【正文】 527 63 610 617 624 1 項目準備 58 517 10d 2 現(xiàn)狀調(diào)研 518 527 11d 3 檢查與測試 528 68 12d 4 分析評估 69 617 9d 5 編制評估報告 618 628 11d 分析評估：根據(jù)相關(guān)標準或?qū)嵺`經(jīng)驗確定安全風險，并給出整改措施。工作方式：訪談、研討會。工作成果： 《 安全風險分析說明 》 。 編制評估報告：完成最終評估報告。工作方式：研討會。工作成果： 《 信息系統(tǒng)綜合評估報告 》 。 表 81 信息系統(tǒng)風險評估實施進度表 獲得最高管理者對信息安全風險評估工作的支持 上述所有內(nèi)容得到了相關(guān)管理者的批準，并對管理層和員工進行了傳達。 識別并評 價 資產(chǎn) 依據(jù) GB/T 20984— 2023《 信息安全技術(shù) 信息安全風險評估規(guī)范 》 和第 7章信息安全風險評估的基本過程，對資產(chǎn)進行分類并按照資產(chǎn)的保密性、完整性和可用性進行賦值。 識別資產(chǎn) 根據(jù) 對 信息系 統(tǒng) 的 調(diào)查 分析， 并結(jié) 合 業(yè)務(wù) 特點和系 統(tǒng)的安全要求，確定了系 統(tǒng) 需要保 護 的 資產(chǎn) ， 見 表 82。 資產(chǎn)編號 資產(chǎn)名稱 型號 A01 路由器 1 CISCO3640 A02 路由器 2 華為 NE40 A03 交換機 1 CATALYST4000 A04 交換機 2 CISCO3745 A05 交換機 3 CISCO2950 A06 防火墻 1 聯(lián)想網(wǎng)域 SuperV5318 A07 防火墻 2 聯(lián)想網(wǎng)域 UTM418D A08 防火墻 3 網(wǎng)神 Secgate 3600F3 A09 防病毒服務(wù)器 MACFEE A10 數(shù)據(jù)服務(wù)器 HP DL380 A11 應(yīng)用服務(wù)器 HP DL380 A12 PC1 HP X8620 A13 PC2 HP X8620 A14 UPS Champin(20KW) A15 空調(diào) 美的 表 82 信息系統(tǒng)資產(chǎn)列表 資產(chǎn)賦值 對識別的信息資產(chǎn)，按照資產(chǎn)的不同安全屬性，即保密性、完整性和可用性的重要性和保護要求，分別對資產(chǎn)的 CIA三性予以賦值，見表 83，這里采用五個等級。 資產(chǎn)編號 資產(chǎn)名稱 型號 保密性 完整性 可用性 A01 路由器 1 CISCO3640 0 0 0 A02 路由器 2 華為 NE40 1 3 2 A03 交換機 1 CATALYST4000 1 3 3 A04 交換機 2 CISCO3745 1 3 3 A05 交換機 3 CISCO2950 2 4 4 A06 防火墻 1 聯(lián)想網(wǎng)域 SuperV5318 1 3 4 A07 防火墻 2 聯(lián)想網(wǎng)域 UTM418D 1 2 4 A08 防火墻 3 網(wǎng)神 Secgate 3600F3 1 2 4 A09 防病毒服務(wù)器 MACFEE 1 3 4 A11 數(shù)據(jù)服務(wù)器 HP DL380 2 4 4 A12 應(yīng)用服務(wù)器 HP DL380 2 4 4 A14 PC1 HP X8620 1 4 4 A15 PC2 HP X8620 1 4 4 A16 UPS Champin(20KW) 1 4 5 A18 空調(diào) 美的 1 2 4 表 83 資產(chǎn) CIA三性等級表 資產(chǎn)價值 根據(jù)資產(chǎn)保密性、完整性和可用性的不同等級對其賦值進行加權(quán)計算得到資產(chǎn)的最終賦值結(jié)果。