【文章內(nèi)容簡介】 性等級完整性等級可用性等級重要性程度部門1Linux系統(tǒng)張三4455研發(fā)部2MySQL數(shù)據(jù)庫張三4455研發(fā)部3Vmware虛擬化軟件張三4354研發(fā)部4Apache軟件張三4455研發(fā)部5Cacti監(jiān)控軟件張三3333研發(fā)部6Maven項目管理工具張三4444研發(fā)部7Svn版本管理工具張三4444研發(fā)部 服務重要資產(chǎn)賦值表重要資產(chǎn)賦值表 服務資產(chǎn)序號資產(chǎn)名稱責任人應用描述機密性等級完整性等級可用性等級重要性程度部門1DNS服務張三1343研發(fā)部2VPN服務張三3333研發(fā)部3郵件服務張三4433研發(fā)部4病毒服務張三5555研發(fā)部5OA辦公自動化系統(tǒng)張三3333研發(fā)部 文檔和數(shù)據(jù)重要資產(chǎn)賦值表重要資產(chǎn)賦值表 文檔和數(shù)據(jù)序號資產(chǎn)名稱責任人應用描述機密性等級完整性等級可用性等級重要性程度部門1網(wǎng)絡結(jié)構(gòu)相關(guān)技術(shù)資料張三網(wǎng)絡結(jié)構(gòu)相關(guān)技術(shù)資料5445研發(fā)部重要資產(chǎn)賦值表 人力資源序號資產(chǎn)名稱姓名應用描述機密性等級完整性等級可用性等級重要性程度部門1網(wǎng)絡管理員張三網(wǎng)絡管理員3444研發(fā)部2網(wǎng)絡管理員李四網(wǎng)絡管理員3444研發(fā)部 物理環(huán)境重要資產(chǎn)賦值表重要資產(chǎn)賦值表 物理環(huán)境序號資產(chǎn)名稱使用范圍描述機密性等級完整性等級可用性等級重要性程度部門1機房機房3233研發(fā)部 威脅識別威脅識別小組通過召集關(guān)技術(shù)人員召開會議，查閱安全設備日志和以往的安全事件記錄，分析本系統(tǒng)在物理環(huán)境、網(wǎng)絡、人員、設備故障、惡意代碼及病毒等方面可能出現(xiàn)的情況，經(jīng)項目負責人批準確認形成了威脅識別表： 重要硬件資產(chǎn)威脅識別表重要資產(chǎn)威脅識別表 硬件資產(chǎn)序號資產(chǎn)名稱威脅類部門1防火墻操作失誤研發(fā)部訪問控制策略管理不當未授權(quán)訪問資源原發(fā)抵賴2DNS服務器操作失誤研發(fā)部木馬后門攻擊設備硬件故障網(wǎng)絡病毒傳播維護錯誤未授權(quán)訪問系統(tǒng)資源系統(tǒng)負載過載3郵件服務器操作失誤研發(fā)部濫用權(quán)限木馬后門攻擊社會工程威脅網(wǎng)絡病毒傳播維護錯誤未授權(quán)訪問系統(tǒng)資源未授權(quán)訪問資源4VPN服務器操作失誤研發(fā)部濫用權(quán)限木馬后門攻擊社會工程威脅網(wǎng)絡病毒傳播維護錯誤未授權(quán)訪問系統(tǒng)資源未授權(quán)訪問資源5OA服務器操作失誤研發(fā)部濫用權(quán)限木馬后門攻擊社會工程威脅網(wǎng)絡病毒傳播維護錯誤未授權(quán)訪問系統(tǒng)資源未授權(quán)訪問資源6磁盤陣列維護錯誤研發(fā)部7核心路由操作失誤研發(fā)部維護錯誤未授權(quán)訪問網(wǎng)絡資源嗅探系統(tǒng)安全配置數(shù)據(jù)如賬戶、口令、權(quán)限等原發(fā)抵賴8病毒服務器操作失誤研發(fā)部木馬后門攻擊設備硬件故障網(wǎng)絡病毒傳播維護錯誤未授權(quán)訪問系統(tǒng)資源系統(tǒng)負載過載原發(fā)