1、目 录1概述351。1项目背景351.2项目目标351。3项目内容361.4项目设计原则371.5项目范围381.6文件和法律法规382天融信对本项目的理解392.1对项目目标的理解392.2对项目特点的理解393项目总体方法与流程413.1概述413.2天融信风险评估方法443.3本项目采用的安全风险评估方法453。4技术难点和关键突破484信息资产调查和赋值504。1信息资产概述504.2信息资产分类504.3保护对象框架564.4资产识别过程584.5信息资产赋值594。6赋值工作操作方法指南645IT设备评估665。1评估的过程665.2评估的方法685。3评估的内容705。4评估的风
2、险和应对726网络设备安全风险评估736.1评估过程描述746.2评估的方法776.3评估的内容786.4评估的风险和应对817应用系统和管理安全风险评估817.1评估过程描述847.2评估方法467。3评估内容477.4风险及应对措施608安全增强与加固618。1安全加固内容628。2安全加固流程649应急响应服务659.1服务目标:659.2服务特点:669。3一般实施流程:669。4流程说明:6610安全解决方案6810。1解决方案设计概述6810。2安全需求分析6810.3安全解决方案设计6911项目组织结构7111.1现场实施阶段,项目组织结构7111.2项目角色和责任7112项目进
3、度计划7412。1项目主要过程时间安排7413项目启动和准备阶段7513。1概述7513。2参加人员7513.3过程描述7513。4需要中海信托配合的工作7513.5输出7614现场实施阶段7614.1资产调查7614。2安全评估(包括漏洞扫描、人工检查等)7714.3渗透测试7914。4安全加固8014。5应急响应服务8115数据分析及报告阶段8315.1概述8315。2过程描述8315.3需要中海信托配合的工作8415.4输出8416项目收尾阶段8416。1概述8416.2过程描述8516.3需要中海信托配合的工作8516.4输出8517售后服务8517。1安全服务技术支持服务8517.2
4、安全服务跟踪服务8517。3天融信安全服务业务关键能力8618项目管理及沟通办法8718.1天融信工程项目管理方法8718.2天融信项目管理遵循的标准8818。3项目沟通办法8819项目风险管理及保密控制9219.1项目风险分析及规避措施9219.2项目的保密控制9420天融信信息安全服务业务介绍9520.1安全服务组织结构图9520.2安全服务业务范围9621项目实施质量保证9821。1项目执行人员的质量职责9821。2天融信安全服务质量保证体系严格贯彻以下过程9822项目验收方式10122。1验收方法确认10222。2验收程序10322。3版本控制10522.4交付件归档办法10623项目
5、分项报价表1071 概述1.1 项目背景近年来,随着信息化技术越来越深入和广泛的应用,信息安全的风险日益加大,国家和各行业主管机构都对防范信息安全风险非常重视。国家信息化领导小组颁发的信息安全等级化保障体系系列标准文件对我国信息安全保障工作做出原则性战略性的规定,要求坚持积极防御、综合防范的方针,全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全,经过五年左右的努力,基本形成国家信息安全保障体系。2006年起,银监会发布了商业银行内部控制指引,并进一步发出了关于信托投资公司加强内部控制和风险控制的要求。2008年7月,国家财政部和证监会、银监会、保监会等联合发布了企业内部控制基本
6、规范,对企业的内部控制提出了较为具体的要求。为进一步保障银联网络的边界安全,降低信息安全风险,中海信托投资有限公司拟于2009年在业界知名互联网安全服务公司的协助下,对中海信托信息系统实施安全风险管理服务( 包括安全技术和管理评估、互联网应用渗透测试、安全体系建设咨询、安全加固服务、紧急安全事件响应等服务 ),为中海信托的核心业务系统稳定运行提供安全保障。1.2 项目目标通过实施整体信息安全风险评估服务(包括安全技术和管理评估、互联网应用渗透测试、安全体系建设咨询、安全加固服务、紧急安全事件响应等服务)提高中海信托信息系统的安全性和可靠性,并在紧急情况下对提供紧急安全事件响应支持,控制并降低来
