YDT 1730-2008 《电信网和互联网安全风险评估实施指南》

b中华人民共和国通信行业 标准 excel标准偏差excel标准偏差函数exl标准差函数国标检验抽样标准表免费下载红头文件格式标准下载 YD/T××××—××××电信网和互联网安全风险评估实施指南ImplementationGuideforSecurityRiskAssessmentofTelecomNetworkandInternet（报批稿）××××-××-××发布××××-××-××实中华人民共和国信息产业部发布YDYD/Txxxx-xxxxI目次前言............................................................................III1范围................................................................................12规范性引用文件......................................................................13术语和定义..........................................................................14风险评估框架及流程..................................................................44.1风险要素关系......................................................................44.2实施流程..........................................................................64.3工作形式..........................................................................64.4遵循的原则........................................................................75风险评估实施........................................................................75.1风险评估的准备....................................................................75.2资产识别..........................................................................95.3威胁识别.........................................................................125.4脆弱性识别.......................................................................145.5威胁利用脆弱性的关联关系.........................................................165.6已有安全措施的确认...............................................................175.7风险分析.........................................................................175.8风险评估文件.....................................................................206风险评估在电信网和互联网及相关系统生命周期中的不同要求.............................216.1电信网和互联网及相关系统生命周期概述.............................................216.2启动阶段的风险评估...............................................................226.3设计阶段的风险评估...............................................................226.4实施阶段的风险评估...............................................................236.5运维阶段的风险评估...............................................................236.6废弃阶段的风险评估...............................................................24附录A（规范性附录）资产价值的计算方法...........................................25A.1对数法...........................................................................25A.2矩阵法...........................................................................25YD/Txxxx-xxxxII附录B（规范性附录）风险值的计算方法.............................................27B.1相乘法..........................................................................27B.2矩阵法..........................................................................27参考文献.............................................................................29YD/Txxxx-xxxxIII前言本标准是“电信网和互联网安全防护体系”系列标准之一。