2020信息系統(tǒng)安全等級測評量化評價方法

信息系統(tǒng)安全等級測評量化評價方法II目 次前言 II引言 III范圍 1規(guī)范性引用文件 1術語和定義 1安全等級測評判定流程 1安全等級測評結(jié)果判定 2風險分析 3量化評價 4附錄A（資料性附錄） 量化評價計算示例 6參考文獻 7PAGEPAGE10信息系統(tǒng)安全等級測評量化評價方法范圍本標準規(guī)定了安全等級測評判定流程、安全等級測評結(jié)果判定、風險分析、量化評價等內(nèi)容。本標準適用于根據(jù)GB/T22239-2008進行信息系統(tǒng)安全等級測評，對測評結(jié)果在風險分析的基礎上進行量化評價。規(guī)范性引用文件GB/T22239-2008信息安全技術信息系統(tǒng)安全等級保護基本要求GB/T20984-2007信息安全技術信息安全風險評估規(guī)范術語和定義GB/T22239和GB/T20984確立的以及下列術語和定義適用于本標準。等級測評確定信息系統(tǒng)安全保護能力是否達到相應等級基本要求的過程。測評對象安全等級測評判定流程1圖1 安全等級測評結(jié)果判定流程單項測評結(jié)果判定主要是針對測評指標中的單個測評項，結(jié)合具體測評對象，客觀、準確地分析測評證據(jù)，形成初步單項測評結(jié)果，單項測評結(jié)果是形成等級測評結(jié)論的基礎。單元測評結(jié)果判定是將單項測評結(jié)果進行匯總，分別統(tǒng)計不同測評對象的單項測評結(jié)果，從而判定單元測評結(jié)果。整體測評是針對單項測評結(jié)果的不符合項，采取逐條判定的方法，從安全控制間、層面間和區(qū)域風險分析過程是采用風險分析的方法分析等級測評結(jié)果中存在的安全問題可能對被測系統(tǒng)安全造成的影響。等級測評結(jié)論形成是在測評結(jié)果匯總的基礎上，找出系統(tǒng)保護現(xiàn)狀與等級保護基本要求之間的差距，并形成等級測評結(jié)論。安全等級測評結(jié)果判定單項測評結(jié)果判定如果測評證據(jù)表明所有要求內(nèi)容與預期測評結(jié)果不一致，判定該測評項的單項測評結(jié)果為不符合；上述兩種情況之外判定該測評項的單項測評結(jié)果為部分符合。單元測評結(jié)果判定測評指標包含的所有適用測評項的單項測評結(jié)果均為符合，則該測評對象對應該測評指標的單元測評結(jié)果為符合；測評指標包含的所有適用測評項的單項測評結(jié)果均為不符合，則該測評對象對應該測評指標的單元測評結(jié)果為不符合；測評指標包含的所有測評項均為不適用項，則該測評對象對應該測評指標的單元測評結(jié)果為不適用；測評指標包含的所有適用測評項的單項測評結(jié)果不全為符合或不符合，則該測評對象對應該測評指標的單元測評結(jié)果為部分符合。等級測評結(jié)論判定等級測評結(jié)論判定基于單項測評結(jié)果判定、單元測評結(jié)果判定、整體測評、風險分析，是對信息系統(tǒng)基本安全保護狀態(tài)的綜合判斷；當測評結(jié)果中不存在部分符合項或不符合項時，系統(tǒng)測評結(jié)論為符合；當測評結(jié)果中存在部分符合項或不符合項，但不會導致信息系統(tǒng)面臨高等級安全風險時，系統(tǒng)測評結(jié)論為基本符合；當?shù)燃墱y評結(jié)果中存在部分符合項或不符合項，導致信息系統(tǒng)面臨高等級安全風險時，系統(tǒng)測評結(jié)論為不符合。風險分析風險分析圍繞安全等級測評結(jié)果中部分符合項或不符合項所產(chǎn)生的安全問題進行。安全問題對應脆弱性，測評對象對應資產(chǎn)，威脅相同。GB/T20984-20074.2GB/T20984-20074.3風險分析的主要內(nèi)容1表1 安全問題嚴重程度賦值表等級標識定義5很高如果被威脅利用，將對資產(chǎn)造成完全損害4高如果被威脅利用，將對資產(chǎn)造成重大損害3中等如果被威脅利用，將對資產(chǎn)造成一般損害2低如果被威脅利用，將對資產(chǎn)造成較小損害1很低如果被威脅利用，將對資產(chǎn)造成的損害可以忽略2表2 測評對象等級及含義描述等級標識定義5很高非常重要，其安全屬性破壞后可能對組織造成非常嚴重的損失4高重要，其安全屬性破壞后可能對組織造成比較嚴重的損失3中等比較重要，其安全屬性破壞后可能對組織造成中等程度的損失2低不太重要，其安全屬性破壞后可能對組織造成較低的損失1很低不重要，其安全屬性破壞后對組織造成很小的損失，甚至忽略不計3表3 威脅賦值表等級標識定義5很高出現(xiàn)的頻率很高(或)1次/周);或在大多數(shù)情況下幾乎不可避免;或可以證實經(jīng)常發(fā)生過4高出現(xiàn)的頻率較高(或)1次/月);或在大多數(shù)情況下很有可能會發(fā)生;或可以證實多次發(fā)生過3中等出現(xiàn)的頻率中等(或>1次/半年);或在某種情況下可能會發(fā)生;或被證實曾經(jīng)發(fā)生過2低出現(xiàn)的頻率較小;或一般不太可能發(fā)生;或沒有被證實發(fā)生過1很低威脅幾乎不可能發(fā)生;僅可能在非常罕見和例外的情況下發(fā)生根據(jù)威脅及威脅利用安全問題的難易程度判斷安全事件發(fā)生的可能性；根據(jù)安全問題的嚴重程度及安全事件所作用的測評對象的價值計算安全事件造成的損失；GB/T20984-2007A.2量化評價FZMinZMaxZ100% (1)式中：–信息系統(tǒng)量化最大值，即信息系統(tǒng)安全要求對應的量化值；–信息系統(tǒng)量化最小值，即信息系統(tǒng)安全現(xiàn)狀對應的量化值。信息系統(tǒng)量化最大值

