1、北京天融信公司 第 32 页 目 录 1 概述 .35 1.1 项目背景 .35 1.2 项目目标 .35 1.3 项目内容 .36 1.4 项目设计原则 .37 1.5 项目范围 .38 1.6 文件和法律法规 .38 2 天融信对本项目的理解 .39 2.1 对项目目标的理解 .39 2.2 对项目特点的理解 .39 3 项目总体方法与流程 .41 3.1 概述 .41 3.2 天融信风险评估方法 .44 3.3 本项目采用的安全风险评估方法 .45 3.4 技术难点和关键突破 .48 4 信息资产调查和赋值 .50 4.1 信息资产概述 .50 4.2 信息资产分类 .50 4.3 保护
2、对象框架 .56 4.4 资产识别过程 .58 4.5 信息资产赋值 .59 4.6 赋值工作操作方法指南 .64 5 IT 设备评估 66 5.1 评估的过程 .66 5.2 评估的方法 .68 5.3 评估的内容 .70 5.4 评估的风险和应对 .72 6 网络设备安全风险评估 .73 6.1 评估过程描述 .74 6.2 评估的方法 .77 6.3 评估的内容 .78 6.4 评估的风险和应对 .81 7 应用系统和管理安全风险评估 .81 7.1 评估过程描述 .84 7.2 评估方法 .46 7.3 评估内容 .47 7.4 风险及应对措施 .60 8 安全增强与加固 .61 8.
3、1 安全加固内容 .62 8.2 安全加固流程 .64 9 应急响应服务 .65 9.1 服务目标: .65 北京天融信公司 第 33 页 9.2 服务特点: .66 9.3 一般实施流程: .66 9.4 流程说明: .66 10 安全解决方案 .68 10.1 解决方案设计概述 .68 10.2 安全需求分析 .68 10.3 安全解决方案设计 .69 11 项目组织结构 .71 11.1 现场实施阶段,项目组织结构 .71 11.2 项目角色和责任 .71 12 项目进度计划 .74 12.1 项目主要过程时间安排 .74 13 项目启动和准备阶段 .75 13.1 概述 .75 13.
4、2 参加人员 .75 13.3 过程描述 .75 13.4 需要中海信托配合的工作 .75 13.5 输出 .76 14 现场实施阶段 .76 14.1 资产调查 .76 14.2 安全评估(包括漏洞扫描、人工检查等) .77 14.3 渗透测试 .79 14.4 安全加固 .80 14.5 应急响应服务 .81 15 数据分析及报告阶段 .83 15.1 概述 .83 15.2 过程描述 .83 15.3 需要中海信托配合的工作 .84 15.4 输出 .84 16 项目收尾阶段 .84 16.1 概述 .84 16.2 过程描述 .85 16.3 需要中海信托配合的工作 .85 16.4
5、输出 .85 17 售后服务 .85 17.1 安全服务技术支持服务 .85 17.2 安全服务跟踪服务 .85 17.3 天融信安全服务业务关键能力 .86 18 项目管理及沟通办法 .87 18.1 天融信工程项目管理方法 .87 18.2 天融信项目管理遵循的标准 .88 18.3 项目沟通办法 .88 19 项目风险管理及保密控制 .92 北京天融信公司 第 34 页 19.1 项目风险分析及规避措施 .92 19.2 项目的保密控制 .94 20 天融信信息安全服务业务介绍 .95 20.1 安全服务组织结构图 .95 20.2 安全服务业务范围 .96 21 项目实施质量保证 .9
6、8 21.1 项目执行人员的质量职责 .98 21.2 天融信安全服务质量保证体系严格贯彻以下过程 .98 22 项目验收方式 .101 22.1 验收方法确认 .102 22.2 验收程序 .103 22.3 版本控制 .105 22.4 交付件归档办法 .106 23 项目分项报价表 .107 北京天融信公司 第 35 页 1 概述 1.1 项目背景 近年来,随着信息化技术越来越深入和广泛的应用,信息安全的风险日 益加大,国家和各行业主管机构都对防范信息安全风险非常重视。国家信息 化领导小组颁发的信息安全等级化保障体系系列标准文件对我国信息安 全保障工作做出原则性战略性的规定,要求坚持积极
