【正文】 hampin(20KW) 1 4 5 A18 空調(diào) 美的 1 2 4 表 83 資產(chǎn) CIA三性等級(jí)表 資產(chǎn)價(jià)值 根據(jù)資產(chǎn)保密性、完整性和可用性的不同等級(jí)對(duì)其賦值進(jìn)行加權(quán)計(jì)算得到資產(chǎn)的最終賦值結(jié)果。 表 81 信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施進(jìn)度表 獲得最高管理者對(duì)信息安全風(fēng)險(xiǎn)評(píng)估工作的支持 上述所有內(nèi)容得到了相關(guān)管理者的批準(zhǔn)，并對(duì)管理層和員工進(jìn)行了傳達(dá)。工作成果： 《 安全風(fēng)險(xiǎn)分析說(shuō)明 》 。工作方式：訪談、問(wèn)卷調(diào)查、測(cè)試、研討會(huì)。工作方式：訪談、問(wèn)卷調(diào)查。 項(xiàng)目階段劃分 本次風(fēng)險(xiǎn)評(píng)估項(xiàng)目分項(xiàng)目準(zhǔn)備、現(xiàn)狀調(diào)研、檢查與測(cè)試、分析評(píng)估及編制評(píng)估報(bào)告六個(gè)階段，各階段工作定義說(shuō)明如下： 項(xiàng)目準(zhǔn)備：項(xiàng)目實(shí)施前期工作，包括成立項(xiàng)目組，確定評(píng)估范圍，制定項(xiàng)目實(shí)施計(jì)劃，收集整理開(kāi)發(fā)各種評(píng)估工具等。 質(zhì)量控制組由質(zhì)量控制人員組成。 項(xiàng)目工程管理小組由評(píng)估雙方的項(xiàng)目負(fù)責(zé)人組成。 管理特性 現(xiàn)有的規(guī)章制度原則性要求較多，可操作性較低，在信息安全管理方面偏重于技術(shù)。 進(jìn)行系統(tǒng)調(diào)研 通過(guò)問(wèn)卷調(diào)查、人員訪談、現(xiàn)場(chǎng)考察、核查表等形式，對(duì)信息系統(tǒng)的業(yè)務(wù)、組織結(jié)構(gòu)、管理、技術(shù)等方面進(jìn)行調(diào)查。 確定信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo) 信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估目標(biāo)是通過(guò)風(fēng)險(xiǎn)評(píng)估，分析信息系統(tǒng)的安全狀況，全面了解和掌握信息系統(tǒng)面臨的安全風(fēng)險(xiǎn)，評(píng)估信息系統(tǒng)的風(fēng)險(xiǎn)，提出風(fēng)險(xiǎn)控制建議，為下一步完善管理制度以及今后的安全建設(shè)和風(fēng)險(xiǎn)管理提供第一手資料。信息安全 風(fēng)險(xiǎn) 評(píng) 估 實(shí) 例 ? 本章概要： 之前介紹了信息安全風(fēng)險(xiǎn)評(píng)估的基本過(guò)程，本章以某信息系統(tǒng)為例詳細(xì)介紹信息安全風(fēng)險(xiǎn)評(píng)估的實(shí)施過(guò)程。 確定信息安全風(fēng)險(xiǎn)評(píng)估的范圍 既定的信息安全風(fēng)險(xiǎn)評(píng)估可能只針對(duì)組織全部資產(chǎn)的一個(gè)子集，評(píng)估范圍必須明確。問(wèn)卷調(diào)查、人員訪談的方式使用了 《 調(diào)查表 》 ，調(diào)查了系統(tǒng)的管理、設(shè)備、人員管理的情況，現(xiàn)場(chǎng)考察、核查表的方式考察了設(shè)備的具體位置，核查了設(shè)備的實(shí)際配置等情況，得出有關(guān)信息系統(tǒng)的描述。 