JT/T 1275-2019
标准分类号
关联标准
出版信息
相关单位信息
标准简介
JT/T 1275-2019 Security risk assessment guidance for transportation information system.
1范围
JT/T 1275规定了交通运输信息系统安全风险评估的总体要求及实施要求。
JT/T 1275适用于交通运输信息系统安全风险的评估和管理。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仪注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 20984- 2007 信息安全技术 信息安 全风险评估规范
3术语和定义
GB/T 20984界定的以及下列术语和定义适用于本文件。为便于使用,以下重复列出了GB/T20984中的部分术语和定义。
3.1资产asset
对行业具有价值的信息或资源.是安全策略保护的对象。
[GB/T 20984- 2007 ,定义3.1]
3.2资产价值aset value
资产的重要程度或敏感程度的表征。资产价值是资产的属性,也是进行资产识别的主要内容。
[GB/T 20984- 2007.定义 3.2]
3.1可用性ailability
数据或资源的特性,被授权实体按要求能访问和使用数据或资源。
[GB/T 20984- 2007,定义3.3]
3.4机密性confidentiality
数据所具有的特性.即表示数据所达到的未提供或未泄露给未授权的个人.过程或其他实体的程度。
1范围
JT/T 1275规定了交通运输信息系统安全风险评估的总体要求及实施要求。
JT/T 1275适用于交通运输信息系统安全风险的评估和管理。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仪注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 20984- 2007 信息安全技术 信息安 全风险评估规范
3术语和定义
GB/T 20984界定的以及下列术语和定义适用于本文件。为便于使用,以下重复列出了GB/T20984中的部分术语和定义。
3.1资产asset
对行业具有价值的信息或资源.是安全策略保护的对象。
[GB/T 20984- 2007 ,定义3.1]
3.2资产价值aset value
资产的重要程度或敏感程度的表征。资产价值是资产的属性,也是进行资产识别的主要内容。
[GB/T 20984- 2007.定义 3.2]
3.1可用性ailability
数据或资源的特性,被授权实体按要求能访问和使用数据或资源。
[GB/T 20984- 2007,定义3.3]
3.4机密性confidentiality
数据所具有的特性.即表示数据所达到的未提供或未泄露给未授权的个人.过程或其他实体的程度。
标准图片预览
标准内容
ICS35.040
备案号:
中华人民共和国交通运输行业标准JT/T1275—2019
交通运输信息系统安全风险
评估指南
Security risk assessment guidance for transportation information system2019-07-05发布
中华人民共和国交通运输部
2019-10-01实施
规范性引用文件
术语和定义
风险评估总体要求
工作组织
实施要求
实施原则
实施形式
实施方法
信息系统生命周期各阶段的风险评估风险评估实施
评估原理
实施流程
评估准备
资产识别
威胁识别
脆弱性识别
风险分析
风险处理计划
风险评估文件记录
附录A(资料性附录)
交通运输信息系统安全风险评估实施团队角色和职责JT/T1275—2019
JT/T1275—2019
本标准按照GB/T1.1—2009给出的规则起草请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由交通运输信息通信及导航标准化技术委员会提出并归口。本标准起草单位:中国交通通信信息中心。本标准主要起草人:戴明、殷林、杜渐、李璐瑶、齐志峰、张岩、刘佳1范围
交通运输信息系统安全风险评估指南本标准规定了交通运输信息系统安全风险评估的总体要求及实施要求本标准适用于交通运输信息系统安全风险的评估和管理。2规范性引用文件
JT/T1275—2019
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T20984—2007信息安全技术信息安全风险评估规范3术语和定义
CB/T20984界定的以及下列术语和定义适用于本文件。为使于使用,以下重复列出了CB/T20984中的部分术语和定义。
资产asset
对行业具有价值的信息或资源,是安全策略保护的对象[GB/T20984—2007,定义3.1]
资产价值
assetvalue
资产的重要程度或敏感程度的表征。资产价值是资产的属性,也是进行资产识别的主要内容。
[GB/T20984—2007,定义3.2]
可用性availability
数据或资源的特性,被授权实体按要求能访问和使用数据或资源。[GB/T20984—2007,定义3.3]
confidentiality
机密性
