DB21 T 1936-2012 安全等级测评量化评价.doc

1、ICS35.040L 80DB 21辽 宁 省 地 方 标 准DB 21/ T19362012信息系统安全等级测评量化评价方法Quantitative evaluation method for the testing and evaluation for classified protection of information system点击此处添加与国际标准一致性程度的标识（报批稿）（本稿完成日期：2011/10/31）2012 - 01 - 09 发布 2012 - 02 - 09 实施辽 宁 省 质 量 技 术 监 督 局 发 布DB21/ XXXXXXXXXI目 次前言 .II引言

2、 .III1 范围 .12 规范性引用文件 .13 术语和定义 .14 安全等级测评判定流程 .15 安全等级测评结果判定 .26 风险分析 .37 量化评价 .4附录 A（资料性附录） 量化评价计算示例 .6参考文献 .7DB21/ XXXXXXXXXII前 言本标准的编制依据GB/T 1.1-2009 标准化工作导则 第1部分：标准的结构和编写规则的要求进行。本标准由辽宁省经济和信息化委员会提出。本标准由辽宁省质量技术监督局归口。本标准附录A为资料性附录。本标准起草单位：辽宁北方实验室有限公司。本标准主要起草人：于春刚、郭剑锋、吴治、郝玉军、姜志坤、王智纲。本标准为首次发布。DB21/ X

3、XXXXXXXXIII引 言关于信息系统安全等级保护工作的实施意见（公通字200466号）和信息安全等级保护管理办法（公通字200743号）等有关文件的出台，加快推进了我国信息系统安全等级保护工作的实施，等级测评是信息系统安全等级保护工作的重要环节。本标准是GB/T 22239-2008的相关配套标准之一。本标准针对依据GB/T 22239-2008等相关标准规范开展安全等级测评，提出对安全等级测评进行量化评价的一种方法。DB21/ XXXXXXXXX1信息系统安全等级测评量化评价方法1范围本标准规定了安全等级测评判定流程、安全等级测评结果判定、风险分析、量化评价等内容。本标准适用于根据GB/

4、T 22239-2008进行信息系统安全等级测评，对测评结果在风险分析的基础上进行量化评价。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求GB/T 20984-2007 信息安全技术 信息安全风险评估规范3术语和定义GB/T 22239和GB/T 20984确立的以及下列术语和定义适用于本标准。3.1等级测评确定信息系统安全保护能力是否达到相应等级基本要求的过程。3.2测评对象信息系统的组成部分

5、，包括整体对象，如机房、办公环境、网络等，也包括具体对象，如边界设备、网关设备、服务器设备、工作站、应用系统等。4安全等级测评判定流程4.1安全等级测评判定流程如图 1所示： DB21/ XXXXXXXXX2图 1安全等级测评结果判定流程4.2单项测评结果判定主要是针对测评指标中的单个测评项，结合具体测评对象，客观、准确地分析测评证据，形成初步单项测评结果，单项测评结果是形成等级测评结论的基础。4.3单元测评结果判定是将单项测评结果进行汇总，分别统计不同测评对象的单项测评结果，从而判定单元测评结果。4.4整体测评是针对单项测评结果的不符合项，采取逐条判定的方法，从安全控制间、层面间和区域间出发

6、考虑，给出整体测评的具体结果，并对系统结构进行整体安全测评。经过整体测评后，有的单元测评结果可能会有所变化，需进一步修订单元测评结果。4.5风险分析过程是采用风险分析的方法分析等级测评结果中存在的安全问题可能对被测系统安全造成的影响。4.6等级测评结论形成是在测评结果汇总的基础上，找出系统保护现状与等级保护基本要求之间的差距，并形成等级测评结论。5安全等级测评结果判定5.1单项测评结果判定5.1.1如果测评证据表明所有要求内容与预期测评结果一致，则判定该测评项的单项测评结果为符合；5.1.2如果测评证据表明所有要求内容与预期测评结果不一致，判定该测评项的单项测评结果为不符合；5.1.3上述两种

