計(jì)算機(jī)信息安全評(píng)估實(shí)例ppt課件

1、計(jì)計(jì)算機(jī)信息平安評(píng)評(píng)價(jià)實(shí)實(shí)例 本章概要：本章概要： 本章以某信息系統(tǒng)為例詳細(xì)引見(jiàn)信息平安風(fēng)本章以某信息系統(tǒng)為例詳細(xì)引見(jiàn)信息平安風(fēng)險(xiǎn)評(píng)價(jià)的實(shí)施過(guò)程。根據(jù)險(xiǎn)評(píng)價(jià)的實(shí)施過(guò)程。根據(jù)GB/T 209842007和第和第7章信息平安章信息平安風(fēng)險(xiǎn)評(píng)價(jià)的根本過(guò)程，將信息平安風(fēng)險(xiǎn)評(píng)價(jià)的實(shí)施過(guò)風(fēng)險(xiǎn)評(píng)價(jià)的根本過(guò)程，將信息平安風(fēng)險(xiǎn)評(píng)價(jià)的實(shí)施過(guò)程分為評(píng)價(jià)預(yù)備、識(shí)別并評(píng)價(jià)資產(chǎn)、識(shí)別并評(píng)價(jià)要挾、程分為評(píng)價(jià)預(yù)備、識(shí)別并評(píng)價(jià)資產(chǎn)、識(shí)別并評(píng)價(jià)要挾、識(shí)別并評(píng)價(jià)脆弱性、分析能夠性和影響、風(fēng)險(xiǎn)計(jì)算、識(shí)別并評(píng)價(jià)脆弱性、分析能夠性和影響、風(fēng)險(xiǎn)計(jì)算、風(fēng)險(xiǎn)處置、編寫(xiě)信息平安風(fēng)險(xiǎn)評(píng)價(jià)報(bào)告等階段。風(fēng)險(xiǎn)處置、編寫(xiě)信息平安風(fēng)險(xiǎn)評(píng)價(jià)報(bào)告等階段。本章目

2、錄1 評(píng)評(píng)價(jià)預(yù)備預(yù)備2 識(shí)別并評(píng)識(shí)別并評(píng)價(jià)資產(chǎn)資產(chǎn)3 識(shí)別并評(píng)識(shí)別并評(píng)價(jià)要挾挾4 識(shí)別并評(píng)識(shí)別并評(píng)價(jià)脆弱性5 分析能夠夠性和影響響6 風(fēng)險(xiǎn)計(jì)風(fēng)險(xiǎn)計(jì)算7 風(fēng)險(xiǎn)處風(fēng)險(xiǎn)處置8 編寫(xiě)編寫(xiě)信息平安風(fēng)險(xiǎn)評(píng)風(fēng)險(xiǎn)評(píng)價(jià)報(bào)報(bào)告 上機(jī)實(shí)驗(yàn)實(shí)驗(yàn)1 評(píng)價(jià)預(yù)備 根據(jù)GB/T 209842007，在風(fēng)險(xiǎn)評(píng)價(jià)實(shí)施前，應(yīng)確定風(fēng)險(xiǎn)評(píng)價(jià)的目的，確定評(píng)價(jià)范圍，組建評(píng)價(jià)管理與實(shí)施團(tuán)隊(duì)，進(jìn)展系統(tǒng)調(diào)研，確定評(píng)價(jià)根據(jù)和方法，制定評(píng)價(jià)方案，獲得最高管理者的支持。 8.1.1 確定信息平安風(fēng)險(xiǎn)評(píng)價(jià)的目的 信息系統(tǒng)風(fēng)險(xiǎn)評(píng)價(jià)目的是經(jīng)過(guò)風(fēng)險(xiǎn)評(píng)價(jià)，分析信息系統(tǒng)的平安情況，全面了解和掌握信息系統(tǒng)面臨的平安風(fēng)險(xiǎn)，評(píng)價(jià)信息系統(tǒng)的風(fēng)險(xiǎn)，提出風(fēng)險(xiǎn)控制建議，為下一

3、步完善管理制度以及今后的平安建立和風(fēng)險(xiǎn)管理提供第一手資料。 1.2 確定信息平安風(fēng)險(xiǎn)評(píng)風(fēng)險(xiǎn)評(píng)價(jià)的范圍圍既既定的信息平安風(fēng)險(xiǎn)評(píng)風(fēng)險(xiǎn)評(píng)價(jià)能夠夠只針對(duì)組織針對(duì)組織全部資產(chǎn)資產(chǎn)的一個(gè)個(gè)子集，評(píng)評(píng)價(jià)范圍圍必需明確。本次評(píng)評(píng)價(jià)的范圍圍包括該該信息系統(tǒng)統(tǒng)網(wǎng)絡(luò)網(wǎng)絡(luò)、管理制度、運(yùn)運(yùn)用或管理該該信息系統(tǒng)統(tǒng)的相關(guān)關(guān)人員員，以及由系統(tǒng)運(yùn)統(tǒng)運(yùn)用時(shí)時(shí)所產(chǎn)產(chǎn)生的文檔檔、數(shù)數(shù)據(jù)。1.3 組組建適當(dāng)當(dāng)?shù)脑u(píng)評(píng)價(jià)管理與實(shí)與實(shí)施團(tuán)隊(duì)團(tuán)隊(duì)組組建由該單該單位指點(diǎn)、風(fēng)險(xiǎn)評(píng)風(fēng)險(xiǎn)評(píng)價(jià)專專家、技術(shù)專術(shù)專家，以及各管理層層、業(yè)務(wù)業(yè)務(wù)部門(mén)門(mén)的相關(guān)關(guān)人員組員組成風(fēng)險(xiǎn)評(píng)風(fēng)險(xiǎn)評(píng)價(jià)小組組，同時(shí)時(shí)明確規(guī)規(guī)定每個(gè)個(gè)成員員的義務(wù)義務(wù)分工 。1.4 進(jìn)進(jìn)展系統(tǒng)調(diào)研

