 asse t 对组织具有价值的信息或资源，是安全策略保护的对象 3.2 资产价值 assetvalue 资产的重要程度或敏感程度的表征。资产价值是资产的属性，也是进行资产识别的主要内容 3.3 可用性 availab川ty 数据或资源的特性，被授权实体按要求能访问和使用数据或资源。 3.4 业务战略 businessstrategy 组织为实现其发展目标而制定的一组规则或要求。 3.5 保密性 confidentiality 数据所具有的特性，即表示数据所达到的未提供或未泄露给非授权的个人、过程或其他实体的 程度 3.6 信息安全风险 informationsecurityrisk 人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造 成的影响。 l GB/T 20984一2007 (信息安全)风险评估 (informationsecurity)riskassessment 依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性 和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的 可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。 3.8 信息系统 informationsystem 由计算机及其相关的和配套的设备、设施(含网络)构成的，按照一定的应用目标和规则对信息进行 采集、加工、存储、传输、检索等处理的人机系统。 典型的信息系统由三部分组成:硬件系统(计算机硬件系统和网络硬件系统);系统软件(计算机系 统软件和网络系统软件);应用软件(包括由其处理、存储的信息)。 3.9 检查评估 inspectionassessment 由被评估组织的上级主管机关或业务主管机关发起的，依据国家有关法规与标准，对信息系统及其 管理进行的具有强制性的检查活动。 3.10 完整性 integrity 保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。 3 11 组织 。嗯anization 由作用不同的个体为实施共同的业务目标而建立的结构。一个单位是一个组织，某个业务部门也 可 以是一个组织 。 3.12 残余风 险 residualrisk 采取了安全措施后，信息系统仍然可能存在的风险 3.13 自评估 self-assessment 由组织自身发起，依据国家有关法规与标准，对信息系统及其管理进行的风险评估活动 3.14 安全事件 securityincident 系统、服务或网络的一种可识别状态的发生，它可能是对信息安全策略的违反或防护措施的失效， 或未预 知的不 安全状况 3.15 安全措施 securitymeasure 保护资产、抵御威胁、减少脆弱性、降低安全事件的影响，以及打击信息犯罪而实施的各种实践、规 程和机制 。 3.16 安全需求 securityrequirement 为保证组织业务战略的正常运作而在安全措施方面提出的要求。 3.17 威 胁 threat 可能导致对系统或组织危害 的不希望事 故潜在起因 。 ??? www.zhunbiao.com ???? GB/T 20984一2007 3‘18 脆弱性 vulnerability 可能被威胁所利用的资产或若干资产的薄弱环节。 4 风 险评估框 架及流 程 风险要素关系 风险评估中各要素的关系如图1所示: 妙 依赖 演变 抵御 降低 被满足 办 可份 图1 风险评估要素关系图 图1中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性。风险 评估围绕着资产、威胁、脆弱性和安全措施这些基本要素展开，在对基本要素的评估过程中，需要充分考 虑业务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各类属性。 图1中的风险要素及属性之间存在着以下关系: a) 业务战略的实现对资产具有依赖性，依赖程度越高，要求其风险越小; 1)) 资产是有价值的，组织的业务战略对资产的依赖程度越高，资产价值就越大; 。) 