6敏感信息风险要素识别

6.1敏感信息生成的风险要素识别

螺钉标准图1敏感信息风险分析示意图

生成阶段风险评估应能够描述预期使用的敏感信息，包括预期使用的敏感信息的重要性、潜在的价 可能的使用限制、对现有信息主体的作用，并根据其作用确定风险评估应达到的安全目标。 在本阶段评估中，敏感信息资产根据以下方面进行分类与识别： a）敏感信息的信息主体； b）敏感信息的具体内容和存留时间； c）敏感信息的标识。 敏感信息威胁及脆弱性应根据以下方面进行分类与识别： a）敏感信息生成的目的； 敏感信息标记的方式： 敏感信息生成过程中已有的安全措施； d 敏感信息生成阶段的审计记录

6.2敏感信息存储的风险要素识别

存储阶段风险评估应能够描述移动终端敏感信息的存储过程，并根据其过程确定风险评估应达到的 目标。 在本阶段评估申，敏感信息资产根据以下方面进行分类与识别： a）敏感信息存储的时间； 敏感信息存储的内容； C 敏感信息存储的物理介质； 敏感信息存储的操作者权限。 敏感信息威胁及脆弱性应根据以下方面进行分类与识别： a）敏感信息根据安全级别在移动终端的分级存储：

DB44/T 2189.32019

b） 移动终端的安全域隔离运行环境； 敏感信息在存储时进行的完整性校验； 敏感信息在存储时选择的加密方式； 敏感信息存储在移动终端时的调用方式； 敏感信息存储在移动终端时的远程保护方式，包括远程数据锁定能力及远程彻底删除数据能 力； g） 敏感信息在移动终端存储的转移与备份能力，包括远程网络备份能力及移动终端外围接口的转 移与备份能力： h 敏感信息在存储过程中已有的安全措施； i 敏感信息在存储阶段的审计记录。

6.3敏感信息加工的风险要素识别

加工阶段风险评估应能够描述信息主体或合法操作者在移动终端上对敏感信息进行加工的过程，包 活敏感信息加工的目的、加工方法等，并根据其过程确定风险评估应达到的安全目标。 在本阶段评估中，敏感信息资产根据以下方面进行分类与识别： a 敏感信息加工的时间； b） 敏感信息加工的条件； C 敏感信息加工的内容； d）敏感信息加工的操作者权限。 敏感信息威胁及脆弱性应根据以下方面进行分类与识别： a） 敏感信息加工的方式： b） 敏感信息加工过程中已有的安全措施； C）敏感信息加工阶段的审计记录

转移阶段风险评估应能够描述所有与移动终端敏感信息传输相关的身份验证、传输方式、网络运行 环境，包括网络接入及无线外围接口连接等，确定风险评估应达到的安全目标。 在本阶段评估中，敏感信息资产根据以下方面进行分类与识别： a）敏感信息发送方、接收方及操作者权限； b 被转移的敏感信息的内容； C 敏感信息的传输密钥、数字证书、数字签名及其他相关签名。 敏感信息威胁及脆弱性应根据以下方面进行分类与识别： a） 敏感信息转移过程的身份认证； b） 敏感信息在转移过程的网络运行环境： c 敏感信息通过无线网络传输时的用户信息提示； d 敏感信息通过USB接口、无线外围接口，包括NFC接口、蓝牙接口等传输时的用户信息提示： e) 传输密钥的安全管理，包括整个密钥生命周期过程中的密钥安全； f 数字证书的安全管理，包括签名密钥和验证密钥的获取/更换、存储及使用； g） 其他签名技术的管理； 敏感信息转移过程中已有的安全措施； 敏感信息转移阶段的审计记录

6.5敏感信息应用的风险要素识别

DB44/T 2189.3—2019

应用阶段风险评估应能够描述信息主体或授权用户在移动终端应用敏感信息的过程，包括对敏感信 勺访问、共享、分析、修改等操作，并根据其过程确定风险评估应达到的安全目标。 在本阶段评估中，敏感信息资产根据以下方面进行分类与识别： a）敏感信息的访问者及访问权限； b 敏感信息的访问级别； C 被访问的敏感信息内容： d 敏感信息的共享者及共享权限； 敏感信息的共享有效时间； 被共享的敏感信息的内容。 敏感信息威胁及脆弱性应根据以下方面进行分类与识别： a 敏感信息访问过程中的信息提示； b 敏感信息访问过程中的操作，包括读、更新、删除、删除恢复等； C 敏感信息访问过程中的外部认证服务： d 敏感信息访问过程中的授权访问控制； e 敏感信息共享过程中的屏蔽保护、信息隔离： 敏感信息分析过程中信息主体及用户的错误操作、滥用权限，通过演绎推理、数据挖掘、语义 关联等手段获取一些无权获取的信息； 敏感信息应用过程中已有的安全措施； h）敏感信息应用阶段的审计记录。

