信息安全評(píng)估實(shí)例

1、信息安全風(fēng)險(xiǎn)評(píng)評(píng)估實(shí)實(shí)例 本章概要：本章概要： 之前介紹了信息安全風(fēng)險(xiǎn)評(píng)估的基本過程，本章以某之前介紹了信息安全風(fēng)險(xiǎn)評(píng)估的基本過程，本章以某信息系統(tǒng)為例詳細(xì)介紹信息安全風(fēng)險(xiǎn)評(píng)估的實(shí)施過程。依據(jù)信息系統(tǒng)為例詳細(xì)介紹信息安全風(fēng)險(xiǎn)評(píng)估的實(shí)施過程。依據(jù)GB/T 209842007信息安全技術(shù)信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范規(guī)范和和信息安全風(fēng)險(xiǎn)評(píng)估的基本過程信息安全風(fēng)險(xiǎn)評(píng)估的基本過程，將信息安全風(fēng)險(xiǎn)評(píng)，將信息安全風(fēng)險(xiǎn)評(píng)估的實(shí)施過程分為評(píng)估準(zhǔn)備、識(shí)別并評(píng)價(jià)資產(chǎn)、識(shí)別并評(píng)估估的實(shí)施過程分為評(píng)估準(zhǔn)備、識(shí)別并評(píng)價(jià)資產(chǎn)、識(shí)別并評(píng)估威脅、識(shí)別并評(píng)估脆弱性、分析可能性和影響、風(fēng)險(xiǎn)計(jì)算、威脅、識(shí)別并評(píng)

2、估脆弱性、分析可能性和影響、風(fēng)險(xiǎn)計(jì)算、風(fēng)險(xiǎn)處理、編寫信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告等階段。風(fēng)險(xiǎn)處理、編寫信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告等階段。本章目錄1 評(píng)估準(zhǔn)備評(píng)估準(zhǔn)備2 識(shí)別并評(píng)價(jià)資產(chǎn)識(shí)別并評(píng)價(jià)資產(chǎn)3 識(shí)別并評(píng)估威脅識(shí)別并評(píng)估威脅4 識(shí)別并評(píng)估脆弱性識(shí)別并評(píng)估脆弱性5 分析可能性和影響分析可能性和影響6 風(fēng)險(xiǎn)計(jì)算風(fēng)險(xiǎn)計(jì)算7 風(fēng)險(xiǎn)處理風(fēng)險(xiǎn)處理8 編寫信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告編寫信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告 上機(jī)實(shí)驗(yàn)上機(jī)實(shí)驗(yàn)1 評(píng)估準(zhǔn)備依據(jù)依據(jù)GB/T 209842007信息安全技術(shù)信息安全技術(shù) 信息安全信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范風(fēng)險(xiǎn)評(píng)估規(guī)范，在風(fēng)險(xiǎn)評(píng)估實(shí)施前，應(yīng)確定風(fēng)險(xiǎn)評(píng)估的目，在風(fēng)險(xiǎn)評(píng)估實(shí)施前，應(yīng)確定風(fēng)險(xiǎn)評(píng)估的目標(biāo)，確定評(píng)估范

3、圍，組建評(píng)估管理與實(shí)施團(tuán)隊(duì)，進(jìn)行系統(tǒng)調(diào)標(biāo)，確定評(píng)估范圍，組建評(píng)估管理與實(shí)施團(tuán)隊(duì)，進(jìn)行系統(tǒng)調(diào)研，確定評(píng)估依據(jù)和方法，制定評(píng)估方案，獲得最高管理者研，確定評(píng)估依據(jù)和方法，制定評(píng)估方案，獲得最高管理者的支持。的支持。1.1 確定信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)確定信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo) 信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估目標(biāo)是通過風(fēng)險(xiǎn)評(píng)估，分析信息系信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估目標(biāo)是通過風(fēng)險(xiǎn)評(píng)估，分析信息系統(tǒng)的安全狀況，全面了解和掌握信息系統(tǒng)面臨的安全風(fēng)險(xiǎn)，統(tǒng)的安全狀況，全面了解和掌握信息系統(tǒng)面臨的安全風(fēng)險(xiǎn)，評(píng)估信息系統(tǒng)的風(fēng)險(xiǎn)，提出風(fēng)險(xiǎn)控制建議，為下一步完善管評(píng)估信息系統(tǒng)的風(fēng)險(xiǎn)，提出風(fēng)險(xiǎn)控制建議，為下一步完善管理制度以及今后的安全建設(shè)和風(fēng)

4、險(xiǎn)管理提供第一手資料。理制度以及今后的安全建設(shè)和風(fēng)險(xiǎn)管理提供第一手資料。 8.1.2 確定信息安全風(fēng)險(xiǎn)評(píng)估的范圍確定信息安全風(fēng)險(xiǎn)評(píng)估的范圍既定的信息安全風(fēng)險(xiǎn)評(píng)估可能只針對(duì)組織全部資產(chǎn)的一個(gè)既定的信息安全風(fēng)險(xiǎn)評(píng)估可能只針對(duì)組織全部資產(chǎn)的一個(gè)子集，評(píng)估范圍必須明確。本次評(píng)估的范圍包括該信息系統(tǒng)子集，評(píng)估范圍必須明確。本次評(píng)估的范圍包括該信息系統(tǒng)網(wǎng)絡(luò)、管理制度、使用或管理該信息系統(tǒng)的相關(guān)人員，以及網(wǎng)絡(luò)、管理制度、使用或管理該信息系統(tǒng)的相關(guān)人員，以及由系統(tǒng)使用時(shí)所產(chǎn)生的文檔、數(shù)據(jù)。由系統(tǒng)使用時(shí)所產(chǎn)生的文檔、數(shù)據(jù)。8.1.3 組建適當(dāng)?shù)脑u(píng)估管理與實(shí)施團(tuán)隊(duì)組建適當(dāng)?shù)脑u(píng)估管理與實(shí)施團(tuán)隊(duì)組建由該單位領(lǐng)導(dǎo)、風(fēng)險(xiǎn)

