【正文】 hampin(20KW) 1 4 5 A18 空調(diào) 美的 1 2 4 表 83 資產(chǎn) CIA三性等級表 資產(chǎn)價(jià)值 根據(jù)資產(chǎn)保密性、完整性和可用性的不同等級對其賦值進(jìn)行加權(quán)計(jì)算得到資產(chǎn)的最終賦值結(jié)果。 表 81 信息系統(tǒng)風(fēng)險(xiǎn)評估實(shí)施進(jìn)度表 獲得最高管理者對信息安全風(fēng)險(xiǎn)評估工作的支持 上述所有內(nèi)容得到了相關(guān)管理者的批準(zhǔn)，并對管理層和員工進(jìn)行了傳達(dá)。工作成果： 《 安全風(fēng)險(xiǎn)分析說明 》 。工作方式：訪談、問卷調(diào)查、測試、研討會(huì)。工作方式：訪談、問卷調(diào)查。 項(xiàng)目階段劃分 本次風(fēng)險(xiǎn)評估項(xiàng)目分項(xiàng)目準(zhǔn)備、現(xiàn)狀調(diào)研、檢查與測試、分析評估及編制評估報(bào)告六個(gè)階段，各階段工作定義說明如下： 項(xiàng)目準(zhǔn)備：項(xiàng)目實(shí)施前期工作，包括成立項(xiàng)目組，確定評估范圍，制定項(xiàng)目實(shí)施計(jì)劃，收集整理開發(fā)各種評估工具等。 質(zhì)量控制組由質(zhì)量控制人員組成。 項(xiàng)目工程管理小組由評估雙方的項(xiàng)目負(fù)責(zé)人組成。 管理特性 現(xiàn)有的規(guī)章制度原則性要求較多，可操作性較低，在信息安全管理方面偏重于技術(shù)。 進(jìn)行系統(tǒng)調(diào)研 通過問卷調(diào)查、人員訪談、現(xiàn)場考察、核查表等形式，對信息系統(tǒng)的業(yè)務(wù)、組織結(jié)構(gòu)、管理、技術(shù)等方面進(jìn)行調(diào)查。 確定信息安全風(fēng)險(xiǎn)評估的目標(biāo) 信息系統(tǒng)風(fēng)險(xiǎn)評估目標(biāo)是通過風(fēng)險(xiǎn)評估，分析信息系統(tǒng)的安全狀況，全面了解和掌握信息系統(tǒng)面臨的安全風(fēng)險(xiǎn)，評估信息系統(tǒng)的風(fēng)險(xiǎn)，提出風(fēng)險(xiǎn)控制建議，為下一步完善管理制度以及今后的安全建設(shè)和風(fēng)險(xiǎn)管理提供第一手資料。信息安全 風(fēng)險(xiǎn) 評 估 實(shí) 例 ? 本章概要： 之前介紹了信息安全風(fēng)險(xiǎn)評估的基本過程，本章以某信息系統(tǒng)為例詳細(xì)介紹信息安全風(fēng)險(xiǎn)評估的實(shí)施過程。 確定信息安全風(fēng)險(xiǎn)評估的范圍 既定的信息安全風(fēng)險(xiǎn)評估可能只針對組織全部資產(chǎn)的一個(gè)子集，評估范圍必須明確。問卷調(diào)查、人員訪談的方式使用了 《 調(diào)查表 》 ，調(diào)查了系統(tǒng)的管理、設(shè)備、人員管理的情況，現(xiàn)場考察、核查表的方式考察了設(shè)備的具體位置，核查了設(shè)備的實(shí)際配置等情況，得出有關(guān)信息系統(tǒng)的描述。 網(wǎng)絡(luò)特性 信息系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如圖 81所示。主要職責(zé)是審核確認(rèn)項(xiàng)目實(shí)施組制定的現(xiàn)場工作計(jì)劃，并監(jiān)督項(xiàng)目進(jìn)展情況；主持階段成果匯報(bào)會(huì)議；做好協(xié)調(diào)工作，保證項(xiàng)目的順利執(zhí)行。主要負(fù)責(zé)對各個(gè)服務(wù)項(xiàng)目的實(shí)施情況進(jìn)行質(zhì)量控制和最終的驗(yàn)收。工作方式：研討會(huì)。工作成果： 《 各種系統(tǒng)資料記錄表單 》 。工作成果： 《 資產(chǎn)評估報(bào)告 》 、 《 威脅評估報(bào)告 》 、《 脆弱性評估報(bào)告 》 。 編制評估報(bào)告：完成最終評估報(bào)告。 識(shí)別并評 價(jià) 資產(chǎn) 依據(jù) GB/T 20984— 2023《 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范 》 和第 7章信息安全風(fēng)險(xiǎn)評估的基本過程，對資產(chǎn)進(jìn)行分類并按照資產(chǎn)的保密性、完整性和可用性進(jìn)行賦值。加權(quán)方法可根據(jù)組織的業(yè)務(wù)特點(diǎn)確定。 表 85是本次評估分析得到的威脅列表。 T04 操作失誤或維護(hù)錯(cuò)誤 由于應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或非故意地執(zhí)行了錯(cuò)誤的操作，對系統(tǒng)造成影響。 T09 泄密 通過竊聽、惡意攻擊的手段獲得系統(tǒng)秘密信息。 