T-COSOCC 009-2024 信息安全技術(shù) 網(wǎng)絡(luò)彈性評(píng)價(jià)指南_第1頁
T-COSOCC 009-2024 信息安全技術(shù) 網(wǎng)絡(luò)彈性評(píng)價(jià)指南_第2頁
T-COSOCC 009-2024 信息安全技術(shù) 網(wǎng)絡(luò)彈性評(píng)價(jià)指南_第3頁
T-COSOCC 009-2024 信息安全技術(shù) 網(wǎng)絡(luò)彈性評(píng)價(jià)指南_第4頁
T-COSOCC 009-2024 信息安全技術(shù) 網(wǎng)絡(luò)彈性評(píng)價(jià)指南_第5頁
已閱讀5頁,還剩29頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

Informationsecuritytechnology-Evaluationcriteriaforcyberre 2 3 4 4 5 6 9 9 2 3 5 3 本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分:標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定有限責(zé)任公司、廣東盈世計(jì)算機(jī)科技有限公司、嵩嘉標(biāo)準(zhǔn)化技術(shù)服務(wù)(北京)有限公司。關(guān)注網(wǎng)絡(luò)信息系統(tǒng)的關(guān)鍵組成部分在受到打擊的極端狀態(tài)下的業(yè)務(wù)能否持續(xù)開展的能力。該概念自從供指導(dǎo),幫助其在設(shè)計(jì)網(wǎng)絡(luò)信息系統(tǒng)過程中,預(yù)防和緩解網(wǎng)絡(luò)安全為了與已有的國家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系相銜接,本文件在評(píng)價(jià)指標(biāo)體系的設(shè)計(jì)過程中,積極借鑒了GB/T22239—2018《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本信息系統(tǒng)安全管理要求》、GB/T20984—2022《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估方法》以及GB/T1信息安全技術(shù)網(wǎng)絡(luò)彈性評(píng)價(jià)指南本文件適用于網(wǎng)絡(luò)信息系統(tǒng)的設(shè)計(jì)、建設(shè)、運(yùn)維以及網(wǎng)絡(luò)安全評(píng)估的網(wǎng)絡(luò)彈性評(píng)用于準(zhǔn)備和適應(yīng)不斷變化的條件,承受破壞并從破壞中迅速恢復(fù)網(wǎng)絡(luò)信息系統(tǒng)能夠預(yù)測(cè)、抵受、恢復(fù)、適應(yīng)2網(wǎng)絡(luò)彈性的評(píng)價(jià)對(duì)象是網(wǎng)絡(luò)信息系統(tǒng),組織所運(yùn)營的網(wǎng)絡(luò)信息系統(tǒng)由7a)系統(tǒng)業(yè)務(wù)層:業(yè)務(wù)戰(zhàn)略、業(yè)務(wù)運(yùn)行指標(biāo)、業(yè)務(wù)運(yùn)行策略、系統(tǒng)功能性能。b)應(yīng)用功能層:業(yè)務(wù)服務(wù)、應(yīng)用接口、應(yīng)用軟件、用戶界面。c)系統(tǒng)數(shù)據(jù)層:中間件、數(shù)據(jù)庫、業(yè)務(wù)數(shù)據(jù)、系d)基礎(chǔ)設(shè)施層:服務(wù)器、存儲(chǔ)設(shè)備、終端設(shè)備、f)物理環(huán)境層:機(jī)房位置、機(jī)房設(shè)施、機(jī)房供電、機(jī)房線路。g)管理層:機(jī)構(gòu)、制度、人員、策略、建設(shè)、運(yùn)維、管理、供應(yīng)鏈、測(cè)評(píng)。