数据所具有的特性,即表示数据所达到的未提供或未泄露给未授权的个人、过程或其他实体的程度。
[GB/T20984—2007,定义3.5]
主integrity
完整性
保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性[GB/T20984—2007定义3.10]
JT/T1275—2019
信息安全风险informationsecurityrisk人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对行业造成的影响。
GB/T20984—2007定义3.6
安全风险评估securityrisk assessment依据有关信息安全技术与管理标准,对信息系统及由其处理,传输和存储的信息的机密性,完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一且发生对行业造成的影响。
【GB/T209842007.定义3.7
检查评估inspection assessment由被评估行业的上级主管机关或业务主管机关发起的.依据国家有关法规与标准,对信息系统及其管理进行的具有强制性的检查活动。『CB/T209842007.定义3.91
自评估
self-assessment
由信息系统所有者自身发起,参照国家有关法规与标准,对信息系统及其管理进行的风险评估活动。
[GB/T20984—2007,定义3.13]3.10
信息安全事件information securityincident由于自然、人为或者软硬件本身缺陷或故障的原因,对信息系统造成危害,或对社会造成负面影响的事件。
[GB/T20984—2007,定义3.14]3.11
安全措施
Esecuritymeasure
保护资产、抵御威胁、减少脆弱性和降低安全事件的影响,以及打击信息犯罪而实施的各种实践、规程和机制的总称。
[GB/T20984—2007,定义3.15]
威胁threat
可能导致对系统或组织产生危害的事故起因。3.13
脆弱性vulnerability
可能被威胁所利用的资产或若干资产的弱点。[GB/T20984—2007定义3.18]
信息系统informationsystem
由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工存储、传输和检索等处理的系统2
4风险评估总体要求
4.1工作组织
JT/T1275—2019
交通运输信息系统安全风险评估工作应以自评估为主,自评估和检查评估相互结合、互为补充的方式开展。
自评估工作由信息系统主管部门、运营单位或使用单位发起,结合系统特定的安全要求,对本单位信息系统开展风险评估。
检查评估工作由信息系统上级管理部门组织或国家有关职能部门依法开展。4.2实施要求
交通运输信息系统安全风险评估工作应由信息系统主管部门及运营单位、使用单位定期开展。在信息系统或运行环境发生重大变更(包括发现新的重大威胁和漏洞)时,或在出现其他可能影响系统安全状态的条件时,应重新开展。信息系统试运行期间开展的风险评估工作,应作为项目验收的重要内容。
信息系统安全风险评估结果应记录在风险评估报告中,有针对性地提出安全整改建议,并将风险评估情况和改进措施报送相关网络安全监管职能部门。4.3实施原则
交通运输信息系统安全风险评估实施遵循以下原则:a)最小影响原则。应保障信息系统的稳定运行,对可能造成影响的评估测试项,应选择在非业务高峰期或模拟仿真环境中进行测试。b)
可控性原则。所有参与评估的安全服务机构人员应签署保密协议,对工作过程数据和结果数据严格管理,未经授权不得泄露给任何单位和个人:所使用的评估工具应获得被评估方的许可。
c)客观公正原则。安全服务机构应在风险评估中充分收集证据,对信息系统安全风险做出客观公正的判断。
4.4实施形式
交通运输信息系统安全风险评估工作可以自行评估或安全服务机构第三方评估的形式开展自行评估和第三方评估互相结合、互相补充。第三方评估应委托具有相应资质的安全服务机构开展。
4.5实施方法
交通运输信息系统安全风险评估工作应采取以下实施方法:a)文档查阅。查阅信息系统的规划设计方案、安全防护方案、管理制度和应急预案等文档,对其进行评估。
b)现场访谈。根据风险评估需要,对信息系统的相关人员进行交流,了解信息系统的开发、集成,供应、使用和管理等过程,了解其存在的风险c)现场检测。对信息系统进行生产环境下的资产状态和配置情况检查测试,并在被评估方同意情况下进行漏洞扫描和渗透测试工作d)远程测试。根据评估工作需要,对信息系统进行远程的漏洞扫描和渗透测试。3
JT/T1275—2019
4.6信息系统生命周期各阶段的风险评估信息系统生命周期各阶段的风险评估应遵循GB/T20984—2007第6章的要求。5风险评估实施
5.1评估原理
信息系统的业务实现依赖于系统资产,系统资产具有脆弱性。系统内部或外部威胁,利用资产脆弱性危害资产,从而产生安全风险,甚至演变为安全事件,并对信息系统业务产生影响。系统采取的安全措施可弥补资产脆弱性,从而抵御威胁、降低风险信息系统安全风险评估,是在识别信息系统的资产、脆弱性和威胁三要素基础上,根据安全事件发生的可能性及其对所作用资产价值造成的损失,计算对系统业务产生的影响,即风险值。5.2实施流程
