DB32T3421-2018 基礎(chǔ)地理信息系統(tǒng)安全風(fēng)險評估規(guī)范

ICS07.040

A75

備案號：60257-2018DB32

江蘇省地方標(biāo)準(zhǔn)

DB32/T3421—2018

基礎(chǔ)地理信息系統(tǒng)安全風(fēng)險評估規(guī)范

Riskassessmentspecificationforfundamentalgeographicinformationsystems

2018-06-25發(fā)布2018-07-10實(shí)施

江蘇質(zhì)量技術(shù)監(jiān)督局發(fā)布

DB32/T3421—2018

基礎(chǔ)地理信息系統(tǒng)安全風(fēng)險評估規(guī)范

1范圍

本標(biāo)準(zhǔn)規(guī)定了基礎(chǔ)地理信息系統(tǒng)風(fēng)險評估的原則、流程與周期、風(fēng)險評估的形式與方法，以及風(fēng)險

評估準(zhǔn)備、執(zhí)行及風(fēng)險分析的內(nèi)容與要求。

本標(biāo)準(zhǔn)適用于江蘇省基礎(chǔ)地理信息主管部門或委托第三方安全檢測評估機(jī)構(gòu)針對已經(jīng)建成的基礎(chǔ)

地理信息系統(tǒng)組織開展的現(xiàn)場安全風(fēng)險評估工作，基礎(chǔ)地理信息系統(tǒng)業(yè)主單位的自評估也可參照使用。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。

凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T20984信息安全技術(shù)信息安全風(fēng)險評估規(guī)范

3術(shù)語、定義和縮略語

3.1術(shù)語和定義

GB/T20984界定的以及下列術(shù)語和定義適用于本文件。

3.1.1

基礎(chǔ)地理信息系統(tǒng)fundamentalgeographicinformationsystem

以基礎(chǔ)地理信息數(shù)據(jù)為管理對象，實(shí)現(xiàn)對基礎(chǔ)地理信息數(shù)據(jù)的采集、錄入、處理、存儲、查詢、分

析、顯示、輸出、更新、共享的信息系統(tǒng)，具有完整的基礎(chǔ)地理數(shù)據(jù)管理體系和數(shù)據(jù)服務(wù)體系。

3.1.2

風(fēng)險risk

認(rèn)為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對組織造

成的影響。

3.1.3

風(fēng)險評估riskassessment

依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對信息系統(tǒng)及其處理、傳輸和存儲的信息的保密性、完整性和

可用性等安全屬性進(jìn)行評價的過程。它要評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能

性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響。

3.1.4

評估要素assessmentfactor

風(fēng)險評估活動中必須要識別、分析的一系列基本因素。

3.1.5

1

DB32/T3421—2018

資產(chǎn)asset

對組織具有價值的信息或資源，是安全策略保護(hù)的對象。

3.1.6

威脅threat

可能導(dǎo)致對系統(tǒng)或組織威海的不希望事故潛在起因。

3.1.7

脆弱性vulnerability

可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)。

3.1.8

威脅調(diào)查threatinvestigation

識別組織和基礎(chǔ)地理信息系統(tǒng)中可能發(fā)生并造成影響的威脅，分析威脅發(fā)生的類型與影響。

3.1.9

風(fēng)險處置risktreatment

對風(fēng)險進(jìn)行處理的一系列活動，如接受風(fēng)險、規(guī)避風(fēng)險、轉(zhuǎn)移風(fēng)險、降低風(fēng)險等。

3.2縮略語

下列縮略語適用于本文件。

FGIS基礎(chǔ)地理信息系統(tǒng)（fundamentalgeographicinformationsystem）

4風(fēng)險評估的原則

基礎(chǔ)地理信息系統(tǒng)風(fēng)險評估的基本原則包括：

a）安全保障性原則。不應(yīng)因風(fēng)險評估造成基礎(chǔ)地理信息數(shù)據(jù)的泄露、篡改和刪除，保障數(shù)據(jù)的安

全性；

b）人員可控性原則。所有參與評估人員應(yīng)簽署保密協(xié)議，以保證項(xiàng)目信息的安全；

c）信息可控性原則。評估方應(yīng)對工作過程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴(yán)格管理，未經(jīng)授權(quán)不得泄露給任何單

位和個人；

d）過程可控性原則。按照項(xiàng)目管理要求，成立風(fēng)險評估項(xiàng)目實(shí)施團(tuán)隊(duì)，并實(shí)行項(xiàng)目組長負(fù)責(zé)制，

達(dá)到項(xiàng)目過程的可控；

e）工具可控性原則。評估人員所使用的評估工具應(yīng)事先告知用戶，并在評估實(shí)施前獲得被評估方

的許可。

5風(fēng)險評估形式與方法

5.1風(fēng)險評估形式

5.1.1自評估

自評估是指基礎(chǔ)地理信息系統(tǒng)擁有、運(yùn)營或使用單位發(fā)起的對本單位基礎(chǔ)地理信息系統(tǒng)進(jìn)行的風(fēng)險

評估。自評估應(yīng)根據(jù)本標(biāo)準(zhǔn)的相關(guān)要求，結(jié)合基礎(chǔ)地理信息特定的安全要求進(jìn)行實(shí)施。周期性進(jìn)行的自

2

DB32/T3421—2018

評估可在評估流程上適當(dāng)簡化，重點(diǎn)考察自上次評估后系統(tǒng)發(fā)生變化引入的新威脅，以及系統(tǒng)脆弱性的

完整識別，并進(jìn)行兩次評估結(jié)果的對比。當(dāng)系統(tǒng)發(fā)生重大變更時，可參照本標(biāo)準(zhǔn)進(jìn)行完整的評估。自評

估可由本單位實(shí)施或委托具有能力的風(fēng)險評估服務(wù)技術(shù)支持方實(shí)施。

5.1.2檢查評估

檢查評估是指基礎(chǔ)地理信息系統(tǒng)的上級管理部門、國家有關(guān)職能部門或由其委托的風(fēng)險評估機(jī)構(gòu)實(shí)

施的風(fēng)險評估。檢查評估可依據(jù)本標(biāo)準(zhǔn)的要求，實(shí)施完整的風(fēng)險評估過程，也可在自評估實(shí)施的基礎(chǔ)上，

對關(guān)鍵環(huán)節(jié)或重點(diǎn)內(nèi)容實(shí)施抽樣評估，主要包括以下內(nèi)容：

a)自評估隊(duì)伍及技術(shù)人員審查；

b)自評估方法的檢查；

c)自評估過程控制與文檔記錄檢查；

d)自評估資產(chǎn)列表審查；

e)自評估威脅列表審查；

f)自評估脆弱性列表審查；

g)現(xiàn)有安全措施有效性檢查；

h)自評估結(jié)果審查與采取相應(yīng)措施的跟蹤檢查；

i)自評估技術(shù)技能限制未完成項(xiàng)目的檢查評估；

j)上級關(guān)注或要求的關(guān)鍵環(huán)節(jié)和重點(diǎn)內(nèi)容的檢查評估；

k)軟硬件維護(hù)制度及實(shí)施管理的檢查；

l)突發(fā)事件應(yīng)對措施的檢查。

5.2風(fēng)險評估方法

5.2.1方法類別

基礎(chǔ)地理信息系統(tǒng)風(fēng)險評估的方法主要包括：文檔查閱、現(xiàn)場訪談和現(xiàn)場核查。全面評估基礎(chǔ)地理

信息系統(tǒng)的安全風(fēng)險時，應(yīng)將上述三種評估方法配合使用。在實(shí)際評估過程中由于評估環(huán)境的限制不能

全部采用時，評估方應(yīng)與被評估方相關(guān)部門、責(zé)任人協(xié)商后選取適當(dāng)?shù)姆椒ㄟM(jìn)行風(fēng)險評估。

5.2.2文檔查閱

5.2.2.1基本要求

文檔查閱用于確認(rèn)組織的政策及技術(shù)方面是否全面、最新；被評估方應(yīng)提供評估所需的文件，以確

保評估方對其進(jìn)行全面審查；評估方應(yīng)查閱基礎(chǔ)地理信息系統(tǒng)的規(guī)劃設(shè)計(jì)方案、網(wǎng)絡(luò)拓?fù)鋱D、安全防護(hù)

