*本文作者:redhatd,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。
序
本文重点讲解风险评估相关标准、符合性评测,让大家对风险评估标准和运营商安全服务有个基本了解。
一、风险的由来
“风险”一词由来已久。最普通的说法 是:以打鱼捕捞为生的渔民们,每次出海 前都要祈祷,祈求神灵保佑自己能够平安 归来。
其中祈求的主要内容就是让神灵保 佑自己在出海时能够风平浪静、满载而归; 渔民们在长期的捕捞实践中,深深地体会 到“风”给他们带来的无法预测和无法确定的危险,在出海打鱼捕捞的过程中, “风”即意味着“险”,“风险”一词也 因此而得来。
风险管理的开始
古代中国、巴比伦、埃及、希腊和罗马等文明古国, 很早就有互助共济、损失分摊的风险管理思想。
20世纪30年代,风险管理开始萌芽。美国学者格拉尔 (RussellB.Gallagher)首次使用“风险管理”一词。
20世纪70年代,学术界开始从环境和社会结构角度研 究技术风险和健康风险,逐步扩大到社会风险。
1983 年,美国公布了“风险评价四段法”和“101条风险 管理准则”。
2001年“9·11”事件后,风险管理进入了一个新的阶段。
二、风险评估的发展——国内
三、国际/国家内标准化组织
三大国际标准化组织 ISO IEC ITU
ISO:国际标准化组织(International Organization for Standardization, ISO)成立于1947年,总部设在瑞士日内瓦,是一个全球性的非政府组织。 ISO现有会员国162个,技术委员会(SC)611个,工作组(WG)2022 个,特别工作组38个。1978年中国加入ISO,2008年成为常任理事国。
IEC:国际电工委员会(International Electrotechnical Commission,IEC) 成立于1906年,总部设在瑞士日内瓦,是一个全球性的非政府组织。IEC 现有成员国60个,技术委员会(TC)97个,分技术委员会(SC)77个。 1957年中国加入IEC,2011年中国成为常任理事国。
ITU:国际电信联盟(International Telecommunication Union,ITU)成立 于1865年,总部设在瑞士日内瓦,1947年成为联合国15个专门机构之一。 ITU现有成员国193个,部门成员700多个。1920年中国加入ITU。
国家标准组织 ANSI BSI SAC
ANSI:美国国家标准学会(American National Standards Institute,ANSI) 成立于1918年,总部设在纽约,是一个非赢利性质的民间标准化团体。 ANSI现有学会、协会等团体会员约200个,公司(企业)会员约1400个。 ANSI由执行董事会领导,下设四个委员会:学术委员会、董事会、成员议 会和秘书处。
BSI:英国标准学会(British Standards Institution,BSI)成立于1901年, 总部设在伦敦,是一个非营利机构。BSI有五大业务部门(标准部等),四 大业务(商务信息服务、管理体系认证服务、产品服务业务、验证检验服 务),管理着24万个现行英国标准和2500个专业标准委员会,参加标准委 员会成员达23万多名,BSI正在进行着7000多个标准项目的研发。
SAC:中国国家标准化管理委员会(Standardization Administration of the People’s Republic of China,SAC)成立于2001年10月,总部设在北 京,为国家质检总局管理的直属事业单位,履行国务院授权的行政管理职能,统一管理全国标准化工作。SAC现有技术委员会537个,管理着现行 国家标准32727个。
四、风险评估标准——演进
ISO/IEC31000
ISO/IEC27005
OCTAVE(美国卡耐基梅隆大学 软件工程研究所)
注:风险管理和风险评估应该贯穿的所有环节 包括物理建设、设计、开发、上线、运维。
由于大多国际化组织的风险评估标准偏向管理方面的风险评估,不符合我国信息安全国情,后来发现OCTAVE ( 可操作的关键威胁、资产和漏洞的评估方法)。
由OCTAVE进行演进出了符合我国信息安全风险评估相关标准。
国内风险评估标准(部分):
GB/T 20984-2007信息技术 信息安全风险评估规范
GB/T 31509-2015信息安全技术 信息安全风险评估 实施指南
JRT 0072-2012 金融行业信息系统信息安全等级保护测评指南
JRT 0068-2012 网上银行系统信息安全通用规范
YD/T 2252-2011 网络与信息安全风险评估服务能力评估方法
依据标准文件YD/T 2252-2011项目 实施解读已写过不赘述:https://www.freebuf.com/column/189299.html。
五、运营商符合性评测
5.1 符合性评测是什么?