7、自于互联网的安全风险.通过本次对中海信托网络安全服务项目,可以达到以下主要目标:n 通过安全风险评估,得到中海信托的整体安全现状;n 通过渗透测试和安全技术评估,分析中海信托信息系统存在的各类技术性安全缺陷,并进行整改;n 通过管理体系评估,发现中海信托在风险管理、安全策略和内部控制等方面存在的问题并加以改进;n 通过安全加固和策略体系改进,全方位的提升中海信托的信息安全管理水平。1.3 项目内容本次整体信息安全风险评估项目的内容可以分为几个部分:1.3.1 信息安全风险评估1. 信息资产调查调查和统计中海信托信息系统所包含的信息资产(包含物理环境、终端、网络设备、主机、应用软件、业务系统、数
8、据、人员、标准流程等),明确其现有状况、配置情况和管理情况。如主机系统,需要明确其平台、版本、补丁等基本情况外,还需明确开放端口、服务和进程等配置管理信息。并对所有信息资产按照一定标准进行资产赋值。现有安全系统调查工作包括明确现有安全设备(包括防火墙、防病毒系统、入侵检测系统、安全扫描系统、帐号口令集中管理系统、域控制服务器等)的部署情况和使用情况;同时了解在建网络与信息安全建设项目,使之服从统一部署原则.2. 安全风险评估根据中海信托现有的安全标准规范和业务对安全的要求,分析主机、网络及安全设备面临的威胁,评估现有系统的存在的弱点,明确所有信息系统面临的安全风险和隐患。1.3.2 应用系统渗
9、透测试通过黑客或白客方式对指定的Internet业务系统进行渗透攻击,发现该系统存在的安全隐患,并提出解决措施。1.3.3 信息系统安全加固安全加固和优化服务是实现客户信息系统安全的关键环节。通过使用该项服务,将在中海信托信息系统的网络层、主机层和应用层等层次建立符合中海信托安全需求的安全状态,并以此作为保证中海信托信息系统安全的起点。1.3.4 安全策略体系整改通过对现有安全体系策略制度的审阅、解读和差距性分析,对现有安全管理制度和内控制度进行改善,使之能够完全符合当前国内相关控制标准的要求,并向相关的国际化标准看齐。1.4 项目设计原则n 符合性原则:符合国家等级化保护体系指出的积极防御、
10、综合防范的方针和等级保护的原则.n 标准性原则:服务方案的设计与实施应依据国内或国际的相关标准进行;n 规范性原则:服务工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制;n 可控性原则:方法和过程在双方认可的范围之内,安全服务的进度要按照进度表进度的安排,保证甲方对于服务工作的可控性;n 整体性原则:安全服务的范围和内容整体全面,包括安全涉及的各个层面(应用、系统、网络、管理制度、人员等),避免由于遗漏造成未来的安全隐患;n 最小影响原则:安全服务中的工作尽可能小的影响系统和网络的正常运行,不能对现网的运行和业务的正常提供产生显著影响;n 保密性原则:对过程数据和结果数据严格保密
11、,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害甲方的行为,否则甲方有权追究乙方的责任.甲方有权要求乙方在服务结束之后销毁所有和本项目有关的数据和文档.1.5 项目范围本项目选择中海信托的核心业务系统作为服务对象。1.6 文件和法律法规国内政策与标准:n 国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号);n 关于开展信息安全风险评估工作的意见2006年1月国家网络与信息安全协调小组;n 关于印发信息安全风险评估指南的通知2006年2月国信办(国信办综20069号);n 商业银行内部控制指引 2006年12月 银监会n 企业内部控制基本规范 2008年7月
