【文章內(nèi)容簡(jiǎn)介】 性等級(jí)完整性等級(jí)可用性等級(jí)重要性程度部門1Linux系統(tǒng)張三4455研發(fā)部2MySQL數(shù)據(jù)庫(kù)張三4455研發(fā)部3Vmware虛擬化軟件張三4354研發(fā)部4Apache軟件張三4455研發(fā)部5Cacti監(jiān)控軟件張三3333研發(fā)部6Maven項(xiàng)目管理工具張三4444研發(fā)部7Svn版本管理工具張三4444研發(fā)部 服務(wù)重要資產(chǎn)賦值表重要資產(chǎn)賦值表 服務(wù)資產(chǎn)序號(hào)資產(chǎn)名稱責(zé)任人應(yīng)用描述機(jī)密性等級(jí)完整性等級(jí)可用性等級(jí)重要性程度部門1DNS服務(wù)張三1343研發(fā)部2VPN服務(wù)張三3333研發(fā)部3郵件服務(wù)張三4433研發(fā)部4病毒服務(wù)張三5555研發(fā)部5OA辦公自動(dòng)化系統(tǒng)張三3333研發(fā)部 文檔和數(shù)據(jù)重要資產(chǎn)賦值表重要資產(chǎn)賦值表 文檔和數(shù)據(jù)序號(hào)資產(chǎn)名稱責(zé)任人應(yīng)用描述機(jī)密性等級(jí)完整性等級(jí)可用性等級(jí)重要性程度部門1網(wǎng)絡(luò)結(jié)構(gòu)相關(guān)技術(shù)資料張三網(wǎng)絡(luò)結(jié)構(gòu)相關(guān)技術(shù)資料5445研發(fā)部重要資產(chǎn)賦值表 人力資源序號(hào)資產(chǎn)名稱姓名應(yīng)用描述機(jī)密性等級(jí)完整性等級(jí)可用性等級(jí)重要性程度部門1網(wǎng)絡(luò)管理員張三網(wǎng)絡(luò)管理員3444研發(fā)部2網(wǎng)絡(luò)管理員李四網(wǎng)絡(luò)管理員3444研發(fā)部 物理環(huán)境重要資產(chǎn)賦值表重要資產(chǎn)賦值表 物理環(huán)境序號(hào)資產(chǎn)名稱使用范圍描述機(jī)密性等級(jí)完整性等級(jí)可用性等級(jí)重要性程度部門1機(jī)房機(jī)房3233研發(fā)部 威脅識(shí)別威脅識(shí)別小組通過(guò)召集關(guān)技術(shù)人員召開會(huì)議，查閱安全設(shè)備日志和以往的安全事件記錄，分析本系統(tǒng)在物理環(huán)境、網(wǎng)絡(luò)、人員、設(shè)備故障、惡意代碼及病毒等方面可能出現(xiàn)的情況，經(jīng)項(xiàng)目負(fù)責(zé)人批準(zhǔn)確認(rèn)形成了威脅識(shí)別表： 重要硬件資產(chǎn)威脅識(shí)別表重要資產(chǎn)威脅識(shí)別表 硬件資產(chǎn)序號(hào)資產(chǎn)名稱威脅類部門1防火墻操作失誤研發(fā)部訪問控制策略管理不當(dāng)未授權(quán)訪問資源原發(fā)抵賴2DNS服務(wù)器操作失誤研發(fā)部木馬后門攻擊設(shè)備硬件故障網(wǎng)絡(luò)病毒傳播維護(hù)錯(cuò)誤未授權(quán)訪問系統(tǒng)資源系統(tǒng)負(fù)載過(guò)載3郵件服務(wù)器操作失誤研發(fā)部濫用權(quán)限木馬后門攻擊社會(huì)工程威脅網(wǎng)絡(luò)病毒