DB44-T 2189.3-2019 移動終端信息安全 第3部分：敏感信息風(fēng)險評估

35.060M

36DB44 44/T

2189.3—2019移動終端信息安全第

3

部分：敏感信息風(fēng)險評估

of

mobile

terminal—Part3：

sensitive2019

-

09

-

發(fā)布 2019

-

12

-

實施廣東省市場監(jiān)督管理局 發(fā)

布DB44/T

2189.3—2019 前言

................................................................................ III1

范圍

................................................................................ 12

規(guī)范性引用文件

...................................................................... 13

術(shù)語和定義

.......................................................................... 14

概述

................................................................................ 15

移動終端敏感信息風(fēng)險評估模型

........................................................ 15.1

敏感信息風(fēng)險要素

................................................................ 15.2

敏感信息風(fēng)險分析示意圖

.......................................................... 15.3

敏感信息風(fēng)險評估實施流程

........................................................ 26

敏感信息風(fēng)險要素識別

................................................................ 26.1

敏感信息生成的風(fēng)險要素識別

...................................................... 26.2

敏感信息存儲的風(fēng)險要素識別

...................................................... 26.3

敏感信息加工的風(fēng)險要素識別

...................................................... 36.4

敏感信息轉(zhuǎn)移的風(fēng)險要素識別

...................................................... 36.5

敏感信息應(yīng)用的風(fēng)險要素識別

...................................................... 36.6

敏感信息廢止與刪除的風(fēng)險要素識別

................................................ 47

敏感信息風(fēng)險評估實施

................................................................ 47.1

風(fēng)險評估的準備

.................................................................. 47.2

資產(chǎn)識別

........................................................................ 47.2.1

資產(chǎn)分類

.................................................................... 57.2.2

資產(chǎn)賦值

.................................................................... 57.3

威脅識別

........................................................................ 67.3.1

總則

........................................................................ 67.3.2

威脅識別分類

................................................................ 77.3.3

威脅賦值

.................................................................... 77.4

脆弱性識別

...................................................................... 87.4.1

脆弱性識別分類

.............................................................. 87.4.2

脆弱性賦值

.................................................................. 97.5

已有安全措施的確認

.............................................................. 98

敏感信息風(fēng)險分析

................................................................... 108.1

風(fēng)險分析原理

................................................................... 108.2

風(fēng)險分析過程

................................................................... 108.2.1

風(fēng)險計算方法

............................................................... 108.2.2

風(fēng)險等級賦值

............................................................... 10DB44/T

2189.3—20198.3

風(fēng)險處理........................................................................ 118.4

殘余風(fēng)險評估.................................................................... 119

敏感信息風(fēng)險評估文檔................................................................ 11參

考 文 獻........................................................................12IIDB44/T

2189.3—2019 《移動終端信息安全》分為4個部分：——移動終端信息安全第1部分：敏感信息安全檢測技術(shù)要求；——移動終端信息安全第2部分：敏感信息等級保護與測評；——移動終端信息安全 第3部分：敏感信息風(fēng)險評估；——移動終端信息安全 第4部分：敏感信息安全檢測方法。本部分為第3部分。本標準按照GB/T

1.1-2009給出的規(guī)則起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別這些專利的責(zé)任。本標準由廣東省工業(yè)和信息化廳提出。本標準由廣東省大數(shù)據(jù)標準化技術(shù)委員會（GD/TC120）歸口。本標準的主要起草單位：工業(yè)和信息化部電子第五研究所。本標準主要起草人：王韜、王貴虎、楊春暉、林軍、馮曉榮、謝克強、華小方。本部分為首次發(fā)布。IIIDB44/T

2189.3—2019

1范圍風(fēng)險評估實施流程、評估內(nèi)容和評估方法。本部分適用于移動通信網(wǎng)的智能手機和平板電腦設(shè)備。2 規(guī)范性引用文件件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T20984-2007