12、财政部、证监会、审计署、银监会、保监会国际政策与标准:n ISO/IEC 27001信息安全管理体系标准n COSO/COBIT 内控和信息技术控制框架n ISO/IEC TR 13335 Series, Guidelines for the management of IT Security (CMITS),1996-2001n NIST SP800 Series, Computer Security Special Publications,199120052 天融信对本项目的理解2.1 对项目目标的理解安全风险评估工作是中海信托信息安全体系运作体系中风险管理的重要组成部分,通过周期性的安
13、全风险评估工作发现公司的安全现状,为公司安全建设和安全加固提供数据基础。综上所述,本期项目的目标是:通过安全评估的技术手段,尽可能发现和定位中海信托各信息系统存在的安全风险,为安全加固、系统整改及应急响应提供依据和技术指导,降低中海信托整体的安全风险。2.2 对项目特点的理解通过上面对本项目目标的分析,本期深度安全风险评估工作存在如下特点:n 要求高:l 由于中海信托业务的快速增长,对信息安全的要求越来越高,所以要比以前采用更加规范的项目管理要求;l 本次评估的技术深度和广度,都要强于以前的项目及同行业的要求(多个系统的应用分析);l 采用的技术标准,是当前最新、最及时的,相比历史评估工作和同
14、行业类似工作的技术要求是最高的;n 技术与管理并重:l 由于面临的外部威胁的压力和影响力比以往要大很多,所以本次项目更加侧重于通过外部渗透测试的方法,发现从外部的威胁和影响(尤其是从外部Internet进行渗透测试);l 本次项目渗透测试涉及的系统范围更广,而且更深地分析通过“信任关系”发生的渗透,从而发现“木桶原理”中的“最短那块板”;n 更加侧重于应用系统自身特点的安全评估:l 综合分析业务和管理层(数据流,角色权限);应用层(数据库,中间件);系统层(主机操作系统);网络层(网络架构,网络设备),提出的安全风险更加有针对性;l 中海信托各应用系统有不同的特点,在本次项目中要结合不同部门、
15、不同系统特点进行相应的应用系统安全评估;n 更加考虑安全加固和应急响应体系建设的可行性:l 本次项目在实施过程中安排了时间,对发现的问题进行及时地讲解和答疑;l 对发现的问题提出的解决方案,和系统管理员及时沟通,并协助进行讲解和培训,对不能直接解决的,提出综合解决、降低风险的方案.3 项目总体方法与流程3.1 概述风险管理(Risk Management)旨在对潜在机会和不利影响进行有效管理的文化、程序和结构。风险管理是良好管理的一个组成部分,它用一种将损失减小到最低程度而使商业机会达到最大限度的方式,对与机构的任何活动、功能和过程相关的风险进行环境建立、鉴定、分析、评价、处理、监控和信息交流
16、。风险管理过程(Risk Management Process)是指系统地将管理方针、程序和结构应用于风险的环境建立、鉴定、分析、评价、处理、监控和信息交流等过程任务。在信息安全领域,同样适用于风险管理的理念和方法论.在当前信息技术得到普遍应用,并且很多成为关键业务系统的环境下,企业或组织的信息安全风险很大,而且普遍缺乏有效的控制和管理,但过度的风险管理,无疑会导致大量的金钱和人力的花费、以及工作效率的严重降低。所以,如何适度和有效地进行信息安全的风险的管理和控制,成为了一项迫切和重要的任务.下面的描述即是阐明风险评估过程的理念和方法论,以作为天融信安全服务的标准方法论和理论基础,指导和规范天
17、融信的安全风险安全服务工作。3.1.1 安全模型参考在澳大利亚和新西兰国家标准风险管理Risk Management(AS/NZS 4360:1999)中描述了风险管理过程,如下图所示:在国际标准ISO13335中,安全模型如下图所示,特点是以风险为核心。在国际标准中,安全模型如下图所示,其特点是强调了模型的对抗性和动态性。可以看出,安全模型中的核心要素都是资产、弱点、威胁、风险、安全措施等,各要素之间的关系也基本类似,只是描述和关注的角度不同。3.1.2 风险评估标准风险评估过程中主要选择的规范和标准包括:中海信托技术规范和标准:国内政策与标准:n 国家信息化领导小组关于加强信息安全保障工作