傳播維護(hù)錯(cuò)誤未授權(quán)訪問系統(tǒng)資源未授權(quán)訪問資源4VPN服務(wù)器操作失誤研發(fā)部濫用權(quán)限木馬后門攻擊社會(huì)工程威脅網(wǎng)絡(luò)病毒傳播維護(hù)錯(cuò)誤未授權(quán)訪問系統(tǒng)資源未授權(quán)訪問資源5OA服務(wù)器操作失誤研發(fā)部濫用權(quán)限木馬后門攻擊社會(huì)工程威脅網(wǎng)絡(luò)病毒傳播維護(hù)錯(cuò)誤未授權(quán)訪問系統(tǒng)資源未授權(quán)訪問資源6磁盤陣列維護(hù)錯(cuò)誤研發(fā)部7核心路由操作失誤研發(fā)部維護(hù)錯(cuò)誤未授權(quán)訪問網(wǎng)絡(luò)資源嗅探系統(tǒng)安全配置數(shù)據(jù)如賬戶、口令、權(quán)限等原發(fā)抵賴8病毒服務(wù)器操作失誤研發(fā)部木馬后門攻擊設(shè)備硬件故障網(wǎng)絡(luò)病毒傳播維護(hù)錯(cuò)誤未授權(quán)訪問系統(tǒng)資源系統(tǒng)負(fù)載過(guò)載原發(fā)抵賴9核心交換機(jī)操作失誤研發(fā)部維護(hù)錯(cuò)誤原發(fā)抵賴10數(shù)據(jù)中心交換機(jī)操作失誤研發(fā)部維護(hù)錯(cuò)誤原發(fā)抵賴11無(wú)線AP操作失誤研發(fā)部維護(hù)錯(cuò)誤未授權(quán)訪問網(wǎng)絡(luò)資源嗅探系統(tǒng)安全配置數(shù)據(jù)如賬戶、口令、權(quán)限等原發(fā)抵賴12個(gè)人PC操作失誤研發(fā)部維護(hù)錯(cuò)誤未授權(quán)訪問網(wǎng)絡(luò)資源嗅探系統(tǒng)安全配置數(shù)據(jù)如賬戶、口令、權(quán)限等原發(fā)抵賴13移動(dòng)硬盤操作失誤研發(fā)部維護(hù)錯(cuò)誤  重要軟件資產(chǎn)威脅識(shí)別表重要資產(chǎn)威脅識(shí)別表 軟件資產(chǎn)序號(hào)資產(chǎn)名稱威脅類部門1Linux系統(tǒng)系統(tǒng)軟件故障研發(fā)部應(yīng)用軟件故障操作失誤維護(hù)錯(cuò)誤越權(quán)或?yàn)E用篡改2MySQL數(shù)據(jù)庫(kù)數(shù)據(jù)庫(kù)軟件故障研發(fā)部操作失誤維護(hù)錯(cuò)誤越權(quán)或?yàn)E用篡改3Vmware虛擬化軟件應(yīng)用軟件故障研發(fā)部操作失誤維護(hù)錯(cuò)誤越權(quán)或?yàn)E用篡改4Apache軟件應(yīng)用軟件故障研發(fā)部操作失誤維護(hù)錯(cuò)誤越權(quán)或?yàn)E用篡改5Cacti監(jiān)控軟件應(yīng)用軟件故障研發(fā)部操作失誤維護(hù)錯(cuò)誤6Maven項(xiàng)目管理工具應(yīng)用軟件故障研發(fā)部操作失誤維護(hù)錯(cuò)誤7Svn版本管理工具應(yīng)用軟件故障研發(fā)部操作失誤維護(hù)錯(cuò)誤 重要服務(wù)資產(chǎn)威脅識(shí)別表重要資產(chǎn)威脅識(shí)別表 