JTT1275-2019交通运输信息系统安全风险评估指南.pdf
《JTT1275-2019交通运输信息系统安全风险评估指南.pdf》由会员分享,可在线阅读,更多相关《JTT1275-2019交通运输信息系统安全风险评估指南.pdf(16页珍藏版)》请在咨信网上搜索。
1、目次前言 范围 规范性引用文件 术语和定义 风险评估总体要求 工作组织 实施要求 实施原则 实施形式 实施方法 信息系统生命周期各阶段的风险评估 风险评估实施 评估原理 实施流程 评估准备 资产识别 威胁识别 脆弱性识别 风险分析 风险处理计划 风险评估文件记录附录(资料性附录)交通运输信息系统安全风险评估实施团队角色和职责 前言本标准按照 给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由交通运输信息通信及导航标准化技术委员会提出并归口。本标准起草单位:中国交通通信信息中心。本标准主要起草人:戴明、殷林、杜渐、李璐瑶、齐志峰、张岩、刘佳。交
2、通运输信息系统安全风险评估指南 范围本标准规定了交通运输信息系统安全风险评估的总体要求及实施要求。本标准适用于交通运输信息系统安全风险的评估和管理。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。信息安全技术 信息安全风险评估规范 术语和定义 界定的以及下列术语和定义适用于本文件。为便于使用,以下重复列出了 中的部分术语和定义。资产 对行业具有价值的信息或资源,是安全策略保护的对象。,定义 资产价值 资产的重要程度或敏感程度的表征。资产价值是资产的属性,也是进行资产识别的主
3、要内容。,定义 可用性 数据或资源的特性,被授权实体按要求能访问和使用数据或资源。,定义 机密性 数据所具有的特性,即表示数据所达到的未提供或未泄露给未授权的个人、过程或其他实体的程度。,定义 完整性 保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。,定义 信息安全风险 人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对行业造成的影响。,定义 安全风险评估 依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并
4、结合安全事件所涉及的资产价值来判断安全事件一旦发生对行业造成的影响。,定义 检查评估 由被评估行业的上级主管机关或业务主管机关发起的,依据国家有关法规与标准,对信息系统及其管理进行的具有强制性的检查活动。,定义 自评估 由信息系统所有者自身发起,参照国家有关法规与标准,对信息系统及其管理进行的风险评估活动。,定义 信息安全事件 由于自然、人为或者软硬件本身缺陷或故障的原因,对信息系统造成危害,或对社会造成负面影响的事件。,定义 安全措施 保护资产、抵御威胁、减少脆弱性和降低安全事件的影响,以及打击信息犯罪而实施的各种实践、规程和机制的总称。,定义 威胁 可能导致对系统或组织产生危害的事故起因。
5、脆弱性 可能被威胁所利用的资产或若干资产的弱点。,定义 信息系统 由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输和检索等处理的系统。风险评估总体要求 工作组织交通运输信息系统安全风险评估工作应以自评估为主,自评估和检查评估相互结合、互为补充的方式开展。自评估工作由信息系统主管部门、运营单位或使用单位发起,结合系统特定的安全要求,对本单位信息系统开展风险评估。检查评估工作由信息系统上级管理部门组织或国家有关职能部门依法开展。实施要求交通运输信息系统安全风险评估工作应由信息系统主管部门及运营单位、使用单位定期开展。在信息系统或运行环境
6、发生重大变更(包括发现新的重大威胁和漏洞)时,或在出现其他可能影响系统安全状态的条件时,应重新开展。信息系统试运行期间开展的风险评估工作,应作为项目验收的重要内容。信息系统安全风险评估结果应记录在风险评估报告中,有针对性地提出安全整改建议,并将风险评估情况和改进措施报送相关网络安全监管职能部门。实施原则交通运输信息系统安全风险评估实施遵循以下原则:)最小影响原则。应保障信息系统的稳定运行,对可能造成影响的评估测试项,应选择在非业务高峰期或模拟仿真环境中进行测试。)可控性原则。所有参与评估的安全服务机构人员应签署保密协议,对工作过程数据和结果数据严格管理,未经授权不得泄露给任何单位和个人;所使用