根据风险评估实施流程中的各项工作内容,风险评估实施应划分为风险评估准备、风险要素识别、风险分析和风险处理四个阶段。各阶段主要工作为:风险评估准备。作为评估实施有效性的保证,是评估工作的开始。a)
b)风险要素识别。对评估活动中的资产,威胁、脆弱性和安全措施各类关键要素进行识别与赋值。风险分析。对识别阶段中获得的各类信息进行关联分析,并计算风险值。风险处理。针对评估出的风险,提出相应的处置建议,并按照处置建议实施安全加固后进行d
参与风险处理等内容。
交通运输信息系统安全风险评估实施流程见图1。风险评估准备
资产识别
风险要素识别
5.3评估准备
威胁识别
风险分析
风险处理
脆弱性识别
风险评估文件
风险评估文件
图1风险评估实施流程
风险评估准备阶段的各项工作应符合GB/T20984—2007的要求,其中组建团队工作参见附录A。5.4资产识别
5.4.1资产分类
交通运输信息系统资产主要分为以下三类:4
JT/T1275—2019
a)生产服务类系统。支撑各交通运输服务部门提供对货物、旅客等运输服务活动的信息服务、生产保障类系统,如轨道交通信号系统、道路交通监控系统、智能闸口系统、各组织机构的门户网站、公路水路出行服务系统和国家交通运输物流公共信息平台等b)行政管理类系统。支撑各级交通运输管理部门和运输服务单位为了维持自身组织活动或者进行交通运输行业行政管理事务而建设的信息系统,如各组织机构的办公系统,船舶产品检验管理系统及网约车监管信息交互平台等。c)
基础支撑类系统。支撑交通运输行业各类系统在计算,操作或通信等方面的运行环境,如各组织机构的数据中心、云计算平台、高速公路光纤网和地理信息平台等。交通运输信息系统风险评估工作应首先确定信息系统的类别,然后按照GB/T20984一2007中表1的规定,对信息系统所包含的资产进行识别和分类。5.4.2资产赋值
5.4.2.1信息系统价值基准
交通运输信息系统的价值基准是基于业务管理和服务保障重要性水平,对信息系统机密性、完整性和可用性三种安全属性的最小要求程度。交通运输行业三类信息系统的价值基准见表1。表1交通运输行业三类信息系统的价值基准信息系统类别
生产服务类
行政管理类
基础支撑类
5.4.2.2资产赋值方法
机密性
完整性
可用性
交通运输信息系统的资产在机密性、完整性和可用性三种安全属性上的价值赋值参见CB/T209842007中的表2表3和表4
信息系统所包含的重要资产价值不应小于此信息系统的价值基准。5.4.2.3资产重要性等级
交通运输信息系统资产重要性等级应由资产的机密性、完整性和可用性三个安全属性的价值综合判定。资产重要性等级描述参见GB/T20984—2007中的表5。交通运输信息系统资产重要性等级的计算公式如下:sa
式中:\-——资产重要性等级;8—一系统三个安全属性的价值基准:α———资产三个安全属性的价值。5.5威胁识别
5.5.1威胁分类
交通运输信息系统安全的威胁来源分为环境和人为的威胁,具体威胁来源见表2。5
JT/T1275—2019
环境因素
非恶意人员
人为因素
恶意人员
表2威胁来源
由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾和地震等环境条件或自然灾害,意外事故或软件,硬件数据和通信线路方面的故障由于缺乏责任心、不关心或者不关注、没有遵循规章制度和操作流程导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足和不具备岗位技能要求而导致信息系统故障或被攻击
心存不满的内部人员由于了解目标系统,并具有一定的权限,往往被允内部人员
境外国家力量
恐怖分子
商业间谍
许不受限制地访问系统,而且比外部的攻击者有更多的攻击机会,因此不需要掌握太多关于计算机人侵的知识,就可以破坏系统或窃取系统数据,攻击的成功率高
组织严密,具有充足资金、人力和技术资源,而且可能在必要时实施高隐蔽性和高破坏性的分发攻击,窗取组织核心机密或使信息系统全面瘫痪
恐怖分子试图破坏,致瘫或利用关键基础设施来威胁国家安全,引起大规模人员伤亡,削弱国家经济,破坏民众的士气与信心。恐怖分子可能利用钓鱼网站和恶意软件来获取资金或搜集敏感信息,也可能会伴攻一个目标以转移对其他目标的关注程度和保护力度黑客入侵网络是为了获得挑战的刺激或者在黑客世界里炫耀自己的能力。这类攻击者大多数不具备专业技术能力,却可以从互联网上下载易于使用且破坏力强的攻击脚本和协议,向目标发起攻击。并且他们的数量庞大,分布在全球,即使是独立或短暂的攻击破坏,也会导致严重的后果
商业间谋通过暗中活动的方式企图获取有情报价值的资产和技术秘密对威胁进行分类的方式有多种。根据表2的威胁来源,表3提供了基于表现形式的一种威胁分类方法。
表3一种基于表现形式的威胁分类种
软硬件故障
物理环境影响
无作为
或操作失误
管理不到位
恶意代码和病毒
由于设备硬件故障,通信链路中断和系统本身或软件缺陷造成对业务实施、系统稳定运行的影响
对信息系统的正常运行造成影响的物理环境问题和自然环境问题
由于应该执行而没有执行相应的操作,或无意地执行了错误的操作,对系统造成的影响
安全管理无法落实或不到位,从而破坏信息系统正常有序运行
具有自我复制、自我传播能力,对信息系统构成破坏的程序代码
威胁子类
控制组件和传感器故障、设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障和开发环境故障等