7、防御、综合防范的方针, 全面提高信息安全防护能力,重点保障基础信息网络和重要信息系统安全, 经过五年左右的努力,基本形成国家信息安全保障体系。2006 年起,银监 会发布了商业银行内部控制指引 ,并进一步发出了关于信托投资公司加 强内部控制和风险控制的要求。2008 年 7 月,国家财政部和证监会、银监 会、保监会等联合发布了企业内部控制基本规范 ,对企业的内部控制提 出了较为具体的要求。 为进一步保障银联网络的边界安全,降低信息安全风险,中海信托投资 有限公司拟于 2009 年在业界知名互联网安全服务公司的协助下,对中海信 托信息系统实施安全风险管理服务( 包括安全技术和管理评估、互联网应
8、用渗透测试、安全体系建设咨询、安全加固服务、紧急安全事件响应等服务 ) ,为中海信托的核心业务系统稳定运行提供安全保障。 1.2 项目目标 通过实施整体信息安全风险评估服务(包括安全技术和管理评估、互联 网应用渗透测试、安全体系建设咨询、安全加固服务、紧急安全事件响应等 服务)提高中海信托信息系统的安全性和可靠性,并在紧急情况下对提供紧 急安全事件响应支持,控制并降低来自于互联网的安全风险。 通过本次对中海信托网络安全服务项目,可以达到以下主要目标: 通过安全风险评估,得到中海信托的整体安全现状; 北京天融信公司 第 36 页 通过渗透测试和安全技术评估,分析中海信托信息系统存在的各类 技术性
9、安全缺陷,并进行整改; 通过管理体系评估,发现中海信托在风险管理、安全策略和内部控 制等方面存在的问题并加以改进; 通过安全加固和策略体系改进,全方位的提升中海信托的信息安全 管理水平。 1.3 项目内容 本次整体信息安全风险评估项目的内容可以分为几个部分: 1.3.1 信息安全风险评估 1. 信息资产调查 调查和统计中海信托信息系统所包含的信息资产(包含物理环境、终端、 网络设备、主机、应用软件、业务系统、数据、人员、标准流程等),明确 其现有状况、配置情况和管理情况。如主机系统,需要明确其平台、版本、 补丁等基本情况外,还需明确开放端口、服务和进程等配置管理信息。并对 所有信息资产按照一定
10、标准进行资产赋值。 现有安全系统调查工作包括明确现有安全设备(包括防火墙、防病毒系 统、入侵检测系统、安全扫描系统、帐号口令集中管理系统、域控制服务器 等)的部署情况和使用情况;同时了解在建网络与信息安全建设项目,使之 服从统一部署原则。 2. 安全风险评估 根据中海信托现有的安全标准规范和业务对安全的要求,分析主机、网 络及安全设备面临的威胁,评估现有系统的存在的弱点,明确所有信息系统 面临的安全风险和隐患。 北京天融信公司 第 37 页 1.3.2 应用系统渗透测试 通过黑客或白客方式对指定的 Internet 业务系统进行渗透攻击,发现该 系统存在的安全隐患,并提出解决措施。 1.3.3
11、 信息系统安全加固 安全加固和优化服务是实现客户信息系统安全的关键环节。通过使用该 项服务,将在中海信托信息系统的网络层、主机层和应用层等层次建立符合 中海信托安全需求的安全状态,并以此作为保证中海信托信息系统安全的起 点。 1.3.4 安全策略体系整改 通过对现有安全体系策略制度的审阅、解读和差距性分析,对现有安全 管理制度和内控制度进行改善,使之能够完全符合当前国内相关控制标准的 要求,并向相关的国际化标准看齐。 1.4 项目设计原则 符合性原则:符合国家等级化保护体系指出的积极防御、综合防范 的方针和等级保护的原则。 标准性原则:服务方案的设计与实施应依据国内或国际的相关标准 进行; 规
12、范性原则:服务工作中的过程和文档,具有很好的规范性,可以 便于项目的跟踪和控制; 可控性原则:方法和过程在双方认可的范围之内,安全服务的进度 要按照进度表进度的安排,保证甲方对于服务工作的可控性; 整体性原则:安全服务的范围和内容整体全面,包括安全涉及的各 个层面(应用、系统、网络、管理制度、人员等) ,避免由于遗漏 北京天融信公司 第 38 页 造成未来的安全隐患; 最小影响原则:安全服务中的工作尽可能小的影响系统和网络的正 常运行,不能对现网的运行和业务的正常提供产生显著影响; 保密性原则:对过程数据和结果数据严格保密,未经授权不得泄露 给任何单位和个人,不得利用此数据进行任何侵害甲方的行
