【正文】 的使用部門以及網(wǎng)絡(luò)結(jié)構(gòu)的管理部門研發(fā)部的主要工作人員對(duì)評(píng)估范圍內(nèi)的資產(chǎn)進(jìn)行了逐項(xiàng)分析，比對(duì)財(cái)務(wù)資產(chǎn)清單，結(jié)合系統(tǒng)運(yùn)行現(xiàn)狀，識(shí)別出評(píng)估范圍內(nèi)的信息資產(chǎn)，形成了資產(chǎn)識(shí)別表；參考《資產(chǎn)重要性程度判斷準(zhǔn)則》為每個(gè)資產(chǎn)進(jìn)行了重要性程度賦值。資產(chǎn)識(shí)別小組依據(jù)《信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范（GB/T209842007）》對(duì)于保密性、可用性、完整性的定義及資產(chǎn)賦值表，對(duì)重要資產(chǎn)進(jìn)行了賦值制作重要資產(chǎn)賦值表。威脅風(fēng)險(xiǎn)值計(jì)算步驟是：1　 由威脅和脆弱性確定安全事件發(fā)生的可能性；2　 由資產(chǎn)和脆弱性確定安全事件的損失；3　 由安全事件發(fā)生的可能性和安全事件的損失確定風(fēng)險(xiǎn)值。是狼就要練好牙，是羊就要練好腿。拼一個(gè)春夏秋冬！贏一個(gè)無(wú)悔人生！早安！—————獻(xiàn)給所有努力的人.學(xué)習(xí)好幫手。不奮斗就是每天都很容易，可一年一年越來(lái)越難。 不可接收風(fēng)險(xiǎn)劃分經(jīng)風(fēng)險(xiǎn)分析小組確定并經(jīng)項(xiàng)目負(fù)責(zé)人批準(zhǔn)，我們?cè)O(shè)定威脅風(fēng)險(xiǎn)值大于等11或資產(chǎn)威脅風(fēng)險(xiǎn)值大于等于55的風(fēng)險(xiǎn)都屬于不可接受風(fēng)險(xiǎn)。 在脆弱性識(shí)別過(guò)程中我們使用的掃描工具包括A公司的B型漏洞掃描器、應(yīng)用層漏洞掃描器。 硬件資產(chǎn)識(shí)別表資產(chǎn)識(shí)別表 硬件資產(chǎn)序號(hào)資產(chǎn)名稱資產(chǎn)編號(hào)責(zé)任人應(yīng)用描述重要性程度備注部門1核心路由器S001張三核心路由5Cisco 7206研發(fā)部2核心交換機(jī)S002張三核心交換機(jī)5Cisco 6509研發(fā)部3數(shù)據(jù)中心交換機(jī)S003張三交換機(jī)5Nexus 7000研發(fā)部4匯聚交換機(jī)S004張三交換機(jī)2Cisco3560研發(fā)部5接入交換機(jī)S005張三交換機(jī)2Cisco2960研發(fā)部6無(wú)線APS006張三無(wú)線接入點(diǎn)3Cisco AIR系列研發(fā)部7服務(wù)器S007張三服務(wù)器5浪潮天梭研發(fā)部8個(gè)人PCS008張三PC3聯(lián)想揚(yáng)天研發(fā)部9磁盤陣列S009張三磁盤組5華為OceanStor研發(fā)部10移動(dòng)硬盤S010張三移動(dòng)硬盤3希捷Backup研發(fā)部11U盤S011張三U盤2研發(fā)部12光纖S012張三光纖1研發(fā)部13雙絞線S013張三雙絞線1研發(fā)部14UPSS014張三UPS4研發(fā)部15PDU電源分配器S015張三PDU電源分配器4研發(fā)部16精密空調(diào)S016張三精密空調(diào)3研發(fā)部17打印機(jī)S017張三打印機(jī)2研發(fā)部18投影儀S018張三投影儀1研發(fā)部19液晶顯示器S019張三液晶顯示器1研發(fā)部20防火墻S020張三連接各分部3研發(fā)部 