断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾和地震等环境问题或自然灾害等维护错误、操作失误和披露信息过多等安全管理不规范、管理混乱、职责不明和管理监督不完善等
恶意代码、木马后门、网络病毒、间谋软件和窃听软件等
越权或滥用
网络攻击
社会工程
物理攻击
信息泄露
供应商违规
表3(续)
通过采用一些措施,超越自己的权限访问了本来无权访问的资源,或者滥用自己的职权,做出破坏信息系统的行为利用工具和技术,如侦察、密码破译、安装后门、嗅探、伪造、欺骗和拒绝服务等手段,对信息系统进行攻击和人侵综合利用社会科学,如心理学、语言学和欺诈学等,对信息安全管理过程中的人员以及薄弱环节实施欺骗、欺诈、威胁和恐吓等行为,以及配合技术手段获取信息系统的控制权限及敏感信息通过物理的接触造成对软件、硬件和数据的破坏
信息泄露给不应了解的他人
非法修改信息,破坏信息的完整性使系统的安全性降低或信息不可用供应商及其子供应商依仗其技术优势和客户依赖性,出于国家和商业利益等原因违背合同约定内容改变原有服务约定
除上述威胁以外的威胁
威胁赋值
威胁子类
JT/T1275—2019
未授权访问网络资源、未授权访问系统资源、滥用权限非正常修改系统配置或数据和滥用权限泄露秘密信息等网络探测和信息采集、漏洞探测、膜探(账户,口令和权限等)用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏、实施钓鱼攻击和云计算平台租户利用隔离失效发起攻击等钓鱼邮件、诈骗电话等
物理接触、物理破坏和盗窃等
内部信息泄露、外部信息泄露等算改和旁路工业控制模块指令,篡改网络配置信息、算改系统配置信息、改安全配置信息和套改用户身份信息或业务数据信息等
供应商未经用户同意肆意分包工作内容、供应商利用设备和系统依赖加高运维成本或占有远程运维权限、云服务商未经用户同意操作用户数据,云服务商为系统迁出提出额外收费条件等
交通运输信息系统的威胁赋值参照CB/T20984—2007中表8的规定方法,应主要考虑表4中的威胁类型。
4交通运输信息系统主要威胁
系统类型
生产服务类
重点关注威胁类型
信息泄露
恶意代码
网络攻击
物理攻击
软硬件故障
物理环境影响
重点关注威胁子类
个人信息泄露等
软件后门等
拒绝服务攻击、漏洞利用和钓鱼攻击等户外终端破坏和盗取等
发布信息篡改、配置信息复改和控制模块指令旁路等工控模块故障、通信线路故障等电磁干扰、自然灾害等
JT/T1275—2019
系统类型
行政管理类
基础支撑类
5.6脆弱性识别
脆弱性分类
重点关注威胁类型
网络攻击
信息泄露
管理不到位
越权或滥用
软硬件故障
物理环境影响
网络攻击
供应商违规
表4(续)
重点关注威胁子类
拒绝服务攻击、漏洞利用等
敏感信息泄露等
网页篡改,数据信息假冒等
管理规程缺失、职责不明确和监督控制机制不健全等滥用授权、越权访问等
计算机硬件故障、软件系统故障和通信线路故障等机房内部环境
拒绝服务攻击、漏洞利用等
违规分包、违规操作用户数据等交通运输信息系统的脆弱性识别内容参照CB/T20984—2007中表9规定的方法,应主要考虑表5中的脆弱性内容。
5交通运输信息系统主要识别脆弱性内容表5
系统类别
生产服务类
识别对象
系统软件(含操作系统
及系统服务)
WEB系统
数据库软件
应用系统
工业控制系统
应用中间件
物理环境
组织管理
技术管理
识别内容
从补丁安装、物理保护、用户账号、口令策略、资源共享、事件审计访问控制、新系统配置(初始化)、注册表加固、网络安全和系统管理等方面进行识别
从注人攻击、跨站脚本、页面劫持和缓冲区溢出等方面进行识别从补丁安装、鉴别机制、口令机制、访问控制、网络、服务设置、备份恢复机制和审计机制等方面进行识别从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制和密码保护等方面进行识别
从控制协议、通信协议、无线传输、远程访问、缺省设置、完余控制模块、预置后门、缓冲区溢出、未定义数据包、组件认证和访问控制策略等方面进行识别
从协议安全、交易完整性和数据完整性等方面进行识别从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护和机房设备管理等方面进行识别
从安全策略、行业安全、资产分类与控制、人员安全和符合性等方面进行识别
从物理和环境安全、通信与操作管理、访问控制系统开发与维护和业务连续性等方面进行识别
系统类别
行政管理类
基础支撑类
5.6.2脆弱性赋值
识别对象
系统软件(含操作系统
及系统服务)
应用系统
数据库软件
应用中间件此内容来自标准下载网
技术管理
物理环境
网络结构
云计算平台
技术管理
组织管理
表5(续)
识别内容
JT/T1275—2019
从补丁安装、物理保护、用户账号、口令策略、资源共享、事件审计、访问控制、新系统配置(初始化)、注册表加固、网络安全和系统管理等方面进行识别
从审计机制,审计存储访问控制策略,数据完整性、通信、鉴别机制和密码保护等方面进行识别
从补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、备份恢复机制和审计机制等方面进行识别从协议安全,交易完整性和数据完整性等方面进行识别从物理和环境安全、通信与操作管理、访问控制、系统开发与维护和业务连续性等方面进行识别
