ISMS信息安全管理体系案例.pdf

《ISMS信息安全管理体系案例.pdf》由会员分享，可在线阅读，更多相关《ISMS信息安全管理体系案例.pdf（61页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 X XX XX XX X 集集集集团团团团系系系系统统统统信信信信息息息息安安安安全全全全建建建建设设设设方方方方案案案案 信信信信息息息息安安安安全全全全管管管管理理理理体体体体系系系系 X XX XX XX X 集集集集团团团团系系系系统统统统信信信信息息息息安安安安全全全全建建建建设设设设方方方方案案案案 I IS SMMS S 目目目目 录录录录 12 息安全管理体系（息安全管理体系（ISMS）_ 4 12.1 信息安全管理体系概述信息安全管理体系概述 _ 4 12.1.1 信息安全管理体系及其建立的必要性_ 4 12.1.2 建立 XXX 信息系统安全管理体系的应具备条件_ 5 1

2、2.2 信息安全管理体系模型信息安全管理体系模型 _ 6 12.3 信息安全管理体系建立程序信息安全管理体系建立程序 _ 8 12.3.1 计划阶段 _ 8 12.3.1.1 XXXISMS 信息安全管理体系的范围 _ 8 12.3.1.2 XXXX 集团系统信息安全管理方针 _ 9 12.3.1.3 XXXX 集团风险分析、评估的方法 _ 11 12.3.1.4 用系统方法进行风险分析_ 18 12.3.1.5 风险管理策略 _ 26 12.3.1.6 选择风险处理的控制目标和控制措施_ 27 12.3.1.7 定期风险分析 _ 27 12.3.2 执行阶段 _ 27 12.3.2.1 安全

3、方针 _ 27 12.3.2.2 安全组织 _ 28 12.3.2.3 资产分类和控制措施_ 29 12.3.2.4 人员安全 _ 30 12.3.2.5 物理和环境安全 _ 31 12.3.2.6 通信和运行管理 _ 32 12.3.2.7 访问控制 _ 33 12.3.2.8 系统开发和维护 _ 34 12.3.2.9 业务连续性管理 _ 35 12.3.2.10 符合性安全措施 _ 35 12.3.2.11 管理资源 _ 35 12.3.3 检查阶段 _ 35 12.3.3.1 定期检查的必要性 _ 35 12.3.3.2 检查的内容 _ 36 12.3.4 行动阶段 _ 36 12.3

4、.4.1 简介 _ 36 12.3.4.2 对安全措施的改进 _ 37 12.3.4.3 对未来趋势的分析 _ 37 12.4 适用性声明适用性声明 _ 37 13 安全目的符合性安全目的符合性_ 38 13.1 局域网计算环境安全目的符合性局域网计算环境安全目的符合性_ 38 13.1.1 安全目的符合性声明 _ 38 13.1.2 安全目的符合性对应表_ 39 13.2 边界安全目的符合性边界安全目的符合性 _ 40 13.2.1 安全目的符合性声明 _ 40 13.2.2 边界安全符合性对应表_ 41 13.3 网络与网络基础设施安全目的符合性网络与网络基础设施安全目的符合性_ 43 1

5、3.3.1 安全目的符合性声明 _ 43 13.3.2 安全目的符合性对应表_ 44 13.4 支撑基础设施安全目的符合性支撑基础设施安全目的符合性 _ 44 13.5 物理安全的安全目的符合性物理安全的安全目的符合性 _ 45 12 信息安全管理体系（ISMS）12.1 信息安全管理体系概述信息安全管理体系概述 12.1.1 信息安全管理体系及其建立的必要性信息安全管理体系及其建立的必要性 信息安全的目的是通过预防安全事件和使安全事件的影响最小化来保证业务的连续性并使业务的损失最小化。信息安全管理的目的就是在实现信息能够充分共享基础上，同时也能保证信息和其他资产得到保护。信息安全管理的目的就

6、是在实现信息能够充分共享基础上，同时也能保证信息和其他资产得到保护。信息安全有三个要素：?机密性：保护敏感的信息不被未授权的泄露或很容易被截获。?完整性：保证信息和软件的准确性和完整性;?可用性：保证在需要时用户可获得信息和至关重要的服务。ISMS 就是以信息安全的三要素为目标，通过建立 ISMS 模型和管理过程，利用技术和管理的方法达到组织的业务的连续性。实施信息安全管理原因是：?支撑一个组织的信息和系统、应用程序和网络都是组织的重要业务资产。这些资产的机密性、完整性、可用性对于维持组织的竞争优势、现金流动、利益、法律上的适应性和组织的声誉都是至关重要的。?一个组织可能会面临广泛来源的，日益

