【正文】 員工進行了傳達。 識別并評 價 資產(chǎn) 依據(jù) GB/T 20984— 2023《 信息安全技術 信息安全風險評估規(guī)范 》 和第 7章信息安全風險評估的基本過程，對資產(chǎn)進行分類并按照資產(chǎn)的保密性、完整性和可用性進行賦值。 識別資產(chǎn) 根據(jù) 對 信息系 統(tǒng) 的 調(diào)查 分析， 并結 合 業(yè)務 特點和系 統(tǒng)的安全要求，確定了系 統(tǒng) 需要保 護 的 資產(chǎn) ， 見 表 82。 資產(chǎn)編號 資產(chǎn)名稱 型號 A01 路由器 1 CISCO3640 A02 路由器 2 華為 NE40 A03 交換機 1 CATALYST4000 A04 交換機 2 CISCO3745 A05 交換機 3 CISCO2950 A06 防火墻 1 聯(lián)想網(wǎng)域 SuperV5318 A07 防火墻 2 聯(lián)想網(wǎng)域 UTM418D A08 防火墻 3 網(wǎng)神 Secgate 3600F3 A09 防病毒服務器 MACFEE A10 數(shù)據(jù)服務器 HP DL380 A11 應用服務器 HP DL380 A12 PC1 HP X8620 A13 PC2 HP X8620 A14 UPS Champin(20KW) A15 空調(diào) 美的 表 82 信息系統(tǒng)資產(chǎn)列表 資產(chǎn)賦值 對識別的信息資產(chǎn)，按照資產(chǎn)的不同安全屬性，即保密性、完整性和可用性的重要性和保護要求，分別對資產(chǎn)的 CIA三性予以賦值，見表 83，這里采用五個等級。 資產(chǎn)編號 資產(chǎn)名稱 型號 保密性 完整性 可用性 A01 路由器 1 CISCO3640 0 0 0 A02 路由器 2 華為 NE40 1 3 2 A03 交換機 1 CATALYST4000 1 3 3 A04 交換機 2 CISCO3745 1 3 3 A05 交換機 3 CISCO2950 2 4 4 A06 防火墻 1 聯(lián)想網(wǎng)域 SuperV5318 1 3 4 A07 防火墻 2 聯(lián)想網(wǎng)域 UTM418D 1 2 4 A08 防火墻 3 網(wǎng)神 Secgate 3600F3 1 2 4 A09 防病毒服務器 MACFEE 1 3 4 A11 數(shù)據(jù)服務器 HP DL380 2 4 4 A12 應用服務器 HP DL380 2 4 4 A14 PC1 HP X8620 1 4 4 A15 PC2 HP X8620 1 4 4 A16 UPS Champin(20KW) 1 4 5 A18 空調(diào) 美的 1 2 4 表 83 資產(chǎn) CIA三性等級表 資產(chǎn)價值 根據(jù)資產(chǎn)保密性、完整性和可用性的不同等級對其賦值進行加權計算得到資產(chǎn)的最終賦值結果。加權方法可根據(jù)組織的業(yè)務特點確定。資產(chǎn)價值如表 84所示。 資產(chǎn)編號 資產(chǎn)名稱 安全屬性賦值 權值 資產(chǎn)價值 保密性 完整性 可用性 保密性 完整性 可用性 A01 路由器 1 1 1 1 0． 1 0． 5 0． 4 A02 路由器 2 1 3 2 0． 1 0． 5 0． 4 A03 交換機 1 1 3 3 0． 1 0． 3 0． 6 A04 交換機 2 1 3 3 0． 1 0． 3 0． 6 A05 交換機 3 2 4 4 0． 1 0． 3 0． 6 A06 防火墻 1 1 3 4 0． 1 0． 2 0． 7 A07 防火墻 2 1 2 4 0． 1 0． 4 0． 5 A08 防火墻 3 1 2 4 0． 1 0． 4 0． 5 A09 防病毒服務器 1 3 4 0． 1 0． 3 0． 6 A10 數(shù)據(jù)服務器 2 4 4 0． 