計(jì)劃、安全策略、業(yè)務(wù)應(yīng)用、事件響應(yīng)計(jì)劃等文檔，評估其準(zhǔn)確性和完整性，并驗(yàn)證組織的文檔是否符

合標(biāo)準(zhǔn)和法規(guī)，查找組織政策的缺陷、過時內(nèi)容或不合理。

5.2.2.2文檔查閱方法

文檔查閱的具體方法如下：

a)評估方文檔查閱人員在準(zhǔn)備階段應(yīng)編制一份通用的基礎(chǔ)地理信息系統(tǒng)風(fēng)險評估文檔查閱所需

文件目錄；

b)評估方到達(dá)現(xiàn)場后，與基礎(chǔ)地理信息系統(tǒng)相關(guān)文檔的管理人員以及編制人員就通用文件目錄中

的文件進(jìn)行討論；

c)評估方將被評估方所提供文件與編制的文件目錄進(jìn)行對應(yīng)；

d)當(dāng)被評估方所提供的文件涵蓋通用文件目錄中幾個文件時對其進(jìn)行標(biāo)注，反之亦然；

3

DB32/T3421—2018

e)評估方查閱被評估方提供的文件并查看其內(nèi)容是否完整合理。當(dāng)文件不可調(diào)閱時，將文件的存

放地點(diǎn)、管理人員姓名、電話、協(xié)調(diào)人姓名電話在文件目錄中進(jìn)行標(biāo)注；

f)文檔查閱時，評估方將未找的內(nèi)容向被評估方人員確認(rèn)；

g)評估人員按照評估用例進(jìn)行評估，記錄結(jié)果，并在一旁標(biāo)注該條款的具體位置。

5.2.3現(xiàn)場訪談

5.2.3.1基本要求

評估方應(yīng)在評估前設(shè)計(jì)調(diào)查問題，并在訪談中根據(jù)被訪者的反映，對調(diào)查問題作調(diào)整或展開，現(xiàn)場

訪談問題記錄表參見附錄A?，F(xiàn)場訪談應(yīng)結(jié)合其他評估方法進(jìn)行，以得到更加準(zhǔn)確的評估結(jié)果。

5.2.3.2現(xiàn)場訪談方法

現(xiàn)場訪談的具體方法如下：

a)評估方在評估準(zhǔn)備階段應(yīng)編制一份通用的基礎(chǔ)地理信息系統(tǒng)風(fēng)險評估訪談問題表；

b)評估方到達(dá)現(xiàn)場后，將訪談問題表內(nèi)容與被評估方的信息安全主管進(jìn)行交流，信息安全主管根

據(jù)具體問題分配不同的人員配合評估方訪談，分配的人員應(yīng)是最熟悉該評估對象的人員；

c)評估方應(yīng)與被評估方就其組織架構(gòu)進(jìn)行交流，了解組織與基礎(chǔ)地理信息系統(tǒng)相關(guān)的部門和職

位，并且了解不同部門對基礎(chǔ)地理信息系統(tǒng)管理操作權(quán)限；

d)評估方根據(jù)雙方交流結(jié)果，與被評估方協(xié)商制定訪談計(jì)劃，提高訪談效率；

e)評估方在訪談時，若訪談對象對該問題無法給出確定的答案，應(yīng)對該問題進(jìn)行標(biāo)注。對標(biāo)注問

題應(yīng)再次進(jìn)行確認(rèn)；

f)對訪談中需進(jìn)行技術(shù)驗(yàn)證或者現(xiàn)場核查的問題，應(yīng)進(jìn)行標(biāo)注，以備后期現(xiàn)場核查；

g)訪談結(jié)束后，訪談對象應(yīng)對訪談記錄進(jìn)行核查，記錄無誤后，訪談對象簽字確認(rèn)。若同一問題，

兩人回答不一致，應(yīng)分別簽字，并做標(biāo)注。

5.2.4現(xiàn)場核查

現(xiàn)場核查是對基礎(chǔ)地理信息系統(tǒng)進(jìn)行的現(xiàn)場核查工作，具體方法如下：

a)評估方將現(xiàn)場核查的測試項(xiàng)與基礎(chǔ)地理信息系統(tǒng)現(xiàn)場的工作人員進(jìn)行溝通，制定現(xiàn)場核查計(jì)劃

安排，并提前做好計(jì)劃安排，統(tǒng)籌時間和人員等；

b)評估方核查基礎(chǔ)地理信息系統(tǒng)的訪問控制、審計(jì)等功能時，現(xiàn)場工作人員和相應(yīng)的信息安全人

員應(yīng)在場，由工作人員對其進(jìn)行核查操作，評估人員查看并記錄結(jié)果；

c)現(xiàn)場核查測試時，評估方不應(yīng)改動基礎(chǔ)地理信息系統(tǒng)的任何配置；

d)現(xiàn)場核查時發(fā)現(xiàn)問題，應(yīng)驗(yàn)證其有效性。

6風(fēng)險評估的流程與評估周期

6.1風(fēng)險評估流程

基礎(chǔ)地理信息系統(tǒng)風(fēng)險評估的流程包括：風(fēng)險評估準(zhǔn)備、風(fēng)險評估執(zhí)行和風(fēng)險分析，具體內(nèi)容見圖

1。

4

DB32/T3421—2018

風(fēng)險評估準(zhǔn)備

風(fēng)險評估執(zhí)行

資產(chǎn)識別威脅識別脆弱性識別

已有安全措施確認(rèn)

風(fēng)險分析

評估過程文件

風(fēng)險計(jì)算

評估過程文件

保持已有的是

風(fēng)險是否接受

安全措施

否

制定并實(shí)施風(fēng)險處理

計(jì)劃并評估殘余風(fēng)險

風(fēng)險評估過程記錄

否

是否接受殘余風(fēng)險

評估過程文件

是

實(shí)施風(fēng)險管理

評估報告

圖1風(fēng)險評估流程圖

6.2風(fēng)險評估周期

基礎(chǔ)地理信息系統(tǒng)的風(fēng)險評估周期一般為每年評估一次，基礎(chǔ)地理信息系統(tǒng)更新后應(yīng)及時評估。

7風(fēng)險評估準(zhǔn)備

7.1基本要求

在風(fēng)險評估實(shí)施前，評估方應(yīng)到被評估方進(jìn)行溝通交流，做如下準(zhǔn)備工作：

a)確定評估目標(biāo)和范圍；

b)組建評估團(tuán)隊(duì)；

c)組織系統(tǒng)調(diào)研；

d)確定評估依據(jù)；

e)制定評估方案；

f)召開啟動會議。

7.2確定評估目標(biāo)

根據(jù)FGIS數(shù)據(jù)處理各階段中風(fēng)險評估實(shí)施內(nèi)容、對象、安全需求的不同，確定數(shù)據(jù)采集、加工、匯

交、管理、分發(fā)和銷毀等各階段的風(fēng)險評估目標(biāo)，采用文檔查閱和現(xiàn)場訪談的方式進(jìn)行。

5

DB32/T3421—2018

7.3確定評估范圍

風(fēng)險評估范圍包括基礎(chǔ)地理信息系統(tǒng)相關(guān)的資產(chǎn)、管理機(jī)構(gòu)和關(guān)鍵業(yè)務(wù)流程等。確定評估范圍采用

文檔查閱和現(xiàn)場訪談的方式進(jìn)行，具體方法如下：

a）評估方了解基礎(chǔ)地理信息系統(tǒng)所達(dá)到的安全防護(hù)水平；

b）評估方了解組織要求評估的范圍和基礎(chǔ)地理信息系統(tǒng)的實(shí)際建設(shè)情況；

c）評估方結(jié)合已確定的評估目標(biāo)、組織要求評估的范圍和基礎(chǔ)地理信息系統(tǒng)的實(shí)際建設(shè)情況，

合理定義評估對象和評估范圍邊界。

7.4組建評估團(tuán)隊(duì)

應(yīng)組建評估管理與實(shí)施團(tuán)隊(duì)。評估方由基礎(chǔ)地理信息系統(tǒng)專業(yè)人員和信息安全風(fēng)險評估人員等組

