【正文】 不同系統(tǒng)特點進行相應的應用系統(tǒng)安全評估；? 更加考慮安全加固和應急響應體系建設的可行性：? 本次項目在實施過程中安排了時間，對發(fā)現的問題進行及時地講解和答疑；? 對發(fā)現的問題提出的解決方案，和系統(tǒng)管理員及時溝通，并協助進行講解和培訓，對不能直接解決的，提出綜合解決、降低風險的方案。在信息安全領域，同樣適用于風險管理的理念和方法論。 安全模型參考在澳大利亞和新西蘭國家標準《風險管理 Risk Management》（AS/NZS 4360:1999）中描述了風險管理過程，如下圖所示：北京天融信公司 第 42 頁在國際標準 ISO13335 中，安全模型如下圖所示，特點是以風險為核心。每個要素有各自的屬性，信息資產的屬性是資產價值，弱點的屬性是弱點被威脅利用后對資產帶來的影響的嚴重程度，威脅的屬性是威脅發(fā)生的可能性，風險的屬性是風險發(fā)生的路徑。 本項目采用的安全風險評估方法本次項目由于側重點于技術問題的發(fā)現，并指導今后的安全加固和系統(tǒng)技術整改等技術工作；根據本次項目的特點，準備采用如下三種安全風險評估的方法，主要針對非重點系統(tǒng)、重點系統(tǒng)網絡類、重點系統(tǒng)計算類； 非重點系統(tǒng)的 IT 設備弱點評估如下圖所示：北京天融信公司 第 46 頁本評估主要目標是為 IT 設備的弱點提供安全加固的指導和依據，主要涉及“主機系統(tǒng)弱點評估” ；“網絡設備弱點評估” ；“安全設備弱點評估” 。本安全評估包含：“IT 設備弱點評估；網絡架構安全評估和滲透測試” ，其中 IT 設備弱點評估和前面的一致。 應用計算類重點系統(tǒng)的安全評估如下圖所示：北京天融信公司 第 48 頁應用計算類重點系統(tǒng)是公司各獨立的業(yè)務單元，包括完整的主機、網絡、應用各項內容；其評估的目標是從深度上（業(yè)務管理層數據流，用戶角色權限…；應用層數據庫，中間件）；到廣度上系統(tǒng)層（主機操作系統(tǒng)）；網絡層（網絡架構，網絡設備），提出全面的安全風險分析報告。主要方法是：后臺分析（對業(yè)務系統(tǒng)設計、運行相關技術文檔） 、現場設備檢查（對應用平臺和數據庫進行安全狀況查看） 、源代碼評估（對部分關鍵流程的代碼進行分析） 、系統(tǒng)管理員的顧問訪談（現狀存在的問題、安全事件、業(yè)務發(fā)展的影響及假設） 。 評估指標的定制面臨困難：安全沒有定制化的適用的安全指標，造成評估結果不可信一般在安全評估時，評估服務提供者因為在評估前并不熟悉和理解被評估方的業(yè)務特性和安全特性，所以不能定制非常適用的評估標準指標，也就北京天融信公司 第 49 頁是說沒有非常適用，反映被評估對象特性的評估標準，一般都采用國際或國家標準。通常情況下，評估質量取決于評估服務提供者和評估顧問的經驗是否豐富，是否非常熟悉被評估者的業(yè)務特性和行業(yè)特性。中海信托現有的安全防護措施大多屬于靜態(tài)的單點技術防護，單純部署安全產品是一種靜態(tài)的解決辦法，單純防范黑客入侵和病毒感染更是是片面的。兩者都強調了抗打擊能力和可控性，這就要求采用多層保護的深度防御策略，實現安全管理和安全技術的緊密結合，防止單點突破。它們分別具有不同的價值屬性和存在特點，存在的弱點、面臨的威脅、需要進行的保護和安全控制都各不相同。包括路由器、交換機、北京天融信公司 第 51 頁RAS 等，防火墻、IDS 等安全設備除外。存儲設備 提供存儲用途的硬件和軟件，如：磁盤陣列等。 網絡設備網絡設備是指構成信息系統(tǒng)網絡傳輸環(huán)境的設備，軟件和介質。除此之外，行業(yè)特殊的設備，例如銀行的 ATM 等，也屬于主機系統(tǒng)。 安全設備安全設備主要指在信息系統(tǒng)中用作網絡安全保護用途的硬件設施和軟件系統(tǒng)，包括：防火墻、VPN、網絡入侵檢測、網閘、防病毒系統(tǒng)以及相關系統(tǒng)的控制臺軟硬件設施。本項目所指的業(yè)務系統(tǒng)是指獨立應用、運作的系統(tǒng)，例如短消息業(yè)務系統(tǒng)、MISC 系統(tǒng)、辦公自動化系統(tǒng)、管理信息系統(tǒng)等，網管系統(tǒng)等。