7、的评估工具应获得被评估方的许可。)客观公正原则。安全服务机构应在风险评估中充分收集证据,对信息系统安全风险做出客观公正的判断。实施形式交通运输信息系统安全风险评估工作可以自行评估或安全服务机构第三方评估的形式开展,自行评估和第三方评估互相结合、互相补充。第三方评估应委托具有相应资质的安全服务机构开展。实施方法交通运输信息系统安全风险评估工作应采取以下实施方法:)文档查阅。查阅信息系统的规划设计方案、安全防护方案、管理制度和应急预案等文档,对其进行评估。)现场访谈。根据风险评估需要,对信息系统的相关人员进行交流,了解信息系统的开发、集成、供应、使用和管理等过程,了解其存在的风险。)现场检测。对信
8、息系统进行生产环境下的资产状态和配置情况检查测试,并在被评估方同意情况下进行漏洞扫描和渗透测试工作。)远程测试。根据评估工作需要,对信息系统进行远程的漏洞扫描和渗透测试。信息系统生命周期各阶段的风险评估信息系统生命周期各阶段的风险评估应遵循 第 章的要求。风险评估实施 评估原理信息系统的业务实现依赖于系统资产,系统资产具有脆弱性。系统内部或外部威胁,利用资产脆弱性危害资产,从而产生安全风险,甚至演变为安全事件,并对信息系统业务产生影响。系统采取的安全措施可弥补资产脆弱性,从而抵御威胁、降低风险。信息系统安全风险评估,是在识别信息系统的资产、脆弱性和威胁三要素基础上,根据安全事件发生的可能性及其
9、对所作用资产价值造成的损失,计算对系统业务产生的影响,即风险值。实施流程根据风险评估实施流程中的各项工作内容,风险评估实施应划分为风险评估准备、风险要素识别、风险分析和风险处理四个阶段。各阶段主要工作为:)风险评估准备。作为评估实施有效性的保证,是评估工作的开始。)风险要素识别。对评估活动中的资产、威胁、脆弱性和安全措施各类关键要素进行识别与赋值。)风险分析。对识别阶段中获得的各类信息进行关联分析,并计算风险值。)风险处理。针对评估出的风险,提出相应的处置建议,并按照处置建议实施安全加固后进行参与风险处理等内容。交通运输信息系统安全风险评估实施流程见图。图 风险评估实施流程 评估准备风险评估准
10、备阶段的各项工作应符合 的要求,其中组建团队工作参见附录。资产识别 资产分类交通运输信息系统资产主要分为以下三类:)生产服务类系统。支撑各交通运输服务部门提供对货物、旅客等运输服务活动的信息服务、生产保障类系统,如轨道交通信号系统、道路交通监控系统、智能闸口系统、各组织机构的门户网站、公路水路出行服务系统和国家交通运输物流公共信息平台等。)行政管理类系统。支撑各级交通运输管理部门和运输服务单位为了维持自身组织活动或者进行交通运输行业行政管理事务而建设的信息系统,如各组织机构的办公系统、船舶产品检验管理系统及网约车监管信息交互平台等。)基础支撑类系统。支撑交通运输行业各类系统在计算、操作或通信等
11、方面的运行环境,如各组织机构的数据中心、云计算平台、高速公路光纤网和地理信息平台等。交通运输信息系统风险评估工作应首先确定信息系统的类别,然后按照 中表 的规定,对信息系统所包含的资产进行识别和分类。资产赋值 信息系统价值基准交通运输信息系统的价值基准是基于业务管理和服务保障重要性水平,对信息系统机密性、完整性和可用性三种安全属性的最小要求程度。交通运输行业三类信息系统的价值基准见表。表 交通运输行业三类信息系统的价值基准信息系统类别机 密 性完 整 性可 用 性生产服务类行政管理类基础支撑类 资产赋值方法交通运输信息系统的资产在机密性、完整性和可用性三种安全属性上的价值赋值参见 中的表、表