6.6敏感信息废止与删除的风险要素识别

废止与删除阶段风险评估应能够描述敏感信息超过期限后自行废止及授权用户在移动终端上册删除 感信息的过程，并根据其结果确定风险评估应达到的目标。 在本阶段评估中，敏感信息资产根据以下方面进行分类与识别： a）敏感信息的有效期限； 敏感信息的内容； 敏感信息的废止权限； 敏感信息的删除权限 敏感信息威胁及脆弱性应根据以下方面进行分类与识别： a 敏感信息超过期限后自行废止机制，例如移动终端取消敏感信息标识等； 敏感信息自行废止后移动终端的信息提示； C 敏感信息被删除后移动终端的信息提示； 异常情况下敏感信息被废止、删除后，移动终端所采取的措施； 敏感信息废止与删除阶段的审计记录

7敏感信息风险评估实施

全属性上的达成程度或者其安全属性未达成时所造成的影响程度决定。

DB44/T 2189.32019

资产分类方法应根据移动终端敏感信息在生命周期各阶段活动的表现形式进行分类。例如，在敏感 信息存储阶段，根据敏感信息存储的载体，将敏感信息资产分为数据、软件、硬件、服务、人员等。一 种基于载体的资产分类方法见表1。

表1敏感信息存储阶段资产分类

资产的赋值根据资产在机密性、完整性和可用性三个安全属性上的达成程度决定。达成程度可以通 过安全属性缺失时造成的影响来表示，在风险评估中应建立一个资产价值评价尺度，以指导资产赋值， 资产赋值的过程是对资产的机密性、完整性和可用性上的达成程度进行分析，并在此基础上得出一 个综合结果的过程。 a）机密性赋值 根据敏感信息资产在机密性上的不同特征，将其分为三个不同的等级，分别对应敏感信息资产在 机密性上的不同等级对信息主体的影响。 表2提供了一种机密性赋值的参考，

表2机密性等级赋值与标识

赋值 标识 定义 3 高 包含信息主体的重要秘密，其泄露会造成社会秩序、公共利益严重损害 包含信息主体的一般性秘密，其泄露会造成个人、其他组织的合法权益受到严重 2 中 损害或特别严重损害；或造成社会秩序、公共利益的一般损害 包含仅能在信息主体一定范围内公开的信息，向外扩散造成个人、其他组织的合 一 低 法权益受到一般损害 b）完整性赋值 根据敏感信息资产在完整性上的不同要求，将其分为三个不同的等级，分别对应敏感信息资产在完 整性上的达成的不同程度或者完整性缺失时对信息主体的影响。 表3提供了一种完整性赋值的参考。

根据敏感信息资产在完整性上的不同要求，将其分为三个不同的等级，分别对应敏感信息资产在完 整性上的达成的不同程度或者完整性缺失时对信息主体的影响。 表3提供了一种完整性赋值的参考

表3完整性等级赋值与标识

DB44/T 2189. 32019

c）可用性赋值 根据敏感信息资产在可用性上的不同要求，将其分为三个不同的等级，分别对应敏感信息资产在可 用性上达成的不同程度。 表4提供了一种可用性赋值的参考。

表4可用性等级赋值与标识

合评定方法可以根据信息主体的安全 选择对敏感信息资产机密性、完整性和可用性最为重要的 个属性的赋值等级作为资产的最终赋值结果，也可以根据敏感信息资产机密性、完整性和可用性的不同 重要程度对其赋值进行加权计算而得到资产的最终赋值。敏感信息资产重要性划分为四级，级别越高表 示资产重要性程度越高。 表5提供了一种资产重要性等级划分的参考，

表5资产重要性等级赋值与标识

平估者可根据资产赋值结果，确定重要资产的范围，并主要围绕重要资产展开风险评估实施步

威胁识别应根据移动终端敏感信息在生命周期各阶段活动存在的威胁主体、资源、动机、途径等多 种属性描述。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机，人为因素又可分为恶意因 素和非恶意因素。环境因素包括物理环境因素和社会因素。威胁作用形式可以对信息主体直接或间接的 攻击，在机密性、完整性、可用性等方面造成损害，也可能是偶发的或蓄意的事件

7.3.2威胁识别分类

DB44/T 2189.32019

威胁识别分类包括两个步骤： a）确定威胁来源列表； b）根据威胁表现形式对威胁来源进行分类。 例如，在敏感信息转移阶段，首先应考虑威胁来源列表，表6提供了敏感信息转移阶段威胁来源 列表。