7、情况之外判定该测评项的单项测评结果为部分符合。5.2单元测评结果判定DB21/ XXXXXXXXX35.2.1测评指标包含的所有适用测评项的单项测评结果均为符合，则该测评对象对应该测评指标的单元测评结果为符合；5.2.2测评指标包含的所有适用测评项的单项测评结果均为不符合，则该测评对象对应该测评指标的单元测评结果为不符合；5.2.3测评指标包含的所有测评项均为不适用项，则该测评对象对应该测评指标的单元测评结果为不适用；5.2.4测评指标包含的所有适用测评项的单项测评结果不全为符合或不符合，则该测评对象对应该测评指标的单元测评结果为部分符合。5.3等级测评结论判定5.3.1等级测评结论判定基于单

8、项测评结果判定、单元测评结果判定、整体测评、风险分析，是对信息系统基本安全保护状态的综合判断；5.3.2当测评结果中不存在部分符合项或不符合项时，系统测评结论为符合；5.3.3当测评结果中存在部分符合项或不符合项，但不会导致信息系统面临高等级安全风险时，系统测评结论为基本符合；5.3.4当等级测评结果中存在部分符合项或不符合项，导致信息系统面临高等级安全风险时，系统测评结论为不符合。6风险分析6.1风险分析围绕安全等级测评结果中部分符合项或不符合项所产生的安全问题进行。安全问题对应脆弱性，测评对象对应资产，威胁相同。6.2风险分析的原理同 GB/T 20984-2007中 4.2风险分析原理。

9、6.3风险分析实施流程同 GB/T 20984-2007中 4.3实施流程。6.4风险分析的主要内容6.4.1对安全问题进行识别，并对其严重程度赋值，赋值原则如表 1所示；表 1安全问题严重程度赋值表等级 标识 定义5 很高 如果被威胁利用，将对资产造成完全损害4 高 如果被威胁利用，将对资产造成重大损害3 中等 如果被威胁利用，将对资产造成一般损害2 低 如果被威胁利用，将对资产造成较小损害1 很低 如果被威胁利用，将对资产造成的损害可以忽略DB21/ XXXXXXXXX46.4.2对安全问题所关联测评对象进行识别，并对其等级进行赋值，赋值原则如表 2所示；表 2测评对象等级及含义描述等级

10、标识 定义5 很高 非常重要，其安全属性破坏后可能对组织造成非常严重的损失4 高 重要，其安全属性破坏后可能对组织造成比较严重的损失3 中等 比较重要，其安全属性破坏后可能对组织造成中等程度的损失2 低 不太重要，其安全属性破坏后可能对组织造成较低的损失1 很低 不重要，其安全属性破坏后对组织造成很小的损失，甚至忽略不计6.4.3对安全问题所关联威胁进行识别，并对其进行赋值，赋值原则如表 3所示；表 3威胁赋值表等级 标识 定义5 很高 出现的频率很高( 或)1 次/周);或在大多数情况下几乎不可避免 ;或可以证实经常发生过4 高 出现的频率较高(或)1 次/月);或在大多数情况下很有可能会发

11、生;或可以证实多次发生过3 中等 出现的频率中等(或1 次/半年);或在某种情况下可能会发生;或被证实曾经发生过2 低 出现的频率较小;或一般不太可能发生;或没有被证实发生过1 很低 威胁几乎不可能发生;仅可能在非常罕见和例外的情况下发生6.4.4根据威胁及威胁利用安全问题的难易程度判断安全事件发生的可能性；6.4.5根据安全问题的严重程度及安全事件所作用的测评对象的价值计算安全事件造成的损失；6.4.6根据安全事件发生的可能性以及安全事件出现后的损失，计算安全事件一旦发生对组织的影响，即风险值。6.5风险计算的方法采用 GB/T 20984-2007中附录 A.2使用相乘法计算风险。7量化评