4、統(tǒng)調(diào)研經(jīng)過(guò)問(wèn)經(jīng)過(guò)問(wèn)卷調(diào)查調(diào)查、人員訪談員訪談、現(xiàn)場(chǎng)調(diào)查現(xiàn)場(chǎng)調(diào)查、核對(duì)對(duì)表等方式，對(duì)對(duì)信息系統(tǒng)統(tǒng)的業(yè)務(wù)業(yè)務(wù)、組織構(gòu)組織構(gòu)造、管理、技術(shù)術(shù)等方面進(jìn)進(jìn)展調(diào)查調(diào)查。問(wèn)問(wèn)卷調(diào)查調(diào)查、人員訪談員訪談的方式運(yùn)運(yùn)用了，調(diào)查調(diào)查了系統(tǒng)統(tǒng)的管理、設(shè)備設(shè)備、人員員管理的情況況，現(xiàn)場(chǎng)調(diào)查現(xiàn)場(chǎng)調(diào)查、核對(duì)對(duì)表的方式調(diào)調(diào)查查了設(shè)備設(shè)備的詳細(xì)詳細(xì)位置，核對(duì)對(duì)了設(shè)備設(shè)備的實(shí)踐實(shí)踐配置等情況況，得出有關(guān)關(guān)信息系統(tǒng)統(tǒng)的描畫(huà)畫(huà)。1.4.1 業(yè)務(wù)業(yè)務(wù)目的和業(yè)務(wù)業(yè)務(wù)特性1業(yè)務(wù)業(yè)務(wù)目的信息系統(tǒng)統(tǒng)主要擔(dān)任數(shù)數(shù)據(jù)的搜集、技術(shù)處術(shù)處置以及預(yù)測(cè)預(yù)測(cè)分析，為為相關(guān)關(guān)部門(mén)門(mén)提供決決策和管理支持，向社會(huì)會(huì)提供公益效力。 2業(yè)務(wù)業(yè)務(wù)特性 經(jīng)過(guò)對(duì)經(jīng)過(guò)對(duì)信息

5、系統(tǒng)統(tǒng)的業(yè)務(wù)業(yè)務(wù)目的的分析，歸納歸納出以下業(yè)務(wù)業(yè)務(wù)特性： 業(yè)務(wù)種類業(yè)務(wù)種類多，技術(shù)術(shù)型任務(wù)與務(wù)與管理型任務(wù)并務(wù)并重； 業(yè)務(wù)業(yè)務(wù)不可中斷斷性低； 業(yè)務(wù)嚴(yán)業(yè)務(wù)嚴(yán)密性要求低； 業(yè)務(wù)業(yè)務(wù)根本不涉及現(xiàn)現(xiàn)金流動(dòng)動(dòng)； 人員業(yè)務(wù)員業(yè)務(wù)素質(zhì)質(zhì)要求高。1.4.2 管理特性現(xiàn)現(xiàn)有的規(guī)規(guī)章制度原那么么性要求較較多，可操作性較較低，在信息平安管理方面偏重于技術(shù)術(shù)。1.4.3 網(wǎng)絡(luò)網(wǎng)絡(luò)特性信息系統(tǒng)統(tǒng)的網(wǎng)絡(luò)網(wǎng)絡(luò)拓?fù)錁?gòu)構(gòu)造圖圖如圖圖8-1所示。 圖8-1 網(wǎng)絡(luò)拓?fù)錁?gòu)造圖 1.5 評(píng)評(píng)價(jià)根據(jù)評(píng)評(píng)價(jià)所遵照的根據(jù)如下：1.GB/T 20984-20072.GB/T 19715-20053.GB/T 19716-20052.公通字2

6、00743號(hào)號(hào)3.GB/T 20269-20061.6 信息平安風(fēng)險(xiǎn)評(píng)風(fēng)險(xiǎn)評(píng)價(jià)工程實(shí)實(shí)施方案1.6.1 工程組織組織機(jī)構(gòu)構(gòu)工程實(shí)實(shí)施的組織組織機(jī)構(gòu)構(gòu)如下:工程工程指點(diǎn)小組組由受測(cè)測(cè)機(jī)構(gòu)構(gòu)主管信息平安的指點(diǎn)和評(píng)評(píng)價(jià)機(jī)構(gòu)構(gòu)指點(diǎn)共同組組成。工程工程指點(diǎn)小組組定期聽(tīng)取工程工程管理小組匯報(bào)組匯報(bào)整個(gè)個(gè)工程的進(jìn)進(jìn)展情況況和工程實(shí)實(shí)施關(guān)鍵階關(guān)鍵階段的成果；工程實(shí)實(shí)施終終了之后，指點(diǎn)小組將組將根據(jù)整個(gè)個(gè)工程的成果情況況，同意并并主持工程試試點(diǎn)總結(jié)總結(jié)任務(wù)務(wù)。工程工程管理小組由評(píng)價(jià)雙方的工程擔(dān)任人組成。主要職工程工程管理小組由評(píng)價(jià)雙方的工程擔(dān)任人組成。主要職責(zé)是審核確認(rèn)工程實(shí)施組制定的現(xiàn)場(chǎng)任務(wù)方案，并監(jiān)視工程責(zé)

