2020信息系統(tǒng)安全等級(jí)測(cè)評(píng)量化評(píng)價(jià)方法_第1頁(yè)
2020信息系統(tǒng)安全等級(jí)測(cè)評(píng)量化評(píng)價(jià)方法_第2頁(yè)
2020信息系統(tǒng)安全等級(jí)測(cè)評(píng)量化評(píng)價(jià)方法_第3頁(yè)
2020信息系統(tǒng)安全等級(jí)測(cè)評(píng)量化評(píng)價(jià)方法_第4頁(yè)
2020信息系統(tǒng)安全等級(jí)測(cè)評(píng)量化評(píng)價(jià)方法_第5頁(yè)
已閱讀5頁(yè),還剩7頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

信息系統(tǒng)安全等級(jí)測(cè)評(píng)量化評(píng)價(jià)方法II目 次前言 II引言 III范圍 1規(guī)范性引用文件 1術(shù)語(yǔ)和定義 1安全等級(jí)測(cè)評(píng)判定流程 1安全等級(jí)測(cè)評(píng)結(jié)果判定 2風(fēng)險(xiǎn)分析 3量化評(píng)價(jià) 4附錄A(資料性附錄) 量化評(píng)價(jià)計(jì)算示例 6參考文獻(xiàn) 7PAGEPAGE10信息系統(tǒng)安全等級(jí)測(cè)評(píng)量化評(píng)價(jià)方法范圍本標(biāo)準(zhǔn)規(guī)定了安全等級(jí)測(cè)評(píng)判定流程、安全等級(jí)測(cè)評(píng)結(jié)果判定、風(fēng)險(xiǎn)分析、量化評(píng)價(jià)等內(nèi)容。本標(biāo)準(zhǔn)適用于根據(jù)GB/T22239-2008進(jìn)行信息系統(tǒng)安全等級(jí)測(cè)評(píng),對(duì)測(cè)評(píng)結(jié)果在風(fēng)險(xiǎn)分析的基礎(chǔ)上進(jìn)行量化評(píng)價(jià)。規(guī)范性引用文件GB/T22239-2008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范術(shù)語(yǔ)和定義GB/T22239和GB/T20984確立的以及下列術(shù)語(yǔ)和定義適用于本標(biāo)準(zhǔn)。等級(jí)測(cè)評(píng)確定信息系統(tǒng)安全保護(hù)能力是否達(dá)到相應(yīng)等級(jí)基本要求的過(guò)程。測(cè)評(píng)對(duì)象安全等級(jí)測(cè)評(píng)判定流程1圖1 安全等級(jí)測(cè)評(píng)結(jié)果判定流程單項(xiàng)測(cè)評(píng)結(jié)果判定主要是針對(duì)測(cè)評(píng)指標(biāo)中的單個(gè)測(cè)評(píng)項(xiàng),結(jié)合具體測(cè)評(píng)對(duì)象,客觀、準(zhǔn)確地分析測(cè)評(píng)證據(jù),形成初步單項(xiàng)測(cè)評(píng)結(jié)果,單項(xiàng)測(cè)評(píng)結(jié)果是形成等級(jí)測(cè)評(píng)結(jié)論的基礎(chǔ)。單元測(cè)評(píng)結(jié)果判定是將單項(xiàng)測(cè)評(píng)結(jié)果進(jìn)行匯總,分別統(tǒng)計(jì)不同測(cè)評(píng)對(duì)象的單項(xiàng)測(cè)評(píng)結(jié)果,從而判定單元測(cè)評(píng)結(jié)果。