信息安全評估實例

1、信息安全風險評評估實實例 本章概要：本章概要： 之前介紹了信息安全風險評估的基本過程，本章以某信之前介紹了信息安全風險評估的基本過程，本章以某信息系統(tǒng)為例詳細介紹信息安全風險評估的實施過程。依據(jù)息系統(tǒng)為例詳細介紹信息安全風險評估的實施過程。依據(jù)GB/T 209842007信息安全技術(shù)信息安全技術(shù) 信息安全風險評估規(guī)范信息安全風險評估規(guī)范和和信息安全風險評估的基本過程信息安全風險評估的基本過程，將信息安全風險評估的實，將信息安全風險評估的實施過程分為評估準備、識別并評價資產(chǎn)、識別并評估威脅、施過程分為評估準備、識別并評價資產(chǎn)、識別并評估威脅、識別并評估脆弱性、分析可能性和影響、風險計算、風險處識

2、別并評估脆弱性、分析可能性和影響、風險計算、風險處理、編寫信息安全風險評估報告等階段。理、編寫信息安全風險評估報告等階段。本章目錄1 評評估準備備2 識別并評識別并評價資產(chǎn)資產(chǎn)3 識別并評識別并評估威脅脅4 識別并評識別并評估脆弱性5 分析可能性和影響響6 風險計風險計算7 風險處風險處理8 編寫編寫信息安全風險評風險評估報報告 上機實驗上機實驗1 評估準備依據(jù)依據(jù)GB/T 209842007信息安全技術(shù)信息安全技術(shù) 信息安全風險信息安全風險評估規(guī)范評估規(guī)范，在風險評估實施前，應(yīng)確定風險評估的目標，在風險評估實施前，應(yīng)確定風險評估的目標，確定評估范圍，組建評估管理與實施團隊，進行系統(tǒng)調(diào)研，確定

3、評估范圍，組建評估管理與實施團隊，進行系統(tǒng)調(diào)研，確定評估依據(jù)和方法，制定評估方案，獲得最高管理者的支確定評估依據(jù)和方法，制定評估方案，獲得最高管理者的支持。持。1.1 確定信息安全風險評風險評估的目標標 信息系統(tǒng)風險評統(tǒng)風險評估目標標是通過風險評過風險評估，分析信息系統(tǒng)統(tǒng)的安全狀況狀況，全面了解和掌握信息系統(tǒng)統(tǒng)面臨臨的安全風險風險，評評估信息系統(tǒng)統(tǒng)的風險風險，提出風險風險控制建議議，為為下一步完善管理制度以及今后的安全建設(shè)設(shè)和風險風險管理提供第一手資資料。 8.1.2 確定信息安全風險評風險評估的范圍圍既定的信息安全風險評估可能只針對組織全部資產(chǎn)的一個既定的信息安全風險評估可能只針對組織全部資

4、產(chǎn)的一個子集，評估范圍必須明確。本次評估的范圍包括該信息系統(tǒng)子集，評估范圍必須明確。本次評估的范圍包括該信息系統(tǒng)網(wǎng)絡(luò)、管理制度、使用或管理該信息系統(tǒng)的相關(guān)人員，以及網(wǎng)絡(luò)、管理制度、使用或管理該信息系統(tǒng)的相關(guān)人員，以及由系統(tǒng)使用時所產(chǎn)生的文檔、數(shù)據(jù)。由系統(tǒng)使用時所產(chǎn)生的文檔、數(shù)據(jù)。8.1.3 組組建適當當?shù)脑u評估管理與實與實施團隊團隊組建由該單位領(lǐng)導(dǎo)、風險評估專家、技術(shù)專家，以及各管組建由該單位領(lǐng)導(dǎo)、風險評估專家、技術(shù)專家，以及各管理層、業(yè)務(wù)部門的相關(guān)人員組成風險評估小組，同時明確規(guī)理層、業(yè)務(wù)部門的相關(guān)人員組成風險評估小組，同時明確規(guī)定每個成員的任務(wù)分工定每個成員的任務(wù)分工 。8.1.4 進進行