1 0． 4 0． 5 A11 應用服務器 2 4 4 0． 1 0． 4 0． 5 A12 PC1 1 4 4 0． 1 0． 4 0． 5 A13 PC2 1 4 4 0． 1 0． 4 0． 5 A14 UPS 1 4 5 0． 1 0． 3 0． 6 A15 空調(diào) 1 2 4 0． 0 0． 5 0． 5 表 84 資產(chǎn)價值表 識別并評估威脅 在本次評估中，首先收集系統(tǒng)所面臨的威脅，然后對威脅的來源和行為進行分析。威脅的收集主要是通過問卷調(diào)查、人員訪談、現(xiàn)場考察、查看系統(tǒng)工作日志以及安全事件報告或記錄等方式進行，同時使用綠盟 1200D02，收集整個系統(tǒng)所發(fā)生的入侵檢測記錄。 表 85是本次評估分析得到的威脅列表。 威脅編號 威脅類別 描述 T01 硬件故障 由于設備硬件故障導致對業(yè)務高效穩(wěn)定運行的影響。 T02 未授權訪問 因系統(tǒng)或網(wǎng)絡訪問控制不當引起的非授權訪問。 T03 漏洞利用 利用操作系統(tǒng)本身的漏洞導致的威脅。 T04 操作失誤或維護錯誤 由于應該執(zhí)行而沒有執(zhí)行相應的操作，或非故意地執(zhí)行了錯誤的操作，對系統(tǒng)造成影響。 T05 木馬后門攻擊 木馬后門攻擊 T06 惡意代碼和病毒 具有復制、自我傳播能力，對信息系統(tǒng)構成破壞的程序代碼。 T07 原發(fā) 抵賴 不承認收到的信息和所作的操作。 T08 權限濫用 濫用自己的職權，做出泄露或破壞。 T09 泄密 通過竊聽、惡意攻擊的手段獲得系統(tǒng)秘密信息。 T10 數(shù)據(jù)篡改 通過惡意攻擊非授權修改信息，破壞信息的完整性。 表 85 信息系統(tǒng)面臨的威脅列表 識別并評估脆弱性 從技術和管理兩方面對本項目的脆弱性進行評估 。 技術脆弱性主要是通過使用 極光遠程安全評估系統(tǒng) 進行系統(tǒng)掃描 。 按照脆弱性工具使用計劃 ， 使用掃描工具對主機等設備進行掃描 ， 查找主機的系統(tǒng)漏洞 、 數(shù)據(jù)庫漏洞 、 共享資源以及帳戶使用等安全問題 。 在進行工具掃描之后 ， 結合威脅分析的內(nèi)容 ， 根據(jù)得出的原始記錄 ， 進行整體分析 。按照各種管理調(diào)查表的安全管理要求對現(xiàn)有的安全管理制度及其執(zhí)行情況進行檢查 ， 發(fā)現(xiàn)其中的管理脆弱性 。 表 86 技術脆弱性評估結果 資產(chǎn)名稱 脆弱性 ID 脆弱性名稱 脆弱性描述 路由器 1 VULN01 Cisco未設置密碼 Cisco路由器未設置密碼， 將允許攻擊者獲得網(wǎng)絡的 更多信息 VULN02 CISCO IOS界面被 IPv4 數(shù)據(jù)包阻塞 通過發(fā)送不規(guī)則 IPv4數(shù)據(jù) 包可以阻塞遠程路由器。 路由器 2 VULN03 沒有制定訪問控制策略 沒有制定訪問控制策略 VULN04 安裝與維護缺乏管理 安裝與維護缺乏管理 交換機 1 VULN05 日志及管理功能未啟用 日志及管理功能未啟用 交換機 2 VULN06 CSCdz39284 當發(fā)送畸形的 SIP數(shù)據(jù)包 時，可導致遠程的 IOS癱瘓 VULN07 CSCdw33027 當發(fā)送畸形的 SSH數(shù)據(jù)包 時，可導致遠程的 IOS癱瘓 交換機 3 VULN08 CSCds04747 Cisco的 IOS軟件有一個漏 洞，允許獲得 TCP的初始序 列號 VULN09 沒有配備 Service Password Encryption服務 沒有配備 Service Password Encryption服務 防火墻 1 VULN10 安裝與維護缺乏管理 安裝與維護缺乏管理 VULN11 缺少操作規(guī)程和職責管理 缺少操作規(guī)程和職責管理 防火墻 2 VULN12 防火墻開放端口增加