18、的意见(中办发200327号);n 关于开展信息安全风险评估工作的意见2006年1月国家网络与信息安全协调小组;n 关于印发信息安全风险评估指南的通知2006年2月国信办(国信办综20069号);国际政策与标准:n ISO/IEC 27001n ISO/IEC TR 13335 Series, Guidelines for the management of IT Security (CMITS),19962001n NIST SP800 Series, Computer Security Special Publications,19912005n ISO/IEC 15408-1999“信息
19、技术 安全技术 信息技术安全性评估准则(简称CC)3.2 天融信风险评估方法3.2.1 风险评估模型在安全评估服务中,天融信参照上述两个安全模型,根据自己的工程实践,建立了自己的风险评估模型,描述如下:在天融信的风险评估模型中,主要包含信息资产,弱点/脆弱性、威胁和风险四个要素。每个要素有各自的属性,信息资产的属性是资产价值,弱点的属性是弱点被威胁利用后对资产带来的影响的严重程度,威胁的属性是威胁发生的可能性,风险的属性是风险发生的路径。因此,天融信风险评估的过程是:a) 对信息资产进行识别,并对资产赋值;b) 识别信息资产的脆弱性(弱点/漏洞),并对弱点的严重程度赋值;c) 对威胁进行分析,
20、并对威胁发生的可能性赋值;d) 综合分析资产价值、资产的脆弱性和威胁发生的可能性,得到信息资产的风险发生的路径和级别,并对风险进行处置,选择合适的控制措施。3.2.2 总体工作流程图根据安全风险评估模型,天融信安全风险评估的总体工作流程如下图:在评估过程中首先要进行全网的资产调查,识别的内容包括:“信息设备、应用系统、网络环境、组织结构及物理环境;然后进行应用系统安全目标的识别和分析;以及通过安全评估的“业务系统评估、“渗透测试、“网络架构评估”、“IT设备弱点评估”、“应用安全评估”、“安全管理评估、“物理安全评估”各项内容获取“安全现状”(包括:安全威胁)、“安全弱点” .最后通过各系统、
21、子系统的安全目标和其“安全现状”、“安全弱点的对比分析,得到安全现状和解决方案。3.3 本项目采用的安全风险评估方法本次项目由于侧重点于技术问题的发现,并指导今后的安全加固和系统技术整改等技术工作;根据本次项目的特点,准备采用如下三种安全风险评估的方法,主要针对非重点系统、重点系统网络类、重点系统计算类;3.3.1 非重点系统的IT设备弱点评估如下图所示:本评估主要目标是为IT设备的弱点提供安全加固的指导和依据,主要涉及“主机系统弱点评估”;“网络设备弱点评估;“安全设备弱点评估” 。主机系统弱点评估采用人工现场检查和工具扫描两种方式;网络设备弱点评估和安全设备弱点评估,对能够导出配置信息、并
22、配置信息可识别分析的,采用后台人工分析方式;对不能导出配置信息、或配置信息不可识别分析的,采用人工现场检查方式。评估的结果,是体现各单点资产的弱点状况,以及综合的统计分析报告,主要为指导单点设备的安全加固工作。3.3.2 网络类重点系统的安全评估如下图所示:网络类重点系统是公司主要承载各业务的基础平台,其评估的目标不仅是发现现存系统的问题,指导安全加固和系统整改的工作和依据;而且还要根据业务发展需要,为网络建设提供安全保障的规划依据。本安全评估包含:“IT设备弱点评估;网络架构安全评估和渗透测试” ,其中IT设备弱点评估和前面的一致.网络架构安全评估包括:网络现状安全合理性分析以及随业务发展需
