【導讀】年安全技術服務技術建議書。二○一五年十二月。安全服務的方案設計與具體實施滿足以下原則：。泄露給任何單位和個人，不得利用此數(shù)據(jù)進行任何侵害求方網(wǎng)絡的行為，否則。求方有權追究的責任。性，可以便于項目的跟

　　

【正文】 (2Conf+2Int+2Avail)/3]} 其中， Conf 代表機密性賦值； Int 代表完整性賦值； Avail 代表可用性賦值；Round1{}表示四舍五入處理，保留一位小數(shù)； Log2[]表示取以 2 為底的對數(shù)。 上述算式表達的背后含義是：三個屬性值每相差一，則影響相差兩倍，以此來體現(xiàn)最高賦值屬性的主導作用。 這里要聲明的是：該算式屬于經(jīng)驗算式，使用與否、使用的方式都由評估者根據(jù)經(jīng)驗來決定。 威脅評估 安全威脅是一種對系統(tǒng)、組織及其資產(chǎn)構成潛在破壞的可能性因素或者事件。產(chǎn)生安全威脅的主要因素可以分為人為因素和環(huán)境因素。人為因素包括有意因素和無意因素。環(huán)境因素包括自然界的不可抗力因素和其它物理因素。 威脅可能是對信息系統(tǒng)直接或間接的攻擊，例如非授權的泄 露、篡改、刪 除等，在機密性、完整性或可用性等方面造成損害。威脅也可能是偶發(fā)的、或蓄意的事件。一般來說，威脅總是要利用網(wǎng)絡、系統(tǒng)、應用或數(shù)據(jù)的弱點才可能成功地對資產(chǎn)造成傷害。 安全事件及其后果是分析威脅的重要依據(jù)。但是有相當一部分威脅發(fā)生時，由于未能造成后果，或者沒有意識到，而被安全管理人員忽略。這將導致對安全威脅的認識出現(xiàn)偏差。 根據(jù)評估范圍和層次劃分，可將威脅評估列為以下矩陣： 傳輸 數(shù)據(jù) ? 其他 網(wǎng)絡層 系統(tǒng)層（主機、數(shù)據(jù)庫） 應用層 管理層（策略、制度） ? 網(wǎng)絡層安全威脅 網(wǎng)絡層是網(wǎng)絡入侵者進攻信息系統(tǒng)的渠道和通路，許多安全問題都集中體現(xiàn)在網(wǎng)絡的安全方面。大型網(wǎng)絡系統(tǒng)內運行的 TPC/IP 協(xié)議存在安全漏洞，網(wǎng)絡入侵者一般采用預攻擊探測、竊聽等搜集信息，然后利用 IP 欺騙、重放或重演、拒絕服務攻擊（ SYN FLOOD， PING FLOOD 等）、分布式拒絕服務攻擊、篡改、堆棧溢出等手段對網(wǎng)絡進行攻擊，因此，網(wǎng)絡系統(tǒng)存在大量安全隱患和威脅。 此外，網(wǎng)絡層的安全威脅還包括核心設備如路由器、三層交換機等都有可能存在使用確 口令或使用相同口令的安全隱患；每個管理員使用相同的口令；動態(tài)路由協(xié)議存在的安全漏洞；針對路由器的拒絕服務攻擊或分布式拒絕服務攻擊；發(fā)布假路由，路由欺騙，導致整個網(wǎng)絡的路由混亂。 同時，網(wǎng)絡拓撲結構是否合理，將直接影響整個網(wǎng)絡的穩(wěn)定與安全； IP 地址規(guī)劃、使用要規(guī)范，否則將導致網(wǎng)絡難以管理，無法部署安全設備、對攻擊者無法進行追蹤審計。 ? 系統(tǒng)層安全威脅 系統(tǒng)層的安全威脅主要從操作系統(tǒng)平臺的安全威脅進行分析。操作系統(tǒng)安全也稱主機安全，操作系統(tǒng)的代碼龐大，不同程度上都存在一些安全漏洞，一些廣泛應用的操作系統(tǒng)如 Unix， Window NT/2020，其安全漏洞已廣為流傳。