信息安全技術(shù) 信息安全風(fēng)險評估規(guī)范GB/Z

24364-2009 信息安全技術(shù) 信息安全風(fēng)險管理指南DB44/T

2189.1-2019 移動終端信息安全 第

1

部分：敏感信息安全檢測技術(shù)要求3 術(shù)語和定義DB44/T

2189.1-2019

界定的術(shù)語和定義適用于本部分。4 概述敏感信息安全風(fēng)險評估是針對移動終端敏感信息基于風(fēng)險理論和方法在移動終端的運用，分析和避免安全威脅。5 移動終端敏感信息風(fēng)險評估模型5.1敏感信息風(fēng)險要素要素相關(guān)的屬性包括敏感信息價值、安全需求、殘余風(fēng)險、安全事件等各類相關(guān)屬性。屬性。5.2 敏感信息風(fēng)險分析示意圖DB44/T

2189.3—2019可能性與安全事件的損失，形成安全事件的風(fēng)險值。敏感信息風(fēng)險分析如圖1所示。

圖1

敏感信息風(fēng)險分析示意圖

5.3敏感信息風(fēng)險評估實施流程風(fēng)險評估實施流程可按

GB/T

20984-2007

第

5.6.4

章節(jié)的規(guī)定。6 敏感信息風(fēng)險要素識別6.1 敏感信息生成的風(fēng)險要素識別值、可能的使用限制、對現(xiàn)有信息主體的作用，并根據(jù)其作用確定風(fēng)險評估應(yīng)達到的安全目標。在本階段評估中，敏感信息資產(chǎn)根據(jù)以下方面進行分類與識別：a) 敏感信息的信息主體；b) 敏感信息的具體內(nèi)容和存留時間；c) 敏感信息的標識。敏感信息威脅及脆弱性應(yīng)根據(jù)以下方面進行分類與識別：a) 敏感信息生成的目的；b) 敏感信息標記的方式；c) 敏感信息生成過程中已有的安全措施；d) 敏感信息生成階段的審計記錄。6.2敏感信息存儲的風(fēng)險要素識別目標。在本階段評估中，敏感信息資產(chǎn)根據(jù)以下方面進行分類與識別：a) 敏感信息存儲的時間；b) 敏感信息存儲的內(nèi)容；c) 敏感信息存儲的物理介質(zhì)；d) 敏感信息存儲的操作者權(quán)限。敏感信息威脅及脆弱性應(yīng)根據(jù)以下方面進行分類與識別：a) 敏感信息根據(jù)安全級別在移動終端的分級存儲；DB44/T

2189.3—2019b)

移動終端的安全域隔離運行環(huán)境；c)

敏感信息在存儲時進行的完整性校驗；d)

敏感信息在存儲時選擇的加密方式；e)

敏感信息存儲在移動終端時的調(diào)用方式；f)

敏感信息存儲在移動終端時的遠程保護方式，包括遠程數(shù)據(jù)鎖定能力及遠程徹底刪除數(shù)據(jù)能力；g) 移與備份能力；h) 敏感信息在存儲過程中已有的安全措施；i)敏感信息在存儲階段的審計記錄。6.3 敏感信息加工的風(fēng)險要素識別括敏感信息加工的目的、加工方法等，并根據(jù)其過程確定風(fēng)險評估應(yīng)達到的安全目標。在本階段評估中，敏感信息資產(chǎn)根據(jù)以下方面進行分類與識別：a) 敏感信息加工的時間；b) 敏感信息加工的條件；c) 敏感信息加工的內(nèi)容；d) 敏感信息加工的操作者權(quán)限。敏感信息威脅及脆弱性應(yīng)根據(jù)以下方面進行分類與識別：a) 敏感信息加工的方式；b) 敏感信息加工過程中已有的安全措施；c) 敏感信息加工階段的審計記錄。6.4 敏感信息轉(zhuǎn)移的風(fēng)險要素識別環(huán)境，包括網(wǎng)絡(luò)接入及無線外圍接口連接等，確定風(fēng)險評估應(yīng)達到的安全目標。在本階段評估中，敏感信息資產(chǎn)根據(jù)以下方面進行分類與識別：a) 敏感信息發(fā)送方、接收方及操作者權(quán)限；b) 被轉(zhuǎn)移的敏感信息的內(nèi)容；c) 敏感信息的傳輸密鑰、數(shù)字證書、數(shù)字簽名及其他相關(guān)簽名。敏感信息威脅及脆弱性應(yīng)根據(jù)以下方面進行分類與識別：a) 敏感信息轉(zhuǎn)移過程的身份認證；b) 敏感信息在轉(zhuǎn)移過程的網(wǎng)絡(luò)運行環(huán)境；c) 敏感信息通過無線網(wǎng)絡(luò)傳輸時的用戶信息提示；d) 敏感信息通過