網(wǎng)絡(luò)特性 信息系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖如圖 81所示。主要職責(zé)是審核確認(rèn)項(xiàng)目實(shí)施組制定的現(xiàn)場(chǎng)工作計(jì)劃，并監(jiān)督項(xiàng)目進(jìn)展情況；主持階段成果匯報(bào)會(huì)議；做好協(xié)調(diào)工作，保證項(xiàng)目的順利執(zhí)行。主要負(fù)責(zé)對(duì)各個(gè)服務(wù)項(xiàng)目的實(shí)施情況進(jìn)行質(zhì)量控制和最終的驗(yàn)收。工作方式：研討會(huì)。工作成果： 《 各種系統(tǒng)資料記錄表單 》 。工作成果： 《 資產(chǎn)評(píng)估報(bào)告 》 、 《 威脅評(píng)估報(bào)告 》 、《 脆弱性評(píng)估報(bào)告 》 。 編制評(píng)估報(bào)告：完成最終評(píng)估報(bào)告。 識(shí)別并評(píng) 價(jià) 資產(chǎn) 依據(jù) GB/T 20984— 2023《 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范 》 和第 7章信息安全風(fēng)險(xiǎn)評(píng)估的基本過(guò)程，對(duì)資產(chǎn)進(jìn)行分類(lèi)并按照資產(chǎn)的保密性、完整性和可用性進(jìn)行賦值。加權(quán)方法可根據(jù)組織的業(yè)務(wù)特點(diǎn)確定。 表 85是本次評(píng)估分析得到的威脅列表。 T04 操作失誤或維護(hù)錯(cuò)誤 由于應(yīng)該執(zhí)行而沒(méi)有執(zhí)行相應(yīng)的操作，或非故意地執(zhí)行了錯(cuò)誤的操作，對(duì)系統(tǒng)造成影響。 T09 泄密 通過(guò)竊聽(tīng)、惡意攻擊的手段獲得系統(tǒng)秘密信息。 按照脆弱性工具使用計(jì)劃 ， 使用掃描工具對(duì)主機(jī)等設(shè)備進(jìn)行掃描 ， 查找主機(jī)的系統(tǒng)漏洞 、 數(shù)據(jù)庫(kù)漏洞 、 共享資源以及帳戶(hù)使用等安全問(wèn)題 。 路由器 2 VULN03 沒(méi)有制定訪問(wèn)控制策略 沒(méi)有制定訪問(wèn)控制策略 VULN04 安裝與維護(hù)缺乏管理 安裝與維護(hù)缺乏管理 交換機(jī) 1 VULN05 日志及管理功能未啟用 日志及管理功能未啟用 交換機(jī) 2 VULN06 CSCdz39284 當(dāng)發(fā)送畸形的 SIP數(shù)據(jù)包 時(shí)，可導(dǎo)致遠(yuǎn)程的 IOS癱瘓 VULN07 CSCdw33027 當(dāng)發(fā)送畸形的 SSH數(shù)據(jù)包 時(shí)，可導(dǎo)致遠(yuǎn)程的 IOS癱瘓 交換機(jī) 3 VULN08 CSCds04747 Cisco的 IOS軟件有一個(gè)漏 洞，允許獲得 TCP的初始序 列號(hào) VULN09 沒(méi)有配備 Service Password Encryption服務(wù) 沒(méi)有配備 Service Password Encryption服務(wù) 防火墻 1 VULN10 安裝與維護(hù)缺乏管理 安裝與維護(hù)缺乏管理 VULN11 缺少操作規(guī)程和職責(zé)管理 缺少操作規(guī)程和職責(zé)管理 防火墻 2 VULN12 防火墻開(kāi)放端口增加 防火墻開(kāi)放端口增加 VULN13 防火墻關(guān)鍵模塊失效 防火墻關(guān)鍵模塊失效 資產(chǎn)名稱(chēng) 脆弱性 ID 脆弱性名稱(chēng) 脆弱性描述 防火墻 3 VULN14 未啟用日志功能 未啟用日志功能 防病毒服務(wù)器 