声 明
l xxxxxxxxxxxxxxxxxxxxxx(以下简称工程中心)依据相应技术标准和有关法律法规实施信息系统风险评估。
l 本报告中给出的结论仅对被评估系统的当时状况有效,当评估后系统出现任何变更时,涉及到的任何模块(或子系统)都应重新进行评估,本评估结果不再适用。
l 报告中描述的被测系统存在的安全问题,不限于报告中指出的位置。
l 在任何情况下,若需引用本报告中的结果或数据都应保持其本来的意义,不得擅自进行增加、修改、伪造或掩盖事实。
l 为保证系统所属方的利益,本报告仅提供给被测系统所属方,工程中心不向第三方提供,并为其保密。被测方不能将此报告或报告中的某一部分拷贝或复制,作为广告宣传材料。
本报告结论的有效性建立在用户提供材料的真实性基础上。
1. 评估基本情况
1.1. 委托单位信息
|
|||
委托项目名称 |
|
||
单位地址 |
|
||
邮政编码 |
|
传真 |
|
联系人 |
|
联系电话 |
|
联系人E-MAIL |
|
1.2. 评估单位信息
单位名称 |
工程中心 |
||||
地址 |
XX市XX区XX大街19号新中关大厦B座北翼16层 |
邮编 |
100080 |
||
联系人 |
王俊丰 |
|
wangjf@nercis.ac.cn |
||
电话 |
(XX)XXX86134 |
传真 |
(XXX)XX486355 |
||
URL |
Http://www.nerXX.ac.cn |
||||
参与本次评估小组成员有: 组长: 监督员: 组员: |
2. 评估目的
XXXX年XX月,受XXXX单位委托,工程中心对XXXX信息系统进行风险评估。通过评估,在坚持科学、客观、公正原则的基础上,全面、完整地了解当前系统的安全状况,分析系统所面临的各种风险,根据评估结果发现系统存在的安全问题,并对严重的问题提出相应的风险控制策略。
主要工作任务包括:系统调研、方案编写、现场检测、资产分析、威胁分析、脆弱性分析和风险分析。
1. 评估依据
[本次评估依据的政策文件]
l 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
l 《北京市公共服务网络与信息系统安全管理规定》(2006)北京市政府令第163号
l 北京市《关于落实<中共中央办公厅、国务院办公厅转发国家信息化工作领导小组关于加强信息安全保障工作意见通过>的实施计划》(2004)3号
[本次评估所依据的标准规范]
l 《信息系统安全等级保护基本要求》
l 《党政机关信息系统风险评估规范》(DB11/T 171-2002)
[本次评估所参考的标准规范]
l 北京市《电子政务信息安全保障技术框架》
l 信息安全技术 信息安全风险评估规范(GB/T 20984-2007)
l 信息技术信息安全管理实用规则(GB/T 19716-2005)(ISO/IEC 17799:2000)
l 《信息系统安全风险评估实施指南》
[其他参考资料]
1. XXXXX安全方案
2. XXXXXXXXXX
3. 其它有关技术规范和用户需求
2. 评估范围
本次评估由工程中心承担主导工作,XXX单位协调配合。经双方协商决定,选择XXXX信息系统作为本次风险评估的应用系统,评估范围包括两个方面的内容:一是技术风险评估,二是管理风险评估。其中技术风险评估主要包括物理安全、网络安全、主机安全、应用安全和数据安全等五个层面,管理风险评估包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个方面(或按照27001十一类展开描述)。本次评估工作包括体系结构分析、资产分析、威胁分析、脆弱性分析、已有安全措施分析和风险分析。
3. 体系结构分析
略
1. 资产分析
首先对评估范围内的资产进行识别,在准确完整识别资产的基础上对资产进行重要性分析并赋值。对于资产的识别将采用自顶向下,以有形资产为依托,无形资产附于有形资产之上的方法,即根据确定的重要应用系统识别关联的主机、设备等。对于资产的分析则采用自底向上的方法,即从体系底层开始分析,首先分析基础设施,如物理安全,然后再分析网络设备、安全设备,一直到应用系统。
对于资产的赋值,不仅要考虑资产本身的价值,更重要的是考虑资产的安全属性缺失对组织造成的影响。资产赋值过程也就是对资产在完整性、保密性、可用性上的达成程度进行分析,并根据被评估组织的业务情况确定综合值,也就是资产的重要性。我们首先分别对各项资产的保密性、完整性、可用性进行分析,期间我们将参考GB/T20984推荐的评价尺度进行CIA赋值,然后根据业务关联性,从CIA赋值中选择对业务影响最大的一个赋值做为资产最终的重要性赋值。
以下是CIA以及重要性赋值的评价尺度:
略
1. 脆弱性分析
对于评估范围内的每一项资产,要找出每一种威胁所能利用的脆弱性,并对脆弱性的严重程度进行评估。脆弱性分析将从技术、管理两个方面进行。其中在技术方面主要是通过远程和本地两种方式进行漏洞扫描、人工检查、功能测试、渗透测试等方式进行评估,以保证脆弱性分析的全面性和有效性;管理脆弱性分析方面主要是按照BS 7799的安全管理要求(或等级保护基本要求)对现有的安全管理制度的制定和执行情况进行检查,发现其中的管理漏洞和不足。
1.1. 技术脆弱性分析
技术脆弱性主要通过漏洞扫描、人工检查、渗透测试等方法进行识别,在对技术脆弱性进行完全识别的基础上,根据脆弱性一旦被威胁利用,对资产以及组织产生的负面影响对脆弱性进行赋值。同时,由于安全措施能够削弱和减少脆弱性,所以在赋值时要充分已有的安全措施。
技术脆弱性严重程度都是相对的,并不能认为脆弱性程度低的问题就不用去解决,但脆弱性程度高的问题则肯定需要加以解决,从实际的等级安全要求上,无论脆弱性等级高低,都应该得到改进。
参考国家标准GB/T20984,对脆弱性严重程度划分为五个级别,等级数值越大,脆弱性严重程度越高,以下为参考评价尺度。
更多……