7、是審核確認(rèn)工程實(shí)施組制定的現(xiàn)場(chǎng)任務(wù)方案，并監(jiān)視工程進(jìn)展情況；主持階段成果匯報(bào)會(huì)議；做好協(xié)調(diào)任務(wù)，保證工進(jìn)展情況；主持階段成果匯報(bào)會(huì)議；做好協(xié)調(diào)任務(wù)，保證工程的順利執(zhí)行。程的順利執(zhí)行。工程實(shí)施組由評(píng)價(jià)專家、評(píng)價(jià)工程師及受測(cè)機(jī)構(gòu)的平安管工程實(shí)施組由評(píng)價(jià)專家、評(píng)價(jià)工程師及受測(cè)機(jī)構(gòu)的平安管理員、網(wǎng)絡(luò)管理員和運(yùn)用系統(tǒng)分析員組成。主要職責(zé)是制定理員、網(wǎng)絡(luò)管理員和運(yùn)用系統(tǒng)分析員組成。主要職責(zé)是制定詳細(xì)工程實(shí)施方案，根據(jù)實(shí)施方案開(kāi)展任務(wù)。詳細(xì)工程實(shí)施方案，根據(jù)實(shí)施方案開(kāi)展任務(wù)。質(zhì)量控制組由質(zhì)量控制人員組成。主要擔(dān)任對(duì)各個(gè)效力工質(zhì)量控制組由質(zhì)量控制人員組成。主要擔(dān)任對(duì)各個(gè)效力工程的實(shí)施情況進(jìn)展質(zhì)量控制和最終的驗(yàn)

8、收。程的實(shí)施情況進(jìn)展質(zhì)量控制和最終的驗(yàn)收。外聘專家組由有閱歷的專家組成。主要擔(dān)任對(duì)工程的方案外聘專家組由有閱歷的專家組成。主要擔(dān)任對(duì)工程的方案分析、實(shí)施、步驟、關(guān)鍵問(wèn)題的處理及新技術(shù)的運(yùn)用提供思分析、實(shí)施、步驟、關(guān)鍵問(wèn)題的處理及新技術(shù)的運(yùn)用提供思緒、指點(diǎn)和咨詢。緒、指點(diǎn)和咨詢。1.6.2 工程階階段劃劃分本次風(fēng)險(xiǎn)評(píng)風(fēng)險(xiǎn)評(píng)價(jià)工程分工程預(yù)備預(yù)備、現(xiàn)狀調(diào)研現(xiàn)狀調(diào)研、檢查與測(cè)試檢查與測(cè)試、分析評(píng)評(píng)價(jià)及編編制評(píng)評(píng)價(jià)報(bào)報(bào)告六個(gè)階個(gè)階段，各階階段任務(wù)務(wù)定義闡義闡明如下：工程預(yù)備預(yù)備：工程實(shí)實(shí)施前期任務(wù)務(wù)，包括成立工程組組，確定評(píng)評(píng)價(jià)范圍圍，制定工程實(shí)實(shí)施方案，搜集整理開(kāi)發(fā)開(kāi)發(fā)各種評(píng)種評(píng)價(jià)工具等。任務(wù)務(wù)方式：

9、研討會(huì)研討會(huì)。任務(wù)務(wù)成果：、?，F(xiàn)狀調(diào)研現(xiàn)狀調(diào)研：經(jīng)過(guò)訪談?wù){(diào)查經(jīng)過(guò)訪談?wù){(diào)查，搜集評(píng)評(píng)價(jià)對(duì)對(duì)象信息。任務(wù)務(wù)方式：訪談訪談、問(wèn)問(wèn)卷調(diào)查調(diào)查。任務(wù)務(wù)成果：。檢查與測(cè)試檢查與測(cè)試：手工或工具檢查檢查及測(cè)試測(cè)試。進(jìn)進(jìn)展資產(chǎn)資產(chǎn)分析、要挾挾分析和脆弱性掃掃描。任務(wù)務(wù)方式：訪談訪談、問(wèn)問(wèn)卷調(diào)查調(diào)查、測(cè)試測(cè)試、研討會(huì)研討會(huì)。任務(wù)務(wù)成果：、。ID任務(wù)名稱開(kāi)始時(shí)間完成時(shí)間持續(xù)時(shí)間2007年5月2007年6月5-65-135-205-276-36-106-176-241項(xiàng)目準(zhǔn)備5-85-1710d2現(xiàn)狀調(diào)研5-185-2711d3檢查與測(cè)試5-286-812d4分析評(píng)估6-96-179d5編制評(píng)估報(bào)告6-186-28

10、11d分析評(píng)價(jià)：根據(jù)相關(guān)規(guī)范或?qū)嶋H閱歷確定平安風(fēng)險(xiǎn)，并給分析評(píng)價(jià)：根據(jù)相關(guān)規(guī)范或?qū)嶋H閱歷確定平安風(fēng)險(xiǎn)，并給出整改措施。任務(wù)方式：訪談、研討會(huì)。任務(wù)成果：出整改措施。任務(wù)方式：訪談、研討會(huì)。任務(wù)成果：。編制評(píng)價(jià)報(bào)告：完成最終評(píng)價(jià)報(bào)告。任務(wù)方式：研討會(huì)。編制評(píng)價(jià)報(bào)告：完成最終評(píng)價(jià)報(bào)告。任務(wù)方式：研討會(huì)。任務(wù)成果：任務(wù)成果：。表表8-1 8-1 信息系統(tǒng)風(fēng)險(xiǎn)評(píng)價(jià)實(shí)施進(jìn)度表信息系統(tǒng)風(fēng)險(xiǎn)評(píng)價(jià)實(shí)施進(jìn)度表1.7 獲獲得最高管理者對(duì)對(duì)信息平安風(fēng)險(xiǎn)評(píng)風(fēng)險(xiǎn)評(píng)價(jià)任務(wù)務(wù)的支持上述一切內(nèi)內(nèi)容得到了相關(guān)關(guān)管理者的同意，并對(duì)并對(duì)管理層層和員員工進(jìn)進(jìn)展了傳達(dá)傳達(dá)。2 識(shí)別并評(píng)價(jià)資產(chǎn)根據(jù)根據(jù)GB/T 209842007和第和第

