第3章 业务系统信息安全风险评估方案
3.1 风险评估概述
3.1.1 背景
该业务系统风险评估的目标是评估业务系统的风险状况,提出风险控制建议,同时为下一步要制定的业务系统安全管理规范以及今后业务系统的安全建设和风险管理提供依据和建议。
需要指出的是,本评估报告中所指的安全风险针对的是现阶段该业务系统的风险状况,反映的是系统当前的安全状态。
3.1.2 范围
该业务系统风险评估范围包括业务系统网络、管理制度、使用或管理业务系统的相关人员以及由业务系统使用时所产生的文档、数据。
3.1.3 评估方式
信息系统具有一定的生命周期,在其生命中期内完成相应的使命。采取必要的安全保护方式使系统在其生命周期内稳定、可靠地运行是系统各种技术、管理应用的基本原则。
本项目的评估主要根据国际标准、国家标准和地方标准,从识别信息系统的资产入手,确定重要资产,针对重要资产分析其面临的安全威胁并识别其存在的脆弱性,最后综合评估系统的安全风险。
资产划分是风险评估的基础,在所有识别的系统资产中,依据资产在机密性、完整性和可用性安全属性的价值不同,综合判定资产重要性程度并将其划分为核心、关键、中等、次要和很低5个等级。
对于列为重要及以上等级的资产,分析其面临的安全威胁。
脆弱性识别主要从技术和管理两个层面,采取人工访谈。现场核查。扫描检测。渗透性测试等方式,找出系统所存在的脆弱性和安全隐患。
对重要资产已识别的威胁、脆弱性,根据其可能性和严重性,综合评估其安全风险。
3.2 该业务系统概况
3.2.1 该业务系统背景
近年来,由于数据量迅速增加,业务量也迅速增长,原先的硬件系统、应用系统和模式已渐渐不适应业务的需求,提升IT管理系统已经成为刻不容缓的事情。
经过仔细论证之后,信息决策部门在IT管理系统升级上达成如下共识:更换新的硬件设备,使用更先进和更强大的主机;在模式上为统一的集中式系统;在系统上用运行和维护效率较高的单库结构替换原有多库系统;在技术上准备使用基于B/S架构的J2EE中间件技术,并且实施999.999%的高可靠性运行方式;在业务上用新型工作流作为驱动新一代业务系统的引擎,真正达到通过以客户为中心来提升利润及通过高效智能的工作流来提高每个行员的劳动生产率,从而降低成本、提高核心竞争力以应对外部的竞争。
3.2.2 网络结构与拓扑图
该系统的网络包含应用服务器组、数据库服务器组、业务管理端、网络连接设备和安全防护设备。业务系统网络通过一台高性能路由器连接分部网络,通过一台千兆以太网交换机连接到其他业务系统。其中业务系统网络内部骨干网络采用千兆位以太网,两台千兆以太网交换机位骨干交换机。网络配备百兆桌面交换机来连接网络管理维护客户机。
具体的网络拓扑图如图3-1所示。
3.2.3 业务系统边界
具体的系统边界图如图3-2所示。
3.2.4 应用系统和业务流程分析
业务系统组织结构划分为总部和分部两个层次,业务系统所涉及的绝大多数业务流程都需要经过多级业务管理部门进行处理,业务流程复杂且流程跨度比较大。
其次,业务系统处理流程十分繁杂。在对客户申请审批处理过程中,必然会出现反复的提交、上报、退回等操作,并且可以将任务退回到指定的岗位上,然后再次上报提交。在同一个审批过程中,根据客户的不同级别,可能需要提交到上级授信管理部门,也可能提交到上级的风险管理部门。
3.3 资产识别
3.3.1 资产清单
资产识别通过分析信息系统的业务流程和功能,从业务数据的完整性、可用性和机密性的保护要求出发,识别出对CIA三性有一定影响的信息流及其承载体或周边设备。
在本次业务系统评估中进行的资产分类,主要分为网络设备、主机系统、服务器系统、数据和文档资产5个方面。
(1)网络设备资产 网络设备重要资产如表3-1所示。
表3-1 网络设备重要资产表
资产编号 | 资产名称 | 型号 | 资产描述 |
ASSET_01 他们的英语 | 3com交换机-01 | 3com 2345 | 二级交换机 |
ASSET_02 | Cisco交换机-01 | Cisco 6509 | 骨干交换机 |
ASSET_03 | Cisco交换机-02 | Cisco 7507 | 骨干交换机 |
ASSET_04 | Cisco交换机-03 | Cisco 7034 | 骨干交换机 |
ASSET_05 | Cisco路由器-01 | Cisco 6500 | 骨干路由器 |
| 作品小样的英文 ASSET_06 | Net Screen防火墙-01 | FW-0080 | 防火墙 |
