【正文】 員工進(jìn)行了傳達(dá)。 識(shí)別并評(píng) 價(jià) 資產(chǎn) 依據(jù) GB/T 20984— 2023《 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范 》 和第 7章信息安全風(fēng)險(xiǎn)評(píng)估的基本過程，對(duì)資產(chǎn)進(jìn)行分類并按照資產(chǎn)的保密性、完整性和可用性進(jìn)行賦值。 識(shí)別資產(chǎn) 根據(jù) 對(duì) 信息系 統(tǒng) 的 調(diào)查 分析， 并結(jié) 合 業(yè)務(wù) 特點(diǎn)和系 統(tǒng)的安全要求，確定了系 統(tǒng) 需要保 護(hù) 的 資產(chǎn) ， 見 表 82。 資產(chǎn)編號(hào) 資產(chǎn)名稱 型號(hào) A01 路由器 1 CISCO3640 A02 路由器 2 華為 NE40 A03 交換機(jī) 1 CATALYST4000 A04 交換機(jī) 2 CISCO3745 A05 交換機(jī) 3 CISCO2950 A06 防火墻 1 聯(lián)想網(wǎng)域 SuperV5318 A07 防火墻 2 聯(lián)想網(wǎng)域 UTM418D A08 防火墻 3 網(wǎng)神 Secgate 3600F3 A09 防病毒服務(wù)器 MACFEE A10 數(shù)據(jù)服務(wù)器 HP DL380 A11 應(yīng)用服務(wù)器 HP DL380 A12 PC1 HP X8620 A13 PC2 HP X8620 A14 UPS Champin(20KW) A15 空調(diào) 美的 表 82 信息系統(tǒng)資產(chǎn)列表 資產(chǎn)賦值 對(duì)識(shí)別的信息資產(chǎn)，按照資產(chǎn)的不同安全屬性，即保密性、完整性和可用性的重要性和保護(hù)要求，分別對(duì)資產(chǎn)的 CIA三性予以賦值，見表 83，這里采用五個(gè)等級(jí)。 資產(chǎn)編號(hào) 資產(chǎn)名稱 型號(hào) 保密性 完整性 可用性 A01 路由器 1 CISCO3640 0 0 0 A02 路由器 2 華為 NE40 1 3 2 A03 交換機(jī) 1 CATALYST4000 1 3 3 A04 交換機(jī) 2 CISCO3745 1 3 3 A05 交換機(jī) 3 CISCO2950 2 4 4 A06 防火墻 1 聯(lián)想網(wǎng)域 SuperV5318 1 3 4 A07 防火墻 2 聯(lián)想網(wǎng)域 UTM418D 1 2 4 A08 防火墻 3 網(wǎng)神 Secgate 3600F3 1 2 4 A09 防病毒服務(wù)器 MACFEE 1 3 4 A11 數(shù)據(jù)服務(wù)器 HP DL380 2 4 4 A12 應(yīng)用服務(wù)器 HP DL380 2 4 4 A14 PC1 HP X8620 1 4 4 A15 PC2 HP X8620 1 4 4 A16 UPS Champin(20KW) 1 4 5 A18 空調(diào) 美的 1 2 4 表 83 資產(chǎn) CIA三性等級(jí)表 資產(chǎn)價(jià)值 根據(jù)資產(chǎn)保密性、完整性和可用性的不同等級(jí)對(duì)其賦值進(jìn)行加權(quán)計(jì)算得到資產(chǎn)的最終賦值結(jié)果。加權(quán)方法可根據(jù)組織的業(yè)務(wù)特點(diǎn)確定。資產(chǎn)價(jià)值如表 84所示。 資產(chǎn)編號(hào) 資產(chǎn)名稱 安全屬性賦值 權(quán)值 資產(chǎn)價(jià)值 保密性 完整性 可用性 保密性 完整性 可用性 A01 路由器 1 1 1 1 0． 1 0． 5 0． 4 A02 路由器 2 1 3 2 0． 1 0． 5 0． 4 A03 交換機(jī) 1 1 3 3 0． 1 0． 3 0． 6 A04 交換機(jī) 2 1 3 3 0． 1 0． 3 0． 6 A05 交換機(jī) 3 2 4 4 0． 1 0． 3 0． 6 A06 防火墻 1 1 3 4 0． 1 0． 2 0． 7 A07 防火墻 2 1 2 4 0． 1 0． 4 0． 5 A08 防火墻 3 1 2 4 0． 1 0． 4 0． 5 A09 防病毒服務(wù)器 1 3 4 0． 1 0． 3 0． 6 A10 數(shù)據(jù)服務(wù)器 2 4 4 0． 1 0． 4 0． 5 A11 應(yīng)用服務(wù)器 2 4 4 0． 1 0． 4 0． 5 A12 PC1 1 4 4 0． 