小師妹聊安全標準

作者：XXX幸XXX，來自FreeBuf.COM

 

作為公司資訊保安諮詢崗上的小師妹兒，我對自己以後的安全路非常焦灼，到底該往哪個方向去發展？

 

上了快半年的班，每天都會瀏覽相關的專業檔案，還要學習NIST的出版物，對等保、ISO 27001這些標準都要瞭解，這不，最近有空就在研究信安標委出的國家網路安全相關標準了。看了一下這些標準清單，現在正式釋出的國家網路安全標準粗略看了一下，共有268項，再搜尋出一些自己感興趣的標準來看，突然發現，資訊保安標準化這條路貌似還不錯，為了鞭勵自己，決定有時間就把自己看過的安全標準提煉出來分享給大家。並希望各位能夠指點一二。

 

今天想和大家交流的是《GB/T 31509 資訊保安技術 資訊保安風險評估實施指南》。

 

該標準主要用來指導風險評估專案的組織、實施、驗收等工作。並且規定了資訊保安風險評估實施的過程和方法。

一、該標準的框架結構如下

二、風險評估的基本原則

（一）、標準性原則

 

意思是要按照本標準中規定的評估流程來實施風險評估。

 

（二）、關鍵業務原則

 

意思是要把被評估方的關鍵業務作為評估核心，圍繞這個核心的相關網路與系統作為評估重點。

 

（三）、可控性原則

 

a）服務可控性（就是要提前和客戶溝通好評估服務的流程）

b）人員與資訊可控性（就是說參與風險評估專案的所有人都要簽個保密協議）

c）過程可控性（這點呢就是要求要成立一個實施團隊，專案組長負責制）

d）工具可控性（把實施過程中要使用的評估工具告訴客戶，提前通氣兒）

 

（四）、最小影響原則

 

在實施風險評估時一定要最大限度的減小評估工作帶來的影響。

三、風險評估的流程

1、評估準備階段：對評估實施有效性的保證，是評估工作的開始。

2、風險要素識別階段：對評估活動中的各類關鍵要素資產、威脅、脆弱性、安全措施進行識別與賦值。

3、風險分析階段：對識別階段中獲得的各類資訊進行關聯分析，並計算風險值。

4、風險處置建議：針對評估出的風險，提出相應的處置建議，以及按照處置建議實施安全加固後進行殘餘風險處置等內容。

四、風險評估的工作形式

兩種形式：自評估與檢查評估。自評估就是組織自身對資訊系統進行的風險評估，也可以委託第三方服務機構來實施；檢查評估是資訊系統上級管理部門或國家有關職能部門依法開展的風險評估，一般來說，這種形式的評估採用的是抽樣評估，同樣也可以委託第三方服務機構來實施（在選擇第三方單位時，應審查評估單位、評估人員的資質和資格）。

五、資訊系統生命週期內的風險評估

資訊系統生命週期一般包括以下五個階段：

根據各個階段的評估物件以及安全需求的不同，風險評估的目的也各不相同。

 

1、規劃階段：識別系統的業務戰略，支撐系統安全需求及安全戰略。

2、設計階段：評估安全設計方案是否滿足資訊系統安全功能的需求。

3、實施階段：對系統開發、實施過程進行風險識別，對建成後的系統安全功能進行驗證。

4、運維階段：瞭解和控制系統執行過程中的安全風險。

5、廢棄階段：分析廢棄資產對組織的影響。

六、風險評估的實施

在第三節我們已經講過了風險評估的基本流程，這裡主要是風險評估的具體實施。

（一）準備階段

 

1、工作內容

 

這是評估工作的開始，分八步來完成準備工作

這幾步都很好理解，其中需要註意的有以下幾點

 

第一、確定評估範圍時，需合理定義評估物件和評估範圍邊界，一般劃分原則為：

 

a) 業務系統的業務邏輯邊界；

b) 網路及裝置載體邊界；

c) 物理環境邊界；

d) 組織管理許可權邊界；

 

第二、風險評估團隊由被評估單位、評估機構共同組建風險評估小組，由被評估單位領導、相關部門負責人，以及評估機構相關人員成立風險評估領導小組；聘請相關專業的技術專家和技術骨幹組成專家組。風險評估小組應完成評估前的表格、檔案、檢測工具等各項準備工作；進行風險評估技術培訓和保密教育；制定風險評估過程管理相關規定；編製應急預案等，同時雙方應簽署保密協議，適情簽署個人保密協議。

