JT_T 1275-2019交通运输信息系统安全风险评估指南.pdf

ICS 35. 040L 80JT备案号：中华人民共和国交通运输行业标准JT/T 1275—2019交通运输信息系统安全风险评估指南Security risk assessment guidance for transportation information system2019-07-05发布2019-10-01实施中华人民共和国交通运输部发布 JT/T 1275—2019目次前言范围规范性引用文件术语和定义风险评估总体要求4. 1工作组织4. 2实施要求4. 3实施原则4. 4实施形式4. 5实施方法4. 6信息系统生命周期各阶段的风险评估5风险评估实施5. 1评估原理5. 2实施流程5.3评估准备5. 4资产识别5. 5威胁识别5. 6脆弱性识别5. 7风险分析5. 8风险处理计划5. 9风险评估文件记录10附录A（资料性附录）交通运输信息系统安全风险评估实施困队角色和职责12 JT/T 1275—2019表4(续)系统类型重点关注威胁类型重点关注或胁子类网络攻击拒绝服务攻击、漏润利用等甜息港露敏感信息准露等行政管理类算改网页额改，数据信息假冒等管理不到位管理规程缺失，职责不明确和监管控制机制不健全等越权或溢用谨用授权、越权访间等软硬件故障计算机硬件故障，教件系统故障和通信线路数障等物理环境影响机房内部环境基础支撑类阿络攻击拒绝服务攻击、漏润利用等供应商违规违规分包、违规择作用户数据等5.6脆弱性识别5.6.1脆弱性分类交通运输信息系统的脆弱性识别内容参照GB/T20984—2007中表9规定的方法，应主要考虑表5中的脆弱性内容。表 5交通运输信息系统主要识别瞻弱性内容系统类别识别对象识别内容系统软件（含操作系统从补丁安装、物理保护、用户账号、口令策略，资源共享，事件审计、访同控制，新系统配置（初始化）、注册表加周、网络安全和系统管理及系统服务）等方面进行识别WEB系统从注人攻击，跨站期本，页面劫持和缓冲区溢出等方面进行识别数据库软件从补了安装，鉴别机制，口令机制，访间控制、网络，服务设置、备份恢复机制和审计机制等方面进行识别应用系块从审计机制、事计存储，访间控制策略、数据完整性、通信、墨别机制和密码保护等方面造行识别从控制协议，通信协议、无线传输，远程访间，缺省设置，完余控制生产服务类T.业控制系统模块、预置后门、缓冲区溢出、未定义数据包、组件认证和访同控制策略等方函进行识别应用中间件从协议安全，交易完整性和数据完整性等方再进行识别从机房场地，机房防火、机房供配电，机房防静电、机房接地与防物理环境雷电磁防护，通信线路的保护、机房区域防护和机房设备管理等方面进行识别组织管理从安全策略、行业安全，资产分类与控制、人员安全和符合性等方函进行识别技术管理从物理和环境安全，通信与挥作管理，访间控制、系统开发与维护和业务连续性等方面进行识别 JT/T5(续)系统类别识别对象识别内容系统软件（含操作系统从补丁安装、物理保护，用户账号、口令策略、资源共享，事件审计、及系统服务）访间控制、新系统配置（初始化），注册表加固、网络安全和系统管理等方面进行识别应用系统从审计机制，审计存储、访间控制策略，数据完整性，通信，鉴别机制和密码保护等方面造行识别行政管理类数据库软件从补T安装，整别机制、日令机制、访间控制，网络和服务设置、备份恢复机制和审计机制等方雷进行识别应用中间件从协议安全、交易完整性和数据完整性等方面进行识别技术管理从物理和环境安全，通债与操作管理，访间控制，系统开发与维护和业务连续性等方面进行识别从机房场地、机房防大、机房供配电、机房防静电、机房接地与防物理环境雷，电磁防护，通信线路的保护，机房区域防护和机房设备管理等方面进行识别网络结构从网络结构设计、边界保护，外部访间控制策略、内部访间控制策略和网络设备安全配置等方面进行识例从本地化存储，租户隔离、网络虚拟化，存储虚拟化，可移植性和互基础支律类云计算平台操作性，责任划分，访间控制，应急响应、备份恢复，供应链管理，组织和人员管理，物理环境，维护方式，安全审计和安全监测等方面进行技术管理从物理和环境安全、通信与操作管理，访间控制、系统开发与维护和业务连续性等方面进行识别组织管理从安全策略、行业安全、资产分类与控制、人员安全和符合性等方面进行识别5.6.2脆弱性赋值交通运输信息系统的脆弱性赋值应符合GB/T20984—2007中表10的规定。5.7风险分析5.7.1资产风险计算交通运输信息系统安全风险评估应通过具体的计算方法实现风险值的计算交通运输信息系统资产风险评估的计算方法参见GB/T20984—2007的附录A中风险的计算方法。5.7.2信息系统安全风险结果评价交通运输信息系统资产安全风险判定结果应参照GB/T20984一2007中表11，划分为很