23、要的网络安全需求分析,主要采用的方法是:后台分析(对网络拓扑、相关技术文档、访问控制等配置信息分析)、现场设备检查(对网络设备或网管系统的安全状况查看)、系统管理员的顾问访谈(网络现状存在的问题、网络安全事件、业务发展对网络的影响及假设)、主管领导的顾问访谈(业务发展对网络安全的要求);渗透测试,主要采用嗅探及入侵的手法,分析从外部越权进入本系统的路径和可能性,以及可越权访问接入本网络系统的系统范围和影响。注:如无特殊需要,不采用DOS等恶意攻击手段.本评估的结果,除体现单个资产的弱点状况,指导安全加固外;还可为系统整改,划分安全域以及未来网络规划提供参考;同时由于公司涉及网络类系统之间是有强
24、的关联,最后要综合分析各网络类系统和应用系统的关联性,设计全网的网络安全解决方案建议。3.3.3 应用计算类重点系统的安全评估如下图所示:应用计算类重点系统是公司各独立的业务单元,包括完整的主机、网络、应用各项内容;其评估的目标是从深度上(业务管理层数据流,用户角色权限;应用层数据库,中间件);到广度上系统层(主机操作系统);网络层(网络架构,网络设备),提出全面的安全风险分析报告。本安全评估包含:“IT设备弱点评估;网络架构安全评估;应用系统安全评估和渗透测试 ,其中IT设备弱点评估和前面一致。网络架构安全评估主要从网络结构上分析其应用系统安全域划分的合理性及访问控制策略的符合性,具体方法和
25、前面一致。应用系统安全评估,主要包括:对业务逻辑和数据流的安全分析;对应用平台的安全分析.主要方法是:后台分析(对业务系统设计、运行相关技术文档)、现场设备检查(对应用平台和数据库进行安全状况查看)、源代码评估(对部分关键流程的代码进行分析)、系统管理员的顾问访谈(现状存在的问题、安全事件、业务发展的影响及假设).渗透测试,主要采用入侵和角色提升的手法,分析从外部越权侵入本系统的路径和可能性;以及模拟不同用户角色提升权限,进行数据篡改或越权访问的可能性分析.本评估的结果,除体现单个资产的弱点状况,指导安全加固外;重点为系统整改,安全域划分以及系统开发提供参考.3.4 技术难点和关键突破在对中海
26、信托进行安全风险评估的过程中,由于其规模庞大,信息系统复杂,业务系统的特性和安全属性存在巨大差异,因此对于评估标准的选择,以及评估成果的适用性都提出了巨大的挑战。3.4.1 评估指标的定制面临困难:安全没有定制化的适用的安全指标,造成评估结果不可信一般在安全评估时,评估服务提供者因为在评估前并不熟悉和理解被评估方的业务特性和安全特性,所以不能定制非常适用的评估标准指标,也就是说没有非常适用,反映被评估对象特性的评估标准,一般都采用国际或国家标准。虽然国际或国家标准适用于所有信息系统,但其适用广泛性原因,评估标准比较笼统,不反映行业特性和企业特性.这样,因为缺乏适用的评估标准,造成的评估结果可用
27、性差,也缺乏针对性,不能反映业务特性和行业特性。尤其是如果服务提供者对客户首次评估,存在评估质量较低的风险,这是评估服务业务一个多年存在的难题,很难解决.通常情况下,评估质量取决于评估服务提供者和评估顾问的经验是否丰富,是否非常熟悉被评估者的业务特性和行业特性。解决方法:在评估前设计行业安全评估指标,并在评估开始阶段尽可能的定制能否准确定制行业安全评估指标,即行业评估标准是评估项目能否成功的关键环节之一,它对评估结果的适用性和真实性起着关键作用。在作评估前,我们根据多年对不同行业的丰富评估经验和深刻理解,根据不同的行业业务特性和安全要求特性的理解,总结出反映行业特性的安全要求,设计出针对不同行
28、业的安全对策指标体系,再细化成不同行业的安全评估指标。3.4.2 强调评估成果的适用性面临困难:评估成果和建议难以实施,技术和管理难以有效融合,缺乏抗打击能力和可控性信息安全问题包含管理方面问题、技术方面问题以及两者的交叉,它从来都不是静态的,随着组织的策略、组织架构、业务流程和操作流程的改变而改变。中海信托现有的安全防护措施大多属于静态的单点技术防护,单纯部署安全产品是一种静态的解决办法,单纯防范黑客入侵和病毒感染更是是片面的。一旦单点防护措施被突破、绕过或失效,整个安全保障将会失效,威胁将影响到整个信息系统。评估成果中解决方案在设计过程中需要系统化的全面考虑,避免单点考虑,形成系统化措施.
