【正文】 計劃 ， 使用掃描工具對主機等設備進行掃描 ， 查找主機的系統(tǒng)漏洞 、 數(shù)據(jù)庫漏洞 、 共享資源以及帳戶使用等安全問題 ?？梢鸫硇畔? 或服務的重大損失 4 高 可引起重要系統(tǒng)的中斷，或連接客戶損失或商業(yè)信 任損失 3 中等 能引起系統(tǒng)聲望的損害，或是對系統(tǒng)資源或服務的 信任程度的降低，需要支付重要資源維修費 2 低 對系統(tǒng)有一些很小的影響，只須很小的努力就可恢 復系統(tǒng) 1 很低 對系統(tǒng)幾乎沒有影響 表 88 嚴重程度定義 風險計算 首先建立資產(chǎn)、威脅和脆弱性關聯(lián)，并給威脅發(fā)生的可能性及脆弱性嚴重程度賦值，如表 89所示。 內(nèi)容依據(jù)風險評估結果，假設風險等級在 4級以上不可接受，通過分析，發(fā)現(xiàn)有 21個不可接受風險。 表 813 風險控制需求分析表 風險 控制目 標 依據(jù) 《 風險接受等級劃分表 》 （表 812）、 《 風險控制需求分析表 》 （表 813），確定風險控制目標， 如表 814所示。 T T7 高 M7 制定具體的安全事件處理制度。 T1～ T7 中 M15 對通信線路進行定期的檢查并記錄。 在劃定的評估范圍內(nèi)，以網(wǎng)絡拓撲結構圖的業(yè)務系統(tǒng)為主線，列出所有網(wǎng)絡上的物理資產(chǎn)、軟件資產(chǎn)和數(shù)據(jù)資產(chǎn)，形成一個信息資產(chǎn)的清單。形成 《 威脅列表 》 。 從技術、管理和策略三個方面進行脆弱性評估，其中在技術 方面主要是通過遠程和本地兩種方式進行系統(tǒng)掃描、對網(wǎng)絡設備 和主機等進行適當?shù)娜斯こ椴?、對關鍵外網(wǎng)服務主機進行遠程滲 透測試。此階段所采用的方法包括： （ 1）會議：召集評估小組成員進行風險分析會議。 通過分析上面所評估的數(shù)據(jù)，進行風險值計算，確定風險等級，確認高風險因素，提出整改意見。評估小組成員與規(guī)劃編寫人員及項目建設人員進行訪談交流。 3． 識別并評 估威 脅 。 具體步驟如下： 1． 風險評 估的準 備 工作。 T7 中 M13 制定操作層面的管理制度。 T1～ T7 高 M5 對內(nèi)、外網(wǎng)的服務器默認配置進行必要的更改。 R4 保障網(wǎng)站信息的正常發(fā)布。所有計算結果如表 810所示。 等級 威脅頻率 描述 5 很高 大多數(shù)情況下幾乎不可避免或者可以證實發(fā) 生過的頻率很高 4 高 在大多數(shù)情況下很有可能會發(fā)生或者可以證 實曾發(fā)生過 3 中 在某種情況下可能會發(fā)生但未被證實發(fā)生過 2 低 一般不太可能發(fā)生 1 很低 幾乎不可能發(fā)生 表 87 可能性級別定義 分析脆弱性嚴重程度 脆弱性嚴重程度是指威脅一次成功地利用脆弱性后對組織造成的不期望的后果或損失的相對等級，表 88給出了 5個級別定義的描述。 表 85 信息系統(tǒng)面臨的威脅列表 識別并評估脆弱性 從技術和管理兩方面對本項目的脆弱性進行評估 。 T02 未授權訪問 因系統(tǒng)或網(wǎng)絡訪問控制不當引起的非授權訪問。 資產(chǎn)編號 資產(chǎn)名稱 型號 A01 路由器 1 CISCO3640 A02 路由器 2 華為 NE40 A03 交換機 1 CATALYST4000 A04 交換機 2 CISCO3745 A05 交換機 3 CISCO2950 A06 防火墻 1 聯(lián)想網(wǎng)域 SuperV5318 A07 防火墻 2 聯(lián)想網(wǎng)域 UTM418D A08 防火墻 3 網(wǎng)神 Secgate 3600F3 A09 防病毒服務器 MACFEE A10 數(shù)據(jù)服務器 HP DL380 A11 應用服務器 HP DL380 A12 PC1 HP X8620 A13 PC2 HP X8620 A14 UPS Champin(20KW) A15 空調(diào) 美的 表 82 信息系統(tǒng)資產(chǎn)列表 資產(chǎn)賦值 對識別的信息資產(chǎn)，按照資產(chǎn)的不同安全屬性，即保密性、完整性和可用性的重要性和保護要求，分別對資產(chǎn)的 CIA三性予以賦值，見表 83，這里采用五個等級。工作方式：訪談、研討會。 現(xiàn)狀調(diào)研：通過訪談調(diào)查，收集評估對象信息。主要職責是制定詳細項目實施計劃，根據(jù)實施計劃開展工作。 2．業(yè)務特性 通過對信息系統(tǒng)的業(yè)務目標的分析，歸納出以下業(yè)務特性： ⑴ 業(yè)務種類多，技術型工作與管理型工作并重； ⑵ 業(yè)務不可中斷性低； ⑶ 業(yè)務保密性要求低； ⑷ 業(yè)務基本不涉及現(xiàn)金流動； ⑸ 人員業(yè)務素質(zhì)要求高。 本章目錄 1 評估準備 2 識別并評價資產(chǎn) 3 識別并評估威脅 4 識別并評估脆弱性 5 分析可能性和影響 6 風險計算 7 風險處理 8 編寫信息安全風險評估報告 上機實驗 1 評估準備 依據(jù) GB/T 20984— 2023《 信息安全技術 信息安全風險評估規(guī)范 》 ，在風險評估實施前，應確定風險評估的目標，確定評估范圍，組建評估管理與實施團隊，進行系統(tǒng)調(diào)研，確定評估依據(jù)和方法，制定評估方案，獲得最高管理者的支持。本次評估的范圍包括該信息系統(tǒng)網(wǎng)絡、管理制度、使用或管理該信息系統(tǒng)的相關人員，以及由系統(tǒng)使用時所產(chǎn)生的文檔、數(shù)據(jù)。 1 U U P S C h a m p i n ( 2 0 K W )服 務 器 區(qū)空 調(diào)I n t e r n e tP CP C防 火 墻 3S e c g a t e 3 6 0 0 F 3交 換 機 3C I S C O 2 9 5 0專 網(wǎng)交 換 機 2C I S C O 3 7 4 5內(nèi) 部 網(wǎng) 絡網(wǎng) 絡 管 理交 換 機 1C A T A L Y S T 4 0 0 0防 火 墻 1S u p e r V 5 3 1 8路 由 器 1C I S C O 3 6 4 0路 由 器 2華 為 N E 4 0防 火 墻 2U T M 4 1 8 DP C 1 P C 2數(shù) 據(jù)服 務 器H P D L 3 8 0應 用 程 序服 務 器H P D L 3 8 0防 病 毒服 務 器M A C F E E 圖 81 網(wǎng)絡拓撲結構圖 評估依據(jù) 評估所遵循的依據(jù)如下： 1.《 信息安全技術 信息安全風險評估規(guī)范 》 （ GB/T 209842023） 2.《 信息技術 信息技術安全管理指南 》 （ GB/T 197152023） 3.《 信息技術 信息安全管理