DB3212-T 1117-2022 政務(wù)數(shù)據(jù)安全風(fēng)險評估規(guī)范

ICS35.020CCSL70DB3212泰州市地方標(biāo)準(zhǔn)GovernmentDataSecurityRiskAssessmentSIDB3212/T1117—2022本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件由泰州市大數(shù)據(jù)管理局提出。本文件由泰州市大數(shù)據(jù)管理局歸口。本文件起草單位：泰州市大數(shù)據(jù)管理局、泰州市標(biāo)準(zhǔn)化院。本文件主要起草人：陳書劍、王小冬、孫慧、劉小芳、趙文濤、梁鑫晨、許鑫、施馳樂、吳薇、陳藍生、張婧嫻、李海鵬、郭健、王友成。1DB3212/T1117—2022政務(wù)數(shù)據(jù)安全風(fēng)險評估規(guī)范本文件提供了政務(wù)數(shù)據(jù)安全風(fēng)險評估的評估原則、風(fēng)險評估框架及流程、風(fēng)險評估實施等要求。本文件適用于政務(wù)數(shù)據(jù)安全的風(fēng)險評估。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T20984信息安全技術(shù)信息安全風(fēng)險評估方法GB/T25069信息安全技術(shù)術(shù)語GB/T37973信息安全技術(shù)大數(shù)據(jù)安全管理指南DB32/T3421基礎(chǔ)地理信息安全系統(tǒng)安全風(fēng)險評估規(guī)范3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1政務(wù)數(shù)據(jù)governmentdata各級政務(wù)部門在履行職責(zé)過程中依法采集、生成、存儲、管理的各類數(shù)據(jù)資源。注：根據(jù)可傳播范圍，政務(wù)數(shù)據(jù)一般包括可共享政務(wù)數(shù)據(jù)、可開放公共數(shù)據(jù)及不宜開放共享政務(wù)數(shù)據(jù)。3.2數(shù)據(jù)安全datasecurity指通過采取必要措施，確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能3.3風(fēng)險評估riskassessment風(fēng)險識別、風(fēng)險分析和風(fēng)險評價的整個過程。3.4數(shù)據(jù)安全風(fēng)險評估datasecurityriskassessment是指從風(fēng)險管理角度，運用科學(xué)的方法與手段，根據(jù)數(shù)據(jù)分類分級情況，系統(tǒng)分析數(shù)據(jù)所面臨的安全威脅，以及可能遭受的危害程度，有針對性地提出抵御數(shù)據(jù)安全威脅的防護對策和措施。3.5安全威脅securityThreat可能對系統(tǒng)或組織的數(shù)據(jù)處理活動造成危害的因素，其形式可以是對數(shù)據(jù)直接或間接的攻擊，在數(shù)據(jù)機密性、完整性和可用性等方面造成損害，也可能是偶發(fā)的或蓄意的事件。3.6安全脆弱性securityvulnerability通過利用數(shù)據(jù)安全威脅，導(dǎo)致數(shù)據(jù)在處理活動中的安全屬性被破壞的薄弱環(huán)節(jié)。4風(fēng)險評估原則政務(wù)數(shù)據(jù)安全風(fēng)險評估的基本原則包括：2DB3212/T1117—2022a)安全保障性原則。不應(yīng)因風(fēng)險評估造成基礎(chǔ)地理信息數(shù)據(jù)的泄露、篡改和刪除，保障數(shù)據(jù)的安全性；b)人員可控性原則。所有參與評估人員應(yīng)簽署保密協(xié)議，以保證項目信息的安全；c)信息可控性原則。評估方應(yīng)對工作過程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴(yán)格管理，未經(jīng)授權(quán)不得泄露給任何單位和個人；d)過程可控性原則。按照項目管理要求，成立風(fēng)險評估項目實施團隊，并實行項目組長負責(zé)制，達到項目過程的可控；e)工具可控性原則。評估人員所使用的評估工具應(yīng)事先告知用戶，并在評估實施前獲得被評估方的許可。5風(fēng)險評估框架及流程5.1風(fēng)險要素關(guān)系風(fēng)險評估中基本要素的關(guān)系如圖1所示。風(fēng)險評估基本要素包括資產(chǎn)、威脅、脆弱性和安全措施,并基于以上要素開展風(fēng)險評估。圖1風(fēng)險評估基本要素之間關(guān)系5.2風(fēng)險分析原理風(fēng)險分析原理如下：a)根據(jù)威脅的來源、種類、動機等，并結(jié)合威脅相關(guān)安全事件、日志等歷史數(shù)據(jù)統(tǒng)計，確定威脅的能力和頻率；b)根據(jù)脆弱性訪問路徑、觸發(fā)要求等，以及已實施的安全措施及其有效性確定脆弱性被利用難易程度；c)確定脆弱性被威脅利用導(dǎo)致安全事件發(fā)生后對資產(chǎn)所造成的影響程度；d)根據(jù)威脅的能力和頻率,結(jié)合脆弱性被利用難易程度，確定安全事件發(fā)生的可能性；e)根據(jù)資產(chǎn)在發(fā)展規(guī)劃中所處的地位和資產(chǎn)的屬性，確定資產(chǎn)價值；f)根據(jù)影響程度和資產(chǎn)價值，確定安全事件發(fā)生后對評估對象造成的損失；g)根據(jù)安全事件發(fā)生的可能性以及安全事件造成的損失，確定評估對象的風(fēng)險值；h)依據(jù)風(fēng)險評價準(zhǔn)則,確定風(fēng)險等級，用于風(fēng)險決策。5.3風(fēng)險評估流程風(fēng)險評估的實施流程如圖2所示。風(fēng)險評估流程應(yīng)包括如下內(nèi)容。DB3212/T1117—2022圖2風(fēng)險評估實施流程圖a)評估準(zhǔn)備，此階段應(yīng)包括：1)確定風(fēng)險評估的目標(biāo)；2)確定風(fēng)險評估的對象、范圍和邊界；3)組建評估團隊；4)開展前期調(diào)研；5)確定評估依據(jù)；6)建立風(fēng)險評價準(zhǔn)則；7)制定評估方案。b)評估實施，此階段應(yīng)包括：1)政務(wù)數(shù)據(jù)分類；2）政務(wù)數(shù)據(jù)分級；3）政務(wù)數(shù)據(jù)安全威脅識別；4）政務(wù)數(shù)據(jù)脆弱性識別；5）政務(wù)數(shù)據(jù)安全措施確認。c)風(fēng)險分析與評價，此階段應(yīng)包括：1)風(fēng)險分析計算；2)風(fēng)險評估；3)風(fēng)險接受程度；4)風(fēng)險處置措施。d)編制報告。