【正文】 產(chǎn)造成損害。業(yè)務(wù)依賴(lài)程度賦值遼寧省 XXXX 信息安全等級(jí)保護(hù)建設(shè)方案 33根據(jù)信息系統(tǒng)因完整性和可用性受到破壞，無(wú)法提供服務(wù)或無(wú)法提供有效服務(wù)對(duì)單位完成其使命的最大影響程度，典型的業(yè)務(wù)依賴(lài)程度、賦值及相關(guān)影響如下表所示：表 4 業(yè)務(wù)依賴(lài)程度賦值表業(yè)務(wù)依賴(lài)程度舉例 賦值 業(yè)務(wù)系統(tǒng)影響業(yè)務(wù)處理流程的大部分可以通過(guò)手工方式或其他方式完成，自動(dòng)化程度低。1 信息系統(tǒng)無(wú)法提供服務(wù)或無(wú)法提供有效服務(wù)對(duì)單位完成其業(yè)務(wù)使命影響較小。業(yè)務(wù)處理流程的部分環(huán)節(jié)可以通過(guò)手工方式或其他方式替代完成，自動(dòng)化程度中。2 信息系統(tǒng)無(wú)法提供服務(wù)或無(wú)法提供有效服務(wù)對(duì)單位完成其業(yè)務(wù)使命影響較大。業(yè)務(wù)處理流程完全依賴(lài)信息系統(tǒng)，手工方式無(wú)法完成，自動(dòng)化程度高。3 信息系統(tǒng)無(wú)法提供服務(wù)或無(wú)法提供有效服務(wù)使單位無(wú)法完成其業(yè)務(wù)使命。確定系統(tǒng)等級(jí)確定業(yè)務(wù)信息安全性等級(jí)將信息系統(tǒng)所屬類(lèi)型的賦值（1，2，3）與業(yè)務(wù)信息類(lèi)型的賦值（1，2，3）構(gòu)成一個(gè) 3?3 矩陣，去掉不合理的交叉點(diǎn)，構(gòu)成業(yè)務(wù)信息安全性等級(jí)矩陣，如下表所示：表 5 業(yè)務(wù)信息安全性等級(jí)表確定業(yè)務(wù)服務(wù)保證性等級(jí)將信息系統(tǒng)服務(wù)范圍的賦值（1，2，3）與業(yè)務(wù)依賴(lài)程度的賦值（1，2，3）構(gòu)成一個(gè) 3?3 矩陣，構(gòu)成業(yè)務(wù)服務(wù)保證性取值矩陣，如下表所示：表 6 業(yè)務(wù)服務(wù)保證性等級(jí)表遼寧省 XXXX 信息安全等級(jí)保護(hù)建設(shè)方案 34確定信息系統(tǒng)安全保護(hù)等級(jí)業(yè)務(wù)子系統(tǒng)的安全保護(hù)等級(jí)由業(yè)務(wù)信息安全性等級(jí)和業(yè)務(wù)服務(wù)保證性等級(jí)較高者決定。信息系統(tǒng)的安全保護(hù)等級(jí)由各業(yè)務(wù)子系統(tǒng)的最高等級(jí)決定。等級(jí)的調(diào)整用戶或上級(jí)主管部門(mén)可根據(jù)系統(tǒng)的特殊需求調(diào)整信息系統(tǒng)安全保護(hù)等級(jí)，但按《定級(jí)指南》的要求，調(diào)整只能調(diào)高等級(jí)而不能降低等級(jí)。信息系統(tǒng)的安全保護(hù)等級(jí)和采取的基本安全保護(hù)措施是有對(duì)應(yīng)關(guān)系的，信息系統(tǒng)的運(yùn)行、使用單位雖然可以根據(jù)系統(tǒng)的特殊安全需求對(duì)一些安全保護(hù)措施進(jìn)行增強(qiáng)，但整體上的安全保護(hù)水平還是原來(lái)的級(jí)別，如果考慮系統(tǒng)的特殊需求，需要加強(qiáng)保護(hù)，可提升級(jí)別，提高整體安全保護(hù)水平。