| | | |
(2)主机系统资产 主机系统重要资产如表3-2所示。
表3-2 主机重要资产表
资产编号 | 资产名称 | 型号 | 资产描述 |
ASSET_07 | PC_01 | Windows XP | 业务处理客户端 |
ASSET_08 | PC_02 | Windows XP | 业务处理客户端 |
| | | |
(3)服务器资产 服务器重要资产如表3-3所示。
表3-3 服务器重要资产表
资产编号 | 资产名称 | about time 型号 | acquirement资产描述 |
ASSET_09 | APP 服务器 | Windows 2000 Server | 业务处理客户端 |
ASSET_10 | DB 服务器 | Windows 2000 Server | 业务处理客户端 |
| | | |
(4)数据和文档资产 数据和文档重要资产如表3-4所示。
表3-4数据和文档资产重要资产表
资产编号 | 资产名称 | 资产描述 |
ASSET_11 | 客户基本信息 | DB服务器中的客户基本信息 |
ASSET_12 | 客户基本信息 | DB服务器中的客户存款信息 |
ASSET_13 | 财务报告 | 财务报告 |
ASSET_14 | 审计日志 | 审计日志 |
ASSET_15shade | 管理制度 | 管理制度 |
| | |
3.3.2 资产赋值
资产赋值对识别的信息资产,按照资产的不同安全属性,即机密性、完整性和可用性的重要性和保护要求,分别对资产的CIA三性予以赋值。
三性赋值分为5个等级,分别对应了改项信息资产的机密性、完整性和可用性的不同程度的影响,下面是赋值依据。
1.机密性(Confidentiality)赋值依据
根据资产机密性属性的不同,将它分为5个不同的等级,分别对应资产在机密性方面的价值或者在机密性方面受到损失时对整个评估的影响。机密性赋值依据如表2-6所示。
2. 完整性(Integrity)赋值依据
根据资产完整性属性的不同,将它分为5个不同的等级,分别对应资产在完整性方面的价值或者在完整性方面受到损失时对整个评估的影响。完整性赋值依据如表2-7所示。
3.可用性(Availability)赋值依据
根据资产可用性属性的不同,将它分为5个不同的等级,分别对应资产在可用性方面的价值或者在可用性方面受到损失时对整个评估的影响。可用性赋值依据如表2-8所示。
根据资产的不同安全属性,即机密性、完整性和可用性的等级划分原则,采用专家指定的
方法对所有资产的CIA三性予以赋值。赋值后的资产清单如表3-5所示。
表3-5 资产CIA三性等级表
资产编号 | 资产名称 | 机密性 | 完整性 | 可用性 |
ASSET_01 | 3com交换机-01 | 3 | 3 | 3 |
ASSET_02 | Cisco交换机-01 | 4 | 4 | 4 |
ASSET_03 | Cisco交换机-02 | 4 | 4 | 4 |
ASSET_04 | Cisco交换机-03 | 4 | 4 | 4 |
ASSET_05 | Cisco路由器-01 | 5 | 4 | 4 |
ASSET_06 | Net Screen防火墙-01 | 4 | 4 | 4 |
ASSET_07 | PC_01 | 3 | 3 | 4 |
ASSET_08 | PC_02 | 3 | 4 | 3 |
ASSET_09 | APP 服务器 | 5 | 4 | 5 |
ASSET_10 | DB 服务器 | 5 | 4 | 5 |
ASSET_11 | 客户基本信息 | 5 | 4 | 4 |
ASSET_12 | 客户基本信息 | 5 | 5 | 5 |
ASSET_13 | 财务报告 | 4 | 3 | 3 |
ASSET_14 | 审计日志 | 3 | 3 | 3 |
ASSET_15 | 管理制度 | 3 | 3 | 3 | 法国概况
| | | | |
3.3.3 资产分级
资产价值应依据资产在机密性、完整性和可用性上的赋值等级,经过综合评定得出。根据本系统的业务特点,采取相乘法决定资产的价值。计算公式如下:
其中:v表示资产价值,x表示机密性,y表示完整性,z表示可用性。
资产的CIA三性如表3-9所示,根据式(3.1)可以计算出资产的价值。例如取资产ASSET_01三性值代入式(3.1),得
得资产ASSET_01的资产价值=3。依次类推得到本系统资产的价值清单如表3-6所示。