29、解决方案:强调多重深度保障和抗打击能力,强调评估成果的可用性27号文件提出 “坚持积极防御、综合防范的方针”,美国国家安全战略中指出,国家的关键基础设施的“这些关键功能遭到的任何破坏或操纵必须控制在历时短、频率小、可控、地域上可隔离以及对利益损害最小这样一个规模上。两者都强调了抗打击能力和可控性,这就要求采用多层保护的深度防御策略,实现安全管理和安全技术的紧密结合,防止单点突破。天融信在输出评估结果时,会将管理手段和安全技术紧密结合,充分吸收业务特性,建立一个适用性强、可行性强并具有多重深度保障手段的防护网络。4 信息资产调查和赋值4.1 信息资产概述资产是企业、机构直接赋予了价值因而需要保护
30、的东西。它可能是以多种形式存在,有无形的、有有形的,有硬件、有软件,有文档、代码,也有服务、企业形象等。它们分别具有不同的价值属性和存在特点,存在的弱点、面临的威胁、需要进行的保护和安全控制都各不相同.为此,有必要对企业、机构中的信息资产进行科学识别,以便于进行后期的信息资产抽样、制定风险评估策略、分析安全功能需求等活动。虽然信息资产具有非常广泛的含义,但这里将信息资产定义如下:信息资产是指组织的信息系统、其提供的服务以及处理的数据。4.2 信息资产分类参照ISO 27001对信息资产的描述和定义,结合安全评估的经验,将信息资产按照下面的方法进行分类:类别解释/示例网络设备一台或一组互备的网络
31、设备,包括网络设备中的硬件,IOS,配置文件数据及其提供的网络服务.包括路由器、交换机、RAS等,防火墙、IDS等安全设备除外。服务器一台或一组服务器,包括服务器硬件、运行于其上的OS、通用应用、服务,数据库、磁盘阵列等。工作站客户端用机、个人用机等.安全设备作为安全用途的硬件和软件,如:防火墙、IDS、AV等。存储设备提供存储用途的硬件和软件,如:磁盘阵列等.业务系统指组织为其应用而开发或购买的各类应用软件及其提供的业务服务。应用平台软件主要是指提供通用服务的各种平台系统,包括:数据库WWW、Mail、FTP、DNS、以及专有的中间件产品等; 数据及文档主要指存在于电子媒介或纸制的各种数据和
32、资料,包括数据库数据、存放于硬盘上的文件、代码;财务数据及书面报告等。组织和人员指和安全相关的组织和人员,包括各级安全组织,安全人员、各级管理人员,网管员,系统管理员,业务操作人员,第三方人员等物理环境指支持IT系统运行的基础物理设施,如:机房、空调、UPS、监控器等。4.2.1 网络设备网络设备是指构成信息系统网络传输环境的设备,软件和介质.包括路由器、交换机、通信终端和网关以及网络设备控制台等硬件设施和软件系统,为了更清晰地区别资产的安全属性,网络设备类资产不包括防火墙、VPN、网络入侵检测等网络安全产品。4.2.2 服务器服务器是指信息系统中承载业务系统和软件的计算环境。包括大型机、小型
33、机、Unix服务器、Windows服务器、移动计算设备、应用加密机和磁盘阵列等计算设备硬件及其操作系统、数据库.除此之外,行业特殊的设备,例如银行的ATM等,也属于主机系统。同一台主机系统,安装两种或以上操作系统(主要针对工作站、移动计算设备),并均能接入到网络中的,应视为多项主机系统信息资产。4.2.3 工作站工作站是指信息系统中承载业务系统软件客户端软件的计算环境和OA系统中个人用机。同一台主机系统,安装两种或以上操作系统(主要针对工作站、移动计算设备),并均能接入到网络中的,应视为多项主机系统信息资产。4.2.4 安全设备安全设备主要指在信息系统中用作网络安全保护用途的硬件设施和软件系统
34、,包括:防火墙、VPN、网络入侵检测、网闸、防病毒系统以及相关系统的控制台软硬件设施.4.2.5 存储设备存储设备主要指在信息系统中用作数据存储用途的硬件设施和软件系统,并均能接入到网络中的信息资产。包括:DAS、NAS、SAN等软硬件设施。4.2.6 业务系统业务系统主要指为业务生产、管理支撑及办公等业务需求提供服务的软件系统,此类资产在信息资产中占有非常重要的地位。本项目所指的业务系统是指独立应用、运作的系统,例如短消息业务系统、MISC系统、办公自动化系统、管理信息系统等,网管系统等。业务系统属于需要重点评估、保护的对象.业务系统作为独立的资产存在的同时,对于其他资产又存在如下关系:n