此階段應(yīng)包括處理的重要數(shù)據(jù)的種類、數(shù)量，開展數(shù)據(jù)處理活動情況，面臨數(shù)據(jù)安全風(fēng)險及其對應(yīng)措施等。6風(fēng)險評估實施4DB3212/T1117—20226.1評估準(zhǔn)備組織實施風(fēng)險評估是一種戰(zhàn)略性的考慮，其結(jié)果將受到組織規(guī)劃、業(yè)務(wù)、業(yè)務(wù)流程、安全需求、系統(tǒng)規(guī)模和結(jié)構(gòu)等方面的影響。因此，在風(fēng)險評估實施前應(yīng)準(zhǔn)備以下工作。a)在考慮風(fēng)險評估的工作形式、在生命周期中所處階段和被評估單位的安全評估需求的基礎(chǔ)上，確定風(fēng)險評估目標(biāo)。附錄A給出了評估對象生命周期各階段的風(fēng)險評估內(nèi)容，附錄B給出了風(fēng)險評估的工作形式描述。b)確定風(fēng)險評估的對象、范圍和邊界。c)組建評估團隊、明確評估工具。附錄C給出了風(fēng)險評估的工具。d)開展前期調(diào)研。e)確定評估依據(jù)。f)建立風(fēng)險評價準(zhǔn)則：組織應(yīng)在考慮國家法律法規(guī)要求及行業(yè)背景和特點的基礎(chǔ)上，建立風(fēng)險評價準(zhǔn)則，以實現(xiàn)對風(fēng)險的控制與管理。風(fēng)險評價準(zhǔn)則應(yīng)滿足以下要求：1）符合組織的安全策略或安全需求；2）滿足利益相關(guān)方的期望；3）符合組織業(yè)務(wù)價值。建立風(fēng)險評價準(zhǔn)則的目的包括但不限于：1）對風(fēng)險評估的結(jié)果進行等級化處理；2）能實現(xiàn)對不同風(fēng)險的直觀比較；3）能確定組織后期的風(fēng)險控制策略。g）制定評估方案。h）評估方案需得到主管單位的支持和批準(zhǔn)。6.2評估實施6.2.1數(shù)據(jù)分類6.2.1.1根據(jù)組織的政務(wù)數(shù)據(jù)安全需求以及相關(guān)法律法規(guī)的規(guī)定，按照組織政務(wù)數(shù)據(jù)安全管理的目標(biāo)和原則，組織定期梳理重要政務(wù)數(shù)據(jù)處理活動有關(guān)情況，形成重要政務(wù)數(shù)據(jù)目錄。6.2.1.2根據(jù)政務(wù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度，以及遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者個人、組織合法權(quán)益造成的危害程度，對政務(wù)數(shù)據(jù)實行分類保護。6.2.1.3可參照各地區(qū)、各部門以及相關(guān)行業(yè)、領(lǐng)域按照分保分灰保護制度確定的重要政務(wù)數(shù)據(jù)具體6.2.2數(shù)據(jù)識別6.2.2.1識別內(nèi)容系統(tǒng)資產(chǎn)識別包括資產(chǎn)分類和業(yè)務(wù)承載性識別兩個方面。表1給出了系統(tǒng)資產(chǎn)識別的主要內(nèi)容描述。系統(tǒng)資產(chǎn)分類包括信息系統(tǒng)、數(shù)據(jù)資源和通信網(wǎng)絡(luò)，業(yè)務(wù)承載性包括承載類別和關(guān)聯(lián)程度。DB3212/T1117—2022表1系統(tǒng)資產(chǎn)識別表信息系統(tǒng)：信息系統(tǒng)是指由計算機硬件、計算機軟件、網(wǎng)絡(luò)和通信設(shè)備等組成的，并按照一定的應(yīng)用目標(biāo)和規(guī)則進行信息處理或過程控制的系統(tǒng)。典型的信息系統(tǒng)如門戶網(wǎng)站、業(yè)務(wù)系統(tǒng)、云計算平臺、數(shù)據(jù)資源：數(shù)據(jù)是指任何以電子或者非電子形式對信息的記錄。數(shù)據(jù)資源是指具有或預(yù)期具有價值的數(shù)據(jù)集。在進行數(shù)據(jù)資源風(fēng)險評估時，應(yīng)將數(shù)據(jù)活動及其關(guān)聯(lián)的數(shù)據(jù)平臺進行整體評估。數(shù)據(jù)活動包括數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)處理、數(shù)通信網(wǎng)絡(luò)：通信網(wǎng)絡(luò)是指以數(shù)據(jù)通信為目的，按照特定的規(guī)則和策略，將數(shù)據(jù)處理結(jié)點、網(wǎng)絡(luò)設(shè)備設(shè)施互連起來的一種網(wǎng)絡(luò)。將通信網(wǎng)絡(luò)作為獨立評估對象時，一般是指電信網(wǎng)、廣播電視傳輸網(wǎng)和行業(yè)承載類別：系統(tǒng)資產(chǎn)承載業(yè)務(wù)信息采集、傳輸、存儲、處理、交換、銷毀過程中聯(lián)程度：業(yè)務(wù)關(guān)聯(lián)程度（如果資產(chǎn)遭受損害，將會對承載業(yè)務(wù)環(huán)節(jié)運行造成的影代性）、資產(chǎn)關(guān)聯(lián)程度（如果資產(chǎn)遭受損害，將會對其他資產(chǎn)造成的影響，并綜6.2.2.2價值賦值系統(tǒng)資產(chǎn)價值應(yīng)依據(jù)資產(chǎn)的保密性、完整性和可用性賦值，結(jié)合業(yè)務(wù)承載性、業(yè)務(wù)重要性，進行綜合計算，并設(shè)定相應(yīng)的評級方法進行價值等級劃分，等級越高表示資產(chǎn)越重要。表2中給出了系統(tǒng)資產(chǎn)價值等級劃分的描述。資產(chǎn)保密性、完整性、可用性賦值以及業(yè)務(wù)承載性賦值方法見附錄D。表2系統(tǒng)資產(chǎn)價值等級表54高32低1綜合評價等級為很低，安全屬性破壞后對組織造成很6.2.2.3組件和單元資產(chǎn)識別系統(tǒng)組件和單元資產(chǎn)應(yīng)分類識別，系統(tǒng)組件和單元資產(chǎn)分類包括系統(tǒng)組件、系統(tǒng)單元、人力資源和其他資產(chǎn)。表3給出了系統(tǒng)組件和單元資產(chǎn)識別的主要內(nèi)容描述。6DB3212/T1117—2022表3系統(tǒng)組件和單元資產(chǎn)識別表計算機設(shè)備:大型機、小型機、服務(wù)器、工作站、臺式計算機、便攜計算機等存儲系統(tǒng)軟件:操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間支撐平臺：支撐系統(tǒng)運行的基礎(chǔ)設(shè)施平臺，如云計算服務(wù)接口：系統(tǒng)對外提供服務(wù)以及系統(tǒng)之間的信息共享邊界運維人員：對基礎(chǔ)設(shè)施、平臺、支撐系統(tǒng)、信息系統(tǒng)或數(shù)據(jù)進行運維的網(wǎng)絡(luò)管理保存在信息媒介上的各種數(shù)據(jù)資料:源代碼、數(shù)據(jù)庫數(shù)據(jù)、系保障設(shè)備:UPS、變電設(shè)備、空調(diào)、保險柜、文件柜服務(wù):為了支撐業(yè)務(wù)、信息系統(tǒng)運行、信息系統(tǒng)安全,釆購的服務(wù)等知識產(chǎn)權(quán)6.2.2.4組件和單元資產(chǎn)賦值系統(tǒng)組件和單元資產(chǎn)價值應(yīng)依據(jù)其保密性、完整性、可用性賦值進行綜合計算，并設(shè)定相應(yīng)的評級方法進行價值等級劃分,等級越高表示資產(chǎn)越重要。