5、評(píng)估專家、技術(shù)專家，以及各管組建由該單位領(lǐng)導(dǎo)、風(fēng)險(xiǎn)評(píng)估專家、技術(shù)專家，以及各管理層、業(yè)務(wù)部門的相關(guān)人員組成風(fēng)險(xiǎn)評(píng)估小組，同時(shí)明確規(guī)理層、業(yè)務(wù)部門的相關(guān)人員組成風(fēng)險(xiǎn)評(píng)估小組，同時(shí)明確規(guī)定每個(gè)成員的任務(wù)分工定每個(gè)成員的任務(wù)分工 。8.1.4 進(jìn)行系統(tǒng)調(diào)研進(jìn)行系統(tǒng)調(diào)研通過問卷調(diào)查、人員訪談、現(xiàn)場(chǎng)考察、核查表等形式，對(duì)通過問卷調(diào)查、人員訪談、現(xiàn)場(chǎng)考察、核查表等形式，對(duì)信息系統(tǒng)的業(yè)務(wù)、組織結(jié)構(gòu)、管理、技術(shù)等方面進(jìn)行調(diào)查。信息系統(tǒng)的業(yè)務(wù)、組織結(jié)構(gòu)、管理、技術(shù)等方面進(jìn)行調(diào)查。問卷調(diào)查、人員訪談的方式使用了問卷調(diào)查、人員訪談的方式使用了調(diào)查表調(diào)查表，調(diào)查了系統(tǒng)，調(diào)查了系統(tǒng)的管理、設(shè)備、人員管理的情況，現(xiàn)場(chǎng)考察

6、、核查表的方式的管理、設(shè)備、人員管理的情況，現(xiàn)場(chǎng)考察、核查表的方式考察了設(shè)備的具體位置，核查了設(shè)備的實(shí)際配置等情況，得考察了設(shè)備的具體位置，核查了設(shè)備的實(shí)際配置等情況，得出有關(guān)信息系統(tǒng)的描述。出有關(guān)信息系統(tǒng)的描述。8.1.4.1 業(yè)務(wù)目標(biāo)和業(yè)務(wù)特性業(yè)務(wù)目標(biāo)和業(yè)務(wù)特性1業(yè)務(wù)目標(biāo)業(yè)務(wù)目標(biāo)信息系統(tǒng)主要負(fù)責(zé)數(shù)據(jù)的收集、技術(shù)處理以及預(yù)測(cè)分信息系統(tǒng)主要負(fù)責(zé)數(shù)據(jù)的收集、技術(shù)處理以及預(yù)測(cè)分析，為相關(guān)部門提供決策和管理支持，向社會(huì)提供公益服務(wù)。析，為相關(guān)部門提供決策和管理支持，向社會(huì)提供公益服務(wù)。 2業(yè)務(wù)特性業(yè)務(wù)特性 通過對(duì)信息系統(tǒng)的業(yè)務(wù)目標(biāo)的分析，歸納出以下業(yè)務(wù)特性：通過對(duì)信息系統(tǒng)的業(yè)務(wù)目標(biāo)的分析，歸納出以下

7、業(yè)務(wù)特性： 業(yè)務(wù)種類多，技術(shù)型工作與管理型工作并重；業(yè)務(wù)種類多，技術(shù)型工作與管理型工作并重； 業(yè)務(wù)不可中斷性低；業(yè)務(wù)不可中斷性低； 業(yè)務(wù)保密性要求低；業(yè)務(wù)保密性要求低； 業(yè)務(wù)基本不涉及現(xiàn)金流動(dòng)；業(yè)務(wù)基本不涉及現(xiàn)金流動(dòng)； 人員業(yè)務(wù)素質(zhì)要求高。人員業(yè)務(wù)素質(zhì)要求高。8.1.4.2 管理特性管理特性現(xiàn)有的規(guī)章制度原則性要求較多，可操作性較低，在信息現(xiàn)有的規(guī)章制度原則性要求較多，可操作性較低，在信息安全管理方面偏重于技術(shù)。安全管理方面偏重于技術(shù)。8.1.4.3 網(wǎng)絡(luò)特性網(wǎng)絡(luò)特性信息系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如圖信息系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如圖8-1所示。所示。 圖8-1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖 8.1.5 評(píng)估依據(jù)評(píng)估依

8、據(jù)評(píng)估所遵循的依據(jù)如下：評(píng)估所遵循的依據(jù)如下：1.信息安全技術(shù)信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范（GB/T 20984-2007）2.信息技術(shù)信息技術(shù)安全管理指南信息技術(shù)信息技術(shù)安全管理指南（GB/T 19715-2005）3.信息技術(shù)信息安全管理實(shí)用規(guī)則信息技術(shù)信息安全管理實(shí)用規(guī)則（GB/T 19716-2005）2.信息安全等級(jí)保護(hù)管理辦法信息安全等級(jí)保護(hù)管理辦法（公通字（公通字200743號(hào)）號(hào)）3.信息安全技術(shù)信息安全技術(shù) 信息系統(tǒng)安全管理要求信息系統(tǒng)安全管理要求（GB/T 20269-2006）8.1.6 信息安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目實(shí)施方案信息安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目實(shí)施方案8

9、.1.6.1 項(xiàng)目組織機(jī)構(gòu)項(xiàng)目組織機(jī)構(gòu)項(xiàng)目實(shí)施的組織機(jī)構(gòu)如下項(xiàng)目實(shí)施的組織機(jī)構(gòu)如下:項(xiàng)目工程領(lǐng)導(dǎo)小組由受測(cè)機(jī)構(gòu)主管信息安全的領(lǐng)導(dǎo)和評(píng)估項(xiàng)目工程領(lǐng)導(dǎo)小組由受測(cè)機(jī)構(gòu)主管信息安全的領(lǐng)導(dǎo)和評(píng)估機(jī)構(gòu)領(lǐng)導(dǎo)共同組成。項(xiàng)目工程領(lǐng)導(dǎo)小組定期聽取項(xiàng)目工程管機(jī)構(gòu)領(lǐng)導(dǎo)共同組成。項(xiàng)目工程領(lǐng)導(dǎo)小組定期聽取項(xiàng)目工程管理小組匯報(bào)整個(gè)項(xiàng)目的進(jìn)展情況和項(xiàng)目實(shí)施關(guān)鍵階段的成果；理小組匯報(bào)整個(gè)項(xiàng)目的進(jìn)展情況和項(xiàng)目實(shí)施關(guān)鍵階段的成果；項(xiàng)目實(shí)施完畢之后，領(lǐng)導(dǎo)小組將根據(jù)整個(gè)項(xiàng)目的成果情況，項(xiàng)目實(shí)施完畢之后，領(lǐng)導(dǎo)小組將根據(jù)整個(gè)項(xiàng)目的成果情況，批準(zhǔn)并主持項(xiàng)目試點(diǎn)總結(jié)工作。批準(zhǔn)并主持項(xiàng)目試點(diǎn)總結(jié)工作。項(xiàng)目工程管理小組由評(píng)估雙方的項(xiàng)目負(fù)責(zé)人組成。