简单不绕弯:符合性评测一般是作为运营商需委托三方检查的合规项目,形式跟等级保护很像,但是资质有特定要求。
顺带一提个人信息保护也是运营商长期需要委托三方来做的项目这里只提一下不过多赘述。
相同点:需要对条款条目。
不同点:符合性评测依据应用类型不同条款不同,没有具体细分如等级保护的 物理安全 应用安全等。
关于等级保护文章已经写过很详细不赘述:
如果对于一般有一定规模的安全公司,对于一般企业单位安全业务饱和,可以考虑开拓运营商和通信行业的安全服务项目。
5.2 为什么要做运营商的项目?
嗯。当然因为运营商钱多(划重点 ) ,然后偏流程表面化的东西较少,要求技术细节的更多,对于实施人员要求更高技术和更多经验。
立项时间一般要在一年前。比如2018立项 2019年才会有项目预算 一般2-4月左右可能实施 HR界的 金三 银四 不无道理。
资质是需要通信行业的资质 须有中国通信企业协会颁发的资质,人员资质常见要求cisp ciswa 等。
申请:http://www.tzr.org.cn/ (注意办事指南)。
我这里说具体要什么东西肯定不详细,只是简单介绍下资质怎么拿,需要些其他什么东西请自行与发证机构沟通。
5.3 符合性评测标准
符合性评测参照的标准比较多,与以前等级保护不同的是会根据不同应用定位来确定不同的检测合规项目。光说比较空洞还是看点实际的
以某某运营商为例分为以上22种不同的应用 每种不同的应用有不同的符合性测评项目 (18大项里还包括很多小项目)。
具体测评表格也是这样的:
每一种系统对应一种标准文件和规范根据规范在整理成表格。
比如互联网 依据规范就是《YD/T 1736-2009 互联网安全防护要求》《YD/T 1737-2009 互联网安全防护检测要求》;
消息网规范就是《YD/T 1738-2008增值业务网消息网安全防护要求》《YD/T 1739-2008增值业务网消息网安全防护检测要求》;
域名解析规范就是《YD/T 2052-2009域名系统安全防护技术要求》《YD/T 2053-2009域名系统安全防护检测要求》。
其他常用的:
YD/T 1732-2008《固定通信网安全防护要求》
YD/T 1734-2008《移动通信网安全防护要求》
YD/T 1740-2008《增值业务网—智能网安全防护要求》
YD/T 1758-2008《非核心生产单元安全防护要求》
YD/T 1742-2008《接入网安全防护要求》
YD/T 1744-2008《传送网安全防护要求》
YD/T 1746-2008《IP 承载网安全防护要求》
YD/T 1748-2008《信令网安全防护要求》
YD/T 1750-2008《同步网安全防护要求》
YD/T 1752-2008《支撑网安全防护要求》
YD/T 1756-2008《电信网和互联网管理安全等级保护要求》
由于系统太多规范太多不赘述。基本属于YD/T规范一类的。
5.4 符合性评测的定级
符合性评测也有定级大体为1-5级 1为最低5为最高。 一般运营商2-3级系统居多。具体的定级标准见《通信网络安全防护定级备案实施细则》(百度可得)
具体定级部分见附件三:
定级是非常重要的,符合性评测的定级直接关系到表格内对应条目的多少,等级越低要求越低,等级越高要求越高。
定级单位没有特殊要求,有通信行业资质就可以 具体资质几级看客户相关应标要求。
具体定级赋值还是看三个方面” 社会影响力赋值 “”规模和服务范围赋值” “所提供服务的重要性赋值” 的具体赋值结果来根据公式计算得出具体定级。
公式:k= Round1{Log2{[<em>α</em>×2I+<em>β</em>×2R +<em>γ</em>×2V]}};
α、β、γ分别表示定级对象的社会影响力、规模和服务范围、所提供服务的重要性赋值所占的权重。
安全等级值k 安全等级 1 ≤ k < 1.5 第1级 1.5 ≤ k < 2.5 第2级 2.5 ≤ k ≤ 4 第3级 4 < k < 4.5 第4级 4.5 ≤ k ≤ 5 第5级
5.5 符合性评测实施与输出文件
实施方式与等保类似但是根据条目最好是形成对应的文件夹截图 (对应对标号在上面黄色表格里体现)以及定级报告。
输出文件应有:带有相关编号的文件夹截图、符合性评测的表格(5.3的表格)
参考书籍
1.《信息安全风险管理》-电子科技大学出版社 ISBN 978-7-5647-4105-1
2 .《信息安全技术》-电子科技大学出版社 ISBN 978-7-5647-2977-6
*本文作者:redhatd,本文属 FreeBuf 原创奖励计划,未经许可禁止转载。
来源:freebuf.com 2019-04-22 09:00:29 by: redhatd
请登录后发表评论
注册