35、作为“网络设备、服务器、工作站、安全设备、存储设备”资产的属性之一列出。在其资产赋值时,作为考虑的因素.4.2.7 应用平台软件主要是指提供通用服务的各种平台系统,包括:数据库WWW、Mail、FTP、DNS、以及专有的中间件产品等;通常将其所代表的安全属性落实到如下部分来体现:n 应用平台软件作为“服务器、工作站、安全设备、存储设备”资产的属性之一列出,在进行资产赋值和弱点的时候,作为考虑的因素。4.2.8 数据及文档数据及文档主要指存在于电子媒介或纸制的各种数据和资料,包括源代码、数据库数据、业务数据、客户数据、各种数据资料、系统文档、运行管理规程、计划、报告、用户手册等。数据及文档资产在
36、信息资产中占有非常重要的地位,通常作为企业知识产权、竞争优势、商业秘密的载体.属于需要重点评估、保护的对象.通常,数据及文档类资产需要保护的安全属性是机密性.例如,公司的财务信息和薪酬数据就是属于高度机密性的数据。但是,完整性的重要性会随着机密性的提高而提高.企业内部对于数据类资产的分类方法通常根据数据的敏感性(Sensitivity)来进行,与机密性非常类似。例如,下表是常用的一种数据分类方法:简称解释/举例公开Public不需要任何保密机制和措施,可以公开使用(例如产品发表新闻等)。内部Internal公司内部员工或文档所属部门使用,或文档涉及的公司使用(例如合同等)秘密Private由和
37、项目相关公司和客户公司成员使用机密Confidential只有在文档中指定的人员可使用,文档的保管要在规定的时间内受到控制绝密Secret非文档的拟订者或文档的所有者及管理者,其他指定人员在使用文档后迅速的按要求销毁但是,由于数据及文档数量巨大,且对其分类存在巨大的偏差和困难,通常将其所代表的安全属性落实到如下部分来体现:n 作为“服务器、工作站、存储设备资产的属性之一列出。在进行资产赋值和弱点及威胁分析的时候,作为考虑的因素。n 作为“组织和人员”资产的属性之一列出.在进行弱点及威胁分析的时候,作为考虑的因素。4.2.9 组织和人员主要指企业与信息相关的人员和组织,包括各级安全组织,安全人员
38、、各级管理人员,网管员,系统管理员,业务操作人员,第三方人员等与被评估信息系统相关人员和组织。组织和人员作为独立的资产存在进行识别,但不对其进行资产赋值,对其安全性因素的考虑如下:n 作为“业务系统、网络设备、服务器、工作站、安全设备、存储设备”资产的属性之一列出.4.2.10 物理环境主要指支持信息系统运行的环境的非IT类的设备,主要包括机房、UPS、空调、保险柜、文件柜、门禁、消防设施等。此处一般属于物理安全的问题,主要的设备一般集中在机房内,所以评估时应重点考虑机房提供的环境安全.物理环境与其他资产存在如下关系:n 物理位置作为“业务系统、网络设备、服务器、工作站、安全设备、存储设备资产
39、的属性之一列出.在其弱点及威胁评估时,作为考虑的因素.4.2.11 信息资产分类整体图网络设备服务器工作站安全设备存储设备组织和人员业务系统4.2.12 信息资产调查表属性描述资产名称在一个业务系统中不能重名资产编号全局唯一资产类型资产的类别属性包括服务器、工作站、网络设备、安全设备等资产子类型子类型是对类型的进一步说明,例如网络设备中的路由器、交换机等操作系统类型设备所承载的系统的类型,例如包括windows2000,windows2003,hpunix,aix,solaris等操作系统版本号各类操作系统的版本,例如solaris2.8,8.0等操作系统补丁各类操作系统的安全补丁信息应用软件
40、平台应用系统所需的应用软件,例如WEB、J2EE等应用平台软件版本应用软件所对应的相应版本。应用平台软件补丁应用软件厂商发布的安全补丁。设备型号网络、服务器、工作站等的硬件设备型号设备工作方式硬件、系统之间的工作方式,例如热备、冷备、负载均衡等用途信息资产的主要功能.资产所在地理位置信息资产所处的地域、机房和机柜等资产所在业务系统和部门信息资产所属的业务系统名称和业务系统所属的部门名称资产责任人信息资产在登记过程中的责任人.资产维护人维护信息资产的人员名称资产安全三性安全属性,机密性、完整性和可用性资产创建时间信息资产入网的时间资产最后修改时间信息资产功能修改、人员变换等信息更换的最后时间资产