成，應(yīng)具有評估基礎(chǔ)地理信息系統(tǒng)風(fēng)險的經(jīng)驗(yàn)；被評估方由基礎(chǔ)地理信息系統(tǒng)的管理部門、管理人員、

運(yùn)維人員、操作人員和開發(fā)集成人員等組成。評估方與被評估方應(yīng)設(shè)定相應(yīng)的成員角色和職責(zé)，具體內(nèi)

容參見附錄B.2。

7.5組織系統(tǒng)調(diào)研

系統(tǒng)調(diào)研是確定被評估對象的過程，以此修正評估目標(biāo)和范圍。系統(tǒng)調(diào)研采取文檔查閱和現(xiàn)場訪談

方式進(jìn)行，具體方法如下：

a)評估方與系統(tǒng)運(yùn)維、系統(tǒng)操作、采購系統(tǒng)設(shè)備及軟件等相關(guān)人員通過現(xiàn)場訪談，了解其承擔(dān)的

業(yè)務(wù)、網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)邊界等信息；

b)評估方通過文檔查閱查看其設(shè)計(jì)文檔、使用說明文檔、業(yè)務(wù)戰(zhàn)略、管理制度和FGIS運(yùn)維日志

等文檔，并收集基礎(chǔ)地理信息系統(tǒng)的物理環(huán)境、操作過程和設(shè)備組成等方面的資料；

c)評估方根據(jù)上述資料整理調(diào)研結(jié)果，編寫調(diào)研報告。

7.6確定評估依據(jù)

根據(jù)調(diào)研結(jié)果確定風(fēng)險評估的依據(jù)。評估依據(jù)主要包括：

a)基礎(chǔ)地理信息系統(tǒng)本身的特性及數(shù)據(jù)處理的不同階段的要求；

b)相關(guān)的現(xiàn)行國際標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)；

c)行業(yè)主管機(jī)關(guān)的要求和制度；

d)基礎(chǔ)地理信息系統(tǒng)的安全保護(hù)要求；

e)與基礎(chǔ)地理信息系統(tǒng)互聯(lián)的單位的安全要求。

7.7制定評估方案

風(fēng)險評估方案是評估工作實(shí)施活動總體計(jì)劃，管理和把控評估工作的開展，應(yīng)得到被評估方的確認(rèn)

或認(rèn)可。主要內(nèi)容包括：

a)風(fēng)險評估工作框架：包括評估目標(biāo)、評估范圍、評估依據(jù)等；

b)評估團(tuán)隊(duì)：包括評估方成員、組織結(jié)構(gòu)、角色、責(zé)任；

c)評估工作計(jì)劃：包括在數(shù)據(jù)采集、加工、匯交、管理、分發(fā)、銷毀等各階段的工作內(nèi)容和工作

形式；

d)評估環(huán)境要求：根據(jù)具體的評估方法選取相應(yīng)的評估環(huán)境，包括基礎(chǔ)地理信息系統(tǒng)的現(xiàn)場環(huán)境，

開發(fā)與測試環(huán)境，以及模擬仿真環(huán)境；

e)風(fēng)險規(guī)避：包括保密協(xié)議、評估工作環(huán)境要求、評估方法、工具選擇、應(yīng)急預(yù)案等；

f)時間進(jìn)度安排：評估工作實(shí)施的時間進(jìn)度安排。

6

DB32/T3421—2018

7.8召開啟動會議

啟動會議一般由風(fēng)險評估負(fù)責(zé)人組織召開。會議主要內(nèi)容包括：被評估方說明此次評估工作的目標(biāo)，

以及被評估方人員在評估工作中的責(zé)任分工；評估方說明此次評估工作的計(jì)劃和各階段工作任務(wù)，以及

被評估方應(yīng)配合的具體事項(xiàng)；雙方確定各工作階段所應(yīng)配合的工作內(nèi)容。

8風(fēng)險評估實(shí)施

8.1資產(chǎn)識別

8.1.1資產(chǎn)分類

評估實(shí)施時可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、服務(wù)、人員5種類型。表1列出了一種基礎(chǔ)地理信息系

統(tǒng)通常的資產(chǎn)分類方法。

表1資產(chǎn)分類

類別說明

保存在信息媒介上的各種數(shù)據(jù)資料，主要包括測繪控制點(diǎn)及參數(shù)、原始測繪數(shù)據(jù)、經(jīng)加工處理的數(shù)據(jù)、

數(shù)據(jù)

標(biāo)密定密脫密的數(shù)據(jù)、基礎(chǔ)地理信息數(shù)據(jù)、需要銷毀的數(shù)據(jù)等。

系統(tǒng)軟件：操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等；

軟件

應(yīng)用軟件：基礎(chǔ)地理信息系統(tǒng)相關(guān)的開發(fā)軟件、管理平臺和工具軟件等。

采集設(shè)備：采集基礎(chǔ)地理信息數(shù)據(jù)的設(shè)備，以及其品牌和型號等屬性信息；

存儲設(shè)備：磁盤陣列、硬盤、光盤、移動硬盤、U盤和內(nèi)存卡等，以及其品牌、型號和容量等屬性信

息；

硬件數(shù)據(jù)銷毀設(shè)備：用于數(shù)據(jù)銷毀的軟硬件設(shè)備（銷毀設(shè)備、銷毀軟件），以及其品牌和型號等屬性信息；

計(jì)算機(jī)設(shè)備：服務(wù)器、臺式計(jì)算機(jī)、便攜計(jì)算機(jī)等；

網(wǎng)絡(luò)設(shè)備：路由器、交換機(jī)等；

安全設(shè)備：防病毒、網(wǎng)絡(luò)入侵檢測系統(tǒng)、網(wǎng)閘等。

服務(wù)數(shù)據(jù)服務(wù)：基礎(chǔ)地理信息數(shù)據(jù)的分發(fā)、共享等服務(wù)。

掌握基礎(chǔ)地理信息系統(tǒng)重要信息和核心業(yè)務(wù)的人員，如測繪數(shù)據(jù)采集人員、測繪數(shù)據(jù)加工處理人員、

人員

數(shù)據(jù)管理人員、數(shù)據(jù)匯交和分發(fā)人員、數(shù)據(jù)銷毀人員等。

8.1.2資產(chǎn)調(diào)查

資產(chǎn)調(diào)查應(yīng)識別出資產(chǎn)內(nèi)容，以及每項(xiàng)資產(chǎn)自身的關(guān)鍵屬性。評估方應(yīng)對與基礎(chǔ)地理信息系統(tǒng)相關(guān)

的設(shè)備、數(shù)據(jù)和應(yīng)用等資產(chǎn)進(jìn)行調(diào)查，確定其對基礎(chǔ)地理信息系統(tǒng)的重要性、可用性、完整性和保密性

等安全屬性，并確定關(guān)鍵資產(chǎn)。資產(chǎn)調(diào)查的具體方法如下：

a)評估方根據(jù)評估目標(biāo)和范圍，確定風(fēng)險評估對象，梳理基本信息，可參照附錄A中內(nèi)容進(jìn)行訪

談；

b)評估方根據(jù)組織提供的規(guī)劃書、設(shè)計(jì)方案、用戶手冊等文檔并結(jié)合現(xiàn)場訪談相關(guān)人員，識別

出基礎(chǔ)地理信息系統(tǒng)的具體業(yè)務(wù)內(nèi)容；

c)評估方根據(jù)基礎(chǔ)地理信息系統(tǒng)的業(yè)務(wù)并結(jié)合現(xiàn)場訪談相關(guān)人員，識別出基礎(chǔ)地理信息系統(tǒng)的

關(guān)鍵業(yè)務(wù)；

d)評估方根據(jù)基礎(chǔ)地理信息系統(tǒng)的關(guān)鍵業(yè)務(wù)特點(diǎn)，并結(jié)合現(xiàn)場訪談相關(guān)人員，識別出關(guān)鍵數(shù)據(jù)

及關(guān)鍵應(yīng)用；

7

DB32/T3421—2018

e)評估方根據(jù)識別的關(guān)鍵數(shù)據(jù)及關(guān)鍵應(yīng)用、組織提供的資產(chǎn)清單、網(wǎng)絡(luò)拓?fù)鋱D等，識別出基礎(chǔ)