5、系統(tǒng)調(diào)研統(tǒng)調(diào)研通過問過問卷調(diào)查調(diào)查、人員訪談員訪談、現(xiàn)場現(xiàn)場考察、核查查表等形式，對對信息系統(tǒng)統(tǒng)的業(yè)務(wù)業(yè)務(wù)、組織結(jié)構(gòu)組織結(jié)構(gòu)、管理、技術(shù)術(shù)等方面進進行調(diào)查調(diào)查。問問卷調(diào)查調(diào)查、人員訪談員訪談的方式使用了調(diào)查調(diào)查表，調(diào)查調(diào)查了系統(tǒng)統(tǒng)的管理、設(shè)備設(shè)備、人員員管理的情況況，現(xiàn)場現(xiàn)場考察、核查查表的方式考察了設(shè)備設(shè)備的具體位置，核查查了設(shè)備設(shè)備的實際實際配置等情況況，得出有關(guān)關(guān)信息系統(tǒng)統(tǒng)的描述。8.1.4.1 業(yè)務(wù)業(yè)務(wù)目標標和業(yè)務(wù)業(yè)務(wù)特性1業(yè)務(wù)業(yè)務(wù)目標標信息系統(tǒng)統(tǒng)主要負責數(shù)負責數(shù)據(jù)的收集、技術(shù)處術(shù)處理以及預(yù)測預(yù)測分析，為為相關(guān)關(guān)部門門提供決決策和管理支持，向社會會提供公益服務(wù)務(wù)。 2業(yè)務(wù)業(yè)務(wù)特性 通過

6、對過對信息系統(tǒng)統(tǒng)的業(yè)務(wù)業(yè)務(wù)目標標的分析，歸納歸納出以下業(yè)務(wù)業(yè)務(wù)特性： 業(yè)務(wù)種類業(yè)務(wù)種類多，技術(shù)術(shù)型工作與與管理型工作并并重； 業(yè)務(wù)業(yè)務(wù)不可中斷斷性低； 業(yè)務(wù)業(yè)務(wù)保密性要求低； 業(yè)務(wù)業(yè)務(wù)基本不涉及現(xiàn)現(xiàn)金流動動； 人員業(yè)務(wù)員業(yè)務(wù)素質(zhì)質(zhì)要求高。8.1.4.2 管理特性現(xiàn)現(xiàn)有的規(guī)規(guī)章制度原則則性要求較較多，可操作性較較低，在信息安全管理方面偏重于技術(shù)術(shù)。8.1.4.3 網(wǎng)絡(luò)網(wǎng)絡(luò)特性信息系統(tǒng)統(tǒng)的網(wǎng)絡(luò)網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖結(jié)構(gòu)圖如圖圖8-1所示。 圖8-1 網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖 8.1.5 評評估依據(jù)評評估所遵循的依據(jù)如下：1.信息安全技術(shù)術(shù) 信息安全風險評風險評估規(guī)規(guī)范（GB/T 20984-2007）2.信息技術(shù)術(shù)

7、信息技術(shù)術(shù)安全管理指南（GB/T 19715-2005）3.信息技術(shù)術(shù)信息安全管理實實用規(guī)則規(guī)則（GB/T 19716-2005）2.信息安全等級級保護護管理辦辦法（公通字200743號號）3.信息安全技術(shù)術(shù) 信息系統(tǒng)統(tǒng)安全管理要求（GB/T 20269-2006）8.1.6 信息安全風險評風險評估項項目實實施方案8.1.6.1 項項目組織組織機構(gòu)構(gòu)項目實施的組織機構(gòu)如下項目實施的組織機構(gòu)如下:項目工程領(lǐng)導(dǎo)小組由受測機構(gòu)主管信息安全的領(lǐng)導(dǎo)和評估項目工程領(lǐng)導(dǎo)小組由受測機構(gòu)主管信息安全的領(lǐng)導(dǎo)和評估機構(gòu)領(lǐng)導(dǎo)共同組成。項目工程領(lǐng)導(dǎo)小組定期聽取項目工程管機構(gòu)領(lǐng)導(dǎo)共同組成。項目工程領(lǐng)導(dǎo)小組定期聽取項目工程

8、管理小組匯報整個項目的進展情況和項目實施關(guān)鍵階段的成果；理小組匯報整個項目的進展情況和項目實施關(guān)鍵階段的成果；項目實施完畢之后，領(lǐng)導(dǎo)小組將根據(jù)整個項目的成果情況，項目實施完畢之后，領(lǐng)導(dǎo)小組將根據(jù)整個項目的成果情況，批準并主持項目試點總結(jié)工作。批準并主持項目試點總結(jié)工作。項目工程管理小組由評估雙方的項目負責人組成。主要職項目工程管理小組由評估雙方的項目負責人組成。主要職責是審核確認項目實施組制定的現(xiàn)場工作計劃，并監(jiān)督項目責是審核確認項目實施組制定的現(xiàn)場工作計劃，并監(jiān)督項目進展情況；主持階段成果匯報會議；做好協(xié)調(diào)工作，保證項進展情況；主持階段成果匯報會議；做好協(xié)調(diào)工作，保證項目的順利執(zhí)行。目的順利