表4中給出了系組件和單元資產(chǎn)價值等級劃分的描述。資產(chǎn)保密性、完整性、可用性賦值方法見附錄D。表4系統(tǒng)組件和單元資產(chǎn)價值等級表5綜合評價等級為很高，安全屬性破壞后對業(yè)務(wù)和系統(tǒng)4高綜合評價等級為高,安全屬性破壞后對業(yè)務(wù)和系統(tǒng)資產(chǎn)3綜合評價等級為中,安全屬性破壞后對業(yè)務(wù)和系統(tǒng)資產(chǎn)2低綜合評價等級為低，安全屬性破壞后對業(yè)務(wù)和1綜合評價等級為很低，安全屬性破壞后對業(yè)務(wù)和系統(tǒng)資產(chǎn)造成很小的7DB3212/T1117—20226.2.3政務(wù)數(shù)據(jù)分級6.2.3.1政務(wù)數(shù)據(jù)分級按照表5政務(wù)數(shù)據(jù)分級判定標(biāo)準(zhǔn)可分為L1、L2、L3、L4四級，并根據(jù)就高性原則進行定級，報部門主要負責(zé)人審批同意。表5政務(wù)數(shù)據(jù)分級判定標(biāo)準(zhǔn)6.2.4安全威脅識別6.2.4.1威脅識別的內(nèi)容包括威脅的來源、主體、種類、動機、時機和頻率。6.2.4.2在對威脅進行分類前，應(yīng)識別威脅的來源。威脅來源包括環(huán)境、意外和人為三類，附錄D給出了威脅識別的參考方法。表6給出了一種威脅來源的分類方法。6.2.4.3根據(jù)威脅來源的不同，威脅可劃分為信息損害和未授權(quán)行為等威脅種類。表6給出了一種威脅種類劃分的參考。表6一種數(shù)據(jù)安全威脅分類方法數(shù)據(jù)入庫時，惡意代碼隨數(shù)據(jù)注入到數(shù)據(jù)庫或數(shù)據(jù)入庫時，攻擊者接入釆集系統(tǒng)污染待寫入數(shù)據(jù)分類分級判斷錯誤或打標(biāo)記錯誤，導(dǎo)致不在目前的管理目錄或者數(shù)據(jù)接口管理目錄不能否滿足數(shù)據(jù)共享的要求，數(shù)據(jù)產(chǎn)生部門攻擊者偽裝成外部通信代理、通信對端、通信鏈有權(quán)限的員工、第三方運維與服務(wù)人員接入，或攻擊者接入外部通信鏈路與網(wǎng)關(guān)、通信代理、篡改網(wǎng)絡(luò)配置信息、系統(tǒng)配置信息、安全配置信息在數(shù)據(jù)庫服務(wù)器、文件服務(wù)器、辦公終端等對象上故意在數(shù)據(jù)庫服務(wù)器、文件服務(wù)器、辦公終8DB3212/T1117—2022依托第三方云平臺、數(shù)據(jù)中心等存儲數(shù)據(jù)，沒在使用云計算或其他技術(shù)時，數(shù)據(jù)存放位置不可控數(shù)據(jù)可被內(nèi)部員工獲取，組織對內(nèi)部員工所獲數(shù)據(jù)可被第三方服務(wù)商、合作商獲取，組織對依托第三方機構(gòu)或外部處理系統(tǒng)處理數(shù)據(jù)，沒數(shù)據(jù)失效或業(yè)務(wù)關(guān)閉后，遺留的敏感數(shù)據(jù)仍然6.2.4.4威脅主體依據(jù)人為和環(huán)境進行區(qū)分，人為的分為國家、組織團體和個人，環(huán)境的分為一般的自然災(zāi)害、較為嚴(yán)重的自然災(zāi)害和嚴(yán)重的自然災(zāi)害。6.2.4.5威脅動機是指引導(dǎo)、激發(fā)人為威脅進行某種活動，對組織業(yè)務(wù)、資產(chǎn)產(chǎn)生影響的內(nèi)部動力和原因。威脅動機可劃分為惡意和非惡意，惡意包括攻擊、破壞、竊取等，非惡意包括誤操作、好奇心等。表E.3給出了一種威脅動機分類的參考。6.2.4.6威脅時機可劃分為普通時期、特殊時期和自然規(guī)律。6.2.4.7威脅頻率應(yīng)根據(jù)經(jīng)驗和有關(guān)的統(tǒng)計數(shù)據(jù)來進行判斷，綜合考慮以下四個方面，形成特定評估環(huán)境中各種威脅出現(xiàn)的頻率：a）以往安全事件報告中出現(xiàn)過的威脅及其頻率統(tǒng)計；b）實際環(huán)境中通過檢測工具以及各種日志發(fā)現(xiàn)的威脅及其頻率統(tǒng)計；c）實際環(huán)境中監(jiān)測發(fā)現(xiàn)的威脅及其頻率統(tǒng)計；d）近期公開發(fā)布的社會或特定行業(yè)威脅及其頻率統(tǒng)計，以及發(fā)布的威脅預(yù)警。6.2.4.8威脅賦值威脅賦值應(yīng)基于威脅行為，依據(jù)威脅的行為能力和頻率，結(jié)合威脅發(fā)生的時機，進行綜合計算，并設(shè)定相應(yīng)的評級方法進行等級劃分，等級越高表示威脅利用脆弱性的可能性越大。表7中給出了威脅賦值等級劃分的描述。9DB3212/T1117—2022表7—種基于發(fā)生頻率的數(shù)據(jù)安全威脅賦值方法5在該行業(yè)領(lǐng)域的業(yè)務(wù)系統(tǒng)中，通常不可避免的威脅，發(fā)生頻率）；高4在該行業(yè)領(lǐng)域的業(yè)務(wù)系統(tǒng)中，在多數(shù)情況下會發(fā)生的威脅，發(fā)）；3）；低2在該行業(yè)領(lǐng)域的業(yè)務(wù)系統(tǒng)中，一般不太容易發(fā)生的威脅，發(fā)生1在該行業(yè)領(lǐng)域的業(yè)務(wù)系統(tǒng)中，很罕見和例外的情況下會發(fā)生的6.2.5安全脆弱性識別6.2.5.1政務(wù)數(shù)據(jù)安全脆弱性識別是依據(jù)國際、國家安全標(biāo)準(zhǔn)或者行業(yè)規(guī)范、應(yīng)用流程的安全要求，從管理與技術(shù)兩個角度進行綜合識別。當(dāng)政務(wù)數(shù)據(jù)安全不能滿足以下數(shù)據(jù)安全防護要求時，會產(chǎn)生政務(wù)數(shù)據(jù)安全脆弱性，評估人員應(yīng)從以下方面進行數(shù)據(jù)安全脆弱性識別：a)政務(wù)數(shù)據(jù)采集：1）政務(wù)部門應(yīng)根據(jù)本部門履行職責(zé)的需要依法采集信息，明確采集信息的范圍、格式和采集流程，按照相關(guān)標(biāo)準(zhǔn)規(guī)范要求，在目錄管理系統(tǒng)登記數(shù)據(jù)，確保數(shù)據(jù)真實、準(zhǔn)確、完整和及時。