地理信息系統(tǒng)的關(guān)鍵平臺和網(wǎng)絡(luò)；

f)評估方根據(jù)識別的基礎(chǔ)地理信息系統(tǒng)關(guān)鍵平臺和網(wǎng)絡(luò)，查找支持其運(yùn)行的軟硬件資產(chǎn)設(shè)備。

8.1.3資產(chǎn)賦值

根據(jù)基礎(chǔ)地理信息系統(tǒng)承擔(dān)的業(yè)務(wù)，判斷資產(chǎn)的可用性、完整性和保密性等安全屬性的優(yōu)先級，通

常將保密性和完整性作為首要需求。對資產(chǎn)安全屬性的等級進(jìn)行分析、賦值及計(jì)算，得到資產(chǎn)的最終賦

值結(jié)果，其內(nèi)容應(yīng)滿足GB/T20984中的相關(guān)要求。資產(chǎn)賦值的具體方法如下：

a)根據(jù)基礎(chǔ)地理信息系統(tǒng)承擔(dān)的業(yè)務(wù)，分析判斷資產(chǎn)的可用性、完整性和保密性等安全屬性的優(yōu)

先級；

b)評估方分析資產(chǎn)安全屬性的等級，某種安全屬性等級越高表示資產(chǎn)的該安全屬性越重要，安全

屬性等級包括：很高、高、中等、低、很低五種級別；

c)根據(jù)資產(chǎn)在可用性上的不同要求，將其分為五個不同的等級，分別對應(yīng)資產(chǎn)在可用性上應(yīng)達(dá)成

的不同程度，具體內(nèi)容見附錄C中的表C.1；

d)根據(jù)資產(chǎn)在完整性上的不同要求，將其分為五個不同的等級，分別對應(yīng)資產(chǎn)在完整性上缺失時

對整個組織的影響，具體內(nèi)容見附錄C中的表C.2；

e)根據(jù)資產(chǎn)在保密性上的不同要求，將其分為五個不同的等級，分別對應(yīng)資產(chǎn)在保密性上應(yīng)達(dá)成

的不同程度或者保密性缺失時對整個組織造成的影響，具體內(nèi)容見附錄C中的表C.3；

f)資產(chǎn)價值應(yīng)依據(jù)資產(chǎn)的可用性、完整性、保密性賦值等級，經(jīng)綜合評定來確定；可根據(jù)基礎(chǔ)地

理信息資產(chǎn)的可用性、完整性、保密性的賦值，進(jìn)行加權(quán)計(jì)算得到資產(chǎn)的最終賦值結(jié)果；

g)根據(jù)最終賦值將資產(chǎn)劃分為五級，級別越高表示資產(chǎn)越重要，具體內(nèi)容見附錄C中的表C.4。

8.2威脅識別

8.2.1威脅源

基礎(chǔ)地理信息系統(tǒng)的威脅源分為環(huán)境因素的威脅和人為的威脅，人為的威脅按威脅動機(jī)分為非惡意

行為和惡意攻擊行為。在FGIS不同的數(shù)據(jù)處理階段，面臨的威脅源也會不同，具體內(nèi)容見表2。

表2基礎(chǔ)地理信息系統(tǒng)面臨的威脅源

威脅源威脅動機(jī)及造成后果可能產(chǎn)生的數(shù)據(jù)處理階段

環(huán)境因素靜電、灰塵、潮濕、溫度等環(huán)境危害或自然災(zāi)害。數(shù)據(jù)加工和數(shù)據(jù)管理

內(nèi)部人員威脅包括組織內(nèi)部人員、外聘運(yùn)維人員、外購產(chǎn)品的供應(yīng)商；

數(shù)據(jù)采集、數(shù)據(jù)加工、數(shù)據(jù)匯

缺乏責(zé)任心、不關(guān)心或者不關(guān)注、從內(nèi)部發(fā)起網(wǎng)絡(luò)攻擊、未遵循規(guī)章制

內(nèi)部人員交、數(shù)據(jù)管理、數(shù)據(jù)分發(fā)和數(shù)據(jù)

度和操作流程、缺乏培訓(xùn)、專業(yè)技能不足、不具備崗位技能要求而導(dǎo)致

銷毀

信息系統(tǒng)故障或被攻擊。

黑客通過入侵網(wǎng)絡(luò)和主機(jī)獲得敏感數(shù)據(jù)；且數(shù)量龐大，分布在全球，即

黑客數(shù)據(jù)加工和數(shù)據(jù)管理

使是獨(dú)立或短暫的攻擊破壞，也會導(dǎo)致嚴(yán)重的后果。

居心不良的個人或組織通過制造并傳播惡意軟件對用戶實(shí)施攻擊，一些

惡意軟件

破壞性的惡意軟件會損害系統(tǒng)文件、破壞敏感數(shù)據(jù)、控制關(guān)鍵過程、開數(shù)據(jù)加工和數(shù)據(jù)管理

的作者

啟執(zhí)行程序以及控制系統(tǒng)所控制的設(shè)備等。

數(shù)據(jù)采集、數(shù)據(jù)加工和數(shù)據(jù)管

情報間諜情報間諜通過暗中活動的方式企圖獲取有情報價值的地理信息數(shù)據(jù)。

理

8

DB32/T3421—2018

8.2.2威脅分類

根據(jù)威脅的表現(xiàn)形式將威脅進(jìn)行分類，不同類型的威脅及其可能產(chǎn)生在的數(shù)據(jù)處理階段見表3。

表3威脅分類

威脅名稱描述可能產(chǎn)生的數(shù)據(jù)處理階段

無權(quán)限者進(jìn)行攻擊（嗅探，社會活動），以獲得儲存在基礎(chǔ)地理信息數(shù)據(jù)采集、數(shù)據(jù)加工、數(shù)據(jù)匯交、

非法信息披露

系統(tǒng)中的敏感信息。數(shù)據(jù)管理、數(shù)據(jù)分發(fā)和數(shù)據(jù)銷毀

無權(quán)限者進(jìn)行攻擊（修改，旁路，嗅探），以修改存儲于基礎(chǔ)地理信

非法修改數(shù)據(jù)加工

息系統(tǒng)中的敏感信息。

無權(quán)限者進(jìn)行攻擊（破壞，旁路），以破壞存儲于基礎(chǔ)地理信息系統(tǒng)

非法破壞數(shù)據(jù)加工

中的敏感信息。

合法操作員意外的發(fā)布錯誤指令或進(jìn)行錯誤配置，導(dǎo)致受控基礎(chǔ)地理

錯誤操作數(shù)據(jù)加工、數(shù)據(jù)管理、數(shù)據(jù)銷毀

信息系統(tǒng)過程和組件被破壞。

無權(quán)限者進(jìn)行攻擊（嗅探，欺騙，社會活動），以獲得存儲于基礎(chǔ)地

冒充合法用戶數(shù)據(jù)管理

理信息系統(tǒng)中的用戶憑證，冒充合法用戶。

無權(quán)限者進(jìn)行攻擊（錯誤操作，嗅探，欺騙，社會活動），以獲得存

提升權(quán)限儲于基礎(chǔ)地理信息系統(tǒng)中的用戶憑證，提升基礎(chǔ)地理信息系統(tǒng)訪問的數(shù)據(jù)管理

權(quán)限，達(dá)成惡意目的。

個人惡意或無意地將病毒傳入基礎(chǔ)地理信息系統(tǒng)網(wǎng)絡(luò)，惡意代碼造成

病毒感染數(shù)據(jù)加工、數(shù)據(jù)管理

不必要的系統(tǒng)停機(jī)和數(shù)據(jù)損壞。

無權(quán)限者進(jìn)行一次物理攻擊，以實(shí)現(xiàn)對受保護(hù)基礎(chǔ)地理信息系統(tǒng)敏感數(shù)據(jù)采集、數(shù)據(jù)加工、數(shù)據(jù)匯交、

非法物理存取

數(shù)據(jù)的直接訪問。數(shù)據(jù)管理和數(shù)據(jù)分發(fā)