整體測(cè)評(píng)是針對(duì)單項(xiàng)測(cè)評(píng)結(jié)果的不符合項(xiàng),采取逐條判定的方法,從安全控制間、層面間和區(qū)域風(fēng)險(xiǎn)分析過(guò)程是采用風(fēng)險(xiǎn)分析的方法分析等級(jí)測(cè)評(píng)結(jié)果中存在的安全問(wèn)題可能對(duì)被測(cè)系統(tǒng)安全造成的影響。等級(jí)測(cè)評(píng)結(jié)論形成是在測(cè)評(píng)結(jié)果匯總的基礎(chǔ)上,找出系統(tǒng)保護(hù)現(xiàn)狀與等級(jí)保護(hù)基本要求之間的差距,并形成等級(jí)測(cè)評(píng)結(jié)論。安全等級(jí)測(cè)評(píng)結(jié)果判定單項(xiàng)測(cè)評(píng)結(jié)果判定如果測(cè)評(píng)證據(jù)表明所有要求內(nèi)容與預(yù)期測(cè)評(píng)結(jié)果不一致,判定該測(cè)評(píng)項(xiàng)的單項(xiàng)測(cè)評(píng)結(jié)果為不符合;上述兩種情況之外判定該測(cè)評(píng)項(xiàng)的單項(xiàng)測(cè)評(píng)結(jié)果為部分符合。單元測(cè)評(píng)結(jié)果判定測(cè)評(píng)指標(biāo)包含的所有適用測(cè)評(píng)項(xiàng)的單項(xiàng)測(cè)評(píng)結(jié)果均為符合,則該測(cè)評(píng)對(duì)象對(duì)應(yīng)該測(cè)評(píng)指標(biāo)的單元測(cè)評(píng)結(jié)果為符合;測(cè)評(píng)指標(biāo)包含的所有適用測(cè)評(píng)項(xiàng)的單項(xiàng)測(cè)評(píng)結(jié)果均為不符合,則該測(cè)評(píng)對(duì)象對(duì)應(yīng)該測(cè)評(píng)指標(biāo)的單元測(cè)評(píng)結(jié)果為不符合;測(cè)評(píng)指標(biāo)包含的所有測(cè)評(píng)項(xiàng)均為不適用項(xiàng),則該測(cè)評(píng)對(duì)象對(duì)應(yīng)該測(cè)評(píng)指標(biāo)的單元測(cè)評(píng)結(jié)果為不適用;測(cè)評(píng)指標(biāo)包含的所有適用測(cè)評(píng)項(xiàng)的單項(xiàng)測(cè)評(píng)結(jié)果不全為符合或不符合,則該測(cè)評(píng)對(duì)象對(duì)應(yīng)該測(cè)評(píng)指標(biāo)的單元測(cè)評(píng)結(jié)果為部分符合。等級(jí)測(cè)評(píng)結(jié)論判定等級(jí)測(cè)評(píng)結(jié)論判定基于單項(xiàng)測(cè)評(píng)結(jié)果判定、單元測(cè)評(píng)結(jié)果判定、整體測(cè)評(píng)、風(fēng)險(xiǎn)分析,是對(duì)信息系統(tǒng)基本安全保護(hù)狀態(tài)的綜合判斷;當(dāng)測(cè)評(píng)結(jié)果中不存在部分符合項(xiàng)或不符合項(xiàng)時(shí),系統(tǒng)測(cè)評(píng)結(jié)論為符合;當(dāng)測(cè)評(píng)結(jié)果中存在部分符合項(xiàng)或不符合項(xiàng),但不會(huì)導(dǎo)致信息系統(tǒng)面臨高等級(jí)安全風(fēng)險(xiǎn)時(shí),系統(tǒng)測(cè)評(píng)結(jié)論為基本符合;當(dāng)?shù)燃?jí)測(cè)評(píng)結(jié)果中存在部分符合項(xiàng)或不符合項(xiàng),導(dǎo)致信息系統(tǒng)面臨高等級(jí)安全風(fēng)險(xiǎn)時(shí),系統(tǒng)測(cè)評(píng)結(jié)論為不符合。