风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成为安全事件; d) 资产的脆弱性可能暴露资产的价值，资产具有的脆弱性越多则风险越大; e) 脆弱性是未被满足的安全需求，威胁利用脆弱性危害资产; 幻 风险的存在及对风险的认识导出安全需求; 9) 安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本; 11) 安全措施可抵御威胁，降低风险; 1) 残余风险有些是安全措施不当或无效，需要加强才可控制的风险;而有些则是在综合考虑了安 全成本与效益后不去控制的风险; 」) 残余风险应受到密切监视，它可能会在将来诱发新的安全事件 4‘2 风险分析原理 风险分析原理如图2所示: 风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性，资产的属性是资产 价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度 GB/T 20984一2007 风险分析的主要内容为: a) 对资产进行识别，并对资产的价值进行赋值; b) 对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值; c) 对脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值; d) 根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性; e) 根据脆弱性的严重程度及安全事件所作用的资产的价值计算安全事件造成的损失; f) 根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影 响，即风险值。 图 2 风险分析原理 图 4.3 实施流程 风险评估的实施流程如图3所示: 图 3 风险评估 实施流程图 ??? www.zhunbiao.com ???? GB/T 20984一2007 风险评估实施流程的详细 说明 关于失联党员情况说明岗位说明总经理岗位说明书会计岗位说明书行政主管岗位说明书 见第5章。 5 风 险评估实施 5.1 风险评估准备 5.1.1 概 述 风险评估准备是整个风险评估过程有效性的保证。组织实施风险评估是一种战略性的考虑，其结 果将受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响。因此，在风险评估实施 前 ，应 : a) 确定风险评估的目标; b) 确定风险评估的范围; c) 组建适当的评估管理与实施团队; d) 进行系统调研; e) 确定评估依据和方法; f) 制定风险评估 方案 气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载 ; 9) 获得最高管理者对风险评估工作的支持。 5.1.2 确定目标 根据满足组织业务持续发展在安全方面的需要、法律法规的规定等内容，识别现有信息系统及管理 上的不足，以及可能造成的风险大小。 5.飞.3 确定范围 风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构，也可能是某个独立 的信息系统、关键业务流程、与客户知识产权相关的系统或部门等 5.1.4 组建 团队 风险评估实施团队，由管理层、相关业务骨干、信息技术等人员组成风险评估小组。必要时，可组建 由评估方、被评估方领导和相关部门负责人参加的风险评估领导小组，聘请相关专业的技术专家和技术 骨干组成专家小组。 评估实施团队应做好评估前的表格、文档、检测工具等各项准备工作，进行风险评估技术培训和保 密教育，制定风险评估过程管理相关规定。可根据被评估方要求，双方签署保密 合同 劳动合同范本免费下载装修合同范本免费下载租赁合同免费下载房屋买卖合同下载劳务合同范本下载 ，必要时签署个人 保 密协议。 5.1.5 系统调研 系统调研是确定被评估对象的过程，风险评估小组应进行充分的系统调研，为风险评估依据和方法 的选择、评估内容的实施奠定基础。调研内容至少应包括: a) 业务战略及 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 ; b) 主要的业务功能和要求; c) 网络结构与网络环境，包括内部连接和外部连接; d) 系统边界; e) 主要的硬件、软件; f) 数据和信息; 9) 系统和数据的敏感性; h) 支持和使用系统的人员; 1) 其他 系统调研可 以采取 问卷 调查、现场面谈相结合 的方式进行 。调查问卷 是提供一 套关 于管理或操 作 GB/T20984一2007 控制的问题表格，供系统技术或管理人员填写;现场面谈则是由评估人员到现场观察并收集系统在物 理、环境和操作方面的信息。 5.1.6 确定依据 根据系统调研结果，确定评估依据和评估方法。评估依据包括(但不仅限于): a) 现行国际标准、国家标准、行业标准; b) 行业主管机关的业务系统的要求和制度; c) 系统安全保护等级要求; d) 系统互联单位的安全要求; e) 系统本身的实时性或性能要求等 根据评估依据，应考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的风险计算方法， 并依据业务实施对系统安全运行的需求，确定相关的判断依据，使之能够与组织环境和安全要求相 适 应。 