【正文】 5 0． 5 表 84 資產(chǎn)價值表 識別并評估威脅 在本次評估中，首先收集系統(tǒng)所面臨的威脅，然后對威脅的來源和行為進(jìn)行分析。 T07 原發(fā) 抵賴 不承認(rèn)收到的信息和所作的操作。按照各種管理調(diào)查表的安全管理要求對現(xiàn)有的安全管理制度及其執(zhí)行情況進(jìn)行檢查 ， 發(fā)現(xiàn)其中的管理脆弱性 。 資產(chǎn) 威脅 威脅 頻率 脆弱性 嚴(yán)重 程度 路由器 1 未授權(quán)訪問 2 Cisco未設(shè)置密碼 3 漏洞利用 5 CISCO IOS界面被 IPv4數(shù)據(jù)包阻塞 3 路由器 2 未授權(quán)訪問 2 沒有制定訪問控制策略 4 操作失誤或 維護(hù)錯誤 2 安裝與維護(hù)缺乏管理 4 交換機 1 漏洞利用 5 日志及管理功能未啟用 3 交換機 2 漏洞利用 5 CSCdz39284 3 CSCdw33027 3 交換機 3 漏洞利用 5 CSCds04747 4 沒有配備 Service Password Encryption服務(wù) 4 防火墻 1 操作失誤或 維護(hù)錯誤 2 安裝與維護(hù)缺乏管理 5 缺少操作規(guī)程和職責(zé)管理 5 防火墻 2 未授權(quán)訪問 1 防火墻開放端口增加 5 防火墻關(guān)鍵模塊失效 4 防火墻 3 原發(fā)抵賴 3 未啟用日志功能 5 病毒服務(wù)器 惡意代碼或病毒 3 操作系統(tǒng)補丁未安裝 5 硬件故障 1 設(shè)備不穩(wěn)定 5 未授權(quán)訪問 4 操作系統(tǒng)的口令策略沒有啟用 5 木馬后門攻擊 4 操作系統(tǒng)開放多余服務(wù) 4 資產(chǎn) 威脅 威脅 頻率 脆弱性 嚴(yán)重 程度 數(shù)據(jù)服務(wù)器 操作失誤或維護(hù) 錯誤 2 缺少操作規(guī)程和職責(zé) 管理 5 未授權(quán)訪問 4 存在弱口令 5 惡意代碼或病毒 3 操作系統(tǒng)補丁未安裝 5 權(quán)限濫用 4 沒有訪問控制措施 4 應(yīng)用服務(wù)器 操作失誤或維護(hù) 錯誤 2 缺少操作規(guī)程和職責(zé) 管理 5 未授權(quán)訪問 4 存在弱口令 5 惡意代碼或病毒 3 操作系統(tǒng)補丁未安裝 5 漏洞利用 5 Tel漏洞 4 可以通過 SMB連接 注冊表 5 PC1 惡意代碼或病毒 3 操作系統(tǒng)補丁未安裝 5 數(shù)據(jù)篡改 3 使用 NetBIOS探測 Windows主機信息 5 PC2 惡意代碼或病毒 3 木馬和后門 5 數(shù)據(jù)篡改 3 SMB shares access 4 竊密 4 弱口令 5 UPS 硬件故障 1 設(shè)備不穩(wěn)定 5 空調(diào) 硬件故障 1 設(shè)備不穩(wěn)定 5 表 89 資產(chǎn)、威脅、脆弱性關(guān)聯(lián)表 使用矩 陣 法 計 算 風(fēng)險 利用矩陣法，首先根據(jù)表 721，計算安全事件發(fā)生的可能性，再根據(jù)安全事件可能等級劃分表 722，計算安全事件發(fā)生的可能性值等級。 