如果用戶或上級(jí)主管部門(mén)根據(jù)系統(tǒng)的特殊安全需求，需要對(duì)保護(hù)等級(jí)進(jìn)行等級(jí)調(diào)整，可以參考以下因素：上級(jí)主管部門(mén)在政策和管理方面的特殊要求；預(yù)測(cè)業(yè)務(wù)信息可能會(huì)隨著時(shí)間的變化從量變轉(zhuǎn)化為質(zhì)變；業(yè)務(wù)依賴(lài)程度在將來(lái)會(huì)進(jìn)一步提高，或隨著信息系統(tǒng)所承載的業(yè)務(wù)不斷完善和穩(wěn)定，與信息系統(tǒng)并行的手工處理（或老的系統(tǒng)）的業(yè)務(wù)將有可能取消；信息系統(tǒng)服務(wù)范圍隨著業(yè)務(wù)的發(fā)展，將會(huì)有較大的變化。工作輸入信息系統(tǒng)識(shí)別和描述文檔《信息安全等級(jí)保護(hù)管理辦法》《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》工作輸出遼寧省 XXXX 信息安全等級(jí)保護(hù)建設(shè)方案 35《遼寧省 XXXX 信息安全保護(hù)定級(jí)工作報(bào)告》 ，報(bào)告內(nèi)容包括：《定級(jí)報(bào)告》《定級(jí)評(píng)審意見(jiàn)》自主定級(jí)能力的評(píng)價(jià)意見(jiàn)對(duì)專(zhuān)家咨詢(xún)和內(nèi)容及程序的意見(jiàn)對(duì)《管理辦法》和《定級(jí)指南》中有關(guān)定級(jí)方法的具體意見(jiàn)和建議 等級(jí)評(píng)估階段目的安全等級(jí)評(píng)估是國(guó)家推行等級(jí)保護(hù)制度的一個(gè)重要環(huán)節(jié)，也是對(duì)信息系統(tǒng)進(jìn)行安全建設(shè)和管理的重要組成部分。通過(guò)等級(jí)評(píng)估可以發(fā)現(xiàn)信息系統(tǒng)的安全現(xiàn)狀與需要達(dá)到的安全等級(jí)或目標(biāo)的差異，使信息系統(tǒng)的管理和使用單位可以在技術(shù)和管理方面進(jìn)行有針對(duì)性的加強(qiáng)和完善，使單位的信息系統(tǒng)安全工作有的放矢。工作內(nèi)容明確評(píng)估對(duì)象本階段主要工作為收集和了解用戶信息系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)、業(yè)務(wù)流程、設(shè)備信息和數(shù)據(jù)信息等，明確用戶信息系統(tǒng)的具體評(píng)估對(duì)象。確定評(píng)估范圍明確用戶被評(píng)估系統(tǒng)的范圍，包括每個(gè)信息系統(tǒng)的范圍、各個(gè)等級(jí)信息系統(tǒng)的范圍，信息系統(tǒng)的邊界等。獲得信息系統(tǒng)的信息通過(guò)調(diào)查或查閱資料的方式，了解用戶信息系統(tǒng)的構(gòu)成，包括網(wǎng)絡(luò)拓?fù)洹I(yè)務(wù)應(yīng)用、業(yè)務(wù)流程、設(shè)備信息、安全措施狀況等。確定具體的評(píng)估對(duì)象初步確定每個(gè)等級(jí)信息系統(tǒng)的被評(píng)估對(duì)象，包括整體對(duì)象，如機(jī)房、辦公環(huán)境、網(wǎng)絡(luò)等，也包括具體對(duì)象，如邊界設(shè)備、網(wǎng)關(guān)設(shè)備、服務(wù)器設(shè)備、工作站、應(yīng)用系統(tǒng)等。評(píng)估指標(biāo)選擇和組合根據(jù)用戶信息系統(tǒng)的安全等級(jí)，從等級(jí)保護(hù)基本要求的指標(biāo)中選擇和組合評(píng)估遼寧省 XXXX 信息安全等級(jí)保護(hù)建設(shè)方案 36用的安全指標(biāo)，形成一套信息系統(tǒng)的評(píng)估指標(biāo)，作為評(píng)估的依據(jù)；將具體評(píng)估對(duì)象和評(píng)估指標(biāo)進(jìn)行結(jié)合，形成評(píng)估使用的評(píng)估方案。