风险评估方案.doc

风险评估准备：确定评估范围、组织评估小组、评估目标、评估工具和评估方法。 风险因素识别：资产识别、威胁识别、脆弱点识别 风险评估方法：采用的方法主要：问卷调查、工具、查、文档查、渗透测试等。 是否能够容纳具有不同密钥长度的各种加密机制？ ？ ？ ？ 是否为加密后的数据再采用签名以确保初始化矢量的完整性不被破坏？(加密算法中使用的初始化矢量虽然可以解决为给定密钥和数据创建相同密文的安全问题，但初始化矢量本身也可能被修改，使上述问题再次出现。) 是否采用的多种签名格式？ 加密的工具对递归深度或请求使用资源数量是否做限制？ 选择采用的合适的预防措施以免受任何潜在的拒绝服务的攻击。 （3）重要性程度的赋值： 应用头脑风暴法，即根据风险预测和风险识别的目的和要求，组成专家组，通过会议形式让大家畅所欲言，而后对各位专家的意见进行汇总、综合，以得出最后的结论。 资产评估值=Round{log 2 [2机密性+2完整性+2可用性]} 机密性∈（0.4），完整性∈（0.4），可用性∈（0.4），资产评估值∈（0.4） 威胁评估 威胁的确定： 通过对应用系统、网络系统、文档和数据、软件、物理环境设计调查问卷，根据答案的汇总进行确定 如： 网络层次 安全要素 身份鉴别 自主访问控制 标记 强制访问控制 数据流控制 安全审计 数据完整性 数据保密性 可信路径 抗抵赖 网络安全监控 网络安全功能基本要求： 身份鉴别： 用户识别 在SSF实施所要求的动作之前，是否对提出该动作要求的用户进行标识？ 所标识用户在信息系统生存周期内是否具有唯一性？ 对用户标识信息的管理、维护是否可被非授权地访问、修改或删除？ 用户鉴别 在SSF实施所要求的动作之前，是否对提出该动作要求的用户进行鉴别？ 是否检测并防止使用伪造或复制的鉴别数据 能否提供一次性使用鉴别数据操作的鉴别机制？ 能否提供不同的鉴别机制？根据所描述的多种鉴别机制如何提供鉴别的规则？ 能否规定需要重新鉴别用户的事件？ 用户-主体绑定 对一个已识别和鉴别的用户，是否通过用户-主体绑定将该用户与该主体相关联？ 自主访问控制： 访问控制策略 是否按确定的自主访问控制安全策略实现主体与客体建操作的控制？ 是否有多个自主访问控制安全策略，且多个策略独立命名？ 访问控制功能 能否在安全属性或命名的安全属性组的客体上执行访问控制SFP？ 在基于安全属性的允许主体对客体访问的规则的基础上，能否允许主体对客体的访问？ 在基于安全属性的拒绝主体对客体访问的规则的基础上，能否拒绝主体对客体的访问？ 访问控制范围 1、每个确定的自主访问控制，SSF是否覆盖网络系统中所定义的主体、客体及其之间的操作？ 2、每个确定的自主访问控制，SSF是否覆盖网络系统中所有的主体、客体及其之间的操作？ 访问控制粒度 1、网络系统中自主访问控制粒度为粗粒度/中粒度/细粒度？ 标记： 主体标记 是否为强制访问控制的主体指定敏感标记？ 客体标记 2、是否为强制访问控制的客体指定敏感标记？ 标记完整性 敏感标记能否准确表示特定主体或客体的访问控制属性？ 有标记信息 的输出 将一客体信息输出到一个具有多级安全的I/O设备时，与客体有关的敏感标记也可输出？ 对于单级安全设备，授权用户能否可靠地实现指定的安全级的信息通信？ 强制访问控制 访问控制策略 是否为强制访问控制的主体指定敏感标记？ 客体标记 2、是否为强制访问控制的客体指定敏感标记？ 标记完整性 敏感标记能否准确表示特定主体或客体的访问控制属性？ 有标记信息 的输出 将一客体信息输出到一个具有多级安全的I/O设备时，与客体有关的敏感标记也可输出？ 对于单级安全设备，授权用户能否可靠地实现指定的安全级的信息通信？ 用户数据完整性 存储数据的完整性 是否对基于用户属性的所有客体，对用户数据进行完整性检测？ 2、当检测到完整性错误时，能否采取必要的恢复、审计或报警措施？ 传输数据的完整性 1、是否对被传输的用户数据进行检测？ 2、数据交换恢复若没有可恢复复件，能否向源可信IT系统提供反馈信息？ 处理数据的完整性 对信息系统处理中的数据，能否通过“回退”进行完整性保护？ 用户数据保密性 存储数据的保密性 是否对存储在SSC内的用户数据进行保密性保护？ 传输数据的保密性 1、是否对在SSC内的用户数据进行保密性保护？ 客体安全重用 1、将安全控制范围之内的某个子集的客体资源分配给某一用户或进程时，是否会泄露该客体中的原有信息？ 2、将安全控制范围之内的所有客体资源分配给某一用户或进程时，是否会泄露该客体中的原有信息？ 如： 调查问卷