【文章內(nèi)容簡介】 防火墻開放端口增加 VULN13 防火墻關(guān)鍵模塊失效 防火墻關(guān)鍵模塊失效 資產(chǎn)名稱 脆弱性 ID 脆弱性名稱 脆弱性描述 防火墻 3 VULN14 未啟用日志功能 未啟用日志功能 防病毒服務(wù)器 VULN15 操作系統(tǒng)補丁未安裝 未及時安裝補丁 VULN16 設(shè)備不穩(wěn)定 設(shè)備不穩(wěn)定 VULN17 操作系統(tǒng)的口令策略沒有啟用 操作系統(tǒng)的口令策略沒有啟用 VULN18 操作系統(tǒng)開放多余服務(wù) 操作系統(tǒng)開放多余服務(wù) 數(shù)據(jù)服務(wù)器 VULN19 缺少操作規(guī)程和職責管理 缺少操作規(guī)程和職責管理 VULN20 存在弱口令 存在弱口令 VULN21 操作系統(tǒng)補丁未安裝 未及時安裝補丁 VULN22 沒有訪問控制措施 沒有訪問控制措施 應(yīng)用服務(wù)器 VULN23 缺少操作規(guī)程和職責管理 缺少操作規(guī)程和職責管理 VULN24 存在弱口令 存在弱口令 VULN25 操作系統(tǒng)補丁未安裝 未及時安裝補丁 VULN26 Tel漏洞 未及時安裝補丁 VULN27 可以通過 SMB連接注冊表 可以通過 SMB連接注冊表 PC1 VULN28 操作系統(tǒng)補丁未安裝 未及時安裝補丁 VULN29 使用 NetBIOS探測 Windows主機信息 使用 NetBIOS探測 Windows主機信息 PC2 VULN30 木馬和后門 木馬和后門 VULN31 SMB shares access SMB登錄 VULN32 弱口令 弱口令 UPS VULN33 設(shè)備不穩(wěn)定 設(shè)備不穩(wěn)定 空調(diào) VULN34 設(shè)備不穩(wěn)定 設(shè)備不穩(wěn)定 表 86 技術(shù)脆弱性評估結(jié)果 分析可能性和影響 分析威 脅發(fā) 生的 頻 率 威 脅發(fā) 生的 頻 率需要根據(jù)威 脅 、脆弱性和安全措施 來綜 合 評 價。表 87給 出了 5個級別 定 義 的描述。 等級 威脅頻率 描述 5 很高 大多數(shù)情況下幾乎不可避免或者可以證實發(fā) 生過的頻率很高 4 高 在大多數(shù)情況下很有可能會發(fā)生或者可以證 實曾發(fā)生過 3 中 在某種情況下可能會發(fā)生但未被證實發(fā)生過 2 低 一般不太可能發(fā)生 1 很低 幾乎不可能發(fā)生 表 87 可能性級別定義 分析脆弱性嚴重程度 脆弱性嚴重程度是指威脅一次成功地利用脆弱性后對組織造成的不期望的后果或損失的相對等級，表 88給出了 5個級別定義的描述。 等級 嚴重程度 描述 5 很高 可引起系統(tǒng)持續(xù)中斷或永久關(guān)閉?？梢鸫硇畔? 或服務(wù)的重大損失 4 高 可引起重要系統(tǒng)的中斷，或連接客戶損失或商業(yè)信 任損失 3 中等 能引起系統(tǒng)聲望的損害，或是對系統(tǒng)資源或服務(wù)的 信任程度的降低，需要支付重要資源維修費 2 低 對系統(tǒng)有一些很小的影響，只須很小的努力就可恢 復(fù)系統(tǒng) 1 很低 對系統(tǒng)幾乎沒有影響 表 88 嚴重程度定義 風險計算 首先建立資產(chǎn)、威脅和脆弱性關(guān)聯(lián)，并給威脅發(fā)生的可能性及脆弱性嚴重程度賦值，如表 89所示。 在本項目中，采用 風險計算。 