该系列标准预计结构及名称如下：1、《电信网和互联网安全防护管理指南》2、《电信网和互联网安全等级保护实施指南》3、《电信网和互联网安全风险评估实施指南》（本标准）4、《电信网和互联网灾难备份及恢复实施指南》5、《固定通信网安全防护要求》6、《移动通信网安全防护要求》7、《互联网安全防护要求》8、《增值业务网—消息网安全防护要求》9、《增值业务网—智能网安全防护要求》10、《接入网安全防护要求》11、《传送网安全防护要求》12、《IP承载网安全防护要求》13、《信令网安全防护要求》14、《同步网安全防护要求》15、《支撑网安全防护要求》16、《非核心生产单元安全防护要求》17、《电信网和互联网物理环境安全等级保护要求》18、《电信网和互联网管理安全等级保护要求》19、《固定通信网安全防护检测要求》20、《移动通信网安全防护检测要求》21、《互联网安全防护检测要求》22、《增值业务网—消息网安全防护检测要求》23、《增值业务网—智能网安全防护检测要求》24、《接入网安全防护检测要求》25、《传送网安全防护检测要求》26、《IP承载网安全防护检测要求》27、《信令网安全防护检测要求》YD/Txxxx-xxxxIV28、《同步网安全防护检测要求》29、《支撑网安全防护检测要求》30、《非核心生产单元安全防护检测要求》31、《电信网和互联网物理环境安全等级保护检测要求》32、《电信网和互联网管理安全等级保护检测要求》本标准的附录A和附录B是规范性附录。随着电信网和互联网的发展，将不断补充和完善电信网和互联网安全防护体系的相关标准。本标准由中国通信标准化协会提出并归口。本标准起草单位：信息产业部电信研究院、中国电信集团公司、中国移动通信集团公司、中国网络通信集团公司、中国联合通信有限公司、中国铁通集团有限公司。本标准主要起草人：魏薇、赵阳、周智、殷琪、杜之亭、张云勇、冯铭。YD/Txxxx-xxxx1电信网和互联网安全风险评估实施指南1范围本标准规定了对电信网和互联网安全进行风险评估的要素及要素之间的关系、实施流程、工作形式、遵循的原则，在电信网和互联网生命周期不同阶段的不同要求和实施要点。本标准适用于电信网和互联网的风险评估工作。本标准可作为电信网和互联网安全风险评估的总体指导性文件，针对具体网络的安全风险评估可参见具体网络的安全防护要求和安全防护检测要求。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T5271.8-2001信息技术词汇第8部分：安全GB/T9361-2000计算机场地安全要求GB/T19716-2005信息技术信息安全管理实用规则YD/T754-95通信机房静电防护通则YD/T5026-2005电信机房铁架安装设计标准YD5002-94邮电建筑防火设计标准YD5098-2005通信局（站）防雷与接地工程设计规范YDN126-2005增值电信业务网络信息安全保障基本要求YDN127-2005电信设备的安全准则ISO/IEC13335.1-2004信息技术-安全技术-IT安全管理指南第1部分:IT安全管理概念和模型ISO/IEC17799-2005信息技术-安全技术-信息安全管理实施准则3术语和定义GB/T5271.8-2001确立的术语和定义，以及下列术语和定义适用于本标准。3.1YD/Txxxx-xxxx2电信网telecomnetwork利用有线和/或无线的电磁、光电系统，进行文字、声音、数据、图象或其它任何媒体的信息传递的网络，包括固定通信网、移动通信网等。3.2电信网和互联网安全防护体系securityprotectionarchitectureoftelecomnetworkandInternet电信网和互联网的安全等级保护、安全风险评估、灾难备份及恢复三项工作互为依托、互为补充、相互配合，共同构成了电信网和互联网安全防护体系。3.3电信网和互联网相关系统systemsoftelecomnetworkandInternet组成电信网和互联网的相关系统，包括接入网、传送网、IP承载网、信令网、同步网、支撑网等。其中，接入网包括各种有线、无线和卫星接入网等，传送网包括光缆、波分、SDH、卫星等，而支撑网包括业务支撑和网管系统。3.4资产asset电信网和互联网及相关系统中具有价值的资源，是安全防护体系保护的对象。电信网和互联网及相关系统中的资产可能以多种形式存在，无形的、有形的、硬件、软件，包括物理布局、通信设备、物理线路、数据、软件、文档、规程、业务、人员、管理等各种类型的资源，如IP承载网中的路由器、支撑网中的用户数据、传送网的网络布局。3.5资产价值assetvalue电信网和互联网及相关系统中资产的重要程度或敏感程度。资产价值是资产的属性，也是进行资产识别的主要内容。3.6威胁threat可能导致对电信网和互联网及相关系统产生危害的不希望事件潜在起因，它可能是人为的，也可能是非人为的；可能是无意失误，也可能是恶意攻击。常见的网络威胁有偷窃、冒名顶替、病毒、特洛伊木马、错误路由、火灾、水灾等。3.7YD/Txxxx-xxxx3脆弱性vulnerability脆弱性是电信网和互联网及相关系统资产中存在的弱点、缺陷与不足，不直接对资产造成危害，但可能被威胁所利用从而危及资产的安全。