11、7章信息平安風(fēng)險(xiǎn)評(píng)價(jià)的根本過(guò)程，對(duì)資產(chǎn)進(jìn)展章信息平安風(fēng)險(xiǎn)評(píng)價(jià)的根本過(guò)程，對(duì)資產(chǎn)進(jìn)展分類并按照資產(chǎn)的嚴(yán)密性、完好性和可用性進(jìn)展賦值。分類并按照資產(chǎn)的嚴(yán)密性、完好性和可用性進(jìn)展賦值。8.2.1 識(shí)別資產(chǎn)識(shí)別資產(chǎn)根據(jù)對(duì)信息系統(tǒng)的調(diào)查分析，并結(jié)合業(yè)務(wù)特點(diǎn)和系統(tǒng)根據(jù)對(duì)信息系統(tǒng)的調(diào)查分析，并結(jié)合業(yè)務(wù)特點(diǎn)和系統(tǒng)的平安要求，確定了系統(tǒng)需求維護(hù)的資產(chǎn)，見(jiàn)表的平安要求，確定了系統(tǒng)需求維護(hù)的資產(chǎn)，見(jiàn)表8-2。資產(chǎn)編號(hào)資產(chǎn)名稱型號(hào)A-01路由器-1CISCO3640A-02路由器-2華為NE40A-03交換機(jī)-1CATALYST4000A-04交換機(jī)-2CISCO3745A-05交換機(jī)-3CISCO2950A-06防

12、火墻-1聯(lián)想網(wǎng)域SuperV-5318A-07防火墻-2聯(lián)想網(wǎng)域UTM-418DA-08防火墻-3網(wǎng)神Secgate 3600-F3A-09防病毒服務(wù)器MACFEEA-10數(shù)據(jù)服務(wù)器HP DL380A-11應(yīng)用服務(wù)器HP DL380A-12PC-1HP X8620A-13PC-2HP X8620A-14UPSChampin(20KW)A-15空調(diào)美的表表8-2 8-2 信息系統(tǒng)資產(chǎn)列表信息系統(tǒng)資產(chǎn)列表2.2 資產(chǎn)賦值資產(chǎn)賦值 對(duì)識(shí)別對(duì)識(shí)別的信息資產(chǎn)資產(chǎn)，按照資產(chǎn)資產(chǎn)的不同平安屬屬性，即嚴(yán)嚴(yán)密性、完好性和可用性的重要性和維護(hù)維護(hù)要求，分別對(duì)資產(chǎn)別對(duì)資產(chǎn)的CIA三性予以賦值賦值，見(jiàn)見(jiàn)表8-3，這這

13、里采用五個(gè)個(gè)等級(jí)級(jí)。資產(chǎn)編號(hào)資產(chǎn)名稱型號(hào)保密性完整性可用性A-01路由器-1CISCO3640000A-02路由器-2華為NE40132A-03交換機(jī)-1CATALYST4000133A-04交換機(jī)-2CISCO3745133A-05交換機(jī)-3CISCO2950244A-06防火墻-1聯(lián)想網(wǎng)域SuperV-5318134A-07防火墻-2聯(lián)想網(wǎng)域UTM-418D124A-08防火墻-3網(wǎng)神Secgate 3600-F3124A-09防病毒服務(wù)器MACFEE134A-11數(shù)據(jù)服務(wù)器HP DL380244A-12應(yīng)用服務(wù)器HP DL380244A-14PC-1HP X8620144A-15PC-2

14、HP X8620144A-16UPSChampin(20KW)145A-18空調(diào)美的124表表8-3 8-3 資產(chǎn)資產(chǎn)CIACIA三性等級(jí)表三性等級(jí)表2.3 資產(chǎn)資產(chǎn)價(jià)值值根據(jù)資產(chǎn)嚴(yán)資產(chǎn)嚴(yán)密性、完好性和可用性的不同等級(jí)對(duì)級(jí)對(duì)其賦值進(jìn)賦值進(jìn)展加權(quán)計(jì)權(quán)計(jì)算得到資產(chǎn)資產(chǎn)的最終賦值結(jié)終賦值結(jié)果。加權(quán)權(quán)方法可根據(jù)組織組織的業(yè)務(wù)業(yè)務(wù)特點(diǎn)確定。資產(chǎn)資產(chǎn)價(jià)值值如表8-4所示。資產(chǎn)編號(hào)資產(chǎn)名稱安全屬性賦值權(quán)值資產(chǎn)價(jià)值保密性完整性可用性保密性完整性可用性A-01路由器-11110105041.0A-02路由器-21320105042.4A-03交換機(jī)-11330103062.8A-04交換機(jī)-2133010306

15、2.8A-05交換機(jī)-32440103063.8A-06防火墻-11340102073.5A-07防火墻-21240104052.9A-08防火墻-31240104052.9A-09防病毒服務(wù)器1340103063.4A-10數(shù)據(jù)服務(wù)器2440104053.8A-11應(yīng)用服務(wù)器2440104053.8A-12PC-11440104053.7A-13PC-21440104053.7A-14UPS1450103064.3A-15空調(diào)1240005053.0表表8-4 8-4 資產(chǎn)價(jià)值表資產(chǎn)價(jià)值表3 識(shí)別并評(píng)價(jià)要挾在本次評(píng)價(jià)中，首先搜集系統(tǒng)所面臨的要挾，然后對(duì)要挾的來(lái)源和在本次評(píng)價(jià)中，首先搜集系統(tǒng)所