12、和表。信息系统所包含的重要资产价值不应小于此信息系统的价值基准。资产重要性等级交通运输信息系统资产重要性等级应由资产的机密性、完整性和可用性三个安全属性的价值综合判定。资产重要性等级描述参见 中的表。交通运输信息系统资产重要性等级的计算公式如下:式中:资产重要性等级;系统三个安全属性的价值基准;资产三个安全属性的价值。威胁识别 威胁分类交通运输信息系统安全的威胁来源分为环境和人为的威胁,具体威胁来源见表。表 威 胁 来 源来 源描 述环境因素 由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾和地震等环境条件或自然灾害,意外事故或软件、硬件、数据和通信线路方面的故障人为因素非恶意
13、人员恶意人员 由于缺乏责任心、不关心或者不关注、没有遵循规章制度和操作流程导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足和不具备岗位技能要求而导致信息系统故障或被攻击内部人员 心存不满的内部人员由于了解目标系统,并具有一定的权限,往往被允许不受限制地访问系统,而且比外部的攻击者有更多的攻击机会,因此不需要掌握太多关于计算机入侵的知识,就可以破坏系统或窃取系统数据,攻击的成功率高境外国家力量 组织严密,具有充足资金、人力和技术资源,而且可能在必要时实施高隐蔽性和高破坏性的分发攻击,窃取组织核心机密或使信息系统全面瘫痪恐怖分子 恐怖分子试图破坏、致瘫或利用关键基础设施来威胁国家安全,引起大
14、规模人员伤亡,削弱国家经济,破坏民众的士气与信心。恐怖分子可能利用钓鱼网站和恶意软件来获取资金或搜集敏感信息,也可能会佯攻一个目标以转移对其他目标的关注程度和保护力度黑客 黑客入侵网络是为了获得挑战的刺激或者在黑客世界里炫耀自己的能力。这类攻击者大多数不具备专业技术能力,却可以从互联网上下载易于使用且破坏力强的攻击脚本和协议,向目标发起攻击。并且他们的数量庞大,分布在全球,即使是独立或短暂的攻击破坏,也会导致严重的后果商业间谍 商业间谍通过暗中活动的方式企图获取有情报价值的资产和技术秘密对威胁进行分类的方式有多种。根据表 的威胁来源,表 提供了基于表现形式的一种威胁分类方法。表 一种基于表现形
15、式的威胁分类种 类描 述威 胁 子 类软硬件故障 由于设备硬件故障、通信链路中断和系统本身或软件缺陷造成对业务实施、系统稳定运行的影响 控制组件和传感器故障、设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障和开发环境故障等物理环境影响 对信息系统的正常运行造成影响的物理环境问题和自然环境问题 断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾和地震等环境问题或自然灾害等无作为或操作失误 由于应该执行而没有执行相应的操作,或无意地执行了错误的操作,对系统造成的影响 维护错误、操作失误和披露信息过多等管理不到位 安全管理无法落实或不到位,从而破坏信息系
16、统正常有序运行 安全管理不规范、管理混乱、职责不明和管理监督不完善等恶意代码和病毒 具有自我复制、自我传播能力,对信息系统构成破坏的程序代码 恶意代码、木马后门、网络病毒、间谍软件和窃听软件等 表(续)种 类描 述威 胁 子 类越权或滥用 通过采用一些措施,超越自己的权限访问了本来无权访问的资源,或者滥用自己的职权,做出破坏信息系统的行为 未授权访问网络资源、未授权访问系统资源、滥用权限非正常修改系统配置或数据和滥用权限泄露秘密信息等网络攻击 利用工具和技术,如侦察、密码破译、安装后门、嗅探、伪造、欺骗和拒绝服务等手段,对信息系统进行攻击和入侵 网络探测和信息采集、漏洞探测、嗅探(账户、口令和
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- JTT1275 2019 交通运输 信息系统安全 风险 评估 指南
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【Fis****915】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【Fis****915】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。