10、主要職項(xiàng)目工程管理小組由評(píng)估雙方的項(xiàng)目負(fù)責(zé)人組成。主要職責(zé)是審核確認(rèn)項(xiàng)目實(shí)施組制定的現(xiàn)場(chǎng)工作計(jì)劃，并監(jiān)督項(xiàng)目責(zé)是審核確認(rèn)項(xiàng)目實(shí)施組制定的現(xiàn)場(chǎng)工作計(jì)劃，并監(jiān)督項(xiàng)目進(jìn)展情況；主持階段成果匯報(bào)會(huì)議；做好協(xié)調(diào)工作，保證項(xiàng)進(jìn)展情況；主持階段成果匯報(bào)會(huì)議；做好協(xié)調(diào)工作，保證項(xiàng)目的順利執(zhí)行。目的順利執(zhí)行。項(xiàng)目實(shí)施組由評(píng)估專家、評(píng)估工程師及受測(cè)機(jī)構(gòu)的安全管項(xiàng)目實(shí)施組由評(píng)估專家、評(píng)估工程師及受測(cè)機(jī)構(gòu)的安全管理員、網(wǎng)絡(luò)管理員和應(yīng)用系統(tǒng)分析員組成。主要職責(zé)是制定理員、網(wǎng)絡(luò)管理員和應(yīng)用系統(tǒng)分析員組成。主要職責(zé)是制定詳細(xì)項(xiàng)目實(shí)施計(jì)劃，根據(jù)實(shí)施計(jì)劃開展工作。詳細(xì)項(xiàng)目實(shí)施計(jì)劃，根據(jù)實(shí)施計(jì)劃開展工作。質(zhì)量控制組由質(zhì)量控制人員

11、組成。主要負(fù)責(zé)對(duì)各個(gè)服務(wù)項(xiàng)質(zhì)量控制組由質(zhì)量控制人員組成。主要負(fù)責(zé)對(duì)各個(gè)服務(wù)項(xiàng)目的實(shí)施情況進(jìn)行質(zhì)量控制和最終的驗(yàn)收。目的實(shí)施情況進(jìn)行質(zhì)量控制和最終的驗(yàn)收。外聘專家組由有經(jīng)驗(yàn)的專家組成。主要負(fù)責(zé)對(duì)項(xiàng)目的方案外聘專家組由有經(jīng)驗(yàn)的專家組成。主要負(fù)責(zé)對(duì)項(xiàng)目的方案分析、實(shí)施、步驟、關(guān)鍵問題的解決及新技術(shù)的應(yīng)用提供思分析、實(shí)施、步驟、關(guān)鍵問題的解決及新技術(shù)的應(yīng)用提供思路、指導(dǎo)和咨詢。路、指導(dǎo)和咨詢。8.1.6.2 項(xiàng)目階段劃分項(xiàng)目階段劃分本次風(fēng)險(xiǎn)評(píng)估項(xiàng)目分項(xiàng)目準(zhǔn)備、現(xiàn)狀調(diào)研、檢查與測(cè)試、本次風(fēng)險(xiǎn)評(píng)估項(xiàng)目分項(xiàng)目準(zhǔn)備、現(xiàn)狀調(diào)研、檢查與測(cè)試、分析評(píng)估及編制評(píng)估報(bào)告六個(gè)階段，各階段工作定義說明如分析評(píng)估及編制評(píng)估報(bào)

12、告六個(gè)階段，各階段工作定義說明如下：下：項(xiàng)目準(zhǔn)備：項(xiàng)目實(shí)施前期工作，包括成立項(xiàng)目組，確定評(píng)項(xiàng)目準(zhǔn)備：項(xiàng)目實(shí)施前期工作，包括成立項(xiàng)目組，確定評(píng)估范圍，制定項(xiàng)目實(shí)施計(jì)劃，收集整理開發(fā)各種評(píng)估工具等。估范圍，制定項(xiàng)目實(shí)施計(jì)劃，收集整理開發(fā)各種評(píng)估工具等。工作方式：研討會(huì)。工作成果：工作方式：研討會(huì)。工作成果：項(xiàng)目組成員信息表項(xiàng)目組成員信息表、評(píng)估范圍說明評(píng)估范圍說明、評(píng)估實(shí)施計(jì)劃評(píng)估實(shí)施計(jì)劃。現(xiàn)狀調(diào)研：通過訪談?wù){(diào)查，收集評(píng)估對(duì)象信息。工作方式：現(xiàn)狀調(diào)研：通過訪談?wù){(diào)查，收集評(píng)估對(duì)象信息。工作方式：訪談、問卷調(diào)查。工作成果：訪談、問卷調(diào)查。工作成果：各種系統(tǒng)資料記錄表單各種系統(tǒng)資料記錄表單。檢查與測(cè)試：