16、面臨的要挾，然后對(duì)要挾的來(lái)源和行為進(jìn)展分析。要挾的搜集主要是經(jīng)過(guò)問(wèn)卷調(diào)查、人員訪談、現(xiàn)場(chǎng)調(diào)查、行為進(jìn)展分析。要挾的搜集主要是經(jīng)過(guò)問(wèn)卷調(diào)查、人員訪談、現(xiàn)場(chǎng)調(diào)查、查看系統(tǒng)任務(wù)日志以及平安事件報(bào)告或記錄等方式進(jìn)展，同時(shí)運(yùn)用綠盟查看系統(tǒng)任務(wù)日志以及平安事件報(bào)告或記錄等方式進(jìn)展，同時(shí)運(yùn)用綠盟1200D-02，搜集整個(gè)系統(tǒng)所發(fā)生的入侵檢測(cè)記錄。，搜集整個(gè)系統(tǒng)所發(fā)生的入侵檢測(cè)記錄。 表表8-5是本次評(píng)價(jià)分析得到的要挾列表。是本次評(píng)價(jià)分析得到的要挾列表。威脅編號(hào)威脅類別描述T-01硬件故障由于設(shè)備硬件故障導(dǎo)致對(duì)業(yè)務(wù)高效穩(wěn)定運(yùn)行的影響。T-02未授權(quán)訪問(wèn)因系統(tǒng)或網(wǎng)絡(luò)訪問(wèn)控制不當(dāng)引起的非授權(quán)訪問(wèn)。T-03漏洞利用

17、利用操作系統(tǒng)本身的漏洞導(dǎo)致的威脅。T-04操作失誤或維護(hù)錯(cuò)誤由于應(yīng)該執(zhí)行而沒(méi)有執(zhí)行相應(yīng)的操作，或非故意地執(zhí)行了錯(cuò)誤的操作，對(duì)系統(tǒng)造成影響。T-05木馬后門(mén)攻擊木馬后門(mén)攻擊T-06惡意代碼和病毒具有復(fù)制、自我傳播能力，對(duì)信息系統(tǒng)構(gòu)成破壞的程序代碼。T-07原發(fā)抵賴不承認(rèn)收到的信息和所作的操作。T-08權(quán)限濫用濫用自己的職權(quán)，做出泄露或破壞。T-09泄密通過(guò)竊聽(tīng)、惡意攻擊的手段獲得系統(tǒng)秘密信息。T-10數(shù)據(jù)篡改通過(guò)惡意攻擊非授權(quán)修改信息，破壞信息的完整性。表表8-5 8-5 信息系統(tǒng)面臨的要挾列表信息系統(tǒng)面臨的要挾列表4 識(shí)別并評(píng)價(jià)脆弱性 從技術(shù)和管理兩方面對(duì)本工程的脆弱性進(jìn)展評(píng)價(jià)。技術(shù)脆弱性主要

18、是經(jīng)過(guò)運(yùn)用極光遠(yuǎn)程平安評(píng)價(jià)系統(tǒng)進(jìn)展系統(tǒng)掃描。按照脆弱性工具運(yùn)用方案，運(yùn)用掃描工具對(duì)主機(jī)等設(shè)備進(jìn)展掃描，查找主機(jī)的系統(tǒng)破綻、數(shù)據(jù)庫(kù)破綻、共享資源以及帳戶運(yùn)用等平安問(wèn)題。在進(jìn)展工具掃描之后，結(jié)合要挾分析的內(nèi)容，根據(jù)得出的原始記錄，進(jìn)展整體分析。按照各種管理調(diào)查表的平安管理要求對(duì)現(xiàn)有的平安管理制度及其執(zhí)行情況進(jìn)展檢查，發(fā)現(xiàn)其中的管理脆弱性。資產(chǎn)名稱 脆弱性ID脆弱性名稱脆弱性描述路由器-1VULN-01Cisco未設(shè)置密碼Cisco路由器未設(shè)置密碼，將允許攻擊者獲得網(wǎng)絡(luò)的更多信息VULN-02CISCO IOS界面被IPv4數(shù)據(jù)包阻塞通過(guò)發(fā)送不規(guī)則IPv4數(shù)據(jù)包可以阻塞遠(yuǎn)程路由器。路由器-2VULN

19、-03沒(méi)有制定訪問(wèn)控制策略沒(méi)有制定訪問(wèn)控制策略VULN-04安裝與維護(hù)缺乏管理安裝與維護(hù)缺乏管理交換機(jī)-1 VULN-05日志及管理功能未啟用日志及管理功能未啟用交換機(jī)-2VULN-06CSCdz39284當(dāng)發(fā)送畸形的SIP數(shù)據(jù)包時(shí)，可導(dǎo)致遠(yuǎn)程的IOS癱瘓VULN-07CSCdw33027當(dāng)發(fā)送畸形的SSH數(shù)據(jù)包時(shí)，可導(dǎo)致遠(yuǎn)程的IOS癱瘓交換機(jī)-3VULN-08CSCds04747Cisco的IOS軟件有一個(gè)漏洞，允許獲得TCP的初始序列號(hào)VULN-09沒(méi)有配備ServicePassword Encryption服務(wù)沒(méi)有配備Service PasswordEncryption服務(wù)防火墻-1VU

20、LN-10安裝與維護(hù)缺乏管理安裝與維護(hù)缺乏管理VULN-11缺少操作規(guī)程和職責(zé)管理缺少操作規(guī)程和職責(zé)管理防火墻-2VULN-12防火墻開(kāi)放端口增加防火墻開(kāi)放端口增加VULN-13防火墻關(guān)鍵模塊失效防火墻關(guān)鍵模塊失效資產(chǎn)名稱脆弱性ID脆弱性名稱脆弱性描述防火墻-3VULN-14未啟用日志功能未啟用日志功能防病毒服務(wù)器VULN-15操作系統(tǒng)補(bǔ)丁未安裝未及時(shí)安裝補(bǔ)丁VULN-16設(shè)備不穩(wěn)定設(shè)備不穩(wěn)定VULN-17操作系統(tǒng)的口令策略沒(méi)有啟用操作系統(tǒng)的口令策略沒(méi)有啟用VULN-18操作系統(tǒng)開(kāi)放多余服務(wù)操作系統(tǒng)開(kāi)放多余服務(wù)數(shù)據(jù)服務(wù)器VULN-19缺少操作規(guī)程和職責(zé)管理缺少操作規(guī)程和職責(zé)管理VULN-20存