2）各區(qū)委應(yīng)根據(jù)自身實際情況，確定數(shù)據(jù)采集范圍、數(shù)量和頻度，確定采集過程中個人信息和重要數(shù)據(jù)的采集范圍、控制措施。3）政務(wù)信息采集應(yīng)遵循“源頭采集、一數(shù)一源”的原則，凡可以通過共享獲取的信息，各政務(wù)部門原則上不得要求自然人、法人或其他組織重復(fù)提交，法律、法規(guī)另有規(guī)定的除外。4）自然人數(shù)據(jù)應(yīng)當(dāng)以居民身份證號碼作為標(biāo)識進行采集，法人及其他組織數(shù)據(jù)應(yīng)當(dāng)以統(tǒng)一社會信用代碼作為標(biāo)識進行采集。5）政務(wù)部門應(yīng)按相關(guān)技術(shù)標(biāo)準(zhǔn)對采集的政務(wù)數(shù)據(jù)開展數(shù)字化和結(jié)構(gòu)化處理。對列入政務(wù)信息資源共享目錄和開放目錄的信息資源，未建設(shè)相應(yīng)業(yè)務(wù)系統(tǒng)的，政務(wù)部門應(yīng)按照相關(guān)技術(shù)標(biāo)準(zhǔn)積極開展業(yè)務(wù)系統(tǒng)建設(shè)，確保業(yè)務(wù)數(shù)據(jù)庫與信息共享平臺和數(shù)據(jù)開放平臺之間的互聯(lián)互通和同步更新。6）在數(shù)據(jù)抽取過程中使用到的中間賬戶應(yīng)是專門為中臺系統(tǒng)設(shè)計，且遵循“最小夠用”原則。7）應(yīng)記錄并保存政務(wù)數(shù)據(jù)處理活動過程相關(guān)的信息。8）應(yīng)對政務(wù)數(shù)據(jù)源和數(shù)據(jù)采集的環(huán)境、設(shè)施、技術(shù)采取必要的安全機制和管控措施，對產(chǎn)生數(shù)據(jù)的數(shù)據(jù)源進行身份鑒別和記錄，確保采集數(shù)據(jù)的機密性、完整性和真實性。b)政務(wù)數(shù)據(jù)傳輸：1）數(shù)據(jù)傳輸過程中的身份鑒別技術(shù)應(yīng)具備安全性，使得數(shù)據(jù)信息不會被非法操作或越權(quán)訪問。2）確保數(shù)據(jù)傳輸應(yīng)采用加密通道、元數(shù)據(jù)加密、去標(biāo)識化、完整性校驗或其他技術(shù)保證傳輸過程中的機密性和完整性，包括但不限于個人信息數(shù)據(jù)、業(yè)務(wù)信息數(shù)據(jù)、鑒別信息數(shù)據(jù)、日志信息數(shù)據(jù)等。3）應(yīng)建立政務(wù)數(shù)據(jù)傳輸鏈路冗余機制，保證數(shù)據(jù)傳輸?shù)目煽啃院途W(wǎng)絡(luò)傳輸服務(wù)可用性。c)政務(wù)數(shù)據(jù)存儲：1）政務(wù)部門應(yīng)將政務(wù)信息資源統(tǒng)一存儲到泰州市政務(wù)信息共享開放平臺，加強數(shù)據(jù)存儲前的保密審查，原則上機密級以下涉密數(shù)據(jù)通過全市電子政務(wù)內(nèi)網(wǎng)平臺承載，非涉密數(shù)據(jù)通過政務(wù)信息共享開放平臺承載。DB3212/T1117—20222）政務(wù)數(shù)據(jù)存儲應(yīng)采用身份鑒別技術(shù)對數(shù)據(jù)訪問者身份進行識別，確保數(shù)據(jù)在授權(quán)的安全范圍內(nèi)被使用、訪問、操作，防止數(shù)據(jù)被任意讀取，造成數(shù)據(jù)泄露或數(shù)據(jù)安全屬性被破壞等后果。3）政務(wù)數(shù)據(jù)存儲應(yīng)采用校驗技術(shù)或密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的完整性，包括但不限于個人信息數(shù)據(jù)、業(yè)務(wù)信息數(shù)據(jù)、鑒別信息數(shù)據(jù)、日志信息數(shù)據(jù)等。4）應(yīng)采用密碼技術(shù)保證重要數(shù)據(jù)在存儲過程中的機密性，包括但不限于業(yè)務(wù)信息數(shù)據(jù)、鑒別信息數(shù)據(jù)、日志信息數(shù)據(jù)等。5）應(yīng)規(guī)定重要數(shù)據(jù)的備份方式、備份頻度、存儲介質(zhì)、保存期等。6）應(yīng)根據(jù)政務(wù)數(shù)據(jù)的重要性和政務(wù)數(shù)據(jù)對系統(tǒng)運行的影響，制定政務(wù)數(shù)據(jù)的備份和恢復(fù)策略、備份和恢復(fù)程序等。7）政務(wù)部門對政務(wù)數(shù)據(jù)涉密屬性不明確或者有爭議的，按照保密法有關(guān)規(guī)定執(zhí)行。d)政務(wù)數(shù)據(jù)共享：1）涉及個人信息的政務(wù)數(shù)據(jù)開放內(nèi)容，應(yīng)根據(jù)業(yè)務(wù)對個人信息進行必要的去標(biāo)識化處理。2）應(yīng)能夠檢測開放數(shù)據(jù)資源是否含有非公開信息能力，確保公開數(shù)據(jù)合規(guī)。3）應(yīng)具備對異常或高風(fēng)險數(shù)據(jù)訪問行為自動化識別和預(yù)警的能力，及時阻斷違規(guī)行為。e)政務(wù)數(shù)據(jù)加工：1）應(yīng)建立數(shù)據(jù)加工節(jié)點的安全機制，確保節(jié)點接入的真實性，防止數(shù)據(jù)泄露。2）在數(shù)據(jù)分析過程中對數(shù)據(jù)獲取、訪問接口、授權(quán)機制進行管控，應(yīng)建立多源數(shù)據(jù)派生、聚合、關(guān)聯(lián)分析過程的管控措施，避免分析結(jié)果泄露敏感數(shù)據(jù)、個人信息。3）應(yīng)建立數(shù)據(jù)溯源機制，實現(xiàn)數(shù)據(jù)流向追蹤，并對溯源數(shù)據(jù)進行保護。4）應(yīng)建立數(shù)據(jù)加工再利用管控機制，確保對數(shù)據(jù)加工產(chǎn)生的組谷數(shù)據(jù)、關(guān)聯(lián)數(shù)據(jù)、衍生數(shù)據(jù)的違規(guī)使用、未授權(quán)濫用、非法轉(zhuǎn)存、跨境存儲進行檢測評估。f)政務(wù)數(shù)據(jù)銷毀：1）應(yīng)使用規(guī)范的工具或產(chǎn)品，采用可靠技術(shù)手段及時銷毀符合銷毀條件的數(shù)據(jù)，確保數(shù)據(jù)不可還原。2）對于數(shù)據(jù)存儲介質(zhì)的銷毀，應(yīng)使用國家權(quán)威機構(gòu)認證的設(shè)備或國家認定資質(zhì)的銷毀服務(wù)提供商對存儲介質(zhì)設(shè)備進行物理銷毀。6.2.5.2可根據(jù)政務(wù)數(shù)據(jù)的暴露程度、技術(shù)實現(xiàn)的難易程度、流行程度等，采用分級方式對數(shù)據(jù)安全脆弱性指數(shù)賦值,見表8。