北京天融信公司 第 53 頁 應用平臺軟件主要是指提供通用服務的各種平臺系統(tǒng)，包括：數據庫WWW、Mail、FTP、DNS、以及專有的中間件產品等；通常將其所代表的安全屬性落實到如下部分來體現：? 應用平臺軟件作為“服務器、工作站、安全設備、存儲設備”資產的屬性之一列出，在進行資產賦值和弱點的時候，作為考慮的因素。通常，數據及文檔類資產需要保護的安全屬性是機密性。例如，下表是常用的一種數據分類方法：簡稱 解釋/舉例公開 Public 不需要任何保密機制和措施，可以公開使用（例如產品發(fā)表新聞等） 。在進行弱點及威脅分析的時候，作為考慮的因素。此處一般屬于物理安全的問題，主要的設備一般集中在機房內，所以評估時應重點考慮機房提供的環(huán)境安全。應用平臺軟件補丁 應用軟件廠商發(fā)布的安全補丁。保護對象框架是指以結構化的方法表達信息系統(tǒng)的框架模型。如果不能充分覆蓋，那么解決問題的方法就可能出現遺漏，嚴重影響本方法的可行性。在列舉信息資產時，保護對象框架有助于識別者系統(tǒng)的進行思考；2. 從資產安全估價到區(qū)域的安全性賦值，有助于降低風險分析的難度，同時確保風險分析的有效性。計算區(qū)域還可以按照安全性能進一步細分，直至到安全性完全同質。邊界是一組功能集合，包括訪問控制，身份認證等。? 計算區(qū)域：對應信息資產，通常包括：工作站、存儲設備，服務器，安全設備（不具有訪問控制及邊界隔離功能） ；當計算區(qū)域作為一級保護對象框架時，應按照保護對象框架的思路向下繼續(xù)分解。對于業(yè)務系統(tǒng)資產來說，在確立保護對象框架時，可以將其作為一個獨立的保護對象來看待。一般來說，拓撲圖越詳細，資產識別的精度也就越高。 確定業(yè)務系統(tǒng)繪制拓撲圖以后，通過訪談等方式，確定業(yè)務系統(tǒng)，且識別業(yè)務系統(tǒng)的功能類型。在這一階段，根據信息資產的種類來進行識別。本文中所指的信息資產價值全部都表示相對價值。但是在該活動之后，策劃已經基本上都傳達給了大眾，所以資產價值已經大部分消失，相關的安全屬性也失去保護意義。通過考察三種不同安全屬性，可以得出一個能夠基本反映資產價值的定性的數值。信息資產分別具有不同的安全屬性，機密性、完整性和可用性分別反映了資產在三個不同方面的特性。資產的安全價值具有很強的時間特性，所以應該根據時間變化的頻度制定資產相關的評估和安全策略的頻度。 信息資產賦值信息資產識別完成后，形成了一個信息資產的清單，但對于大型組織來說，信息資產數目十分龐大，所以需要確認資產的價值和重要性，重點保護關鍵的、重要的資產，并便于進一步考察資產相關的弱點、威脅和風險屬性，并進行量化，因此需要對資產進行估價。? 根據業(yè)務的重要性：比如核心區(qū)域，非核心區(qū)域等。在安全咨詢項目中，顧問應要求用戶首先提供用戶事先拓撲圖。 資產識別過程 繪制拓撲圖資產識別的首要步驟是繪制拓撲圖。? 邊界：對應信息資產，通常包括: 網絡設備(具有訪問控制及邊界隔離的功能模塊)，安全設備（具有訪問控制及邊界隔離功能） 。支撐性基礎設施是一組功能集合，包括入侵檢測、審計及計算機病毒防護等。通常包括路由器，交換機和防火墻等提供網路服務的局域網和廣域網。1）計算區(qū)域 ? 計算區(qū)域是指由相同功能集合在一起，安全價值相近，且面臨相似的威脅來源的一組信息系統(tǒng)組成。當一個問題經過框架分析后，所有不可再細分的子問題構成了一個“框架” 。例如“魚刺圖”或“問題樹” 。資產所在地理位置 信息資產所處的地域、機房和機柜等資產所在業(yè)務系統(tǒng)和部門信息資產所屬的業(yè)務系統(tǒng)名稱和業(yè)務系統(tǒng)所屬的部門名稱網絡設備 服務器工作站安全設備存儲設備組織和人員業(yè)務系統(tǒng)北京天融信公司 第 56 頁資產責任人 信息資產在登記過程中的責任人。在其弱點及威脅評估時，作為考慮的因素。組織和人員作為獨立的資產存在進行識別，但不對其進行資產賦值，對其安全性因素的考慮如下：? 作為“業(yè)務系統(tǒng)、網絡設備、服務器、工作站、安全設備、存儲設備”資產的屬性之一列出。在進行資產賦值和弱點及威脅分析的時候，作為考慮的因素。但是，完整性的重要性會隨著機密性的提高而提高。數據及文檔資產在信息資產中占有非常重要的地位，通常作為企業(yè)知識產權、競爭優(yōu)勢、商業(yè)秘密的載體。業(yè)務系統(tǒng)作為獨立的資產存在的同時，對于其他資產又存在如下關系：? 