8.2.3威脅調(diào)查

8.2.3.1目標(biāo)調(diào)查

通過威脅調(diào)查，識別存在的威脅名稱、類型、攻擊能力和攻擊動機(jī)、威脅路徑、威脅發(fā)生的可能性、

威脅影響的資產(chǎn)的價值、覆蓋范圍、破壞嚴(yán)重程度和可補(bǔ)救性。

8.2.3.2威脅確定

評估方將被評估的基礎(chǔ)地理信息系統(tǒng)所處的自然環(huán)境、相關(guān)管理制定策略、資產(chǎn)清單、網(wǎng)絡(luò)拓?fù)鋱D、

故障記錄文件進(jìn)行匯總，對FGIS相關(guān)人員訪談，進(jìn)行現(xiàn)場核查，識別基礎(chǔ)地理信息系統(tǒng)在數(shù)據(jù)處理過

程中的威脅。具體方法如下：

a）通過與FGIS數(shù)據(jù)處理相關(guān)人員訪談，識別可能存在的威脅，包括但不限于，采集人員可能的

有意無意的數(shù)據(jù)泄露，數(shù)據(jù)非法披露給外部人員或間諜情報人員，私下的買賣數(shù)據(jù)，該標(biāo)密、

定密或脫密的數(shù)據(jù)未被標(biāo)密、定密或脫密，未經(jīng)過審批就發(fā)布數(shù)據(jù)等；

b）評估方通過查看系統(tǒng)日志和安全防護(hù)系統(tǒng)審計(jì)日志，分析FGIS面臨的威脅，如數(shù)據(jù)有無被惡

意軟件竊取，數(shù)據(jù)有無被病毒破壞、刪除和加密；

c）評估方應(yīng)收集一些第三方組織發(fā)布的安全態(tài)勢或威脅情報方面的數(shù)據(jù)；

d）若FGIS已運(yùn)行一段時間，應(yīng)根據(jù)以往發(fā)生的安全事件記錄，分析系統(tǒng)面臨的威脅，查看有無

數(shù)據(jù)的修改或破壞、數(shù)據(jù)銷毀不徹底等情況出現(xiàn)。

8.2.3.3威脅途徑

9

DB32/T3421—2018

威脅途徑是指威脅源對基礎(chǔ)地理信息系統(tǒng)造成破壞的手段和路徑，具體包括：

a)非人為威脅途徑表現(xiàn)為發(fā)生自然災(zāi)難、出現(xiàn)惡劣的物理環(huán)境、出現(xiàn)軟硬件故障或性能降低，導(dǎo)

致數(shù)據(jù)無法讀取等；

b)人為的威脅途徑表現(xiàn)為包括：數(shù)據(jù)主動外泄，存儲卡在有數(shù)據(jù)情況下的外借或丟失，采集設(shè)備

外借但存儲卡仍有數(shù)據(jù)，使用國外采集設(shè)備、同時該設(shè)備可能存在主動數(shù)據(jù)外傳的能力，誤操

作導(dǎo)致數(shù)據(jù)被刪除，網(wǎng)絡(luò)遠(yuǎn)程數(shù)據(jù)竊取，感染病毒，誤操作導(dǎo)致數(shù)據(jù)在分發(fā)之前未被脫密、脫

敏，以及誤操作導(dǎo)致數(shù)據(jù)未被銷毀等；

c)調(diào)查威脅攻擊路徑，明確威脅發(fā)生的起點(diǎn)、威脅發(fā)生的中間點(diǎn)以及威脅發(fā)生的終點(diǎn)，并明確威

脅在不同環(huán)節(jié)的特點(diǎn)，確定威脅路徑。

8.2.3.4威脅發(fā)生的可能性及其影響

通過現(xiàn)場訪談和以往事件記錄信息，確定威脅發(fā)生可能性，即威脅發(fā)生的頻率，具體方法如下：

a)評估方統(tǒng)計(jì)以往安全事件報告中出現(xiàn)過的威脅及其頻率；

b)評估方統(tǒng)計(jì)現(xiàn)場基礎(chǔ)地理信息系統(tǒng)中通過檢測工具以及各種日志發(fā)現(xiàn)的威脅及其頻率；

c)統(tǒng)計(jì)權(quán)威機(jī)構(gòu)或第三方組織發(fā)布的關(guān)于基礎(chǔ)地理信息系統(tǒng)面臨的威脅及其頻率；

d)確定不同威脅的頻率值；

e)識別直接受影響的數(shù)據(jù)，逐層分析間接受影響的數(shù)據(jù)；

f)確定受威脅數(shù)據(jù)的價值，其價值越重要，威脅發(fā)生的影響越大；

g)確定受威脅數(shù)據(jù)范圍，其范圍越廣泛，威脅發(fā)生的影響越大；

h)遭到威脅影響的數(shù)據(jù)，若可補(bǔ)救且補(bǔ)救代價可接受，威脅發(fā)生的影響較?。蝗舨荒苎a(bǔ)救或補(bǔ)救

代價難以接受，威脅發(fā)生的影響較大。

8.2.4威脅分析

基于威脅調(diào)查的結(jié)果進(jìn)行威脅分析，具體方法如下：

a)通過分析威脅路徑，結(jié)合威脅自身屬性、資產(chǎn)存在的脆弱性以及所采取的安全措施，識別威脅

發(fā)生的概率，威脅頻率賦值見附錄C中的表C.5；

b)威脅頻率的判斷依據(jù)應(yīng)在評估準(zhǔn)備階段根據(jù)歷史統(tǒng)計(jì)或行業(yè)判斷予以確定，并得到被評估方的

認(rèn)可；

c)通過分析威脅客體的價值和威脅覆蓋范圍、破壞嚴(yán)重程度和可補(bǔ)救性等，識別威脅影響；

d)分析并確定由威脅源攻擊能力、攻擊動機(jī)，威脅發(fā)生概率、影響程度計(jì)算威脅值的方法；

e)不同威脅對應(yīng)的影響不同，按照安全事件發(fā)生后對系統(tǒng)造成的影響，確定威脅的影響程度值，

威脅影響程度見附錄C中的表C.6。

8.3脆弱性識別

8.3.1基本要求

基礎(chǔ)地理信息系統(tǒng)的脆弱性應(yīng)從物理環(huán)境、網(wǎng)絡(luò)系統(tǒng)、應(yīng)用系統(tǒng)和安全管理四個方面進(jìn)行識別。國

家標(biāo)準(zhǔn)、行業(yè)規(guī)范或應(yīng)用流程的安全要求可作為脆弱性識別的依據(jù)?；A(chǔ)地理信息系統(tǒng)的風(fēng)險評估報告、

審計(jì)說明、安全需求、安全測試結(jié)果和已采取的安全措施、FGIS計(jì)劃實(shí)施的安全控制、評估范圍、常見

脆弱性等，可作為評估方進(jìn)行脆弱性識別的資料；評估方通過文檔查閱、現(xiàn)場訪談和現(xiàn)場核查，識別基

礎(chǔ)地理信息系統(tǒng)存在的脆弱性。

8.3.2物理環(huán)境脆弱性識別

10

DB32/T3421—2018

表4物理環(huán)境脆弱性

脆弱性描述

機(jī)房和辦公場所無物

基礎(chǔ)地理信息系統(tǒng)的機(jī)房和辦公場所應(yīng)使用安防措施，如，身份識別儀器、門禁

理屏障或訪問控制機(jī)

系統(tǒng)、報警器、鎖等，若無物理屏障可導(dǎo)致未授權(quán)人員可以進(jìn)入系統(tǒng)所在場所。

制

無明確的業(yè)務(wù)和人員

對基礎(chǔ)地理信息數(shù)據(jù)處理業(yè)務(wù)和相關(guān)人員的管理，應(yīng)制定相應(yīng)的規(guī)章制度。

管理規(guī)章制度

應(yīng)在系統(tǒng)所在機(jī)房和辦公場所設(shè)置訪客管理措施，如人員登記、專人陪同、不準(zhǔn)