按照脆弱性工具使用計(jì)劃 ， 使用掃描工具對主機(jī)等設(shè)備進(jìn)行掃描 ， 查找主機(jī)的系統(tǒng)漏洞 、 數(shù)據(jù)庫漏洞 、 共享資源以及帳戶使用等安全問題 。 路由器 2 VULN03 沒有制定訪問控制策略 沒有制定訪問控制策略 VULN04 安裝與維護(hù)缺乏管理 安裝與維護(hù)缺乏管理 交換機(jī) 1 VULN05 日志及管理功能未啟用 日志及管理功能未啟用 交換機(jī) 2 VULN06 CSCdz39284 當(dāng)發(fā)送畸形的 SIP數(shù)據(jù)包 時(shí)，可導(dǎo)致遠(yuǎn)程的 IOS癱瘓 VULN07 CSCdw33027 當(dāng)發(fā)送畸形的 SSH數(shù)據(jù)包 時(shí)，可導(dǎo)致遠(yuǎn)程的 IOS癱瘓 交換機(jī) 3 VULN08 CSCds04747 Cisco的 IOS軟件有一個(gè)漏 洞，允許獲得 TCP的初始序 列號(hào) VULN09 沒有配備 Service Password Encryption服務(wù) 沒有配備 Service Password Encryption服務(wù) 防火墻 1 VULN10 安裝與維護(hù)缺乏管理 安裝與維護(hù)缺乏管理 VULN11 缺少操作規(guī)程和職責(zé)管理 缺少操作規(guī)程和職責(zé)管理 防火墻 2 VULN12 防火墻開放端口增加 防火墻開放端口增加 VULN13 防火墻關(guān)鍵模塊失效 防火墻關(guān)鍵模塊失效 資產(chǎn)名稱 脆弱性 ID 脆弱性名稱 脆弱性描述 防火墻 3 VULN14 未啟用日志功能 未啟用日志功能 防病毒服務(wù)器 VULN15 操作系統(tǒng)補(bǔ)丁未安裝 未及時(shí)安裝補(bǔ)丁 VULN16 設(shè)備不穩(wěn)定 設(shè)備不穩(wěn)定 VULN17 操作系統(tǒng)的口令策略沒有啟用 操作系統(tǒng)的口令策略沒有啟用 VULN18 操作系統(tǒng)開放多余服務(wù) 操作系統(tǒng)開放多余服務(wù) 數(shù)據(jù)服務(wù)器 VULN19 缺少操作規(guī)程和職責(zé)管理 缺少操作規(guī)程和職責(zé)管理 VULN20 存在弱口令 存在弱口令 VULN21 操作系統(tǒng)補(bǔ)丁未安裝 未及時(shí)安裝補(bǔ)丁 VULN22 沒有訪問控制措施 沒有訪問控制措施 應(yīng)用服務(wù)器 VULN23 缺少操作規(guī)程和職責(zé)管理 缺少操作規(guī)程和職責(zé)管理 VULN24 存在弱口令 存在弱口令 VULN25 操作系統(tǒng)補(bǔ)丁未安裝 未及時(shí)安裝補(bǔ)丁 VULN26 Tel漏洞 未及時(shí)安裝補(bǔ)丁 VULN27 可以通過 SMB連接注冊表 可以通過 SMB連接注冊表 PC1 VULN28 操作系統(tǒng)補(bǔ)丁未安裝 未及時(shí)安裝補(bǔ)丁 VULN29 使用 NetBIOS探測 Windows主機(jī)信息 使用 NetBIOS探測 Windows主機(jī)信息 PC2 VULN30 木馬和后門 木馬和后門 VULN31 SMB shares access SMB登錄 VULN32 弱口令 弱口令 UPS VULN33 設(shè)備不穩(wěn)定 設(shè)備不穩(wěn)定 空調(diào) VULN34 設(shè)備不穩(wěn)定 設(shè)備不穩(wěn)定 表 86 技術(shù)脆弱性評估結(jié)果 分析可能性和影響 分析威 脅發(fā) 生的 頻 率 威 脅發(fā) 生的 頻 率需要根據(jù)威 脅 、脆弱性和安全措施 來綜 合 評 價(jià)。可引起代理信息 或服務(wù)的重大損失 4 高 可引起重要系統(tǒng)的中斷，或連接客戶損失或商業(yè)信 任損失 3 中等 能引起系統(tǒng)聲望的損害，或是對系統(tǒng)資源或服務(wù)的 信任程度的降低，需要支付重要資源維修費(fèi) 2 低 對系統(tǒng)有一些很小的影響，只須很小的努力就可恢 復(fù)系統(tǒng) 1 很低 對系統(tǒng)幾乎沒有影響 表 88 嚴(yán)重程度定義 風(fēng)險(xiǎn)計(jì)算 首先建立資產(chǎn)、威脅和脆弱性關(guān)聯(lián)，并給威脅發(fā)生的可能性及脆弱性嚴(yán)重程度賦值，如表 89所示。根據(jù)風(fēng)險(xiǎn)矩陣表 725，計(jì)算風(fēng)險(xiǎn)風(fēng)險(xiǎn)值。 內(nèi)容依據(jù)風(fēng)險(xiǎn)評估結(jié)果，假設(shè)風(fēng)險(xiǎn)等級在 4級以上不可接受，通過分析，發(fā)現(xiàn)有 21個(gè)不可接受風(fēng)險(xiǎn)。 R2 保障 XXXX系統(tǒng)外網(wǎng)的正常運(yùn)行。 表 813 風(fēng)險(xiǎn)控制需求分析表 風(fēng)險(xiǎn) 控制目 標(biāo) 依據(jù) 《 風(fēng)險(xiǎn)接受等級劃分表 》 （表 812）、 《 風(fēng)險(xiǎn)控制需求分析表 》 （表 813），確定風(fēng)險(xiǎn)控制目標(biāo)， 如表 8