作為“網絡設備、服務器、工作站、安全設備、存儲設備”資產的屬性之一列出。包括：DAS、NAS、SAN 等軟硬件設施。 工作站工作站是指信息系統(tǒng)中承載業(yè)務系統(tǒng)軟件客戶端軟件的計算環(huán)境和 OA 系統(tǒng)中個人用機。 服務器服務器是指信息系統(tǒng)中承載業(yè)務系統(tǒng)和軟件的計算環(huán)境。應用平臺軟件 主要是指提供通用服務的各種平臺系統(tǒng)，包括：數據庫WWW、Mail、FTP、DNS、以及專有的中間件產品等； 數據及文檔 主要指存在于電子媒介或紙制的各種數據和資料，包括數據庫數據、存放于硬盤上的文件、代碼；財務數據及書面報告等。工作站 客戶端用機、個人用機等。雖然信息資產具有非常廣泛的含義，但這里將信息資產定義如下：信息資產是指組織的信息系統(tǒng)、其提供的服務以及處理的數據。4 信息資產調查和賦值 信息資產概述資產是企業(yè)、機構直接賦予了價值因而需要保護的東西。評估成果中解決方案在設計過程中需要系統(tǒng)化的全面考慮，避免單點考慮，形成系統(tǒng)化措施。在作評估前，我們根據多年對不同行業(yè)的豐富評估經驗和深刻理解，根據不同的行業(yè)業(yè)務特性和安全要求特性的理解，總結出反映行業(yè)特性的安全要求，設計出針對不同行業(yè)的安全對策指標體系，再細化成不同行業(yè)的安全評估指標。這樣，因為缺乏適用的評估標準，造成的評估結果可用性差，也缺乏針對性，不能反映業(yè)務特性和行業(yè)特性。本評估的結果，除體現單個資產的弱點狀況，指導安全加固外；重點為系統(tǒng)整改，安全域劃分以及系統(tǒng)開發(fā)提供參考。網絡架構安全評估主要從網絡結構上分析其應用系統(tǒng)安全域劃分的合理性及訪問控制策略的符合性，具體方法和前面一致。注：如無特殊需要，不采用 DOS 等惡意攻擊手段。評估的結果，是體現各單點資產的弱點狀況，以及綜合的統(tǒng)計分析報告，主要為指導單點設備的安全加固工作。北京天融信公司 第 45 頁 總體工作流程圖根據安全風險評估模型，天融信安全風險評估的總體工作流程如下圖：在評估過程中首先要進行全網的資產調查，識別的內容包括：“信息設備、應用系統(tǒng)、網絡環(huán)境、組織結構及物理環(huán)境；然后進行應用系統(tǒng)安全目標的識別和分析；以及通過安全評估的“業(yè)務系統(tǒng)評估” 、 “滲透測試” 、 “網絡架構評估” 、 “IT 設備弱點評估 ”、 “應用安全評估 ”、 “安全管理評估” 、“物理安全評估”各項內容獲取“安全現狀”(包括：安全威脅)、 “安全弱點” 。北京天融信公司 第 43 頁可以看出，安全模型中的核心要素都是資產、弱點、威脅、風險、安全措施等，各要素之間的關系也基本類似，只是描述和關注的角度不同。所以，如何適度和有效地進行信息安全的風險的管理和控制，成為了一項迫切和重要的任務。風險管理是良好管理的一個組成部分，它用一種將損失減小到最低程度而使商業(yè)機會達到最大限度的方式，對與機構的任何活動、功能和過程相關的風險進行環(huán)境建立、鑒定、分析、評價、處理、監(jiān)控和信息交流。 文件和法律法規(guī)國內政策與標準：? 《國家信息化領導小組關于加強信息安全保障工作的意見》 （中辦發(fā)[2022]27 號） ；? 《關于開展信息安全風險評估工作的意見》2022 年 1 月國家網絡與信息安全協調小組；? 《關于印發(fā)《信息安全風險評估指南》的通知》2022 年 2 月國信辦（國信辦綜[2022]9 號） ；? 《商業(yè)銀行內部控制指引》 2022 年 12 月 銀監(jiān)會? 《企業(yè)內部控制基本規(guī)范》 2022 年 7 月 財政部、證監(jiān)會、審計署、銀監(jiān)會、保監(jiān)會國際政策與標準：? ISO/IEC 27001 信息安全管理體系標準? COSO/COBIT 內控和信息技術控制框架? ISO/IEC TR 13335 Series, Guidelines for the management of IT Security (CMITS)，19962022? NIST SP800 Series, Computer Security Special Publications，1991北京天融信公司