風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析圍繞安全等級(jí)測(cè)評(píng)結(jié)果中部分符合項(xiàng)或不符合項(xiàng)所產(chǎn)生的安全問(wèn)題進(jìn)行。安全問(wèn)題對(duì)應(yīng)脆弱性,測(cè)評(píng)對(duì)象對(duì)應(yīng)資產(chǎn),威脅相同。GB/T20984-20074.2GB/T20984-20074.3風(fēng)險(xiǎn)分析的主要內(nèi)容1表1 安全問(wèn)題嚴(yán)重程度賦值表等級(jí)標(biāo)識(shí)定義5很高如果被威脅利用,將對(duì)資產(chǎn)造成完全損害4高如果被威脅利用,將對(duì)資產(chǎn)造成重大損害3中等如果被威脅利用,將對(duì)資產(chǎn)造成一般損害2低如果被威脅利用,將對(duì)資產(chǎn)造成較小損害1很低如果被威脅利用,將對(duì)資產(chǎn)造成的損害可以忽略2表2 測(cè)評(píng)對(duì)象等級(jí)及含義描述等級(jí)標(biāo)識(shí)定義5很高非常重要,其安全屬性破壞后可能對(duì)組織造成非常嚴(yán)重的損失4高重要,其安全屬性破壞后可能對(duì)組織造成比較嚴(yán)重的損失3中等比較重要,其安全屬性破壞后可能對(duì)組織造成中等程度的損失2低不太重要,其安全屬性破壞后可能對(duì)組織造成較低的損失1很低不重要,其安全屬性破壞后對(duì)組織造成很小的損失,甚至忽略不計(jì)3表3 威脅賦值表等級(jí)標(biāo)識(shí)定義5很高出現(xiàn)的頻率很高(或)1次/周);或在大多數(shù)情況下幾乎不可避免;或可以證實(shí)經(jīng)常發(fā)生過(guò)4高出現(xiàn)的頻率較高(或)1次/月);或在大多數(shù)情況下很有可能會(huì)發(fā)生;或可以證實(shí)多次發(fā)生過(guò)3中等出現(xiàn)的頻率中等(或>1次/半年);或在某種情況下可能會(huì)發(fā)生;或被證實(shí)曾經(jīng)發(fā)生過(guò)2低出現(xiàn)的頻率較小;或一般不太可能發(fā)生;或沒(méi)有被證實(shí)發(fā)生過(guò)1很低威脅幾乎不可能發(fā)生;僅可能在非常罕見(jiàn)和例外的情況下發(fā)生根據(jù)威脅及威脅利用安全問(wèn)題的難易程度判斷安全事件發(fā)生的可能性;根據(jù)安全問(wèn)題的嚴(yán)重程度及安全事件所作用的測(cè)評(píng)對(duì)象的價(jià)值計(jì)算安全事件造成的損失;GB/T20984-2007A.2量化評(píng)價(jià)FZMinZMaxZ100% (1)式中:–信息系統(tǒng)量化最大值,即信息系統(tǒng)安全要求對(duì)應(yīng)的量化值;–信息系統(tǒng)量化最小值,即信息系統(tǒng)安全現(xiàn)狀對(duì)應(yīng)的量化值。信息系統(tǒng)量化最大值