12、价7.1信息系统量化评价函数 F(Z)(%).(1)%10MaxZinZFDB21/ XXXXXXXXX5式中：MaxZ 信息系统量化最大值，即信息系统安全要求对应的量化值；MinZ 信息系统量化最小值，即信息系统安全现状对应的量化值。7.2信息系统量化最大值.(2)nMaxZ式中：n -信息系统的全部测评结果数； + 安全测评结果量化基数；-量化基数的固定系数，取正整数；-量化基数的调节系数，取正整数。7.3信息系统量化最小值.(3)GMBAxMinZni1,式中： 测评对象； 基本要求xi -由单一测评对象及对应单一基本要求所确定的测评结果的量化值； 量化安全因子，含义为安全问题导致安全事

13、件的风险高低情况，M存在的先决条件；M 人工变量，当测评结果存在不符合项且对应安全因子为高风险状态时M表示一个负的大数，以使MinZ 为0，其他情况下M取0。7.4测评结果量化值.(4)测 评 结 果 为 不 符 合， 测 评 结 果 为 部 分 符 合， 测 评 结 果 为 符 合，Gxi式中：G -量化安全因子，0 G +； G取正整数。7.5量化安全因子计算原理.(5)aVIFTLRA， V式中：R -安全风险计算函数；A -测评对象；T -威胁；V -安全问题；Ia -安全事件所作用的测评对象价值；Va -安全问题严重程度；L -威胁利用测评对象的安全问题导致安全事件的可能性；DB21

14、/ XXXXXXXXX6F -安全事件发生后造成的损失。DB21/ XXXXXXXXX7A A附录A（资料性附录）量化评价计算示例本附录基于 6风险分析和 7量化评价中规定的方法，结合某信息系统安全等级测评中网络安全部分测评实际结果进行实例化验证。A.1前提条件A.1.1测评对象本例中测评对象为部分选取，确定的测评对象，如表A.1所示。表 A.1确定的测评对象序号 设备名称1 核心交换机 Cisco65092 防火墙 NetGurad FireWall4000 UF3 主机监控系统4 IPS PACKETEERA.1.2测评指标确定的测评指标，如表A.2所示。表 A.2确定的测评指标安全分类

15、安全子类 测评项数网络安全 结构安全 7网络安全 访问控制 8网络安全 安全审计 4网络安全 边界完整性检查 2网络安全 入侵防范 2网络安全 恶意代码防范 2网络安全 网络设备防护 8A.1.3测评结果本例中测评指标为部分选取，测评结果为经过整体测评，关联性增强或削弱分析后所得结果，测评结果，如表A.3所示。DB21/ XXXXXXXXX8表 A.3测评结果序号 测评指标 关联对象 测评结果1 应保证主要网络设备的业务处理能力具备冗余空间，满足业务高峰期需要 Cisco6509 符合2 应在网络边界部署访问控制设备，启用访问控制功能NetGurad FireWall4000 UF 符合3 应

16、对网络系统中的网络设备运行状况、网络流量、用户行为等进行日志记录 主机监控系统 符合4 应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断 主机监控系统部分符合5 应在网络边界处监视以下攻击行为：端口扫描、强力攻击、木马后门攻击、拒绝服务攻击、缓冲区溢出攻击、IP 碎片攻击和网络蠕虫攻击等IPS 不符合6 应在网络边界处对恶意代码进行检测和清除 防毒墙 不符合7 应对登录网络设备的用户进行身份鉴别 Cisco6509 符合8 应对登录网络设备的用户进行身份鉴别 NetGurad FireWall4000 UF 符合9 应对网络设备的管理员登录地址进行限制 Ci