13、为,否 则甲方有权追究乙方的责任。甲方有权要求乙方在服务结束之后销 毁所有和本项目有关的数据和文档。 1.5 项目范围 本项目选择中海信托的核心业务系统作为服务对象。 1.6 文件和法律法规 国内政策与标准: 国家信息化领导小组关于加强信息安全保障工作的意见 (中办 发200327 号) ; 关于开展信息安全风险评估工作的意见2006 年 1 月国家网络与 信息安全协调小组; 关于印发信息安全风险评估指南的通知2006 年 2 月国信办 (国信办综20069 号) ; 商业银行内部控制指引 2006 年 12 月 银监会 企业内部控制基本规范 2008 年 7 月 财政部、证监会、审计署、 银
14、监会、保监会 国际政策与标准: ISO/IEC 27001 信息安全管理体系标准 COSO/COBIT 内控和信息技术控制框架 ISO/IEC TR 13335 Series, Guidelines for the management of IT Security (CMITS),1996-2001 NIST SP800 Series, Computer Security Special Publications,1991- 北京天融信公司 第 39 页 2005 2 天融信对本项目的理解 2.1 对项目目标的理解 安全风险评估工作是中海信托信息安全体系运作体系中风险管理的重要 组成部分,通
15、过周期性的安全风险评估工作发现公司的安全现状,为公司安 全建设和安全加固提供数据基础。 综上所述,本期项目的目标是: 通过安全评估的技术手段,尽可能发现和定位中海信托各信息系统存在 的安全风险,为安全加固、系统整改及应急响应提供依据和技术指导,降低 中海信托整体的安全风险。 2.2 对项目特点的理解 通过上面对本项目目标的分析,本期深度安全风险评估工作存在如下特 点: 要求高: 由于中海信托业务的快速增长,对信息安全的要求越来越高, 所以要比以前采用更加规范的项目管理要求; 本次评估的技术深度和广度,都要强于以前的项目及同行业的 要求(多个系统的应用分析); 采用的技术标准,是当前最新、最及时
16、的,相比历史评估工作 和同行业类似工作的技术要求是最高的; 技术与管理并重: 由于面临的外部威胁的压力和影响力比以往要大很多,所以本 次项目更加侧重于通过外部渗透测试的方法,发现从外部的威 胁和影响(尤其是从外部 Internet 进行渗透测试); 北京天融信公司 第 40 页 本次项目渗透测试涉及的系统范围更广,而且更深地分析通过 “信任关系”发生的渗透,从而发现“木桶原理”中的“最短 那块板”; 更加侧重于应用系统自身特点的安全评估: 综合分析业务和管理层(数据流,角色权限);应用层(数 据库,中间件);系统层(主机操作系统);网络层(网络架 构,网络设备),提出的安全风险更加有针对性;
17、中海信托各应用系统有不同的特点,在本次项目中要结合不同 部门、不同系统特点进行相应的应用系统安全评估; 更加考虑安全加固和应急响应体系建设的可行性: 本次项目在实施过程中安排了时间,对发现的问题进行及时地 讲解和答疑; 对发现的问题提出的解决方案,和系统管理员及时沟通,并协 助进行讲解和培训,对不能直接解决的,提出综合解决、降低 风险的方案。 北京天融信公司 第 41 页 3 项目总体方法与流程 3.1 概述 风险管理(Risk Management)旨在对潜在机会和不利影响进行有效管理 的文化、程序和结构。风险管理是良好管理的一个组成部分,它用一种将损失 减小到最低程度而使商业机会达到最大限
18、度的方式,对与机构的任何活动、功 能和过程相关的风险进行环境建立、鉴定、分析、评价、处理、监控和信息交 流。风险管理过程(Risk Management Process)是指系统地将管理方针、程 序和结构应用于风险的环境建立、鉴定、分析、评价、处理、监控和信息交流 等过程任务。 在信息安全领域,同样适用于风险管理的理念和方法论。在当前信息技 术得到普遍应用,并且很多成为关键业务系统的环境下,企业或组织的信息安 全风险很大,而且普遍缺乏有效的控制和管理,但过度的风险管理,无疑会导 致大量的金钱和人力的花费、以及工作效率的严重降低。所以,如何适度和有 效地进行信息安全的风险的管理和控制,成为了一项