13、手工或工具檢查及測(cè)試。進(jìn)行資產(chǎn)分析、威檢查與測(cè)試：手工或工具檢查及測(cè)試。進(jìn)行資產(chǎn)分析、威脅分析和脆弱性掃描。工作方式：訪談、問卷調(diào)查、測(cè)試、脅分析和脆弱性掃描。工作方式：訪談、問卷調(diào)查、測(cè)試、研討會(huì)。工作成果：研討會(huì)。工作成果：資產(chǎn)評(píng)估報(bào)告資產(chǎn)評(píng)估報(bào)告、威脅評(píng)估報(bào)告威脅評(píng)估報(bào)告、脆弱性評(píng)估報(bào)告脆弱性評(píng)估報(bào)告。ID任務(wù)名稱開始時(shí)間完成時(shí)間持續(xù)時(shí)間2007年5月2007年6月5-65-135-205-276-36-106-176-241項(xiàng)目準(zhǔn)備5-85-1710d2現(xiàn)狀調(diào)研5-185-2711d3檢查與測(cè)試5-286-812d4分析評(píng)估6-96-179d5編制評(píng)估報(bào)告6-186-2811d分析評(píng)估

14、：根據(jù)相關(guān)標(biāo)準(zhǔn)或?qū)嵺`經(jīng)驗(yàn)確定安全風(fēng)險(xiǎn)，并給分析評(píng)估：根據(jù)相關(guān)標(biāo)準(zhǔn)或?qū)嵺`經(jīng)驗(yàn)確定安全風(fēng)險(xiǎn)，并給出整改措施。工作方式：訪談、研討會(huì)。工作成果：出整改措施。工作方式：訪談、研討會(huì)。工作成果：安全安全風(fēng)險(xiǎn)分析說明風(fēng)險(xiǎn)分析說明。編制評(píng)估報(bào)告：完成最終評(píng)估報(bào)告。工作方式：研討會(huì)。編制評(píng)估報(bào)告：完成最終評(píng)估報(bào)告。工作方式：研討會(huì)。工作成果：工作成果：信息系統(tǒng)綜合評(píng)估報(bào)告信息系統(tǒng)綜合評(píng)估報(bào)告。表表8-1 8-1 信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施進(jìn)度表信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施進(jìn)度表8.1.7 獲得最高管理者對(duì)信息安全風(fēng)險(xiǎn)評(píng)估工作的支持獲得最高管理者對(duì)信息安全風(fēng)險(xiǎn)評(píng)估工作的支持上述所有內(nèi)容得到了相關(guān)管理者的批準(zhǔn)，并對(duì)管理層和員上

15、述所有內(nèi)容得到了相關(guān)管理者的批準(zhǔn)，并對(duì)管理層和員工進(jìn)行了傳達(dá)。工進(jìn)行了傳達(dá)。8.2 識(shí)別并評(píng)價(jià)資產(chǎn)依據(jù)依據(jù)GB/T 209842007信息安全技術(shù)信息安全技術(shù) 信息安全風(fēng)險(xiǎn)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范評(píng)估規(guī)范和第和第7章信息安全風(fēng)險(xiǎn)評(píng)估的基本過程，對(duì)資產(chǎn)進(jìn)章信息安全風(fēng)險(xiǎn)評(píng)估的基本過程，對(duì)資產(chǎn)進(jìn)行分類并按照資產(chǎn)的保密性、完整性和可用性進(jìn)行賦值。行分類并按照資產(chǎn)的保密性、完整性和可用性進(jìn)行賦值。8.2.1 識(shí)別資產(chǎn)識(shí)別資產(chǎn)根據(jù)對(duì)對(duì)信息系統(tǒng)統(tǒng)的調(diào)查調(diào)查分析，并結(jié)并結(jié)合業(yè)務(wù)業(yè)務(wù)特點(diǎn)和系統(tǒng)統(tǒng)的安全要求，確定了系統(tǒng)統(tǒng)需要保護(hù)護(hù)的資產(chǎn)資產(chǎn)，見見表8-2。資產(chǎn)編號(hào)資產(chǎn)名稱型號(hào)A-01路由器-1CISCO3640A-0

16、2路由器-2華為NE40A-03交換機(jī)-1CATALYST4000A-04交換機(jī)-2CISCO3745A-05交換機(jī)-3CISCO2950A-06防火墻-1聯(lián)想網(wǎng)域SuperV-5318A-07防火墻-2聯(lián)想網(wǎng)域UTM-418DA-08防火墻-3網(wǎng)神Secgate 3600-F3A-09防病毒服務(wù)器MACFEEA-10數(shù)據(jù)服務(wù)器HP DL380A-11應(yīng)用服務(wù)器HP DL380A-12PC-1HP X8620A-13PC-2HP X8620A-14UPSChampin(20KW)A-15空調(diào)美的表表8-2 8-2 信息系統(tǒng)資產(chǎn)列表信息系統(tǒng)資產(chǎn)列表8.2.2 資產(chǎn)賦值資產(chǎn)賦值 對(duì)識(shí)別的信息資產(chǎn)，

17、按照資產(chǎn)的不同安全屬性，即保密性、對(duì)識(shí)別的信息資產(chǎn)，按照資產(chǎn)的不同安全屬性，即保密性、完整性和可用性的重要性和保護(hù)要求，分別對(duì)資產(chǎn)的完整性和可用性的重要性和保護(hù)要求，分別對(duì)資產(chǎn)的CIA三性三性予以賦值，見表予以賦值，見表8-3，這里采用五個(gè)等級(jí)。，這里采用五個(gè)等級(jí)。資產(chǎn)編號(hào)資產(chǎn)名稱型號(hào)保密性完整性可用性A-01路由器-1CISCO3640000A-02路由器-2華為NE40132A-03交換機(jī)-1CATALYST4000133A-04交換機(jī)-2CISCO3745133A-05交換機(jī)-3CISCO2950244A-06防火墻-1聯(lián)想網(wǎng)域SuperV-5318134A-07防火墻-2聯(lián)想網(wǎng)域UTM

18、-418D124A-08防火墻-3網(wǎng)神Secgate 3600-F3124A-09防病毒服務(wù)器MACFEE134A-11數(shù)據(jù)服務(wù)器HP DL380244A-12應(yīng)用服務(wù)器HP DL380244A-14PC-1HP X8620144A-15PC-2HP X8620144A-16UPSChampin(20KW)145A-18空調(diào)美的124表表8-3 8-3 資產(chǎn)資產(chǎn)CIACIA三性等級(jí)表三性等級(jí)表8.2.3 資產(chǎn)價(jià)值資產(chǎn)價(jià)值根據(jù)資產(chǎn)保密性、完整性和可用性的不同等級(jí)對(duì)其賦值進(jìn)根據(jù)資產(chǎn)保密性、完整性和可用性的不同等級(jí)對(duì)其賦值進(jìn)行加權(quán)計(jì)算得到資產(chǎn)的最終賦值結(jié)果。加權(quán)方法可根據(jù)組織行加權(quán)計(jì)算得到資產(chǎn)的最終