無訪客管理措施

攜帶移動介質(zhì)等。

無移動存儲介質(zhì)管理

應(yīng)針對基礎(chǔ)地理信息數(shù)據(jù)所使用的移動存儲介質(zhì)管理，制定專門的規(guī)章制度。

制度

移動存儲介質(zhì)未得到基礎(chǔ)地理信息數(shù)據(jù)所使用的移動存儲介質(zhì)應(yīng)得到安全的管理和使用，包括：采集

管理設(shè)備中的內(nèi)存卡，移動硬盤、光盤和U盤等，若無管理將會導(dǎo)致涉密數(shù)據(jù)泄露。

物理環(huán)境脆弱性識別是對基礎(chǔ)地理信息系統(tǒng)物理環(huán)境的脆弱性進(jìn)行識別，包括機(jī)房環(huán)境、辦公環(huán)境、

人員管理和移動存儲設(shè)備管理等方面，見表4。評估方核查已采取物理環(huán)境的安全措施及驗(yàn)證其已采取

的安全措施有效性，識別方法如下：

a)評估方進(jìn)行文檔查閱及現(xiàn)場訪談組織相關(guān)人員，確定基礎(chǔ)地理信息系統(tǒng)的安全防護(hù)要求，以及

應(yīng)采取的安全措施，查看系統(tǒng)是否存在明顯不符的脆弱性；

b)評估方現(xiàn)場核查系統(tǒng)所在的機(jī)房和辦公環(huán)境是否有安防措施，是否使用門禁系統(tǒng)等控制機(jī)制來

保護(hù)，有無監(jiān)控裝置等，防制未授權(quán)進(jìn)入，采用哪些安全措施，驗(yàn)證核實(shí)已采用措施的有效性；

c)評估方進(jìn)行文檔查閱，查看組織有無針對基礎(chǔ)地理信息數(shù)據(jù)處理業(yè)務(wù)和相關(guān)人員的管理規(guī)章制

度；

d)評估方現(xiàn)場核查系統(tǒng)所在的機(jī)房和辦公場所是采用何種方式的訪客管理措施，并核實(shí)其采取的

安全措施的有效性，如：身份標(biāo)識、人員登記、專人陪同、不準(zhǔn)攜帶移動介質(zhì)等措施；

e)評估方進(jìn)行文檔查閱和現(xiàn)場核查，查看組織是否制定了移動存儲介質(zhì)管理制度，基礎(chǔ)地理信息

系統(tǒng)數(shù)據(jù)所使用的移動存儲介質(zhì)是否得到了安全的管理和使用；

物理環(huán)境脆弱性核查內(nèi)容見附錄D中的表D.1。

8.3.3網(wǎng)絡(luò)系統(tǒng)脆弱性識別

8.3.3.1網(wǎng)絡(luò)結(jié)構(gòu)及網(wǎng)絡(luò)邊界脆弱性識別

表5網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)邊界脆弱性

脆弱性描述

設(shè)計(jì)實(shí)施時未對網(wǎng)絡(luò)進(jìn)行分層隔離，可能會導(dǎo)致部分設(shè)備出現(xiàn)的安全問題彌散到

網(wǎng)絡(luò)未分層

整個網(wǎng)絡(luò)中。

不同網(wǎng)絡(luò)中未部署邏不同網(wǎng)絡(luò)之間未部署網(wǎng)絡(luò)隔離設(shè)備，可直接通信。攻擊數(shù)據(jù)包和惡意軟件在網(wǎng)絡(luò)

輯隔離設(shè)備之間傳播，可輕易監(jiān)測到其他網(wǎng)絡(luò)上的敏感數(shù)據(jù)，造成未經(jīng)授權(quán)的訪問。

網(wǎng)絡(luò)邊界定義不清晰，將難以保證必要的安全措施被合適的實(shí)施或配置，會導(dǎo)致

安全邊界定義不清晰

對系統(tǒng)和數(shù)據(jù)的未授權(quán)的訪問和其它問題。

11

DB32/T3421—2018

表5網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)邊界脆弱性（續(xù)）

設(shè)備IP/MAC地址未

設(shè)備的IP/MAC地址未綁定，容易遭到中間人攻擊。

綁定

網(wǎng)絡(luò)設(shè)備日志未開啟若無合適、詳細(xì)的日志信息，將無法分析出導(dǎo)致安全事件發(fā)生的原因。

未部署安全監(jiān)控設(shè)備若不進(jìn)行定期的安全監(jiān)控，事故可能被忽視，將可能導(dǎo)致額外的破壞或中斷。

無線連接客戶端與接無線客戶端與接入點(diǎn)間傳遞的敏感數(shù)據(jù)未采用加密保護(hù)，攻擊者監(jiān)聽明文信息造

入點(diǎn)間數(shù)據(jù)保護(hù)不力成信息泄露。

無線網(wǎng)絡(luò)邊界不清無線網(wǎng)絡(luò)的范圍無法精確控制，導(dǎo)致非受控終端的接入。

非法外聯(lián)檢查是否存在網(wǎng)絡(luò)系統(tǒng)的內(nèi)網(wǎng)主機(jī)非法連接外網(wǎng)或互聯(lián)網(wǎng)。

網(wǎng)絡(luò)結(jié)構(gòu)及網(wǎng)絡(luò)邊界脆弱性是指基礎(chǔ)地理信息系統(tǒng)所在網(wǎng)絡(luò)的網(wǎng)絡(luò)結(jié)構(gòu)及網(wǎng)絡(luò)邊界存在的脆弱性，

見表5。一些FGIS非常簡單，無網(wǎng)絡(luò)系統(tǒng)，在進(jìn)行脆弱性識別時應(yīng)忽略本部分。識別方法如下：

a）查看網(wǎng)絡(luò)拓?fù)鋱D及現(xiàn)場核查FGIS的網(wǎng)絡(luò)結(jié)構(gòu)是否分層，各層之間是否部署必要的安全防護(hù)設(shè)

備；

b）查看FGIS網(wǎng)絡(luò)系統(tǒng)的運(yùn)維記錄或日志，記錄網(wǎng)絡(luò)中曾出現(xiàn)過的故障及原因；

c）查看數(shù)據(jù)加工處理、管理相關(guān)的服務(wù)器、PC和筆記本電腦的IP/MAC地址是否綁定；

d）查看網(wǎng)絡(luò)拓?fù)鋱D及現(xiàn)場核查其網(wǎng)絡(luò)，驗(yàn)證組織劃分VLAN合理性及安全性；

e）評估方現(xiàn)場對網(wǎng)絡(luò)系統(tǒng)的邊界完整性進(jìn)行核查；

f）評估方現(xiàn)場核查是否有未授權(quán)接入無線網(wǎng)絡(luò)的設(shè)備；

g）使用協(xié)議分析工具分析無線協(xié)議是否為明文傳輸；

h）評估方現(xiàn)場核查，查看是否存在主機(jī)非法外聯(lián)行為。

8.3.3.2網(wǎng)絡(luò)設(shè)備脆弱性識別

表6網(wǎng)絡(luò)設(shè)備脆弱性

脆弱性描述

對網(wǎng)絡(luò)設(shè)備進(jìn)行不當(dāng)?shù)奈锢碓L問會導(dǎo)致：

數(shù)據(jù)和硬件竊??；

無關(guān)人員物理訪問網(wǎng)數(shù)據(jù)和硬件的物理損傷破壞；

絡(luò)設(shè)備對網(wǎng)絡(luò)安全環(huán)境（比如，修改ACL允許攻擊進(jìn)入網(wǎng)絡(luò)）的篡改；

未授權(quán)的阻止或控制網(wǎng)絡(luò)行為；

關(guān)閉物理數(shù)據(jù)鏈路。

有無制定和實(shí)施網(wǎng)絡(luò)設(shè)備配置備份和恢復(fù)規(guī)程，偶然或者惡意對網(wǎng)絡(luò)設(shè)備配置進(jìn)

網(wǎng)絡(luò)設(shè)備配置未備份

行修改造成系統(tǒng)通信中斷時無法及時恢復(fù)。

網(wǎng)絡(luò)設(shè)備存在安全漏

網(wǎng)絡(luò)設(shè)備軟件（操作系統(tǒng)）應(yīng)升級到最新的版本，確保不存在已公開的安全漏洞。

洞

網(wǎng)絡(luò)設(shè)備管理員口令

網(wǎng)絡(luò)設(shè)備的管理員口令過于簡單，包括長度小于8位，僅為數(shù)字或字符串等。

簡單

網(wǎng)絡(luò)設(shè)備口令長期未口令應(yīng)定期更換，即使未授權(quán)用戶獲得密碼，也只有很短的時間段內(nèi)可以訪問網(wǎng)