51.7 制定方案 风险评估方案的目的是为后面的风险评估实施活动提供一个总体计划，用于指导实施方开展后续 工作。风险评估方案的内容一般包括(但不仅限于): a) 团队组织:包括评估团队成员、组织结构、角色、责任等内容; b) 工作计划 幼儿园家访工作计划关于小学学校工作计划班级工作计划中职财务部门工作计划下载关于学校后勤工作计划 :风险评估各阶段的工作计划，包括工作内容、工作形式、工作成果等内容; c) 时间进度安排:项目实施的时间进度安排。 5.1.8 获得支持 上述所有内容确定后，应形成较为完整的风险评估实施方案，得到组织最高管理者的支持、批准;对 管理层和技术人员进行传达，在组织范围内就风险评估相关内容进行培训，以明确有关人员在风险评估 中的任务 。 5.2 资产识别 5.2.1 资产分类 保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济 价值来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度 来决定的。安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、以 及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此，应对组织中的资产进行识别。 在一个组织中，资产有多种表现形式;同样的两个资产也因属于不同的信息系统而重要性不同，而 且对于提供多种业务的组织，其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及 相关的资产进行恰当的分类，以此为基础进行下一步的风险评估。在实际工作中，具体的资产分类方法 可以根据具体的评估对象和要求，由评估者灵活把握。根据资产的表现形式，可将资产分为数据、软件、 硬件、服务、人员等类型 表1列出了一种资产分类方法。 表 1 一种基于表现形式的资产分类 方法 分类 示 例 数据 保存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用 户手册、各类纸质的文档等 软件 系统软件:操作系统、数据库管理系统、语句包、开发系统等 应用软件:办公软件、数据库软件、各类工具软件等 源程序:各种共享源代码、自行或合作开发的各种代码等 ??? www.zhunbiao.com ???? GB/T 20984一2007 表 1(续 ) 分类 示 例 硬件 网络设备:路由器、网关、交换机等 计算机设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等 存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等 传输线路:光纤、双纹线等 保障设备:UPS、变电设备、空调、保险柜、文件柜、门禁、消防设施等 安全设备 防火墙、人侵检测系统、身份鉴别等 其他:打印机、复印机、扫描仪、传真机等 服务 信息服务:对外依赖该系统开展的各类服务 网络服务:各种网络设备、设施提供的网络连接服务 办公服务:为提高效率而开发的管理信息系统，包括各种内部配置管理、文件流转管理等服务 人 员 掌握重要信息和核心业务的人员，如主机维护主管、网络维护主管及应用项目经理等 其他 企业形象、客户关系等 5.22 资产赋值 5.221 保密性赋值 根据资产在保密性上的不同要求，将其分为五个不同的等级，分别对应资产在保密性上应达成的不 同程度或者保密性缺失时对整个组织的影响。表2提供了一种保密性赋值的参考。 表 2 资产保密性赋值表 赋值 标识 定 义 口 很高 包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定性的影响，如果 泄露会造成灾难性的损害 4 高 包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害 3 中等 组织的一般性秘密，其泄露会使组织的安全和利益受到损害 2 低 仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成轻微 损 害 l 很低 可对社会公开的信息，公用的信息处理设备和系统资源等 5.2.22 完整性赋值 根据资产在完整性仁的不同要求，将其分为五个不同的等级，分别对应资产在完整性上缺失时对整 个组织的影响 表3提供了一种完整性赋值的参考。 