从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护和机房设备管理等方面进行识别
从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略和网络设备安全配置等方面进行识别从本地化存储、租户隔离,网络虚拟化、存储虚拟化,可移植性和互操作性、责任划分、访问控制、应急响应、备份恢复、供应链管理、组织和人员管理、物理环境、维护方式、安全审计和安全监测等方面进行识别
从物理和环境安全、通信与操作管理、访问控制、系统开发与维护和业务连续性等方面进行识别
从安全策略、行业安全、资产分类与控制、人员安全和符合性等方面进行识别
交通运输信息系统的脆弱性赋值应符合GB/T20984—2007中表10的规定。5.7风险分析
5.7.1资产风险计算
交通运输信息系统安全风险评估应通过具体的计算方法实现风险值的计算交通运输信息系统资产风险评估的计算方法参见GB/T20984—2007的附录A中风险的计算方法。
5.7.2信息系统安全风险结果评价交通运输信息系统资产安全风险判定结果应参照GB/T20984—2007中表11,划分为很高高,中等、低和很低五个风险级别。交通运输信息系统安全风险评估结果应根据资产风险等级划分为高风险、中风险及低风险三个级别:
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
备案号:
中华人民共和国交通运输行业标准JT/T1275—2019
交通运输信息系统安全风险
评估指南
Security risk assessment guidance for transportation information system2019-07-05发布
中华人民共和国交通运输部
2019-10-01实施
规范性引用文件
术语和定义
风险评估总体要求
工作组织
实施要求
实施原则
实施形式
实施方法
信息系统生命周期各阶段的风险评估风险评估实施
评估原理
实施流程
评估准备
资产识别
威胁识别
脆弱性识别
风险分析
风险处理计划
风险评估文件记录
附录A(资料性附录)
交通运输信息系统安全风险评估实施团队角色和职责JT/T1275—2019
JT/T1275—2019
本标准按照GB/T1.1—2009给出的规则起草请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由交通运输信息通信及导航标准化技术委员会提出并归口。本标准起草单位:中国交通通信信息中心。本标准主要起草人:戴明、殷林、杜渐、李璐瑶、齐志峰、张岩、刘佳1范围
交通运输信息系统安全风险评估指南本标准规定了交通运输信息系统安全风险评估的总体要求及实施要求本标准适用于交通运输信息系统安全风险的评估和管理。2规范性引用文件
JT/T1275—2019
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T20984—2007信息安全技术信息安全风险评估规范3术语和定义
CB/T20984界定的以及下列术语和定义适用于本文件。为使于使用,以下重复列出了CB/T20984中的部分术语和定义。
资产asset
对行业具有价值的信息或资源,是安全策略保护的对象[GB/T20984—2007,定义3.1]
资产价值
assetvalue
资产的重要程度或敏感程度的表征。资产价值是资产的属性,也是进行资产识别的主要内容。
[GB/T20984—2007,定义3.2]
可用性availability
数据或资源的特性,被授权实体按要求能访问和使用数据或资源。[GB/T20984—2007,定义3.3]
confidentiality
机密性
数据所具有的特性,即表示数据所达到的未提供或未泄露给未授权的个人、过程或其他实体的程度。
[GB/T20984—2007,定义3.5]
主integrity
完整性
保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性[GB/T20984—2007定义3.10]
JT/T1275—2019
信息安全风险informationsecurityrisk人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对行业造成的影响。
GB/T20984—2007定义3.6
安全风险评估securityrisk assessment依据有关信息安全技术与管理标准,对信息系统及由其处理,传输和存储的信息的机密性,完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一且发生对行业造成的影响。
【GB/T209842007.定义3.7
检查评估inspection assessment由被评估行业的上级主管机关或业务主管机关发起的.依据国家有关法规与标准,对信息系统及其管理进行的具有强制性的检查活动。『CB/T209842007.定义3.91
自评估
self-assessment
由信息系统所有者自身发起,参照国家有关法规与标准,对信息系统及其管理进行的风险评估活动。
[GB/T20984—2007,定义3.13]3.10