19、賦值結(jié)果。加權(quán)方法可根據(jù)組織的業(yè)務(wù)特點(diǎn)確定。資產(chǎn)價(jià)值如表的業(yè)務(wù)特點(diǎn)確定。資產(chǎn)價(jià)值如表8-4所示。所示。資產(chǎn)編號(hào)資產(chǎn)名稱安全屬性賦值權(quán)值資產(chǎn)價(jià)值保密性完整性可用性保密性完整性可用性A-01路由器-11110105041.0A-02路由器-21320105042.4A-03交換機(jī)-11330103062.8A-04交換機(jī)-21330103062.8A-05交換機(jī)-32440103063.8A-06防火墻-11340102073.5A-07防火墻-21240104052.9A-08防火墻-31240104052.9A-09防病毒服務(wù)器1340103063.4A-10數(shù)據(jù)服務(wù)器2440104053.8

20、A-11應(yīng)用服務(wù)器2440104053.8A-12PC-11440104053.7A-13PC-21440104053.7A-14UPS1450103064.3A-15空調(diào)1240005053.0表表8-4 8-4 資產(chǎn)價(jià)值表資產(chǎn)價(jià)值表8.3 識(shí)別并評(píng)估威脅在本次評(píng)估中，首先收集系統(tǒng)所面臨的威脅，然后對(duì)威在本次評(píng)估中，首先收集系統(tǒng)所面臨的威脅，然后對(duì)威脅的來源和行為進(jìn)行分析。威脅的收集主要是通過問卷調(diào)查、脅的來源和行為進(jìn)行分析。威脅的收集主要是通過問卷調(diào)查、人員訪談、現(xiàn)場(chǎng)考察、查看系統(tǒng)工作日志以及安全事件報(bào)告人員訪談、現(xiàn)場(chǎng)考察、查看系統(tǒng)工作日志以及安全事件報(bào)告或記錄等方式進(jìn)行，同時(shí)使用綠盟或記

21、錄等方式進(jìn)行，同時(shí)使用綠盟1200D-02，收集整個(gè)系，收集整個(gè)系統(tǒng)所發(fā)生的入侵檢測(cè)記錄。統(tǒng)所發(fā)生的入侵檢測(cè)記錄。 表表8-5是本次評(píng)估分析得到的威脅列表。是本次評(píng)估分析得到的威脅列表。威脅編號(hào)威脅類別描述T-01硬件故障由于設(shè)備硬件故障導(dǎo)致對(duì)業(yè)務(wù)高效穩(wěn)定運(yùn)行的影響。T-02未授權(quán)訪問因系統(tǒng)或網(wǎng)絡(luò)訪問控制不當(dāng)引起的非授權(quán)訪問。T-03漏洞利用利用操作系統(tǒng)本身的漏洞導(dǎo)致的威脅。T-04操作失誤或維護(hù)錯(cuò)誤由于應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或非故意地執(zhí)行了錯(cuò)誤的操作，對(duì)系統(tǒng)造成影響。T-05木馬后門攻擊木馬后門攻擊T-06惡意代碼和病毒具有復(fù)制、自我傳播能力，對(duì)信息系統(tǒng)構(gòu)成破壞的程序代碼。T-07原

22、發(fā)抵賴不承認(rèn)收到的信息和所作的操作。T-08權(quán)限濫用濫用自己的職權(quán)，做出泄露或破壞。T-09泄密通過竊聽、惡意攻擊的手段獲得系統(tǒng)秘密信息。T-10數(shù)據(jù)篡改通過惡意攻擊非授權(quán)修改信息，破壞信息的完整性。表表8-5 8-5 信息系統(tǒng)面臨的威脅列表信息系統(tǒng)面臨的威脅列表8.4 識(shí)別并評(píng)估脆弱性 從技術(shù)和管理兩方面對(duì)本項(xiàng)目的脆弱性進(jìn)行評(píng)估。技術(shù)脆弱性主要是通過使用極光遠(yuǎn)程安全評(píng)估系統(tǒng)進(jìn)行系統(tǒng)掃描。按照脆弱性工具使用計(jì)劃，使用掃描工具對(duì)主機(jī)等設(shè)備進(jìn)行掃描，查找主機(jī)的系統(tǒng)漏洞、數(shù)據(jù)庫(kù)漏洞、共享資源以及帳戶使用等安全問題。在進(jìn)行工具掃描之后，結(jié)合威脅分析的內(nèi)容，根據(jù)得出的原始記錄，進(jìn)行整體分析。按照各種管理

23、調(diào)查表的安全管理要求對(duì)現(xiàn)有的安全管理制度及其執(zhí)行情況進(jìn)行檢查，發(fā)現(xiàn)其中的管理脆弱性。資產(chǎn)名稱 脆弱性ID脆弱性名稱脆弱性描述路由器-1VULN-01Cisco未設(shè)置密碼Cisco路由器未設(shè)置密碼，將允許攻擊者獲得網(wǎng)絡(luò)的更多信息VULN-02CISCO IOS界面被IPv4數(shù)據(jù)包阻塞通過發(fā)送不規(guī)則IPv4數(shù)據(jù)包可以阻塞遠(yuǎn)程路由器。路由器-2VULN-03沒有制定訪問控制策略沒有制定訪問控制策略VULN-04安裝與維護(hù)缺乏管理安裝與維護(hù)缺乏管理交換機(jī)-1 VULN-05日志及管理功能未啟用日志及管理功能未啟用交換機(jī)-2VULN-06CSCdz39284當(dāng)發(fā)送畸形的SIP數(shù)據(jù)包時(shí)，可導(dǎo)致遠(yuǎn)程的IOS