更改絡(luò)設(shè)備。

12

DB32/T3421—2018

網(wǎng)絡(luò)設(shè)備脆弱性是指基礎(chǔ)地理信息系統(tǒng)所在網(wǎng)絡(luò)的網(wǎng)絡(luò)設(shè)備存在的脆弱性，見表6。具體識別方法

如下：

a)查看重要網(wǎng)絡(luò)設(shè)備放置場所，場所有無物理訪問控制、有無禁止無關(guān)人員進(jìn)入的措施，是否安

裝監(jiān)控系統(tǒng)，并針對這些采取的措施，驗(yàn)證其有效性；

b)查看網(wǎng)絡(luò)設(shè)備的配置是否備份，有無制定和實(shí)施網(wǎng)絡(luò)設(shè)備配置備份和恢復(fù)規(guī)程；

c)通過漏洞掃描器查找設(shè)備存在的系統(tǒng)漏洞；

d)查看網(wǎng)絡(luò)設(shè)備口令更新周期及字符長度等配置；

e)現(xiàn)場訪談組織是否為網(wǎng)絡(luò)硬件配備專門運(yùn)維人員。

網(wǎng)絡(luò)系統(tǒng)脆弱性核查內(nèi)容見附錄D中的表D.2。

8.3.4平臺脆弱性識別

8.3.4.1識別范圍

平臺脆弱性的識別包括對平臺硬件設(shè)備、平臺軟件和平臺配置三個方面脆弱性的識別。

8.3.4.2平臺硬件脆弱性識別

表7平臺硬件設(shè)備脆弱性

脆弱性描述

應(yīng)保證只有必要的人員可物理訪問基礎(chǔ)地理信息系統(tǒng)的平臺硬件設(shè)備，訪問不當(dāng)

會導(dǎo)致：

數(shù)據(jù)和硬件竊?。?/p>

未授權(quán)人員對設(shè)備的數(shù)據(jù)和硬件的物理損傷和破壞；

物理訪問對功能環(huán)境（比如，數(shù)據(jù)連接，可移動介質(zhì)的未授權(quán)使用，增加/移除設(shè)備組

件）的非法篡改；

物理數(shù)據(jù)鏈路關(guān)閉；

檢測不到的數(shù)據(jù)攔截或竊聽（鍵盤輸入或其他錄入方式）。

重要設(shè)備無冗余配置重要的設(shè)備未備份會導(dǎo)致單點(diǎn)失敗。

設(shè)備丟失導(dǎo)致數(shù)據(jù)泄露，包括筆記本電腦、采集設(shè)備、存儲設(shè)備（存儲卡、移動

設(shè)備丟失

硬盤、光盤和U盤）的丟失。

設(shè)備未進(jìn)行注冊設(shè)備未進(jìn)行資產(chǎn)登記，可能會導(dǎo)致存在非授權(quán)用戶訪問點(diǎn)以及后門。

是否為國產(chǎn)設(shè)備關(guān)鍵的平臺硬件設(shè)備應(yīng)為國產(chǎn)設(shè)備，特別是采集設(shè)備和銷毀設(shè)備。

平臺硬件脆弱性是指基礎(chǔ)地理信息系統(tǒng)中服務(wù)器、桌面主機(jī)、筆記本電腦、采集設(shè)備、銷毀設(shè)備和

存儲設(shè)備等設(shè)備存在的脆弱性，見表7。識別方法如下：

a）現(xiàn)場核查是否僅必要人員可物理訪問基礎(chǔ)地理信息系統(tǒng)的設(shè)備；

b）現(xiàn)場核查組織是否對重要設(shè)備進(jìn)行冗余設(shè)計(jì)，并按設(shè)計(jì)進(jìn)行部署；

c）現(xiàn)場訪談組織是否存在設(shè)備丟失的情況；

d）通過文檔查閱和現(xiàn)場核查，查看資產(chǎn)清單是否包括基礎(chǔ)地理信息系統(tǒng)的所有設(shè)備；

e）現(xiàn)場核查關(guān)鍵的平臺硬件設(shè)備是否為國產(chǎn)設(shè)備。

8.3.4.3平臺軟件脆弱性識別

13

DB32/T3421—2018

表8軟件脆弱性

脆弱性描述

操作系統(tǒng)存在漏洞操作系統(tǒng)不升級補(bǔ)丁，存在已知漏洞。

開啟了不必要的服務(wù)不必要的服務(wù)未被禁用關(guān)閉，可能會被利用。

未安裝終端安全管理入侵行為或非授權(quán)行為會導(dǎo)致系統(tǒng)不可用，數(shù)據(jù)被截獲、修改和刪除，控制命令

軟件的錯誤執(zhí)行，發(fā)生違反安全策略的行為，主機(jī)行為不可審計(jì)追蹤等。

未安裝防病毒軟件病毒等惡意代碼會導(dǎo)致系統(tǒng)性能低下、系統(tǒng)不可用和數(shù)據(jù)被截獲、修改和刪除。

病毒庫過期病毒防護(hù)軟件病毒庫過期導(dǎo)致系統(tǒng)容易被新的病毒攻擊。

關(guān)鍵的平臺軟件非國

關(guān)鍵的平臺軟件應(yīng)為國產(chǎn)，包括數(shù)據(jù)庫和安全軟件。

產(chǎn)

平臺軟件脆弱性是指基礎(chǔ)地理信息系統(tǒng)平臺軟件存在的脆弱性，見表8。平臺軟件包括基礎(chǔ)地理信

息系統(tǒng)使用的操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用軟件和安全軟件等，識別方法如下：

a)現(xiàn)場核查操作系統(tǒng)的版本及補(bǔ)丁，并通過漏洞掃描器掃描是否存在安全漏洞；

b)現(xiàn)場核查服務(wù)器、PC和筆記本電腦開啟的端口，是否開啟了不必要的端口服務(wù)；

c)查看服務(wù)器、PC和筆記本電腦是否安裝了終端安全管理軟件對終端進(jìn)行了安全保護(hù)和監(jiān)管；

d)查看是否安裝了防病毒軟件，病毒庫是否定期更新，查看病毒庫更新記錄；

e)查看關(guān)鍵的平臺軟件是否為國產(chǎn)軟件，包括數(shù)據(jù)庫、終端安全管理軟件和防病毒軟件。

8.3.4.4平臺配置脆弱性識別

表9平臺配置脆弱性

脆弱性描述

無口令策略，系統(tǒng)就缺少合適的口令控制，使得對系統(tǒng)的非法訪問更容易。口令

缺少恰當(dāng)?shù)目诹畈呗圆呗允钦麄€基礎(chǔ)地理信息系統(tǒng)安全策略的一部分，口令策略的制定應(yīng)考慮到基礎(chǔ)