保護(hù)彈性和安全保障彈性的動(dòng)態(tài)補(bǔ)充;網(wǎng)絡(luò)信息系統(tǒng)安全保障彈4.2網(wǎng)絡(luò)彈性評(píng)價(jià)要素b)內(nèi)部缺陷:包括系統(tǒng)設(shè)計(jì)、系統(tǒng)建設(shè)、技術(shù)措施、管理手段等c)評(píng)價(jià)對(duì)象:包括系統(tǒng)業(yè)務(wù)層、應(yīng)用功能層、系統(tǒng)數(shù)據(jù)層、基礎(chǔ)設(shè)施層、網(wǎng)絡(luò)設(shè)施層、物理環(huán)境d)網(wǎng)絡(luò)彈性指標(biāo):包括板塊指標(biāo)、一級(jí)指標(biāo)、二級(jí)指標(biāo)、三級(jí)指標(biāo),每個(gè)三級(jí)指標(biāo)下還包含了多e)網(wǎng)絡(luò)彈性指標(biāo)評(píng)價(jià):包括組織預(yù)測(cè)安全風(fēng)險(xiǎn)能力、抵受安全風(fēng)險(xiǎn)能力、系統(tǒng)遭到破壞后恢復(fù)能f)網(wǎng)絡(luò)彈性評(píng)價(jià)對(duì)照標(biāo)準(zhǔn):包括系統(tǒng)業(yè)務(wù)功能集、系統(tǒng)業(yè)務(wù)服務(wù)集、系統(tǒng)業(yè)務(wù)數(shù)據(jù)集、系統(tǒng)風(fēng)險(xiǎn)34.3網(wǎng)絡(luò)彈性指標(biāo)體系4.3.1概述標(biāo)體系和網(wǎng)絡(luò)信息系統(tǒng)安全保障的評(píng)價(jià)指標(biāo)體系,設(shè)置了5個(gè)層級(jí),包括板塊指標(biāo)、一級(jí)指標(biāo)、二級(jí)指板塊指標(biāo)包括安全保護(hù)、安全運(yùn)營和安全保障;一級(jí)指標(biāo)主要包括網(wǎng)絡(luò)信息系統(tǒng)的7個(gè)層面以及網(wǎng)4.3.2網(wǎng)絡(luò)信息系統(tǒng)安全保護(hù)彈性指標(biāo)體系12345678944.3.3網(wǎng)絡(luò)信息系統(tǒng)安全運(yùn)營評(píng)價(jià)彈性指標(biāo)體系1234567894.3.4網(wǎng)絡(luò)信息系統(tǒng)安全保障彈性評(píng)價(jià)指標(biāo)體系1234567895.1評(píng)價(jià)流程網(wǎng)絡(luò)彈性評(píng)價(jià)流程為三個(gè)階段,包括要素識(shí)別、指標(biāo)設(shè)定a)要素識(shí)別,包括評(píng)價(jià)對(duì)象要素識(shí)別、評(píng)價(jià)對(duì)象1)評(píng)價(jià)對(duì)象要素識(shí)別:組織識(shí)別、業(yè)務(wù)識(shí)別、應(yīng)用識(shí)別、數(shù)據(jù)識(shí)別、設(shè)施識(shí)別、網(wǎng)絡(luò)識(shí)別、52)評(píng)價(jià)對(duì)象風(fēng)險(xiǎn)識(shí)別:安全風(fēng)險(xiǎn)自評(píng)估結(jié)果和歷年來第三方風(fēng)險(xiǎn)評(píng)估結(jié)果,形成系統(tǒng)風(fēng)險(xiǎn)指b)指標(biāo)設(shè)定,包括網(wǎng)絡(luò)彈性三級(jí)指標(biāo)設(shè)定、二級(jí)指標(biāo)設(shè)定、一級(jí)指標(biāo)設(shè)定、板塊指標(biāo)設(shè)定以及分4)板塊指標(biāo)設(shè)定:應(yīng)包含網(wǎng)絡(luò)信息系統(tǒng)安全保護(hù)的彈性指標(biāo)、網(wǎng)絡(luò)信息系統(tǒng)安全運(yùn)營的彈性c)指標(biāo)評(píng)價(jià),通過對(duì)三級(jí)指標(biāo)、二級(jí)指標(biāo)、一級(