24、癱瘓VULN-07CSCdw33027當(dāng)發(fā)送畸形的SSH數(shù)據(jù)包時(shí)，可導(dǎo)致遠(yuǎn)程的IOS癱瘓交換機(jī)-3VULN-08CSCds04747Cisco的IOS軟件有一個(gè)漏洞，允許獲得TCP的初始序列號(hào)VULN-09沒有配備ServicePassword Encryption服務(wù)沒有配備Service PasswordEncryption服務(wù)防火墻-1VULN-10安裝與維護(hù)缺乏管理安裝與維護(hù)缺乏管理VULN-11缺少操作規(guī)程和職責(zé)管理缺少操作規(guī)程和職責(zé)管理防火墻-2VULN-12防火墻開放端口增加防火墻開放端口增加VULN-13防火墻關(guān)鍵模塊失效防火墻關(guān)鍵模塊失效資產(chǎn)名稱脆弱性ID脆弱性名稱脆弱性描述

25、防火墻-3VULN-14未啟用日志功能未啟用日志功能防病毒服務(wù)器VULN-15操作系統(tǒng)補(bǔ)丁未安裝未及時(shí)安裝補(bǔ)丁VULN-16設(shè)備不穩(wěn)定設(shè)備不穩(wěn)定VULN-17操作系統(tǒng)的口令策略沒有啟用操作系統(tǒng)的口令策略沒有啟用VULN-18操作系統(tǒng)開放多余服務(wù)操作系統(tǒng)開放多余服務(wù)數(shù)據(jù)服務(wù)器VULN-19缺少操作規(guī)程和職責(zé)管理缺少操作規(guī)程和職責(zé)管理VULN-20存在弱口令存在弱口令VULN-21操作系統(tǒng)補(bǔ)丁未安裝未及時(shí)安裝補(bǔ)丁VULN-22沒有訪問控制措施沒有訪問控制措施應(yīng)用服務(wù)器VULN-23缺少操作規(guī)程和職責(zé)管理缺少操作規(guī)程和職責(zé)管理VULN-24存在弱口令存在弱口令VULN-25操作系統(tǒng)補(bǔ)丁未安裝未及時(shí)安

26、裝補(bǔ)丁VULN-26Telnet漏洞未及時(shí)安裝補(bǔ)丁VULN-27可以通過SMB連接注冊(cè)表可以通過SMB連接注冊(cè)表PC-1VULN-28操作系統(tǒng)補(bǔ)丁未安裝未及時(shí)安裝補(bǔ)丁VULN-29使用NetBIOS探測(cè)Windows主機(jī)信息使用NetBIOS探測(cè)Windows主機(jī)信息PC-2VULN-30木馬和后門木馬和后門VULN-31SMB shares accessSMB登錄VULN-32弱口令弱口令UPSVULN-33設(shè)備不穩(wěn)定設(shè)備不穩(wěn)定空調(diào)VULN-34設(shè)備不穩(wěn)定設(shè)備不穩(wěn)定表8-6 技術(shù)脆弱性評(píng)估結(jié)果8.5 分析可能性和影響8.5.1 分析威脅發(fā)脅發(fā)生的頻頻率 威脅發(fā)生的頻率需要根據(jù)威脅、脆弱性和安

27、全措施來綜合評(píng)價(jià)。表8-7給出了5個(gè)級(jí)別定義的描述。等級(jí)威脅頻率描述5很高大多數(shù)情況下幾乎不可避免或者可以證實(shí)發(fā)生過的頻率很高4高在大多數(shù)情況下很有可能會(huì)發(fā)生或者可以證實(shí)曾發(fā)生過3中在某種情況下可能會(huì)發(fā)生但未被證實(shí)發(fā)生過2低一般不太可能發(fā)生1很低幾乎不可能發(fā)生表8-7 可能性級(jí)別定義8.5.2 分析脆弱性嚴(yán)嚴(yán)重程度 脆弱性嚴(yán)重程度是指威脅一次成功地利用脆弱性后對(duì)組織造成的不期望的后果或損失的相對(duì)等級(jí)，表8-8給出了5個(gè)級(jí)別定義的描述。等級(jí)嚴(yán)重程度描述5很高可引起系統(tǒng)持續(xù)中斷或永久關(guān)閉。可引起代理信息或服務(wù)的重大損失4高可引起重要系統(tǒng)的中斷，或連接客戶損失或商業(yè)信任損失3中等能引起系統(tǒng)聲望的損害

28、，或是對(duì)系統(tǒng)資源或服務(wù)的信任程度的降低，需要支付重要資源維修費(fèi)2低對(duì)系統(tǒng)有一些很小的影響，只須很小的努力就可恢復(fù)系統(tǒng)1很低對(duì)系統(tǒng)幾乎沒有影響表8-8 嚴(yán)重程度定義8.6 風(fēng)險(xiǎn)計(jì)算 首先建立資產(chǎn)、威脅和脆弱性關(guān)聯(lián)，并給威脅發(fā)生的可能性及脆弱性嚴(yán)重程度賦值，如表8-9所示。 在本項(xiàng)目中，采用7.8介紹的矩陣法和相乘法進(jìn)行風(fēng)險(xiǎn)計(jì)算。資產(chǎn)威脅威脅頻率脆弱性嚴(yán)重程度路由器-1未授權(quán)訪問2Cisco未設(shè)置密碼3漏洞利用5CISCO IOS界面被IPv4數(shù)據(jù)包阻塞3路由器-2未授權(quán)訪問2沒有制定訪問控制策略4操作失誤或維護(hù)錯(cuò)誤2安裝與維護(hù)缺乏管理4交換機(jī)-1漏洞利用5日志及管理功能未啟用3交換機(jī)-2漏洞利用