接口、無線外圍接口，包括

NFC

接口、藍牙接口等傳輸時的用戶信息提示；e) 傳輸密鑰的安全管理，包括整個密鑰生命周期過程中的密鑰安全；f) 數(shù)字證書的安全管理，包括簽名密鑰和驗證密鑰的獲取/更換、存儲及使用；g) 其他簽名技術(shù)的管理；h) 敏感信息轉(zhuǎn)移過程中已有的安全措施；i) 敏感信息轉(zhuǎn)移階段的審計記錄。6.5 敏感信息應(yīng)用的風(fēng)險要素識別DB44/T

2189.3—2019息的訪問、共享、分析、修改等操作，并根據(jù)其過程確定風(fēng)險評估應(yīng)達到的安全目標。在本階段評估中，敏感信息資產(chǎn)根據(jù)以下方面進行分類與識別：a) 敏感信息的訪問者及訪問權(quán)限；b)敏感信息的訪問級別；c) 被訪問的敏感信息內(nèi)容；d) 敏感信息的共享者及共享權(quán)限；e) 敏感信息的共享有效時間；f) 被共享的敏感信息的內(nèi)容。敏感信息威脅及脆弱性應(yīng)根據(jù)以下方面進行分類與識別：a) 敏感信息訪問過程中的信息提示；b) 敏感信息訪問過程中的操作，包括讀、更新、刪除、刪除恢復(fù)等；c) 敏感信息訪問過程中的外部認證服務(wù)；d) 敏感信息訪問過程中的授權(quán)訪問控制；e) 敏感信息共享過程中的屏蔽保護、信息隔離；f) 關(guān)聯(lián)等手段獲取一些無權(quán)獲取的信息；g) 敏感信息應(yīng)用過程中已有的安全措施;h) 敏感信息應(yīng)用階段的審計記錄。6.6敏感信息廢止與刪除的風(fēng)險要素識別廢止與刪除階段風(fēng)險評估應(yīng)能夠描述敏感信息超過期限后自行廢止及授權(quán)用戶在移動終端上刪除敏感信息的過程，并根據(jù)其結(jié)果確定風(fēng)險評估應(yīng)達到的目標。在本階段評估中，敏感信息資產(chǎn)根據(jù)以下方面進行分類與識別：a) 敏感信息的有效期限；b) 敏感信息的內(nèi)容；c) 敏感信息的廢止權(quán)限；d) 敏感信息的刪除權(quán)限.敏感信息威脅及脆弱性應(yīng)根據(jù)以下方面進行分類與識別：a) 敏感信息超過期限后自行廢止機制，例如移動終端取消敏感信息標識等；b) 敏感信息自行廢止后移動終端的信息提示；c) 敏感信息被刪除后移動終端的信息提示；d) 異常情況下敏感信息被廢止、刪除后，移動終端所采取的措施；e) 敏感信息廢止與刪除階段的審計記錄。7 敏感信息風(fēng)險評估實施7.1 風(fēng)險評估的準備風(fēng)險評估準備可按GB/Z