表8一種政務(wù)數(shù)據(jù)安全脆弱性指數(shù)與賦值方法5高43低216.2.6安全措施確認DB3212/T1117—20226.2.6.1在識別政務(wù)數(shù)據(jù)安全脆弱性的同時，評估人員應(yīng)對數(shù)據(jù)安全措施的有效性進行評估確認。對有效的安全措施繼續(xù)保持，對確認為不適當(dāng)?shù)陌踩胧?yīng)核實是否應(yīng)被取消或?qū)ζ溥M行修正，或用更合適的安全措施替代。6.2.6.2政務(wù)數(shù)據(jù)安全措施確認結(jié)果包括兩種情況：a)防護措施對數(shù)據(jù)安全保障起到加強作用，此類防護措施應(yīng)加以保持。b)對數(shù)據(jù)安全保障起到削弱作用，此類防護措施應(yīng)被調(diào)整并予以加強。6.2.6.3政務(wù)數(shù)據(jù)安全措施調(diào)節(jié)因數(shù)。在對數(shù)據(jù)安全風(fēng)險進行分析評價時，應(yīng)考慮數(shù)據(jù)、數(shù)據(jù)安全威脅、數(shù)據(jù)安全脆弱性的綜合作用以及數(shù)據(jù)安全措施產(chǎn)生的加強或削弱作用，因此引入數(shù)據(jù)安全措施調(diào)節(jié)因數(shù)對數(shù)據(jù)安全風(fēng)險進行修正。6.2.6.4政務(wù)數(shù)據(jù)安全措施調(diào)節(jié)因數(shù)的取值應(yīng)設(shè)置在一個合理的取值區(qū)間，能夠反映現(xiàn)有數(shù)據(jù)安全措施對數(shù)據(jù)安全保障產(chǎn)生的加強或削弱作用。6.3風(fēng)險分析與評價6.3.1應(yīng)結(jié)合數(shù)據(jù)風(fēng)險值計算和數(shù)據(jù)風(fēng)險面臨的風(fēng)險等級對數(shù)據(jù)進行定量與定性的綜合分析與評價。6.3.2應(yīng)根據(jù)數(shù)據(jù)安全風(fēng)險分析與評價過程應(yīng)確定影響數(shù)據(jù)安全風(fēng)險的要素、要素之間的組合方式以及具體的計算方法。影響數(shù)據(jù)安全風(fēng)險的要素主要包括數(shù)據(jù)安全威脅頻率、數(shù)據(jù)安全脆弱性指數(shù)、數(shù)據(jù)級別以及現(xiàn)有數(shù)據(jù)安全措施。6.3.3應(yīng)根據(jù)安全威脅利用數(shù)據(jù)的脆弱性造成的破壞對數(shù)據(jù)安全風(fēng)險進行評價。6.4編制報告6.4.1同時結(jié)合現(xiàn)有數(shù)據(jù)安全措施對數(shù)據(jù)安全風(fēng)險的加強或削弱作用進行關(guān)聯(lián)分析，并編制數(shù)據(jù)安全風(fēng)險評估報告。6.4.2被評估組織根據(jù)本行業(yè)、單位的風(fēng)險管理策略，確認數(shù)據(jù)安全風(fēng)險接受程度，對不可接受的數(shù)據(jù)安全風(fēng)險，應(yīng)釆取風(fēng)險管控措施進行控制。DB3212/T1117—2022評估對象生命周期各階段的風(fēng)險評估A.1概述風(fēng)險評估應(yīng)貫穿于評估對象生命周期各階段中。評估對象生命周期各階段中涉及的風(fēng)險評估原則和方法是一致的，但由于各階段實施內(nèi)容、對象、安全需求不同，使得風(fēng)險評估的對象、目的、要求等各方面也有所不同。在規(guī)劃設(shè)計階段，通過風(fēng)險評估以確定評估對象的安全目標(biāo)；在建設(shè)驗收階段，通過風(fēng)險評估以確定評估對象的安全目標(biāo)達成與否；在運行維護階段，要持續(xù)的實施風(fēng)險評估以識別評估對象面臨的不斷變化的風(fēng)險和脆弱性，從而確定安全措施的有效性，確保安全目標(biāo)得以實現(xiàn)。因此，每個階段風(fēng)險評估的具體實施應(yīng)根據(jù)該階段的特點有所側(cè)重的進行。A.2規(guī)劃階段的風(fēng)險評估規(guī)劃階段風(fēng)險評估的目的是識別評估對象的業(yè)務(wù)規(guī)劃，以支撐評估對象安全需求及安全規(guī)劃等。規(guī)劃階段的評估應(yīng)能夠描述評估對象建成后對現(xiàn)有業(yè)務(wù)模式的作用，包括技術(shù)、管理等方面，并根據(jù)其作用確定評估對象建設(shè)應(yīng)達到的安全目標(biāo)。本階段評估中，資產(chǎn)、脆弱性不需要識別；威脅應(yīng)根據(jù)未來應(yīng)用對象、應(yīng)用環(huán)境、業(yè)務(wù)狀況、操作要求等方面進行分析。評估著重在以下幾方面：a）是否依據(jù)相關(guān)規(guī)則，建立了與業(yè)務(wù)規(guī)劃相一致的安全規(guī)劃，并得到最高管理者的認可；b）是否依據(jù)業(yè)務(wù)建立與之相契合的安全策略，并得到最高安全管理者的認可；c）系統(tǒng)規(guī)劃中是否明確評估對象開發(fā)的組織、業(yè)務(wù)變更的管理、開發(fā)優(yōu)先級；d）系統(tǒng)規(guī)劃中是否考慮評估對象的威脅、環(huán)境，并制定總體的安全方針；e）系統(tǒng)規(guī)劃中是否描述評估對象預(yù)期使用的信息，包括預(yù)期的信息系統(tǒng)、資產(chǎn)的重要性、潛在的價值、可能的使用限制、對業(yè)務(wù)的支持程度等；D系統(tǒng)規(guī)劃中是否描述所有與評估對象安全相關(guān)的運行環(huán)境，包括物理和人員的安全配置，以及明確相關(guān)的法規(guī)、組織安全策略、專門技術(shù)和知識等。規(guī)劃階段的評估結(jié)果應(yīng)體現(xiàn)在評估對象整體規(guī)劃或項目建議書中。A.3設(shè)計階段的風(fēng)險評估設(shè)計階段的風(fēng)險評估需要根據(jù)規(guī)劃階段所明確的運行環(huán)境、業(yè)務(wù)重要性、資產(chǎn)重要性，提出安全功能需求設(shè)計階段的風(fēng)險評估結(jié)果應(yīng)對設(shè)計方案中所提供的安全功能符合性進行判斷，作為實施過程風(fēng)險控制的依據(jù)。本階段評估中，應(yīng)詳細評估設(shè)計方案中面臨威脅的描述，將評估對象使用的具體設(shè)備、軟件等資產(chǎn)及其安全功能形成需求列表。