7、增加的威胁。?一个组织的系统、应用程序和网络，可能成为严重威胁的目标，其中包括以计算机为基础的欺诈、间谍活动、破坏活动、破坏他人财产的行为以及失败源或灾祸源。?新的损害源，诸如来自不断公开报道过的计算机病毒和计算机黑客的威胁，仍在不断地出现。预计这些对信息安全的威胁会越来越广泛，越来越野心勃勃且日益向成熟的方向发展。基于上述原因，我们认为建立信息安全管理体系对一个组织来说是非常必要的。信息安全管理体系的建立是为了确保一个组织的信息系统全生命期的安带格式的:带格式的:项目符号和编号全。也就是说在整个信息系统的生命期内都要实施安全风险管理，并且随着技术、环境等因素的变化也要不断的改进、修正和完善。

8、在这种情况下，对于一个组织而言，是否采用信息安全管理体系是一个重大的战略决策。在这种情况下，对于一个组织而言，是否采用信息安全管理体系是一个重大的战略决策。组织的 ISMS 的设计和实现要受安全和业务需求和目标的影响，也受使用的过程以及组织的大小和结构影响。但是，这些因素及其支持系统随着时间的推移也要发生变化。我们期望，根据 XXX 电子的要求，提出一个完整、有效的信息安全管理体系（ISMS）的解决方案。12.1.2 建立建立 XXX 信息系统安全管理体系的应具备条件信息系统安全管理体系的应具备条件 要建立一个完整和有效的 ISMS 系统，除了需要配备一定的资源、技术手段外，各级管理层必须：要

9、认识到业务信息安全要求以及建立信息安全方针和目标的重要性 要认识到如何实现和运行管理组织的所有业务风险控制方法的重要性。要认识到监控和评审 ISMS 的执行情况和有效性的重要性。要认识到基于目标权衡的持续改进的重要性。要构建一个有效和实用的信息安全管理体系首先要建立信息安全管理体系模型。我们将在下一节叙述这一过程管理的模型。其次，要构建的管理过程是一个动态过程，每一个过程都有若干信息安全管理活动，并且在执行过程中不断循环。应当强调的是，信息安全管理体系建立的基础是风险分析和风险评估。风险分析和评估的成败取决于所选择的方法，因此，如何选择实用的风险分析和评估方法是建立信息安全管理体系关键之所在。

10、为了突出其重要性，我们把风险分析和评估单独作为一个文件。信息安全管理体系将利用风险分析和评估的结果作为的基础。其中不仅包括风险分析的结果，还包括安全目标、安全控制措施等。最后，要特别强调的是：5、信息安全管理体系是一个过程管理体系，它突出了过程管理。6、信息安全管理体系的运行必须得到高级领导层的理解和支持，没有他们的支持这个管理体系是无法很好运行的。带格式的:带格式的:项目符号和编号带格式的:带格式的:项目符号和编号7、信息安全管理体系不仅是过程管理而且是一个动态管理过程，这个过程是一个循环过程，通过反复运行这个过程，使这个过程不断改进、修正和完善。因此，我们不能静态的执行这个管理体系，只有反

11、复执行各阶段的活动，不断修正和改进才能达到预期的安全目标。8、应当特别注意，运行信息安全管理体系的重要基础是人，因此对人的培训是很好运行管理体系的重要前提。对人员的培训将根据他们在信息安全管理体系中的责任分别进行。9、信息安全管理体系建设所涉及的人员必须包括：资深的信息安全专家、组织的高层领导、涉及到信息安全管理的中层领导。12.2 信息安全管理体系模型信息安全管理体系模型 正如上节所述，构造信息安全管理体系首先要建立该体系的模型。以往，信息安全管理被认为是制定一系列的安全规章制度而没有建立一个完整的体系。1995 年英国制订的 BS 7799 第一部分为 实践准则，它提供了帮助各公司落实自己

12、的信息安全系统的最佳做法指导材料。1998 年制订的 BS 7799 第二部分则为针对衡量一个组织的安全遵从情况及随后给予认证证书的一览表文件。2000 年 12 月国际标准化组织发布了 ISO/IEC 17799 信息安全管理的第一个国际标准。这些标准都是实现目标管理，而没有实现动态的过程管理。2002 年英国标准化组织发表了信息安全管理信息安全管理体系规范的草案。该草案最大的变化是把静态的目标管理变成动态的过程管理。这个变化也能真正体现了信息安全管理的实际。我们参考了 BS7799-2002 的草案版本，认为 XXX 电子系统 ISM 的构成如图 12.1 所示。图图 12.1 信息安全管