jí)指標(biāo)、板塊指標(biāo)以及總體指標(biāo)評(píng)價(jià),得到組織所5.2評(píng)價(jià)對(duì)象識(shí)別123456671234服務(wù)器、存儲(chǔ)設(shè)備、終端設(shè)備、云平臺(tái)、操作567機(jī)構(gòu)、制度、人員、策略、建設(shè)、運(yùn)維、管組織自評(píng)估風(fēng)險(xiǎn)指標(biāo)和第三方風(fēng)險(xiǎn)評(píng)估表分123456712345675.3評(píng)價(jià)方法3)B1=在每個(gè)抵受能力組織達(dá)到的4)B2=在每個(gè)抵受能力中要求項(xiàng)總數(shù);5)C1=在每個(gè)恢復(fù)能力中組織達(dá)到8)D2=在每個(gè)適應(yīng)能力中要求項(xiàng)總7A=00123A>80%4A=0012340123401234N=N1X1+N2X4+N3X4+N4X1·················································(1)N=每個(gè)二級(jí)指標(biāo)數(shù)值;102132435484)V3=(S3÷S)×100%;12345板塊指標(biāo)評(píng)價(jià)包括指標(biāo)項(xiàng)定義、彈性計(jì)算、彈性評(píng)價(jià)。板塊指標(biāo)彈性計(jì)算方法同6.3.a)一級(jí)彈性指標(biāo)分布:通過雷達(dá)圖展示每個(gè)一級(jí)指標(biāo)中,無彈性、弱彈性、低彈性、中彈性和高b)板塊彈性指標(biāo)分布:通過雷達(dá)圖展示每個(gè)板塊指標(biāo)中,無彈性、弱彈性、低彈性9c)總體彈性指標(biāo)分布:通過雷達(dá)圖展示總體指標(biāo)中,無彈性、弱彈性、低彈性、中彈性和高彈性2)業(yè)務(wù)安全設(shè)施是否根據(jù)對(duì)關(guān)鍵服務(wù)的潛在影響進(jìn)行優(yōu)先排序,以確定哪些應(yīng)該成為保護(hù)和維持活動(dòng)重點(diǎn)的設(shè)施;業(yè)務(wù)安全設(shè)施恢復(fù)的優(yōu)先順序是否經(jīng)過審查和業(yè)務(wù)完整性和連續(xù)性包括預(yù)測(cè)、抵受、恢復(fù)和1)最小基礎(chǔ)功能集、高價(jià)值資產(chǎn)相關(guān)資產(chǎn)是否設(shè)置冗余。在選擇了業(yè)務(wù)系統(tǒng)設(shè)施時(shí)是否考慮了關(guān)鍵服務(wù)的保護(hù)和維持要求;是否為交付關(guān)鍵服務(wù)所需的資產(chǎn)制定并記錄了服務(wù)連2)擁有備份的高價(jià)值資產(chǎn)占總高價(jià)值資產(chǎn)的百分比;性能下降期間讓功能保持在閾值內(nèi)的時(shí)間最大化;中斷狀態(tài)期間最大化剩余功能,最小化功能損失;業(yè)務(wù)系統(tǒng)實(shí)際能承受最1)業(yè)務(wù)調(diào)整后,該業(yè)務(wù)完整性和連續(xù)性1)評(píng)測(cè)業(yè)務(wù)系統(tǒng)中業(yè)務(wù)的關(guān)聯(lián)性,預(yù)估每個(gè)業(yè)務(wù)可能承受的1)業(yè)務(wù)流程在壓力測(cè)試下是否可以完整運(yùn)行;業(yè)務(wù)實(shí)際能承受最大并發(fā)量;當(dāng)超過最大并2)能否根據(jù)歷史風(fēng)險(xiǎn)數(shù)據(jù)動(dòng)態(tài)調(diào)整業(yè)務(wù)架1)最小基礎(chǔ)功能集、高價(jià)值資產(chǎn)相關(guān)資產(chǎn)是否設(shè)置冗余。