【正文】 系統(tǒng)補(bǔ)丁未安裝 5 數(shù)據(jù)篡改 3 使用 NetBIOS探測(cè) Windows主機(jī)信息 5 PC2 惡意代碼或病毒 3 木馬和后門 5 數(shù)據(jù)篡改 3 SMB shares access 4 竊密 4 弱口令 5 UPS 硬件故障 1 設(shè)備不穩(wěn)定 5 空調(diào) 硬件故障 1 設(shè)備不穩(wěn)定 5 表 89 資產(chǎn)、威脅、脆弱性關(guān)聯(lián)表 使用矩 陣 法 計(jì) 算 風(fēng)險(xiǎn) 利用矩陣法，首先根據(jù)表 721，計(jì)算安全事件發(fā)生的可能性，再根據(jù)安全事件可能等級(jí)劃分表 722，計(jì)算安全事件發(fā)生的可能性值等級(jí)。所有計(jì)算結(jié)果如表 810所示。 資產(chǎn) ID0 資產(chǎn)名稱 威脅 脆弱性 風(fēng)險(xiǎn) 等級(jí) 是否可 接受 A01 路由器 1 未授權(quán)訪問(wèn) Cisco未設(shè)置密碼 2 是 漏洞利用 CISCO IOS界面被 IPv4數(shù)據(jù)包阻塞 3 是 A02 路由器 2 未授權(quán)訪問(wèn) 沒有制定訪問(wèn)控制策略 3 是 操作失誤或維護(hù)錯(cuò)誤 安裝與維護(hù)缺乏管理 3 是 A03 交換機(jī) 1 漏洞利用 日志及管理功能未啟用 3 是 A04 交換機(jī) 2 漏洞利用 CSCdz39284 3 是 CSCdw33027 3 是 A05 交換機(jī) 3 漏洞利用 CSCds04747 4 否 沒有配備 Service Password Encryption服務(wù) 4 否 A06 防火墻 1 操作失誤或維護(hù)錯(cuò)誤 安裝與維護(hù)缺乏管理 4 否 缺少操作規(guī)程和職責(zé)管理 4 否 A07 防火墻 2 未授權(quán)訪問(wèn) 防火墻開放端口增加 3 是 防火墻關(guān)鍵模塊失效 2 是 A08 防火墻 3 原發(fā)抵賴 未啟用日志功能 4 否 A09 病毒服務(wù)器 惡意代碼或病毒 操作系統(tǒng)補(bǔ)丁未安裝 4 否 硬件故障 設(shè)備不穩(wěn)定 3 是 未授權(quán)訪問(wèn) 操作系統(tǒng)的口令策略沒有啟用 4 否 木馬后門攻擊 操作系統(tǒng)開放多余服務(wù) 3 是 ?表 812 風(fēng)險(xiǎn)接受等級(jí)劃分表 資產(chǎn) ID0 資產(chǎn)名稱 威脅 脆弱性 風(fēng)險(xiǎn) 等級(jí) 是否可 接受 A10 數(shù)據(jù)服務(wù)器 操作失誤或維護(hù)錯(cuò)誤 缺少操作規(guī)程和職責(zé)管理 4 否 未授權(quán)訪問(wèn) 存在弱口令 5 否 惡意代碼或病毒 操作系統(tǒng)補(bǔ)丁未安裝 4 否 權(quán)限濫用 沒有訪問(wèn)控制措施 4 否 A11 應(yīng)用服務(wù)器 操作失誤或維護(hù)錯(cuò)誤 缺少操作規(guī)程和職責(zé)管理 4 否 未授權(quán)訪問(wèn) 存在弱口令 5 否 惡意代碼或病毒 操作系統(tǒng)補(bǔ)丁未安裝 4 否 漏洞利用 Tel漏洞 4 否 可以通過(guò) SMB連接注冊(cè)表 5 否 A12 PC1 惡意代碼或病毒 操作系統(tǒng)補(bǔ)丁未安裝 4 否 數(shù)據(jù)篡改 使用 NetBIOS探測(cè) Windows主機(jī)信息 4 否 A13 PC2 惡意代碼或病毒 木馬和后門 4 否 數(shù)據(jù)篡改 SMB shares access 3 是 竊密 弱口令 5 否 A14 UPS 硬件故障 設(shè)備不穩(wěn)定 4 否 A15 空調(diào) 硬件故障 設(shè)備不穩(wěn)定 3 是 風(fēng)險(xiǎn)控制需求分析 按照系統(tǒng)的風(fēng)險(xiǎn)等級(jí)接受程度，通過(guò)對(duì)本信息系統(tǒng)技術(shù)層面的安全功能、組織層面的安全控制和管理層面的安全對(duì)策進(jìn)行分析描述，形成已有安全措施的需求分析結(jié)果，如表 813所示。 R4 保障網(wǎng)站信息的正常發(fā)布。 編號(hào) 控制措施 對(duì)應(yīng)控制目標(biāo) 優(yōu)先級(jí) M1 制定具體科室負(fù)責(zé)信息安全工作，明確人員及其分工。 T1～ T7 高 M5 對(duì)內(nèi)、外網(wǎng)的服務(wù)器默認(rèn)配置進(jìn)行必要的更改。 T1～ T7 高 M9 制定合理的資源分配策略，包括：最大并發(fā)連接數(shù)，最小并發(fā)連接數(shù)，單個(gè)用戶會(huì)話數(shù)量等。 T7 中 M13 制定操作層面的管理制度。 