13、理体系模型信息安全管理体系模型 该图说明了过程连接的关系。我们把它命名为 Plan-Do-Check-Act（即PDCA）过程模型。该模型可以用于所有的过程控制。我们为 XXX 电子系统设计的 PDCA 过程模型可以简单描述如下：计划（计划（Plan）过程（建立）过程（建立 ISMS 的基本要素）：的基本要素）：本阶段的目标是：建立、控制和改善与信息安全相关的安全方针、安全目的、安全目标、安全过程、安全程序，以便提交与组织的所有安全方针和目标相一致的结果。实行（实行（Do）过程（设计和实现）：）过程（设计和实现）：本阶段的目标是：实现安全方针（过程和程序）检查（检查（Check）（监控和评审）

14、（监控和评审）本阶段的目标是：对照方针、目标、实践经验来量度和评估过程的性能，并把结果报告给决策者。行动（行动（Act）（改善）：）（改善）：本阶段的目标是：实现纠正和预防活动以便进一步改善过程的执行情况。12.3信息安全管理体系建立程序信息安全管理体系建立程序 建立 XXXX 集团系统的 ISMS 过程要素如图 12.2 所示：图图 12.2 ISMS 过程要素过程要素 12.3.1 计划阶段计划阶段 XXXX 集团系统的 ISMS 在计划阶段要执行如下活动：确定信息安全管理体系的范围、确定信息安全管理方针、确定风险分析和评估的系统方法、用系统方法进行风险分析、识别和评估风险处理的选项、选择

15、风险处理的安全控制目标和安全控制措施。12.3.1.1 XXXISMS 信息安全管理体系的范围 XXXISMS 管理体系覆盖的范围包括整个 XXX 电子系统，其目的是为XXXX 集团网络建立完善的信息安全体系框架和制定安全标准。为 XXXX 集团达到资源共享，提高办公效率和质量，提高市、局、县及集团的决策能力、管理能力、应急能力，提供安全保障。为核心业务上网、公文批发上网、集团有关告示/通知上网、服务职能上网等保驾护航。保证电子连续、可靠、安全地运行。为 XXXX 集团专网建立完整的信息安全保障体系，首先解决填平众多“信息孤岛”间的“数字鸿沟”及整顿“信息荒岛”中面临的安全问题，初步实现某些关

16、键信息资源的安全共享，以及紧迫业务的安全集成。提出翔实的资源管理中心网络安全实施方案，为实现 XXX 电子专网全部资源的安全共享打下良好的基础，第一期工程争取达到如下具体的建设目标：建设安全的信息资源管理中心门户网站；解决电子专网的入网身份认证，达到“单点登录，全网通行”的目标；内部百兆安全电子邮箱问题；选择部分影响较大、技术和协调难度较低的项目和业务上网，逐步建设安全的网上办公及应用项目；（这一段要改成概述中描述的目标）12.3.1.2 XXXX 集团系统信息安全管理方针 12.3.1.2.1 制定信息安全方针的必要性和要求 安全方针是制定信息安全管理体系的重要的一步，也是建立 ISMS 系

17、统的基本依据。信息方针简要描述为什么需要信息安全、安全为什么重要以及说明什么是允许的，什么是不允许等方面的安全主题。通常情况下，方针并不要求变化频繁。方针也包含通用的行政命令，这些命令并不一定和体系结构或系统有关。方针也是强制性的，也就是说，一定要清楚的知道，当发生违反方针的时候，一定要采取强制性措施。方针一定要简明扼要，具有可操作性。信息安全方针的制定需要考虑四种相关人员，他们是：?XXX 集团决策相关人员，他们负责对 XXX 重大的集团运行事项做出决策，电子系统建设的重要目标就是保证集团决策的科学性和高效性；?XXXX 集团业务系统的管理人员，他们负责各自相关专业集团业务领域的业务正常开展

18、，并做出授权范围内相关的决策；?XXX 业务系统的具体工作人员，这是为 XXXX 集团系统服务的、数量最大的用户群体，电子系统的建设目标之一就是保证集团业务流程高效流转、提高集团工作效率、增加透明度；?XXXX 集团 IT 相关人员，他们的首要职责是分析 XXXX 集团对信息以带格式的:带格式的:项目符号和编号及信息技术的需求，从而建立起业务与 IT 技术的桥梁，是 IT 技术成为集团运行的有效和不可缺少的工具。IT 相关人员还负责确保 XXXX 集团信息系统的正常运行。信息安全方针就是规定上述四类人员安全使用电子系统的基本原则，即：针对每一类人员（或细分的每一类人员）在什么时间、在何地点、使