在選擇了業(yè)務(wù)系統(tǒng)設(shè)施時(shí)是否考慮了關(guān)鍵服務(wù)的保護(hù)和維持要求;是否為交付關(guān)鍵服務(wù)所需的資產(chǎn)制定并記錄了服務(wù)連2)彈性指標(biāo):擁有備份的高價(jià)值資產(chǎn)占總高價(jià)值資產(chǎn)的百分比;性能下降期間讓功能保持在閾值內(nèi)的時(shí)間最大化;中斷狀態(tài)期間最大化剩余功能,最小化功能損失;業(yè)務(wù)系統(tǒng)實(shí)際能承受最大容量占系統(tǒng)預(yù)估最大承受容量的系統(tǒng)從最小必要應(yīng)用服務(wù)功能集恢復(fù)到正常1)數(shù)據(jù)傳輸、存儲(chǔ)和發(fā)送、接受過程中,是2)一般數(shù)據(jù)的完整性保護(hù)能力;哪些資產(chǎn)的數(shù)據(jù)的完整性是可以得到驗(yàn)證的(百分比2)一般數(shù)據(jù)本地備份率百分比;重要數(shù)據(jù)和一般數(shù)據(jù)備份率;重要數(shù)據(jù)恢復(fù)可用性達(dá)到),3)備份數(shù)據(jù)帶寬和正常應(yīng)用數(shù)據(jù)帶寬2)是否能夠?qū)㈣b別信息和敏感數(shù)據(jù)進(jìn)行分1)經(jīng)驗(yàn)證鑒別信息和敏感數(shù)據(jù)在主機(jī)內(nèi)存中被完全2)經(jīng)驗(yàn)證殘留在應(yīng)用軟件、硬盤以及其他存儲(chǔ)介質(zhì)中的鑒別信息和敏感數(shù)據(jù)能夠被徹底清1)鑒別信息和敏感數(shù)據(jù)存儲(chǔ)位置發(fā)生變化時(shí),能夠2)殘留在應(yīng)用軟件、硬盤以及其他存儲(chǔ)介質(zhì)中的鑒別信息和敏感數(shù)據(jù)能夠被徹底清除的比3)是否具備對(duì)業(yè)務(wù)系統(tǒng)、應(yīng)用軟件、操作系統(tǒng)、數(shù)據(jù)庫、虛擬環(huán)境、存儲(chǔ)以及終端等身份2)遠(yuǎn)程管理時(shí),具備鑒別信息防止受到網(wǎng)絡(luò)竊聽措1)邊界防護(hù)設(shè)備遭到破壞,從部分能力3)是否具有對(duì)設(shè)施層訪問的記錄和審1)針對(duì)用戶身份和角色,是否設(shè)置了對(duì)4)審計(jì)彈性:發(fā)現(xiàn)越權(quán)行為的時(shí)間長(zhǎng)度,對(duì)越權(quán)行為進(jìn)行記錄內(nèi)容,審計(jì)的顆粒度來確定4)是否具有對(duì)網(wǎng)絡(luò)入侵行為的記錄、審計(jì)和預(yù)警功能;1)在不同等級(jí)的外部入侵(國家行為、專業(yè)組織行為、業(yè)余組織行為、個(gè)人行為),入侵2)可抵御國家級(jí)、專業(yè)組織、業(yè)余組織和個(gè)人攻擊,系統(tǒng)核心業(yè)務(wù)功能運(yùn)行正常,重要數(shù)3)在上述攻擊下系統(tǒng)所有業(yè)務(wù)功能和服務(wù)正常運(yùn)行,所有數(shù)據(jù)無泄漏、無丟失,保持時(shí)間4)有對(duì)攻擊行為分析能力,對(duì)攻擊行為的定位和溯源能力,對(duì)攻擊的誘導(dǎo)能力,對(duì)攻擊態(tài)1)系統(tǒng)核心功能重建和重要數(shù)據(jù)恢復(fù)速度>系統(tǒng)遭受攻擊破壞后核心業(yè)務(wù)中斷和重要數(shù)據(jù)2)能夠恢復(fù)核心業(yè)務(wù)和重要數(shù)據(jù)需要的時(shí)2)是否具備對(duì)攻擊量和攻擊頻次的統(tǒng)計(jì)分析能1)遭受分布式拒絕服務(wù)攻擊(DDOS)等外部攻擊,網(wǎng)絡(luò)設(shè)備業(yè)務(wù)處理能力滿足基本業(yè)務(wù)需3)驗(yàn)證重要網(wǎng)絡(luò)區(qū)域與其他區(qū)域之間采用隔離手段的有效2)是否能夠保證業(yè)務(wù)處理能力滿足業(yè)務(wù)高峰需2)通信線路、關(guān)鍵網(wǎng)絡(luò)設(shè)備、關(guān)鍵計(jì)算設(shè)備具備冗4)驗(yàn)證重要網(wǎng)絡(luò)區(qū)域與其他區(qū)域之間采用隔離手段的有效性;2)是否能夠根據(jù)業(yè)務(wù)高峰需求變化調(diào)整網(wǎng)絡(luò)帶2)應(yīng)在通信前基于密碼技術(shù)對(duì)通信的雙方進(jìn)行驗(yàn)證或認(rèn)證防止鑒別信息和傳輸數(shù)據(jù)被竊聽4)通信加密手段被破解后更換密碼和密鑰的時(shí)間;2)驗(yàn)證通信過程中數(shù)據(jù)完整性保護(hù)措施強(qiáng)1)部署網(wǎng)絡(luò)邊界防護(hù)設(shè)備,實(shí)施網(wǎng)絡(luò)邊界防護(hù)措施,邊界防護(hù)措施覆蓋到核心設(shè)備、核心2)在遭受外部攻擊時(shí),通過邊界防護(hù)措施能夠保證核心業(yè)務(wù)功能運(yùn)行、重要數(shù)據(jù)完整性保4)能夠監(jiān)測(cè)和審計(jì)訪問網(wǎng)絡(luò)資源的行為;1)邊界防護(hù)設(shè)備遭到破壞,從部分能力4)切換到備份資源所需時(shí)間;5)可以動(dòng)態(tài)改變配置的安全防護(hù)資源占安全保護(hù)總資源的百分表11網(wǎng)絡(luò)信息系統(tǒng)安全保護(hù)彈性三級(jí)評(píng)價(jià)指標(biāo)1234表12網(wǎng)絡(luò)信息系統(tǒng)安全保護(hù)彈性二級(jí)評(píng)價(jià)指標(biāo)123456789表13網(wǎng)絡(luò)信息系統(tǒng)安全保護(hù)彈性一級(jí)評(píng)價(jià)指標(biāo)12345表14網(wǎng)絡(luò)信息系統(tǒng)安全保護(hù)彈性模塊指標(biāo)1a)在網(wǎng)絡(luò)信息系統(tǒng)安全保護(hù)的彈性指標(biāo)中,無彈性(一級(jí)指標(biāo))、弱彈性(一級(jí)指標(biāo))、低彈性(一級(jí)指標(biāo))、中彈性(一級(jí)指標(biāo))和高彈性的(一b)在網(wǎng)絡(luò)信息系統(tǒng)安全保護(hù)的彈性指標(biāo)中,無彈性(二級(jí)指標(biāo))、弱彈性(二級(jí)指標(biāo))、低彈性(二級(jí)指標(biāo))、中彈性(二級(jí)指標(biāo))和高彈性的(二1)制定網(wǎng)絡(luò)安全工作的總體方針和安全策略、日常管理操作規(guī)程、定期更新安全管理制度2)建立檢查和改進(jìn)制度,做到定期檢查實(shí)施的所有安全程序是否遵從了組織機(jī)構(gòu)制定的安全方針和政策,根據(jù)檢查過程中發(fā)現(xiàn)的不足對(duì)安全管理體系進(jìn)行不3)對(duì)照組織機(jī)構(gòu)的安全策略和管理制度做到自管、自查、自評(píng),并應(yīng)落實(shí)責(zé)任制,接受國家2)制定內(nèi)部規(guī)程,并在收集與處理用于紀(jì)律和法律目的的證據(jù)時(shí)遵守;3)對(duì)信息系統(tǒng)安全事件的嚴(yán)重程度予以不同的響應(yīng),嚴(yán)重程度越大,響應(yīng)級(jí)別越高,彈性1)是否檢測(cè)到并報(bào)告事件(包括與人員活動(dòng)、網(wǎng)絡(luò)活動(dòng)、網(wǎng)絡(luò)安全相關(guān)的網(wǎng)絡(luò)安全事件、3)事件數(shù)據(jù)是否記錄在事件知識(shí)庫或類似7)是否已確定為取證目的識(shí)別事件證據(jù)的要求(規(guī)則、法律、法規(guī)、8)是否有流程確保事件證據(jù)按照法律或其他義務(wù)的要求進(jìn)行處理;1)信息安全事件發(fā)生后,根據(jù)其危害和發(fā)生的部位,迅速確定事件等級(jí),并根據(jù)等級(jí)啟動(dòng)相應(yīng)的響應(yīng)和處置預(yù)案;事件處理后應(yīng)有相應(yīng)的反饋程序,應(yīng)追究安全事件發(fā)生的技術(shù)2)依據(jù)安全事件對(duì)信息系統(tǒng)的破壞程度、所造成的社會(huì)影響及涉及的范圍,確定具體信息1)當(dāng)發(fā)生危害關(guān)鍵業(yè)務(wù)的安全事件后,立即向安全管理機(jī)構(gòu)報(bào)告,并組織研判,形成事件2)及時(shí)將危害關(guān)鍵業(yè)務(wù)的安全事件通報(bào)到可能受影響的內(nèi)部部門和人員,并按照規(guī)定向供應(yīng)鏈涉及的、與事件相關(guān)的其他組織通報(bào)安4)在事件發(fā)生后盡快收集證據(jù),按要求留存攻擊線索,進(jìn)行信息安全取證分析。