19、迫切和重要的任务。 下面的描述即是阐明风险评估过程的理念和方法论,以作为天融信安全 服务的标准方法论和理论基础,指导和规范天融信的安全风险安全服务工作。 3.1.1 安全模型参考 在澳大利亚和新西兰国家标准风险管理 Risk Management(AS/NZS 4360:1999)中描述了风险管理过程,如下图所示: 北京天融信公司 第 42 页 在国际标准 ISO13335 中,安全模型如下图所示,特点是以风险为核心。 在国际标准中,安全模型如下图所示,其特点是强调了模型的对抗性和 动态性。 北京天融信公司 第 43 页 可以看出,安全模型中的核心要素都是资产、弱点、威胁、风险、安全 措施等,
20、各要素之间的关系也基本类似,只是描述和关注的角度不同。 3.1.2 风险评估标准 风险评估过程中主要选择的规范和标准包括: 中海信托技术规范和标准: 国内政策与标准: 国家信息化领导小组关于加强信息安全保障工作的意见 (中办 发200327 号) ; 关于开展信息安全风险评估工作的意见2006 年 1 月国家网络与 信息安全协调小组; 关于印发信息安全风险评估指南的通知2006 年 2 月国信办 (国信办综20069 号) ; 国际政策与标准: ISO/IEC 27001 ISO/IEC TR 13335 Series, Guidelines for the management of IT
21、Security (CMITS),1996-2001 NIST SP800 Series, Computer Security Special Publications,1991- 2005 北京天融信公司 第 44 页 ISO/IEC 15408-1999“信息技术 安全技术 信息技术安全性评估准 则” (简称 CC) 3.2 天融信风险评估方法 3.2.1 风险评估模型 在安全评估服务中,天融信参照上述两个安全模型,根据自己的工程实 践,建立了自己的风险评估模型,描述如下: 资 产 拥 有 者 资 产 拥 有 者 资 产 拥 有 者 威 胁 来 源 威 胁 来 源 威 胁 来 源 价 值
22、价 值 信 息 资 产 信 息 资 产 安 全 风 险 严 重 程 度 严 重 程 度 弱 点 弱 点 可 能 性 可 能 性 威 胁 威 胁 资 产 拥 有 者 资 产 拥 有 者 资 产 拥 有 者 威 胁 来 源 威 胁 来 源 威 胁 来 源 价 值 价 值 信 息 资 产 信 息 资 产 安 全 风 险 严 重 程 度 严 重 程 度 弱 点 弱 点 可 能 性 可 能 性 威 胁 威 胁 在天融信的风险评估模型中,主要包含信息资产,弱点/脆弱性、威胁和 风险四个要素。每个要素有各自的属性,信息资产的属性是资产价值,弱点的 属性是弱点被威胁利用后对资产带来的影响的严重程度,威胁的属性
23、是威胁发 生的可能性,风险的属性是风险发生的路径。因此,天融信风险评估的过程是: a) 对信息资产进行识别,并对资产赋值; b) 识别信息资产的脆弱性(弱点/漏洞),并对弱点的严重程度赋值; c) 对威胁进行分析,并对威胁发生的可能性赋值; d) 综合分析资产价值、资产的脆弱性和威胁发生的可能性,得到信息资产 的风险发生的路径和级别,并对风险进行处置,选择合适的控制措施。 北京天融信公司 第 45 页 3.2.2 总体工作流程图 根据安全风险评估模型,天融信安全风险评估的总体工作流程如下图: 在评估过程中首先要进行全网的资产调查,识别的内容包括:“信息设 备、应用系统、网络环境、组织结构及物理
