【正文】 范 》 ，在風(fēng)險評估實施前，應(yīng)確定風(fēng)險評估的目標(biāo)，確定評估范圍，組建評估管理與實施團(tuán)隊，進(jìn)行系統(tǒng)調(diào)研，確定評估依據(jù)和方法，制定評估方案，獲得最高管理者的支持。 組建適當(dāng)?shù)脑u估管理與實施團(tuán)隊 組建由該單位領(lǐng)導(dǎo)、風(fēng)險評估專家、技術(shù)專家，以及各管理層、業(yè)務(wù)部門的相關(guān)人員組成風(fēng)險評估小組，同時明確規(guī)定每個成員的任務(wù)分工 。 2．業(yè)務(wù)特性 通過對信息系統(tǒng)的業(yè)務(wù)目標(biāo)的分析，歸納出以下業(yè)務(wù)特性： ⑴ 業(yè)務(wù)種類多，技術(shù)型工作與管理型工作并重； ⑵ 業(yè)務(wù)不可中斷性低； ⑶ 業(yè)務(wù)保密性要求低； ⑷ 業(yè)務(wù)基本不涉及現(xiàn)金流動； ⑸ 人員業(yè)務(wù)素質(zhì)要求高。項目工程領(lǐng)導(dǎo)小組定期聽取項目工程管理小組匯報整個項目的進(jìn)展情況和項目實施關(guān)鍵階段的成果；項目實施完畢之后，領(lǐng)導(dǎo)小組將根據(jù)整個項目的成果情況，批準(zhǔn)并主持項目試點總結(jié)工作。主要職責(zé)是制定詳細(xì)項目實施計劃，根據(jù)實施計劃開展工作。主要負(fù)責(zé)對項目的方案分析、實施、步驟、關(guān)鍵問題的解決及新技術(shù)的應(yīng)用提供思路、指導(dǎo)和咨詢。 現(xiàn)狀調(diào)研：通過訪談?wù){(diào)查，收集評估對象信息。進(jìn)行資產(chǎn)分析、威脅分析和脆弱性掃描。工作方式：訪談、研討會。工作成果： 《 信息系統(tǒng)綜合評估報告 》 。 資產(chǎn)編號 資產(chǎn)名稱 型號 A01 路由器 1 CISCO3640 A02 路由器 2 華為 NE40 A03 交換機(jī) 1 CATALYST4000 A04 交換機(jī) 2 CISCO3745 A05 交換機(jī) 3 CISCO2950 A06 防火墻 1 聯(lián)想網(wǎng)域 SuperV5318 A07 防火墻 2 聯(lián)想網(wǎng)域 UTM418D A08 防火墻 3 網(wǎng)神 Secgate 3600F3 A09 防病毒服務(wù)器 MACFEE A10 數(shù)據(jù)服務(wù)器 HP DL380 A11 應(yīng)用服務(wù)器 HP DL380 A12 PC1 HP X8620 A13 PC2 HP X8620 A14 UPS Champin(20KW) A15 空調(diào) 美的 表 82 信息系統(tǒng)資產(chǎn)列表 資產(chǎn)賦值 對識別的信息資產(chǎn)，按照資產(chǎn)的不同安全屬性，即保密性、完整性和可用性的重要性和保護(hù)要求，分別對資產(chǎn)的 CIA三性予以賦值，見表 83，這里采用五個等級。 資產(chǎn)編號 資產(chǎn)名稱 安全屬性賦值 權(quán)值 資產(chǎn)價值 保密性 完整性 可用性 保密性 完整性 可用性 A01 路由器 1 1 1 1 0． 1 0． 5 0． 4 A02 路由器 2 1 3 2 0． 1 0． 5 0． 4 A03 交換機(jī) 1 1 3 3 0． 1 0． 3 0． 6 A04 交換機(jī) 2 1 3 3 0． 1 0． 3 0． 6 A05 交換機(jī) 3 2 4 4 0． 1 0． 3 0． 6 A06 防火墻 1 1 3 4 0． 1 0． 2 0． 7 A07 防火墻 2 1 2 4 0． 1 0． 4 0． 5 A08 防火墻 3 1 2 4 0． 1 0． 4 0． 5 A09 防病毒服務(wù)器 1 3 4 0． 