形成評(píng)估指標(biāo)根據(jù)各個(gè)信息系統(tǒng)的安全等級(jí)，從《基本要求》中選擇相應(yīng)等級(jí)的通用指標(biāo)，然后根據(jù)系統(tǒng)信息資產(chǎn)安全性等級(jí)選擇信息資產(chǎn)安全性指標(biāo)，根據(jù)系統(tǒng)連續(xù)性等級(jí)選擇業(yè)務(wù)連續(xù)性指標(biāo)，之后進(jìn)行三類(lèi)指標(biāo)的組合，形成評(píng)估指標(biāo)。制定評(píng)估方案根據(jù)評(píng)估指標(biāo)，結(jié)合確定的具體評(píng)估對(duì)象制定可操作的評(píng)估方案，評(píng)估方案可以包括但不局限于以下內(nèi)容：管理狀況評(píng)估表格；網(wǎng)絡(luò)狀況評(píng)估表格；網(wǎng)絡(luò)設(shè)備（含安全設(shè)備）評(píng)估表格；主機(jī)設(shè)備評(píng)估表格；主要設(shè)備安全測(cè)試方案；重要操作的作業(yè)指導(dǎo)書(shū)?，F(xiàn)狀與評(píng)估指標(biāo)對(duì)比評(píng)估根據(jù)所確定的安全評(píng)估指標(biāo)和安全評(píng)估方案，通過(guò)詢(xún)問(wèn)、檢查和測(cè)試等多種手段，將系統(tǒng)現(xiàn)狀與安全評(píng)估指標(biāo)進(jìn)行逐一對(duì)比，記錄當(dāng)前的現(xiàn)狀情況，找到與評(píng)估指標(biāo)之間的差距。判斷安全管理方面與評(píng)估指標(biāo)的符合程度通過(guò)查閱文檔、抽樣調(diào)查等方法，針對(duì)用戶在信息安全方面制定規(guī)章制度的合理性、適用性等進(jìn)行評(píng)估，主要包括安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等內(nèi)容。通過(guò)觀察現(xiàn)場(chǎng)、詢(xún)問(wèn)人員、查詢(xún)資料、檢查記錄等方式進(jìn)行安全管理方面的評(píng)估，準(zhǔn)確記錄評(píng)估結(jié)果，判斷安全管理的各個(gè)方面與評(píng)估指標(biāo)的符合程度，給出判斷結(jié)論。判斷安全技術(shù)方面與評(píng)估指標(biāo)的符合程度主要通過(guò)從物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全等五個(gè)層面上評(píng)估信息安全等級(jí)保護(hù)要求的基本安全控制在信息系統(tǒng)中的實(shí)施配置情遼寧省 XXXX 信息安全等級(jí)保護(hù)建設(shè)方案 37況。包括但不局限于以下技術(shù)方法：人工配制檢查滲透測(cè)試漏洞掃描技術(shù)訪談?wù){(diào)查問(wèn)卷通過(guò)觀察現(xiàn)場(chǎng)、詢(xún)問(wèn)人員、查詢(xún)資料、檢查記錄、檢查配置、技術(shù)測(cè)試、滲透攻擊等方式進(jìn)行安全技術(shù)方面的評(píng)估，準(zhǔn)確記錄評(píng)估結(jié)果，判斷安全技術(shù)的各個(gè)方面與評(píng)估指標(biāo)的符合程度，給出判斷結(jié)論。額外/特殊安全需求的確定通過(guò)對(duì)用戶信息系統(tǒng)重要資產(chǎn)特殊保護(hù)要求的分析，確定超出相應(yīng)等級(jí)保護(hù)要求的部分或具有獨(dú)特安全保護(hù)要求的部分，采用風(fēng)險(xiǎn)評(píng)估的方法，確定可能的安全風(fēng)險(xiǎn)，判斷超出等級(jí)保護(hù)要求部分安全措施的必要性。 