資產(chǎn) ID0 資產(chǎn)名稱 威脅 脆弱性 風(fēng)險 等級 是否可 接受 A01 路由器 1 未授權(quán)訪問 Cisco未設(shè)置密碼 2 是 漏洞利用 CISCO IOS界面被 IPv4數(shù)據(jù)包阻塞 3 是 A02 路由器 2 未授權(quán)訪問 沒有制定訪問控制策略 3 是 操作失誤或維護(hù)錯誤 安裝與維護(hù)缺乏管理 3 是 A03 交換機 1 漏洞利用 日志及管理功能未啟用 3 是 A04 交換機 2 漏洞利用 CSCdz39284 3 是 CSCdw33027 3 是 A05 交換機 3 漏洞利用 CSCds04747 4 否 沒有配備 Service Password Encryption服務(wù) 4 否 A06 防火墻 1 操作失誤或維護(hù)錯誤 安裝與維護(hù)缺乏管理 4 否 缺少操作規(guī)程和職責(zé)管理 4 否 A07 防火墻 2 未授權(quán)訪問 防火墻開放端口增加 3 是 防火墻關(guān)鍵模塊失效 2 是 A08 防火墻 3 原發(fā)抵賴 未啟用日志功能 4 否 A09 病毒服務(wù)器 惡意代碼或病毒 操作系統(tǒng)補丁未安裝 4 否 硬件故障 設(shè)備不穩(wěn)定 3 是 未授權(quán)訪問 操作系統(tǒng)的口令策略沒有啟用 4 否 木馬后門攻擊 操作系統(tǒng)開放多余服務(wù) 3 是 ?表 812 風(fēng)險接受等級劃分表 資產(chǎn) ID0 資產(chǎn)名稱 威脅 脆弱性 風(fēng)險 等級 是否可 接受 A10 數(shù)據(jù)服務(wù)器 操作失誤或維護(hù)錯誤 缺少操作規(guī)程和職責(zé)管理 4 否 未授權(quán)訪問 存在弱口令 5 否 惡意代碼或病毒 操作系統(tǒng)補丁未安裝 4 否 權(quán)限濫用 沒有訪問控制措施 4 否 A11 應(yīng)用服務(wù)器 操作失誤或維護(hù)錯誤 缺少操作規(guī)程和職責(zé)管理 4 否 未授權(quán)訪問 存在弱口令 5 否 惡意代碼或病毒 操作系統(tǒng)補丁未安裝 4 否 漏洞利用 Tel漏洞 4 否 可以通過 SMB連接注冊表 5 否 A12 PC1 惡意代碼或病毒 操作系統(tǒng)補丁未安裝 4 否 數(shù)據(jù)篡改 使用 NetBIOS探測 Windows主機信息 4 否 A13 PC2 惡意代碼或病毒 木馬和后門 4 否 數(shù)據(jù)篡改 SMB shares access 3 是 竊密 弱口令 5 否 A14 UPS 硬件故障 設(shè)備不穩(wěn)定 4 否 A15 空調(diào) 硬件故障 設(shè)備不穩(wěn)定 3 是 風(fēng)險控制需求分析 按照系統(tǒng)的風(fēng)險等級接受程度，通過對本信息系統(tǒng)技術(shù)層面的安全功能、組織層面的安全控制和管理層面的安全對策進(jìn)行分析描述，形成已有安全措施的需求分析結(jié)果，如表 813所示。 編號 控制措施 對應(yīng)控制目標(biāo) 優(yōu)先級 M1 制定具體科室負(fù)責(zé)信息安全工作，明確人員及其分工。 T1～ T7 高 M9 制定合理的資源分配策略，包括：最大并發(fā)連接數(shù)，最小并發(fā)連接數(shù)，單個用戶會話數(shù)量等。 T1～ T7 中 表 815 安全控制措施選擇 編寫 信息安全 風(fēng)險評 估 報 告 最后，編寫記錄 信息系統(tǒng)風(fēng)險評估過程得到的所有結(jié)果 的風(fēng)險評估報告，完成對本系統(tǒng)的風(fēng)險評估。對資產(chǎn)的保密性、完整性和可用性這三個安全屬性分別賦值，根據(jù)三個安全屬性的權(quán)值計算資產(chǎn)的價值。使用 IDS，通過對網(wǎng)絡(luò)流量進(jìn)行不間斷的分析，從中發(fā)現(xiàn)攻擊、入侵或非法訪問等行為。 進(jìn)行全局性的評估，它也包括了技術(shù)和管理方面的內(nèi)容。 （ 3）資料審查確認(rèn)：評估小組成員將對形成的風(fēng)險分析 報告和整改建議進(jìn)行審查確認(rèn)。 此階段所采用的方法包括： （ 1）利用漏洞掃描工具進(jìn)行掃描； （ 2）滲透測試； （ 3）各類檢查列表