MaxZn(2)式中:n-信息系統(tǒng)的全部測(cè)評(píng)結(jié)果數(shù);α+β–安全測(cè)評(píng)結(jié)果量化基數(shù);i1iα-量化基數(shù)的固定系數(shù),取正整數(shù);β-量化基數(shù)的調(diào)節(jié)系數(shù),取正整數(shù)。i1i信息系統(tǒng)量化最小值式中:A–測(cè)評(píng)對(duì)象;B–基本要求

MinZ

xBMG (3)xi-由單一測(cè)評(píng)對(duì)象及對(duì)應(yīng)單一基本要求所確定的測(cè)評(píng)結(jié)果的量化值;G–量化安全因子,含義為安全問(wèn)題導(dǎo)致安全事件的風(fēng)險(xiǎn)高低情況,M存在的先決條件;M–M

, 測(cè)評(píng)結(jié)果為符合x(chóng)iG測(cè)評(píng)結(jié)果為部分符合

(4)式中:

G

,測(cè)評(píng)結(jié)果為不符合GG取正整數(shù)。量化安全因子計(jì)算原理GRA,V,TRLT,V,F(xiàn)IV,Ia (5)式中:R-安全風(fēng)險(xiǎn)計(jì)算函數(shù);A-測(cè)評(píng)對(duì)象;T-威脅;V-安全問(wèn)題;Ia-安全事件所作用的測(cè)評(píng)對(duì)象價(jià)值;Va-安全問(wèn)題嚴(yán)重程度;L-威脅利用測(cè)評(píng)對(duì)象的安全問(wèn)題導(dǎo)致安全事件的可能性;F-安全事件發(fā)生后造成的損失。附 錄 A(資料性附錄)67前提條件測(cè)評(píng)對(duì)象本例中測(cè)評(píng)對(duì)象為部分選取,確定的測(cè)評(píng)對(duì)象,如表A.1所示。表A.1 確定的測(cè)評(píng)對(duì)象序號(hào)設(shè)備名稱1核心交換機(jī)Cisco65092防火墻NetGuradFireWall4000UF3主機(jī)監(jiān)控系統(tǒng)4IPSPACKETEER測(cè)評(píng)指標(biāo)確定的測(cè)評(píng)指標(biāo),如表A.2所示。表A.2 確定的測(cè)評(píng)指標(biāo)安全分類安全子類測(cè)評(píng)項(xiàng)數(shù)網(wǎng)絡(luò)安全結(jié)構(gòu)安全7網(wǎng)絡(luò)安全訪問(wèn)控制8網(wǎng)絡(luò)安全安全審計(jì)4網(wǎng)絡(luò)安全邊界完整性檢查2網(wǎng)絡(luò)安全入侵防范2網(wǎng)絡(luò)安全惡意代碼防范2網(wǎng)絡(luò)安全網(wǎng)絡(luò)設(shè)備防護(hù)8測(cè)評(píng)結(jié)果表A.3 測(cè)評(píng)結(jié)果序號(hào)測(cè)評(píng)指標(biāo)關(guān)聯(lián)對(duì)象測(cè)評(píng)結(jié)果1應(yīng)保證主要網(wǎng)絡(luò)設(shè)備的業(yè)務(wù)處理能力具備冗余空間,滿足業(yè)務(wù)高峰期需要Cisco6509符合2應(yīng)在網(wǎng)絡(luò)邊界部署訪問(wèn)控制設(shè)備,啟用訪問(wèn)控制功能NetGuradFireWall4000UF符合3用戶行為等進(jìn)行日志記錄主機(jī)監(jiān)控系統(tǒng)符合4應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查,準(zhǔn)確定出位置,并對(duì)其進(jìn)行有效阻斷主機(jī)監(jiān)控系統(tǒng)5應(yīng)在網(wǎng)絡(luò)邊界處監(jiān)視以下攻擊行為:端口掃描、強(qiáng)力攻擊、木馬后門攻擊、拒絕服務(wù)攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡(luò)蠕蟲(chóng)攻擊等IPS不符合6應(yīng)在網(wǎng)絡(luò)邊界處對(duì)惡意代碼進(jìn)行檢測(cè)和清除防毒墻不符合7應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別Cisco6509符合8應(yīng)對(duì)登錄網(wǎng)絡(luò)設(shè)備的用戶進(jìn)行身份鑒別NetGuradFireWall4000UF符合9應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制Cisco6509不符合10應(yīng)對(duì)網(wǎng)絡(luò)設(shè)備的管理員登錄地址進(jìn)行限制NetGuradFireWall4000UF不符合安全問(wèn)題安全問(wèn)題,如表A.4所示。