服務(wù)資產(chǎn)序號(hào)資產(chǎn)名稱威脅類部門1DNS服務(wù)濫用權(quán)限泄漏秘密信息研發(fā)部數(shù)據(jù)篡改探測(cè)竊密未授權(quán)訪問未授權(quán)訪問系統(tǒng)資源用戶或業(yè)務(wù)數(shù)據(jù)的竊取2VPN服務(wù)篡改用戶或業(yè)務(wù)數(shù)據(jù)信息研發(fā)部控制和破壞用戶或業(yè)務(wù)數(shù)據(jù)濫用權(quán)限泄漏秘密信息數(shù)據(jù)篡改探測(cè)竊密未授權(quán)訪問3郵件服務(wù)篡改用戶或業(yè)務(wù)數(shù)據(jù)信息研發(fā)部控制和破壞用戶或業(yè)務(wù)數(shù)據(jù)濫用權(quán)限泄漏秘密信息數(shù)據(jù)篡改探測(cè)竊密未授權(quán)訪問未授權(quán)訪問系統(tǒng)資源用戶或業(yè)務(wù)數(shù)據(jù)的竊取4病毒服務(wù)篡改用戶或業(yè)務(wù)數(shù)據(jù)信息研發(fā)部控制和破壞用戶或業(yè)務(wù)數(shù)據(jù)濫用權(quán)限泄漏秘密信息數(shù)據(jù)篡改探測(cè)竊密未授權(quán)訪問未授權(quán)訪問系統(tǒng)資源5OA辦公自動(dòng)化系統(tǒng)篡改用戶或業(yè)務(wù)數(shù)據(jù)信息研發(fā)部控制和破壞用戶或業(yè)務(wù)數(shù)據(jù)濫用權(quán)限泄漏秘密信息數(shù)據(jù)篡改探測(cè)竊密未授權(quán)訪問未授權(quán)訪問系統(tǒng)資源用戶或業(yè)務(wù)數(shù)據(jù)的竊取 重要數(shù)據(jù)和文檔資產(chǎn)威脅識(shí)別表重要資產(chǎn)威脅識(shí)別表 數(shù)據(jù)和文檔序號(hào)資產(chǎn)名稱威脅類部門1網(wǎng)絡(luò)結(jié)構(gòu)相關(guān)技術(shù)資料濫用權(quán)限研發(fā)部未授權(quán)訪問資源 重要人力資源資產(chǎn)威脅識(shí)別表重要資產(chǎn)威脅識(shí)別表 人力資源序號(hào)資產(chǎn)名稱威脅類部門1網(wǎng)絡(luò)管理員（張三）社會(huì)工程威脅 研發(fā)部2網(wǎng)絡(luò)管理員（李四）社會(huì)工程威脅研發(fā)部 重要物理環(huán)境資產(chǎn)威脅識(shí)別表重要資產(chǎn)威脅識(shí)別表 物理環(huán)境序號(hào)資產(chǎn)名稱威脅類部門1總機(jī)房電磁干擾研發(fā)部訪問控制策略管理不當(dāng) 脆弱性識(shí)別 脆弱性識(shí)別內(nèi)容和方法脆弱性識(shí)別小組針對(duì)不同類型的重要資產(chǎn)分組進(jìn)行脆弱性分析，對(duì)網(wǎng)絡(luò)設(shè)備、主機(jī)、數(shù)據(jù)庫(kù)、應(yīng)用程序進(jìn)行了掃描，對(duì)網(wǎng)絡(luò)設(shè)備、主機(jī)、數(shù)據(jù)庫(kù)進(jìn)行了配置核查，對(duì)安全管理進(jìn)行了現(xiàn)場(chǎng)走訪，發(fā)放了調(diào)查問卷，脆弱性識(shí)別小組最后進(jìn)行匯總并確認(rèn)，報(bào)項(xiàng)目負(fù)責(zé)人批準(zhǔn)形成資產(chǎn)脆弱性匯總表。 在脆弱性識(shí)別過(guò)程中我們使用的掃描工具包括A公司的B型漏洞掃描器、應(yīng)用層漏洞掃描器。 