9、執(zhí)行。項目實施組由評估專家、評估工程師及受測機構(gòu)的安全管項目實施組由評估專家、評估工程師及受測機構(gòu)的安全管理員、網(wǎng)絡(luò)管理員和應(yīng)用系統(tǒng)分析員組成。主要職責是制定理員、網(wǎng)絡(luò)管理員和應(yīng)用系統(tǒng)分析員組成。主要職責是制定詳細項目實施計劃，根據(jù)實施計劃開展工作。詳細項目實施計劃，根據(jù)實施計劃開展工作。質(zhì)量控制組由質(zhì)量控制人員組成。主要負責對各個服務(wù)項質(zhì)量控制組由質(zhì)量控制人員組成。主要負責對各個服務(wù)項目的實施情況進行質(zhì)量控制和最終的驗收。目的實施情況進行質(zhì)量控制和最終的驗收。外聘專家組由有經(jīng)驗的專家組成。主要負責對項目的方案外聘專家組由有經(jīng)驗的專家組成。主要負責對項目的方案分析、實施、步驟、關(guān)鍵問題的解決及

10、新技術(shù)的應(yīng)用提供思分析、實施、步驟、關(guān)鍵問題的解決及新技術(shù)的應(yīng)用提供思路、指導(dǎo)和咨詢。路、指導(dǎo)和咨詢。8.1.6.2 項項目階階段劃劃分本次風險評估項目分項目準備、現(xiàn)狀調(diào)研、檢查與測試、本次風險評估項目分項目準備、現(xiàn)狀調(diào)研、檢查與測試、分析評估及編制評估報告六個階段，各階段工作定義說明如分析評估及編制評估報告六個階段，各階段工作定義說明如下：下：項目準備：項目實施前期工作，包括成立項目組，確定評項目準備：項目實施前期工作，包括成立項目組，確定評估范圍，制定項目實施計劃，收集整理開發(fā)各種評估工具等。估范圍，制定項目實施計劃，收集整理開發(fā)各種評估工具等。工作方式：研討會。工作成果：工作方式：研討會

11、。工作成果：項目組成員信息表項目組成員信息表、評估范圍說明評估范圍說明、評估實施計劃評估實施計劃。現(xiàn)狀調(diào)研：通過訪談?wù){(diào)查，收集評估對象信息。工作方式：現(xiàn)狀調(diào)研：通過訪談?wù){(diào)查，收集評估對象信息。工作方式：訪談、問卷調(diào)查。工作成果：訪談、問卷調(diào)查。工作成果：各種系統(tǒng)資料記錄表單各種系統(tǒng)資料記錄表單。檢查與測試：手工或工具檢查及測試。進行資產(chǎn)分析、威檢查與測試：手工或工具檢查及測試。進行資產(chǎn)分析、威脅分析和脆弱性掃描。工作方式：訪談、問卷調(diào)查、測試、脅分析和脆弱性掃描。工作方式：訪談、問卷調(diào)查、測試、研討會。工作成果：研討會。工作成果：資產(chǎn)評估報告資產(chǎn)評估報告、威脅評估報告威脅評估報告、脆弱性評估報

12、告脆弱性評估報告。ID任務(wù)名稱開始時間完成時間持續(xù)時間2007年5月2007年6月5-65-135-205-276-36-106-176-241項目準備5-85-1710d2現(xiàn)狀調(diào)研5-185-2711d3檢查與測試5-286-812d4分析評估6-96-179d5編制評估報告6-186-2811d分析評估：根據(jù)相關(guān)標準或?qū)嵺`經(jīng)驗確定安全風險，并給分析評估：根據(jù)相關(guān)標準或?qū)嵺`經(jīng)驗確定安全風險，并給出整改措施。工作方式：訪談、研討會。工作成果：出整改措施。工作方式：訪談、研討會。工作成果：安全安全風險分析說明風險分析說明。編制評估報告：完成最終評估報告。工作方式：研討會。編制評估報告：完成最終評

13、估報告。工作方式：研討會。工作成果：工作成果：信息系統(tǒng)綜合評估報告信息系統(tǒng)綜合評估報告。表表8-1 8-1 信息系統(tǒng)風險評估實施進度表信息系統(tǒng)風險評估實施進度表8.1.7 獲獲得最高管理者對對信息安全風險評風險評估工作的支持上述所有內(nèi)內(nèi)容得到了相關(guān)關(guān)管理者的批準，并對并對管理層層和員員工進進行了傳達傳達。8.2 識別并評價資產(chǎn)依據(jù)依據(jù)GB/T 209842007信息安全技術(shù)信息安全技術(shù) 信息安全風險信息安全風險評估規(guī)范評估規(guī)范和第和第7章信息安全風險評估的基本過程，對資產(chǎn)進章信息安全風險評估的基本過程，對資產(chǎn)進行分類并按照資產(chǎn)的保密性、完整性和可用性進行賦值。行分類并按照資產(chǎn)的保密性、完整性和