19、用什么手段、可以访问哪些信息，可以对信息进行哪些处理，负有哪些安全责任。安全方针一定要有可操作性，以便相关人员的阅读、理解和执行。成功的信息安全方针的具有以下特点：?必须基于电子系统的目标和要求，并由业务管理者来指导。?必须有来自管理层的明确支持和承诺。?必须有对电子系统安全风险及其在机构内的安全程度（等级）的深刻理解。?安全必须对所有管理者和集团员工都是有效的。?安全方针和标准的综合指南必须发给所有员工和相关人员。?内容是全面、合理和可操作的。12.3.1.2.2 XXXX 集团系统安全方针的构成 XXXX 集团安全方针系统是一个三维的体系，也就是说指定 XXXX 集团安全方针需要同时关注三

20、个方面，即：业务应用领域、行政级别和方针的内容，尤其要关注不同业务领域、不同行政级别部门之间在安全方针上的差异。在具体实施时，究竟是按照行政级别还是根据业务部门来分别制定安全方针，则可根据XXXX 集团系统的实际建设情况灵活开展，但要注意不同时期所制定方针的兼容性和可追踪性。对于每一个具体的安全方针应包括以下内容：?安全方针的基本原理：安全方针的基本原理：?强调安全方针和安全管理的重要性使得信息共享成为可能；?相关法律法规的要求；?确保组织的资产不受损失。带格式的:带格式的:项目符号和编号?信息安全定义：信息安全定义：?总目标；?信息安全的定义；?支持这些目标和原则的管理意向声明；?确定有关信

21、息安全各方面的责任。?信息安全如何运作信息安全如何运作?特定的安全方针和要求的说明;?如何对全体员工进行安全必要性的教育;?业务连续性方针;?向委员会和管理机构报告安全事件过程的说明;?权限要求;?授权委员会和管理机构;?其它其它?任何需要说明的相关信息安全基本问题、规定、规则、流程。指定信息安全方针是 XXXX 集团实施的基础和出发点，因此必须予以高度的重视和关注，建议用户在具体实施过程中，聘请专业的、有资质的信息安全咨询服务机构提供帮助，并对方针的合理性、科学性进行评审。12.3.1.3 XXXX 集团风险分析、评估的方法 12.3.1.3.1 必要性 XXXX 集团系统的 ISMS 是建

22、立在信息安全分析和评估的基础之上的。对 XXX 集团而言，保证以最低的运行成本，取得最大的效果，是进行电子系统建设决策的基本依据。同样，一个正式的风险分析文件就是研究以合理的投入获取可接受的安全水平。风险分析帮助 XXX 集团机关了解信息系统系统带来的集团运行风险，从而为安全措施的采取提供决策依据。在采用有效风险分析过程的地方，只有实际需要的控制和保障措施才得到实施。一个组织将不再根据审计的要求去实施一些不必要的安全控制措施。无论任何时候，只要有资金或者资源的花费，都应进行风险分析。大多数风险分析失败的原因是因为内部专家和相关专家没有参加。没有人比内部专家了解系统和应用，了解电子系统的运作和业

23、务流程。为了满足需求，风险分析和评估过程应该尽快完成，尽量不影响组织员工的工作安排。风险分析和评估是评估当 XXXX 集团信息系统在面临安全威胁时，相关信息资产受到损害的程度，同时也对集团业务开展的影响程度作出评估。通过风险评估，决策人员可以了解信息系统在存在安全威胁的环境下，可能对电子的业务系统正常运转所造成的影响，从而在综合多方面因素后，做出信息系统安全建设的决策。风险分析和评估使组织管理者检查现在组织关心的所有问题，排列脆弱性等级，然后选择适当的控制水平或者接受风险。风险分析和评估的目标不是排除所有风险。风险分析只是管理的一种工具，其目的在于了解信息系统对业务系统潜在的安全威胁。没有高层

24、决策者的支持，风险分析和评估很难进行。风险分析为管理的决策提供信息。风险分析和评估的结果一般要定出适当的保密等级，并提供给高层管理者或者高层管理者认为合适的人。评定风险分析和评估是否成功的可感受到的方法是看成本是否降到一个更低的范围。风险分析帮助确定必要的仅需要执行的控制措施。另一种评定风险分析和评估成功与否的方法是看管理的决策时间。管理决策越快越证明风险分析越成功。12.3.1.3.2 风险分析和评估方法简介 风险分析和评估的方法一般有两种：定量的和定性的方法。下面分析这两种主要的方法及它们各自的优缺点。定量风险分析定量风险分析 定量的风险分析通过一套方法，给出风险分析各组成部分的潜在损失的

25、量化数值。当所有的因素都量化（资产价值、威胁频率、保护措施、有效性、保护措施成本、不确定性和可能性），定量分析的过程就完全地完成了。定量分析的优点定量分析的优点?结果主要来源于一系列方法，建立在一定的数学和理论基础。?大量的工作集中在资产价值的确定和减轻风险上。?成本利益分析是基本的。?结果能用管理具体术语表示。（如资金价值、比例、可能性）。?分析评估的结果具有一定的可比性。定量方法的缺点定量方法的缺点?计算很复杂。?需要积累历史数据，才可能做出有意义的结果。?一般地，定量分析不是一个人完成，需要一定的人力投入。定性风险分析并不给出风险分析组成部分的量化指标，而是提出“如果，怎么样”类似问题。