VULN15 操作系統(tǒng)補(bǔ)丁未安裝 未及時(shí)安裝補(bǔ)丁 VULN16 設(shè)備不穩(wěn)定 設(shè)備不穩(wěn)定 VULN17 操作系統(tǒng)的口令策略沒(méi)有啟用 操作系統(tǒng)的口令策略沒(méi)有啟用 VULN18 操作系統(tǒng)開(kāi)放多余服務(wù) 操作系統(tǒng)開(kāi)放多余服務(wù) 數(shù)據(jù)服務(wù)器 VULN19 缺少操作規(guī)程和職責(zé)管理 缺少操作規(guī)程和職責(zé)管理 VULN20 存在弱口令 存在弱口令 VULN21 操作系統(tǒng)補(bǔ)丁未安裝 未及時(shí)安裝補(bǔ)丁 VULN22 沒(méi)有訪問(wèn)控制措施 沒(méi)有訪問(wèn)控制措施 應(yīng)用服務(wù)器 VULN23 缺少操作規(guī)程和職責(zé)管理 缺少操作規(guī)程和職責(zé)管理 VULN24 存在弱口令 存在弱口令 VULN25 操作系統(tǒng)補(bǔ)丁未安裝 未及時(shí)安裝補(bǔ)丁 VULN26 Tel漏洞 未及時(shí)安裝補(bǔ)丁 VULN27 可以通過(guò) SMB連接注冊(cè)表 可以通過(guò) SMB連接注冊(cè)表 PC1 VULN28 操作系統(tǒng)補(bǔ)丁未安裝 未及時(shí)安裝補(bǔ)丁 VULN29 使用 NetBIOS探測(cè) Windows主機(jī)信息 使用 NetBIOS探測(cè) Windows主機(jī)信息 PC2 VULN30 木馬和后門(mén) 木馬和后門(mén) VULN31 SMB shares access SMB登錄 VULN32 弱口令 弱口令 UPS VULN33 設(shè)備不穩(wěn)定 設(shè)備不穩(wěn)定 空調(diào) VULN34 設(shè)備不穩(wěn)定 設(shè)備不穩(wěn)定 表 86 技術(shù)脆弱性評(píng)估結(jié)果 分析可能性和影響 分析威 脅發(fā) 生的 頻 率 威 脅發(fā) 生的 頻 率需要根據(jù)威 脅 、脆弱性和安全措施 來(lái)綜 合 評(píng) 價(jià)?？梢鸫硇畔? 或服務(wù)的重大損失 4 高 可引起重要系統(tǒng)的中斷，或連接客戶(hù)損失或商業(yè)信 任損失 3 中等 能引起系統(tǒng)聲望的損害，或是對(duì)系統(tǒng)資源或服務(wù)的 信任程度的降低，需要支付重要資源維修費(fèi) 2 低 對(duì)系統(tǒng)有一些很小的影響，只須很小的努力就可恢 復(fù)系統(tǒng) 1 很低 對(duì)系統(tǒng)幾乎沒(méi)有影響 表 88 嚴(yán)重程度定義 風(fēng)險(xiǎn)計(jì)算 首先建立資產(chǎn)、威脅和脆弱性關(guān)聯(lián)，并給威脅發(fā)生的可能性及脆弱性嚴(yán)重程度賦值，如表 89所示。根據(jù)風(fēng)險(xiǎn)矩陣表 725，計(jì)算風(fēng)險(xiǎn)風(fēng)險(xiǎn)值。 內(nèi)容依據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果，假設(shè)風(fēng)險(xiǎn)等級(jí)在 4級(jí)以上不可接受，通過(guò)分析，發(fā)現(xiàn)有 21個(gè)不可接受風(fēng)險(xiǎn)。 R2 保障 XXXX系統(tǒng)外網(wǎng)的正常運(yùn)行。 表 813 風(fēng)險(xiǎn)控制需求分析表 風(fēng)險(xiǎn) 控制目 標(biāo) 依據(jù) 《 風(fēng)險(xiǎn)接受等級(jí)劃分表 》 （表 812）、 《 風(fēng)險(xiǎn)控制需求分析表 》 （表 813），確定風(fēng)險(xiǎn)控制目標(biāo)， 如表 8