另一方面，系統(tǒng)管理員或使用人員對復雜的操作系統(tǒng)和其自身的安全機制了解不夠，配置不當，計算機病毒等也會造成的安全隱患。操作系統(tǒng)自身的脆弱性將直接影響到其上的所有的應用系統(tǒng)的安全性。 操作系統(tǒng)的安全是網(wǎng)絡系統(tǒng)信息安全的基礎，應用系統(tǒng)要獲得運行的高可靠性和保證信息的完整性、機密性、可用性和可控性，依賴于安全操作系統(tǒng)提供的系統(tǒng)軟件基礎。 ? 應用層安全威脅 軟件組件可分為操作平臺軟件、應用平臺軟件和應用業(yè)務軟件。這三類軟件以層次結構構成軟件組件體系。操作平臺軟件處于 基礎層，維系著系統(tǒng)硬件組件協(xié)調運行的平臺，其任何風險都可能直接危及或被轉移到或延伸到應用平臺軟件。應用平臺軟件處于中間層次，它是在操作平臺支撐下運行的支持和管理應用業(yè)務的軟件，一方面應用平臺軟件可能受到來自操作平臺軟件風險的影響，另一方面，應用平臺軟件的任何風險可直接危及或傳遞給應用業(yè)務軟件，因此應用平臺軟件的安全特性至關重要，在提供自身安全保護的同時，應用平臺軟件還為應用業(yè)務軟件提供必要的安全服務功能。應用業(yè)務軟件處于頂層，直接與用戶或實體打交道，應用業(yè)務軟件的任何風險，都直接表現(xiàn)為信息系統(tǒng)的風險，因此其 安全功能的完整性以及自身的安全等級，大于系統(tǒng)安全的最小求。 應用層安全依賴于網(wǎng)絡層、操作系統(tǒng)和數(shù)據(jù)庫的安全的支持，因此，在采購商業(yè)化軟件組件時盡量選用成熟的通用產(chǎn)品和最新版本；委托第三方開發(fā)軟件時，其按信息系統(tǒng)安全等級和軟件 項目 的進行模塊化設計，避免必要的功能冗余以及軟件過長過大，切實作好系統(tǒng)測試和試用，減少軟件設計中的疏忽可能留下安全漏洞和系統(tǒng)內部邏輯混亂；系統(tǒng)投入運行后，及時更新補丁。 此外，由于當前系統(tǒng)許多關鍵的業(yè)務系統(tǒng)建立和運行在數(shù)據(jù)庫平臺上，如果數(shù)據(jù)庫安全無法保證，應用系統(tǒng)尤其是信息資源也會被非法 訪問或破壞，選擇和建立安全的數(shù)據(jù)庫系統(tǒng)十分重要。數(shù)據(jù)庫的安全隱患集中表現(xiàn)在系統(tǒng)認證 口令強度不夠；非授權登錄攻擊；操作日志被刪除；缺少數(shù)據(jù)冗余備份；不安全的默認配置；病毒攻擊；數(shù)據(jù)庫系統(tǒng)自身存在 BUG，未及時更新補丁等。 ? 管理層安全威脅 安全管理制度不健全或缺乏可操作性，責權不明，管理混亂等都可能引起管理安全的風險。如缺少完善的機房進入手續(xù)；管理人員技術水平較低或思想政治覺悟不高；網(wǎng)絡或安全設備的管理登錄密碼沒有按照制度進行更換；對操作管理人員沒有定期進行安全培訓；安全管理體系存在問題或盲區(qū)等； 此外，當網(wǎng)絡出現(xiàn)攻擊行為或網(wǎng)絡受到其他安全威脅（如內部人員的違規(guī)操作等）時，無法進行實時檢測、監(jiān)控、報告與預警；當事故發(fā)生后，無法提供攻擊行為的追蹤線索及破案依據(jù)，缺乏對網(wǎng)絡的可控性與可審查性等，都會威脅信息系統(tǒng)的安全。 威脅分析方法首先要考慮威脅的來源，然后分析存在哪些威脅種類，最后做出威脅來源和威脅種類的交叉表進行威脅賦值。 