3.8组织organization组织是由电信网和互联网及相关系统中不同作用的个体为实施共同的业务目标而建立的结构，组织的特性在于为完成目标而分工、合作；一个单位是一个组织，某个业务部门也可以是一个组织。3.9电信网和互联网安全风险securityriskoftelecomnetworkandInternet人为或自然的威胁可能利用电信网和互联网及相关系统存在的脆弱性导致安全事件的发生及其对组织造成的影响。3.10电信网和互联网安全风险评估securityriskassessmentoftelecomnetworkandInternet指运用科学的方法和手段，系统地分析电信网和互联网及相关系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和安全措施，防范和化解电信网和互联网及相关系统安全风险，将风险控制在可接受的水平，为最大限度地保障电信网和互联网及相关系统的安全提供科学依据。3.11残余风险residualrisk采取了安全措施后，电信网和互联网及相关系统中仍然可能存在的风险。3.12可用性availability电信网和互联网及相关系统可正常提供服务。3.13业务战略businessstrategy电信网和互联网及相关系统的组织为实现其发展目标而制定的一组规则或要求。3.14安全事件securityevent威胁利用脆弱性产生的对电信网和互联网及相关系统的危害情况。YD/Txxxx-xxxx43.15安全需求securityrequirement为保证电信网和互联网及相关系统的组织业务战略的正常运作而在安全措施方面提出的要求。3.16安全措施securitymeasure电信网和互联网及相关系统中保护资产、抵御威胁、减少脆弱性、降低风险、控制安全事件的影响，以及打击犯罪而实施的各种实践、规程和机制的总称。安全措施主要体现在检测、阻止、防护、限制、修正、恢复和监视等多方面。完整的安全保护体系应协调建立于物理环境、技术环境、人员和管理等四个领域。3.17自评估selfassessment由网络和业务运营商发起的，依据通信行业标准对电信网和互联网及相关系统进行的风险评估活动。3.18检查评估inspectionassessment由主管部门发起的，依据通信行业标准对电信网和互联网及相关系统进行的具有强制性的检查活动。4风险评估框架及流程4.1风险要素关系风险评估中各要素的关系如图1所示：YD/Txxxx-xxxx5图1电信网和互联网及相关系统风险要素关系图图1中方框部分的内容为风险评估的基本要素，椭圆部分的内容是与这些要素相关的属性。风险评估围绕其基本要素展开，在对这些要素的评估过程中需要充分考虑基本要素相关的各类属性。风险要素及属性之间存在着以下关系：a)业务战略依赖资产去实现；b)资产是有价值的，组织的业务战略对资产的依赖度越高，资产价值就越大；c)资产价值越大则其面临的风险越大；d)风险是由威胁引发的，资产面临的威胁越多则风险越大，并可能演变成安全事件；e)脆弱性越多，威胁利用脆弱性导致安全事件的可能性越大；f)脆弱性是未被满足的安全需求，威胁要通过利用脆弱性来危害资产，从而形成风险；g)风险的存在及对风险的认识导出安全需求；h)安全需求可通过安全措施得以满足，需要结合资产价值考虑实施成本；i)安全措施可抵御威胁，降低安全事件的发生的可能性，并减少影响；j)风险不可能也没有必要降为零，在实施了安全措施后还会有残留下来的风险。有些残余风险来自于安全措施的不当或无效，需要进一步控制，而有些残余风险则是在综合考虑了安全成本与效益后未控制的风险，是可以被接受的；k)残余风险应受到密切监视，它可能会在将来诱发新的安全事件。YD/Txxxx-xxxx64.2实施流程图2给出风险评估的实施流程，第5章将围绕风险评估流程阐述风险评估的具体实施步骤。风险分析风险评估准备资产识别威胁识别脆弱性识别已有安全措施的确认风险计算风险结果是否接受制定和实施风险处理 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 并评估残余风险是否接受残余风险保持已有的安全措施风险评估文件记录评估过程文档评估过程文档评估过程文档评估结果文档实施风险控制是否是……否图2风险评估实施流程图4.3工作形式根据评估发起者的不同，可以将风险评估的工作形式分为自评估和检查评估。风险评估应以自评估为主，自评估和检查评估相互结合、互为补充。4.3.1自评估自评估是由网络和业务运营商发起，依据通信行业标准，对其所运营的电信网和互联网及相关系统进行的风险评估。通过自评估，网络和业务运营商可以更好地了解自己运营的电信网和互联网及相关系统的安全状况以及存在的风险，从而进一步选择合适的安全措施，降低被评估的电信网和互联网及相关系统的安全风险。YD/Txxxx-xxxx74.3.2检查评估检查评估是由上级主管部门发起、通过行政手段加强电信网和互联网及相关系统安全的重要措施。检查评估旨在检查网络和业务运营商的风险评估工作的开展情况，电信网和互联网及相关系统的关键点的安全风险是否在可接受的范围内，实施自评估后采取的风险控制措施取得的效果等。4.4遵循的原则为顺利完成风险评估，应遵循如下原则：4.4.1标准性原则风险评估工作的指导性原则，指遵循通信行业相关标准开展电信网和互联网及相关系统的安全风险评估工作。4.4.2可控性原则在评估过程中，应保证参与评估的人员、使用的技术和工具、评估过程都是可控的。4.4.3完备性原则严格按照被评估方提供的评估范围进行全面的评估。4.4.4最小影响原则从项目管理层面和工具技术层面，将评估工作对电信网和互联网及相关系统正常运行的可能影响降低到最低限度，不会对被评估网络上的业务运行产生显著影响。4.4.5保密原则评估方应与被评估的网络和业务运营商签署相关的保密协议和非侵害性协议，以保障被评估方的利益。5风险评估实施5.1风险评估的准备风险评估的准备是整个风险评估过程有效性的保证。实施风险评估是一种战略性的考虑，其结果将受到组织的业务战略、业务流程、安全需求、系统规模和结构等方面的影响。