表6敏感信息转移阶段威胁来源列表

针对上表的威胁来源，对威胁来源进行分类，表7提供了敏感信息转移阶段威胁分类表。

表7敏感信息转移阶段威胁分类表

DB44/T 2189.3—2019

在敏感信息风险评估过程中，综合考虑以下三个方面，形成在某种评估环境申各种威胁出现的频 率： a 以往安全事件报告中出现过的威胁及其频率的统计； b）实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计； C 近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计，以及发布的威胁预 警。 根据敏感信息面临的威胁特征，将威胁频率等级划分为三级，分别代表威胁出现的频率的高低， 等级数值越大，威胁出现的频率越高，

表8威胁等级赋值与标识

7.4.1脆弱性识别分类

危弱性识别将针对每一项需要保护的资产，找出可能被威胁利用的弱点，并对脆弱性的严重程

DB44/T 2189.3—2019

适当的安全措施应核实是否应被取消，或者用更合适的安全措施替代。

在完成了敏感信息资产识别、威胁识别、脆弱性识别，以及对已有安全措施确认后，采用风险分机 莫型和工具确定威胁利用脆弱性导致安全事件发生的可能性，并根据安全事件发生的可能性和负面影响 的程度来识别移动终端应用环境的敏感信息安全风险。风险分析范式见式（a）。 风险值=R（A，T，V)=R（L（T，V)，F（A，T)） ·（a） 其中，R表示安全风险计算函数；A表示敏感信息资产价值；T表示威胁；V表示脆弱性；A表示 安全事件所作用的资产重要程度；T表示脆弱性严重程度；L表示威胁利用资产的脆弱性导致安全事件 发生的可能性；F表示安全事件发生后产生的损失。 a）计算安全事件发生的可能性 根据威胁出现频率及脆弱性状况，综合攻击者技术能力、脆弱性被利用的难易程度以及资产吸弓 力等因素计算威胁利用脆弱性导致安全事件发生的可能性，见式（b）。 安全事件发生的可能性=L（威胁出现频率，脆弱性）=L（T，V）·： ·（b） b）计算安全事件发生后的损失 根据资产重要程度及脆弱性严重程度，计算安全事件一旦发生后的损失，见式（c）。 安全事件的影响=F（资产重要程度，脆弱性严重程度）=F（A，T）·： ·.（c） ）计算风险值 根据计算出的安全事件发生的可能性以及安全事件的损失，计算风险值，见式（d）。 风险值=R（安全事件发生的可能性，安全事件的损失）=R（L（T，V），F（A，T））····（d

8. 2. 1风险计算方法

8. 2. 2 风险等级赋值

移动终端敏感信息风险等级划分为三级，等级越高，风险越高。评估者应根据风险计算方法为每个 等级设定风险值范围信息安全技术标准规范范本，并对所有风险计算结果进行等级处理。 风险等级划分表如表11所示，

表11风险等级赋值与标识

DB44/T2189.32019

评估值小于或等于可接受风险阈值，是可接受风险，可保持已有的安全措施；如果评估值大于可接受风 险阈值，是不可接受风险，则需要采取安全措施以降低、控制风险。安全措施的选择应兼顾管理与技术 两个方面，可以按信息安全的相关标准实施。 在对于不可接受风险选择适当的安全措施后，为确保安全措施的有效性，可进行再评估，以判断实 施安全措施后的残余风险是否已经降低到可接受的水平。残余风险的再评估可以依据本标准提出的风险 评估流程进行，也可做适当裁减。 某些风险可能在选择了适当的安全措施后仍处于不可接受的风险范围内，应考虑是否接受此风险或 进一步增加相应的安全措施。

风险处理是根据风险评估的结果，选择和实施合适的安全措施，将风险始终控制在可接受的范围内 险处理的方式主要包括以下几种： a 规避方式：通过不使用面临风险的资产来避免风险。比如，在移动终端没有提供足够的安全保 障能力的条件下不生成敏感信息。 转移方式：通过将面临风险的资产或其价值转移到更安全的地方来避免或降低风险。比如，在 移动终端没有提供足够的安全保障能力的条件下将敏感信息进行数据转移和备份。 C 降低方式：通过对面临风险的资产采取保护措施来降低风险，针对敏感信息的风险要素建立保 护措施。比如污水处理厂标准规范范本，在敏感信息传输阶段，增加身份认证措施，降低用户身份伪造的安全风险。 d 接受方式：对面临的风险不采取进一步的处理措施，接受风险可能带来的结果。比如，在敏感 信息废止与删除阶段，移动终端在异常情况下不彻底的删除敏感信息，并且不采取进一步处理 措施，接受敏感信息残留的风险，

DB44/T 2189.3—2019

DB44/T 2189. 32019