表 3 资产完整性赋值表 赋值 标识 定 义 5 很高 完整性价值非常关键，未经授权的修改或破坏会对组织造成重大的或无法接受的影响，对业 务冲击重大 并可能造成严重的业务中断，难以弥补 4 高 完整性价值较高，未经授权的修改或破坏会对组织造成重大影响，对业务冲击严重，较难弥补 3 中等 完整性价值中等，未经授权的修改或破坏会对组织造成影响，对业务冲击明显，但可以弥补 2 低 完整性价值较低，未经授权的修改或破坏会对组织造成轻微影响，对业务冲击轻微，容易弥补 l 很低 完整性价值非常低 未经授权的修改或破坏对组织造成的影响可以忽略，对业务冲击可以 忽略 GB/T20984一2007 5.2.2.3 可用性赋值 根据资产在可用性上的不同要求，将其分为五个不同的等级，分别对应资产在可用性上应达成的不 同程度。表4提供了一种可用性赋值的参考。 表 4 资产可用性赋值 表 赋值 标识 定 义 5 很高 可用性价值非常高，合法使用者对信息及信息系统的可用度达到年度 99.9月以上，或系统不 允许中断 4 高 可用性价值较高，合法使用者对信息及信息系统的可用度达到每天 90%以上，或系统允许中 断时间小于 10min 3 中等 可用性价值中等，合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上，或 系统允许中断时间小于3omin 2 低 可用性价值较低，合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上，或 系统允许中断时间小于60 min l 很低 可用性价值可以忽略，合法使用者对信息及信息系统的可用度在正常工作时间低于25% 5.22.4 资产重要性等级 资产价值应依据资产在保密性、完整性和可用性上的赋值等级，经过综合评定得出。综合评定方法 可以根据自身的特点，选择对资产保密性、完整性和可用性最为重要的一个属性的赋值等级作为资产的 最终赋值结果;也可以根据资产保密性、完整性和可用性的不同等级对其赋值进行加权计算得到资产的 最终赋值结果。加权方法可根据组织的业务特点确定。 本标准中，为与上述安全属性的赋值相对应，根据最终赋值将资产划分为五级，级别越高表示资产 越重要，也可以根据组织的实际情况确定资产识别中的赋值依据和等级。表5中的资产等级划分表明 了不同等级的重要性的综合描述。评估者可根据资产赋值结果，确定重要资产的范围，并主要围绕重要 资产进行下一步的风险评估。 表 5 资产等级及 含义描 述 等级 标识 描 述 5 很高 非常重要，其安全属性破坏后可能对组织造成非常严重的损失 4 高 重要，其安全属性破坏后可能对组织造成比较严重的损失 3 中等 比较重要，其安全属性破坏后可能对组织造成中等程度的损失 2 低 不太重要，其安全属性破坏后可能对组织造成较低的损失 1 很低 不重要，其安全属性破坏后对组织造成很小的损失，甚至忽略不计 5.3 威胁识别 5.31 威胁分类 威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和 环境因素。根据威胁的动机，人为因素又可分为恶意和非恶意两种。环境因素包括自然界不可抗的因 素和其他物理因素。威胁作用形式可以是对信息系统直接或间接的攻击，在保密性、完整性和可用性等 方面造成损害;也可能是偶发的或蓄意的事件 在对威胁进 行分类 前 ，应考虑威 胁的来 源 。表 6提供 了一种 威胁来 源的分类方法 ??? www.zhunbiao.com ???? GB/T 20984一2007 表6 威胁来源列表 来 源 描 述 环境因素 断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外事故等环境危害 或自然灾害，以及软件、硬件、数据、通讯线路等方面的故障 人为因素 恶意人员 不满的或有预谋的内部人员对信息系统进行恶意破坏;采用自主或内外勾结的方式盗窃机 密信息或进行篡改，获取利益 外部人员利用信息系统的脆弱性，对网络或系统的保密性、完整性和可用性进行破坏，以获 取利益或炫耀能力 非恶意人员 内部人员由于缺乏责任心，或者由于不关心或不专注，或者没有遵循规章制度和操作流程 而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导 致信息系统故障或被攻击 对威胁进行分类的方式有多种，针对上表的威胁来源，可以根据其表现形式将威胁进行分类。表7 提供了一种基于表现形式的威胁分类方法。 