1 0． 4 0． 5 A13 PC2 1 4 4 0． 1 0． 4 0． 5 A14 UPS 1 4 5 0． 1 0． 3 0． 6 A15 空調(diào) 1 2 4 0． 0 0． 5 0． 5 表 84 資產(chǎn)價(jià)值表 識(shí)別并評(píng)估威脅 在本次評(píng)估中，首先收集系統(tǒng)所面臨的威脅，然后對(duì)威脅的來源和行為進(jìn)行分析。威脅的收集主要是通過問卷調(diào)查、人員訪談、現(xiàn)場(chǎng)考察、查看系統(tǒng)工作日志以及安全事件報(bào)告或記錄等方式進(jìn)行，同時(shí)使用綠盟 1200D02，收集整個(gè)系統(tǒng)所發(fā)生的入侵檢測(cè)記錄。 表 85是本次評(píng)估分析得到的威脅列表。 威脅編號(hào) 威脅類別 描述 T01 硬件故障 由于設(shè)備硬件故障導(dǎo)致對(duì)業(yè)務(wù)高效穩(wěn)定運(yùn)行的影響。 T02 未授權(quán)訪問 因系統(tǒng)或網(wǎng)絡(luò)訪問控制不當(dāng)引起的非授權(quán)訪問。 T03 漏洞利用 利用操作系統(tǒng)本身的漏洞導(dǎo)致的威脅。 T04 操作失誤或維護(hù)錯(cuò)誤 由于應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或非故意地執(zhí)行了錯(cuò)誤的操作，對(duì)系統(tǒng)造成影響。 T05 木馬后門攻擊 木馬后門攻擊 T06 惡意代碼和病毒 具有復(fù)制、自我傳播能力，對(duì)信息系統(tǒng)構(gòu)成破壞的程序代碼。 T07 原發(fā) 抵賴 不承認(rèn)收到的信息和所作的操作。 T08 權(quán)限濫用 濫用自己的職權(quán)，做出泄露或破壞。 T09 泄密 通過竊聽、惡意攻擊的手段獲得系統(tǒng)秘密信息。 T10 數(shù)據(jù)篡改 通過惡意攻擊非授權(quán)修改信息，破壞信息的完整性。 表 85 信息系統(tǒng)面臨的威脅列表 識(shí)別并評(píng)估脆弱性 從技術(shù)和管理兩方面對(duì)本項(xiàng)目的脆弱性進(jìn)行評(píng)估 。 技術(shù)脆弱性主要是通過使用 極光遠(yuǎn)程安全評(píng)估系統(tǒng) 進(jìn)行系統(tǒng)掃描 。 按照脆弱性工具使用計(jì)劃 ， 使用掃描工具對(duì)主機(jī)等設(shè)備進(jìn)行掃描 ， 查找主機(jī)的系統(tǒng)漏洞 、 數(shù)據(jù)庫漏洞 、 共享資源以及帳戶使用等安全問題 。 在進(jìn)行工具掃描之后 ， 結(jié)合威脅分析的內(nèi)容 ， 根據(jù)得出的原始記錄 ， 進(jìn)行整體分析 。按照各種管理調(diào)查表的安全管理要求對(duì)現(xiàn)有的安全管理制度及其執(zhí)行情況進(jìn)行檢查 ， 發(fā)現(xiàn)其中的管理脆弱性 。 表 86 技術(shù)脆弱性評(píng)估結(jié)果 資產(chǎn)名稱 脆弱性 ID 脆弱性名稱 脆弱性描述 路由器 1 VULN01 Cisco未設(shè)置密碼 Cisco路由器未設(shè)置密碼， 將允許攻擊者獲得網(wǎng)絡(luò)的 更多信息 VULN02 CISCO IOS界面被 IPv4 數(shù)據(jù)包阻塞 通過發(fā)送不規(guī)則 IPv4數(shù)據(jù) 包可以阻塞遠(yuǎn)程路由器。 路由器 2 VULN03 沒有制定訪問控制策略 沒有制定訪問控制策略 VULN04 安裝與維護(hù)缺乏管理 安裝與維護(hù)缺乏管理 交換機(jī) 1 VULN05 日志及管理功能未啟用 日志及管理功能未啟用 交換機(jī) 2 VULN06 CSCdz39284 當(dāng)發(fā)送畸形的 SIP數(shù)據(jù)包 時(shí)，可導(dǎo)致遠(yuǎn)程的 IOS癱瘓 VULN07 CSCdw33027 當(dāng)發(fā)送畸形的 SSH數(shù)據(jù)包 時(shí)，可導(dǎo)致遠(yuǎn)程的 IOS癱瘓 交換機(jī) 3 VULN08 CSCds04747 Cisco的 IOS軟件有一個(gè)漏 洞，允許獲得 TCP的初始序 列號(hào) VULN09 沒有配備 Service Password Encryption服務(wù) 沒有配備 Service Password Encryption服務(wù) 防火墻 1 VULN10 安裝與維護(hù)缺乏管理 安裝與維護(hù)缺乏管理 VULN11 缺少操作規(guī)程和職責(zé)管理 缺少操作規(guī)程和職責(zé)管理 防火墻 2 VULN12 防火墻開放端口增加