第6.2.1章節(jié)的要求實施。7.2 資產(chǎn)識別賦值標識定義3高包含信息主體的重要秘密，其泄露會造成社會秩序、公共利益嚴重損害2中損害或特別嚴重損害；或造成社會秩序、公共利益的一般損害1低法權(quán)益受到一般損害序號分類示例1數(shù)據(jù)存在移動終端上的各種敏感信息資料2軟件在移動終端應(yīng)用環(huán)境下與敏感信息相關(guān)的軟件3硬件在移動終端應(yīng)用環(huán)境下存儲敏感信息的相關(guān)硬件4服務(wù)涉及到敏感信息的各類服務(wù)5人員掌握敏感信息的信息主體及授權(quán)用戶等；賦值標識定義3高較難以彌補。DB44/T

2189.3—2019全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度決定。7.2.1 資產(chǎn)分類種基于載體的資產(chǎn)分類方法見表1。表1敏感信息存儲階段資產(chǎn)分類7.2.2 資產(chǎn)賦值過安全屬性缺失時造成的影響來表示，在風(fēng)險評估中應(yīng)建立一個資產(chǎn)價值評價尺度，以指導(dǎo)資產(chǎn)賦值。個綜合結(jié)果的過程。a) 機密性賦值根據(jù)敏感信息資產(chǎn)在機密性上的不同特征，將其分為三個不同的等級，分別對應(yīng)敏感信息資產(chǎn)在機密性上的不同等級對信息主體的影響。表2提供了一種機密性賦值的參考。表2 機密性等級賦值與標識b) b) 完整性賦值整性上的達成的不同程度或者完整性缺失時對信息主體的影響。表

3

提供了一種完整性賦值的參考。表3 完整性等級賦值與標識賦值標識定義3高可用性價值較高，合法使用者對移動終端敏感信息的可用度達到每天

.2中70%以上。1低25%以上。賦值標識定義中完整性價值中等，未經(jīng)授權(quán)的修改或破壞會對個人、其他組織造成影響，但可以彌補。低容易彌補。賦值標識定義3高重要，其安全屬性破壞后可能對個人、其他組織造成比較嚴重的損失2中比較重要，其安全屬性破壞后可能對個人、其他組織造成中等程度的損失1低不太重要，其安全屬性破壞后可能對個人、其他組織造成較低的損失DB44/T

2189.3—2019表3 （續(xù)）c) c) 可用性賦值用性上達成的不同程度。表

4

提供了一種可用性賦值的參考。表4 可用性等級賦值與標識d) d) 資產(chǎn)重要續(xù)性等級示資產(chǎn)重要性程度越高。表

5

提供了一種資產(chǎn)重要性等級劃分的參考。表5 資產(chǎn)重要性等級賦值與標識評估者可根據(jù)資產(chǎn)賦值結(jié)果，確定重要資產(chǎn)的范圍，并主要圍繞重要資產(chǎn)展開風(fēng)險評估實施步驟。7.3 威脅識別7.3.1 總則攻擊，在機密性、完整性、可用性等方面造成損害，也可能是偶發(fā)的或蓄意的事件。序號種類描述威脅子類1硬件故障對敏感信息傳輸產(chǎn)生影響的設(shè)備終端硬件故障、傳輸鏈路中斷等問題USB

接口、無線外圍接口等。2軟件故障對敏感信息傳輸產(chǎn)生影響的軟件缺陷等問題件故障等。3物理環(huán)境對敏感信息正常傳輸過程造成影響的物理環(huán)境問題和自然災(zāi)害地震、臺風(fēng)、火災(zāi)、洪水等自然災(zāi)害，斷電、電磁干擾等其他不可控因素。4無作為或操作失誤應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或無意執(zhí)行了錯誤的操作照規(guī)定要求操作，導(dǎo)致系統(tǒng)死機等。5管理失誤安全管理無法落實或不到位制不健全等。6惡意代碼在敏感信息傳輸過程中故意在移動終端上執(zhí)行惡意任務(wù)的程序代碼，破壞敏感信息的可用性件等。序號威脅來源威脅描述1人為因素惡意行為破壞，例如敏感信息的竊取、泄露、篡改、刪除等2非惡意行為遵循規(guī)章制度和執(zhí)行正確的操作流程而導(dǎo)致敏感信息在傳輸過程中被攻擊破壞3環(huán)境因素物理環(huán)境因素自然環(huán)境危害導(dǎo)致網(wǎng)絡(luò)傳輸環(huán)境受到破壞，包括軟件、硬件、數(shù)據(jù)、通訊線路等方面的故障4社會因素等因素導(dǎo)致敏感信息在傳輸過程中尚未被有效保護DB44/T