脆弱性識(shí)別結(jié)果 重要資產(chǎn)脆弱性匯總表序號(hào)資產(chǎn)名稱脆弱性名稱1防火墻安全保障設(shè)備的其它配置不當(dāng)安裝與維護(hù)缺乏管理缺少操作規(guī)程和職責(zé)管理未啟用日志功能2DNS服務(wù)器安裝與維護(hù)缺乏管理操作系統(tǒng)補(bǔ)丁未安裝操作系統(tǒng)的口令策略沒有啟用操作系統(tǒng)的賬戶鎖定策略沒有啟用操作系統(tǒng)開放多余服務(wù)缺少操作規(guī)程和職責(zé)管理未啟用日志功能3郵件服務(wù)器安裝與維護(hù)缺乏管理操作系統(tǒng)補(bǔ)丁未安裝操作系統(tǒng)的口令策略沒有啟用操作系統(tǒng)的帳戶鎖定策略沒有啟用操作系統(tǒng)開放多余服務(wù)缺少操作規(guī)程和職責(zé)管理4VPN服務(wù)器安裝與維護(hù)缺乏管理操作系統(tǒng)補(bǔ)丁未安裝操作系統(tǒng)的口令策略沒有啟用操作系統(tǒng)的帳戶鎖定策略沒有啟用操作系統(tǒng)開放多余服務(wù)缺少操作規(guī)程和職責(zé)管理5OA服務(wù)器安裝與維護(hù)缺乏管理操作系統(tǒng)補(bǔ)丁未安裝操作系統(tǒng)的口令策略沒有啟用操作系統(tǒng)的帳戶鎖定策略沒有啟用操作系統(tǒng)開放多余服務(wù)缺少操作規(guī)程和職責(zé)管理6磁盤陣列缺少操作規(guī)程和職責(zé)管理7核心路由安裝與維護(hù)缺乏管理沒有制定訪問控制策略日志及管理功能未啟用未備份配置文件或存放不當(dāng)8病毒服務(wù)器安裝與維護(hù)缺乏管理操作系統(tǒng)補(bǔ)丁未安裝操作系統(tǒng)的口令策略沒有啟用操作系統(tǒng)的賬戶鎖定策略沒有啟用操作系統(tǒng)開放多余服務(wù)缺少操作規(guī)程和職責(zé)管理未啟用日志功能9核心交換機(jī)安裝與維護(hù)缺乏管理日志及管理功能未啟用未備份配置文件或存放不當(dāng)10數(shù)據(jù)中心交換機(jī)安裝與維護(hù)缺乏管理日志及管理功能未啟用未備份配置文件或存放不當(dāng)11無(wú)線AP安裝與維護(hù)缺乏管理日志及管理功能未啟用未備份配置文件或存放不當(dāng)12個(gè)人PC安裝與維護(hù)缺乏管理日志及管理功能未啟用未備份配置文件或存放不當(dāng)13移動(dòng)硬盤安裝與維護(hù)缺乏管理14Linux系統(tǒng)安裝與維護(hù)缺乏管理未備份配置文件或存放不當(dāng)日志及管理功能未啟用操作系統(tǒng)補(bǔ)丁未安裝操作系統(tǒng)的口令策略沒有啟用操作系統(tǒng)的帳戶鎖定策略沒有啟用操作系統(tǒng)開放多余服務(wù)缺少操作規(guī)程和職責(zé)管理15MySQL數(shù)據(jù)庫(kù)安裝與維護(hù)缺乏管理缺少操作規(guī)程和職責(zé)管理16Vmware虛擬化軟件安裝與維護(hù)缺乏管理缺少操作規(guī)程和職責(zé)管理17Apache軟件安裝與維護(hù)缺乏管理缺少操作規(guī)程和職責(zé)管理18Cacti監(jiān)控軟件安裝與維護(hù)缺乏管理缺少操作規(guī)程和職責(zé)管理19Maven項(xiàng)目管理工具安裝與維護(hù)缺乏管理缺少操作規(guī)程和職責(zé)管理20Svn版本管理工具安裝與維護(hù)缺乏管理缺少操作規(guī)程和職責(zé)管理21DNS服務(wù)未設(shè)置用戶登錄失敗門限與超過(guò)門限后的處理