21、在弱口令存在弱口令VULN-21操作系統(tǒng)補(bǔ)丁未安裝未及時(shí)安裝補(bǔ)丁VULN-22沒(méi)有訪問(wèn)控制措施沒(méi)有訪問(wèn)控制措施應(yīng)用服務(wù)器VULN-23缺少操作規(guī)程和職責(zé)管理缺少操作規(guī)程和職責(zé)管理VULN-24存在弱口令存在弱口令VULN-25操作系統(tǒng)補(bǔ)丁未安裝未及時(shí)安裝補(bǔ)丁VULN-26Telnet漏洞未及時(shí)安裝補(bǔ)丁VULN-27可以通過(guò)SMB連接注冊(cè)表可以通過(guò)SMB連接注冊(cè)表PC-1VULN-28操作系統(tǒng)補(bǔ)丁未安裝未及時(shí)安裝補(bǔ)丁VULN-29使用NetBIOS探測(cè)Windows主機(jī)信息使用NetBIOS探測(cè)Windows主機(jī)信息PC-2VULN-30木馬和后門(mén)木馬和后門(mén)VULN-31SMB shares a

22、ccessSMB登錄VULN-32弱口令弱口令UPSVULN-33設(shè)備不穩(wěn)定設(shè)備不穩(wěn)定空調(diào)VULN-34設(shè)備不穩(wěn)定設(shè)備不穩(wěn)定表8-6 技術(shù)脆弱性評(píng)價(jià)結(jié)果5 分析能夠性和影響5.1 分析要挾發(fā)挾發(fā)生的頻頻率 要挾發(fā)挾發(fā)生的頻頻率需求根據(jù)要挾挾、脆弱性和平安措施來(lái)來(lái)綜綜合評(píng)評(píng)價(jià)。表8-7給給出了5個(gè)級(jí)別個(gè)級(jí)別定義義的描畫(huà)畫(huà)。等級(jí)威脅頻率描述5很高大多數(shù)情況下幾乎不可避免或者可以證實(shí)發(fā)生過(guò)的頻率很高4高在大多數(shù)情況下很有可能會(huì)發(fā)生或者可以證實(shí)曾發(fā)生過(guò)3中在某種情況下可能會(huì)發(fā)生但未被證實(shí)發(fā)生過(guò)2低一般不太可能發(fā)生1很低幾乎不可能發(fā)生表8-7 能夠性級(jí)別定義5.2 分析脆弱性嚴(yán)嚴(yán)重程度 脆弱性嚴(yán)嚴(yán)重程度

23、是指要挾挾一次勝勝利地利用脆弱性后對(duì)對(duì)組織組織呵斥的不期望的后果或損損失的相對(duì)對(duì)等級(jí)級(jí)，表8-8給給出了5個(gè)級(jí)別個(gè)級(jí)別定義義的描畫(huà)畫(huà)。等級(jí)嚴(yán)重程度描述5很高可引起系統(tǒng)持續(xù)中斷或永久關(guān)閉?？梢鸫硇畔⒒蚍?wù)的重大損失4高可引起重要系統(tǒng)的中斷，或連接客戶損失或商業(yè)信任損失3中等能引起系統(tǒng)聲望的損害，或是對(duì)系統(tǒng)資源或服務(wù)的信任程度的降低，需要支付重要資源維修費(fèi)2低對(duì)系統(tǒng)有一些很小的影響，只須很小的努力就可恢復(fù)系統(tǒng)1很低對(duì)系統(tǒng)幾乎沒(méi)有影響表8-8 嚴(yán)重程度定義6 風(fēng)險(xiǎn)計(jì)算 首先建立資產(chǎn)、要挾和脆弱性關(guān)聯(lián)，并給要挾發(fā)生的能夠性及脆弱性嚴(yán)重程度賦值，如表8-9所示。 在本工程中，采用7.8引見(jiàn)的矩陣法和

24、相乘法進(jìn)展風(fēng)險(xiǎn)計(jì)算。資產(chǎn)威脅威脅頻率脆弱性嚴(yán)重程度路由器-1未授權(quán)訪問(wèn)2Cisco未設(shè)置密碼3漏洞利用5CISCO IOS界面被IPv4數(shù)據(jù)包阻塞3路由器-2未授權(quán)訪問(wèn)2沒(méi)有制定訪問(wèn)控制策略4操作失誤或維護(hù)錯(cuò)誤2安裝與維護(hù)缺乏管理4交換機(jī)-1漏洞利用5日志及管理功能未啟用3交換機(jī)-2漏洞利用5CSCdz392843CSCdw330273交換機(jī)-3漏洞利用5CSCds047474沒(méi)有配備Service PasswordEncryption服務(wù)4防火墻-1操作失誤或維護(hù)錯(cuò)誤2安裝與維護(hù)缺乏管理5缺少操作規(guī)程和職責(zé)管理5防火墻-2 未授權(quán)訪問(wèn)1防火墻開(kāi)放端口增加5防火墻關(guān)鍵模塊失效4防火墻-3原發(fā)抵

25、賴3未啟用日志功能5病毒服務(wù)器惡意代碼或病毒3操作系統(tǒng)補(bǔ)丁未安裝5硬件故障1設(shè)備不穩(wěn)定5未授權(quán)訪問(wèn)4操作系統(tǒng)的口令策略沒(méi)有啟用5木馬后門(mén)攻擊4操作系統(tǒng)開(kāi)放多余服務(wù)4資產(chǎn)威脅威脅頻率脆弱性嚴(yán)重程度數(shù)據(jù)服務(wù)器操作失誤或維護(hù)錯(cuò)誤2缺少操作規(guī)程和職責(zé)管理5未授權(quán)訪問(wèn)4存在弱口令5惡意代碼或病毒3操作系統(tǒng)補(bǔ)丁未安裝5權(quán)限濫用4沒(méi)有訪問(wèn)控制措施4應(yīng)用服務(wù)器操作失誤或維護(hù)錯(cuò)誤2缺少操作規(guī)程和職責(zé)管理5未授權(quán)訪問(wèn)4存在弱口令5惡意代碼或病毒3操作系統(tǒng)補(bǔ)丁未安裝5漏洞利用5Telnet漏洞4可以通過(guò)SMB連接注冊(cè)表5PC-1惡意代碼或病毒3操作系統(tǒng)補(bǔ)丁未安裝5數(shù)據(jù)篡改3使用NetBIOS探測(cè)Windows主機(jī)信