地理信息系統(tǒng)處理復(fù)雜口令的能力。

未設(shè)置口令可能導(dǎo)致非法訪問，口令相關(guān)的脆弱性包括：

系統(tǒng)登錄無口令（如果系統(tǒng)有用戶賬戶）。

未設(shè)置口令

系統(tǒng)啟動無口令（如果系統(tǒng)無用戶賬戶）。

系統(tǒng)待機(jī)無口令（如果基礎(chǔ)地理信息系統(tǒng)組件一段時間內(nèi)沒被使用）。

缺少適當(dāng)?shù)拿艽a控制措施，未授權(quán)用戶可能擅自訪問機(jī)密信息，包括：

以明文方式將口令記錄在本地系統(tǒng)；

口令保護(hù)不當(dāng)和個人賬戶使用同一的口令；

口令泄漏給第三方；

在未受保護(hù)的通信中以明文方式傳輸口令。

平臺配置脆弱性是指基礎(chǔ)地理信息系統(tǒng)平臺軟硬件的口令配置存在的脆弱性，見表9。識別方法如

下：

a）現(xiàn)場核查口令是否以明文的方式存儲在本地系統(tǒng)或便攜設(shè)備中，過去是否存在泄漏口令的事

件，使用暴力破解等方法驗(yàn)證口令的可靠性；

b）查看平臺硬件設(shè)備口令更新周期及字符長度等配置；

14

DB32/T3421—2018

c）現(xiàn)場核查是否使用平臺軟硬件安裝時的預(yù)設(shè)口令、空口令是否無法登錄系統(tǒng)，賬戶口令是否屬

于弱口令。

平臺脆弱性核查內(nèi)容見附錄D中的表D.3。

8.3.5安全管理脆弱性識別

表10安全管理脆弱性

脆弱性描述

未編制明確具體的安全未編制明確具體、書面的安全管理文檔會導(dǎo)致安全管理程序不成體系、無約束力、

管理文檔責(zé)任不明確，無法科學(xué)的實(shí)施，管理措施無法更好地落實(shí)。

未編制應(yīng)急預(yù)案會導(dǎo)致在主要硬件、軟件失效或在服務(wù)設(shè)施毀壞時無法及時處理，

未制定FGIS應(yīng)急預(yù)案

造成業(yè)務(wù)中斷或數(shù)據(jù)丟失。

很少或未對FGIS進(jìn)行FGIS中很少或無安全審計(jì)會導(dǎo)致基礎(chǔ)地理信息數(shù)據(jù)的處理過程不受控制，從而存

審計(jì)在涉密數(shù)據(jù)泄露的風(fēng)險。

未制定數(shù)據(jù)匯交或分發(fā)

未制定數(shù)據(jù)匯交或分發(fā)制度，對基礎(chǔ)地理信息數(shù)據(jù)的匯交或分發(fā)過程進(jìn)行管理。

制度

未制定涉密數(shù)據(jù)脫密發(fā)

無涉密數(shù)據(jù)脫密發(fā)布審批制度，存在涉密數(shù)據(jù)泄露的風(fēng)險。

布審批制度

未制定數(shù)據(jù)帶密分發(fā)審

無數(shù)據(jù)帶密分發(fā)審批制度，存在涉密數(shù)據(jù)泄露的風(fēng)險。

批制度

基礎(chǔ)地理信息數(shù)據(jù)的采集、加工、處理、管理、匯交、分發(fā)或銷毀人員未經(jīng)過培訓(xùn)

無人員培訓(xùn)

以掌握必備的技能，存在涉密數(shù)據(jù)泄露的風(fēng)險。

無員工離職過程管理無員工離職過程管理文檔，存在離職員工帶走涉密數(shù)據(jù)的風(fēng)險。

安全管理脆弱性識別是指對組織的安全管理策略、制度、人員等方面存在的脆弱性進(jìn)行核查，見表

10。識別方法如下：

a)評估方查閱組織編制的安全管理和策略文檔，是否恰當(dāng)、明確、具體，與應(yīng)用的法律、制度、

政策、規(guī)章、標(biāo)準(zhǔn)和指南是否一致，并據(jù)此對有關(guān)人員進(jìn)行培訓(xùn)；

b)評估方現(xiàn)場查看組織的應(yīng)急計(jì)劃、應(yīng)急培訓(xùn)記錄、應(yīng)急預(yù)案等；

c)評估方查看組織制定的審計(jì)范圍和內(nèi)容，是否明確指明對哪些行為進(jìn)行審計(jì)；

d)評估方查看審計(jì)記錄保存時間和審查存儲空間，是否可以至少保留1個月，當(dāng)空間不足時是否

發(fā)出報警信息；

e)評估方查閱組織是否編制了數(shù)據(jù)匯交或分發(fā)、涉密數(shù)據(jù)脫密發(fā)布審批、數(shù)據(jù)帶密分發(fā)審批等制

度，來對相關(guān)內(nèi)容進(jìn)行管理；

f)評估方通過文檔查閱和現(xiàn)場訪談，了解組織有無人員培訓(xùn)方面的制度規(guī)范，并依照制度規(guī)范對

相關(guān)人員進(jìn)行了培訓(xùn)；

g)評估方審查人員離職及調(diào)離之后是否將與基礎(chǔ)地理信息數(shù)據(jù)相關(guān)的物品，如：密鑰、身份標(biāo)識

卡、移動存儲介質(zhì)等歸還，并消除其訪問權(quán)，組織與離職人員簽署的離職協(xié)議是否有保密規(guī)定。

安全管理脆弱性核查內(nèi)容見附錄D中的表D.4。

8.3.6脆弱性賦值

8.3.6.1賦值依據(jù)

15

DB32/T3421—2018

根據(jù)脆弱性對資產(chǎn)的影響程度、利用脆弱性的難易程度、脆弱點(diǎn)的流行程度、采用等級方式對已識

別的脆弱性的嚴(yán)重程度進(jìn)行賦值。若很多脆弱點(diǎn)反映的是同一方面的問題，或可能造成相似的后果，賦

值時應(yīng)綜合考慮這些脆弱點(diǎn)。

8.3.6.2賦值因素

應(yīng)用在不同環(huán)境中相同的脆弱點(diǎn)，其脆弱性嚴(yán)重程度不同。評估者應(yīng)從組織安全策略的角度考慮，

判斷資產(chǎn)的脆弱性及其嚴(yán)重程度。對某個資產(chǎn)，其技術(shù)脆弱性的嚴(yán)重程度還受到組織管理脆弱性的影響，

脆弱性賦值還應(yīng)參考技術(shù)管理和組織管理脆弱性的嚴(yán)重程度。

8.3.6.3脆弱性分級

對脆弱性嚴(yán)重程度進(jìn)行等級化處理，不同的等級分別代表資產(chǎn)脆弱性嚴(yán)重程度的高低。等級數(shù)值越

大，脆弱性嚴(yán)重程度越高。脆弱性賦值方法見附錄C.3.3中的表C.7。

8.3.7已有安全措施確認(rèn)

在識別脆弱性的同時，評估人員應(yīng)對已采取的安全措施的有效性進(jìn)行確認(rèn)，即安全措施是否真正地

降低了基礎(chǔ)地理信息系統(tǒng)的脆弱性，抵御威脅。安全措施確認(rèn)可不具體到每個資產(chǎn)、組件的脆弱性。對

有效的安全措施應(yīng)繼續(xù)保持，防止安全措施的重復(fù)實(shí)施；對確認(rèn)為不適當(dāng)?shù)陌踩胧┖藢?shí)是否應(yīng)被取消

或?qū)ζ溥M(jìn)行修正，或用更合適的安全措施替代。

9風(fēng)險分析

9.1風(fēng)險計(jì)算

在完成資產(chǎn)識別、威脅識別、脆弱性識別，以及對已有安全措施確認(rèn)后，應(yīng)采用適當(dāng)?shù)姆椒ㄅc工具

確定威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性；綜合安全事件所作用的資產(chǎn)價值及脆弱性的嚴(yán)重程

度，判斷安全事件造成的損失對組織的影響，即安全風(fēng)險。風(fēng)險分析原理見附錄C.4.1，并按照附錄C.4.2

的風(fēng)險計(jì)算范式，進(jìn)行風(fēng)險計(jì)算：

a）計(jì)算安全事件發(fā)生的可能性：根據(jù)威脅出現(xiàn)頻率及弱點(diǎn)的狀況，計(jì)算威脅利用脆弱性導(dǎo)致安全

事件發(fā)生的可能性；

b）計(jì)算安全事件發(fā)生后的損失：根據(jù)資產(chǎn)價值及脆弱性嚴(yán)重程度，計(jì)算安全事件一旦發(fā)生后的損

失；

c）計(jì)算風(fēng)險值：根據(jù)計(jì)算出的安全事件發(fā)生的可能性以及安全事件的損失，計(jì)算風(fēng)險值。

9.2風(fēng)險結(jié)果判定

9.2.1風(fēng)險分級

對風(fēng)險評估的結(jié)果按照風(fēng)險值的高低劃分為五個等級，風(fēng)險值越高，風(fēng)險等級越高。根據(jù)風(fēng)險值的

分布狀況，為每個等級設(shè)定風(fēng)險值范圍，并對所有風(fēng)險計(jì)算結(jié)果進(jìn)行等級處理，具體內(nèi)容見表4。