26、它的主观性比较强。定性分析优点：定性分析优点：?计算很简单。?没必要确定资产的资金价值。?非安全公务员和非技术性公务员更容易加入。?定量分析具有灵活的方法和报告。定性分析缺点：定性分析缺点：?定性分析的主观性比较强。?结果的准确性与风险分析评估小组人员的经验和素质关系较大。在实际 XXX 信息系统系统的 ISMS 建设中，单独采取某一种方法，并不一定可行，尤其对于 XXXX 集团信息系统，边规划、边实施的信息系统，更是如此。一般来说，在系统的规划阶段，定性的分析和评估多一些，伴随项目建设工作的开展，尤其是开通运行一段时间后，会逐渐积累各种基础数据，从而使分析和评估更多基于所积累的量化数值。事实

27、上，定性分析往往会成为定量分析的基础，定性与定量分析的框架基本一致，定量分析量化的内容更多一些。带格式的:带格式的:项目符号和编号带格式的:带格式的:项目符号和编号带格式的:带格式的:项目符号和编号带格式的:带格式的:项目符号和编号风险分析和评估的最终结果是提供哪些资产是要保护的最重要的资产以及需要那些安全措施。风险分析和评估的关键要素包括：风险分析和评估的关键要素包括：?识别资产并为资产赋值?识别资产的脆弱性?识别对资产的威胁?识别风险对资产的影响?评定资产的保护等级?进行风险管理?识别安全控制措施?执行和降低风险?可接受风险分析等。常见评估过程如图 12.4 所示。图图 12.4 风险分析

28、和评估过程风险分析和评估过程 定性风险分析的核心要素是资产、资产的价值、资产面临的威胁、资产的脆弱性、资产的破坏对业务的影响、为了避免对业务的影响提出的安全要求、满足安全要求的控制措施、控制措施对抗威胁、威胁利用资产的脆弱性对资产实施攻击。12.3.1.3.3 XXXX 集团信息安全分析评估方法 XXX 电子系统的风险分析和评估是采用的是定性分析法，分析结果参见后续章节，详细内容参见XXXX 集团信息安全风险分析报告。该信息安全风险分析法依赖下列事项：（1）组织的信息及其信息系统的性质（2）组织所属信息运用范围（3）信息系统使用及操作环境（4）现有的安全保护措施 安全风险与其他因素的关系如图

29、12.5 所示。图图 12.5 安全风险与其他因素的关系安全风险与其他因素的关系 在采用的定量风险分析方法中，将充分考虑图 12.5 所示的关系。带格式的:带格式的:项目符号和编号本信息安全管理体系采用的风险分析和评估的具体方法是：风险分析过程概述风险分析过程概述 风险分析流程如图 12.6 所示。了解资源网背景 准备资产调查表用户填写调查表分析人员的现场调查确定关键资产确定攻击背景威胁路径分析用户确认风险策略完成安全措施部署策略风险分析结论用户培训图 12.6 风险分析流程图 12.6 风险分析流程 风险分析基本分为五个阶段，即：风险分析基本分为五个阶段，即：?准备阶段：风险分析人员准备各类

30、材料、工具和表格（见附件一）；?培训阶段：此阶段，专业人员对用户进行培训，培训的重点在风险分析的目的、内容、方式，帮助用户建立正确的风险观念，理解和配合风险分析工作的开展。培训对象为风险分析涉及的四类人员：用户机构运行决策代表、主要业务部门管理人员代表、主要业务部门普通用户代表、信息系统运行维护责任部门代表。?资产确定阶段：此阶段，用户和风险分析人员共同对资源网络系统进行详细的分析，根据资源网的组成结构、功能作用等，确定资源网的关键资产、这些资产的基本安全需求、资产的价值，其中资产基本安全需求是指用户根据应用业务的实际情况，提出的对资产的最基本保护要求，此要求如果无法得到满足，资产将失去再资源

31、网中存在和利用的价值。?风险评估阶段。此阶段，风险分析人员同用户一起，确定资源网络中资产面临的安全威胁背景，确定可能的威胁、后果，从而得出每一项资产带格式的:带格式的:项目符号和编号明确的风险结论。?风险策略阶段。此阶段，风险分析人员将同用户一起讨论，由用户确定每一项资产的风险策略，即：是接受风险还是降低风险，对于用户确定的每一项需要降低风险的资产，风险分析人员将根据威胁路径提出安全措施的部署策略，并向用户明确相应的残余风险。风险分析方法概述风险分析方法概述 风险分析采用表格方式，对资源网内每一个识别出的资产，按照该分析法围绕资产的“机密性”、“完整性”和“可用性”三个最基本的安全需求，结合用