41、最后修改人信息资产功能修改、人员变换等信息更换的修改人员名称4.3 保护对象框架一般来说,信息系统的资产数量十分庞大,为了更好的研究其计算机安全问题,还需要从庞大的信息资产中提炼出保护对象。保护对象框架是指以结构化的方法表达信息系统的框架模型。所谓结构化是指通过特定的结构将问题拆分成子问题的迭代方法。例如“鱼刺图”或“问题树。结构化方法包括以下几条基本原则:l 充分覆盖所有子问题的总和必须覆盖原问题。如果不能充分覆盖,那么解决问题的方法就可能出现遗漏,严重影响本方法的可行性。l 互不重叠所有子问题都不允许出现重复,类似以下的情况不应出现在一个框架中:n 两个不同的子问题其实是同一个子问题的两种
42、表述;n 某一个子问题其实是另外两个问题或多个问题的合并;l 不可再细分所有子问题都必须细分到不能再被细分。当一个问题经过框架分析后,所有不可再细分的子问题构成了一个“框架”。保护对象的主要作用为:1. 有助于信息资产识别的全面性。在列举信息资产时,保护对象框架有助于识别者系统的进行思考;2. 从资产安全估价到区域的安全性赋值,有助于降低风险分析的难度,同时确保风险分析的有效性。4.3.1 保护对象框架内容保护对象框架主要包括计算区域、网络及基础设施、边界、支撑性基础设施四部分;计算区域还可作为下一级保护对象,向下细分为下一级计算区域、网络及基础设施、边界、支撑性基础设施。1)计算区域 n 计
43、算区域是指由相同功能集合在一起,安全价值相近,且面临相似的威胁来源的一组信息系统组成。n 同一计算区域内的信息资产在安全性上具有较强的同质性。计算区域还可以按照安全性能进一步细分,直至到安全性完全同质。2)网络及基础设施 n 网络及基础设施是指相同功能集合在一起,安全价值相近,且面临相似的威胁来源的一组网络系统组成。通常包括路由器,交换机和防火墙等提供网路服务的局域网和广域网。3)边界 n 边界是指两个区域或两组区域之间的隔离功能集。边界是一组功能集合,包括访问控制,身份认证等。4)支撑性基础设施 n 支撑性基础设施是指在区域内提供安全保障功能的功能集。支撑性基础设施是一组功能集合,包括入侵检
44、测、审计及计算机病毒防护等。4.3.2 保护对象和信息资产保护对象框架就是信息系统的真实模型,计算区域、网络与基础设施作为保护对象框架的两类基本元素,分别对应了不同信息资产的集合。n 计算区域:对应信息资产,通常包括:工作站、存储设备,服务器,安全设备(不具有访问控制及边界隔离功能);当计算区域作为一级保护对象框架时,应按照保护对象框架的思路向下继续分解。n 网络与基础设施:对应信息资产,通常包括:网络设备,安全设备(具有访问控制及边界隔离功能)。n 边界:对应信息资产,通常包括: 网络设备(具有访问控制及边界隔离的功能模块),安全设备(具有访问控制及边界隔离功能)。n 支撑性基础设施:对应信
45、息资产,通常包括:安全设备(不具有访问控制及边界隔离功能)如上信息资产和保护对象框架的关系,都为各类信息资产的一个或多个属性。对于业务系统资产来说,在确立保护对象框架时,可以将其作为一个独立的保护对象来看待。对于组织和人员资产,通过业务系统的属性和相应的保护对象框架相关联。4.4 资产识别过程4.4.1 绘制拓扑图资产识别的首要步骤是绘制拓扑图。在拓扑图中尽可能真实地描绘拓扑图。一般来说,拓扑图越详细,资产识别的精度也就越高。如果系统非常复杂,一张拓扑图很难描述清楚,则应采用多张拓扑图.在安全咨询项目中,顾问应要求用户首先提供用户事先拓扑图.并以此为基础改成标准化的拓扑图。4.4.2 确定业务
46、系统绘制拓扑图以后,通过访谈等方式,确定业务系统,且识别业务系统的功能类型。4.4.3 确定第一层保护对象框架根据业务系统的各服务功能,对划分出第一层保护对象框架,划分的原则:n 根据业务的类型:比如是生产业务,管理支撑业务,还是办公业务等.n 根据业务的重要性:比如核心区域,非核心区域等。n 划分出存在哪些外部区域4.4.4 确定第二层保护对象框架第二层保护对象框架在第一层的区域内划分,划分原则: n 通常依据业务系统及其提供的功能特性4.4.5 顺序识别资产识别出系统级保护对象框架后,才真正开始进行资产识别。在这一阶段,根据信息资产的种类来进行识别。并将其归属入相应的保护对象框架,或在过程中创建下一级保护对象框架。4.5 信息资产赋值信息资产识别完成后,形成了一个信息资产的清单,但对于大型组织来说,信息资产数目十分庞大,所以需要确认资
浙ICP备2021020529号-1 | 浙B2-20240490 