29、5CSCdz392843CSCdw330273交換機(jī)-3漏洞利用5CSCds047474沒有配備Service PasswordEncryption服務(wù)4防火墻-1操作失誤或維護(hù)錯(cuò)誤2安裝與維護(hù)缺乏管理5缺少操作規(guī)程和職責(zé)管理5防火墻-2 未授權(quán)訪問1防火墻開放端口增加5防火墻關(guān)鍵模塊失效4防火墻-3原發(fā)抵賴3未啟用日志功能5病毒服務(wù)器惡意代碼或病毒3操作系統(tǒng)補(bǔ)丁未安裝5硬件故障1設(shè)備不穩(wěn)定5未授權(quán)訪問4操作系統(tǒng)的口令策略沒有啟用5木馬后門攻擊4操作系統(tǒng)開放多余服務(wù)4資產(chǎn)威脅威脅頻率脆弱性嚴(yán)重程度數(shù)據(jù)服務(wù)器操作失誤或維護(hù)錯(cuò)誤2缺少操作規(guī)程和職責(zé)管理5未授權(quán)訪問4存在弱口令5惡意代碼或病毒3操作

30、系統(tǒng)補(bǔ)丁未安裝5權(quán)限濫用4沒有訪問控制措施4應(yīng)用服務(wù)器操作失誤或維護(hù)錯(cuò)誤2缺少操作規(guī)程和職責(zé)管理5未授權(quán)訪問4存在弱口令5惡意代碼或病毒3操作系統(tǒng)補(bǔ)丁未安裝5漏洞利用5Telnet漏洞4可以通過SMB連接注冊(cè)表5PC-1惡意代碼或病毒3操作系統(tǒng)補(bǔ)丁未安裝5數(shù)據(jù)篡改3使用NetBIOS探測(cè)Windows主機(jī)信息5PC-2惡意代碼或病毒3木馬和后門5數(shù)據(jù)篡改3SMB shares access4竊密4弱口令5UPS硬件故障1設(shè)備不穩(wěn)定5空調(diào)硬件故障1設(shè)備不穩(wěn)定5表8-9 資產(chǎn)、威脅、脆弱性關(guān)聯(lián)表8.6.1 8.6.1 使用矩使用矩陣陣法法計(jì)計(jì)算算風(fēng)險(xiǎn)風(fēng)險(xiǎn) 利用矩陣法，首先根據(jù)表7-21，計(jì)算安全事

31、件發(fā)生的可能性，再根據(jù)安全事件可能等級(jí)劃分表7-22，計(jì)算安全事件發(fā)生的可能性值等級(jí)。根據(jù)安全事件發(fā)生損失矩陣表7-23，計(jì)算安全事件的損失，再根據(jù)安全事件損失等級(jí)劃分表7-24，計(jì)算安全事件損失等級(jí)。根據(jù)風(fēng)險(xiǎn)矩陣表7-25，計(jì)算風(fēng)險(xiǎn)風(fēng)險(xiǎn)值。最后根據(jù)風(fēng)險(xiǎn)等級(jí)劃分表7-26，確定風(fēng)險(xiǎn)等級(jí)。所有計(jì)算結(jié)果如表8-10所示。資產(chǎn)資產(chǎn)價(jià)值威脅威脅頻率脆弱性嚴(yán)重程度安全事件可能性可能性等級(jí)安全事件損失損失等級(jí)風(fēng)險(xiǎn)值風(fēng)險(xiǎn)等級(jí)A-011T-022VULN-0131026282T-035VULN-02317462153A-022T-022VULN-034133123133T-042VULN-0441331231

32、33A-033T-035VULN-053174113173A-043T-035VULN-063174113173VULN-073174113173A-054T-035VULN-084204194204VULN-094204194204A-064T-042VULN-105174225234VULN-115174225234A-073T-021VULN-125143204163VULN-083T-073VULN-145204204204表8-10 風(fēng)險(xiǎn)計(jì)算表1資產(chǎn)資產(chǎn)價(jià)值威脅威脅頻率脆弱性嚴(yán)重程度安全事件可能性可能性等級(jí)安全事件損失損失等級(jí)風(fēng)險(xiǎn)值風(fēng)險(xiǎn)等級(jí)A-093T-06

33、3VULN-155204204204T-011VULN-165143204163T-024VULN-175225204234T-054VULN-184184153173A-104T-042VULN-195174225234T-024VULN-205225225255T-063VULN-215204225234T-084VULN-224184194204A-114T-042VULN-235174225234T-024VULN-245225225255T-063VULN-255204225234T-035VULN-264204194204VULN-275255225255A-124T-063VUL

34、N-285204225234T-103VULN-295204225234A-134T-063VULN-305204225234T-103VULN-314163194163T-094VULN-325225225255A-144T-011VULN-335143225204A-153T-011VULN-3451432041638.6.2 使用相乘法計(jì)算風(fēng)險(xiǎn)使用相乘法計(jì)算風(fēng)險(xiǎn) 使用相乘法計(jì)算風(fēng)險(xiǎn)等級(jí)，計(jì)算結(jié)果如表8-11風(fēng)險(xiǎn)計(jì)算表2 (右圖)所示。8.7風(fēng)險(xiǎn)處理8.7.1現(xiàn)存風(fēng)險(xiǎn)判斷內(nèi)容依據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果，假設(shè)風(fēng)險(xiǎn)等級(jí)在4級(jí)以上不可接受，通過分析，發(fā)現(xiàn)有21個(gè)不可接受風(fēng)險(xiǎn)。分析結(jié)果如表8-12所示。資產(chǎn)

35、ID0資產(chǎn)名稱威脅脆弱性風(fēng)險(xiǎn)等級(jí)是否可接受A-01路由器-1未授權(quán)訪問Cisco未設(shè)置密碼2是漏洞利用CISCO IOS界面被IPv4數(shù)據(jù)包阻塞3是A-02路由器-2未授權(quán)訪問沒有制定訪問控制策略3是操作失誤或維護(hù)錯(cuò)誤安裝與維護(hù)缺乏管理3是A-03交換機(jī)-1漏洞利用日志及管理功能未啟用3是A-04交換機(jī)-2漏洞利用CSCdz392843是CSCdw330273是A-05交換機(jī)-3漏洞利用CSCds047474否沒有配備Service Password Encryption服務(wù)4否A-06防火墻-1操作失誤或維護(hù)錯(cuò)誤安裝與維護(hù)缺乏管理4否缺少操作規(guī)程和職責(zé)管理4否A-07防火墻-2未授權(quán)訪問防火