24、环境;然后进行应用系统安全目 标的识别和分析;以及通过安全评估的“业务系统评估” 、 “渗透测试” 、 “网 络架构评估” 、 “IT 设备弱点评估 ”、 “应用安全评估 ”、 “安全管理评估” 、 “物理安全评估”各项内容获取“安全现状”(包括:安全威胁)、 “安全弱 点” 。 最后通过各系统、子系统的安全目标和其“安全现状” 、 “安全弱点”的 对比分析,得到安全现状和解决方案。 3.3 本项目采用的安全风险评估方法 本次项目由于侧重点于技术问题的发现,并指导今后的安全加固和系统 技术整改等技术工作;根据本次项目的特点,准备采用如下三种安全风险评估 的方法,主要针对非重点系统、重点系统网络
25、类、重点系统计算类; 3.3.1 非重点系统的 IT 设备弱点评估 如下图所示: 北京天融信公司 第 46 页 本评估主要目标是为 IT 设备的弱点提供安全加固的指导和依据,主要涉 及“主机系统弱点评估” ;“网络设备弱点评估” ;“安全设备弱点评估” 。 主机系统弱点评估采用人工现场检查和工具扫描两种方式;网络设备弱 点评估和安全设备弱点评估,对能够导出配置信息、并配置信息可识别分析的, 采用后台人工分析方式;对不能导出配置信息、或配置信息不可识别分析的, 采用人工现场检查方式。 评估的结果,是体现各单点资产的弱点状况,以及综合的统计分析报告, 主要为指导单点设备的安全加固工作。 3.3.2
26、 网络类重点系统的安全评估 如下图所示: 网络类重点系统是公司主要承载各业务的基础平台,其评估的目标不仅 是发现现存系统的问题,指导安全加固和系统整改的工作和依据;而且还要根 北京天融信公司 第 47 页 据业务发展需要,为网络建设提供安全保障的规划依据。 本安全评估包含:“IT 设备弱点评估;网络架构安全评估和渗透测试” ,其中 IT 设备弱点评估和前面的一致。 网络架构安全评估包括:网络现状安全合理性分析以及随业务发展需要 的网络安全需求分析,主要采用的方法是:后台分析(对网络拓扑、相关技术 文档、访问控制等配置信息分析) 、现场设备检查(对网络设备或网管系统的 安全状况查看) 、系统管理
27、员的顾问访谈(网络现状存在的问题、网络安全事 件、业务发展对网络的影响及假设) 、主管领导的顾问访谈(业务发展对网络 安全的要求) ; 渗透测试,主要采用嗅探及入侵的手法,分析从外部越权进入本系统的 路径和可能性,以及可越权访问接入本网络系统的系统范围和影响。注:如无 特殊需要,不采用 DOS 等恶意攻击手段。 本评估的结果,除体现单个资产的弱点状况,指导安全加固外;还可为 系统整改,划分安全域以及未来网络规划提供参考;同时由于公司涉及网络类 系统之间是有强的关联,最后要综合分析各网络类系统和应用系统的关联性, 设计全网的网络安全解决方案建议。 3.3.3 应用计算类重点系统的安全评估 如下图
28、所示: 北京天融信公司 第 48 页 应用计算类重点系统是公司各独立的业务单元,包括完整的主机、网络、 应用各项内容;其评估的目标是从深度上(业务管理层;应用层);到广度上系统层(主机操作系统);网 络层(网络架构,网络设备),提出全面的安全风险分析报告。 本安全评估包含:“IT 设备弱点评估;网络架构安全评估;应用系统安 全评估和渗透测试” ,其中 IT 设备弱点评估和前面一致。 网络架构安全评估主要从网络结构上分析其应用系统安全域划分的合理 性及访问控制策略的符合性,具体方法和前面一致。 应用系统安全评估,主要包括:对业务逻辑和数据流的安全分析;对应 用平台的安全分析。主要方法是:后台分析
29、(对业务系统设计、运行相关技术 文档) 、现场设备检查(对应用平台和数据库进行安全状况查看) 、源代码评估 (对部分关键流程的代码进行分析) 、系统管理员的顾问访谈(现状存在的问 题、安全事件、业务发展的影响及假设) 。 渗透测试,主要采用入侵和角色提升的手法,分析从外部越权侵入本系 统的路径和可能性;以及模拟不同用户角色提升权限,进行数据篡改或越权访 问的可能性分析。 本评估的结果,除体现单个资产的弱点状况,指导安全加固外;重点为 系统整改,安全域划分以及系统开发提供参考。 3.4 技术难点和关键突破 在对中海信托进行安全风险评估的过程中,由于其规模庞大,信息系统 复杂,业务系统的特性和安全