表7 一种基子表现形式的威胁分类表 种类 描 述 威胁子类 软硬件故障 对业务实施或系统运行产生影响的设备硬件故 障、通讯链路中断、系统本身或软件缺陷等问题 设备硬件故障、传输设备故障、存储媒体 故障、系统软件故障、应用软件故障、数据 库软件故障、开发环竟故障等 物理环境影响 对信息系统正常运行造成影响的物理环境问题 和 自然灾害 断电、静电、灰尘、潮湿、温度、鼠蚁虫害、 电磁干扰、洪灾、火灾、地震等 无作为或操作失误 应该执行而没有执行相应的操作，或无意执行了 错误的操作 维护错误、操作失误等 管理不到位 安全管理无法落实或不到位，从而破坏信息系统 正常有序运行 管理制度和策略不完善、管理规程缺失、 职责不明确、监督控管机制不健全等 恶意代码 故意在计算机系统上执行恶意任务的程序代码 病毒、特洛伊木马、蠕虫、陷门、间谍软件、 窃听软件等 越权 或槛 用 通过采用一些措施，超越自己的权限访问了本来 无权访问的资源，或者滥用自已的权限，做出破 坏信息系统的行为 非授权访间网络资源、非授权访问系统资 源、滥用权限非正常修改系统配置或数 据、滥用权限泄露秘密信息等 网络攻击 利用工具和技术通过网络对信息系统进行攻击 和人侵 网络探测和信息采集、漏洞探测、嗅探(帐 号、口令、权限等)、用户身份伪造和欺骗、 用户或业务数据的窃取和破坏、系统运行 的控制和破坏等 物理攻 击 通过物理的接触造成对软件、硬件、数据的破坏 物理接触、物理破坏、盗窃等 泄 密 信息泄露给不应了解的他人 内部信息泄露、外部信息泄露等 篡 改 非法修改信息，破坏信息的完整性使系统的安全 性降低或信息不可用 篡改网络配置信息、篡改系统配置信息、 篡改安全配置信息、篡改用户身份信息或 业务数据信息等 抵赖 不承认收到的信息和所作的操作和交易 原发抵赖、接收抵赖、第三方抵赖等 5.3.2 威 胁赋值 判断威胁出现的频率是威胁赋值的重要内容，评估者应根据经验和(或)有关的统计数据来进行判 GB/T 20984一2007 断。在评估中，需要综合考虑以下三个方面，以形成在某种评估环境中各种威胁出现的频率: a) 以往安全事件报告中出现过的威胁及其频率的统计; b) 实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计; c) 近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计，以及发布的威胁 预警 。 可以对威胁出现的频率进行等级化处理，不同等级分别代表威胁出现的频率的高低。等级数值越 大，威胁出现的频率越高。 表8提供了威胁出现频率的一种赋值方法。在实际的评估中，威胁频率的判断依据应在评估准备 阶段根据历史统计或行业判断予以确定，并得到被评估方的认可。 表 8 威胁赋值表 等级 标识 定 义 5 很高 出现的频率很高(或)1次/周);或在大多数情况下几乎不可避免;或可以证实经常发生过 4 高 出现的频率较高(或)1次/月);或在大多数情况下很有可能会发生;或可以证实多次发 生过 3 中等 出现的频率中等(或>1次/半年);或在某种情况下可能会发生;或被证实曾经发生过 2 低 出现的频率较小;或一般不太可能发生;或没有被证实发生过 1 很低 威胁几乎不可能发生;仅可能在非常罕见和例外的情况下发生 5.4 脆弱性识别 5.4.1 脆弱性识别内容 脆弱性是资产本身存在的，如果没有被相应的威胁利用，单纯的脆弱性本身不会对资产造成损害。 而且如果系统足够强健，严重的威胁也不会导致安全事件发生，并造成损失。即，威胁总是要利用资产 的脆弱性才可能造成危害。 资产的脆弱性具有隐蔽性，有些脆弱性只有在一定条件和环境下才能显现，这是脆弱性识别中最为 困难的部分。不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个脆弱性 脆弱性识别是风险评估中最重要的一个环节。脆弱性识别可以以资产为核心，针对每一项需要保 护的资产，识别可能被威胁利用的弱点，并对脆弱性的严重程度进行评估;也可以从物理、网络、系统、应 用等层次进行识别，然后与资产、威胁对应起来。脆弱性识别的依据可以是国际或国家安全标准，也可 以是行业规范、应用流程的安全要求。对应用在不同环境中的相同的弱点，其脆弱性严重程度是不同 的，评估者应从组织安全策略的角度考虑、判断资产的脆弱性及其严重程度。信息系统所采用的协议、 应用流程的完备与否、与其他网络的互联等也应考虑在内。 脆弱性识别时的数据应来自于资产的所有者、使用者，以及相关业务领域和软硬件方面的专业人员 等。脆弱性识别所采用的方法主要有:问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。 脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理层、网络层、系统层、应用层等各 个层面的安全问题。管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面，前者与具体技术 活动相关，后者与管理环境相关。 对不同的识别对象，其脆弱性识别的具体要求应参照相应的技术或管理标准实施。例如，对物理环 境的脆弱性识别应按GB/T9361中的技术指标实施;对操作系统、数据库应按GB17859一1999中的技 术指标实施;对网络、系统、应用等信息技术安全性的脆弱性识别应按GB/T18336一2。。