業(yè)務系統(tǒng)信息安全風險評估方案

1、業(yè)務系統(tǒng)信息安全風險評估案第3章業(yè)務系統(tǒng)信息安全風險評估案風險評估概述背景該業(yè)務系統(tǒng)風險評估的標是評估業(yè)務系統(tǒng)的風險狀況，提出風險控制建議，同時為下步要制定的業(yè)務系統(tǒng)安全管理規(guī)范以 及今后業(yè)務系統(tǒng)的安全建設和風險管理提供依據(jù)和建議。需要指出的是，本評估報告中所指的安全風險針對的是現(xiàn)階段該業(yè)務系統(tǒng)的風險狀況，反映的是系統(tǒng)當前的安全狀態(tài)。范圍該業(yè)務系統(tǒng)風險評估范圍包括業(yè)務系統(tǒng)絡、管理制度、使或管理業(yè)務系統(tǒng)的相關員以及由業(yè)務系統(tǒng)使時所產(chǎn)的 檔、數(shù)據(jù)。評估式信息系統(tǒng)具有定的命周期，在其命中期內(nèi)完成相應的使命。采取必要的安全保護式使系統(tǒng)在其命周期內(nèi)穩(wěn)定、可靠 地運是系統(tǒng)各種技術、管理應的基本原則。本項的

2、評估主要根據(jù)國際標準、國家標準和地標準，從識別信息系統(tǒng)的資產(chǎn)，確定重要資產(chǎn)，針對重要資產(chǎn)分析其 臨的安全威脅并識別其存在的脆弱性，最后綜合評估系統(tǒng)的安全風險。資產(chǎn)劃分是風險評估的基礎，在所有識別的系統(tǒng)資產(chǎn)中，依據(jù)資產(chǎn)在機密性、完整性和可性安全屬性的價值不同，綜合判定 資產(chǎn)重要性程度并將其劃分為核、關鍵、中等、次要和很低5個等級。對于列為重要及以上等級的資產(chǎn)，分析其臨的安全威脅。脆弱性識別主要從技術和管理兩個層，采取訪談?，F(xiàn)場核查。掃描檢測。滲透性測試等式，找出系統(tǒng)所存在的脆弱性 和安全隱患。對重要資產(chǎn)已識別的威脅、脆弱性，根據(jù)其可能性和嚴重性，綜合評估其安全風險。該業(yè)務系統(tǒng)概況該業(yè)務系統(tǒng)背景近

3、年來，由于數(shù)據(jù)量迅速增加，業(yè)務量也迅速增長，原先的硬件系統(tǒng)、應系統(tǒng)和模式已漸漸不適應業(yè)務的需求，提升管理系 統(tǒng)已經(jīng)成為刻不容緩的事情。經(jīng)過仔細論證之后，信息決策部門在管理系統(tǒng)升級上達成如下共識：更換新的硬件設備，使更先進和更強的主機；在模式 上為統(tǒng)的集中式系統(tǒng)；在系統(tǒng)上運和維護效率較的單庫結構替換原有多庫系統(tǒng)；在技術上準備使基于架構的J2中 間件技術，并且實施999.999%的可靠性運式；在業(yè)務上新型作流作為驅動新代業(yè)務系統(tǒng)的引擎，真正達到通過以客戶為中來提升利潤及通過效智能的作流來提每個員的勞動產(chǎn)率，從降低成本、提核競爭以應對外部 的競爭。絡結構與拓撲圖該系統(tǒng)的絡包含應服務器組、數(shù)據(jù)庫服務器

4、組、業(yè)務管理端、絡連接設備和安全防護設備。業(yè)務系統(tǒng)絡通過臺性 能路由器連接分部絡，通過臺千兆以太交換機連接到其他業(yè)務系統(tǒng)。其中業(yè)務系統(tǒng)絡內(nèi)部絡采千兆位以太，兩臺千兆以太交換機位交換機。絡配備百兆桌交換機來連接絡管理維護客戶機。具體的絡拓撲圖如圖3-1所。業(yè)務系統(tǒng)邊界具體的系統(tǒng)邊界圖如圖3-2所。應系統(tǒng)和業(yè)務流程分析業(yè)務系統(tǒng)組織結構劃分為總部和分部兩個層次，業(yè)務系統(tǒng)所涉及的絕多數(shù)業(yè)務流程都需要經(jīng)過多級業(yè)務管理部門進處理， 業(yè)務流程復雜且流程跨度較。其次，業(yè)務系統(tǒng)處理流程分繁雜。在對客戶申請審批處理過程中，必然會出現(xiàn)反復的提交、上報、退回等操作，并且可以將任務退回到指定的崗位上，然后再次上報提交。