在安全現(xiàn)狀和評(píng)估指標(biāo)對(duì)比后確定基本安全需求的基礎(chǔ)上，通過(guò)風(fēng)險(xiǎn)評(píng)估的手段可以確定額外或特殊的安全需求。確定額外安全需求可以采用目前成熟或流行的風(fēng)險(xiǎn)評(píng)估方法，可以采用但不局限于以下方面：重要資產(chǎn)的識(shí)別與賦值資產(chǎn)是構(gòu)成整個(gè)系統(tǒng)的各種元素的組合，它直接地表現(xiàn)了這個(gè)系統(tǒng)的業(yè)務(wù)或任務(wù)的重要性，這種重要性進(jìn)而轉(zhuǎn)化為資產(chǎn)應(yīng)具有的保護(hù)價(jià)值。評(píng)估小組采集資產(chǎn)信息，確定系統(tǒng)劃分原則和等級(jí)評(píng)估原則，并與組織共同確認(rèn)系統(tǒng)和 CIA 等級(jí)劃分。資產(chǎn)識(shí)別資產(chǎn)識(shí)別和賦值的目的就是要對(duì)組織的各類(lèi)資產(chǎn)做潛在價(jià)值分析，了解其資產(chǎn)利用、維護(hù)和管理現(xiàn)狀；明確各類(lèi)資產(chǎn)具備的保護(hù)價(jià)值和需要的保護(hù)層次，從而使組織能夠更合理地利用現(xiàn)有資產(chǎn)，更有效地進(jìn)行資產(chǎn)管理，更有針對(duì)性地進(jìn)行資產(chǎn)保護(hù)，最具策略性地進(jìn)行新的資產(chǎn)投入。風(fēng)險(xiǎn)評(píng)估范圍內(nèi)的所有重要資產(chǎn)都要予以確認(rèn)，包括數(shù)據(jù)、服務(wù)、聲譽(yù)、硬件和軟件、通訊、程序界面、物理資產(chǎn)、支持設(shè)施、人員和訪問(wèn)控制措施等有形遼寧省 XXXX 信息安全等級(jí)保護(hù)建設(shè)方案 38和無(wú)形資產(chǎn)?？紤]到應(yīng)用系統(tǒng)是組織業(yè)務(wù)信息化的體現(xiàn)，因此將應(yīng)用系統(tǒng)定義為組織的關(guān)鍵資產(chǎn)。與應(yīng)用系統(tǒng)有關(guān)的信息或服務(wù)、組件（包括與組件相關(guān)的軟硬件） 、人員、物理環(huán)境等都是組織關(guān)鍵資產(chǎn)——應(yīng)用系統(tǒng)的子資產(chǎn)，從而使得子資產(chǎn)與應(yīng)用系統(tǒng)之間更加具有關(guān)聯(lián)性。各項(xiàng)資產(chǎn)可歸入不同的類(lèi)別，歸類(lèi)的目的是反映這些資產(chǎn)對(duì)評(píng)估對(duì)象系統(tǒng)或領(lǐng)域的重要性。依據(jù)資產(chǎn)的屬性，主要分為以下幾個(gè)類(lèi)別：信息資產(chǎn)信息資產(chǎn)主要包括各種設(shè)備以及數(shù)據(jù)庫(kù)系統(tǒng)中存儲(chǔ)的各類(lèi)信息、設(shè)備和系統(tǒng)的配置信息、用戶存儲(chǔ)的各類(lèi)電子文檔以及各種日志等等，信息資產(chǎn)也包括各種管理制度，而且各種打印的以及部分其他成文的文檔也屬于信息資產(chǎn)的范疇。軟件資產(chǎn)軟件資產(chǎn)包括各種專(zhuān)門(mén)購(gòu)進(jìn)的系統(tǒng)與應(yīng)用軟件（比如操作系統(tǒng)、業(yè)務(wù)系統(tǒng)、辦公軟件、防火墻系統(tǒng)軟件等） 、隨設(shè)備贈(zèng)送的各種配套軟件、以及自行開(kāi)發(fā)的各種業(yè)務(wù)軟件等。