26、息5PC-2惡意代碼或病毒3木馬和后門(mén)5數(shù)據(jù)篡改3SMB shares access4竊密4弱口令5UPS硬件故障1設(shè)備不穩(wěn)定5空調(diào)硬件故障1設(shè)備不穩(wěn)定5表8-9 資產(chǎn)、要挾、脆弱性關(guān)聯(lián)表6.1 6.1 運(yùn)運(yùn)用矩用矩陣陣法法計(jì)計(jì)算算風(fēng)險(xiǎn)風(fēng)險(xiǎn) 利用矩陣法，首先根據(jù)表7-21，計(jì)算平安事件發(fā)生的能夠性，再根據(jù)平安事件能夠等級(jí)劃分表7-22，計(jì)算平安事件發(fā)生的能夠性值等級(jí)。根據(jù)平安事件發(fā)生損失矩陣表7-23，計(jì)算平安事件的損失，再根據(jù)平安事件損失等級(jí)劃分表7-24，計(jì)算平安事件損失等級(jí)。根據(jù)風(fēng)險(xiǎn)矩陣表7-25，計(jì)算風(fēng)險(xiǎn)風(fēng)險(xiǎn)值。最后根據(jù)風(fēng)險(xiǎn)等級(jí)劃分表7-26，確定風(fēng)險(xiǎn)等級(jí)。一切計(jì)算結(jié)果如表8-10所示

27、。資產(chǎn)資產(chǎn)價(jià)值威脅威脅頻率脆弱性嚴(yán)重程度安全事件可能性可能性等級(jí)安全事件損失損失等級(jí)風(fēng)險(xiǎn)值風(fēng)險(xiǎn)等級(jí)A-011T-022VULN-0131026282T-035VULN-02317462153A-022T-022VULN-034133123133T-042VULN-044133123133A-033T-035VULN-053174113173A-043T-035VULN-063174113173VULN-073174113173A-054T-035VULN-084204194204VULN-094204194204A-064T-042VULN-105174225234VULN-115174225

28、234A-073T-021VULN-125143204163VULN-083T-073VULN-145204204204表8-10 風(fēng)險(xiǎn)計(jì)算表1資產(chǎn)資產(chǎn)價(jià)值威脅威脅頻率脆弱性嚴(yán)重程度安全事件可能性可能性等級(jí)安全事件損失損失等級(jí)風(fēng)險(xiǎn)值風(fēng)險(xiǎn)等級(jí)A-093T-063VULN-155204204204T-011VULN-165143204163T-024VULN-175225204234T-054VULN-184184153173A-104T-042VULN-195174225234T-024VULN-205225225255T-063VULN-215204225234T-0

29、84VULN-224184194204A-114T-042VULN-235174225234T-024VULN-245225225255T-063VULN-255204225234T-035VULN-264204194204VULN-275255225255A-124T-063VULN-285204225234T-103VULN-295204225234A-134T-063VULN-305204225234T-103VULN-314163194163T-094VULN-325225225255A-144T-011VULN-335143225204A-153T-011VULN-345143204

30、1636.2 運(yùn)運(yùn)用相乘法計(jì)計(jì)算風(fēng)險(xiǎn)風(fēng)險(xiǎn) 運(yùn)運(yùn)用相乘法計(jì)計(jì)算風(fēng)險(xiǎn)風(fēng)險(xiǎn)等級(jí)級(jí)，計(jì)計(jì)算結(jié)結(jié)果如表8-11風(fēng)險(xiǎn)計(jì)風(fēng)險(xiǎn)計(jì)算表2 (右圖圖)所示。7風(fēng)險(xiǎn)處置7.1現(xiàn)存風(fēng)險(xiǎn)判別內(nèi)容根據(jù)風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果，假設(shè)風(fēng)險(xiǎn)等級(jí)在4級(jí)以上不可接受，經(jīng)過(guò)分析，發(fā)現(xiàn)有21個(gè)不可接受風(fēng)險(xiǎn)。分析結(jié)果如表8-12所示。資產(chǎn)ID0資產(chǎn)名稱威脅脆弱性風(fēng)險(xiǎn)等級(jí)是否可接受A-01路由器-1未授權(quán)訪問(wèn)Cisco未設(shè)置密碼2是漏洞利用CISCO IOS界面被IPv4數(shù)據(jù)包阻塞3是A-02路由器-2未授權(quán)訪問(wèn)沒(méi)有制定訪問(wèn)控制策略3是操作失誤或維護(hù)錯(cuò)誤安裝與維護(hù)缺乏管理3是A-03交換機(jī)-1漏洞利用日志及管理功能未啟用3是A-04交換機(jī)-2漏洞利用

31、CSCdz392843是CSCdw330273是A-05交換機(jī)-3漏洞利用CSCds047474否沒(méi)有配備Service Password Encryption服務(wù)4否A-06防火墻-1操作失誤或維護(hù)錯(cuò)誤安裝與維護(hù)缺乏管理4否缺少操作規(guī)程和職責(zé)管理4否A-07防火墻-2未授權(quán)訪問(wèn)防火墻開(kāi)放端口增加3是防火墻關(guān)鍵模塊失效2是A-08防火墻-3原發(fā)抵賴未啟用日志功能4否A-09病毒服務(wù)器惡意代碼或病毒操作系統(tǒng)補(bǔ)丁未安裝4否硬件故障設(shè)備不穩(wěn)定3是未授權(quán)訪問(wèn)操作系統(tǒng)的口令策略沒(méi)有啟用4否木馬后門(mén)攻擊操作系統(tǒng)開(kāi)放多余服務(wù)3是表8-12 風(fēng)險(xiǎn)接受等級(jí)劃分表資產(chǎn)ID0資產(chǎn)名稱威脅脆弱性風(fēng)險(xiǎn)等級(jí)是否可接受A-