因此，在风险评估实施前，应：a)获得支持和配合；b)确定风险评估的目标；c)确定风险评估的内容；d)组建风险评估团队；e)对被评估对象进行调研；YD/Txxxx-xxxx8f)确定评估依据和方法。5.1.1获得支持和配合自评估应该获得本单位负责相关工作的管理者的认可，明确风险评估工作中相关的管理和技术人员的任务。对于检查评估，被评估的网络和业务运营商有支持和配合的责任和义务，以确保检查评估的顺利进行。5.1.2确定目标风险评估的准备阶段应明确风险评估的目标，为风险评估的过程提供导向。电信网和互联网及相关系统风险评估的目标是通过识别电信网和互联网及相关系统的技术和管理上的脆弱性、面临的威胁以及可能造成的风险大小，认清客观风险并有重点、有针对地提出和落实相适应的安全保护措施，从而减少安全事件的发生，满足组织业务持续发展在安全方面的需要，维持并提高组织的竞争优势、获利能力和企业形象，满足国家、行业对电信网和互联网及相关系统的要求。5.1.3确定内容基于风险评估目标确定风险评估内容是完成风险评估的前提。电信网和互联网及相关系统安全风险评估内容可以是整个电信网和互联网及相关系统中全部资产、管理机构，也可以是电信网和互联网及相关系统中的某个部分的独立资产、相关的部门等。风险评估的内容包括管理安全的风险和技术安全的风险，管理安全的风险评估内容包括安全管理机构、安全 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 、人员安全管理、系统建设管理、系统运维管理等，技术安全的风险评估内容包括业务/应用安全、网络安全、设备安全、物理环境安全等内容。5.1.4组建团队应组建适当的风险评估管理与实施团队，以支持整个风险评估过程的推进。自评估可由网络和业务运营商内部开发、维护和管理的相关业务骨干、技术人员和管理人员组成风险评估团队。检查评估可由主管机构、评估机构组成风险评估团队。评估团队应能够保证风险评估工作的有效开展。5.1.5评估对象调研风险评估团队应对电信网和互联网及相关系统中的评估对象进行充分的调研，调研内容应包括网络结构与网络环境，主要的硬件、软件及其包含的数据和信息，管理、维护和使用的人员等。重点调研评估对象的资产价值、存在的脆弱性以及面临的威胁，从而为风险评估依据和方法的选择、评估的实施奠定基础。评估对象调研可以采取问卷调查、现场面谈相结合的方式进行。调查问卷是提供一套关于管理或操作控制的问 题 快递公司问题件快递公司问题件货款处理关于圆的周长面积重点题型关于解方程组的题及答案关于南海问题 表格，供技术或管理人员填写；现场面谈则是由评估人员到现场观察并收集被评估方YD/Txxxx-xxxx9在物理环境和操作等方面的信息。5.1.6确定依据和方法应根据被评估对象的调研结果，确定风险评估的评估依据和评估方法。评估依据包括通信行业安全防护的标准、其它相关的通信行业标准和技术规范等。应综合考虑对电信网和互联网及相关系统进行风险评估的目的、范围、时间、效果、人员素质等因素来选择具体的评估方法，包括访谈、检查和测试等，使之能够与组织环境和安全要求相适应。5.2资产识别5.2.1资产分类电信网和互联网及相关系统资产是具有价值的资源，是安全策略保护的对象。它能够以多种形式存在，有无形的、有形的，有硬件、软件，有文档、代码，也有服务、形象等。电信网和互联网及相关系统的风险评估中，首先需要将电信网和互联网及相关系统资产进行恰当的分类，以此为基础进行下一步的风险评估。在实际工作中，具体的资产分类方法可以根据具体的评估对象和要求，由评估者来灵活把握。根据资产的表现形式，可将资产分为数据、软件、硬件、文档、服务、人员等类型。表1列出了一种资产分类方法。表1一种基于表现形式的资产分类方法分类示例数据保存在设备上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等软件系统软件：操作系统、协议包、工具软件、各种数据库软件等应用软件：外部购买的应用软件，外包开发的应用软件，各种共享、自行或合作开发的各种软件等硬件网络设备：路由器、网关、交换机等计算机设备：大型机、小型机、服务器、工作站、台式计算机、移动计算机等存储设备：磁带机、磁盘阵列等传输线路：光纤、双绞线等保障设备：动力保障设备（UPS、变电设备等）、消防设施等服务网络服务：各种网络设备、设施提供的网络连接服务等业务提供服务：依赖电信网和互联网及相关系统开展的各类业务等文档纸质的各种文件，如设计文档、管理规定和技术要求等YD/Txxxx-xxxx10人员掌握重要技术的人员，如网络维护人员、网络或业务的研发人员等其它企业形象，客户关系等针对电信网和互联网及相关系统中具体网络的资产可参见具体网络的安全防护要求。5.2.2资产赋值资产的赋值过程体现出资产的安全状况对于组织的重要性。资产赋值可综合考虑资产的社会影响力、业务价值和可用性三个安全属性，并在此基础上得出一个综合的结果。为确保资产赋值时的一致性和准确性，组织应建立一个资产价值评价尺度，以指导资产赋值。5.2.2.1社会影响力根据资产在社会影响力上的不同，将其分为五个不同的等级，表示资产在被破坏后对社会的影响。表2提供了一种资产社会影响力赋值的参考。表2资产社会影响力赋值表赋值标识定义5很高资产的社会影响力价值非常高，资产被破坏会对社会造成灾难性的损害和致命性的潜在影响4高资产的社会影响力价值较高，资产被破坏会对社会造成严重损害3中等资产的社会影响力价值中等，资产被破坏会对社会造成一定损害2低资产的社会影响力价值较低，资产被破坏会对社会造成轻微损害，但影响较小1很低资产的社会影响力价值非常低，资产被破坏对社会造成的危害可以忽略5.2.2.2业务价值根据资产所提供业务的价值的不同，将其分为五个不同的等级，分别对应资产在业务价值缺失时对整个组织的影响。表3提供了一种业务价值赋值的参考。