物理資產(chǎn)物理資產(chǎn)主要包括各種主機(jī)設(shè)備（比如各類(lèi) PC 機(jī)、工作站、服務(wù)器等） 、各種網(wǎng)絡(luò)設(shè)備（比如交換、路由、撥號(hào)設(shè)備等） 、各種安全設(shè)備（比如防火墻設(shè)備、入侵防御設(shè)備等） 、數(shù)據(jù)存儲(chǔ)設(shè)備以及各類(lèi)基礎(chǔ)物理設(shè)施（比如辦公樓、機(jī)房以及輔助的溫度控制、濕度控制、防火防盜報(bào)警設(shè)備等） 。人員資產(chǎn)人員資產(chǎn)是各類(lèi)資產(chǎn)中很難有效衡量甚至根本無(wú)法衡量的一部分，它主要包括組織內(nèi)部各類(lèi)具備不同綜合素質(zhì)的人員，包括各層管理人員、技術(shù)人員以及其他的保障與維護(hù)人員等。資產(chǎn)賦值資產(chǎn)分析是與風(fēng)險(xiǎn)評(píng)估相關(guān)聯(lián)的重要任務(wù)之一，資產(chǎn)分析通過(guò)分析評(píng)估對(duì)象——資產(chǎn)的各種屬性，進(jìn)而對(duì)資產(chǎn)進(jìn)行確認(rèn)、價(jià)值分析和統(tǒng)計(jì)報(bào)告。簡(jiǎn)單地說(shuō)資產(chǎn)分析是一種為資產(chǎn)業(yè)務(wù)提供價(jià)值尺度的行為。資產(chǎn)價(jià)值可以下列方式表達(dá)：有形價(jià)值，例如重置成本無(wú)形價(jià)值，例如商譽(yù)遼寧省 XXXX 信息安全等級(jí)保護(hù)建設(shè)方案 39信息價(jià)值，例如保密性、完整性及可用性重要資產(chǎn)安全脆弱性評(píng)估脆弱性是指于管理、操作、技術(shù)和其它安全控制措施和程序中使威脅可能有機(jī)可乘，以致資產(chǎn)因而受損的薄弱環(huán)節(jié)，例如第三方攔截傳輸中的數(shù)據(jù)，未授權(quán)訪問(wèn)數(shù)據(jù)等。脆弱性分析的目的是給出有可能被潛在威脅源利用的系統(tǒng)缺陷或脆弱性列表。所謂威脅源是指能夠通過(guò)系統(tǒng)缺陷和脆弱性對(duì)系統(tǒng)安全策略造成危害的主體。脆弱性分析強(qiáng)調(diào)系統(tǒng)化地衡量這些脆弱性。脆弱性來(lái)源脆弱性可能存在于硬件設(shè)備、軟件程序、數(shù)據(jù)中，也可能存在于管理制度、安全策略等方面。因此，脆弱性包括兩類(lèi)：技術(shù)脆弱性和非技術(shù)脆弱性。技術(shù)脆弱性主要是指操作系統(tǒng)和業(yè)務(wù)應(yīng)用系統(tǒng)等存在的設(shè)計(jì)和實(shí)現(xiàn)缺陷。技術(shù)脆弱性廣泛地存在于操作系統(tǒng)、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、通訊協(xié)議等設(shè)備和系統(tǒng)中。非技術(shù)性脆弱性主要是指系統(tǒng)的安全策略、物理和環(huán)境安全、人事安全、訪問(wèn)控制、組織安全、運(yùn)行安全、系統(tǒng)開(kāi)發(fā)和維護(hù)、業(yè)務(wù)連續(xù)性管理、遵循性等方面存在的不足或者缺陷。脆弱性分析脆弱性分析針對(duì)技術(shù)脆弱性和非技術(shù)脆弱性進(jìn)行。非技術(shù)脆弱性分析非技術(shù)脆弱性分析主要采取調(diào)查表、人員訪談、現(xiàn)場(chǎng)勘查、文檔查看等手段進(jìn)行。首先要明確組織高層管理人員對(duì)組織重要資產(chǎn)的認(rèn)識(shí)，對(duì)資產(chǎn)如何受到威脅的了解，以及資產(chǎn)的安全需求，現(xiàn)在已經(jīng)采取得保護(hù)措施以及和保護(hù)該資產(chǎn)相關(guān)的問(wèn)題。