信息安全事件information securityincident由于自然、人为或者软硬件本身缺陷或故障的原因,对信息系统造成危害,或对社会造成负面影响的事件。
[GB/T20984—2007,定义3.14]3.11
安全措施
Esecuritymeasure
保护资产、抵御威胁、减少脆弱性和降低安全事件的影响,以及打击信息犯罪而实施的各种实践、规程和机制的总称。
[GB/T20984—2007,定义3.15]
威胁threat
可能导致对系统或组织产生危害的事故起因。3.13
脆弱性vulnerability
可能被威胁所利用的资产或若干资产的弱点。[GB/T20984—2007定义3.18]
信息系统informationsystem
由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工存储、传输和检索等处理的系统2
4风险评估总体要求
4.1工作组织
JT/T1275—2019
交通运输信息系统安全风险评估工作应以自评估为主,自评估和检查评估相互结合、互为补充的方式开展。
自评估工作由信息系统主管部门、运营单位或使用单位发起,结合系统特定的安全要求,对本单位信息系统开展风险评估。
检查评估工作由信息系统上级管理部门组织或国家有关职能部门依法开展。4.2实施要求
交通运输信息系统安全风险评估工作应由信息系统主管部门及运营单位、使用单位定期开展。在信息系统或运行环境发生重大变更(包括发现新的重大威胁和漏洞)时,或在出现其他可能影响系统安全状态的条件时,应重新开展。信息系统试运行期间开展的风险评估工作,应作为项目验收的重要内容。
信息系统安全风险评估结果应记录在风险评估报告中,有针对性地提出安全整改建议,并将风险评估情况和改进措施报送相关网络安全监管职能部门。4.3实施原则
交通运输信息系统安全风险评估实施遵循以下原则:a)最小影响原则。应保障信息系统的稳定运行,对可能造成影响的评估测试项,应选择在非业务高峰期或模拟仿真环境中进行测试。b)
可控性原则。所有参与评估的安全服务机构人员应签署保密协议,对工作过程数据和结果数据严格管理,未经授权不得泄露给任何单位和个人:所使用的评估工具应获得被评估方的许可。
c)客观公正原则。安全服务机构应在风险评估中充分收集证据,对信息系统安全风险做出客观公正的判断。
4.4实施形式
交通运输信息系统安全风险评估工作可以自行评估或安全服务机构第三方评估的形式开展自行评估和第三方评估互相结合、互相补充。第三方评估应委托具有相应资质的安全服务机构开展。
4.5实施方法
交通运输信息系统安全风险评估工作应采取以下实施方法:a)文档查阅。查阅信息系统的规划设计方案、安全防护方案、管理制度和应急预案等文档,对其进行评估。
b)现场访谈。根据风险评估需要,对信息系统的相关人员进行交流,了解信息系统的开发、集成,供应、使用和管理等过程,了解其存在的风险c)现场检测。对信息系统进行生产环境下的资产状态和配置情况检查测试,并在被评估方同意情况下进行漏洞扫描和渗透测试工作d)远程测试。根据评估工作需要,对信息系统进行远程的漏洞扫描和渗透测试。3
JT/T1275—2019
4.6信息系统生命周期各阶段的风险评估信息系统生命周期各阶段的风险评估应遵循GB/T20984—2007第6章的要求。5风险评估实施
5.1评估原理
信息系统的业务实现依赖于系统资产,系统资产具有脆弱性。系统内部或外部威胁,利用资产脆弱性危害资产,从而产生安全风险,甚至演变为安全事件,并对信息系统业务产生影响。系统采取的安全措施可弥补资产脆弱性,从而抵御威胁、降低风险信息系统安全风险评估,是在识别信息系统的资产、脆弱性和威胁三要素基础上,根据安全事件发生的可能性及其对所作用资产价值造成的损失,计算对系统业务产生的影响,即风险值。5.2实施流程
根据风险评估实施流程中的各项工作内容,风险评估实施应划分为风险评估准备、风险要素识别、风险分析和风险处理四个阶段。各阶段主要工作为:风险评估准备。作为评估实施有效性的保证,是评估工作的开始。a)
b)风险要素识别。对评估活动中的资产,威胁、脆弱性和安全措施各类关键要素进行识别与赋值。风险分析。对识别阶段中获得的各类信息进行关联分析,并计算风险值。风险处理。针对评估出的风险,提出相应的处置建议,并按照处置建议实施安全加固后进行d
参与风险处理等内容。
交通运输信息系统安全风险评估实施流程见图1。风险评估准备
资产识别
风险要素识别
5.3评估准备
威胁识别
风险分析
风险处理
脆弱性识别
风险评估文件
风险评估文件
图1风险评估实施流程
风险评估准备阶段的各项工作应符合GB/T20984—2007的要求,其中组建团队工作参见附录A。5.4资产识别
5.4.1资产分类
交通运输信息系统资产主要分为以下三类:4
JT/T1275—2019
a)生产服务类系统。支撑各交通运输服务部门提供对货物、旅客等运输服务活动的信息服务、生产保障类系统,如轨道交通信号系统、道路交通监控系统、智能闸口系统、各组织机构的门户网站、公路水路出行服务系统和国家交通运输物流公共信息平台等b)行政管理类系统。支撑各级交通运输管理部门和运输服务单位为了维持自身组织活动或者进行交通运输行业行政管理事务而建设的信息系统,如各组织机构的办公系统,船舶产品检验管理系统及网约车监管信息交互平台等。c)