資產(chǎn) 威脅 威脅 頻率 脆弱性 嚴重 程度 路由器 1 未授權(quán)訪問 2 Cisco未設(shè)置密碼 3 漏洞利用 5 CISCO IOS界面被 IPv4數(shù)據(jù)包阻塞 3 路由器 2 未授權(quán)訪問 2 沒有制定訪問控制策略 4 操作失誤或 維護錯誤 2 安裝與維護缺乏管理 4 交換機 1 漏洞利用 5 日志及管理功能未啟用 3 交換機 2 漏洞利用 5 CSCdz39284 3 CSCdw33027 3 交換機 3 漏洞利用 5 CSCds04747 4 沒有配備 Service Password Encryption服務(wù) 4 防火墻 1 操作失誤或 維護錯誤 2 安裝與維護缺乏管理 5 缺少操作規(guī)程和職責管理 5 防火墻 2 未授權(quán)訪問 1 防火墻開放端口增加 5 防火墻關(guān)鍵模塊失效 4 防火墻 3 原發(fā)抵賴 3 未啟用日志功能 5 病毒服務(wù)器 惡意代碼或病毒 3 操作系統(tǒng)補丁未安裝 5 硬件故障 1 設(shè)備不穩(wěn)定 5 未授權(quán)訪問 4 操作系統(tǒng)的口令策略沒有啟用 5 木馬后門攻擊 4 操作系統(tǒng)開放多余服務(wù) 4 資產(chǎn) 威脅 威脅 頻率 脆弱性 嚴重 程度 數(shù)據(jù)服務(wù)器 操作失誤或維護 錯誤 2 缺少操作規(guī)程和職責 管理 5 未授權(quán)訪問 4 存在弱口令 5 惡意代碼或病毒 3 操作系統(tǒng)補丁未安裝 5 權(quán)限濫用 4 沒有訪問控制措施 4 應(yīng)用服務(wù)器 操作失誤或維護 錯誤 2 缺少操作規(guī)程和職責 管理 5 未授權(quán)訪問 4 存在弱口令 5 惡意代碼或病毒 3 操作系統(tǒng)補丁未安裝 5 漏洞利用 5 Tel漏洞 4 可以通過 SMB連接 注冊表 5 PC1 惡意代碼或病毒 3 操作系統(tǒng)補丁未安裝 5 數(shù)據(jù)篡改 3 使用 NetBIOS探測 Windows主機信息 5 PC2 惡意代碼或病毒 3 木馬和后門 5 數(shù)據(jù)篡改 3 SMB shares access 4 竊密 4 弱口令 5 UPS 硬件故障 1 設(shè)備不穩(wěn)定 5 空調(diào) 硬件故障 1 設(shè)備不穩(wěn)定 5 表 89 資產(chǎn)、威脅、脆弱性關(guān)聯(lián)表 使用矩 陣 法 計 算 風險 利用矩陣法，首先根據(jù)表 721，計算安全事件發(fā)生的可能性，再根據(jù)安全事件可能等級劃分表 722，計算安全事件發(fā)生的可能性值等級。根據(jù)安全事件發(fā)生損失矩陣表 723，計算安全事件的損失，再根據(jù)安全事件損失等級劃分表 724，計算安全事件損失等級。根據(jù)風險矩陣表 725，計算風險風險值。最后根據(jù)風險等級劃分表 726，確定風險等級。所有計算結(jié)果如表 810所示。 資產(chǎn) 資產(chǎn) 價值 威脅 威脅 頻率 脆弱性 嚴重 程度 安全事件 可能性 可能性 等級 安全事件 損失 損失 等級 風險 值 風險 等級 A01 1 T02 2 VULN01 3 10 2 6 2 8 2 T03 5 VULN02 3 17 4 6 2 15 3 A02 2 T02 2 VULN03 4 13 3 12 3 13 3 T04 2 VULN04 4 13 3 12 3 13 3 A03 3 T03 5 VULN05 3 17 4 11 3 17 3 A04 3 T03 5 VULN06 3 17 4 11 3 17 3 VULN07 3 17 4 11 3 17 3 A05 4 T03 5 VULN08 4 20 4 19 4 20 4 VULN09 4 20 4 19 4 20 4 A06 4 T04 2 VULN10 5 17 4 22 5 23 4 VULN11 5 17 4 22 5 23 4 A07 3 T02 1 VULN12 5 14 3 20 4 16 3 VULN13 4 11 2 15 3 9 2 A08 3 T07 3 VULN14 5 20 4 20 4 20 4 表 810 風險計算表 1 資產(chǎn) 資產(chǎn) 價值 威脅 威脅 頻率 脆弱性 嚴重 程度 安全事件 可能性 可能性 等級 安全事件 損失 損