對設(shè)計方案的評估著重在以下幾方面：a）設(shè)計方案是否符合評估對象建設(shè)規(guī)劃，并得到最高管理者的認可；b）設(shè)計方案是否對評估對象建設(shè)后面臨的威脅進行了分析，重點分析來自物理環(huán)境和自然的威脅，以及由于內(nèi)、外部入侵等造成的威脅；c）設(shè)計方案中的安全需求是否符合規(guī)劃階段的安全目標(biāo)，并基于威脅的分析，制定評估對象的總體安全策略；d）設(shè)計方案是否采取了一定的手段來應(yīng)對可能的故障；e）設(shè)計方案是否對設(shè)計原型中的技術(shù)實現(xiàn)以及人員、組織管理等方面的脆弱性進行評估，包括設(shè)計過程中的管理脆弱性和技術(shù)平臺固有的脆弱性；f）設(shè)計方案是否考慮隨著其他系統(tǒng)接入而可能產(chǎn)生的風(fēng)險；g）系統(tǒng)性能是否滿足用戶需求，并考慮到峰值的影響，是否在技術(shù)上考慮了滿足系統(tǒng)性能要求的方法；h）應(yīng)用系統(tǒng)（含數(shù)據(jù)庫）是否根據(jù)業(yè)務(wù)需要進行了安全設(shè)計；i）設(shè)計方案是否根據(jù)開發(fā)的規(guī)模、時間及系統(tǒng)的特點選擇開發(fā)方法，并根據(jù)設(shè)計開發(fā)計劃及用戶需求，對系統(tǒng)涉及的軟件、硬件與網(wǎng)絡(luò)進行分析和選型；DB3212/T1117—2022J）設(shè)計活動中所釆用的安全控制措施、安全技術(shù)保障手段對風(fēng)險的影響。在安全需求變更和設(shè)計變更后，也需要重復(fù)這項評估。設(shè)計階段的評估可以以安全建設(shè)方案評審的方式進行，判定方案所提供的安全功能與信息技術(shù)安全技術(shù)標(biāo)準(zhǔn)的符合性。評估結(jié)果應(yīng)體現(xiàn)在評估對象需求分析報告或建設(shè)實施方案中。A.4實施階段的風(fēng)險評估實施階段風(fēng)險評估的目的是根據(jù)安全需求和運行環(huán)境對系統(tǒng)開發(fā)、實施過程進行風(fēng)險識別，并對建成后的安全功能進行驗證。根據(jù)設(shè)計階段分析的威脅和制定的安全措施，在實施及驗收時進行質(zhì)量控制。基于設(shè)計階段的資產(chǎn)列表、安全措施，實施階段應(yīng)對規(guī)劃階段的安全威脅進行進一步細分，同時評估安全措施的實現(xiàn)程度，從而確定安全措施能否抵御現(xiàn)有威脅、脆弱性的影響。實施階段風(fēng)險評估主要對業(yè)務(wù)及其相關(guān)信息系統(tǒng)的開發(fā)、技術(shù)與產(chǎn)品獲取，系統(tǒng)交付實施兩個過程進行評估。開發(fā)、技術(shù)與產(chǎn)品獲取過程的評估要點包括：a）法律、政策、適用標(biāo)準(zhǔn)和指導(dǎo)方針：直接或間接影響評估對象安全需求的特定法律；影響評估對象安全需求、產(chǎn)品選擇的政府政策、國際或國家標(biāo)準(zhǔn)；b）評估對象的功能需要：安全需求是否有效地支持系統(tǒng)的功能；c）成本效益風(fēng)險：是否根據(jù)評估對象的資產(chǎn)、威脅和脆弱性的分析結(jié)果，確定在符合相關(guān)法律、政策、標(biāo)準(zhǔn)和功能需要的前提下選擇最合適的安全措施；d）評估保證級別：是否明確系統(tǒng)建設(shè)后應(yīng)進行怎樣的測試和檢查，從而確定是否滿足項目建設(shè)、實施規(guī)范的要求。A.5交付階段的風(fēng)險評估系統(tǒng)交付實施過程的評估要點包括：a）根據(jù)實際建設(shè)的系統(tǒng)，詳細分析資產(chǎn)、面臨的威脅和脆弱性；b）根據(jù)系統(tǒng)建設(shè)目標(biāo)和安全需求，對系統(tǒng)的安全功能進行驗收測試；評價安全措施能否抵御安全威脅；c）評估是否建立了與整體安全策略一致的組織管理制度；d）對系統(tǒng)實現(xiàn)的風(fēng)險控制效果與預(yù)期設(shè)計的符合性進行判斷，如存在較大的不符合，應(yīng)重新進行評估對象安全策略的設(shè)計與調(diào)整。本階段風(fēng)險評估可以采取對照實施方案和標(biāo)準(zhǔn)要求的方式，對實際建設(shè)結(jié)果進行測試、分析。A.6運行階段的風(fēng)險評估運行維護階段風(fēng)險評估的目的是了解和控制運行過程中的安全風(fēng)險，是一種較為全面的風(fēng)險評估。評估內(nèi)容包括對真實運行的資產(chǎn)、威脅、脆弱性等各方面。a）資產(chǎn)評估：包括對業(yè)務(wù)、系統(tǒng)資產(chǎn)、系統(tǒng)組件和單元資產(chǎn)的評估。業(yè)務(wù)評估包括業(yè)務(wù)定位、業(yè)務(wù)關(guān)聯(lián)性、完整性、業(yè)務(wù)流程分析；系統(tǒng)資產(chǎn)評估包括系統(tǒng)分類和業(yè)務(wù)承載連續(xù)性的評估；系統(tǒng)組件和單元資產(chǎn)是在真實環(huán)境下較為細致的評估，包括實施階段采購的軟硬件資產(chǎn)、系統(tǒng)運行過程中生成的信息資產(chǎn)、相關(guān)的人員與服務(wù)等，本階段資產(chǎn)識別是前期資產(chǎn)識別的補充與增加。b）威脅評估：應(yīng)全面地分析威脅的可能性和嚴(yán)重程度。對威脅導(dǎo)致安全事件的評估可以參照威脅來源動機、能力和安全事件的發(fā)生頻率。c）脆弱性評估：是全面的脆弱性評估。包括運行環(huán)境中物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、安全保障設(shè)備、管理等各方面的脆弱性。技術(shù)脆弱性評估可以采取核查、掃描、案例驗證、滲透性測試的方式實施；安全保障設(shè)備的脆弱性評估，應(yīng)包括安全功能的實現(xiàn)情況和安全保障設(shè)備本身的脆弱性；管理脆弱性評估可以采取文檔、記錄核查等方式進行驗證。d）風(fēng)險計算：根據(jù)本文件的相關(guān)方法，對風(fēng)險進行定性或定量的風(fēng)險分析，描述不同業(yè)務(wù)、系統(tǒng)資產(chǎn)的風(fēng)險高低狀況。運行維護階段的風(fēng)險評估應(yīng)定期執(zhí)行；當(dāng)組織的業(yè)務(wù)流程、系統(tǒng)狀況發(fā)生重大變更時，也應(yīng)進行風(fēng)險評估，重大變更包括以下情況（但不限于）:a）增加新的應(yīng)用或應(yīng)用發(fā)生較大變更；b）網(wǎng)絡(luò)結(jié)構(gòu)和連接狀況發(fā)生較大變更；c）技術(shù)平臺大規(guī)模的更新；d）系統(tǒng)擴容或改造；DB3212/T1117—2022e）發(fā)生重大安全事件后，或基于某些運行記錄懷疑將發(fā)生重大安全事件；D組織結(jié)構(gòu)發(fā)生重大變動對系統(tǒng)產(chǎn)生了影響。A.7廢棄階段的風(fēng)險評估廢棄階段風(fēng)險評估著重在以下幾方面：a）確保硬件和軟件等資產(chǎn)及殘留信息得到了適當(dāng)?shù)奶幹?