表3资产业务价值赋值表赋值标识定义5很高资产所提供业务的价值非常关键，资产被破坏导致业务无法正常运行会对组织造成严重的或无法接受的影响4高资产所提供业务的价值较高，资产被破坏导致业务无法正常运行会对组织造成重大影响3中等资产所提供业务的价值中等，资产被破坏导致业务无法正常运行会对组织造成明显的影响YD/Txxxx-xxxx112低资产所提供业务的价值较低，资产被破坏导致业务无法正常运行会对组织造成轻微影响1很低资产所提供业务的价值非常低，资产被破坏导致业务无法正常运行对组织造成的影响可以忽略5.2.2.3可用性根据资产在可用性上的不同要求，将其分为五个不同的等级，分别对应资产在可用性上的满足的不同程度。表4提供了一种可用性赋值的参考。表4资产可用性赋值表赋值标识定义5很高可用性价值非常关键，可用性应在正常工作时间达到年度99.999%以上4高可用性价值较高，可用性应在正常工作时间达到年度99.99%以上3中等可用性价值中等，可用性应在正常工作时间达到年度99.9%以上2低可用性价值较低，可用性应在正常工作时间达到年度99%以上1很低可用性价值非常低，可用性在正常工作时间低于年度99%5.2.2.4资产价值资产价值应依据资产在社会影响力、业务价值和可用性上的赋值等级，经过综合评定得出。综合评定方法可以根据组织自身的特点，选择对资产社会影响力、业务价值和可用性最为重要的一个属性的赋值等级作为资产价值的最终赋值结果，也可以根据资产社会影响力、业务价值和可用性的不同重要程度对其赋值进行加权计算而得到资产价值的最终赋值。附录A中列举的几种资产价值计算方法可做参考。评估者可根据实际情况灵活选择合适的计算方法，也可以采用其它计算方法。根据最终得到的资产价值将资产划分为五级，级别越高表示资产越重要。表5中提供了一种资产价值等级划分参考。评估者可根据资产赋值结果，确定重要资产的范围，并主要围绕重要资产进行下一步的风险评估。表5资产价值等级及含义描述等级标识定义5很高非常重要，其安全属性被破坏后可能对组织造成非常严重的损失4高重要，其安全属性被破坏后可能对组织造成比较严重的损失3中等比较重要，其安全属性被破坏后可能对组织造成中等程度的损失YD/Txxxx-xxxx122低不太重要，其安全属性被破坏后可能对组织造成较低的损失1很低不重要，其安全属性被破坏后对组织造成非常低的损失，甚至忽略不计5.3威胁识别5.3.1威胁分类威胁是一种对资产构成潜在破坏的可能性因素，是客观存在的。威胁可以通过威胁主体、动机、途径等多种属性来描述。造成威胁的因素包括技术因素、环境因素和人为因素等。环境因素包括自然界不可抗的因素和其它物理因素。根据威胁的动机，人为因素又可分为恶意和非恶意两种。威胁作用形式可以是对电信网和互联网及相关系统直接或间接的攻击，在社会影响力、业务价值和可用性等方面造成损害，也可能是偶发的或蓄意的事件。在对威胁进行分类前，首先要考虑威胁的来源。表6提供了一种根据威胁来源的威胁分类方法。表6威胁来源列表来源描述技术因素由于设备自身的软硬件故障、系统本身设计缺陷或软件缺陷等环境因素断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境条件和自然灾害，意外事故或由于软件、硬件、数据、通讯线路方面的故障恶意人员不满的或有预谋的内部人员对电信网和互联网及相关系统进行恶意破坏；采用自主或内外勾结的方式盗窃机密信息或进行篡改，获取利益；外部人员利用电信网和互联网及相关系统的脆弱性，对网络或系统进行破坏，以获取利益或炫耀能力人为因素非恶意人员内部人员由于缺乏责任心，或者由于不关心和不专注，或者没有遵循规章制度和操作流程而导致故障或信息损坏；内部人员由于缺乏培训，专业技能不足，不具备岗位技能要求而导致电信网和互联网及相关系统故障或被攻击对威胁进行分类的方式有多种多样，表7提供了一种基于表现形式的威胁分类方法。表7一种基于表现形式的威胁分类表种类描述软硬件故障由于设备硬件故障、通讯链路中断、系统本身设计或软件缺陷导致对业务高效稳定运行的影响YD/Txxxx-xxxx13物理环境威胁断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境问题和自然灾害无作为或操作失误由于应该执行而没有执行相应的操作、或无意地执行了错误的操作，对电信网和互联网及相关系统造成影响管理不到位安全管理无法落实、不到位，造成安全管理不规范或者管理混乱，从而破坏电信网和互联网及相关系统正常有序运行恶意代码和病毒具有自我复制、自我传播能力，对电信网和互联网及相关系统构成破坏的程序代码越权或滥用通过采用一些措施，超越自己的权限访问了本来无权访问的资源；或者滥用自己的职权，做出破坏电信网和互联网及相关系统的行为黑客攻击技术利用黑客工具和技术，例如侦察、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击等手段对电信网和互联网及相关系统进行攻击和入侵物理攻击物理接触、物理破坏、盗窃泄密机密信息泄漏给他人篡改非法修改信息抵赖不承认收到的信息和所作的操作或交易5.3.2威胁赋值判断威胁出现的频率是威胁识别的重要工作。威胁频率等级划分为五级，分别代表威胁出现的频率的高低，等级数值越大，威胁出现的频率越高，对资产的影响越大。表8提供了威胁出现频率的一种赋值方法。表8威胁出现频率赋值表等级标识定义5很高威胁出现的频率很高，在大多数情况下几乎不可避免或者可以证实经常发生过4高威胁出现的频率较高，在大多数情况下很有可能会发生或者可以证实多次发生过3中等威胁出现的频率中等，在某种情况下可能会发生或被证实曾经发生过2低威胁出现的频率较低，一般不太可能发生，也没有被证实发生过1很低威胁几乎不可能发生，仅可能在非常罕见和例外的情况下发生YD/Txxxx-xxxx14威胁出现的频率非常难以度量，评估者应根据 经验 班主任工作经验交流宣传工作经验交流材料优秀班主任经验交流小学课改经验典型材料房地产总经理管理经验 和（或）有关的统计数据来进行判断。在风险评估过程中，需要综合考虑以下三个方面，以形成在某种评估环境中各种威胁出现的频率：a）以往安全事件报告中出现过的威胁及其发生频率的统计；b）实际环境中通过检测工具以及各种日志发现的威胁及其发生频率的统计；c）近一两年来国际组织发布的对于通信行业的威胁及其发生频率统计，以及发布的威胁预警。针对电信网和互联网及相关系统中具体网络的威胁可参见具体网络的安全防护要求。5.4脆弱性识别5.4.1脆弱性识别内容脆弱性是对一个或多个资产弱点的总称。脆弱性识别也称为弱点识别，脆弱性是资产本身存在的，威胁总是要利用资产的脆弱性才可能造成危害。如果没有相应的威胁发生，单纯的脆弱性本身不会对资产造成损害；而且如果系统足够强健，再严重的威胁也不会导致安全事件并造成损失。资产的脆弱性具有隐蔽性，有些脆弱性只有在一定条件和环境下才能显现，这是脆弱性识别中最为困难的部分。不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个脆弱性。脆弱性识别所采用的方法主要有：问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。需要注意的是，在识别已经运行的电信网和互联网及相关系统资产脆弱性时，应尽量避免影响电信网和互联网及相关系统的正常运行，尽可能在等同条件的实验环境中完成。脆弱性识别以资产为核心，针对每个资产分别识别其可能被威胁利用的脆弱性，并对脆弱性的严重程度进行评估；也可以从物理环境、设备和系统、网络、业务/应用等层次进行识别，然后与资产、威胁结合起来。脆弱性识别时的数据应来自于资产的所有者、使用者，以及电信网和互联网及相关系统业务领域的专家和软硬件方面的专业等人员等。脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理环境层、设备和系统层、网络层、业务/应用层等各个层面的安全问题；管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面，前者与具体技术活动相关，后者与管理环境相关。对不同的识别对象，其脆弱性识别的具体要求应参照相应的技术或管理标准实施。例如，对物理环境的脆弱性识别可以参照GB/T9361-2000、YD/T5026-2005、YD5098-2005、YD5002-94、YD/T754-95等标准中的技术指标实施；对设备、网络等的脆弱性识别可以参照YDN126-2005、YDN127-2005等标准中的技术指标实施。管理脆弱性识别方面可以参照GB/T19716-2005、ISO/IEC17799-2005和ISO/IEC13335.1-2004等标准中的要求对安全管理制度及其执行情况进行检查，以发现管理漏洞和不足。YD/Txxxx-xxxx15表9提供了一种脆弱性识别内容的参考。表9脆弱性识别内容表类型识别对象识别内容物理环境从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别设备（含操作系统）从物理保护、用户帐号、口令策略、资源共享、访问控制、新系统配置（初始化）等方面进行识别网络从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络安全配置等方面进行识别数据库从补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、备份及恢复机制等方面进行识别技术脆弱性业务/应用从访问控制策略、业务连续性、通信、鉴别机制、密码保护等方面进行识别技术管理从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别管理脆弱性组织管理从安全策略、组织安全、资产分类与控制、人员安全等方面进行识别5.4.2脆弱性赋值可以根据对资产损害程度、技术实现的难易程度、脆弱性流行程度，采用等级方式对已识别的脆弱性的严重程度进行赋值。由于很多脆弱性反映的是同一方面的问题，或可能造成相似的后果，赋值时应综合考虑这些脆弱性，最终确定某一方面的脆弱性的严重程度。对某个资产，其技术脆弱性的严重程度还受到该资产所属电信网和互联网及相关系统的管理脆弱性的影响。因此，资产的脆弱性赋值还应参考技术管理和组织管理脆弱性的严重程度。脆弱性严重程度可以进行等级化处理，不同的等级分别代表资产脆弱性严重程度的高低。等级数值越大，脆弱性严重程度越高。表10提供了脆弱性严重程度的一种赋值方法。表10脆弱性严重程度赋值表等级标识定义5很高如果被威胁利用，将对资产造成完全损害4高如果被威胁利用，将对资产造成重大损害YD/Txxxx-xxxx163中等如果被威胁利用，将对资产造成一般损害2低如果被威胁利用，将对资产造成较小损害1很低如果被威胁利用，对资产造成的损害可以忽略针对电信网和互联网及相关系统中具体网络的脆弱性可参见具体网络的安全防护要求。5.5威胁利用脆弱性的关联关系表11从环境因素类的威胁、人为因素类的威胁出发，列举出部分威胁与可利用的脆弱性的关联关系，这种关联关系因具体的网络状态和环境而不同，可根据具体的专业、地域、网络状态及环境的不同进一步制定具体的威胁利用脆弱性的关联关系。表11威胁利用脆弱性的关联关系举例威胁威胁子类威胁可利用的脆弱性防静电、防电磁干扰、场地环境措施静电、电磁干扰、灰尘、潮湿、湿度等不达标机房故障应急机制有效性市电引入、油机、蓄电池物理环境电源/断电威胁电源类应急机制的有效性防鼠蚁虫害措施鼠蚁虫害应急机制有效性抗洪防汛措施洪灾、水灾、泥石流、山体滑坡等洪水灾害应急机制有效性防台风、雷电措施环境威胁自然灾害台风、雷电台风、雷电灾害应急机制有效性核心盘有无保护备品备件配置是否充足设备老化问题网管服务器及数据的备份厂家支持力度人员素质及管理无作为、误操作威胁故障应急机制有效性光缆铺设合理性人为威胁非恶意外力施工承载系统保护机制YD/Txxxx-xxxx17光纤老化问题法律法规宣传巡纤周期密度是否足够故障应急机制有效性防恶意代码及病毒措施恶意代码和病毒网络及系统漏洞防网络攻击措施网络攻击针对网络攻击的网络脆弱性防泄密、篡改、抵赖措施恶意泄密、篡改、抵赖保密管理的脆弱性5.6已有安全措施的确认组织应对已采取的安全措施的有效性进行确认，对于有效的安全措施继续保持，以避免不必要的工作和费用，防止安全措施的重复实施。