MaxZn(2)式中：n-信息系統(tǒng)的全部測評結(jié)果數(shù)；α+β–安全測評結(jié)果量化基數(shù)；i1iα-量化基數(shù)的固定系數(shù)，取正整數(shù)；β-量化基數(shù)的調(diào)節(jié)系數(shù)，取正整數(shù)。i1i信息系統(tǒng)量化最小值式中：Ａ–測評對象；Ｂ–基本要求

MinZ

xBMG (3)xi-由單一測評對象及對應單一基本要求所確定的測評結(jié)果的量化值；Ｇ–量化安全因子，含義為安全問題導致安全事件的風險高低情況，M存在的先決條件；M–M

， 測評結(jié)果為符合xiG測評結(jié)果為部分符合

(4)式中：

G

，測評結(jié)果為不符合GG取正整數(shù)。量化安全因子計算原理GRA，V，TRLT，V，F(xiàn)IV，Ia (5)式中：R-安全風險計算函數(shù)；A-測評對象；T-威脅；V-安全問題；Ia-安全事件所作用的測評對象價值；Va-安全問題嚴重程度；L-威脅利用測評對象的安全問題導致安全事件的可能性；F-安全事件發(fā)生后造成的損失。附 錄 A（資料性附錄）67前提條件測評對象本例中測評對象為部分選取，確定的測評對象，如表A.1所示。表A.1 確定的測評對象序號設備名稱1核心交換機Cisco65092防火墻NetGuradFireWall4000UF3主機監(jiān)控系統(tǒng)4IPSPACKETEER測評指標確定的測評指標，如表A.2所示。表A.2 確定的測評指標安全分類安全子類測評項數(shù)網(wǎng)絡安全結(jié)構(gòu)安全7網(wǎng)絡安全訪問控制8網(wǎng)絡安全安全審計4網(wǎng)絡安全邊界完整性檢查2網(wǎng)絡安全入侵防范2網(wǎng)絡安全惡意代碼防范2網(wǎng)絡安全網(wǎng)絡設備防護8測評結(jié)果表A.3 測評結(jié)果序號測評指標關聯(lián)對象測評結(jié)果1應保證主要網(wǎng)絡設備的業(yè)務處理能力具備冗余空間，滿足業(yè)務高峰期需要Cisco6509符合2應在網(wǎng)絡邊界部署訪問控制設備，啟用訪問控制功能NetGuradFireWall4000UF符合3用戶行為等進行日志記錄主機監(jiān)控系統(tǒng)符合4應能夠?qū)?nèi)部網(wǎng)絡用戶私自聯(lián)到外部網(wǎng)絡的行為進行檢查，準確定出位置，并對其進行有效阻斷主機監(jiān)控系統(tǒng)5應在網(wǎng)絡邊界處監(jiān)視以下攻擊行為：端口掃描、強力攻擊、木馬后門攻擊、拒絕服務攻擊、緩沖區(qū)溢出攻擊、IP碎片攻擊和網(wǎng)絡蠕蟲攻擊等IPS不符合6應在網(wǎng)絡邊界處對惡意代碼進行檢測和清除防毒墻不符合7應對登錄網(wǎng)絡設備的用戶進行身份鑒別Cisco6509符合8應對登錄網(wǎng)絡設備的用戶進行身份鑒別NetGuradFireWall4000UF符合9應對網(wǎng)絡設備的管理員登錄地址進行限制Cisco6509不符合10應對網(wǎng)絡設備的管理員登錄地址進行限制NetGuradFireWall4000UF不符合安全問題安全問題，如表A.4所示。