1中的技术指 标实施;对管理脆弱性识别方面应按GB/T19716一20o5的要求对安全管理制度及其执行情况进行检 查，发现管理脆弱性和不足。表9提供了一种脆弱性识别内容的参考。 ??? www.zhunbiao.com ???? GB/T 20984一2007 表9 脆弱性识别内容表 类 型 识别对象 识 别 内 容 技术脆弱性 物理环境 从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信 线路的保护、机房区域防护、机房设备管理等方面进行识别 网络结构 从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全 配置等方面进行识别 系统软件 从补丁安装、物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统 配置、注册表加固、网络安全、系统管理等方面进行识别 应用中间件 从协议安全、交易完整性、数据完整性等方面进行识别 应用系统 从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方 面进行识别 管理脆弱性 技术管理 从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方 面进行识别 组织管理 从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别 5.4.2 脆弱性赋值 可以根据脆弱性对资产的暴露程度、技术实现的难易程度、流行程度等，采用等级方式对已识别的 脆弱性的严重程度进行赋值。由于很多脆弱性反映的是同一方面的问题，或可能造成相似的后果，赋值 时应综合考虑这些脆弱性，以确定这一方面脆弱性的严重程度。 对某个资产，其技术脆弱性的严重程度还受到组织管理脆弱性的影响。因此，资产的脆弱性赋值还 应参考技术管理和组织管理脆弱性的严重程度。 脆弱性严重程度可以进行等级化处理，不同的等级分别代表资产脆弱性严重程度的高低。等级数 值越大，脆弱性严重程度越高。表10提供了脆弱性严重程度的一种赋值方法。 表 IQ 脆 弱性严重程度狱值表 等 级 标 识 定 义 5 很高 如果被威胁利用，将对资产造成完全损害 4 高 如果被威胁利用，将对资产造成重大损害 3 中等 如果被威胁利用，将对资产造成一般损害 2 低 如果被威胁利用，将对资产造成较小损害 1 很低 如果被威胁利用，将对资产造成的损害可以忽略 5.5 已有安全措施确认 在识别脆弱性的同时，评估人员应对已采取的安全措施的有效性进行确认 安全措施的确认应评 估其有效性，即是否真正地降低了系统的脆弱性，抵御了威胁。对有效的安全措施继续保持，以避免不 必要的工作和费用，防止安全措施的重复实施。对确认为不适当的安全措施应核实是否应被取消或对 其进行修正，或用更合适的安全措施替代。 安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆 弱性导致安全事件发生的可能性，如人侵检测系统;保护性安全措施可以减少因安全事件发生后对组织 或系统造成的影响。 已有安全措施确认与脆弱性识别存在一定的联系。一般来说，安全措施的使用将减少系统技术或 l1 GB/T 20984一 2007 管理上的脆弱性，但安全措施确认并不需要和脆弱性识别过程那样具体到每个资产、组件的脆弱性，而 是一类具体措施的集合，为风险处理计划的制定提供依据和参考。 5.6 风险分析 5.6.1 风险计算原理 在完成了资产识别、威胁识别、脆弱性识别，以及已有安全措施确认后，将采用适当的方法与工具确 定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程 度，判断安全事件造成的损失对组织的影响，即安全风险。本标准给出了风险计算原理，以下面的范式 形式化加以说明: 风险值=R(A，T，V)一R(L(T，V)，F(Ia，Va))。 其中，R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性;Ia表示安全事件所作用 的资产价值;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件的可能性;F表示安 全事件发生后造成的损失。有以下三个关键计算环节: a) 计算安全事件发生的可能性 根据威胁出现频率及脆弱性的状况，计算威胁利用脆弱性导致安全事件发生的可能性，即: 安全事件的可能性二L(威胁出现频率，脆弱性)=L(T，V)。 在具体评估中，应综合攻击者技术能力(专业技术程度、攻击设备等)、脆弱性被利用的难易程 度(可访问时间、设计和操作知识公开程度等)、资产吸引力等因素来判断安全事件发生的可 能性 。 