加權(quán)方法可根據(jù)組織的業(yè)務(wù)特點確定。資產(chǎn)價值如表 84所示。 資產(chǎn)編號 資產(chǎn)名稱 安全屬性賦值 權(quán)值 資產(chǎn)價值 保密性 完整性 可用性 保密性 完整性 可用性 A01 路由器 1 1 1 1 0． 1 0． 5 0． 4 A02 路由器 2 1 3 2 0． 1 0． 5 0． 4 A03 交換機 1 1 3 3 0． 1 0． 3 0． 6 A04 交換機 2 1 3 3 0． 1 0． 3 0． 6 A05 交換機 3 2 4 4 0． 1 0． 3 0． 6 A06 防火墻 1 1 3 4 0． 1 0． 2 0． 7 A07 防火墻 2 1 2 4 0． 1 0． 4 0． 5 A08 防火墻 3 1 2 4 0． 1 0． 4 0． 5 A09 防病毒服務(wù)器 1 3 4 0． 1 0． 3 0． 6 A10 數(shù)據(jù)服務(wù)器 2 4 4 0． 1 0． 4 0． 5 A11 應(yīng)用服務(wù)器 2 4 4 0． 1 0． 4 0． 5 A12 PC1 1 4 4 0． 1 0． 4 0． 5 A13 PC2 1 4 4 0． 1 0． 4 0． 5 A14 UPS 1 4 5 0． 1 0． 3 0． 6 A15 空調(diào) 1 2 4 0． 0 0． 5 0． 5 表 84 資產(chǎn)價值表 識別并評估威脅 在本次評估中，首先收集系統(tǒng)所面臨的威脅，然后對威脅的來源和行為進行分析。威脅的收集主要是通過問卷調(diào)查、人員訪談、現(xiàn)場考察、查看系統(tǒng)工作日志以及安全事件報告或記錄等方式進行，同時使用綠盟 1200D02，收集整個系統(tǒng)所發(fā)生的入侵檢測記錄。 表 85是本次評估分析得到的威脅列表。 威脅編號 威脅類別 描述 T01 硬件故障 由于設(shè)備硬件故障導致對業(yè)務(wù)高效穩(wěn)定運行的影響。 T02 未授權(quán)訪問 因系統(tǒng)或網(wǎng)絡(luò)訪問控制不當引起的非授權(quán)訪問。 T03 漏洞利用 利用操作系統(tǒng)本身的漏洞導致的威脅。 T04 操作失誤或維護錯誤 由于應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或非故意地執(zhí)行了錯誤的操作，對系統(tǒng)造成影響。 T05 木馬后門攻擊 木馬后門攻擊 T06 惡意代碼和病毒 具有復制、自我傳播能力，對信息系統(tǒng)構(gòu)成破壞的程序代碼。 T07 原發(fā) 抵賴 不承認收到的信息和所作的操作。 T08 權(quán)限濫用 濫用自己的職權(quán)，做出泄露或破壞。 T09 泄密 通過竊聽、惡意攻擊的手段獲得系統(tǒng)秘密信息。 T10 數(shù)據(jù)篡改 通過惡意攻擊非授權(quán)修改信息，破壞信息的完整性。 表 85 信息系統(tǒng)面臨的威脅列表 識別并評估脆弱性 從技術(shù)和管理兩方面對本項目的脆弱性進行評估 。 技術(shù)脆弱性主要是通過使用 極光遠程安全評估系統(tǒng) 進行系統(tǒng)掃描 。 按照脆弱性工具使用計劃 ， 使用掃描工具對主機等設(shè)備進行掃描 ， 查找主機的系統(tǒng)漏洞 、 數(shù)據(jù)庫漏洞 、 共享資源以及帳戶使用等安全問題 。 在進行工具掃描之后 ， 結(jié)合威脅分析的內(nèi)容 ， 根據(jù)得出的原始記錄 ， 進行整體分析 。