表A.4 安全問(wèn)題序號(hào)問(wèn)題描述1主機(jī)監(jiān)控系統(tǒng)對(duì)NAT轉(zhuǎn)換的用戶,存在監(jiān)控不到的問(wèn)題2網(wǎng)絡(luò)系統(tǒng)內(nèi)部旁路部署了IPS設(shè)備,但處于關(guān)機(jī)停用狀態(tài)。3未在網(wǎng)絡(luò)邊界處部署對(duì)惡意代碼進(jìn)行檢測(cè)和清除的措施或者設(shè)備4未對(duì)Cisco6509的管理員登錄地址進(jìn)行限制5未對(duì)NetGuradFireWall4000UF的管理員登錄地址進(jìn)行限制風(fēng)險(xiǎn)分析安全問(wèn)題嚴(yán)重程度賦值安全問(wèn)題賦值結(jié)果,如表A.5所示,賦值結(jié)果僅為示例計(jì)算過(guò)程所需。表A.5 安全問(wèn)題賦值結(jié)果編號(hào)問(wèn)題描述賦值結(jié)果V1主機(jī)監(jiān)控系統(tǒng)對(duì)NAT轉(zhuǎn)換的用戶,存在監(jiān)控不到的問(wèn)題3V2網(wǎng)絡(luò)系統(tǒng)內(nèi)部旁路部署了IPS設(shè)備,但處于關(guān)機(jī)停用狀態(tài)。4V3未在網(wǎng)絡(luò)邊界處部署對(duì)惡意代碼進(jìn)行檢測(cè)和清除的措施或者設(shè)備4V4未對(duì)Cisco6509的管理員登錄地址進(jìn)行限制3V5未對(duì)NetGuradFireWall4000UF的管理員登錄地址進(jìn)行限制3測(cè)評(píng)對(duì)象等級(jí)賦值測(cè)評(píng)對(duì)象等級(jí)賦值結(jié)果,如表A.6所示,賦值結(jié)果僅為示例計(jì)算過(guò)程所需。表A.6 測(cè)評(píng)對(duì)象等級(jí)賦值結(jié)果編號(hào)設(shè)備名稱賦值結(jié)果A1核心交換機(jī)Cisco65094A2防火墻NetGuradFireWall4000UF4A3XX主機(jī)監(jiān)控系統(tǒng)3A4IPSPACKETEER3威脅賦值威脅賦值結(jié)果,如表A.7所示,賦值結(jié)果僅為示例計(jì)算過(guò)程所需。表A.7 威脅賦值結(jié)果編號(hào)威脅類別賦值結(jié)果T1軟硬件故障3T2物理環(huán)境影響2T3無(wú)作為或操作失誤2T4網(wǎng)絡(luò)攻擊4T5物理攻擊1T6惡意代碼4T7越權(quán)和濫用4風(fēng)險(xiǎn)分析結(jié)果風(fēng)險(xiǎn)計(jì)算結(jié)果,如表A.8所示。表A.8 風(fēng)險(xiǎn)計(jì)算結(jié)果編號(hào)問(wèn)題描述V1A1-A4T733V2網(wǎng)絡(luò)系統(tǒng)內(nèi)部旁路部署了IPS設(shè)備,但處于關(guān)機(jī)停用狀態(tài)。A1-A4T444V3未在網(wǎng)絡(luò)邊界處部署對(duì)惡意代碼進(jìn)行檢測(cè)和清除的措施或者設(shè)備。A1-A4T644V4未對(duì)Cisco6509的管理員登錄地址進(jìn)行限制。A1T433V5未對(duì)NetGuradFireWall4000UF的管理員登錄地址進(jìn)行限制。A2T433至此,風(fēng)險(xiǎn)計(jì)算結(jié)果表明,安全問(wèn)題V2、V3對(duì)應(yīng)風(fēng)險(xiǎn)等級(jí)均為4,即高風(fēng)險(xiǎn)等級(jí),針對(duì)V2、V3應(yīng)采取相應(yīng)彌補(bǔ)措施,進(jìn)行消除或降低風(fēng)險(xiǎn)等級(jí)。量化評(píng)價(jià)量化安全因子計(jì)算本例中安全因子取值同風(fēng)險(xiǎn)

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論