5、在同個審批過程中，根據(jù)客戶的不同級別，可能需要提交到上級授信管理部 門，也可能提交到上級的風險管理部門。資產(chǎn)識別資產(chǎn)清單資產(chǎn)識別通過分析信息系統(tǒng)的業(yè)務流程和功能，從業(yè)務數(shù)據(jù)的完整性、可性和機密性的保護要求出發(fā)，識別出對三性有定 影響的信息流及其承載體或周邊設備。在本次業(yè)務系統(tǒng)評估中進的資產(chǎn)分類，主要分為絡設備、主機系統(tǒng)、服務器系統(tǒng)、數(shù)據(jù)和檔資產(chǎn)5個。絡設備資產(chǎn)絡設備重要資產(chǎn)如表3-1所。 表3-1 絡設備重要資產(chǎn)表主機系統(tǒng)資產(chǎn)主機系統(tǒng)重要資產(chǎn)如表3-2所。 表3-2 主機重要資產(chǎn)表服務器資產(chǎn)服務器重要資產(chǎn)如表3-3所。表3-3 服務器重要資產(chǎn)表數(shù)據(jù)和檔資產(chǎn)數(shù)據(jù)和檔重要資產(chǎn)如表3-4所。 表3-

6、4數(shù)據(jù)和檔資產(chǎn)重要資產(chǎn)表資產(chǎn)賦值資產(chǎn)賦值對識別的信息資產(chǎn)，按照資產(chǎn)的不同安全屬性，即機密性、完整性和可性的重要性和保護要求，分別對資產(chǎn)的三性 予以賦值。三性賦值分為5個等級，分別對應了改項信息資產(chǎn)的機密性、完整性和可性的不同程度的影響，下是賦值依據(jù)。1.機密性（）賦值依據(jù)根據(jù)資產(chǎn)機密性屬性的不同，將它分為5個不同的等級，分別對應資產(chǎn)在機密性的價值或者在機密性受到損失時對整 個評估的影響。機密性賦值依據(jù)如表2-6所。2. 完整性（）賦值依據(jù)根據(jù)資產(chǎn)完整性屬性的不同，將它分為5個不同的等級，分別對應資產(chǎn)在完整性的價值或者在完整性受到損失時對整 個評估的影響。完整性賦值依據(jù)如表2-7所。3.可性（）

7、賦值依據(jù)根據(jù)資產(chǎn)可性屬性的不同，將它分為5個不同的等級，分別對應資產(chǎn)在可性的價值或者在可性受到損失時對整 個評估的影響?？尚再x值依據(jù)如表2-8所。根據(jù)資產(chǎn)的不同安全屬性，即機密性、完整性和可性的等級劃分原則，采專家指定的法對所有資產(chǎn)的三性予以賦值。賦 值后的資產(chǎn)清單如表3-5所。表3-5 資產(chǎn)三性等級表資產(chǎn)分級資產(chǎn)價值應依據(jù)資產(chǎn)在機密性、完整性和可性上的賦值等級，經(jīng)過綜合評定得出。根據(jù)本系統(tǒng)的業(yè)務特點，采取相乘法決定 資產(chǎn)的價值。計算公式如下：=),v?,(y f x z x y z其中：v表資產(chǎn)價值，x表機密性，y表完整性，z表可性。資產(chǎn)的三性如表3-9所，根據(jù)式（3.1）可以計算出資產(chǎn)的價

8、值。例如取資產(chǎn)01三性值代式（3.1），得=f v 333)3,3,3(?得資產(chǎn)01的資產(chǎn)價值=3。依次類推得到本系統(tǒng)資產(chǎn)的價值清單如表3-6所。 表3-6 資產(chǎn)價值表為與上述安全屬性的賦值相對應，根據(jù)最終賦值將資產(chǎn)劃分為5級，級別越表資產(chǎn)越重要。不同等級的資產(chǎn)重要性程度判 斷準則如表2-11所。表2-11 資產(chǎn)重要性程度判斷準則根據(jù)資產(chǎn)重要性程度判斷準則，可以得到資產(chǎn)的等級。本系統(tǒng)的資產(chǎn)等級如表3-7所。 表3-7 資產(chǎn)價值表威脅識別威脅概述安全威脅是種對系統(tǒng)及其資產(chǎn)構成潛在破壞的可能性因素或者事件。論對于多么安全的信息系統(tǒng)，安全威脅是個客觀存 在的事物，它是風險評估的重要因素之。產(chǎn)安全威脅

9、的主要因素可以分為為因素和環(huán)境因素。為因素可區(qū)分為有意和意兩種，環(huán)境因素包括然界的不可抗 的因素和其他物理因素。威脅作形式可以是對信息系統(tǒng)直接或間接的攻擊，例如授權的泄露、篡改、刪除等，在機密性、 完整性和可性等造成損害，也可能是偶發(fā)的或蓄意的事件。般來說，威脅總是要利絡、系統(tǒng)、應或數(shù)據(jù)的弱點 可能成功地對造成造成傷害。安全事件及其后果是分析威脅的重要依據(jù)。根據(jù)威脅出現(xiàn)頻率的不同，將它分為5個不同的等級。以此屬性來衡量威脅，具體的判斷準則如表2-13所。 表2-13 威脅出現(xiàn)頻率判斷準則業(yè)務系統(tǒng)威脅識別對業(yè)務系統(tǒng)的威脅分析先對于重要資產(chǎn)進威脅識別，分析其威脅來源和種類。在本次評估中，主要采了問