第三、資訊系統調研的內容包括：

 

a) 資訊系統安全保護等級；

b) 主要的業務功能和要求；

c) 網路結構與網路環境，包括內部連線和外部連線；

d) 系統邊界，包括業務邏輯邊界、網路及裝置載體邊界、物理環境邊界、組織管理許可權邊界等；

e) 主要的硬體、軟體；

f)  資料和資訊；

g) 系統和資料的敏感性；

h) 支援和使用系統的人員；

i)  資訊保安管理組織建設和人員配備情況；

j) 資訊保安管理制度；

k) 法律法規及服務合同；

 

第四、評估依據包括：

 

a) 適用的法律、法規；

b) 現有國際標準、國家標準、行業標準；

c) 行業主管機關的業務系統的要求和制度；

d) 與資訊系統安全保護等級相應的基本要求；

e) 被評估組織的安全要求；

f)  系統自身的實時性或效能要求等。

 

第五、合理選擇相應的評估工具，遵循如下原則：

 

a) 對於系統脆弱性評估工具，應具備全面的已知系統脆弱性核查與檢測能力；

b) 評估工具的檢測規則庫應具備更新功能，能夠及時更新；

c) 評估工具使用的檢測策略和檢測方式不應對資訊系統造成不正常影響；

d) 可採用多種評估工具對同一測試物件進行檢測，如果出現檢測結果不一致的情況，應進一步採用必要的人工檢測和關聯分析，並給出與實際情況最為相符的結果判定；

 

第六、風險評估方案的內容應包括：

 

a) 風險評估工作框架：包括評估標的、評估範圍、評估依據等；

b) 評估團隊組織：包括評估小組成員、組織結構、角色、責任；如有必要還應包括風險評估領導小組和專家組組建介紹等；

c) 評估工作計劃：包括各階段工作內容、工作形式、工作成果等；

d) 風險規避：包括保密協議、評估工作環境要求、評估方法、工具選擇、應急預案等；

e) 時間進度安排：評估工作實施的時間進度安排；

 

2、工作保障

 

 

（二）識別階段

 

這個階段差不多是整個風險評估工作中很重要的一個階段了，首先還是先畫一個結構圖來瞭解一下。

1、資產識別

 

風險的重要因素是以資產為中心，威脅、脆弱性以及風險都是針對資產而客觀存在的。

 

一般識別流程如下：

（1）資產分類：一般來說，我們把資產分為硬體、軟體、資料、服務、人員以及其他6大類。

 

（2）資產調查：識別組織和資訊系統中資產（包括資產屬性）的重要途徑。一般情況下，可透過查閱資訊系統需求說明書、可行性研究報告、設計方案、實施方案、安裝手冊、使用者使用手冊、測試報告、執行報告、安全策略檔案、安全管理制度檔案、操作流程檔案、制度落實的記錄檔案、資產清單、網路拓撲圖以及訪談相關人員等，識別組織和資訊系統的資產。

 

（3）資產賦值：依據資產保密性、完整性和可用性等安全屬性為資產賦值。一般來說，根據以下幾個因素綜合來為資產資產賦值:

 

a) 資產所承載資訊系統的重要性；

b) 資產所承載資訊系統的安全等級；

c) 資產對所承載資訊保安正常執行的重要程度；

d) 資產保密性、完整性、可用性等安全屬性對資訊系統，以及相關業務的重要程度。

 

（4）資產賦值報告：根據資產賦值情況，形成資產串列和資產賦值報告。

 

2、威脅識別

 

威脅是指可能導致危害系統或組織的不希望事故的潛在起因。在資訊保安領域，不存在絕對的安全。

 

威脅的一般識別流程如下：

（1）威脅分類：威脅分為軟硬體故障、物理環境影響、無作為或操作失誤、管理不到位、惡意程式碼、越權或濫用、網路攻擊、物理攻擊、洩密、篡改、抵賴11類。如果根據威脅產生的起因、表現和後果不同，威脅又可分為有害程式、網路攻擊、資訊破壞、資訊內容攻擊、裝置設施故障、災害性破壞、其他威脅7類。

 

（2）威脅調查：調查工作包括威脅源動機及其能力、威脅途徑、威脅可能性及其影響；威脅調查的方法是多樣化的，根據組織和資訊系統自身的特點，發生的歷史安全事件記錄（資料），面臨威脅分析等方法進行調查。