表A.4 安全問題序號問題描述1主機監(jiān)控系統(tǒng)對NAT轉(zhuǎn)換的用戶，存在監(jiān)控不到的問題2網(wǎng)絡系統(tǒng)內(nèi)部旁路部署了IPS設備，但處于關機停用狀態(tài)。3未在網(wǎng)絡邊界處部署對惡意代碼進行檢測和清除的措施或者設備4未對Cisco6509的管理員登錄地址進行限制5未對NetGuradFireWall4000UF的管理員登錄地址進行限制風險分析安全問題嚴重程度賦值安全問題賦值結(jié)果，如表A.5所示，賦值結(jié)果僅為示例計算過程所需。表A.5 安全問題賦值結(jié)果編號問題描述賦值結(jié)果V1主機監(jiān)控系統(tǒng)對NAT轉(zhuǎn)換的用戶，存在監(jiān)控不到的問題3V2網(wǎng)絡系統(tǒng)內(nèi)部旁路部署了IPS設備，但處于關機停用狀態(tài)。4V3未在網(wǎng)絡邊界處部署對惡意代碼進行檢測和清除的措施或者設備4V4未對Cisco6509的管理員登錄地址進行限制3V5未對NetGuradFireWall4000UF的管理員登錄地址進行限制3測評對象等級賦值測評對象等級賦值結(jié)果，如表A.6所示，賦值結(jié)果僅為示例計算過程所需。表A.6 測評對象等級賦值結(jié)果編號設備名稱賦值結(jié)果A1核心交換機Cisco65094A2防火墻NetGuradFireWall4000UF4A3XX主機監(jiān)控系統(tǒng)3A4IPSPACKETEER3威脅賦值威脅賦值結(jié)果，如表A.7所示，賦值結(jié)果僅為示例計算過程所需。表A.7 威脅賦值結(jié)果編號威脅類別賦值結(jié)果T1軟硬件故障3T2物理環(huán)境影響2T3無作為或操作失誤2T4網(wǎng)絡攻擊4T5物理攻擊1T6惡意代碼4T7越權(quán)和濫用4風險分析結(jié)果風險計算結(jié)果，如表A.8所示。表A.8 風險計算結(jié)果編號問題描述V1A1-A4T733V2網(wǎng)絡系統(tǒng)內(nèi)部旁路部署了IPS設備，但處于關機停用狀態(tài)。A1-A4T444V3未在網(wǎng)絡邊界處部署對惡意代碼進行檢測和清除的措施或者設備。A1-A4T644V4未對Cisco6509的管理員登錄地址進行限制。A1T433V5未對NetGuradFireWall4000UF的管理員登錄地址進行限制。A2T433至此，風險計算結(jié)果表明，安全問題V2、V3對應風險等級均為4，即高風險等級，針對V2、V3應采取相應彌補措施，進行消除或降低風險等級。量化評價量化安全因子計算本例中安全因子取值同風險