32、10數(shù)據(jù)服務(wù)器操作失誤或維護(hù)錯(cuò)誤缺少操作規(guī)程和職責(zé)管理4否未授權(quán)訪問(wèn)存在弱口令5否惡意代碼或病毒操作系統(tǒng)補(bǔ)丁未安裝4否權(quán)限濫用沒(méi)有訪問(wèn)控制措施4否A-11應(yīng)用服務(wù)器操作失誤或維護(hù)錯(cuò)誤缺少操作規(guī)程和職責(zé)管理4否未授權(quán)訪問(wèn)存在弱口令5否惡意代碼或病毒操作系統(tǒng)補(bǔ)丁未安裝4否漏洞利用Telnet漏洞4否可以通過(guò)SMB連接注冊(cè)表5否A-12PC-1惡意代碼或病毒操作系統(tǒng)補(bǔ)丁未安裝4否數(shù)據(jù)篡改使用NetBIOS探測(cè)Windows主機(jī)信息4否A-13PC-2惡意代碼或病毒木馬和后門(mén)4否數(shù)據(jù)篡改SMB shares access3是竊密弱口令5否A-14UPS硬件故障設(shè)備不穩(wěn)定4否A-15空調(diào)硬件故障設(shè)備不穩(wěn)

33、定3是7風(fēng)險(xiǎn)處置7.2.1 風(fēng)險(xiǎn)控制需求分析 按照系統(tǒng)的風(fēng)險(xiǎn)等級(jí)接受程度，經(jīng)過(guò)對(duì)本信息系統(tǒng)技術(shù)層面的平安功能、組織層面的平安控制和管理層面的平安對(duì)策進(jìn)展分析描畫(huà)，構(gòu)成已有平安措施的需求分析結(jié)果，如表8-13所示。編號(hào)控制需求說(shuō)明R1保障XXXX系統(tǒng)內(nèi)網(wǎng)的正常運(yùn)行。R2保障XXXX系統(tǒng)外網(wǎng)的正常運(yùn)行。R3保障辦公用計(jì)算機(jī)系統(tǒng)正常運(yùn)行。R4保障網(wǎng)站信息的正常發(fā)布。R5保證基本信息的保密性、完整性、可用性。表8-13 風(fēng)險(xiǎn)控制需求分析表7.2.2 7.2.2 風(fēng)險(xiǎn)風(fēng)險(xiǎn)控制目的控制目的 根據(jù)表8-12、表8-13，確定風(fēng)險(xiǎn)控制目的，如表8-14所示。編號(hào)控制目標(biāo)需求T1數(shù)據(jù)庫(kù)系統(tǒng)（內(nèi)、外網(wǎng)數(shù)據(jù)庫(kù)服務(wù)器

34、）R1、R2、R5T2網(wǎng)絡(luò)支撐系統(tǒng)（路由器、交換機(jī)、通信線路）R1、R2、R4、R5T3網(wǎng)絡(luò)安全系統(tǒng)（防病毒、防火墻、數(shù)據(jù)恢復(fù)、IDS、漏洞掃描） R1、R2、R4、R5T4網(wǎng)絡(luò)管理系統(tǒng)（CISCOWORKS、HPOPENVIEW）R1、R2、R4、R5T5網(wǎng)上信息發(fā)布系統(tǒng)（內(nèi)、外網(wǎng)WEB服務(wù)器）R4T6終端系統(tǒng)（PC、筆記本電腦）R3T7介質(zhì)及文檔（數(shù)據(jù)備份文檔等） R1、R2、R5 表8-14 控制目的7.3 7.3 控制措施控制措施選擇選擇 根據(jù)表8-13、表8-14，針對(duì)控制目的，綜合思索控制本錢和實(shí)踐的風(fēng)險(xiǎn)控制需求，建議采取適當(dāng)?shù)目刂拼胧?，如?-15所示。編號(hào)控制措施對(duì)應(yīng)控制目標(biāo)優(yōu)

35、先級(jí)M1制定具體科室負(fù)責(zé)信息安全工作，明確人員及其分工。T1T7高M(jìn)2制定定期開(kāi)展信息安全意識(shí)教育培訓(xùn)的計(jì)劃并落實(shí)。T1T7高M(jìn)3對(duì)所屬的服務(wù)器和主機(jī)進(jìn)行安全配置檢查，并重新配置安全策略。T1T7高M(jìn)4開(kāi)啟重要服務(wù)器和主機(jī)的審計(jì)功能，并制定審計(jì)記錄的維護(hù)和分析流程。T1T7高M(jìn)5對(duì)內(nèi)、外網(wǎng)的服務(wù)器默認(rèn)配置進(jìn)行必要的更改。T1T7高M(jìn)6制定具體的備份與恢復(fù)制度。T1、T7高M(jìn)7制定具體的安全事件處理制度。T1T7高M(jìn)8對(duì)應(yīng)用系統(tǒng)制定統(tǒng)一的完整性保護(hù)策略，并使用有效工具進(jìn)行完整性約束。T1T7高M(jìn)9制定合理的資源分配策略，包括：最大并發(fā)連接數(shù)，最小并發(fā)連接數(shù)，單個(gè)用戶會(huì)話數(shù)量等。T1T7高M(jìn)10及時(shí)針對(duì)安全漏洞打補(bǔ)丁。T1T7高M(jìn)11對(duì)用戶文件制定統(tǒng)一的完整性保護(hù)策略，并使用有效工具進(jìn)行完整性約束。T1T7高M(jìn)12完善對(duì)介質(zhì)的管理。T7中M13制定操作層面的管理制度。T1T7中M14使用清