b) 计算安全事件发生后造成的损失 根据资产价值及脆弱性严重程度，计算安全事件一旦发生后造成的损失，即: 安全事件造成的损失二F(资产价值，脆弱性严重程度)一F(Ia，va) 部分安全事件的发生造成的损失不仅仅是针对该资产本身，还可能影响业务的连续性;不同 安全事件的发生对组织的影响也是不一样的。在计算某个安全事件的损失时，应将对组织的 影响也考虑在内。 部分安全事件造成的损失的判断还应参照安全事件发生可能性的结果，对发生可能性极小的 安全事件(如处于非地震带的地震威胁、在采取完备供电措施状况下的电力故障威胁等)可以 不计算其损失。 c) 计算风险值 根据计算出的安全事件的可能性以及安全事件造成的损失，计算风险值，即: 风险值=R(安全事件的可能性，安全事件造成的损失)=R(1_(T，v)，F(la，va))。 评估者可根据自身情况选择相应的风险计算方法计算风险值，如矩阵法或相乘法。矩阵法通 过构造一个二维矩阵，形成安全事件的可能性与安全事件造成的损失之间的二维关系;相乘法 通过构造经验函数，将安全事件的可能性与安全事件造成的损失进行运算得到风险值 附录A中给出了矩阵法和相乘法的风险计算示例。 5.6.2 风 险结果判定 为实现对风险的控制与管理，可以对风险评估的结果进行等级化处理 可将风险划分为五级，等级 越高，风险越高。 评估者应根据所采用的风险计算方法，计算每种资产面临的风险值，根据风险值的分布状况，为每 个等级设定风险值范围，并对所有风险计算结果进行等级处理。每个等级代表了相应风险的严重程度 表11提供了一种风险等级划分方法。 ??? www.zhunbiao.com ???? GB/T 20984一2007 表 11 风险等级划分表 等 级 标 识 描 述 5 很 高 一旦发生将产生非常严重的经济或社会影响，如组织信誉严重破坏、严重影响组织 的正常经营，经济损失重大、社会影响恶劣 4 高 一旦发生将产生较大的经济或社会影响，在一定范围内给组织的经营和组织信誉造 成损害 3 中等 一旦发生会造成一定的经济、社会或生产经营影响，但影响面和影响程度不大 2 低 一旦发生造成的影响程度较低 一般仅限于组织内部，通过一定手段很快能解决 l 很低 一旦发生造成的影响几乎不存在，通过简单的措施就能弥补 风险等级处理的目的是为风险管理过程中对不同风险的直观比较，以确定组织安全策略。组织应 当综合考虑风险控制成本与风险造成的影响，提出一个可接受的风险范围。对某些资产的风险，如果风 险计算值在可接受的范围内，则该风险是可接受的，应保持已有的安全措施;如果风险评估值在可接受 的范围外，即风险计算值高于可接受范围的上限值，则该风险是不可接受的，需要采取安全措施以降低、 控制风险。另一种确定不可接受的风险的办法是根据等级化处理的结果，不设定可接受风险值的基准， 对达到相应等级的风险都进行处理。 5.6.3 风险处理计划 对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划。风险处理计划中应明确采取的 弥补脆弱性的安全措施、预期效果、实施条件、进度安排、责任部门等。安全措施的选择应从管理与技术 两个方面考虑。安全措施的选择与实施应参照信息安全的相关标准进行。 56.4 残余风险评估 在对于不可接受的风险选择适当安全措施后，为确保安全措施的有效性，可进行再评估，以判断实 施安全措施后的残余风险是否已经降低到可接受的水平。残余风险的评估可以依据本标准提出的风险 评估流程实施，也可做适当裁减。一般来说，安全措施的实施是以减少脆弱性或降低安全事件发生可能 性为目标的，因此，残余风险的评估可以从脆弱性评估开始，在对照安全措施实施前后的脆弱性状况后， 再次计算风险值的大小。 某些风险可能在选择了适当的安全措施后，残余风险的结果仍处于不可接受的风险范围内，应考虑 是否接受此风险或进一步增加相应的安全措施。 5.7 风险评估文档记录 5.7.1 风险评估文档记录的要求 记录风险评估过程的相关文档，应符合以下要求(但不仅限于此): a) 确保文档发布前是得到批准的; b) 确保文档的更改和现行修订状态是可识别的; c) 确保文档的分发得到适当的控制，并确保在使用时可获得有关版本的适用文档; d) 防止作废文档的非预期使用，若因任何目的需保留作废文档时，应对这些文档进行适当的 标识 。 对于风险评估过程中形成的相关文档，还应规定其标识、存储、保护、检索、保存期限以及处置所需 的控制 。 相关文档是否需要以及详略程度由组织的管理者来决定。 5.7.2 风险评估文档 风险评估文档是指在整个风险评估过程中产生的评估过程文档和评估结果文档，包括(但不仅限于 此): a) 风险评估方案:阐述风险评估的目标、范围、人员、评估方法、评估结果的形式和实施进度等;