对于确认为不适当的安全措施应核实是否应被取消，或者用更合适的安全措施替代。安全措施可以分为预防性安全措施和保护性安全措施两种，预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性，如入侵检测系统；保护性安全措施可以减少因安全事件发生对资产造成的影响，如业务持续性计划。已有安全措施的确认与脆弱性识别存在一定的联系。一般来说，安全措施的使用将减少脆弱性，但安全措施的确认并不需要与脆弱性识别过程那样具体到每个资产的脆弱性，而是一类具体措施的集合。比较明显的例子是防火墙的访问控制策略，不必要描述具体的端口控制策略、用户控制策略，只需要表明采用的访问控制措施。5.7风险分析5.7.1风险计算原理在完成了资产识别、威胁识别、脆弱性识别后，将采用适当的方法确定威胁利用脆弱性导致安全事件发生的可能性，综合资产价值及脆弱性的严重程度判断安全事件一旦发生造成的损失，最终得到风险值。风险计算原理如图3所示：YD/Txxxx-xxxx18威胁出现的频率脆弱性的严重程度资产价值风险值威胁识别脆弱性识别资产识别安全事件的可能性安全事件的损失存在的脆弱性图3风险计算原理示意图对风险计算原理可以采用下面的范式形式化加以说明：风险值=R（A，T，V）=R（L（Ta，Vb），F（Ia，Va））其中，R表示安全风险计算函数，A表示资产，T表示威胁，V表示脆弱性，Ta表示威胁出现的频率，Ia表示安全事件所作用的资产价值，Va表示脆弱性严重程度，Vb表示存在的脆弱性，L表示威胁利用资产存在的脆弱性导致安全事件发生的可能性，F表示安全事件发生后产生的损失。有以下三个关键计算环节：a）计算安全事件发生的可能性根据威胁出现频率及脆弱性状况，计算威胁利用脆弱性导致安全事件发生的可能性，即：安全事件发生的可能性=L（威胁出现频率，脆弱性）=L（Ta，Vb）在具体评估中，应综合攻击者技术能力（专业技术程度、攻击设备等）、脆弱性被利用的难易程度（可访问时间、设计和操作知识公开程度等）、资产吸引力等因素来判断安全事件发生的可能性。b）计算安全事件的损失根据资产价值及脆弱性严重程度，计算安全事件一旦发生造成的损失，即：安全事件的损失=F（资产价值，脆弱性严重程度）=F（Ia，Va）部分安全事件发生造成的损失不仅仅是针对该资产本身，还可能影响其提供业务的连续性。不同安全事件对组织造成的影响也是不一样的，在计算某个安全事件的损失时，应将对组织的影响也考虑在内。c）计算风险值根据计算出的安全事件发生的可能性以及安全事件的损失，计算风险值，即：YD/Txxxx-xxxx19风险值=R（安全事件发生的可能性，安全事件的损失）=R（L（Ta，Vb），F（Ia，Va））附录B中列举的几种风险计算方法可做参考。评估者可根据具体情况选择合适的风险计算方法，也可以采用其它计算方法。5.7.2风险结果判定为实现对风险的控制与管理，对风险值进行等级化处理，将风险划分为一定的级别，本标准将风险等级划分为五级，每个等级代表了相应风险的严重程度，等级越高，风险越高。表12提供了一种风险等级划分方法。表12风险等级划分表等级标识描述5很高一旦发生将使电信网和互联网及相关系统遭受非常严重破坏，组织利益受到非常严重损失，如严重破坏组织信誉、严重影响组织业务的正常运行、经济损失重大、社会影响恶劣等4高如果发生将使电信网和互联网及相关系统遭受比较严重的破坏，组织利益受到很严重损失3中等发生后将使电信网和互联网及相关系统受到一定的破坏，组织利益受到中等程度的损失2低发生后将使电信网和互联网及相关系统受到的破坏程度和利益损失一般1很低即使发生只会使电信网和互联网及相关系统受到较小的破坏在得到资产的风险值之后，需要结合资产已经采取的安全措施判断其风险是否在可以接受的范围内，如果风险结果在可接受的范围内，则该风险是可接受的风险，应保持已有的安全措施；如果风险结果在可接受的范围外，是不可接受的风险，需要制定风险处理计划并采取新的安全措施降低、控制风险。应综合考虑风险控制成本与风险造成的影响，并结合资产所在网络或系统的安全等级，提出一个可接受风险阈值。5.7.3风险处理计划对于不可接受的风险，应根据导致该风险的脆弱性和威胁制定风险处理计划。风险处理计划中明确应采取的弥补其脆弱性、降低安全事件造成的损失或减少安全事件发生可能性的新的安全措施、预期效果、实施条件、进度安排、责任部门等。安全措施的选择应充分考虑到组织、资金、环境、人员、时间、法律、技术和社会文化等多方面的可能限制因素，从管理与技术两个方面考虑，管理措施可以YD/Txxxx-xxxx20作为技术措施的补充。安全措施的选择与实施应参照国家和行业的相关标准。在对不可接受风险选择新的安全措施后，为确保安全措施的有效性，应进行再评估，以判断实施新的安全措施后的残余风险是否已经降低到可接受的水平。残余风险的评估可以依据本标准的风险评估流程实施，也可做适当裁减。某些风险可能在选择了新的安全措施后，残余风险的风险评估结果仍处于不可接受范围内，应考虑是否接受此风险或进一步增加相应的安全措施。5.8风险评估文件5.8.1风险评估文件记录的要求在对电信网和互联网及相关系统进行风险分析过程中，应记录风险评估过程，作为评估文档保存下来。应该符合（但不仅限于）以下要求：a)确保文件发布前是得到批准的；b)确保文件的更改和现行修订状态是可识别的；c)确保文件的分发得到适当的控制，并确保在使用时可获得有关版本的适用文件；d)防止作废文件的非预期使用，若因任何目的需保留作废文件时，应对这些文件进行适当的标识。对于风险评估过程中形成的相关文件，还应规定其标识、储存、保护、检索、保存期限以及处置所需的控制。