，并確保系統(tǒng)組件被合理地丟棄或更換；b）如果被廢棄的系統(tǒng)是某個系統(tǒng)的一部分，或與其他系統(tǒng)存在物理或邏輯上的連接，還需考慮系統(tǒng)廢棄后與其他系統(tǒng)的連接是否被關(guān)閉；c）如果在系統(tǒng)變更中廢棄，除對廢棄部分外，還應(yīng)對變更的部分進行評估，以確定是否會增加風(fēng)險或引入新的風(fēng)險；d）是否建立了流程，確保更新過程在一個安全、系統(tǒng)化的狀態(tài)下完成。本階段應(yīng)重點對廢棄資產(chǎn)對組織的影響進行分析，并根據(jù)不同的影響制定不同的處理方式。對由于系統(tǒng)廢棄可能帶來的新的威脅進行分析，并改進新系統(tǒng)或管理模式。對廢棄資產(chǎn)的處理過程應(yīng)在有效的監(jiān)督之下實施，同時對廢棄的執(zhí)行人員進行安全教育，評估對象的維護技術(shù)人員和管理人員均應(yīng)參與此階段的評估。DB3212/T1117—2022風(fēng)險評估的工作形式B.1自評估自評估是指評估對象的擁有、運營或使用單位發(fā)起的對本單位進行的風(fēng)險評估。自評估應(yīng)在本文件的指導(dǎo)下，結(jié)合評估對象特定的安全要求實施。周期性進行的自評估可以在評估流程上適當(dāng)簡化，重點針對自上次評估后評估對象發(fā)生變化后引入的新威脅，以及脆弱性的完整識別，以便于兩次評估結(jié)果的對比。但評估對象發(fā)生A.6中所列的重大變更時，應(yīng)依據(jù)本文件進行完整的評估。自評估可由發(fā)起方實施或委托風(fēng)險評估服務(wù)技術(shù)支持方實施。由發(fā)起方實施的評估可以降低實施的費用、提高相關(guān)人員的安全意識，但可能由于缺乏風(fēng)險評估的專業(yè)技能，其結(jié)果不夠深入準(zhǔn)確；同時，受到組織內(nèi)部各種因素的影響，其評估結(jié)果的客觀性易受影響。委托風(fēng)險評估服務(wù)技術(shù)支持方實施的評估，過程比較規(guī)范、評估結(jié)果的客觀性比較好，可信程度較高；但由于受到行業(yè)知識技能及業(yè)務(wù)了解的限制，對評估對象的了解，尤其是在業(yè)務(wù)方面的特殊要求存在一定的局限。由于引入風(fēng)險評估服務(wù)技術(shù)支持方本身就是一個風(fēng)險因素，因此，對其背景與資質(zhì)、評估過程與結(jié)果的保密要求等方面應(yīng)進行控制。此外，為保證風(fēng)險評估的實施，與評估對象相連的相關(guān)方也應(yīng)配合，以防止給其他方的使用帶來困難或引入新的風(fēng)險。B.2檢查評估檢查評估是指評估對象上級管理部門組織的或國家有關(guān)職能部門開展的風(fēng)險評估。檢查評估可依據(jù)本文件的要求，實施完整的風(fēng)險評估過程。檢查評估也可在自評估實施的基礎(chǔ)上，對關(guān)鍵環(huán)節(jié)或重點內(nèi)容實施抽樣評估，包括以下內(nèi)容（但不限于）:a）自評估隊伍及技術(shù)人員審查；b）自評估方法的檢查；c）自評估過程控制與文檔記錄檢查；f）自評估脆弱性列表審查；g）現(xiàn)有安全措施有效性檢查；h）自評估結(jié)果審查與釆取相應(yīng)措施的跟蹤檢查；i）自評估技術(shù)技能限制未完成項目的檢查評估；j）上級關(guān)注或要求的關(guān)鍵環(huán)節(jié)和重點內(nèi)容的檢查評估；k）軟硬件維護制度及實施管理的檢查；l）突發(fā)事件應(yīng)對措施的檢查。檢查評估也可委托風(fēng)險評估服務(wù)技術(shù)支持方實施，但評估結(jié)果僅對檢查評估的發(fā)起單位負責(zé)。由于檢查評估代表了主管機關(guān)，涉及評估對象也往往較多，因此，要對實施檢查評估機構(gòu)的資質(zhì)進行嚴(yán)格管理。DB3212/T1117—2022風(fēng)險評估的工具C.1概述風(fēng)險評估工具是風(fēng)險評估的輔助手段，是保證風(fēng)險評估結(jié)果可信度的一個重要因素。風(fēng)險評估工具的使用不但在一定程度上解決了手動評估的局限性，最主要的是它能夠?qū)＜抑R進行集中，使專家的經(jīng)驗知識被廣泛地應(yīng)用。根據(jù)在風(fēng)險評估過程中的主要任務(wù)和作用原理的不同，風(fēng)險評估的工具可以分成風(fēng)險評估與管理工具、系統(tǒng)基礎(chǔ)平臺風(fēng)險評估工具、風(fēng)險評估輔助工具三類。風(fēng)險評估與管理工具是一套集成了風(fēng)險評估各類知識和判據(jù)的管理信息系統(tǒng)，以規(guī)范風(fēng)險評估的過程和操作方法；或者是用于收集評估所需要的數(shù)據(jù)和資料，基于專家經(jīng)驗，對輸入輸出進行模型分析。系統(tǒng)基礎(chǔ)平臺風(fēng)險評估工具主要用于對信息系統(tǒng)的主要部件（如操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備等）的脆弱性進行分析，或?qū)嵤┗诖嗳跣缘墓簟ｏL(fēng)險評估輔助工具則實現(xiàn)對數(shù)據(jù)的采集、現(xiàn)狀分析和趨勢分析等單項功能，為風(fēng)險評估各要素的賦值、定級提供依據(jù)。C.2風(fēng)險評估與管理工具風(fēng)險評估與管理工具大部分是基于某種標(biāo)準(zhǔn)方法或某組織自行開發(fā)的評估方法，可以有效地通過輸入數(shù)據(jù)來分析風(fēng)險，給出對風(fēng)險的評價并推薦控制風(fēng)險的安全措施。風(fēng)險評估與管理工具通常建立在一定的模型或算法之上，風(fēng)險由業(yè)務(wù)重要性、資產(chǎn)重要性、所面臨的威脅以及威脅所利用的脆弱性來確定；也有的通過建立專家系統(tǒng)，利用專家經(jīng)驗進行分析，給出專家結(jié)論。這種評估工具需要不斷進行知識庫的擴充。此類工具實現(xiàn)了對風(fēng)險評估全過程的實施和管理，包括：評估對象基本信息獲取、業(yè)務(wù)信息獲取、資產(chǎn)信息獲取、脆弱性識別與管理、威脅識別、風(fēng)險計算、評估過程與評估結(jié)果管理等功能。評估的方式可以通過問卷的方式，也可以通過結(jié)構(gòu)化的推理過程，建立模型、輸入相關(guān)信息，得出評估結(jié)論。通常這類工具在對風(fēng)險進行評估后都會有針對性地提出風(fēng)險控制措施。根據(jù)實現(xiàn)方法的不同，風(fēng)險評估與管理工具可以分為三類。a）基于信息安全標(biāo)準(zhǔn)的風(fēng)險評估與管理工具。目前，市面上存在多種不同的風(fēng)險分析標(biāo)準(zhǔn)或指南，不同的風(fēng)險分析方法側(cè)重點不同。以這些標(biāo)準(zhǔn)或指南的內(nèi)容為基礎(chǔ)，分別開發(fā)相應(yīng)的評估工具，完成遵循標(biāo)準(zhǔn)或指南的風(fēng)險評估過程。b）基于知識的風(fēng)險評估與管理工具?