-
一、风险评估准备:确定评估范围、组织评估小组、评估目标、评估工具和评估方法。
二、
风险因素识别:资产识别、威胁识别、脆弱
点识别
三、
风险评估方法:采用的方
法主要有:问卷调查、工具检测、人工核查、文档查阅、渗透
性测试等。
资产评估
(
1
)资产识别:
硬
件
资
产
应用
资产名称
资产编号
维护人
系统
网络
资产名称
资产编号
维护人
系统
型
号
配
置
型
号
配
置
购
机
年
限
购
< br>机
年
限
重
要
性
程度
重
要
性
程度
重
要
性
程度
整
体
负
荷
整
体
负
荷
< br>
备注
重要性程
度
重要性程
度
文档和数据
资产名称
责任人
人力资产识
别
业务应用
物理环境
岗位
备份形式
存
储
形
式
备注
岗位描述
姓名
资产名称
设计容量
系统负荷
厂
商
服
务能力
资产名称
适用范围
描述
适用年限
整
体
负
荷
<
/p>
(
2
)资产赋值:
硬
件
资
产
应用
资产名称
机密性
系统
网络
资产名称
机密性
系统
完整性
完整性
完整性
完整性
完整性
可用性
可用性
可用性
可用性
可用性
重
要
性
程度
重<
/p>
要
性
程度
重
要
性
程度
重
要
性
程度
重
要
性
程度
备注
备注
备注
备注
备注
文档和数据
资产名称
机密性
软件
物理环境
资产名称
机密性
资产名称
机密性
资产评估机密性、完整性、可用性的赋值通过调查问卷来实现
机密性
完整性
是否能够容纳具有不同密钥长度的各种加密机制?
是否保证
SOAP
消息级的机密性?
加密签名数据时,其摘要值是否被加密
?(
如
果没有加密攻击者可以借此推测
明文,使得加密数据被破坏)?
是否保证网络传输层的机密性?
是否为加密后的数据再采用签名以确保初始化矢量的完整性不
被破坏?
(
加
密算法中使用的初始化矢
量虽然可以解决为给定密钥和数据创建相同密文的
安全问题,但初始化矢量本身也可能被
修改,使上述问题再次出现。
)
可用性
是否采用的多种签名格式?
加密的工具对递归深度或请求使用资源数量是否做限制?
选择采用的合适的预防措施以免受任何潜在的拒绝服务的攻击。
(
3
)重要性程度的赋值:
应用头脑风暴法,即根据风险预测和风险识别的目的和要求,组成专家组,通过会议
形式让大家畅所欲言,而后对各位专家的意见进行汇总、综合,以得出最后的结论。
机密性
完整性
可用性
资产评估值
=Round{log
2
[2
+2
+2
]}
机密性∈(
0.4
)
,完整性∈(
0.4
)
,可用性∈(
0.4
)
,资产评估值∈(
0.4
)
威胁评估
威胁的确定:
1.
通过对应用系统、网络系统、文
档和数据、软件、物理环境设计调查问卷,根据答案的
汇总进行确定
如:
安全要素
网络
层次
身
份
鉴别
<
/p>
自
主
访
问
控制
标记
强
制
访
问
控制
数
据
流
控
制
安
全
审计
<
/p>
数
据
完
整
性
数
据
保
密
性
可
信
路径
抗
抵
赖
网
络
安
全
监控
网络安全功能基本要求:
身份鉴别:
用户识别
用户鉴别
用
户
-
主
体
绑定
1
、
在
SSF
实施所要求的动作之前,是否对提出该动
作要求的用户进行标识?
2
、
所标识用户在信息系统生存周期内是否具有唯一性?
3
、
对用户
标识信息的管理、维护是否可被非授权地访问、修改或删除?
1
、
在
SSF
实施所要求的动作之前,是否对提出该动作要求的用户进行鉴
别?
2
、
是否检测并防止使用伪造或复制的鉴别数据
3
、
能否提供一次性使用鉴别数据操作的鉴别机制?
4
、
能否提
供不同的鉴别机制?根据所描述的多种鉴别机制如何提供鉴别的规则?
5
、
能否规定需要重新鉴别用户的事件?
对一个已识别和鉴别的用户,是否通过用户
-
主体绑定将该用户
与该主体相关联?
自主访问控制:
访问控制策略
访问控制功能
访问控制范围
1
、
是否按
确定的自主访问控制安全策略实现主体与客体建操作的控制?
2
、
是否有多个自主访问控制安全策略,且多个策略独立命名?
1
、
能否在
安全属性或命名的安全属性组的客体上执行访问控制
SFP
?<
/p>
2
、
在基于安全属性的允许主体对客体访问的规则的基础上,
能否允许主体
对客体的访
问?
3
、
在基于
安全属性的拒绝主体对客体访问的规则的基础上,
能否拒绝主体对客体的访
问?
1
、每个确定的自主
访问控制,
SSF
是否覆盖网络系统中所定义的主体、客体及其
之间
的操作?
访问控制粒度
2
、每个确定的自主访问控制,
SSF
是否覆盖网络系统中所
有的主体、客体及其之间的
操作?
1
、网络系统中自主访问控制粒度为粗粒度
/
中粒度
/
细粒度?
标记:
主体标记
客体标记
标记完整性
有标记信息
的输出
1
、
是否为强制访问控制的主体指定敏感标记?
< br>2
、是否为强制访问控制的客体指定敏感标记?
敏感标记能否准确表示特定主体或客体的访问控制属性?
1
、
将一客
体信息输出到一个具有多级安全的
I/O
设备时,
与客体有关的敏感标记也可
输出?
2
、
对于单
级安全设备,授权用户能否可靠地实现指定的安全级的信息通信?
强制访问控制
访问控制策略
客体标记
标记完整性
有标记信息
的输出
2
、
是否为强制访问控制的主体指定敏感标记?
< br>2
、是否为强制访问控制的客体指定敏感标记?
敏感标记能否准确表示特定主体或客体的访问控制属性?
3
、
将一客
体信息输出到一个具有多级安全的
I/O
设备时,
与客体有关的敏感标记也可
输出?
4
、
对于单
级安全设备,授权用户能否可靠地实现指定的安全级的信息通信?
用户数据完整性
存储数据的完整性
传输数据的完整性
处理数据的完整性
1
、
是否对基于用户属性的所有客体,对用户数据进行完整性检测?
2
、当检测到完整性错误时,能否采取必要的恢复、审计或报警
措施?
1
、是否对被传输的用户数据
进行检测?
2
、数据交换恢复若没有
可恢复复件,能否向源可信
IT
系统提供反馈信息?
对信息系统处理中的数据,能否通过“回退”进行完整性保护?
用户数据保密性
存储数据的保密性
传输数据的保密性
客体安全重用
1
、
是否对
存储在
SSC
内的用户数据进行保密性保护?
< br>
1
、是否对在
SSC
内的用户数据进行保密性保护?
1
、将安全控制范围之内的某个子集的客体资源分配给某一用户或进程时,是否会泄
< br>露该客体中的原有信息?
2
、将安全控制范围之内的所有客体资源分配给某一用户或进程时,是否会泄露该客
体中的原有信息?
如:
认证
授权
是否提供注册服务机制?
只提供点到点的认证服务还是提供端到端的认证服务?
是否更新现有的身份识别以符合最新
Web
服
务安全规范?
对访问资源提供大粒度的访问控制还是小粒度的访问控制?
是否更新现有接入控制安全策略以满足服务安全规范?
认证成功之后
,
< br>是否在运行时根据资源访问权限列表来检查服务请求者的访问级
调查问卷题目