基础支撑类系统。支撑交通运输行业各类系统在计算,操作或通信等方面的运行环境,如各组织机构的数据中心、云计算平台、高速公路光纤网和地理信息平台等。交通运输信息系统风险评估工作应首先确定信息系统的类别,然后按照GB/T20984一2007中表1的规定,对信息系统所包含的资产进行识别和分类。5.4.2资产赋值
5.4.2.1信息系统价值基准
交通运输信息系统的价值基准是基于业务管理和服务保障重要性水平,对信息系统机密性、完整性和可用性三种安全属性的最小要求程度。交通运输行业三类信息系统的价值基准见表1。表1交通运输行业三类信息系统的价值基准信息系统类别
生产服务类
行政管理类
基础支撑类
5.4.2.2资产赋值方法
机密性
完整性
可用性
交通运输信息系统的资产在机密性、完整性和可用性三种安全属性上的价值赋值参见CB/T209842007中的表2表3和表4
信息系统所包含的重要资产价值不应小于此信息系统的价值基准。5.4.2.3资产重要性等级
交通运输信息系统资产重要性等级应由资产的机密性、完整性和可用性三个安全属性的价值综合判定。资产重要性等级描述参见GB/T20984—2007中的表5。交通运输信息系统资产重要性等级的计算公式如下:sa
式中:\-——资产重要性等级;8—一系统三个安全属性的价值基准:α———资产三个安全属性的价值。5.5威胁识别
5.5.1威胁分类
交通运输信息系统安全的威胁来源分为环境和人为的威胁,具体威胁来源见表2。5
JT/T1275—2019
环境因素
非恶意人员
人为因素
恶意人员
表2威胁来源
由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾和地震等环境条件或自然灾害,意外事故或软件,硬件数据和通信线路方面的故障由于缺乏责任心、不关心或者不关注、没有遵循规章制度和操作流程导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足和不具备岗位技能要求而导致信息系统故障或被攻击
心存不满的内部人员由于了解目标系统,并具有一定的权限,往往被允内部人员
境外国家力量
恐怖分子
商业间谍
许不受限制地访问系统,而且比外部的攻击者有更多的攻击机会,因此不需要掌握太多关于计算机人侵的知识,就可以破坏系统或窃取系统数据,攻击的成功率高
组织严密,具有充足资金、人力和技术资源,而且可能在必要时实施高隐蔽性和高破坏性的分发攻击,窗取组织核心机密或使信息系统全面瘫痪
恐怖分子试图破坏,致瘫或利用关键基础设施来威胁国家安全,引起大规模人员伤亡,削弱国家经济,破坏民众的士气与信心。恐怖分子可能利用钓鱼网站和恶意软件来获取资金或搜集敏感信息,也可能会伴攻一个目标以转移对其他目标的关注程度和保护力度黑客入侵网络是为了获得挑战的刺激或者在黑客世界里炫耀自己的能力。这类攻击者大多数不具备专业技术能力,却可以从互联网上下载易于使用且破坏力强的攻击脚本和协议,向目标发起攻击。并且他们的数量庞大,分布在全球,即使是独立或短暂的攻击破坏,也会导致严重的后果
商业间谋通过暗中活动的方式企图获取有情报价值的资产和技术秘密对威胁进行分类的方式有多种。根据表2的威胁来源,表3提供了基于表现形式的一种威胁分类方法。
表3一种基于表现形式的威胁分类种
软硬件故障
物理环境影响
无作为
或操作失误
管理不到位
恶意代码和病毒
由于设备硬件故障,通信链路中断和系统本身或软件缺陷造成对业务实施、系统稳定运行的影响
对信息系统的正常运行造成影响的物理环境问题和自然环境问题
由于应该执行而没有执行相应的操作,或无意地执行了错误的操作,对系统造成的影响
安全管理无法落实或不到位,从而破坏信息系统正常有序运行
具有自我复制、自我传播能力,对信息系统构成破坏的程序代码
威胁子类
控制组件和传感器故障、设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障和开发环境故障等
断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾和地震等环境问题或自然灾害等维护错误、操作失误和披露信息过多等安全管理不规范、管理混乱、职责不明和管理监督不完善等
恶意代码、木马后门、网络病毒、间谋软件和窃听软件等
越权或滥用
网络攻击
社会工程
物理攻击
信息泄露
供应商违规
表3(续)
通过采用一些措施,超越自己的权限访问了本来无权访问的资源,或者滥用自己的职权,做出破坏信息系统的行为利用工具和技术,如侦察、密码破译、安装后门、嗅探、伪造、欺骗和拒绝服务等手段,对信息系统进行攻击和人侵综合利用社会科学,如心理学、语言学和欺诈学等,对信息安全管理过程中的人员以及薄弱环节实施欺骗、欺诈、威胁和恐吓等行为,以及配合技术手段获取信息系统的控制权限及敏感信息通过物理的接触造成对软件、硬件和数据的破坏
信息泄露给不应了解的他人
非法修改信息,破坏信息的完整性使系统的安全性降低或信息不可用供应商及其子供应商依仗其技术优势和客户依赖性,出于国家和商业利益等原因违背合同约定内容改变原有服务约定
除上述威胁以外的威胁
威胁赋值
威胁子类
JT/T1275—2019
未授权访问网络资源、未授权访问系统资源、滥用权限非正常修改系统配置或数据和滥用权限泄露秘密信息等网络探测和信息采集、漏洞探测、膜探(账户,口令和权限等)用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏、实施钓鱼攻击和云计算平台租户利用隔离失效发起攻击等钓鱼邮件、诈骗电话等