30、属性存在巨大差异,因此对于评估标准的选择, 以及评估成果的适用性都提出了巨大的挑战。 3.4.1 评估指标的定制 面临困难:安全没有定制化的适用的安全指标,造成评估结果不可信 一般在安全评估时,评估服务提供者因为在评估前并不熟悉和理解被评 估方的业务特性和安全特性,所以不能定制非常适用的评估标准指标,也就 北京天融信公司 第 49 页 是说没有非常适用,反映被评估对象特性的评估标准,一般都采用国际或国 家标准。 虽然国际或国家标准适用于所有信息系统,但其适用广泛性原因,评估 标准比较笼统,不反映行业特性和企业特性。这样,因为缺乏适用的评估标 准,造成的评估结果可用性差,也缺乏针对性,不能反映业
31、务特性和行业特 性。尤其是如果服务提供者对客户首次评估,存在评估质量较低的风险,这 是评估服务业务一个多年存在的难题,很难解决。通常情况下,评估质量取 决于评估服务提供者和评估顾问的经验是否丰富,是否非常熟悉被评估者的 业务特性和行业特性。 解决方法:在评估前设计行业安全评估指标,并在评估开始阶段尽可能 的定制 能否准确定制行业安全评估指标,即行业评估标准是评估项目能否成功 的关键环节之一,它对评估结果的适用性和真实性起着关键作用。 在作评估前,我们根据多年对不同行业的丰富评估经验和深刻理解,根 据不同的行业业务特性和安全要求特性的理解,总结出反映行业特性的安全 要求,设计出针对不同行业的安全
32、对策指标体系,再细化成不同行业的安全 评估指标。 3.4.2 强调评估成果的适用性 面临困难:评估成果和建议难以实施,技术和管理难以有效融合,缺乏 抗打击能力和可控性 信息安全问题包含管理方面问题、技术方面问题以及两者的交叉,它从 来都不是静态的,随着组织的策略、组织架构、业务流程和操作流程的改变 而改变。中海信托现有的安全防护措施大多属于静态的单点技术防护,单纯 部署安全产品是一种静态的解决办法,单纯防范黑客入侵和病毒感染更是是 片面的。一旦单点防护措施被突破、绕过或失效,整个安全保障将会失效, 威胁将影响到整个信息系统。评估成果中解决方案在设计过程中需要系统化 的全面考虑,避免单点考虑,形
33、成系统化措施。 北京天融信公司 第 50 页 解决方案:强调多重深度保障和抗打击能力,强调评估成果的可用性 27 号文件提出 “坚持积极防御、综合防范的方针” , 美国国家安全战 略中指出,国家的关键基础设施的“这些关键功能遭到的任何破坏或操纵 必须控制在历时短、频率小、可控、地域上可隔离以及对利益损害最小这样 一个规模上” 。两者都强调了抗打击能力和可控性,这就要求采用多层保护 的深度防御策略,实现安全管理和安全技术的紧密结合,防止单点突破。天 融信在输出评估结果时,会将管理手段和安全技术紧密结合,充分吸收业务 特性,建立一个适用性强、可行性强并具有多重深度保障手段的防护网络。 4 信息资产
34、调查和赋值 4.1 信息资产概述 资产是企业、机构直接赋予了价值因而需要保护的东西。它可能是以多 种形式存在,有无形的、有有形的,有硬件、有软件,有文档、代码,也有服 务、企业形象等。它们分别具有不同的价值属性和存在特点,存在的弱点、面 临的威胁、需要进行的保护和安全控制都各不相同。为此,有必要对企业、机 构中的信息资产进行科学识别,以便于进行后期的信息资产抽样、制定风险评 估策略、分析安全功能需求等活动。 虽然信息资产具有非常广泛的含义,但这里将信息资产定义如下: 信息资产是指组织的信息系统、其提供的服务以及处理的数据。 4.2 信息资产分类 参照 ISO 27001 对信息资产的描述和定义
35、,结合安全评估的经验,将信 息资产按照下面的方法进行分类: 类别 解释/ 示例 网络设备 一台或一组互备的网络设备,包括网络设备中的硬件,IOS, 配置文件数据及其提供的网络服务。包括路由器、交换机、 北京天融信公司 第 51 页 RAS 等,防火墙、IDS 等安全设备除外。 服务器 一台或一组服务器,包括服务器硬件、运行于其上的 OS、通用 应用、服务,数据库、磁盘阵列等。 工作站 客户端用机、个人用机等。 安全设备 作为安全用途的硬件和软件,如:防火墙、IDS、AV 等。 存储设备 提供存储用途的硬件和软件,如:磁盘阵列等。 业务系统 指组织为其应用而开发或购买的各类应用软件及其提供的业务