32、户提出的其他基本安全需求，针对资源网内的信息流程模型，详细分析系统中可能存在的、针对信息上“三性”的潜在威胁和后果。为便于分析，我们对每一个威胁因素逐层进行了编号，如：T1.1。风险分析采用表格方式完成。风险分析结论风险分析结论 在本方案中，我们将采用定性的方式，对每一类威胁的发生可能性及后果予以评估，并提出相应的安全需求建议。我们威胁发生的可能性分为四个级别，即：A、B、C、D，其中 A 级的可能性最大。后果分为：I、II、III、IV 四个级别，其中：I 级的损失最大。对于一个制定的资产，其风险可能有 16 种可能，见表 12.1：表 12.1 可能的威胁表表 12.1 可能的威胁表 后果

33、 威胁 I II III IV V A B C D E 每一种组合则表示一种风险。12.3.1.4 用系统方法进行风险分析 在确定了系统风险分析和评估方法后，就要实施风险分析。风险分析的第一步是资产分类，在本风险分析方案中，资产分为如下五类：表表 12.2 系统资产分类表系统资产分类表 编号编号 业务领域名称业务领域名称 简称简称 简要描述简要描述 1 综合决策支持系统 ZHJC 有关领导和部门对城市规划、建设、管理的重大问题决策及城市应急指挥，提供准确、实时的信息支撑及直观、真实的可视化和互操作环境 2 信息共享系统 XXGX 实现 XXX 各机构之间安全、有序的信息资源共享 3 业务整合

34、ZWZH 实现跨各个信息中心的专网之上的各自业务整合 4 单点登录系统 DDDL 提供全网统一的公务员身份管理系统，实现单点登录，全网通行 5 网络基础设施系统 JCSS 专网的运行基础 在资产分类的基础上，就要对具体的资产进行调查，调查是以填表的方式进行，具体以综合决策支持系统的资产调查为例，调查表如下所示：业务领域：业务领域：综合决策支持系统（综合决策支持系统（ZHJC）资产类型：资产类型：最高管理者资产最高管理者资产 业务领域管理者资产业务领域管理者资产 业务人员资产业务人员资产 IT 人员资产人员资产 表表 12.3 综合决策支持系统资产调查表 编号编号 资源描述资源描述 基本安全需求

35、基本安全需求 信息资产信息资产 I1 决策原始数据决策原始数据 来自于各部门的原始数据，供决策人参考、分析的数据 原始数据有一些敏感数据，对机密性、完整性、可用性(准确性)的要求高 I2 决策决策 决策人做出的决策 机密性、完整性有严格要求 I3 决策过程记录决策过程记录 对决策过程中调阅数据、参与决策人、系统使用等方面的纪机密性、完整性、可用性有严格要求 录，是今后对决策过程合法性、科学性、公正性的检查依据I4 决策系统管理、维护、记录数据决策系统管理、维护、记录数据 系统维护人员所使用的数据，记录有相关的权限、配置、账号等信息，以及系统维护操作的信息，是系统正常维护、运行必需的信息 完整性

36、最为重要，可用性其次。物理资产物理资产 P1 计算机工作站计算机工作站 可用性可用性 P2 投影设备投影设备 可用性可用性 P3 后台服务器系统后台服务器系统 可用性可用性 P4 网络系统网络系统 可用性可用性 软件资产软件资产 S1 决策支持系统决策支持系统 综合决策系统最重要的软件资产 确保其可用性。确保其可用性。该软件本身还应具有：用户身份识别、用户权限控制、输入输出控制的安全功能；具有根据一定的安全策略和设置，自动检查和限制用户权力的功能；具有操作审计功能；系统的管理和维护应采取三权分立的原则，防止“超级用户”的出现。S2 计算机工作站平台软件系统（包括：操作系统等）可用性和完整性 S

37、3 后台服务器系统平台软件系统后台服务器系统平台软件系统（包括：操作系统、数据库系统、Web 系统等）可用性和完整性 S4 工具与诊断软件工具与诊断软件（如：防病毒软件、系统引导盘等）可用性和完整性 其它资产其它资产 O1 O2 O3 其它的四种资产也按照同样的方法和表格进行。第二步将进行威胁分析。威胁概述威胁概述 资源网面临的信息安全威胁如下所示。首先要对威胁进行分类。威胁分为以下几类：?不可抗力，由于自然、政治等因素造成的威胁；带格式的:带格式的:项目符号和编号?组织弱点，由于组织机构、行政制度等因素造成的安全威胁；?人为错误，由于人员的技能、培训等方面原因造成的安全威胁；?技术缺陷，由于