表3-6 资产价值表
口才培训资产编号 | 资产名称 | 机密性 | 完整性 | 可用性 | 资产价值 |
ASSET_01 | 3com交换机-01 | 3 | 3 | 3 | 3 |
ASSET_02 | Cisco交换机-01 | 4 | 4 | 4 | 4 |
ASSET_03 | Cisco交换机-02 | 4 | 4 | 4 | 4 |
12000ASSET_04 | Cisco交换机-03 | 4 | 4 | 4 | 4 |
ASSET_05 | Cisco路由器-01 | 5 | 4 | 幼师资格证培训机构 4 | 4.3 |
ASSET_06 | Net Screen防火墙-01 | 4 | 4 | 4 | 4 |
ASSET_07 | PC_01 | 3 | 3 | 4 | 3.3 |
ASSET_08 | PC_02 | 3 | 4 | 3 | 3.3 |
ASSET_09 | APP 服务器 | 5 | 4 | 5 | 4.7 |
ASSET_10 | DB 服务器 | 5 | 4 | 5 | 4.7 |
ASSET_11 | 客户基本信息 | 5 | 4 | 4 | 4.3 |
ASSET_12 | 客户基本信息 | 5 | 5 | 5 | 5 |
ASSET_13 | 财务报告 | 4 | 3 | 3 | 3.3 |
ASSET_14 | 审计日志 | 3 | 3 | 3 | 3 |
ASSET_15 | 管理制度 | 3 | 3 | 3 | 3 |
| | | | | |
为与上述安全属性的赋值相对应,根据最终赋值将资产划分为5级,级别越高表示资产越重要。不同等级的资产重要性程度判断准则如表2-11所示。
根据资产重要性程度判断准则,可以得到资产的等级。本系统的资产等级如表3-7所示。
表3-7 资产价值表
资产编号 | 资产名称 | 资产价值 | 资产等级 | 资产等级值 |
ASSET_01 | 3com交换机-01 | 3 | 中 | 3 |
ASSET_02 | Cisco交换机-01 | 4 | 高 | 4 |
ASSET_03 | Cisco交换机-02 | 4 | 高 | 4 |
ASSET_04 | Cisco交换机-03 | 4 | 高 | 4 |
ASSET_05 | Cisco路由器-01 | 4.3 | 高 | 4 |
ASSET_06 | Net Screen防火墙-01 | 4 | 高 | 4 |
ASSET_07 | PC_01 | 3.3 | 中 | 3 |
ASSET_08 | PC_02 | 3.3 | 中 | 3 |
ASSET_09 | APP 服务器 | 4.7 | 很高 | 5 |
ASSET_10 | DB 服务器 | 4.7 | 很高 | 5 |
ASSET_11 | 客户基本信息 | 4.3 | 很高 | 5 |
ASSET_12 | 客户基本信息 | 5 | 很高 | 5 |
ASSET_13 | 财务报告 | 3.3 | 中 | 3 |
ASSET_14 | 审计日志 | 3 | 中 | 3 |
ASSET_15 | 管理制度 | 3 | 中 | 3 |
| | | | |
3.4 威胁识别
3.4.1 威胁概述
安全威胁是一种对系统及其资产构成潜在破坏的可能性因素或者事件。无论对于多么安全的信息系统,安全威胁是一个客观存在的事物,它是风险评估的重要因素之一。
产生安全威胁的主要因素可以分为人为因素和环境因素。人为因素又可区分为有意和无意两种,环境因素包括自然界的不可抗的因素和其他物理因素。威胁作用形式可以是对信息系统直接或间接的攻击,例如非授权的泄露、篡改、删除等,在机密性、完整性和可用性等方面造成损害,也可能是偶发的或蓄意的事件。一般来说,威胁总是要利用网络、系统、应用或数据的弱点可能成功地对造成造成伤害。安全事件及其后果是分析威胁的重要依据。
根据威胁出现频率的不同,将它分为5个不同的等级。以此属性来衡量威胁,具体的判断准则如表2-13所示。
3.4.2 业务系统威胁识别
对业务系统的威胁分析首先对于重要资产进行威胁识别,分析其威胁来源和种类。在本次评估中,主要采用了问卷法和技术检测来获得威胁的信息。问卷法主要收集一些管理方面的威胁,技术检测主要通过分析magazineIDS的日志信息来获取系统面临的威胁。表3-8为本次评估分析得到的威胁来源、威胁种类以及威胁发生的频率。