通過(guò)運(yùn)作管理人員、組織職員進(jìn)一步了解組織存在的這些脆弱性。技術(shù)脆弱性分析技術(shù)脆弱性分析可以采取多種手段，可選擇以下手段收集和獲取信息：網(wǎng)絡(luò)掃描遼寧省 XXXX 信息安全等級(jí)保護(hù)建設(shè)方案 40主機(jī)審計(jì)滲透測(cè)試系統(tǒng)分析其中，需要注意滲透測(cè)試的風(fēng)險(xiǎn)較其它幾種手段要大得多，在實(shí)際評(píng)估中需要斟酌使用。重要資產(chǎn)面臨威脅評(píng)估威脅是指對(duì)系統(tǒng)或資產(chǎn)的保密性、完整性及可用性構(gòu)成潛在損害，以致影響系統(tǒng)或資產(chǎn)正常使用及操作的任何事件或行動(dòng)。威脅分析主要指在明確組織關(guān)鍵資產(chǎn)、描述關(guān)鍵資產(chǎn)的安全需求的情況下，標(biāo)識(shí)關(guān)鍵資產(chǎn)面臨的威脅，并界定發(fā)生威脅的可能性及破壞系統(tǒng)或資產(chǎn)的潛力。評(píng)估小組通過(guò)鑒別與各業(yè)務(wù)系統(tǒng)有關(guān)的網(wǎng)絡(luò)，分析各業(yè)務(wù)系統(tǒng)可能遭受的內(nèi)部人員和/或外部人員的無(wú)意和/ 或故意威脅；通過(guò)鑒別與各業(yè)務(wù)系統(tǒng)有關(guān)的網(wǎng)絡(luò)以及可能的威脅源，詳細(xì)分析各業(yè)務(wù)系統(tǒng)可能通過(guò)網(wǎng)絡(luò)途徑可能遭受的威脅。威脅源識(shí)別威脅會(huì)對(duì)資產(chǎn)造成危害，它可能是人為的，也可能是非人為的；可能是無(wú)意失誤，也可能是惡意攻擊。信息系統(tǒng)根據(jù)自身應(yīng)用的特點(diǎn)和地理位置可能會(huì)面對(duì)不同的威脅源。常見(jiàn)的威脅源如表 1 所示。表 7 典型威脅表ID 威脅源 描述1不可抗力由于自然（洪水、地震、颶風(fēng)、泥石流、雪崩、電風(fēng)暴及其它類(lèi)似事件） 、環(huán)境（長(zhǎng)時(shí)間電力故障，污染，化學(xué)，液體泄露等） 、政治等因素造成的威脅2 組織弱點(diǎn) 由于組織機(jī)構(gòu)、行政制度等因素造成的安全威脅3人為失誤由于人員的技能、培訓(xùn)、無(wú)意識(shí)行為（疏忽的數(shù)據(jù)條目）等方面原因造成的安全威脅。4 技術(shù)缺陷 由于信息技術(shù)、產(chǎn)品的設(shè)計(jì)、實(shí)現(xiàn)、配置、使用等造成的安全威脅5惡意行為故意行為（基于網(wǎng)絡(luò)的攻擊、惡意軟件上傳、對(duì)保密信息未經(jīng)授權(quán)的訪問(wèn)等） 、人為造成的安全威脅威脅分析手段遼寧省 XXXX 信息安全等級(jí)保護(hù)建設(shè)方案 41威脅獲取的方法有：安全策略文檔查看、業(yè)務(wù)流程分析、網(wǎng)絡(luò)拓?fù)浞治?、人員訪談、入侵檢測(cè)系統(tǒng)收集的信息和人工分析等。業(yè)務(wù)流程分析和網(wǎng)絡(luò)拓?fù)浞治鲆耘c組織交流為主進(jìn)行，結(jié)合業(yè)務(wù)流程圖和網(wǎng)絡(luò)拓?fù)鋱D，同時(shí)收集歷史安全事件。評(píng)估人員可以根據(jù)具體的評(píng)估對(duì)象、評(píng)估目的選擇具體的安全威脅獲取方式。已有控制措施分析要產(chǎn)生一個(gè)總體可能性評(píng)價(jià)來(lái)說(shuō)明一個(gè)潛在弱點(diǎn)