14、可用性進行賦值。8.2.1 識別資產(chǎn)識別資產(chǎn)根據(jù)對對信息系統(tǒng)統(tǒng)的調(diào)查調(diào)查分析，并結(jié)并結(jié)合業(yè)務(wù)業(yè)務(wù)特點和系統(tǒng)統(tǒng)的安全要求，確定了系統(tǒng)統(tǒng)需要保護護的資產(chǎn)資產(chǎn)，見見表8-2。資產(chǎn)編號資產(chǎn)名稱型號A-01路由器-1CISCO3640A-02路由器-2華為NE40A-03交換機-1CATALYST4000A-04交換機-2CISCO3745A-05交換機-3CISCO2950A-06防火墻-1聯(lián)想網(wǎng)域SuperV-5318A-07防火墻-2聯(lián)想網(wǎng)域UTM-418DA-08防火墻-3網(wǎng)神Secgate 3600-F3A-09防病毒服務(wù)器MACFEEA-10數(shù)據(jù)服務(wù)器HP DL380A-11應(yīng)用服務(wù)器HP

15、DL380A-12PC-1HP X8620A-13PC-2HP X8620A-14UPSChampin(20KW)A-15空調(diào)美的表表8-2 8-2 信息系統(tǒng)資產(chǎn)列表信息系統(tǒng)資產(chǎn)列表8.2.2 資產(chǎn)賦值資產(chǎn)賦值 對識別對識別的信息資產(chǎn)資產(chǎn)，按照資產(chǎn)資產(chǎn)的不同安全屬屬性，即保密性、完整性和可用性的重要性和保護護要求，分別對資產(chǎn)別對資產(chǎn)的CIA三性予以賦值賦值，見見表8-3，這這里采用五個個等級級。資產(chǎn)編號資產(chǎn)名稱型號保密性完整性可用性A-01路由器-1CISCO3640000A-02路由器-2華為NE40132A-03交換機-1CATALYST4000133A-04交換機-2CISCO37451

16、33A-05交換機-3CISCO2950244A-06防火墻-1聯(lián)想網(wǎng)域SuperV-5318134A-07防火墻-2聯(lián)想網(wǎng)域UTM-418D124A-08防火墻-3網(wǎng)神Secgate 3600-F3124A-09防病毒服務(wù)器MACFEE134A-11數(shù)據(jù)服務(wù)器HP DL380244A-12應(yīng)用服務(wù)器HP DL380244A-14PC-1HP X8620144A-15PC-2HP X8620144A-16UPSChampin(20KW)145A-18空調(diào)美的124表表8-3 8-3 資產(chǎn)資產(chǎn)CIACIA三性等級表三性等級表8.2.3 資產(chǎn)資產(chǎn)價值值根據(jù)資產(chǎn)資產(chǎn)保密性、完整性和可用性的不同等級對

17、級對其賦值進賦值進行加權(quán)計權(quán)計算得到資產(chǎn)資產(chǎn)的最終賦值結(jié)終賦值結(jié)果。加權(quán)權(quán)方法可根據(jù)組織組織的業(yè)務(wù)業(yè)務(wù)特點確定。資產(chǎn)資產(chǎn)價值值如表8-4所示。資產(chǎn)編號資產(chǎn)名稱安全屬性賦值權(quán)值資產(chǎn)價值保密性完整性可用性保密性完整性可用性A-01路由器-11110105041.0A-02路由器-21320105042.4A-03交換機-11330103062.8A-04交換機-21330103062.8A-05交換機-32440103063.8A-06防火墻-11340102073.5A-07防火墻-21240104052.9A-08防火墻-31240104052.9A-09防病毒服務(wù)器1340103063.4A

18、-10數(shù)據(jù)服務(wù)器2440104053.8A-11應(yīng)用服務(wù)器2440104053.8A-12PC-11440104053.7A-13PC-21440104053.7A-14UPS1450103064.3A-15空調(diào)1240005053.0表表8-4 8-4 資產(chǎn)價值表資產(chǎn)價值表8.3 識別并評估威脅在本次評估中，首先收集系統(tǒng)所面臨的威脅，然后對威在本次評估中，首先收集系統(tǒng)所面臨的威脅，然后對威脅的來源和行為進行分析。威脅的收集主要是通過問卷調(diào)查、脅的來源和行為進行分析。威脅的收集主要是通過問卷調(diào)查、人員訪談、現(xiàn)場考察、查看系統(tǒng)工作日志以及安全事件報告人員訪談、現(xiàn)場考察、查看系統(tǒng)工作日志以及安全事