 

（3）威脅分析：基於前面的威脅調查作出分析。同樣也可對威脅的可能性進行賦值，威脅賦值分為很高、高、中等、低、很低5個級別，級別越高表示威脅發生的可能性越高。

 

（4）威脅分析報告：報告內容包括威脅名稱、威脅型別、威脅源攻擊能力、攻擊動機、威脅發生機率、影響程度、威脅發生的可能性、威脅賦值以及嚴重威脅說明等。

 

3、脆弱性識別

 

脆弱性可從技術和管理兩個方面進行識別。

 

技術方面，可從物理環境、網路、主機系統、應用系統、資料等方面識別資產的脆弱性；管理方面，可從技術管理脆弱性和組織管理脆弱性兩方面識別資產的脆弱性，技術管理脆弱性與具體技術活動相關，組織管理脆弱性與管理環境相關。

 

脆弱性識別所採用的方法主要有：檔案查閱、問卷調查、人工核查、工具檢測、滲透性測試等。

 

（1）安全技術脆弱性核查

 

物理環境安全	（1）安全措施：機房選址、建築物的物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護等。 （2）核查方法：現場檢視、詢問物理環境現狀，驗證安全措施的有效性。
網路安全	（1）安全措施：網路拓撲圖，vlan劃分，網路訪問控制，網路裝置防護，安全審計，邊界完整性檢查，入侵防範，惡意程式碼防範等。

 

（2）核查方法：檢視網路拓撲圖、網路安全裝置的安全策略、配置等相關檔案，詢問相關人員，檢視網路裝置的硬體配置情況，手工或自動檢視或檢測網路裝置的軟體安裝和配置情況，檢視和驗證身份鑒別、訪問控制、安全審計等安全功能，檢查分析網路和安全裝置日誌記錄，利用工具探測網路拓撲結構，掃描網路安全裝置存在的漏洞，探測網路非法接入或外聯情況，測試網路流量、網路裝置負荷承載能力以及網路頻寬，手工或自動檢視和檢測安全措施的使用情況並驗證其有效性等。 

| 主機系統安全 | 

 

（1）安全措施：身份鑒別、訪問控制、安全審計、剩餘資訊保護、入侵防範、惡意程式碼防範、資源控制等。
（2）核查方法：手工或自動檢視或檢測主機硬體裝置的配置情況以及軟體系統的安裝配置情況，檢視軟體系統的自啟動和執行情況，檢視和驗證身份鑒別、訪問控制、安全審計等安全功能，檢視並分析主機系統執行產生的歷史資料（如鑒別資訊、上網痕跡），檢查並分析軟體系統日誌記錄，利用工具掃描主機系統存在的漏洞，測試主機系統的效能，手工或自動檢視或檢測安全措施的使用情況並驗證其有效性等。 

 

| 應用系統安全 |

 

（1）安全措施：身份鑒別、訪問控制、安全審計、剩餘資訊保護、通訊完整性、通訊保密性、抗抵賴、軟體容錯、資源控制等。
（2）核查方法：查閱應用系統的需求、設計、測試、執行報告等相關檔案，檢查應用系統在架構設計方面的安全性（包括應用系統各功能模組的容錯保障、各功能模組在互動過程中的安全機制、以及多個應用系統之間資料互動介面的安全機制等），審查應用系統原始碼，手工或自動檢視或檢測應用系統的安裝配置情況，檢視和驗證身份鑒別、訪問控制、安全審計等安全功能，檢視並分析主機系統執行產生的歷史資料（如使用者登入、操作記錄），檢查並分析應該系統日誌記錄，利用掃描工具檢測應用系統存在的漏洞，測試應用系統的效能，手工或自動檢視或檢測安全措施的使用情況並驗證其有效性等。 

 

| 資料安全 | 

 

（1）安全措施：資料完整性保護措施、資料保密性保護措施、備份和恢復等。
（2）核查方法：通訊協議分析、資料破解、資料完整性校驗等。 

 

（2）安全管理脆弱性核查

 

安全管理核查主要透過查閱檔案、抽樣調查和詢問等方法，並核查資訊保安規章制度的合理性、完整性、適用性等。

 