在進(jìn)行取5)在事件處理完成后,采用手工或者自動(dòng)方式形成完整的事件處理報(bào)告。事件處理報(bào)告包括:不同部門對(duì)事件的處理記錄,事件的狀態(tài)和取證相關(guān)的其他必要信息,評(píng)估事件細(xì)6)在恢復(fù)關(guān)鍵業(yè)務(wù)和信息系統(tǒng)后,對(duì)關(guān)鍵業(yè)務(wù)和系統(tǒng)恢復(fù)情況進(jìn)行評(píng)估,查找事件原因,7)在進(jìn)行事件處理活動(dòng)時(shí),協(xié)調(diào)組織內(nèi)部多個(gè)部門和外部相關(guān)組織,以更好的對(duì)事件進(jìn)行8)經(jīng)營者應(yīng)及時(shí)將安全事件及其處置情況通報(bào)到可能受影響的部門和相關(guān)人員,向供應(yīng)鏈涉及的、與事件相關(guān)的其他組織提供安全事件信息,并按照《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)2)運(yùn)維團(tuán)隊(duì)有責(zé)任盡可能快地報(bào)告信息系統(tǒng)安全事態(tài)。熟知報(bào)告信息安全事態(tài)的規(guī)程和聯(lián)3)服務(wù)臺(tái)使用已商定文件化的信息系統(tǒng)安全事態(tài)和事件分級(jí)尺度評(píng)估每個(gè)信息系統(tǒng)安全事態(tài),并決定該事態(tài)是否該歸于信息系統(tǒng)安全事件。事件的分級(jí)和優(yōu)先級(jí)有助于標(biāo)識(shí)事件1)是否已識(shí)別、分析、處置、監(jiān)控和控制與計(jì)劃資產(chǎn)管理、控制管理活動(dòng)的績(jī)效相關(guān)的風(fēng)2)是否已識(shí)別可能影響運(yùn)營的風(fēng)險(xiǎn)來4)是否已確定影響領(lǐng)域,例如聲譽(yù)、財(cái)務(wù)狀況和法規(guī)遵從性;5)是否確定了可能影響關(guān)鍵服務(wù)交付的運(yùn)1)采用風(fēng)險(xiǎn)分析的方法對(duì)單項(xiàng)測(cè)評(píng)結(jié)果中存在的不符合項(xiàng)或部分符合項(xiàng),分析所產(chǎn)生的安全問題被威脅利用的可能性,判斷其被威脅利用后對(duì)業(yè)務(wù)信息安全和系統(tǒng)服務(wù)安全造成影響的程度,綜合評(píng)價(jià)這些不符合項(xiàng)或部分符合項(xiàng)對(duì)定級(jí)對(duì)象造成的安2)識(shí)別威脅/脆弱性/影響三者組合(暴1)由用戶和專家對(duì)資產(chǎn)、威脅和脆弱性2)評(píng)估報(bào)告中包括風(fēng)險(xiǎn)級(jí)別、風(fēng)險(xiǎn)點(diǎn)等內(nèi)容,確定信息系統(tǒng)的安全風(fēng)險(xiǎn)狀4)應(yīng)將風(fēng)險(xiǎn)評(píng)估中的信息資產(chǎn)、威脅、脆弱性、防護(hù)措施等評(píng)估項(xiàng)信息綜合到一個(gè)數(shù)據(jù)庫2)是否已識(shí)別可能影響運(yùn)營的風(fēng)險(xiǎn)來1)以系統(tǒng)安全運(yùn)行和數(shù)據(jù)安全保護(hù)為出發(fā)點(diǎn),全面分析由于物理的、系統(tǒng)的、管理的、人2)通過對(duì)影響信息系統(tǒng)安全運(yùn)行的諸多因素的了解和分析,明確系統(tǒng)存在的風(fēng)險(xiǎn),找出克3)對(duì)