19、件報告或記錄等方式進行，同時使用綠盟或記錄等方式進行，同時使用綠盟1200D-02，收集整個系統(tǒng)，收集整個系統(tǒng)所發(fā)生的入侵檢測記錄。所發(fā)生的入侵檢測記錄。 表表8-5是本次評估分析得到的威脅列表。是本次評估分析得到的威脅列表。威脅編號威脅類別描述T-01硬件故障由于設(shè)備硬件故障導(dǎo)致對業(yè)務(wù)高效穩(wěn)定運行的影響。T-02未授權(quán)訪問因系統(tǒng)或網(wǎng)絡(luò)訪問控制不當引起的非授權(quán)訪問。T-03漏洞利用利用操作系統(tǒng)本身的漏洞導(dǎo)致的威脅。T-04操作失誤或維護錯誤由于應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或非故意地執(zhí)行了錯誤的操作，對系統(tǒng)造成影響。T-05木馬后門攻擊木馬后門攻擊T-06惡意代碼和病毒具有復(fù)制、自我傳播能力，

20、對信息系統(tǒng)構(gòu)成破壞的程序代碼。T-07原發(fā)抵賴不承認收到的信息和所作的操作。T-08權(quán)限濫用濫用自己的職權(quán)，做出泄露或破壞。T-09泄密通過竊聽、惡意攻擊的手段獲得系統(tǒng)秘密信息。T-10數(shù)據(jù)篡改通過惡意攻擊非授權(quán)修改信息，破壞信息的完整性。表表8-5 8-5 信息系統(tǒng)面臨的威脅列表信息系統(tǒng)面臨的威脅列表8.4 識別并評估脆弱性 從技術(shù)和管理兩方面對本項目的脆弱性進行評估。技術(shù)脆弱性主要是通過使用極光遠程安全評估系統(tǒng)進行系統(tǒng)掃描。按照脆弱性工具使用計劃，使用掃描工具對主機等設(shè)備進行掃描，查找主機的系統(tǒng)漏洞、數(shù)據(jù)庫漏洞、共享資源以及帳戶使用等安全問題。在進行工具掃描之后，結(jié)合威脅分析的內(nèi)容，根據(jù)得

21、出的原始記錄，進行整體分析。按照各種管理調(diào)查表的安全管理要求對現(xiàn)有的安全管理制度及其執(zhí)行情況進行檢查，發(fā)現(xiàn)其中的管理脆弱性。資產(chǎn)名稱 脆弱性ID脆弱性名稱脆弱性描述路由器-1VULN-01Cisco未設(shè)置密碼Cisco路由器未設(shè)置密碼，將允許攻擊者獲得網(wǎng)絡(luò)的更多信息VULN-02CISCO IOS界面被IPv4數(shù)據(jù)包阻塞通過發(fā)送不規(guī)則IPv4數(shù)據(jù)包可以阻塞遠程路由器。路由器-2VULN-03沒有制定訪問控制策略沒有制定訪問控制策略VULN-04安裝與維護缺乏管理安裝與維護缺乏管理交換機-1 VULN-05日志及管理功能未啟用日志及管理功能未啟用交換機-2VULN-06CSCdz39284當發(fā)送

22、畸形的SIP數(shù)據(jù)包時，可導(dǎo)致遠程的IOS癱瘓VULN-07CSCdw33027當發(fā)送畸形的SSH數(shù)據(jù)包時，可導(dǎo)致遠程的IOS癱瘓交換機-3VULN-08CSCds04747Cisco的IOS軟件有一個漏洞，允許獲得TCP的初始序列號VULN-09沒有配備ServicePassword Encryption服務(wù)沒有配備Service PasswordEncryption服務(wù)防火墻-1VULN-10安裝與維護缺乏管理安裝與維護缺乏管理VULN-11缺少操作規(guī)程和職責管理缺少操作規(guī)程和職責管理防火墻-2VULN-12防火墻開放端口增加防火墻開放端口增加VULN-13防火墻關(guān)鍵模塊失效防火墻關(guān)鍵模塊失

23、效資產(chǎn)名稱脆弱性ID脆弱性名稱脆弱性描述防火墻-3VULN-14未啟用日志功能未啟用日志功能防病毒服務(wù)器VULN-15操作系統(tǒng)補丁未安裝未及時安裝補丁VULN-16設(shè)備不穩(wěn)定設(shè)備不穩(wěn)定VULN-17操作系統(tǒng)的口令策略沒有啟用操作系統(tǒng)的口令策略沒有啟用VULN-18操作系統(tǒng)開放多余服務(wù)操作系統(tǒng)開放多余服務(wù)數(shù)據(jù)服務(wù)器VULN-19缺少操作規(guī)程和職責管理缺少操作規(guī)程和職責管理VULN-20存在弱口令存在弱口令VULN-21操作系統(tǒng)補丁未安裝未及時安裝補丁VULN-22沒有訪問控制措施沒有訪問控制措施應(yīng)用服務(wù)器VULN-23缺少操作規(guī)程和職責管理缺少操作規(guī)程和職責管理VULN-24存在弱口令存在弱口令