安全管理組織	核查方法：檢視安全管理機構設定、職能部門設定、崗位設定、人員配置等相關檔案，以及安全管理組織相關活動記錄等檔案。
安全管理策略	核查方法：檢視是否存在明確的安全管理策略檔案，並就安全策略有關內容詢問相關人員，分析策略的有效性，識別安全管理策略存在的脆弱性。
安全管理制度	核查方法：審查相關制度檔案完備情況，檢視制度落實的記錄，就制度有關內容詢問相關人員，瞭解制度的執行情況，綜合識別安全管理制度存在的脆弱性。
人員安全管理	核查方法：查閱相關制度檔案以及相關記錄，或要求相關人員現場執行某些任務，或以外來人員身份訪問等方式進行人員安全管理脆弱性的識別。
系統運維管理	核查方法：審閱系統運維的相關制度檔案、操作手冊、運維記錄等，現場檢視運維情況，訪談運維人員，讓運維人員演示相關操作等方式進行系統運維管理脆弱性的識別。

 

4、工作保障

 

 

（三）風險分析階段

 

1、資訊保安風險分析原理：

2、風險值的計算方法

 

風險計算方法一般分為定性計算方法和定量計算方法兩大類。

 

（1）定性計算方法：將風險的各要素資產、威脅、脆弱性等的相關屬性進行量化（或等級化）賦值，然後選用具體的計算方法（如相乘法或矩陣法）進行風險計算；

（2）定量計算方法：透過將資產價值和風險等量化為財務價值的方式來進行計算的一種方法。由於定量計演演算法需要等量化財務價值，在實際操作中往往難以實現，所以一般不採用該計算方法。

 

3、風險分析與評價

 

透過對風險的等級劃分，來確定總體的風險狀況。

 

4、風險評估報告

 

報告內容包括：風險對組織、業務及系統的影響範圍、影響程度；依據的法規和證據；風險評價結論。

 

5、工作保障

（四）風險處置建議

 

這個階段是圍繞風險評估報告來進行的風險處置，還是有5點內容。

 

1、處置原則

 

將風險控制在可接受範圍內，具體處置時，可依據等級保護相關要求實施的安全風險加固工作，應滿足等級保護相應等級的安全技術和管理要求；對於因不能夠滿足該等級安全要求產生的風險則不能夠適用適度接受風險的原則。

 

2、安全整改建議

 

風險處置方式一般包括接受、消減、轉移、規避等，安全整改屬於風險消減方法。整改建議根據安全等級有所不同：

 

a）對於非常嚴重、需立即降低且加固措施易於實施的安全風險，建議被評估組織立即採取安全整改措施。

b）對於非常嚴重、需立即降低，但加固措施不便於實施的安全風險，建議被評估組織立即制定安全整改實施方案，儘快實施安全整改；整改前應對相關安全隱患進行嚴密監控，並作好應急預案。

c）對於比較嚴重、需降低且加固措施不易於實施的安全風險，建議被評估組織制定限期實施的整改方案；整改前應對相關安全隱患進行監控。

 

3、組織評審會

 

評估專案結束時召開評審會，參與人員一般包括：被評估組織、評估機構及專家等。

 

評估專案驗收檔案如下：

工作階段	輸出文件	檔案內容
準備階段	《系統調研報告》	對被評估系統的調查瞭解情況，涉及網路結構、系統情況、業務應用等內容。
《風險評估方案》	根據調研情況及評估目的，確定評估的標的、範圍、物件、工作計劃、主要技術路線、應急預案等。
識別階段	《資產價值分析報告》	資產調查情況，分析資產價值，以及重要資產說明。
《威脅分析報告》	威脅調查情況，明確存在的威脅及其發生的可能性，以及嚴重威脅說明。
《安全技術脆弱性分析報告》	物力、網路、主機、應用、資料等方面的脆弱性說明。
《安全管理脆弱性分析報告》	安全組織、安全策略、安全制度、人員安全、系統運維等方面的脆弱性說明。
《已有安全措施分析報告》	分析組織或資訊系統已部署安全措施的有效性，包括技術和管理兩方面的安全管控說明
風險分析	《風險評估報告》	對資產、威脅、脆弱性等評估資料進行關聯計算、分析評價等，應說明風險分析模型、分析計算方法。
風險處置	《安全整改建議》	對評估中發現的安全問題給予有針對性的風險處置建議

 

4、殘餘風險處置

 

殘餘風險處置是對仍然存在的安全風險進行識別、控制和管理的活動。

 

5、工作保障

首次撰寫整理，請見諒，大家有什麼意見歡迎為我指正，感激不盡！