17、sco6509 不符合10 应对网络设备的管理员登录地址进行限制 NetGurad FireWall4000 UF 不符合A.1.4安全问题安全问题，如表A.4所示。表 A.4安全问题序号 问题描述1 主机监控系统对 NAT 转换的用户，存在监控不到的问题2 网络系统内部旁路部署了 IPS 设备，但处于关机停用状态。3 未在网络边界处部署对恶意代码进行检测和清除的措施或者设备4 未对 Cisco6509 的管理员登录地址进行限制5 未对 NetGurad FireWall4000 UF 的管理员登录地址进行限制A.2风险分析A.2.1安全问题严重程度赋值安全问题赋值结果，如表A.5所示，赋值结

18、果仅为示例计算过程所需。DB21/ XXXXXXXXX9表 A.5安全问题赋值结果编号 问题描述 赋值结果V1 主机监控系统对 NAT 转换的用户，存在监控不到的问题 3V2 网络系统内部旁路部署了 IPS 设备，但处于关机停用状态。 4V3 未在网络边界处部署对恶意代码进行检测和清除的措施或者设备 4V4 未对 Cisco6509 的管理员登录地址进行限制 3V5 未对 NetGurad FireWall4000 UF 的管理员登录地址进行限制 3A.2.2测评对象等级赋值测评对象等级赋值结果，如表A.6所示，赋值结果仅为示例计算过程所需。表 A.6测评对象等级赋值结果编号 设备名称 赋值结

19、果A1 核心交换机 Cisco6509 4A2 防火墙 NetGurad FireWall4000 UF 4A3 XX 主机监控系统 3A4 IPS PACKETEER 3A.2.3威胁赋值威胁赋值结果，如表A.7所示，赋值结果仅为示例计算过程所需。表 A.7威胁赋值结果编号 威胁类别 赋值结果T1 软硬件故障 3T2 物理环境影响 2T3 无作为或操作失误 2T4 网络攻击 4T5 物理攻击 1DB21/ XXXXXXXXX10T6 恶意代码 4T7 越权和滥用 4A.2.4风险分析结果风险计算结果，如表A.8 所示。表 A.8风险计算结果编号 问题描述关联资产关联威胁风险等级安全因子V1

20、主机监控系统对 NAT 转换的用户，存在监控不到的问题。 A1-A4 T7 3 3V2 网络系统内部旁路部署了 IPS 设备，但处于关机停用状态。 A1-A4 T4 4 4V3 未在网络边界处部署对恶意代码进行检测和清除的措施或者设备。 A1-A4 T6 4 4V4 未对 Cisco6509 的管理员登录地址进行限制。 A1 T4 3 3V5 未对 NetGurad FireWall4000 UF 的管理员登录地址进行限制。 A2 T4 3 3至此，风险计算结果表明，安全问题V2、V3对应风险等级均为4，即高风险等级，针对V2、V3应采取相应弥补措施，进行消除或降低风险等级。A.3量化评价A.

21、3.1量化安全因子计算本例中安全因子取值同风险等级，结果见表A.8 所示。 假设本例中已针对V2、V3应采取相应弥补措施，风险等级分别降至1、2，继续完成示例计算。A.3.2测评结果量化值计算本例中记为3， 记为2，根据 7.4中公式（4）进行计算，结果如下：x1=5； x2=5； x3=5； x4=3.8； x5=4.6； x6=4.2； x7=5； x8=5； x9=2； x10=2。A.3.3信息系统量化最小值计算根据7.3中公式（3）进行计算，本例中M取值为0,结果如下：MinZ=41.6。A.3.4信息系统量化最大值计算根据7.2中公式（2）进行计算，结果如下：MaxZ=50。A.3.5信息系统量化评价结果根据7.1中公式（1）进行计算，结果如下：DB21/ XXXXXXXXX11F(Z)=83.2%DB21/ XXXXXXXXX12参 考 文 献1 GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求2 GB/T 20984-2007 信息安全技术 信息安全风险评估规范3 GB/T XXXXX-XXXX信息安全技术 信息系统安全等级保护实施指南4 GB/T XXXXX-XXXX信息安全技术 信息系统安全等级保护测评过程指南5 信息系统安全等级测评报告 模版（试行）_