常見的風(fēng)險(xiǎn)(如:后門/陷阱門、拒絕使用、輻射、盜用、偽造、假冒、邏輯炸彈、4)系統(tǒng)設(shè)計(jì)前和運(yùn)行前應(yīng)進(jìn)行靜態(tài)風(fēng)險(xiǎn)分析,以發(fā)現(xiàn)系統(tǒng)的潛在安全隱患;5)系統(tǒng)運(yùn)行過程中應(yīng)進(jìn)行動(dòng)態(tài)風(fēng)險(xiǎn)分析,測(cè)試、跟蹤并記錄其活動(dòng),以發(fā)現(xiàn)系統(tǒng)運(yùn)行期的6)采用風(fēng)險(xiǎn)分析工具,通過收集數(shù)據(jù)、分析數(shù)據(jù)、輸出數(shù)據(jù),確定危險(xiǎn)的嚴(yán)重性等級(jí),分析危險(xiǎn)的可能性等方法,進(jìn)行風(fēng)險(xiǎn)分析,并確定APT檢測(cè)能力包括預(yù)測(cè)、抵受、恢復(fù)和適應(yīng)。1)抗APT攻擊系統(tǒng)對(duì)異常流量和未知威設(shè)備或相關(guān)組件是否能記錄攻擊類型、攻擊時(shí)間、2)抗APT攻擊系統(tǒng)設(shè)備或相關(guān)組件對(duì)云服務(wù)客戶網(wǎng)絡(luò)攻擊行為的產(chǎn)生攻擊動(dòng)作,驗(yàn)證抗APT攻擊系統(tǒng)4)抗APT攻擊系統(tǒng)設(shè)備或相關(guān)組件是否能夠檢測(cè)出具有惡意行為、過分占1)是否能夠監(jiān)測(cè)異常行為,并報(bào)警提醒;2)是否能夠?qū)Ξ惓P袨檫M(jìn)行必要的阻斷;1)是否能檢測(cè)到用戶發(fā)起的網(wǎng)絡(luò)攻擊行為,并能記錄攻擊2)是否能檢測(cè)到對(duì)虛擬網(wǎng)絡(luò)節(jié)點(diǎn)的網(wǎng)絡(luò)攻擊行為,并能記錄攻擊類型1)審計(jì)記錄應(yīng)包括事件的日期和時(shí)間、用戶、事件類型、事件是否成功及其他與審計(jì)相關(guān)能模塊、操作內(nèi)容等,能進(jìn)行組合查詢、排序、數(shù)據(jù)輸出,系5)對(duì)審計(jì)進(jìn)程進(jìn)行保護(hù),防止未經(jīng)授8)可以分配給個(gè)人或進(jìn)程的不同特權(quán)的數(shù)量;1)受保護(hù)的審計(jì)蹤跡存儲(chǔ),審計(jì)蹤跡的存儲(chǔ)受到應(yīng)有的保護(hù),能檢測(cè)或防止對(duì)審計(jì)記錄的2)審計(jì)數(shù)據(jù)的可用性確保,在意外情況出現(xiàn)時(shí),能檢測(cè)或防止對(duì)審計(jì)記錄的修改,以及在3)審計(jì)數(shù)據(jù)可能丟失情況下的措施,當(dāng)審計(jì)跟蹤超過預(yù)定的門限時(shí),應(yīng)采取相應(yīng)的措施,4)防止審計(jì)數(shù)據(jù)丟失,在審計(jì)蹤跡存儲(chǔ)記滿時(shí),應(yīng)采取相應(yīng)的防止審計(jì)數(shù)據(jù)丟失的措施,2)是否能夠?qū)Ξ惓P袨檫M(jìn)行必要的阻4)是否分配了監(jiān)控威脅信息來源的責(zé)任;2)核查是否部署了具備運(yùn)行狀態(tài)監(jiān)測(cè)功能的系統(tǒng)或設(shè)備,能夠?qū)W(wǎng)絡(luò)4)對(duì)安全系統(tǒng)的運(yùn)行狀態(tài)進(jìn)行監(jiān)測(cè)與日志記錄,并提供異常日志的查詢和導(dǎo)出并進(jìn)行有效1)是否具有監(jiān)測(cè)預(yù)警機(jī)制,制定自身的監(jiān)測(cè)預(yù)警和信息通報(bào)制度,確定網(wǎng)絡(luò)安全預(yù)警分級(jí)4)是否具有與外部組織之間、與其他運(yùn)營者之間,以及運(yùn)營者內(nèi)部管理人員、內(nèi)部網(wǎng)絡(luò)安全管理機(jī)構(gòu)與內(nèi)部其他部門之間的溝通與合作機(jī)制,定期召開協(xié)調(diào)會(huì)議,共同研判、處1)對(duì)網(wǎng)絡(luò)安全共享信息和報(bào)警情況等進(jìn)行綜合分析、研判,必要時(shí)生成內(nèi)部預(yù)警信息;能持續(xù)獲取預(yù)警發(fā)布機(jī)構(gòu)的安全預(yù)警信息,分析、研判相關(guān)事件或威脅對(duì)自身可能造成損2)采取相關(guān)措施對(duì)預(yù)警信息進(jìn)行響應(yīng),當(dāng)安全隱患得以控制或消除時(shí),應(yīng)執(zhí)行預(yù)警解除流程。