36、 服务。 应用平台软件 主要是指提供通用服务的各种平台系统,包括:数据库 WWW、Mail、FTP、DNS、以及专有的中间件产品等; 数据及文档 主要指存在于电子媒介或纸制的各种数据和资料,包括数据库 数据、存放于硬盘上的文件、代码;财务数据及书面报告等。 组织和人员 指和安全相关的组织和人员,包括各级安全组织,安全人员、 各级管理人员,网管员,系统管理员,业务操作人员,第三方 人员等 物理环境 指支持 IT 系统运行的基础物理设施,如:机房、空调、UPS、 监控器等。 4.2.1 网络设备 网络设备是指构成信息系统网络传输环境的设备,软件和介质。包括路 由器、交换机、通信终端和网关以及网络设
37、备控制台等硬件设施和软件系统, 为了更清晰地区别资产的安全属性,网络设备类资产不包括防火墙、VPN、网 络入侵检测等网络安全产品。 4.2.2 服务器 服务器是指信息系统中承载业务系统和软件的计算环境。包括大型机、 小型机、Unix 服务器、Windows 服务器、移动计算设备、应用加密机和磁盘阵 列等计算设备硬件及其操作系统、数据库。除此之外,行业特殊的设备,例如 银行的 ATM 等,也属于主机系统。 同一台主机系统,安装两种或以上操作系统(主要针对工作站、移动计 北京天融信公司 第 52 页 算设备) ,并均能接入到网络中的,应视为多项主机系统信息资产。 4.2.3 工作站 工作站是指信息
38、系统中承载业务系统软件客户端软件的计算环境和 OA 系 统中个人用机。 同一台主机系统,安装两种或以上操作系统(主要针对工作站、移动计 算设备) ,并均能接入到网络中的,应视为多项主机系统信息资产。 4.2.4 安全设备 安全设备主要指在信息系统中用作网络安全保护用途的硬件设施和软件 系统,包括:防火墙、VPN、网络入侵检测、网闸、防病毒系统以及相关系统 的控制台软硬件设施。 4.2.5 存储设备 存储设备主要指在信息系统中用作数据存储用途的硬件设施和软件系统, 并均能接入到网络中的信息资产。包括:DAS、NAS、SAN 等软硬件设施。 4.2.6 业务系统 业务系统主要指为业务生产、管理支撑
39、及办公等业务需求提供服务的软 件系统,此类资产在信息资产中占有非常重要的地位。本项目所指的业务系统 是指独立应用、运作的系统,例如短消息业务系统、MISC 系统、办公自动化 系统、管理信息系统等,网管系统等。业务系统属于需要重点评估、保护的对 象。 业务系统作为独立的资产存在的同时,对于其他资产又存在如下关系: 作为“网络设备、服务器、工作站、安全设备、存储设备”资产的属性 之一列出。在其资产赋值时,作为考虑的因素。 北京天融信公司 第 53 页 4.2.7 应用平台软件 主要是指提供通用服务的各种平台系统,包括:数据库 WWW、Mail、FTP、DNS、以及专有的中间件产品等;通常将其所代表
40、的安全属 性落实到如下部分来体现: 应用平台软件作为“服务器、工作站、安全设备、存储设备”资产的属 性之一列出,在进行资产赋值和弱点的时候,作为考虑的因素。 4.2.8 数据及文档 数据及文档主要指存在于电子媒介或纸制的各种数据和资料,包括源代 码、数据库数据、业务数据、客户数据、各种数据资料、系统文档、运行管理 规程、计划、报告、用户手册等。数据及文档资产在信息资产中占有非常重要 的地位,通常作为企业知识产权、竞争优势、商业秘密的载体。属于需要重点 评估、保护的对象。 通常,数据及文档类资产需要保护的安全属性是机密性。例如,公司的 财务信息和薪酬数据就是属于高度机密性的数据。但是,完整性的重
41、要性会随 着机密性的提高而提高。 企业内部对于数据类资产的分类方法通常根据数据的敏感性 (Sensitivity)来进行,与机密性非常类似。例如,下表是常用的一种数据 分类方法: 简称 解释/举例 公开 Public 不需要任何保密机制和措施,可以公开使用(例如产 品发表新闻等) 。 内部 Internal 公司内部员工或文档所属部门使用,或文档涉及的公 司使用(例如合同等) 秘密 Private 由和项目相关公司和客户公司成员使用 机密 Confidential 只有在文档中指定的人员可使用,文档的保管要在规 定的时间内受到控制 绝密 Secret 非文档的拟订者或文档的所有者及管理者,其他