2189.3—20197.3.2 威脅識別分類威脅識別分類包括兩個步驟：a)確定威脅來源列表；b) 根據(jù)威脅表現(xiàn)形式對威脅來源進行分類。例如，在敏感信息轉(zhuǎn)移階段，首先應(yīng)考慮威脅來源列表，表

6

列表。表6 敏感信息轉(zhuǎn)移階段威脅來源列表針對上表的威脅來源，對威脅來源進行分類，表

7

提供了敏感信息轉(zhuǎn)移階段威脅分類表。表7 敏感信息轉(zhuǎn)移階段威脅分類表序號種類描述威脅子類7越權(quán)或濫用通過采取一些措施，超越自己的權(quán)限破壞敏感信息的機密性和完整性非授權(quán)獲取用戶認證信息、傳輸密鑰、非正常修改系統(tǒng)配置或數(shù)據(jù)，濫用權(quán)限。8網(wǎng)絡(luò)攻擊通過網(wǎng)絡(luò)監(jiān)聽、哄騙身份、中間人攻擊等手段以獲取、訪問和使用在網(wǎng)絡(luò)傳輸?shù)拿舾行畔⑵茐拿舾行畔⒌臋C密性據(jù)傳輸?shù)目刂坪推茐牡取?物理攻擊通過物理的接觸造成對軟件、硬件、數(shù)據(jù)的破壞物理接觸、物理破壞、盜竊等。10泄密敏感信息泄露給不應(yīng)了解的他人敏感信息泄露。11篡改非法修改信息、破壞敏感信息的完整性和可用性，修改配置信息，使傳輸環(huán)境的安全性降低全配置信息、用戶身份信息等。12抵賴不承認收到的敏感信息和所作的操作和交易原發(fā)抵賴、接收抵賴、第三方抵賴等。13審計記錄不完備敏感信息傳輸階段的審計記錄缺陷破壞敏感信息傳輸?shù)暮戏ㄐ詫徲嬘涗洘o法分析、審計記錄不全面、審計功能關(guān)閉等賦值標識定義3高威脅出現(xiàn)的頻率較高，在大多數(shù)情況下很有可能會發(fā)生或者可以證實多次發(fā)生過2中威脅出現(xiàn)的頻率中等，在某種情況下可能會發(fā)生或被證實曾經(jīng)發(fā)生過1低威脅出現(xiàn)的頻率較小，一般不太可能發(fā)生，也沒有被證實發(fā)生過DB44/T

2189.3—2019表7 （續(xù)）7.3.3 威脅賦值在敏感信息風(fēng)險評估過程中，綜合考慮以下三個方面，形成在某種評估環(huán)境中各種威脅出現(xiàn)的頻率：a) 以往安全事件報告中出現(xiàn)過的威脅及其頻率的統(tǒng)計；b) 實際環(huán)境中通過檢測工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計；c) 警。根據(jù)敏感信息面臨的威脅特征，將威脅頻率等級劃分為三級，分別代表威脅出現(xiàn)的頻率的高低。等級數(shù)值越大，威脅出現(xiàn)的頻率越高，表