38、信息技术、产品的设计、实现、配置、使用等造成的安全威胁；?故意行为，故意、人为造成的安全威胁；资源网在整个规划、设计、实施、运行等过程中，都可能面临上述几方面的威胁，本章的重点在于提取出各个威胁对指定资产的可能威胁途径、方法、后果，从而为后面的风险分析打下基础。威胁分析：威胁分析：威胁分析也是以列表的方式进行。由于该表非常庞大，这里仅列出不可抗力和组织弱点两项。其他详见风险分析和评估部分。表表 12.4 安全威胁列表安全威胁列表 威胁 备注 1、不可抗力 T1.1 人员丧失 T1.2 IT系统故障 T1.3 雷电 T1.4 火灾 T1.5 水灾 T1.6 电缆燃烧 T1.7 温度和湿度异常 T

39、1.8 灰尘、尘土 T1.9 强磁场造成的数据丢失 T1.10 广域网故障 2、组织弱点 T2.1 缺乏信息安全规则，或规则不足 T2.2 使用人员对安全要求的了解不足 T2.3 缺乏的资源（如：人力、资金等）T2.4 对IT安全措施的监控不足 T2.5 缺乏管理，或管理不充分 T2.6 未经授权进入需要保护的房间 T2.7 未授权使用权限 T2.8 不加限制地使用资源 T2.9 当系统使用人员、环境发生变化时，缺乏相应的调整 T2.10 需要时，数据媒体不可用 T2.11 带宽规划不足 T2.22 布线系统文档不足 T2.23 对电源配线箱的保护不足 T2.24 对移动计算机用户缺乏管制 T

40、2.25 数据媒体缺乏标记 T2.26 对数据媒体的传送处理不当 T2.27 密钥管不足 T2.28 用户发生变化时，交接流程考虑不足 T2.29 审计数据缺乏处理 T2.30 确保保护措施的网络互连 T2.31 系统的非正常使用造成传输和执行速率的降低 如：将Win95机器用作服务器 T2.32 软件、系统测试和发布规程缺乏或不足 T2.33 文档不足或缺乏文档 T2.34 违反版权 T2.35 用生成的数据对软件进行测试 生成的数据不一定真实反映实际的应用环境 T2.36 域规划不足 主要指NT的信任域 T2.37 对Windows NT系统的保护不足 T2.38 线路带宽不足 T2.39

41、 Netware服务器安放在不安全的环境中 T2.30 Netware的安全机制缺乏，或安全机制不足 T2.31 对通信线路的使用缺乏控制 一些远程通信产品（如：modem卡）由一些用户并不清楚的远程通信功能 T2.32 数据库安全机制缺乏，或机制不足 T2.33 DBMS的复杂度 数据库功能、性能非常复杂，正确选择数据库非常重要 T2.34 数据库访问的复杂度 数据库访问权限的设置非常复杂，正确的设置对于数据库安全非常重要 T2.35 数据库用户更换的安全考虑不足 在多个用户共享一个访问终端时，应仔细设计用户更换的安全 T2.36 NDS复杂性 Novell NDS的配置也非常复杂，正确配置

42、NDS T2.37 网络部件不兼容 使用不同厂家产品时，并且使用各厂家的专用协议、非标协议时，更需注意 T2.38 对网络应用变化估计不足 T2.39 超出电缆/总线允许的长度 T2.40 文件和数据媒体的运输缺乏安全 T2.41 在家庭工作场所，对数据媒体和文档的处置不当 T2.42 对远程工作者缺乏培训，培训不足 T 2.50 由于远程工作者的原因造成的延误 T 2.51 由于联络和交流的原因，远程工作者完全融入工作流程中 T 2.52 远程工作人员由于IT系统崩溃而造成响应时间过长 T 2.53 对于远程工作者的工作缺乏足够的后备人员考虑 T 2.54 由于的隐藏数据碎片造成泄密 如：文

43、件拷贝泄漏文件所在目录的信息；文件复制时，填充数据泄漏内存数据；T 2.55 电子邮件的使用缺乏控制 T 2.56 对所传送文件的描述不足 T 2.57 紧急事件情况下，媒体的存储不足 T 2.59 使用没有登记的部件 T 2.60 网络系统和管理系统缺乏战略或规划不足 T 2.61 对个人数据进行非授权的收集 T 2.62 对安全事故的处理不当 T 2.64 RAS缺少保护规则 T 2.65 SAMBA系统配置的复杂性 T 2.66 缺乏足够的IT安全管理措施 资产风险评估：资产风险评估：资产风险评估首先要界定资产损失级别，本管理体系的损失级别如表 12.5所示：表表 12.5 资产损失级别