36、墻開放端口增加3是防火墻關(guān)鍵模塊失效2是A-08防火墻-3原發(fā)抵賴未啟用日志功能4否A-09病毒服務(wù)器惡意代碼或病毒操作系統(tǒng)補(bǔ)丁未安裝4否硬件故障設(shè)備不穩(wěn)定3是未授權(quán)訪問操作系統(tǒng)的口令策略沒有啟用4否木馬后門攻擊操作系統(tǒng)開放多余服務(wù)3是表8-12 風(fēng)險(xiǎn)接受等級(jí)劃分表資產(chǎn)ID0資產(chǎn)名稱威脅脆弱性風(fēng)險(xiǎn)等級(jí)是否可接受A-10數(shù)據(jù)服務(wù)器操作失誤或維護(hù)錯(cuò)誤缺少操作規(guī)程和職責(zé)管理4否未授權(quán)訪問存在弱口令5否惡意代碼或病毒操作系統(tǒng)補(bǔ)丁未安裝4否權(quán)限濫用沒有訪問控制措施4否A-11應(yīng)用服務(wù)器操作失誤或維護(hù)錯(cuò)誤缺少操作規(guī)程和職責(zé)管理4否未授權(quán)訪問存在弱口令5否惡意代碼或病毒操作系統(tǒng)補(bǔ)丁未安裝4否漏洞利用Teln

37、et漏洞4否可以通過SMB連接注冊(cè)表5否A-12PC-1惡意代碼或病毒操作系統(tǒng)補(bǔ)丁未安裝4否數(shù)據(jù)篡改使用NetBIOS探測(cè)Windows主機(jī)信息4否A-13PC-2惡意代碼或病毒木馬和后門4否數(shù)據(jù)篡改SMB shares access3是竊密弱口令5否A-14UPS硬件故障設(shè)備不穩(wěn)定4否A-15空調(diào)硬件故障設(shè)備不穩(wěn)定3是8.7風(fēng)險(xiǎn)處理8.7.2.1 風(fēng)險(xiǎn)控制需求分析風(fēng)險(xiǎn)控制需求分析 按照系統(tǒng)的風(fēng)險(xiǎn)等級(jí)接受程度，通過對(duì)本信息系統(tǒng)技術(shù)層面的安全功能、組織層面的安全控制和管理層面的安全對(duì)策進(jìn)行分析描述，形成已有安全措施的需求分析結(jié)果，如表8-13所示。編號(hào)控制需求說明R1保障XXXX系統(tǒng)內(nèi)網(wǎng)的正常運(yùn)

38、行。R2保障XXXX系統(tǒng)外網(wǎng)的正常運(yùn)行。R3保障辦公用計(jì)算機(jī)系統(tǒng)正常運(yùn)行。R4保障網(wǎng)站信息的正常發(fā)布。R5保證基本信息的保密性、完整性、可用性。表8-13 風(fēng)險(xiǎn)控制需求分析表8.7.2.2 8.7.2.2 風(fēng)險(xiǎn)風(fēng)險(xiǎn)控制目控制目標(biāo)標(biāo) 依據(jù)風(fēng)險(xiǎn)接受等級(jí)劃分表（表8-12）、風(fēng)險(xiǎn)控制需求分析表（表8-13），確定風(fēng)險(xiǎn)控制目標(biāo)，如表8-14所示。編號(hào)控制目標(biāo)需求T1數(shù)據(jù)庫(kù)系統(tǒng)（內(nèi)、外網(wǎng)數(shù)據(jù)庫(kù)服務(wù)器）R1、R2、R5T2網(wǎng)絡(luò)支撐系統(tǒng)（路由器、交換機(jī)、通信線路）R1、R2、R4、R5T3網(wǎng)絡(luò)安全系統(tǒng)（防病毒、防火墻、數(shù)據(jù)恢復(fù)、IDS、漏洞掃描） R1、R2、R4、R5T4網(wǎng)絡(luò)管理系統(tǒng)（CISCOWORKS

39、、HPOPENVIEW）R1、R2、R4、R5T5網(wǎng)上信息發(fā)布系統(tǒng)（內(nèi)、外網(wǎng)WEB服務(wù)器）R4T6終端系統(tǒng)（PC、筆記本電腦）R3T7介質(zhì)及文檔（數(shù)據(jù)備份文檔等） R1、R2、R5 表8-14 控制目標(biāo)8.7.3 8.7.3 控制措施控制措施選擇選擇 依據(jù)風(fēng)險(xiǎn)控制需求分析表（表8-13）、控制目標(biāo)表（表8-14），針對(duì)控制目標(biāo)，綜合考慮控制成本和實(shí)際的風(fēng)險(xiǎn)控制需求，建議采取適當(dāng)?shù)目刂拼胧?，如?-15所示。編號(hào)控制措施對(duì)應(yīng)控制目標(biāo)優(yōu)先級(jí)M1制定具體科室負(fù)責(zé)信息安全工作，明確人員及其分工。T1T7高M(jìn)2制定定期開展信息安全意識(shí)教育培訓(xùn)的計(jì)劃并落實(shí)。T1T7高M(jìn)3對(duì)所屬的服務(wù)器和主機(jī)進(jìn)行安全配置檢查，并重新配置安全策略。T1T7高M(jìn)4開啟重要服務(wù)器和主機(jī)的審計(jì)功能，并制定審計(jì)記錄的維護(hù)和分析流程。T1T7高M(jìn)5對(duì)內(nèi)、外網(wǎng)的服務(wù)器默認(rèn)配置進(jìn)行必要的更改。T1T7高M(jìn)6制定具體的備份與恢復(fù)制度。T1、T7高M(jìn)7制定具體的安全事件處理制度。T1T7高M(jìn)8對(duì)應(yīng)用系統(tǒng)制定統(tǒng)一的完整性保護(hù)策略，并使用有效工具進(jìn)行完整性約束。T1T7高M(jìn)9制定合理的資源分配策略，包括：最大并發(fā)連接數(shù)，最小并發(fā)連接數(shù)，單個(gè)用戶會(huì)話數(shù)量等。T1T7高M(jìn)10及時(shí)針對(duì)安全漏洞打補(bǔ)丁。T1T7高M(jìn)1