威脅來源分析 信息系統(tǒng)的安全威脅來源可考慮以下方面： 威脅來源 威脅來源描述 環(huán)境因素、意外事故或故障 由于 斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災、火災、地震等環(huán)境條件和自然災害；意外事故或由于軟件、硬件、數(shù)據(jù)、通訊線路方面的故障。 無惡意內部人員 內部人員由于缺乏責任心，或者由于不關心和不專注，或者沒有遵循規(guī)章制度和操作流程而導致故障或被攻擊；內部人員由于缺乏培訓，專業(yè)技能不足 ,不具備崗位技能而導致信息系統(tǒng)故障或被攻擊。 惡意內部人員 不滿的或有預謀的內部人員對信息系統(tǒng)進行惡意破壞；采用自主的或內外勾結的方式盜竊機密信息或進行篡改，獲取利益。 第三方 第三方合作伙伴和供應商，包括業(yè)務合作伙伴以及軟件開發(fā)合作伙伴、系統(tǒng)服務商、服務商和產(chǎn)品供應商；包括第三方惡意的和無惡意的行為。 外部人員攻擊 外部人員利用信息系統(tǒng)的脆弱性，對網(wǎng)絡和系統(tǒng)的機密性、完整性和可用性進行破壞，以獲取利益或炫耀能力。 威脅種類分析 對安全威脅進行分類的方式有多種多樣，針對上表威脅來源，要考慮下述的安全威脅種類。 威脅種類 威脅描述 軟硬件故障 由于設備硬件故障、通訊鏈路中斷、系統(tǒng)本身或軟件 Bug 導致對業(yè)務高效穩(wěn)定運行的影響。 物理環(huán)境威脅 斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災、火災、地震等環(huán)境問題和自然災害。 無作為或操作失誤 由于應該執(zhí)行而沒有執(zhí)行相應的操作，或無意地執(zhí)行了錯誤的操作，對系統(tǒng)造成影響。 管理不到位 安全管理無法落實，不到位，造成安全管理不規(guī)范，或者管理混亂，從而破壞信息系統(tǒng)正常有序運行。 惡意代碼和病毒 具有自我復制、自我傳播能力，對信息系統(tǒng)構成破壞的程序代碼。 越權或濫用 通過采用一些措施，超越自己的權限訪問了本來無權訪問的資源；或者濫用自己的職權，做出破壞信息系統(tǒng)的行為。 黑客攻擊技術 利用黑客工具和技術，例如偵察、密碼猜測攻擊、緩沖區(qū)溢出攻擊、安裝后門、嗅探、偽造和欺騙、拒絕服務攻擊等手段對信息系統(tǒng)進行攻擊和入侵。 物理攻擊 物理接觸、物理破壞、盜竊。 泄密 機密泄漏，機密信息泄漏給他人。 篡改 非法修改信息，破壞信息的完整性。 抵賴 不承認收到的信息和所作的操作和交易。 威脅賦值 威脅具有兩個屬性：可能性（ Likelihood）、影響（ Impact）。進一步，可能性和損失可以被賦予一個數(shù)值，來表示該屬性。 根據(jù)上述對安全威脅來源和安全威脅種類的分類，可用下表列舉所有安全威脅。其中灰色部分為可能不存在的威脅（根據(jù)實際環(huán)境而確定）。 來源 可能性值 威脅 環(huán)境因素，意外事故或故障 無惡意 內部人員 第三方 外 部 攻擊 惡意內部人員 軟硬件故障 物理環(huán)境威脅 無作為或操作失誤 管理不到位 惡意代碼和病毒 黑客攻擊技術 越權或濫用 物理攻擊 泄密 篡改 抵賴 威脅具有兩個屬性：可能性（ Likelihood）、影響（ Impact）。進一步，可能性和損失可以被賦予一個數(shù)值，來表示該屬性。 在的方法論中，要對威脅的可能性進行賦值，也就是指威脅發(fā)生的概率和威脅發(fā)生的頻率。