10、卷法和技術檢 測來獲得威脅的信息。問卷法主要收集些管理的威脅，技術檢測主要通過分析的志信息來獲取系統(tǒng)臨的威脅。表3- 8為本次評估分析得到的威脅來源、威脅種類以及威脅發(fā)的頻率。表3-8 國際業(yè)務系統(tǒng)潛在的安全威脅來源列表表3-9 業(yè)務系統(tǒng)臨的安全威脅種類脆弱性識別脆弱性識別主要從技術和剛來兩個進評估，詳細的評估結果如下所述。采具掃描、配置核查、策略檔分析、安全 審計、絡架構分析業(yè)務、業(yè)務流程分析、應軟件分析等法。根據(jù)脆弱性嚴重程度的不同，將它分為5個不同的等級。具體的判斷準則如表2-16所。 表2-16 脆弱性嚴重程度分為級表技術脆弱性評估技術脆弱性識別主要從現(xiàn)有安全技術措施的合理性和有效性來

11、劃分。評估的詳細結果如表3-10所。 表3-10 技術脆弱性評估結果管理脆弱性評估本部分主要描述該業(yè)務系統(tǒng)前的信息安全管理上存在的安全弱點現(xiàn)狀以及風險現(xiàn)狀，并標識其嚴重程度。評估的詳細結果如 表3-11所。表3-11 管理脆弱性評估結果風險分析風險計算法在完成了資產(chǎn)識別、威脅識別、脆弱性識別，將采適當?shù)姆ㄅc具確定威脅利脆弱性導致安全事件的可能性。綜合安全事件所作的資產(chǎn)價值及脆弱性的嚴重程度，判斷安全事件造成的損失對組織的影響，即安全風險。以下的范式形式化加以 說明：)V ,F(I V ),R(L(T,V )T,R(A,a a =風險值其中：R 表安全風險計算函數(shù)，A 表資產(chǎn)，T 表威脅出現(xiàn)頻率

12、，V 表脆弱性，表安全事件所作的資產(chǎn)價值，表脆弱性嚴重程度，L 表威脅利資產(chǎn)的脆弱性導致安全事件發(fā)的可能性，F(xiàn) 表安全事件發(fā)后產(chǎn)的損失。風險計算的過程中有三個關鍵計算環(huán)節(jié)：計算安全發(fā)的可能性根據(jù)威脅出現(xiàn)頻率及脆弱性的狀況，計算威脅利脆弱性導致安全事件發(fā)的可能性，即： 安全事件發(fā)的可能性（威脅出現(xiàn)頻率，脆弱性）（T ，V ）在計算安全事件發(fā)的可能性時，本系統(tǒng)采矩陣進計算。維矩陣見表2-19。 表2-19 安全事件可能性計算維矩陣表如資產(chǎn)01的漏洞利威脅發(fā)頻率為5，資產(chǎn)01些中的默認配置未關閉脆弱性嚴重等級為4，根據(jù)威脅出現(xiàn)頻率值和脆弱性 嚴重程度值在矩陣中進對照則：安全事件發(fā)的可能性（威脅出現(xiàn)頻

13、率，脆弱性）（5,4）=22根據(jù)計算得到安全事件發(fā)可能性值的不同，將它分為5個不同的等級，分別對應安全事件發(fā)可能性的程度。劃分的原則見 表2-20。表2-20 安全事件發(fā)可能等級判斷準則根據(jù)安全事件發(fā)可能程度判斷準則，則發(fā)可能性等級為5。計算安全事件發(fā)后的損失根據(jù)資產(chǎn)價值及脆弱性嚴重程度，計算安全事件旦發(fā)后的損失，即： 安全事件的損失（資產(chǎn)價值，脆弱性嚴重程度）（，）在計算安全事件的損失時，本系統(tǒng)采矩陣法進計算。該維矩陣見表2-21。 表2-21 安全事件損失計算維矩陣表如資產(chǎn)01的資產(chǎn)價值等級為3，資產(chǎn)01些中的默認配置未關閉脆弱性嚴重等級為4，根據(jù)資產(chǎn)價值等級和脆弱性嚴重程度值 在矩陣中進對照，則：安全事件的損失（資產(chǎn)價值，脆弱性嚴重程度）（3,4）=15根據(jù)計算得到安全事件的損失的不同，將它分為5個不同的等級，分別對應安全事件的損失程度。劃分的原則見表2-22。 表2-22 安全事件等級判斷準則根據(jù)安全事件損失程度判斷準則判斷，則安全事件損失等級為3。計算風險值根據(jù)計算出的安全事件發(fā)的可能性以及安全事件的損失，計算風險值，即： 風險值（安全事件發(fā)的可能性，安全事件的損失）（L（T，V），F(xiàn)（，）在計算風險值時，本系統(tǒng)采矩陣法進計