24、VULN-25操作系統(tǒng)補丁未安裝未及時安裝補丁VULN-26Telnet漏洞未及時安裝補丁VULN-27可以通過SMB連接注冊表可以通過SMB連接注冊表PC-1VULN-28操作系統(tǒng)補丁未安裝未及時安裝補丁VULN-29使用NetBIOS探測Windows主機信息使用NetBIOS探測Windows主機信息PC-2VULN-30木馬和后門木馬和后門VULN-31SMB shares accessSMB登錄VULN-32弱口令弱口令UPSVULN-33設(shè)備不穩(wěn)定設(shè)備不穩(wěn)定空調(diào)VULN-34設(shè)備不穩(wěn)定設(shè)備不穩(wěn)定表8-6 技術(shù)脆弱性評估結(jié)果8.5 分析可能性和影響8.5.1 分析威脅發(fā)脅發(fā)生的頻頻率

25、 威脅發(fā)生的頻率需要根據(jù)威脅、脆弱性和安全措施來綜合評價。表8-7給出了5個級別定義的描述。等級威脅頻率描述5很高大多數(shù)情況下幾乎不可避免或者可以證實發(fā)生過的頻率很高4高在大多數(shù)情況下很有可能會發(fā)生或者可以證實曾發(fā)生過3中在某種情況下可能會發(fā)生但未被證實發(fā)生過2低一般不太可能發(fā)生1很低幾乎不可能發(fā)生表8-7 可能性級別定義8.5.2 分析脆弱性嚴嚴重程度 脆弱性嚴重程度是指威脅一次成功地利用脆弱性后對組織造成的不期望的后果或損失的相對等級，表8-8給出了5個級別定義的描述。等級嚴重程度描述5很高可引起系統(tǒng)持續(xù)中斷或永久關(guān)閉?？梢鸫硇畔⒒蚍?wù)的重大損失4高可引起重要系統(tǒng)的中斷，或連接客戶損失

26、或商業(yè)信任損失3中等能引起系統(tǒng)聲望的損害，或是對系統(tǒng)資源或服務(wù)的信任程度的降低，需要支付重要資源維修費2低對系統(tǒng)有一些很小的影響，只須很小的努力就可恢復(fù)系統(tǒng)1很低對系統(tǒng)幾乎沒有影響表8-8 嚴重程度定義8.6 風險計算 首先建立資產(chǎn)、威脅和脆弱性關(guān)聯(lián)，并給威脅發(fā)生的可能性及脆弱性嚴重程度賦值，如表8-9所示。 在本項目中，采用7.8介紹的矩陣法和相乘法進行風險計算。資產(chǎn)威脅威脅頻率脆弱性嚴重程度路由器-1未授權(quán)訪問2Cisco未設(shè)置密碼3漏洞利用5CISCO IOS界面被IPv4數(shù)據(jù)包阻塞3路由器-2未授權(quán)訪問2沒有制定訪問控制策略4操作失誤或維護錯誤2安裝與維護缺乏管理4交換機-1漏洞利用5

27、日志及管理功能未啟用3交換機-2漏洞利用5CSCdz392843CSCdw330273交換機-3漏洞利用5CSCds047474沒有配備Service PasswordEncryption服務(wù)4防火墻-1操作失誤或維護錯誤2安裝與維護缺乏管理5缺少操作規(guī)程和職責管理5防火墻-2 未授權(quán)訪問1防火墻開放端口增加5防火墻關(guān)鍵模塊失效4防火墻-3原發(fā)抵賴3未啟用日志功能5病毒服務(wù)器惡意代碼或病毒3操作系統(tǒng)補丁未安裝5硬件故障1設(shè)備不穩(wěn)定5未授權(quán)訪問4操作系統(tǒng)的口令策略沒有啟用5木馬后門攻擊4操作系統(tǒng)開放多余服務(wù)4資產(chǎn)威脅威脅頻率脆弱性嚴重程度數(shù)據(jù)服務(wù)器操作失誤或維護錯誤2缺少操作規(guī)程和職責管理5未授