8

提供了威脅出現(xiàn)頻率的一種賦值方法。表8 威脅等級賦值與標識7.4 脆弱性識別7.4.1 脆弱性識別分類脆弱性識別將針對每一項需要保護的資產(chǎn)，找出可能被威脅利用的弱點，并對脆弱性的嚴重程度序號類型識別對象識別內(nèi)容1技術(shù)脆弱性敏感信息訪問權(quán)限鑒別機制、密碼保護等。2訪問過程審計記錄事件審計機制、審計存儲、系統(tǒng)管理等。3訪問環(huán)境制策略、網(wǎng)絡(luò)接入安全配置等。4訪問操作敏感信息的讀、更新、刪除、刪除恢復(fù)等。5敏感信息內(nèi)容數(shù)據(jù)挖掘、演繹推理、誘導(dǎo)推理、語義關(guān)聯(lián)等。6管理脆弱性技術(shù)管理連續(xù)性等。7組織管理等級標識定義3高如果被威脅利用，將對資產(chǎn)造成重大損害2中如果被威脅利用，將對資產(chǎn)造成一般損害1低如果被威脅利用，將對資產(chǎn)造成較小損害DB44/T

2189.3—2019分類。移動終端敏感信息脆弱性識別以資產(chǎn)為核心，根據(jù)已識別資產(chǎn)在生命周期各階段活動中存在的弱個方面進行，例如，表

9

提供了敏感信息應(yīng)用階段脆弱性識別的分類方法。表9 脆弱性識別與分類7.4.2 脆弱性賦值資產(chǎn)脆弱性賦值包括組織的技術(shù)脆弱性和管理脆弱性，根據(jù)對資產(chǎn)損害程度、技術(shù)實現(xiàn)的難易程度、弱點出現(xiàn)的頻率等特征，采用等級方式對已識別的敏感信息脆弱性的嚴重程度進行賦值。脆弱性嚴重程度的等級劃分為四級，分別代表資產(chǎn)脆弱性嚴重程度的高低。等級數(shù)值越大，脆弱性嚴重程度越高。表

10

提供了脆弱性嚴重程度的一種賦值方法。表10 脆弱性等級賦值與標識7.5 已有安全措施的確認安全措施可以分為預(yù)防性安全措施和保護性安全措施兩種。預(yù)防性安全措施可以降低威脅利用脆影響。對于有效的安全措施繼續(xù)保持，以避免不必要的工作和費用，防止安全措施的重復(fù)實施。對于不等級標識描述3高發(fā)生后造成社會秩序、公共利益嚴重損害。2中發(fā)生后造成個人、其他組織的合法權(quán)益受到嚴重損害或特別嚴重損害；或造成社會秩序、公共利益的一般損害。1低發(fā)生后造成個人、其他組織的合法權(quán)益受到一般損害。DB44/T

2189.3—2019適當?shù)陌踩胧?yīng)核實是否應(yīng)被取消，或者用更合適的安全措施替代。8 敏感信息風(fēng)險分析8.1 風(fēng)險分析原理的程度來識別移動終端應(yīng)用環(huán)境的敏感信息安全風(fēng)險。風(fēng)險分析范式見式（a）。風(fēng)險值（A，T，V）=R（L（T，V），F(xiàn)（A，T））·······（a）其中，R

表示安全風(fēng)險計算函數(shù)；A

表示敏感信息資產(chǎn)價值；T

表示威脅；V

表示脆弱性；A

安全事件所作用的資產(chǎn)重要程度；T

表示脆弱性嚴重程度；L

表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性；F

表示安全事件發(fā)生后產(chǎn)生的損失。a) 計算安全事件發(fā)生的可能性根據(jù)威脅出現(xiàn)頻率及脆弱性狀況，綜合攻擊者技術(shù)能力、脆弱性被利用的難易程度以及資產(chǎn)吸引力等因素計算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性，見式（b安全事件發(fā)生的可能性=L（威脅出現(xiàn)頻率，脆弱性）=L（T，V）·······（b）b) 計算安全事件發(fā)生后的損失根據(jù)資產(chǎn)重