軟件資產(chǎn)識(shí)別表資產(chǎn)識(shí)別表 軟件資產(chǎn)序號(hào)資產(chǎn)名稱描述重要性程度備注部門1Windows系統(tǒng)200XP2研發(fā)部2Linux系統(tǒng)5研發(fā)部3MySQL數(shù)據(jù)庫(kù)5研發(fā)部4Vmware虛擬化軟件74研發(fā)部5Apache軟件5研發(fā)部6Squid代理服務(wù)器軟件2研發(fā)部7Cacti監(jiān)控軟件3研發(fā)部8WPS office2研發(fā)部9福昕PDF2研發(fā)部10Eclipse2研發(fā)部11Memcached緩存服務(wù)器2研發(fā)部12Maven項(xiàng)目管理工具4研發(fā)部13Svn版本管理工具4研發(fā)部 服務(wù)資產(chǎn)識(shí)別表資產(chǎn)識(shí)別表 服務(wù)資產(chǎn)序號(hào)資產(chǎn)名稱描述重要性程度備注部門1DNS服務(wù)3研發(fā)部2DHCP服務(wù)2研發(fā)部3FTP服務(wù)2研發(fā)部4HTTP服務(wù)2研發(fā)部5SNMP服務(wù)2研發(fā)部6NFS服務(wù)2研發(fā)部7VPN服務(wù)3研發(fā)部8郵件服務(wù)3研發(fā)部9ERP企業(yè)資源計(jì)劃系統(tǒng)2SA研發(fā)部10HR系統(tǒng)2用友研發(fā)部11CRM客戶關(guān)系管理系統(tǒng)2金蝶研發(fā)部12OA辦公自動(dòng)化系統(tǒng)5研發(fā)部 文檔和數(shù)據(jù)資產(chǎn)識(shí)別表資產(chǎn)識(shí)別表 文檔和數(shù)據(jù)序號(hào)資產(chǎn)名稱責(zé)任人應(yīng)用描述存儲(chǔ)形式備份形式重要性程度備注部門1網(wǎng)絡(luò)結(jié)構(gòu)相關(guān)技術(shù)資料張三資料紙版、電子版電子備份5研發(fā)部 人力資產(chǎn)識(shí)別表資產(chǎn)識(shí)別表 人力資源序號(hào)崗位崗位描述姓名重要性程度備注部門1網(wǎng)絡(luò)管理員網(wǎng)絡(luò)管理員張三5研發(fā)部2網(wǎng)絡(luò)管理員網(wǎng)絡(luò)管理員李四5研發(fā)部 物理環(huán)境資產(chǎn)識(shí)別表資產(chǎn)識(shí)別表 物理環(huán)境序號(hào)資產(chǎn)名稱使用范圍描述重要性程度備注部門1總機(jī)房主要設(shè)備的機(jī)房4研發(fā)部 重要資產(chǎn)的確定及三性賦值資產(chǎn)識(shí)別小組組織研發(fā)部工作人員，依據(jù)資產(chǎn)對(duì)主要業(yè)務(wù)、運(yùn)作及聲譽(yù)影響程度設(shè)定本單位重要資產(chǎn)的判定標(biāo)準(zhǔn)為：資產(chǎn)重要性程度值大于等于3。該網(wǎng)絡(luò)結(jié)構(gòu)是在公司成立初期建立的，建設(shè)目標(biāo)是便于公司成員進(jìn)行內(nèi)部交流和與外界進(jìn)行通信，并且管理部門能方便的進(jìn)行管理。n 財(cái)務(wù)部門業(yè)務(wù)：協(xié)助研發(fā)部門的人員完成風(fēng)險(xiǎn)評(píng)估工作。