發(fā)現(xiàn)可能危害關(guān)鍵業(yè)務(wù)的跡象時(shí),能自動(dòng)報(bào)警,并自動(dòng)采取相應(yīng)措施,降低關(guān)鍵業(yè)表15網(wǎng)絡(luò)信息系統(tǒng)安全運(yùn)營彈性三級(jí)評(píng)價(jià)指標(biāo)1234表16網(wǎng)絡(luò)信息系統(tǒng)安全運(yùn)營彈性二級(jí)評(píng)價(jià)指標(biāo)123456789表17網(wǎng)絡(luò)信息系統(tǒng)安全運(yùn)營彈性一級(jí)評(píng)價(jià)指標(biāo)123表18網(wǎng)絡(luò)信息系統(tǒng)安全運(yùn)營彈性板塊評(píng)價(jià)指標(biāo)1a)在網(wǎng)絡(luò)信息系統(tǒng)安全運(yùn)營的彈性指標(biāo)中,無彈性(一級(jí)指標(biāo))、弱彈性(一級(jí)指標(biāo))、低彈性(一級(jí)指標(biāo))、中彈性(一級(jí)指標(biāo))和高彈性的(一b)在網(wǎng)絡(luò)信息系統(tǒng)安全運(yùn)營的彈性指標(biāo)中,無彈性(二級(jí)指標(biāo))、弱彈性(二級(jí)指標(biāo))、低彈性(二級(jí)指標(biāo))、中彈性(二級(jí)指標(biāo))和高彈性的(二2)在安全事件發(fā)生時(shí),調(diào)整業(yè)務(wù)運(yùn)行策略以應(yīng)對(duì)相關(guān)險(xiǎn)情的時(shí)間;和業(yè)務(wù)運(yùn)行策略的百分1)安全事件發(fā)生后,恢復(fù)業(yè)務(wù)運(yùn)行策略2)彈性指標(biāo):當(dāng)安全事件發(fā)生時(shí),調(diào)整訪問控制策略以應(yīng)對(duì)相關(guān)險(xiǎn)情的時(shí)間;具有訪問控制策略的關(guān)鍵網(wǎng)絡(luò)資源的百分比可以動(dòng)態(tài)修改訪問控制策略的系統(tǒng)服務(wù)和網(wǎng)絡(luò)資源的百2)是否能對(duì)配置管理策略進(jìn)行有效性和安全性的評(píng)2)當(dāng)安全事件發(fā)生時(shí),調(diào)整配置管理策略調(diào)度相關(guān)資源保證系統(tǒng)最小功能集運(yùn)行的時(shí)間;2)在安全事件發(fā)生時(shí),調(diào)整密碼應(yīng)用策略以應(yīng)對(duì)相應(yīng)險(xiǎn)情的時(shí)間;可調(diào)整密碼應(yīng)用策略的2)在安全事件發(fā)生時(shí),調(diào)整備份恢復(fù)策略以應(yīng)對(duì)相應(yīng)險(xiǎn)情的時(shí)間;可調(diào)整備份恢復(fù)策略的關(guān)鍵網(wǎng)絡(luò)資源的百分比;備份恢復(fù)策略可支持備份恢復(fù)的關(guān)鍵信息百分比以及備份恢復(fù)2)安全事件發(fā)生后,從被破壞的網(wǎng)絡(luò)資源恢復(fù)的關(guān)鍵網(wǎng)絡(luò)資源的時(shí)間和百分比。1)遭受安全事件時(shí)獲得供應(yīng)商維護(hù)支系統(tǒng)恢復(fù)時(shí)獲得供應(yīng)商維護(hù)支持

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論