5.8.2风险评估文件风险评估文件包括在整个风险评估过程中产生的评估过程文档和评估结果文档，风险评估文件包括（但不仅限于）：a）风险评估方案：阐述风险评估的目标、范围、人员、评估方法、评估结果的形式和实施进度等；b）风险评估程序：明确风险评估的目的、职责、过程、相关的文件要求，以及实施本次评估所需要的各种资产、威胁、脆弱性识别和判断依据等；c）资产识别清单：根据组织在风险评估程序文件中所确定的资产分类方法进行资产识别，形成资产识别清单，明确资产的责任人/部门；d）重要资产清单：根据资产识别和赋值的结果，形成重要资产列表，包括重要资产名称、描述、类型、重要程度、责任人/部门等；e）威胁列表：根据威胁识别和赋值的结果，形成威胁列表，包括威胁名称、种类、来源、动机YD/Txxxx-xxxx21及出现的频率等；f）脆弱性列表：根据脆弱性识别和赋值的结果，形成脆弱性列表，包括具体脆弱性的名称、描述、类型及严重程度等；g）已有安全措施确认表：根据已采取的安全措施确认的结果，形成已有安全措施确认表，包括已有安全措施名称、类型、功能描述及实施效果等；h）风险评估报告：对整个风险评估过程和结果进行总结，详细说明被评估对象，风险评估方法，资产、威胁、脆弱性的识别结果，风险分析、风险统计和结论等内容；i）风险处理计划：对评估结果中不可接受的风险制定风险处理计划，选择适当的控制目标及安全措施，明确责任、进度、资源，并通过对残余风险的评价以确定所选择安全措施的有效性；j）风险评估记录：要求风险评估过程中的各种现场记录可复现评估过程，并作为产生歧义后解决问题的依据。相关文件是否需要以及详略程度可参见具体网络的安全防护检测要求。6风险评估在电信网和互联网及相关系统生命周期中的不同要求6.1电信网和互联网及相关系统生命周期概述风险评估应贯穿于电信网和互联网及相关系统生命周期的各阶段中，电信网和互联网及相关系统生命周期各阶段中涉及的风险评估的原则和方法是一致的，但由于各阶段实施的内容、对象、安全需求不同，使得风险评估的对象、目的、安全要求等各方面也有所不同，每个阶段风险评估的具体实施应根据该阶段的特点有所侧重地进行。电信网和互联网及相关系统生命周期包含启动、设计、实施、运维和废弃等五个阶段。图4列出了生命周期各阶段中的主要安全活动。启动设计实施运维废弃确定安全使命确定安全需求启动安全控制措施安全运行和管理将安全需求纳入产品规格安全检测管理更改图4电信网和互联网及相关系统生命周期各阶段的主要安全活动YD/Txxxx-xxxx226.2启动阶段的风险评估启动阶段风险评估的目的是确定电信网和互联网及相关系统的安全使命，用以支撑电信网和互联网及相关系统的安全需求。启动阶段的风险评估应能够描述电信网和互联网及相关系统建成后的作用，包括技术、管理等方面，并确定电信网和互联网及相关系统建设应达到的安全目标。本阶段的风险评估着重以下几方面：a）整体规划中是否制定总体的安全方针；b）整体规划中是否描述电信网和互联网及相关系统的设备、数据、应用等资产的重要性和潜在的价值、可能的使用限制等；c）整体规划中是否考虑来自资产的应用对象、应用环境、业务状况、操作要求等方面的威胁；d）整体规划中是否描述电信网和互联网及相关系统安全相关的运行环境，包括物理和人员的安全配置，以及明确相关的法规、组织安全政策、专门技术和知识等。启动阶段的评估结果应体现在电信网和互联网及相关系统整体规划或项目建议书中。6.3设计阶段的风险评估设计阶段的风险评估需要根据启动阶段所明确的运行环境、资产重要程度等，在建设方案中提出安全功能需求，并对安全功能符合性进行判断，作为采购过程风险控制的依据。本阶段的评估对象是建设方案，应详细评估其中对威胁的描述、将使用的具体设备、软件等资产的列表，以及这些资产的安全功能需求。本阶段的评估包括以下内容：a）是否对电信网和互联网及相关系统建设后面临的物理和自然环境，内外部入侵等威胁进行了分析，制定电信网和互联网及相关系统建设的总体安全策略；b）是否采取了一定的手段应对电信网和互联网及相关系统可能的故障，是否考虑可能随着其它网络接入而产生的风险；c）是否根据开发的规模、时间及网络的特点选择开发方法，并根据设计开发计划及用户需求，对涉及的软件、硬件与网络进行分析和选型；d）对设计或者原型中的技术实现以及人员、组织管理等各方面的脆弱性进行评估，包括设计过程中的管理脆弱性和技术平台固有的脆弱性；e）设计活动中所采用的安全控制措施、安全技术保障手段对风险结果的影响，在安全需求变更和设计变更后，也需要重复这项评估。设计阶段的风险评估应判定建设方案所提供的安全功能与电信网和互联网及相关系统安全防护要YD/Txxxx-xxxx23求的符合性。评估结果最终应体现在电信网和互联网及相关系统的设计报告或建设实施方案中。6.4实施阶段的风险评估实施阶段风险评估的目的是根据电信网和互联网及相关系统的安全需求和运行环境对电信网和互联网及相关系统的开发实施过程进行风险识别，并根据设计阶段分析的威胁和建立的安全控制措施，对电信网和互联网及相关系统实施及验收时进行安全检测和质量控制。本阶段的评估对象是安全措施的实现程度，确定安全措施能否抵御现有威胁、脆弱性的影响。实施阶段风险评估包括开发阶段、实施交付阶段两部分评估。开发阶段的具体评估内容包括：a）评估通信行业风险评估相关标准对安全需求的影响；b）评估安全需求是否有效地支持电信网和互联网及相关系统的功能；c）评估电信网和互联网及相关系统的资产、威胁和脆弱性，分析成本与效益的关系，以确定在符合相关法律、政策、标准和功能需要下最合适的防范措施；d）评估开发阶段的安全活动，包括安全开发的内容、开发过程的监视、安全问题的防范、需求更改的响应以及监视外来的威胁。实施交付阶段的具体评估内容包括：a）根据实际建成的电信网和互联网及相关系统，详细分析其面临的威胁；b）根据建设目标和安全需求，对电信网和互联网及相关系统的安全功能进行验收测试；评价安全功能能否抵御安全威胁；c）评估是否建立了与整体安全策略一致的组织管理制度；d）对实现的风险控制效果与预期设计的