通過(guò)軟件或安全手段對(duì)客戶端的計(jì)算機(jī)加以保護(hù)，記錄用戶對(duì)客戶端計(jì)算機(jī)中關(guān)鍵目錄和文件的操作，使企業(yè)有手段對(duì)用戶在客戶端計(jì)算機(jī)的使用情況進(jìn)行追蹤，防范外來(lái)計(jì)算機(jī)的侵入而造成破壞。企業(yè)分為財(cái)務(wù)部門和業(yè)務(wù)部門，需要他們之間相互隔離。DMZ內(nèi)主要有各類的服務(wù)器， 。所以，加強(qiáng)內(nèi)部網(wǎng)絡(luò)安全管理，特別是用戶帳戶管理，如帳戶密碼、臨時(shí)帳戶、過(guò)期帳戶和權(quán)限等方面的管理非常必要了。（4）只要不上網(wǎng)就不會(huì)中毒雖然不少病毒是通過(guò)網(wǎng)頁(yè)傳播的，但像聊天接發(fā)郵件同樣是病毒傳播的主要途徑，而且盜版光盤以及U盤等也會(huì)存在著病毒。（2）安裝了最新的殺毒軟件就不怕病毒了安裝殺毒軟件的目的是為了預(yù)防病毒的入侵和查殺系統(tǒng)中已感染的計(jì)算機(jī)病毒，但這并不能保證就沒(méi)有病毒入侵了，因?yàn)闅⒍拒浖闅⒛骋徊《镜哪芰偸菧笥谠摬《镜某霈F(xiàn)。防火墻是一種隔離控制技術(shù)，可 以作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口。（6）備份數(shù)據(jù)和存儲(chǔ)媒體的損壞、丟失。（2）網(wǎng)絡(luò)黑客的攻擊。公司有一個(gè)局域網(wǎng)，約100臺(tái)計(jì)算機(jī)，服務(wù)器的操作系統(tǒng)是 Linux,客戶機(jī)的操作系統(tǒng)是 Windows XP，在工作組的模式下一人一機(jī)辦公。包括主機(jī)設(shè)備、存儲(chǔ)設(shè)備、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、計(jì)算機(jī)外設(shè)、可移動(dòng)設(shè)備、移動(dòng)存儲(chǔ)介質(zhì)、布線系統(tǒng)等。網(wǎng)絡(luò)拓?fù)洌簜鬏斀橘|(zhì)互連各種設(shè)備的物理布局。東升公司了解到，就發(fā)展現(xiàn)狀來(lái)看，我國(guó)目前的信息產(chǎn)業(yè)呈現(xiàn)出發(fā)展迅速、規(guī)模龐大、競(jìng)爭(zhēng)激烈、產(chǎn)業(yè)集中度高、信息化程度高、國(guó)際化趨勢(shì)顯著等特點(diǎn)。 背景說(shuō)明隨著IT產(chǎn)業(yè)規(guī)模的不斷擴(kuò)大，專業(yè)門類的日益齊全，技術(shù)水平的顯著提升，如今我國(guó)已經(jīng)成為了全球主要的電子信息產(chǎn)品生產(chǎn)消費(fèi)和出口大國(guó)。 定義安全評(píng)估：利用系統(tǒng)工程原理和方法對(duì)擬建或已有工程、系統(tǒng)可能存在的危險(xiǎn)性及其可能產(chǎn)生的后果進(jìn)行綜合評(píng)價(jià)和預(yù)測(cè)，并根據(jù)可能導(dǎo)致的事故風(fēng)險(xiǎn)的大小，提出相應(yīng)的安全對(duì)策措施，以達(dá)到工程、系統(tǒng)安全的過(guò)程。我們主要識(shí)別的是各種與業(yè)務(wù)相關(guān)的IT物理設(shè)備或使用的硬件設(shè)施，用于安裝已識(shí)別的軟件、存放有已識(shí)別的數(shù)據(jù)資產(chǎn)或?qū)Σ块T業(yè)務(wù)有支持作用。2 公司網(wǎng)絡(luò)方案分析 公司網(wǎng)絡(luò)現(xiàn)狀分析 公司背景東升網(wǎng)絡(luò)有限公司是一家有100名員工的中小型網(wǎng)絡(luò)公司，主要以手機(jī)應(yīng)用開(kāi)發(fā)為主營(yíng)項(xiàng)目的軟件企業(yè)。 公司網(wǎng)絡(luò)的主要安全隱患現(xiàn)在網(wǎng)絡(luò)安全系統(tǒng)所要防范的不再僅是病毒感染，更多的是基于網(wǎng)絡(luò)的非法入侵、攻擊和訪問(wèn)，同時(shí)公司網(wǎng)絡(luò)安全隱患的來(lái)源有內(nèi)、外網(wǎng)之分，很多情況下內(nèi)部網(wǎng)絡(luò)安全威脅要遠(yuǎn)遠(yuǎn)大于外部網(wǎng)絡(luò)，因?yàn)閮?nèi)部中實(shí)施入侵和攻擊更加容易，公司網(wǎng)絡(luò)安全威脅的主要來(lái)源主要包括：（1） 病毒、木馬和惡意軟件的入侵。（5）外網(wǎng)的非法入侵。以下是有關(guān)安全的六大誤解：（1） 安裝防火墻就安全了防火墻主要用來(lái)執(zhí)行 兩個(gè)網(wǎng)絡(luò)之間的訪問(wèn)控制策略，它能限制被保護(hù)的網(wǎng)絡(luò)與互聯(lián)網(wǎng)絡(luò)之間，或者 與其他網(wǎng)絡(luò)之間進(jìn)行的信息存取、傳遞操作。防火墻的原理是“防外不防內(nèi)”，對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)不進(jìn)行任何阻撓，而事實(shí)上， 企業(yè)網(wǎng)絡(luò)安全事件絕大部分還是源于企業(yè)內(nèi)部。同時(shí)對(duì)于整個(gè)網(wǎng)絡(luò)，管理非常方便，對(duì)于單機(jī)版是不可能做到的。（6）網(wǎng)絡(luò)安全主要來(lái)自外部基于內(nèi)部的網(wǎng)絡(luò)攻擊更加容易，不需要借助于其他的網(wǎng)絡(luò)連接方式，就可以直接在內(nèi)部網(wǎng)絡(luò)中實(shí)施攻擊。 。3 需求分析 公司網(wǎng)絡(luò)安全需求東升網(wǎng)絡(luò)有限公司根據(jù)業(yè)務(wù)發(fā)展需求，建設(shè)一個(gè)小型的企業(yè)網(wǎng)，有Web、Mail等服務(wù)器和辦公區(qū)客戶機(jī)。 需求分析通過(guò)了解東升網(wǎng)絡(luò)公司的需求與現(xiàn)狀，為實(shí)現(xiàn)東升網(wǎng)絡(luò)公司的網(wǎng)絡(luò)安全建設(shè)實(shí)施網(wǎng)絡(luò)系統(tǒng)改造，提高企業(yè)網(wǎng)絡(luò)系統(tǒng)運(yùn)行的穩(wěn)定性，保證企業(yè)各種設(shè)計(jì)信息的安全性，避免圖紙、文檔的丟失和外泄。n 銷售部門業(yè)務(wù)：協(xié)助研發(fā)部門的人員完成風(fēng)險(xiǎn)評(píng)估工作。 評(píng)估范圍本次評(píng)估為我公司的網(wǎng)絡(luò)結(jié)構(gòu)。資產(chǎn)識(shí)別和賦值結(jié)果記錄在資產(chǎn)識(shí)別表中。 硬件重要資產(chǎn)賦值表重要資產(chǎn)賦值表 硬件資產(chǎn)序號(hào)資產(chǎn)名稱責(zé)任人應(yīng)用描述機(jī)密性等級(jí)完整性等級(jí)可用性等級(jí)重要性程度部門1核心路由器張三核心路由5455研發(fā)部2核心交換機(jī)張三核心交換機(jī)5455研發(fā)部3數(shù)據(jù)中心交換機(jī)張三交換機(jī)555