28、權(quán)訪問4存在弱口令5惡意代碼或病毒3操作系統(tǒng)補丁未安裝5權(quán)限濫用4沒有訪問控制措施4應(yīng)用服務(wù)器操作失誤或維護錯誤2缺少操作規(guī)程和職責管理5未授權(quán)訪問4存在弱口令5惡意代碼或病毒3操作系統(tǒng)補丁未安裝5漏洞利用5Telnet漏洞4可以通過SMB連接注冊表5PC-1惡意代碼或病毒3操作系統(tǒng)補丁未安裝5數(shù)據(jù)篡改3使用NetBIOS探測Windows主機信息5PC-2惡意代碼或病毒3木馬和后門5數(shù)據(jù)篡改3SMB shares access4竊密4弱口令5UPS硬件故障1設(shè)備不穩(wěn)定5空調(diào)硬件故障1設(shè)備不穩(wěn)定5表8-9 資產(chǎn)、威脅、脆弱性關(guān)聯(lián)表8.6.1 8.6.1 使用矩使用矩陣陣法法計計算算風險風險 利

29、用矩陣法，首先根據(jù)表7-21，計算安全事件發(fā)生的可能性，再根據(jù)安全事件可能等級劃分表7-22，計算安全事件發(fā)生的可能性值等級。根據(jù)安全事件發(fā)生損失矩陣表7-23，計算安全事件的損失，再根據(jù)安全事件損失等級劃分表7-24，計算安全事件損失等級。根據(jù)風險矩陣表7-25，計算風險風險值。最后根據(jù)風險等級劃分表7-26，確定風險等級。所有計算結(jié)果如表8-10所示。資產(chǎn)資產(chǎn)價值威脅威脅頻率脆弱性嚴重程度安全事件可能性可能性等級安全事件損失損失等級風險值風險等級A-011T-022VULN-0131026282T-035VULN-02317462153A-022T-022VULN-034133123133

30、T-042VULN-044133123133A-033T-035VULN-053174113173A-043T-035VULN-063174113173VULN-073174113173A-054T-035VULN-084204194204VULN-094204194204A-064T-042VULN-105174225234VULN-115174225234A-073T-021VULN-125143204163VULN-083T-073VULN-145204204204表8-10 風險計算表1資產(chǎn)資產(chǎn)價值威脅威脅頻率脆弱性嚴重程度安全事件可能性可能性等級安全事件損失

31、損失等級風險值風險等級A-093T-063VULN-155204204204T-011VULN-165143204163T-024VULN-175225204234T-054VULN-184184153173A-104T-042VULN-195174225234T-024VULN-205225225255T-063VULN-215204225234T-084VULN-224184194204A-114T-042VULN-235174225234T-024VULN-245225225255T-063VULN-255204225234T-035VULN-264204194204VULN-27525

32、5225255A-124T-063VULN-285204225234T-103VULN-295204225234A-134T-063VULN-305204225234T-103VULN-314163194163T-094VULN-325225225255A-144T-011VULN-335143225204A-153T-011VULN-3451432041638.6.2 使用相乘法計算風險使用相乘法計算風險 使用相乘法計算風險等級，計算結(jié)果如表8-11風險計算表2 (右圖)所示。8.7風險處理8.7.1現(xiàn)存風險判斷內(nèi)容依據(jù)風險評估結(jié)果，假設(shè)風險等級在4級以上不可接受，通過分析，發(fā)現(xiàn)有21個不可

33、接受風險。分析結(jié)果如表8-12所示。資產(chǎn)ID0資產(chǎn)名稱威脅脆弱性風險等級是否可接受A-01路由器-1未授權(quán)訪問Cisco未設(shè)置密碼2是漏洞利用CISCO IOS界面被IPv4數(shù)據(jù)包阻塞3是A-02路由器-2未授權(quán)訪問沒有制定訪問控制策略3是操作失誤或維護錯誤安裝與維護缺乏管理3是A-03交換機-1漏洞利用日志及管理功能未啟用3是A-04交換機-2漏洞利用CSCdz392843是CSCdw330273是A-05交換機-3漏洞利用CSCds047474否沒有配備Service Password Encryption服務(wù)4否A-06防火墻-1操作失誤或維護錯誤安裝與維護缺乏管理4否缺少操作規(guī)程和職責