抵賴9核心交換機操作失誤研發(fā)部維護錯誤原發(fā)抵賴10數(shù)據(jù)中心交換機操作失誤研發(fā)部維護錯誤原發(fā)抵賴11無線AP操作失誤研發(fā)部維護錯誤未授權(quán)訪問網(wǎng)絡資源嗅探系統(tǒng)安全配置數(shù)據(jù)如賬戶、口令、權(quán)限等原發(fā)抵賴12個人PC操作失誤研發(fā)部維護錯誤未授權(quán)訪問網(wǎng)絡資源嗅探系統(tǒng)安全配置數(shù)據(jù)如賬戶、口令、權(quán)限等原發(fā)抵賴13移動硬盤操作失誤研發(fā)部維護錯誤  重要軟件資產(chǎn)威脅識別表重要資產(chǎn)威脅識別表 軟件資產(chǎn)序號資產(chǎn)名稱威脅類部門1Linux系統(tǒng)系統(tǒng)軟件故障研發(fā)部應用軟件故障操作失誤維護錯誤越權(quán)或濫用篡改2MySQL數(shù)據(jù)庫數(shù)據(jù)庫軟件故障研發(fā)部操作失誤維護錯誤越權(quán)或濫用篡改3Vmware虛擬化軟件應用軟件故障研發(fā)部操作失誤維護錯誤越權(quán)或濫用篡改4Apache軟件應用軟件故障研發(fā)部操作失誤維護錯誤越權(quán)或濫用篡改5Cacti監(jiān)控軟件應用軟件故障研發(fā)部操作失誤維護錯誤6Maven項目管理工具應用軟件故障研發(fā)部操作失誤維護錯誤7Svn版本管理工具應用軟件故障研發(fā)部操作失誤維護錯誤 重要服務資產(chǎn)威脅識別表重要資產(chǎn)威脅識別表 服務資產(chǎn)序號資產(chǎn)名稱威脅類部門1DNS服務濫用權(quán)限泄漏秘密信息研發(fā)部數(shù)據(jù)篡改探測竊密未授權(quán)訪問未授權(quán)訪問系統(tǒng)資源用戶或業(yè)務數(shù)據(jù)的竊取2VPN服務篡改用戶或業(yè)務數(shù)據(jù)信息研發(fā)部控制和破壞用戶或業(yè)務數(shù)據(jù)濫用權(quán)限泄漏秘密信息數(shù)據(jù)篡改探測竊密未授權(quán)訪問3郵件服務篡改用戶或業(yè)務數(shù)據(jù)信息研發(fā)部控制和破壞用戶或業(yè)務數(shù)據(jù)濫用權(quán)限泄漏秘密信息數(shù)據(jù)篡改探測竊密未授權(quán)訪問未授權(quán)訪問系統(tǒng)資源用戶或業(yè)務數(shù)據(jù)的竊取4病毒服務篡改用戶或業(yè)務數(shù)據(jù)信息研發(fā)部控制和破壞用戶或業(yè)務數(shù)據(jù)濫用權(quán)限泄漏秘密信息數(shù)據(jù)篡改探測竊密未授權(quán)訪問未授權(quán)訪問系統(tǒng)資源5OA辦公自動化系統(tǒng)篡改用戶或業(yè)務數(shù)據(jù)信息研發(fā)部控制和破壞用戶或業(yè)務數(shù)據(jù)濫用權(quán)限泄漏秘密信息數(shù)據(jù)篡改探測竊密未授權(quán)訪問未授權(quán)訪問系統(tǒng)資源用戶或業(yè)務數(shù)據(jù)的竊取 重要數(shù)據(jù)和文檔資產(chǎn)威脅識別表重要資產(chǎn)威脅識別表 數(shù)據(jù)和文檔序號資產(chǎn)名稱威脅類部門1網(wǎng)絡結(jié)構(gòu)相關(guān)技術(shù)資料濫用權(quán)限研發(fā)部未授權(quán)訪問資源 重要人力資源資產(chǎn)威脅識別表重要資產(chǎn)威脅識別表 人力資源序號資產(chǎn)名稱威脅類部門1網(wǎng)絡管理員（張三）社會工程威脅 研發(fā)部2網(wǎng)絡管理員（李四）社會工程威脅研發(fā)部 