欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

标准解读:关于1730-2008工信部风险评估实施指南不得不说的二三事

来源:本站整理 作者:佚名 时间:2019-11-14 TAG: 我要投稿

要做风险评估,首先要懂流程怎么走;要写风险评估报告,得懂实施指南。工信部的风险评估严格按照《1730-2008 电信网和互联网安全风险评估实施指南》来执行的。

一、范围

这段话为这部标准定下了地位,主要针对于电信网和互联网的风险评估工作,也就是说,只要对方需要做工信部的风险评估,那么都必须严格按照这一部来走。
那么这一部跟《20984-2007 信息安全技术 信息安全风险评估规范》国标的风险评估规范对比来说,也是换汤不换药的,基本大纲是一致的,区别就在于资产识别和风险赋值。
二、主要术语


三、风险评估框架及流程
3.1各要素之间的关系

业务战略依赖资产。两者成正比关系。
业务战略++ 资产++ 风险++
威胁++ 风险++
脆弱性++ 威胁++ 风险++
威胁àà利用àà脆弱性àà暴露àà资产==风险
安全措施++ 风险–
风险!=0
残余风险要监视
3.2实施流程

3.3 工作形式
工作形式:自评估 & 检查评估
自评估为主,自评估和检查评估相互结合,互为补充
自评估和检查评估可依托自身技术力量进行,也可委托第三方机构提供技术支持
一般来说,做自评估价格比较低,容易实现,最后再让第三方测评机构进行验收即可,提供风险评估的章。
检查评估的话,一般的第三方测评机构做二级和三级的系统较多,一级是自身能整改的,五级涉及国家机密,四级的也很少。每个公司的检查评估流程细化不一致,但是大致肯定是按照3.2来执行的。
三级系统又分为3.1和3.2,每个系统的级别都是依据系统的社会影响力、规模还有服务范围确定的,可以参照《增值电信业务系统安全防护定级和评测实施规范》(那一整个系列,因为不同的系统不同的定级)。
一般来说,比较知名的,用户量比较大的都会是3级系统,一般情况来说是3.1级,除非是设计P2P系统(涉及到金融类的)才会上升到3.2级。
3.4 遵循的原则
遵循的原则:标准性原则、可控性原则、完备性原则、最小影响原则、保密原则
四、风险评估实施
4.1 风险评估准备的六大板块

4.2 资产识别
(不同于国标风险评估的一个点)

具体可回归第2点的术语。
而国标的风险评估是以资产的机密性、完整性、可用性三个属性来决定的。
资产分类:数据、软件、硬件、服务、文档、人员、其他
(制度规定那些都算是资产)

资产赋值:①社会影响力②业务价值③可用性④资产价值
(1-5级)
比如:

4.3 威胁识别
威胁来源分类:技术因素、环境因素、人为因素(恶意人员和非恶意人员)

威胁分类:软硬件故障、物理环境威胁、无作为或操作失误、管理不到位、恶意代码和病毒、越权或滥用、黑客攻击技术、物理攻击、泄密、篡改、抵赖

威胁赋值–威胁出现频率(1-5级)

4.4 脆弱性识别
识别方法:问卷调查、工具检测、人工核查、文档查阅、渗透性测试
脆弱性识别内容:
①技术脆弱性:物理环境、设备(含操作系统

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载