44、资产损失级别 损失级别 划分原则 I 全系统信息系统资产都受到了损害；关键信息系统的可用性遭受到了严重损害；重大的泄密事故；II 资源中心信息资产受到了严重损害；III 重要业务系统资产和可用性遭受了损害；IV 部门的系统资产和可用性遭受了损害；V 个别公务员资产和可用性遭受了损害；风险分析结论：风险分析结论：风险分析结论是风险分析的最重要的部分，同样这部分也用表格的方式来表达。首先，把各类威胁出现的可能性分为 A、B、C、D、E 五个等级。这五个等级中，A 意味这种威胁出现的可能性最大，B 出现的可能性次之，依次类推，E 出现的可能性最小。威胁对资产的影响是以对资产的机密性、完整性、可用性和

45、其它影响来划分的。用户确认损失的程度分为五级，这五级要由最高领导层和相应的管理者最终确定。根据威胁出现的可能性、对资产的影响程度和用户确认的的资产损失，最终确定要采取措施克服的威胁。在本管理体系中，把要对付的威胁分成三种，这三种在以下图表中分别用红色、天蓝色和灰色来表示。具体表格如下：表表 12.6 用户确认损失列表用户确认损失列表 可能性 影响 用户确认的损失 风险 说明 威胁 A B C D E 保密性 完整性 可用性其它I II III IV V 1、不可抗力 T1.2 IT系统故障 V V V V V A-III T1.10 广域网故障 V V V V A-III T2.25 数据媒体

46、缺乏标记 V V V A-II T2.29 审计数据缺乏处理 V V V V A-II T2.32 软件、系统测试和发布规程缺乏或不足 V V V V A-III T2.32 软件、系统测试和发布规程缺乏或不足 V V V A-III T2.33 DBMS的复杂度 V V V V V A-II T2.36 NDS复杂性 V V V V A-II 3、人员错误 T 3.1 由于IT用户失误造成的数据保密性/完整性丧失 V V V V A-III T 3.6 因清洁、外包员工带来的风险 V V V V V C-I T 3.10 UNIX UNIX下不恰当地共享文件系统 V V V A-III T

47、3.25 因粗心删除东西 V V V V A-III T 3.29 缺乏或不正确的网络分段 V V V V A-III T 3.38 配置和操作错误 V V V V V A-III T 3.43 不恰当地处理口令字 V V V A-I 4、技术缺陷 T 4.1 断电 V V V A-I T 4.7 有缺陷的数据媒体 V V V V A-III T 4.8 缺乏对已知软件漏洞的了解 V V V V V A-II T 4.13 后备存储的数据丢失 V V V V V A-II T 4.22 软件存在漏洞或错误 V V V V V A-I T 4.22 软件存在漏洞或错误 V V V A-I T 4

48、.31 网络设备故障或丧失功能 V V V A-II T 4.32 通过不可靠的方式传送重要信息 V V V V A-I T 4.39 软件设计缺陷 V V V A-III T 4.39 软件设计缺陷 V V V A-III 5、故意行为 T 5.7 搭线 V V V A-I T 5.10 滥用远程维护端口 V V V V A-III T 5.18 口令的强力攻击 V V V C-I T 5.21 特洛伊木马 V V V A-I T 5.23 计算机病毒 V V V V A-I T 5.28 拒绝服务攻击 V V V A-II T 5.42 社会工程攻击 V V V V V A-II 可能性

49、影响 用户确认的损失 风险 说明 威胁 ABC DE 保 密性 完整性可用性其它I II III IVV 1、不可抗力 T1.1 人员丧失 V V V V C-II T1.8 灰尘、尘土 V V V V D-III 2、组织缺陷 T2.1 缺乏信息安全规则，或规则不足 V V V V V B-III T2.2 使用人员对安全要求的了解不足 V V V V V C-III T2.6 未经授权进入需要保护的房间 V V V V V C-IV T2.9 当系统使用人员、环境发生变化时，缺乏相应的调整 V V V C-II T2.22 布线系统文档不足 V V V C-IV T2.23 对电源配线箱的

50、保护不足 V V V C-IV 3、人员错误 T 3.18 共享目录、打印机、文件等 V V V E-II 4、技术缺陷 T 4.3 已有物理安全措施失效 V V V V V C-II T 4.4 环境因素引起线路损伤 V V V D-III T 4.5 串扰和电子感应 V V V C-III T 4.43对网络访问行为的审计和记录质量太差 V V V V C-IV 5、故意行为 T 5.1 IT设备及附属设备被控制或破坏 V V V C-IV T 5.3 非法进入建筑物 V V V V C-III T 5.4 偷窃 V V V V C-III T 5.5 有意破坏 V V V V C-III