T1～ T7 中 表 815 安全控制措施選擇 編寫 信息安全 風(fēng)險(xiǎn)評(píng) 估 報(bào) 告 最后，編寫記錄 信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估過(guò)程得到的所有結(jié)果 的風(fēng)險(xiǎn)評(píng)估報(bào)告，完成對(duì)本系統(tǒng)的風(fēng)險(xiǎn)評(píng)估。 具體步驟如下： 1． 風(fēng)險(xiǎn)評(píng) 估的準(zhǔn) 備 工作。對(duì)資產(chǎn)的保密性、完整性和可用性這三個(gè)安全屬性分別賦值，根據(jù)三個(gè)安全屬性的權(quán)值計(jì)算資產(chǎn)的價(jià)值。 3． 識(shí)別并評(píng) 估威 脅 。使用 IDS，通過(guò)對(duì)網(wǎng)絡(luò)流量進(jìn)行不間斷的分析，從中發(fā)現(xiàn)攻擊、入侵或非法訪問(wèn)等行為。評(píng)估小組成員與規(guī)劃編寫人員及項(xiàng)目建設(shè)人員進(jìn)行訪談交流。 進(jìn)行全局性的評(píng)估，它也包括了技術(shù)和管理方面的內(nèi)容。 通過(guò)分析上面所評(píng)估的數(shù)據(jù)，進(jìn)行風(fēng)險(xiǎn)值計(jì)算，確定風(fēng)險(xiǎn)等級(jí)，確認(rèn)高風(fēng)險(xiǎn)因素，提出整改意見。 （ 3）資料審查確認(rèn)：評(píng)估小組成員將對(duì)形成的風(fēng)險(xiǎn)分析 報(bào)告和整改建議進(jìn)行審查確認(rèn)。此階段所采用的方法包括： （ 1）會(huì)議：召集評(píng)估小組成員進(jìn)行風(fēng)險(xiǎn)分析會(huì)議。 此階段所采用的方法包括： （ 1）利用漏洞掃描工具進(jìn)行掃描； （ 2）滲透測(cè)試； （ 3）各類檢查列表。 從技術(shù)、管理和策略三個(gè)方面進(jìn)行脆弱性評(píng)估，其中在技術(shù) 方面主要是通過(guò)遠(yuǎn)程和本地兩種方式進(jìn)行系統(tǒng)掃描、對(duì)網(wǎng)絡(luò)設(shè)備 和主機(jī)等進(jìn)行適當(dāng)?shù)娜斯こ椴?、?duì)關(guān)鍵外網(wǎng)服務(wù)主機(jī)進(jìn)行遠(yuǎn)程滲 透測(cè)試。通過(guò)檢查不同來(lái)源的日志文件發(fā)現(xiàn)曾經(jīng)發(fā)生過(guò)的威脅，獲取威脅信息。形成 《 威脅列表 》 。確定關(guān)鍵資產(chǎn)，詳細(xì)識(shí)別關(guān)鍵資產(chǎn)的安全屬性，并對(duì)關(guān)鍵資產(chǎn)的重要性進(jìn)行賦值，形成 《 系統(tǒng)重要信息資產(chǎn)評(píng)估報(bào)告 》 。 在劃定的評(píng)估范圍內(nèi)，以網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖的業(yè)務(wù)系統(tǒng)為主線，列出所有網(wǎng)絡(luò)上的物理資產(chǎn)、軟件資產(chǎn)和數(shù)據(jù)資產(chǎn)，形成一個(gè)信息資產(chǎn)的清單。 實(shí)驗(yàn)環(huán)境：具體網(wǎng)絡(luò)信息系統(tǒng)環(huán)境。 T1～ T7 中 M15 對(duì)通信線路進(jìn)行定期的檢查并記錄。 T1～ T7 高 M11 對(duì)用戶文件制定統(tǒng)一的完整性保護(hù)策略，并使用有效工具進(jìn)行完整性約束。 T T7 高 M7 制定具體的安全事件處理制度。 T1～ T7 高 M3 對(duì)所屬的服務(wù)器和主機(jī)進(jìn)行安全配置檢查，并重新配置安全策略。 表 813 風(fēng)險(xiǎn)控制需求分析表 風(fēng)險(xiǎn) 控制目 標(biāo) 依據(jù) 《 風(fēng)險(xiǎn)接受等級(jí)劃分表 》 （表 812）、 《 風(fēng)險(xiǎn)控制需求分析表 》 （表 813），確定風(fēng)險(xiǎn)控制目標(biāo)， 如表 814所示。 R2 保障 XXXX系統(tǒng)外網(wǎng)的正常運(yùn)行。 內(nèi)容依據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果，假設(shè)風(fēng)險(xiǎn)等級(jí)在 4級(jí)以上不可接受，通過(guò)分析，發(fā)現(xiàn)有 21個(gè)不可接受風(fēng)險(xiǎn)。根據(jù)風(fēng)險(xiǎn)矩陣表 725，計(jì)算風(fēng)險(xiǎn)風(fēng)險(xiǎn)值?？梢鸫硇畔? 或服務(wù)的重大損失 4 高 可引起重要系統(tǒng)的中斷，或連接客戶損失或商業(yè)信 任損失