42、指定 人员在使用文档后迅速的按要求销毁 北京天融信公司 第 54 页 但是,由于数据及文档数量巨大,且对其分类存在巨大的偏差和困难, 通常将其所代表的安全属性落实到如下部分来体现: 作为“服务器、工作站、存储设备”资产的属性之一列出。在进行资产 赋值和弱点及威胁分析的时候,作为考虑的因素。 作为“组织和人员”资产的属性之一列出。在进行弱点及威胁分析的时 候,作为考虑的因素。 4.2.9 组织和人员 主要指企业与信息相关的人员和组织,包括各级安全组织,安全人员、 各级管理人员,网管员,系统管理员,业务操作人员,第三方人员等与被评估 信息系统相关人员和组织。 组织和人员作为独立的资产存在进行识别,
43、但不对其进行资产赋值,对 其安全性因素的考虑如下: 作为“业务系统、网络设备、服务器、工作站、安全设备、存储设备” 资产的属性之一列出。 4.2.10物理环境 主要指支持信息系统运行的环境的非 IT 类的设备,主要包括机房、 UPS、空调、保险柜、文件柜、门禁、消防设施等。 此处一般属于物理安全的问题,主要的设备一般集中在机房内,所以评 估时应重点考虑机房提供的环境安全。 物理环境与其他资产存在如下关系: 物理位置作为“业务系统、网络设备、服务器、工作站、安全设备、存 储设备”资产的属性之一列出。在其弱点及威胁评估时,作为考虑的因 素。 北京天融信公司 第 55 页 4.2.11信息资产分类整
44、体图 4.2.12信息资产调查表 属性 描述 资产名称 在一个业务系统中不能重名 资产编号 全局唯一 资产类型 资产的类别属性包括服务器、工作站、网络设备、安全设备等 资产子类型 子类型是对类型的进一步说明,例如网络设备中的路由器、交换 机等 操作系统类型 设备所承载的系统的类型,例如包括 windows2000,windows2003,hp-unix,aix,solaris 等 操作系统版本号 各类操作系统的版本,例如 solaris2.8,8.0 等 操作系统补丁 各类操作系统的安全补丁信息 应用软件平台 应用系统所需的应用软件,例如 WEB、J2EE 等 应用平台软件版本 应用软件所对应
45、的相应版本。 应用平台软件补丁 应用软件厂商发布的安全补丁。 设备型号 网络、服务器、工作站等的硬件设备型号 设备工作方式 硬件、系统之间的工作方式,例如热备、冷备、负载均衡等 用途 信息资产的主要功能。 资产所在地理位置 信息资产所处的地域、机房和机柜等 资产所在业务系统和 部门 信息资产所属的业务系统名称和业务系统所属的部门名称 网络设备 服务器 工作站安全设备 存储设备 组织和人员 业务系统 北京天融信公司 第 56 页 资产责任人 信息资产在登记过程中的责任人。 资产维护人 维护信息资产的人员名称 资产安全三性 安全属性,机密性、完整性和可用性 资产创建时间 信息资产入网的时间 资产最
46、后修改时间 信息资产功能修改、人员变换等信息更换的最后时间 资产最后修改人 信息资产功能修改、人员变换等信息更换的修改人员名称 4.3 保护对象框架 一般来说,信息系统的资产数量十分庞大,为了更好的研究其计算机安 全问题,还需要从庞大的信息资产中提炼出保护对象。 保护对象框架是指以结构化的方法表达信息系统的框架模型。所谓结构 化是指通过特定的结构将问题拆分成子问题的迭代方法。例如“鱼刺图”或 “问题树” 。结构化方法包括以下几条基本原则: 充分覆盖 所有子问题的总和必须覆盖原问题。如果不能充分覆盖,那么解决问题 的方法就可能出现遗漏,严重影响本方法的可行性。 互不重叠 所有子问题都不允许出现重复,类似以下的情况不应出现在一个框架中: 两个不同的子问题其实是同一个子问题的两种表述; 某一个子问题其实是另外两个问题或多个问题的合并; 不可再细分 所有子问题都必须细分到不能再被细分。 当一个问题经过框架分析后,所有不可再细分的子问题构成了一个“框 架” 。 保护对象的主要作用为: 1. 有助于信息资产识别的全面性。在列举信息资产时,保护对象框架有助 于识别者系统的进行思考; 2. 从资产安全估价到区域的安全性赋值,有助于降低风险分析的难度,同 时确保风险分