34、管理4否A-07防火墻-2未授權(quán)訪問防火墻開放端口增加3是防火墻關(guān)鍵模塊失效2是A-08防火墻-3原發(fā)抵賴未啟用日志功能4否A-09病毒服務(wù)器惡意代碼或病毒操作系統(tǒng)補丁未安裝4否硬件故障設(shè)備不穩(wěn)定3是未授權(quán)訪問操作系統(tǒng)的口令策略沒有啟用4否木馬后門攻擊操作系統(tǒng)開放多余服務(wù)3是表8-12 風險接受等級劃分表資產(chǎn)ID0資產(chǎn)名稱威脅脆弱性風險等級是否可接受A-10數(shù)據(jù)服務(wù)器操作失誤或維護錯誤缺少操作規(guī)程和職責管理4否未授權(quán)訪問存在弱口令5否惡意代碼或病毒操作系統(tǒng)補丁未安裝4否權(quán)限濫用沒有訪問控制措施4否A-11應(yīng)用服務(wù)器操作失誤或維護錯誤缺少操作規(guī)程和職責管理4否未授權(quán)訪問存在弱口令5否惡意代碼或病

35、毒操作系統(tǒng)補丁未安裝4否漏洞利用Telnet漏洞4否可以通過SMB連接注冊表5否A-12PC-1惡意代碼或病毒操作系統(tǒng)補丁未安裝4否數(shù)據(jù)篡改使用NetBIOS探測Windows主機信息4否A-13PC-2惡意代碼或病毒木馬和后門4否數(shù)據(jù)篡改SMB shares access3是竊密弱口令5否A-14UPS硬件故障設(shè)備不穩(wěn)定4否A-15空調(diào)硬件故障設(shè)備不穩(wěn)定3是8.7風險處理8.7.2.1 風險控制需求分析風險控制需求分析 按照系統(tǒng)的風險等級接受程度，通過對本信息系統(tǒng)技術(shù)層面的安全功能、組織層面的安全控制和管理層面的安全對策進行分析描述，形成已有安全措施的需求分析結(jié)果，如表8-13所示。編號控制

36、需求說明R1保障XXXX系統(tǒng)內(nèi)網(wǎng)的正常運行。R2保障XXXX系統(tǒng)外網(wǎng)的正常運行。R3保障辦公用計算機系統(tǒng)正常運行。R4保障網(wǎng)站信息的正常發(fā)布。R5保證基本信息的保密性、完整性、可用性。表8-13 風險控制需求分析表8.7.2.2 8.7.2.2 風險風險控制目控制目標標 依據(jù)風險接受等級劃分表（表8-12）、風險控制需求分析表（表8-13），確定風險控制目標，如表8-14所示。編號控制目標需求T1數(shù)據(jù)庫系統(tǒng)（內(nèi)、外網(wǎng)數(shù)據(jù)庫服務(wù)器）R1、R2、R5T2網(wǎng)絡(luò)支撐系統(tǒng)（路由器、交換機、通信線路）R1、R2、R4、R5T3網(wǎng)絡(luò)安全系統(tǒng)（防病毒、防火墻、數(shù)據(jù)恢復(fù)、IDS、漏洞掃描） R1、R2、R4、R

37、5T4網(wǎng)絡(luò)管理系統(tǒng)（CISCOWORKS、HPOPENVIEW）R1、R2、R4、R5T5網(wǎng)上信息發(fā)布系統(tǒng)（內(nèi)、外網(wǎng)WEB服務(wù)器）R4T6終端系統(tǒng)（PC、筆記本電腦）R3T7介質(zhì)及文檔（數(shù)據(jù)備份文檔等） R1、R2、R5 表8-14 控制目標8.7.3 8.7.3 控制措施控制措施選擇選擇 依據(jù)風險控制需求分析表（表8-13）、控制目標表（表8-14），針對控制目標，綜合考慮控制成本和實際的風險控制需求，建議采取適當?shù)目刂拼胧?，如?-15所示。編號控制措施對應(yīng)控制目標優(yōu)先級M1制定具體科室負責信息安全工作，明確人員及其分工。T1T7高M2制定定期開展信息安全意識教育培訓的計劃并落實。T1T7

38、高M3對所屬的服務(wù)器和主機進行安全配置檢查，并重新配置安全策略。T1T7高M4開啟重要服務(wù)器和主機的審計功能，并制定審計記錄的維護和分析流程。T1T7高M5對內(nèi)、外網(wǎng)的服務(wù)器默認配置進行必要的更改。T1T7高M6制定具體的備份與恢復(fù)制度。T1、T7高M7制定具體的安全事件處理制度。T1T7高M8對應(yīng)用系統(tǒng)制定統(tǒng)一的完整性保護策略，并使用有效工具進行完整性約束。T1T7高M9制定合理的資源分配策略，包括：最大并發(fā)連接數(shù)，最小并發(fā)連接數(shù)，單個用戶會話數(shù)量等。T1T7高M10及時針對安全漏洞打補丁。T1T7高M11對用戶文件制定統(tǒng)一的完整性保護策略，并使用有效工具進行完整性約束。T1T7高M12完善對介質(zhì)的管理。T7中M13制