；谥R的風(fēng)險評估與管理工具并不僅僅遵循某個單一的標(biāo)準(zhǔn)或指南，而是將各種風(fēng)險分析方法進行綜合，并結(jié)合實踐經(jīng)驗，形成風(fēng)險評估知識庫，以此為基礎(chǔ)完成綜合評估。它還涉及來自類似組織的最佳實踐，主要通過多種途徑采集相關(guān)信息，識別組織的風(fēng)險和當(dāng)前的安全措施；與特定的標(biāo)準(zhǔn)或最佳實踐進行比較，從中找出不符合的地方；按照標(biāo)準(zhǔn)或最佳實踐的推薦選擇安全措施以控制風(fēng)險。c）基于模型的風(fēng)險評估與管理工具?；跇?biāo)準(zhǔn)或基于知識的風(fēng)險評估與管理工具，都使用了定性分析方法或定量分析方法，或者將定性與定量相結(jié)合。定性分析方法是目前廣泛采用的方法，需要憑借評估方的知識、經(jīng)驗和直覺，或者業(yè)界的標(biāo)準(zhǔn)和實踐，為風(fēng)險的各個要素定級。定性分析法操作相對容易，但也可能因為評估方經(jīng)驗和直覺的偏差而使分析結(jié)果失準(zhǔn)。定量分析則對構(gòu)成風(fēng)險的各個要素和潛在損失水平賦予數(shù)值或貨幣金額，通過對度量風(fēng)險的所有要素進行賦值，建立綜合評價的數(shù)學(xué)模型，從而完成風(fēng)險的量化計算。定量分析方法準(zhǔn)確，但前期建立系統(tǒng)風(fēng)險模型較困難。定性與定量結(jié)合分析方法就是將風(fēng)險要素的賦值和計算，根據(jù)需要分別采取定性和定量的方法完成?；谀Ｐ偷娘L(fēng)險評估與管理工具是在對系統(tǒng)各組成部分、安全要素充分研究的基礎(chǔ)上，對典型系統(tǒng)的資產(chǎn)、威脅、脆弱性建立量化或半量化的模型，根據(jù)采集信息的輸入，得到評價的結(jié)果。C.3系統(tǒng)基礎(chǔ)平臺風(fēng)險評估工具DB3212/T1117—2022系統(tǒng)基礎(chǔ)平臺風(fēng)險評估工具包括脆弱性掃描工具、滲透性測試工具、代碼審計工具、移動應(yīng)用安全測試工具、工控安全測試工具、機房檢測工具等。脆弱性掃描工具又稱為安全掃描器、漏洞掃描儀等，主要用于識別網(wǎng)絡(luò)、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)的脆弱性。通常情況下，這些工具能夠發(fā)現(xiàn)軟件和硬件中已知的脆弱性，以決定系統(tǒng)是否易受已知攻擊的影響。脆弱性掃描工具是目前應(yīng)用最廣泛的風(fēng)險評估工具，主要完成操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)協(xié)議、網(wǎng)絡(luò)服務(wù)等的安全脆弱性檢測功能，目前常見的脆弱性掃描工具有以下幾種類型：a）基于網(wǎng)絡(luò)的掃描器：在網(wǎng)絡(luò)中運行，能夠檢測如防火墻錯誤配置或連接到網(wǎng)絡(luò)上的易受攻擊的網(wǎng)絡(luò)服務(wù)器的關(guān)鍵漏洞；b）基于主機的掃描器：發(fā)現(xiàn)主機的操作系統(tǒng)、特殊服務(wù)和配置的細節(jié)，發(fā)現(xiàn)潛在的用戶行為風(fēng)險，如密碼強度不夠，也可實施對文件系統(tǒng)的檢查；c）基于平臺的掃描器：能夠發(fā)現(xiàn)平臺存在的脆弱性，平臺包括云平臺、大數(shù)據(jù)平臺等；d）分布式網(wǎng)絡(luò)掃描器：由遠程掃描代理、對這些代理的即插即用更新機制、中心管理點三部分構(gòu)成，用于企業(yè)級網(wǎng)絡(luò)的脆弱性評估，分布和位于不同的位置、城市甚至不同的國家；e）數(shù)據(jù)庫脆弱性掃描器：對數(shù)據(jù)庫的授權(quán)、認證和完整性進行詳細的分析，也可以識別數(shù)據(jù)庫系統(tǒng)中潛在的脆弱性。滲透性測試工具是根據(jù)脆弱性掃描工具掃描的結(jié)果進行模擬攻擊測試，判斷被非法訪問者利用的可能性。這類工具通常包括黑客工具、腳本文件。滲透性測試的目的是檢測已發(fā)現(xiàn)的脆弱性是否真正會給系統(tǒng)或網(wǎng)絡(luò)帶來影響。通常滲透性工具與脆弱性掃描工具一起使用，并可能會對被評估系統(tǒng)的運行帶來一定影響。代碼審計工具是通過對程序源代碼逐條進行檢查和分析，發(fā)現(xiàn)這些源代碼缺陷引發(fā)的安全漏洞，并提供代碼修訂措施和建議。App安全測試工具是通過對App的代碼、會話、數(shù)據(jù)、通信等進行安全測試，以發(fā)現(xiàn)App中存在的脆弱性的工具。工控安全測試工具是對工業(yè)控制系統(tǒng)的網(wǎng)絡(luò)和應(yīng)用進行安全性測試，以發(fā)現(xiàn)工業(yè)控制系統(tǒng)中存在的脆弱性的工具。C.4風(fēng)險評估輔助工具科學(xué)的風(fēng)險評估需要大量的實踐和經(jīng)驗數(shù)據(jù)的支持，這些數(shù)據(jù)的積累是風(fēng)險評估科學(xué)性的基礎(chǔ)。風(fēng)險評估過程中，可以利用一些輔助性的工具和方法來釆集數(shù)據(jù)，幫助完成現(xiàn)狀分析和趨勢判斷。a）國家漏洞庫、專業(yè)機構(gòu)發(fā)布的漏洞與威脅統(tǒng)計數(shù)據(jù)。b）檢查列表和基線檢查工具：檢查列表是基于特定標(biāo)準(zhǔn)或基線建立的，對特定系統(tǒng)進行審查的項目條款。通過檢查列表，操作者可以快速定位系統(tǒng)目前的安全狀況與基線要求之間的差距，該檢查工作可以通過基線檢查工具實現(xiàn)。c）網(wǎng)絡(luò)入侵檢測系統(tǒng)：全流量威脅檢測系統(tǒng)、基于日志的失陷檢測工具和入侵檢測系統(tǒng)等通過部署檢測引擎，收集、處理整個網(wǎng)絡(luò)中的通信信息，以獲取可能對網(wǎng)絡(luò)或主機造成危害的入侵攻擊事件；幫助檢測各種攻擊試探和誤操作；同時也可以作為一個警報器，提醒管理員發(fā)生的安全狀況。d）態(tài)勢感知系統(tǒng)：態(tài)勢感知系統(tǒng)通過綜合分析網(wǎng)絡(luò)安全要素，評估安全狀況，預(yù)測其發(fā)展趨勢，以可視化的方式展現(xiàn)給用戶，并給岀相應(yīng)的報表和應(yīng)對措施；它的相應(yīng)報表可以作為安全現(xiàn)狀數(shù)據(jù)，并用于分析威脅情況。e）安全審計工具：用于記錄網(wǎng)絡(luò)行為，分析系統(tǒng)或網(wǎng)絡(luò)安全現(xiàn)狀；它的審計記錄可以作為風(fēng)險評估中的安全現(xiàn)狀數(shù)據(jù)，并可用于判斷評估對象威脅信息的來源。f）拓撲發(fā)現(xiàn)工具：通過接入點接入被評估網(wǎng)絡(luò)，完成被評估網(wǎng)絡(luò)中的資產(chǎn)發(fā)現(xiàn)功能，并提供網(wǎng)