【文章內(nèi)容簡介】 性等級完整性等級可用性等級重要性程度部門1Linux系統(tǒng)張三4455研發(fā)部2MySQL數(shù)據(jù)庫張三4455研發(fā)部3Vmware虛擬化軟件張三4354研發(fā)部4Apache軟件張三4455研發(fā)部5Cacti監(jiān)控軟件張三3333研發(fā)部6Maven項目管理工具張三4444研發(fā)部7Svn版本管理工具張三4444研發(fā)部 服務(wù)重要資產(chǎn)賦值表重要資產(chǎn)賦值表 服務(wù)資產(chǎn)序號資產(chǎn)名稱責(zé)任人應(yīng)用描述機密性等級完整性等級可用性等級重要性程度部門1DNS服務(wù)張三1343研發(fā)部2VPN服務(wù)張三3333研發(fā)部3郵件服務(wù)張三4433研發(fā)部4病毒服務(wù)張三5555研發(fā)部5OA辦公自動化系統(tǒng)張三3333研發(fā)部 文檔和數(shù)據(jù)重要資產(chǎn)賦值表重要資產(chǎn)賦值表 文檔和數(shù)據(jù)序號資產(chǎn)名稱責(zé)任人應(yīng)用描述機密性等級完整性等級可用性等級重要性程度部門1網(wǎng)絡(luò)結(jié)構(gòu)相關(guān)技術(shù)資料張三網(wǎng)絡(luò)結(jié)構(gòu)相關(guān)技術(shù)資料5445研發(fā)部重要資產(chǎn)賦值表 人力資源序號資產(chǎn)名稱姓名應(yīng)用描述機密性等級完整性等級可用性等級重要性程度部門1網(wǎng)絡(luò)管理員張三網(wǎng)絡(luò)管理員3444研發(fā)部2網(wǎng)絡(luò)管理員李四網(wǎng)絡(luò)管理員3444研發(fā)部 物理環(huán)境重要資產(chǎn)賦值表重要資產(chǎn)賦值表 物理環(huán)境序號資產(chǎn)名稱使用范圍描述機密性等級完整性等級可用性等級重要性程度部門1機房機房3233研發(fā)部 威脅識別威脅識別小組通過召集關(guān)技術(shù)人員召開會議，查閱安全設(shè)備日志和以往的安全事件記錄，分析本系統(tǒng)在物理環(huán)境、網(wǎng)絡(luò)、人員、設(shè)備故障、惡意代碼及病毒等方面可能出現(xiàn)的情況，經(jīng)項目負(fù)責(zé)人批準(zhǔn)確認(rèn)形成了威脅識別表： 重要硬件資產(chǎn)威脅識別表重要資產(chǎn)威脅識別表 硬件資產(chǎn)序號資產(chǎn)名稱威脅類部門1防火墻操作失誤研發(fā)部訪問控制策略管理不當(dāng)未授權(quán)訪問資源原發(fā)抵賴2DNS服務(wù)器操作失誤研發(fā)部木馬后門攻擊設(shè)備硬件故障網(wǎng)絡(luò)病毒傳播維護(hù)錯誤未授權(quán)訪問系統(tǒng)資源系統(tǒng)負(fù)載過載3郵件服務(wù)器操作失誤研發(fā)部濫用權(quán)限木馬后門攻擊社會工程威脅網(wǎng)絡(luò)病毒傳播維護(hù)錯誤未授權(quán)訪問系統(tǒng)資源未授權(quán)訪問資源4VPN服務(wù)器操作失誤研發(fā)部濫用權(quán)限木馬后門攻擊社會工程威脅網(wǎng)絡(luò)病毒傳播維護(hù)錯誤未授權(quán)訪問系統(tǒng)資源未授權(quán)訪問資源5OA服務(wù)器操作失誤研發(fā)部濫用權(quán)限木馬后門攻擊社會工程威脅網(wǎng)絡(luò)病毒傳播維護(hù)錯誤未授權(quán)訪問系統(tǒng)資源未授權(quán)訪問資源6磁盤陣列維護(hù)錯誤研發(fā)部7核心路由操作失誤研發(fā)部維護(hù)錯誤未授權(quán)訪問網(wǎng)絡(luò)資源嗅探系統(tǒng)安全配置數(shù)據(jù)如賬戶、口令、權(quán)限等原發(fā)抵賴8病毒服務(wù)器操作失誤研發(fā)部木馬后門攻擊設(shè)備硬件故障網(wǎng)絡(luò)病毒傳播維護(hù)錯誤未授權(quán)訪問系統(tǒng)資源系統(tǒng)負(fù)載過載原發(fā)抵賴9核心交換機操作失誤研發(fā)部維