我們用變量 T 來表示威脅的可能性，它可以被賦予一個數(shù)值，來表示該屬性的程度。確定威脅發(fā)生的可能性是風險評估的重要環(huán)節(jié)，顧問應 該根據(jù)經(jīng)驗和相關的統(tǒng)計數(shù)據(jù)來判斷威脅發(fā)生的概率和頻率。 威脅發(fā)生的可能性受下列兩個因素的影響： ? 資產(chǎn)的吸引力和暴光程度，組織的知名度，主要在考慮人為故意威脅時使用； ? 資產(chǎn)轉化成利益的容易程度，包括財務的利益，黑客獲得運算能力很強和大帶寬的主機使用等利益。主要在考慮人為故意威脅時使用。 實際評估過程中，威脅的可能性賦值，除了考慮上面兩個因素，還要參考下面三方面的資料和信息來源，綜合考慮，形成在特定評估環(huán)境中各種威脅發(fā)生的可能性。 ? 通過過去的安全事件報告或記錄，統(tǒng)計各種發(fā)生過的威脅和其發(fā)生頻率； ? 在評估體實際環(huán)境中，通過 IDS 系統(tǒng)獲取的威脅發(fā)生數(shù)據(jù)的統(tǒng)計和分析，各種日志中威脅發(fā)生的數(shù)據(jù)的統(tǒng)計和分析； ? 過去 一年或兩年來國際機構（如 FBI）發(fā)布的對于整個社會或特定行業(yè)安全威脅發(fā)生頻率的統(tǒng)計數(shù)據(jù)均值。 威脅的可能性賦值標準參照下表： 賦值 描述 說明 5 幾乎肯定 預期在大多數(shù)情況下發(fā)生，不可避免；或者可以證實經(jīng)常發(fā)生（ 90%） 4 很可能 在大多數(shù)情況下，很有可能會發(fā)生；或者可以證實發(fā)生過（ 50% ~ 90%） 3 可能 在某種情況下或某個時間，可能會發(fā)生（ 20% ~ 50%） 2 不太可能 發(fā)生的可能性很小，不太可能（ 20%） 1 罕見 僅在非常例外的情況下發(fā)生，非常罕見，幾乎不可能（ 0%~1%） 威脅的影響賦值參考下表： 賦值 簡稱 說明 4 VH 資產(chǎn)全部損失，或資產(chǎn)已不可用（ 75%） 3 H 資產(chǎn)遭受重大損失（ 50% ~ 75%） 2 M 資產(chǎn)遭受明顯損失（ 25% ~ 50%） 1 L 損失可忍受（ 25%） 0 N 損失可忽略（ ~0%） 脆弱性評估 脆弱性評估也稱為弱點評估，是安全風險評估中最主要的內容。弱點是資產(chǎn)本身存在的，它可以被威脅利用、引起資產(chǎn)或商業(yè)目標的損害。弱點包括物理環(huán)境、組織、過程、人員、管理、配置、硬件、軟件和信息等各種資產(chǎn)的脆弱性。 根據(jù)評估范圍和層次劃分，可將脆弱性評估列為以下矩陣： 傳輸 數(shù)據(jù) ? 其他 網(wǎng)絡層 系統(tǒng)層（主機、數(shù)據(jù)庫） 應用層 管理層（策略、制度） 值得注意的是，弱點雖然是資產(chǎn)本身固有的，但它本身不會造成損失，它只是一種條件或環(huán)境、可能導致被威脅利用而造成資產(chǎn)損失。所以如果沒有相應的威脅發(fā)生，單純的弱點并不會對資產(chǎn)造成損害。所以，在的方法論中，我們會首先識別威脅，然后根據(jù)威脅來識別弱點。如果沒有對應威脅或對應威脅可能性極小的弱點，因為不會構成風險或風險很小，可以不予識別。 脆弱性評估主要的工作是對弱點進行識別和賦值。提供全面的多種方法對信息系統(tǒng)進行脆弱性評估，包括安全管理和安全技術各層面的脆弱性識別： ? 網(wǎng)絡安全脆弱性評