重要物理環(huán)境資產(chǎn)威脅識別表重要資產(chǎn)威脅識別表 物理環(huán)境序號資產(chǎn)名稱威脅類部門1總機房電磁干擾研發(fā)部訪問控制策略管理不當 脆弱性識別 脆弱性識別內(nèi)容和方法脆弱性識別小組針對不同類型的重要資產(chǎn)分組進行脆弱性分析，對網(wǎng)絡設備、主機、數(shù)據(jù)庫、應用程序進行了掃描，對網(wǎng)絡設備、主機、數(shù)據(jù)庫進行了配置核查，對安全管理進行了現(xiàn)場走訪，發(fā)放了調(diào)查問卷，脆弱性識別小組最后進行匯總并確認，報項目負責人批準形成資產(chǎn)脆弱性匯總表。 在脆弱性識別過程中我們使用的掃描工具包括A公司的B型漏洞掃描器、應用層漏洞掃描器。 脆弱性識別結(jié)果 重要資產(chǎn)脆弱性匯總表序號資產(chǎn)名稱脆弱性名稱1防火墻安全保障設備的其它配置不當安裝與維護缺乏管理缺少操作規(guī)程和職責管理未啟用日志功能2DNS服務器安裝與維護缺乏管理操作系統(tǒng)補丁未安裝操作系統(tǒng)的口令策略沒有啟用操作系統(tǒng)的賬戶鎖定策略沒有啟用操作系統(tǒng)開放多余服務缺少操作規(guī)程和職責管理未啟用日志功能3郵件服務器安裝與維護缺乏管理操作系統(tǒng)補丁未安裝操作系統(tǒng)的口令策略沒有啟用操作系統(tǒng)的帳戶鎖定策略沒有啟用操作系統(tǒng)開放多余服務缺少操作規(guī)程和職責管理4VPN服務器安裝與維護缺乏管理操作系統(tǒng)補丁未安裝操作系統(tǒng)的口令策略沒有啟用操作系統(tǒng)的帳戶鎖定策略沒有啟用操作系統(tǒng)開放多余服務缺少操作規(guī)程和職責管理5OA服務器安裝與維護缺乏管理操作系統(tǒng)補丁未安裝操作系統(tǒng)的口令策略沒有啟用操作系統(tǒng)的帳戶鎖定策略沒有啟用操作系統(tǒng)開放多余服務缺少操作規(guī)程和職責管理6磁盤陣列缺少操作規(guī)程和職責管理7核心路由安裝與維護缺乏管理沒有制定訪問控制策略日志及管理功能未啟用未備份配置文件或存放不當8病毒服務器安裝與維護缺乏管理操作系統(tǒng)補丁未安裝操作系統(tǒng)的口令策略沒有啟用操作系統(tǒng)的賬戶鎖定策略沒有啟用操作系統(tǒng)開放多余服務缺少操作規(guī)程和職責管理未啟用日志功能9核心交換機安裝與維護缺乏管理日志及管理功能未啟用未備份配置文件或存放不當10數(shù)據(jù)中心交換機安裝與維護缺乏管理日志及管理功能未啟用未備份配置文件或存放不當11無線AP安裝與維護缺乏管理日志及管理功能未啟用未備份配置文件或存放不當12個人PC安裝與維護缺乏管理日志及管理功能未啟用未備份配置文件或存放不當13移動硬盤安裝與維護缺乏管理14Linux系統(tǒng)安裝與維護缺乏管理未備份配置文件或存放不當日志及管理功能未啟用操作系統(tǒng)補丁未安裝操作系統(tǒng)的口令策略沒有啟用操作系統(tǒng)的帳戶鎖定策略沒有啟用操作系統(tǒng)開放多余服務缺少操作規(guī)程和職責管理15MySQL數(shù)據(jù)庫安裝與維護缺乏管理缺少操作規(guī)程和職責管理16Vmware虛擬化軟件安裝與維護缺乏管理缺少操作規(guī)程和職責管理17Apache軟件安裝與維護缺乏管理缺少操作規(guī)程和職責管理18Cacti監(jiān)控軟件安裝與維護缺乏管理缺少操作規(guī)程和職責管理19Maven項目管理工具安裝與維護缺乏管理缺少操作規(guī)程和職責管理20Svn版本管理工具安裝與維護缺乏管理缺少操作規(guī)程和職責管理21DNS服務未設置用戶登錄失敗門限與超過門限后的處理