護(hù)錯誤原發(fā)抵賴10數(shù)據(jù)中心交換機操作失誤研發(fā)部維護(hù)錯誤原發(fā)抵賴11無線AP操作失誤研發(fā)部維護(hù)錯誤未授權(quán)訪問網(wǎng)絡(luò)資源嗅探系統(tǒng)安全配置數(shù)據(jù)如賬戶、口令、權(quán)限等原發(fā)抵賴12個人PC操作失誤研發(fā)部維護(hù)錯誤未授權(quán)訪問網(wǎng)絡(luò)資源嗅探系統(tǒng)安全配置數(shù)據(jù)如賬戶、口令、權(quán)限等原發(fā)抵賴13移動硬盤操作失誤研發(fā)部維護(hù)錯誤  重要軟件資產(chǎn)威脅識別表重要資產(chǎn)威脅識別表 軟件資產(chǎn)序號資產(chǎn)名稱威脅類部門1Linux系統(tǒng)系統(tǒng)軟件故障研發(fā)部應(yīng)用軟件故障操作失誤維護(hù)錯誤越權(quán)或濫用篡改2MySQL數(shù)據(jù)庫數(shù)據(jù)庫軟件故障研發(fā)部操作失誤維護(hù)錯誤越權(quán)或濫用篡改3Vmware虛擬化軟件應(yīng)用軟件故障研發(fā)部操作失誤維護(hù)錯誤越權(quán)或濫用篡改4Apache軟件應(yīng)用軟件故障研發(fā)部操作失誤維護(hù)錯誤越權(quán)或濫用篡改5Cacti監(jiān)控軟件應(yīng)用軟件故障研發(fā)部操作失誤維護(hù)錯誤6Maven項目管理工具應(yīng)用軟件故障研發(fā)部操作失誤維護(hù)錯誤7Svn版本管理工具應(yīng)用軟件故障研發(fā)部操作失誤維護(hù)錯誤 重要服務(wù)資產(chǎn)威脅識別表重要資產(chǎn)威脅識別表 服務(wù)資產(chǎn)序號資產(chǎn)名稱威脅類部門1DNS服務(wù)濫用權(quán)限泄漏秘密信息研發(fā)部數(shù)據(jù)篡改探測竊密未授權(quán)訪問未授權(quán)訪問系統(tǒng)資源用戶或業(yè)務(wù)數(shù)據(jù)的竊取2VPN服務(wù)篡改用戶或業(yè)務(wù)數(shù)據(jù)信息研發(fā)部控制和破壞用戶或業(yè)務(wù)數(shù)據(jù)濫用權(quán)限泄漏秘密信息數(shù)據(jù)篡改探測竊密未授權(quán)訪問3郵件服務(wù)篡改用戶或業(yè)務(wù)數(shù)據(jù)信息研發(fā)部控制和破壞用戶或業(yè)務(wù)數(shù)據(jù)濫用權(quán)限泄漏秘密信息數(shù)據(jù)篡改探測竊密未授權(quán)訪問未授權(quán)訪問系統(tǒng)資源用戶或業(yè)務(wù)數(shù)據(jù)的竊取4病毒服務(wù)篡改用戶或業(yè)務(wù)數(shù)據(jù)信息研發(fā)部控制和破壞用戶或業(yè)務(wù)數(shù)據(jù)濫用權(quán)限泄漏秘密信息數(shù)據(jù)篡改探測竊密未授權(quán)訪問未授權(quán)訪問系統(tǒng)資源5OA辦公自動化系統(tǒng)篡改用戶或業(yè)務(wù)數(shù)據(jù)信息研發(fā)部控制和破壞用戶或業(yè)務(wù)數(shù)據(jù)濫用權(quán)限泄漏秘密信息數(shù)據(jù)篡改探測竊密未授權(quán)訪問未授權(quán)訪問系統(tǒng)資源用戶或業(yè)務(wù)數(shù)據(jù)的竊取 重要數(shù)據(jù)和文檔資產(chǎn)威脅識別表重要資產(chǎn)威脅識別表 數(shù)據(jù)和文檔序號資產(chǎn)名稱威脅類部門1網(wǎng)絡(luò)結(jié)構(gòu)相關(guān)技術(shù)資料濫用權(quán)限研發(fā)部未授權(quán)訪問資源 重要人力資源資產(chǎn)威脅識別表重要資產(chǎn)威脅識別表 人力資源序號資產(chǎn)名稱威脅類部門1網(wǎng)絡(luò)管理員（張三）社會工程威脅 研發(fā)部2網(wǎng)絡(luò)管理員（李四）社會工程威脅研發(fā)部 重要物理環(huán)境資產(chǎn)威脅識別表重要資產(chǎn)威脅識別表 物理環(huán)境序號資產(chǎn)名稱威脅類部門1總機房電磁干擾研發(fā)部訪問控制策略管理不當(dāng) 