物理接触、物理破坏和盗窃等
内部信息泄露、外部信息泄露等算改和旁路工业控制模块指令,篡改网络配置信息、算改系统配置信息、改安全配置信息和套改用户身份信息或业务数据信息等
供应商未经用户同意肆意分包工作内容、供应商利用设备和系统依赖加高运维成本或占有远程运维权限、云服务商未经用户同意操作用户数据,云服务商为系统迁出提出额外收费条件等
交通运输信息系统的威胁赋值参照CB/T20984—2007中表8的规定方法,应主要考虑表4中的威胁类型。
4交通运输信息系统主要威胁
系统类型
生产服务类
重点关注威胁类型
信息泄露
恶意代码
网络攻击
物理攻击
软硬件故障
物理环境影响
重点关注威胁子类
个人信息泄露等
软件后门等
拒绝服务攻击、漏洞利用和钓鱼攻击等户外终端破坏和盗取等
发布信息篡改、配置信息复改和控制模块指令旁路等工控模块故障、通信线路故障等电磁干扰、自然灾害等
JT/T1275—2019
系统类型
行政管理类
基础支撑类
5.6脆弱性识别
脆弱性分类
重点关注威胁类型
网络攻击
信息泄露
管理不到位
越权或滥用
软硬件故障
物理环境影响
网络攻击
供应商违规
表4(续)
重点关注威胁子类
拒绝服务攻击、漏洞利用等
敏感信息泄露等
网页篡改,数据信息假冒等
管理规程缺失、职责不明确和监督控制机制不健全等滥用授权、越权访问等
计算机硬件故障、软件系统故障和通信线路故障等机房内部环境
拒绝服务攻击、漏洞利用等
违规分包、违规操作用户数据等交通运输信息系统的脆弱性识别内容参照CB/T20984—2007中表9规定的方法,应主要考虑表5中的脆弱性内容。
5交通运输信息系统主要识别脆弱性内容表5
系统类别
生产服务类
识别对象
系统软件(含操作系统
及系统服务)
WEB系统
数据库软件
应用系统
工业控制系统
应用中间件
物理环境
组织管理
技术管理
识别内容
从补丁安装、物理保护、用户账号、口令策略、资源共享、事件审计访问控制、新系统配置(初始化)、注册表加固、网络安全和系统管理等方面进行识别
从注人攻击、跨站脚本、页面劫持和缓冲区溢出等方面进行识别从补丁安装、鉴别机制、口令机制、访问控制、网络、服务设置、备份恢复机制和审计机制等方面进行识别从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制和密码保护等方面进行识别
从控制协议、通信协议、无线传输、远程访问、缺省设置、完余控制模块、预置后门、缓冲区溢出、未定义数据包、组件认证和访问控制策略等方面进行识别
从协议安全、交易完整性和数据完整性等方面进行识别从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护和机房设备管理等方面进行识别
从安全策略、行业安全、资产分类与控制、人员安全和符合性等方面进行识别
从物理和环境安全、通信与操作管理、访问控制系统开发与维护和业务连续性等方面进行识别
系统类别
行政管理类
基础支撑类
5.6.2脆弱性赋值
识别对象
系统软件(含操作系统
及系统服务)
应用系统
数据库软件
应用中间件此内容来自标准下载网
技术管理
物理环境
网络结构
云计算平台
技术管理
组织管理
表5(续)
识别内容
JT/T1275—2019
从补丁安装、物理保护、用户账号、口令策略、资源共享、事件审计、访问控制、新系统配置(初始化)、注册表加固、网络安全和系统管理等方面进行识别
从审计机制,审计存储访问控制策略,数据完整性、通信、鉴别机制和密码保护等方面进行识别
从补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、备份恢复机制和审计机制等方面进行识别从协议安全,交易完整性和数据完整性等方面进行识别从物理和环境安全、通信与操作管理、访问控制、系统开发与维护和业务连续性等方面进行识别
从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护和机房设备管理等方面进行识别
从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略和网络设备安全配置等方面进行识别从本地化存储、租户隔离,网络虚拟化、存储虚拟化,可移植性和互操作性、责任划分、访问控制、应急响应、备份恢复、供应链管理、组织和人员管理、物理环境、维护方式、安全审计和安全监测等方面进行识别
从物理和环境安全、通信与操作管理、访问控制、系统开发与维护和业务连续性等方面进行识别
从安全策略、行业安全、资产分类与控制、人员安全和符合性等方面进行识别
交通运输信息系统的脆弱性赋值应符合GB/T20984—2007中表10的规定。5.7风险分析
5.7.1资产风险计算
交通运输信息系统安全风险评估应通过具体的计算方法实现风险值的计算交通运输信息系统资产风险评估的计算方法参见GB/T20984—2007的附录A中风险的计算方法。
5.7.2信息系统安全风险结果评价交通运输信息系统资产安全风险判定结果应参照GB/T20984—2007中表11,划分为很高高,中等、低和很低五个风险级别。交通运输信息系统安全风险评估结果应根据资产风险等级划分为高风险、中风险及低风险三个级别:
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。