1 0． 3 0． 6 A10 數(shù)據(jù)服務(wù)器 2 4 4 0． 1 0． 4 0． 5 A11 應(yīng)用服務(wù)器 2 4 4 0． 1 0． 4 0． 5 A12 PC1 1 4 4 0． 1 0． 4 0． 5 A13 PC2 1 4 4 0． 1 0． 4 0． 5 A14 UPS 1 4 5 0． 1 0． 3 0． 6 A15 空調(diào) 1 2 4 0． 0 0． 5 0． 5 表 84 資產(chǎn)價值表 識別并評估威脅 在本次評估中，首先收集系統(tǒng)所面臨的威脅，然后對威脅的來源和行為進(jìn)行分析。 T02 未授權(quán)訪問 因系統(tǒng)或網(wǎng)絡(luò)訪問控制不當(dāng)引起的非授權(quán)訪問。 T07 原發(fā) 抵賴 不承認(rèn)收到的信息和所作的操作。 表 85 信息系統(tǒng)面臨的威脅列表 識別并評估脆弱性 從技術(shù)和管理兩方面對本項目的脆弱性進(jìn)行評估 。按照各種管理調(diào)查表的安全管理要求對現(xiàn)有的安全管理制度及其執(zhí)行情況進(jìn)行檢查 ， 發(fā)現(xiàn)其中的管理脆弱性 。 等級 威脅頻率 描述 5 很高 大多數(shù)情況下幾乎不可避免或者可以證實發(fā) 生過的頻率很高 4 高 在大多數(shù)情況下很有可能會發(fā)生或者可以證 實曾發(fā)生過 3 中 在某種情況下可能會發(fā)生但未被證實發(fā)生過 2 低 一般不太可能發(fā)生 1 很低 幾乎不可能發(fā)生 表 87 可能性級別定義 分析脆弱性嚴(yán)重程度 脆弱性嚴(yán)重程度是指威脅一次成功地利用脆弱性后對組織造成的不期望的后果或損失的相對等級，表 88給出了 5個級別定義的描述。 資產(chǎn) 威脅 威脅 頻率 脆弱性 嚴(yán)重 程度 路由器 1 未授權(quán)訪問 2 Cisco未設(shè)置密碼 3 漏洞利用 5 CISCO IOS界面被 IPv4數(shù)據(jù)包阻塞 3 路由器 2 未授權(quán)訪問 2 沒有制定訪問控制策略 4 操作失誤或 維護(hù)錯誤 2 安裝與維護(hù)缺乏管理 4 交換機(jī) 1 漏洞利用 5 日志及管理功能未啟用 3 交換機(jī) 2 漏洞利用 5 CSCdz39284 3 CSCdw33027 3 交換機(jī) 3 漏洞利用 5 CSCds04747 4 沒有配備 Service Password Encryption服務(wù) 4 防火墻 1 操作失誤或 維護(hù)錯誤 2 安裝與維護(hù)缺乏管理 5 缺少操作規(guī)程和職責(zé)管理 5 防火墻 2 未授權(quán)訪問 1 防火墻開放端口增加 5 防火墻關(guān)鍵模塊失效 4 防火墻 3 原發(fā)抵賴 3 未啟用日志功能 5 病毒服務(wù)器 惡意代碼或病毒 3 操作系統(tǒng)補(bǔ)丁未安裝 5 硬件故障 1 設(shè)備不穩(wěn)定 5 未授權(quán)訪問 4 操作系統(tǒng)的口令策略沒有啟用 5 木馬后門攻擊 4 操作系統(tǒng)開放多余服務(wù) 4 資產(chǎn) 威脅 威脅 頻率 脆弱性 嚴(yán)重 程度 數(shù)據(jù)服務(wù)器 操作失誤或維護(hù) 錯誤 2 缺少操作規(guī)程和職責(zé) 管理 5 未授權(quán)訪問 4 存在弱口令 5 惡意代碼或病毒 3 操作系統(tǒng)補(bǔ)丁未安裝 5 權(quán)限濫用 4 沒有訪問控制措施 4 應(yīng)用服務(wù)器 操作失誤或維護(hù) 錯誤 2 缺少操作規(guī)程和職責(zé) 管理 5 未授權(quán)訪問 4 存在弱口令 5 惡意代碼或病毒 3 操作系統(tǒng)補(bǔ)丁未安裝 5 漏洞利用 5 Tel漏洞 4 可以通過 SMB連接 注冊表 5 PC1 惡意代碼或病毒 3 操作