脆弱性識別 脆弱性識別內(nèi)容和方法脆弱性識別小組針對不同類型的重要資產(chǎn)分組進(jìn)行脆弱性分析，對網(wǎng)絡(luò)設(shè)備、主機、數(shù)據(jù)庫、應(yīng)用程序進(jìn)行了掃描，對網(wǎng)絡(luò)設(shè)備、主機、數(shù)據(jù)庫進(jìn)行了配置核查，對安全管理進(jìn)行了現(xiàn)場走訪，發(fā)放了調(diào)查問卷，脆弱性識別小組最后進(jìn)行匯總并確認(rèn)，報項目負(fù)責(zé)人批準(zhǔn)形成資產(chǎn)脆弱性匯總表。 在脆弱性識別過程中我們使用的掃描工具包括A公司的B型漏洞掃描器、應(yīng)用層漏洞掃描器。 脆弱性識別結(jié)果 重要資產(chǎn)脆弱性匯總表序號資產(chǎn)名稱脆弱性名稱1防火墻安全保障設(shè)備的其它配置不當(dāng)安裝與維護(hù)缺乏管理缺少操作規(guī)程和職責(zé)管理未啟用日志功能2DNS服務(wù)器安裝與維護(hù)缺乏管理操作系統(tǒng)補丁未安裝操作系統(tǒng)的口令策略沒有啟用操作系統(tǒng)的賬戶鎖定策略沒有啟用操作系統(tǒng)開放多余服務(wù)缺少操作規(guī)程和職責(zé)管理未啟用日志功能3郵件服務(wù)器安裝與維護(hù)缺乏管理操作系統(tǒng)補丁未安裝操作系統(tǒng)的口令策略沒有啟用操作系統(tǒng)的帳戶鎖定策略沒有啟用操作系統(tǒng)開放多余服務(wù)缺少操作規(guī)程和職責(zé)管理4VPN服務(wù)器安裝與維護(hù)缺乏管理操作系統(tǒng)補丁未安裝操作系統(tǒng)的口令策略沒有啟用操作系統(tǒng)的帳戶鎖定策略沒有啟用操作系統(tǒng)開放多余服務(wù)缺少操作規(guī)程和職責(zé)管理5OA服務(wù)器安裝與維護(hù)缺乏管理操作系統(tǒng)補丁未安裝操作系統(tǒng)的口令策略沒有啟用操作系統(tǒng)的帳戶鎖定策略沒有啟用操作系統(tǒng)開放多余服務(wù)缺少操作規(guī)程和職責(zé)管理6磁盤陣列缺少操作規(guī)程和職責(zé)管理7核心路由安裝與維護(hù)缺乏管理沒有制定訪問控制策略日志及管理功能未啟用未備份配置文件或存放不當(dāng)8病毒服務(wù)器安裝與維護(hù)缺乏管理操作系統(tǒng)補丁未安裝操作系統(tǒng)的口令策略沒有啟用操作系統(tǒng)的賬戶鎖定策略沒有啟用操作系統(tǒng)開放多余服務(wù)缺少操作規(guī)程和職責(zé)管理未啟用日志功能9核心交換機安裝與維護(hù)缺乏管理日志及管理功能未啟用未備份配置文件或存放不當(dāng)10數(shù)據(jù)中心交換機安裝與維護(hù)缺乏管理日志及管理功能未啟用未備份配置文件或存放不當(dāng)11無線AP安裝與維護(hù)缺乏管理日志及管理功能未啟用未備份配置文件或存放不當(dāng)12個人PC安裝與維護(hù)缺乏管理日志及管理功能未啟用未備份配置文件或存放不當(dāng)13移動硬盤安裝與維護(hù)缺乏管理14Linux系統(tǒng)安裝與維護(hù)缺乏管理未備份配置文件或存放不當(dāng)日志及管理功能未啟用操作系統(tǒng)補丁未安裝操作系統(tǒng)的口令策略沒有啟用操作系統(tǒng)的帳戶鎖定策略沒有啟用操作系統(tǒng)開放多余服務(wù)缺少操作規(guī)程和職責(zé)管理15MySQL數(shù)據(jù)庫安裝與維護(hù)缺乏管理缺少操作規(guī)程和職責(zé)管理16Vmware虛擬化軟件安裝與維護(hù)缺乏管理缺少操作規(guī)程和職責(zé)管理17Apache軟件安裝與維護(hù)缺乏管理缺少操作規(guī)程和職責(zé)管理18Cacti監(jiān)控軟件安裝與維護(hù)缺乏管理缺少操作規(guī)程和職責(zé)管理19Maven項目管理工具安裝與維護(hù)缺乏管理缺少操作規(guī)程和職責(zé)管理20Svn版本管理工具安裝與維護(hù)缺乏管理缺少操作規(guī)程和職責(zé)管理21DNS服務(wù)未設(shè)置用戶登錄失敗門限與超過門限后的處理