【正文】 。 （ 2）咨詢交流：評估小組成員與相關(guān)人員及第三方專家 進行訪談交流。形成 《 風(fēng)險分析報告 》和 《 規(guī)劃整改意見 》 。 5． 風(fēng)險 分析。脆弱性評估階段形成文檔 《 脆弱性列表 》 。管理脆弱性評估方面主要對現(xiàn)有的安全管理制度及其執(zhí) 行情況進行檢查，發(fā)現(xiàn)其中的管理漏洞和不足；策略脆弱性評估 方面主要是從整體網(wǎng)絡(luò)安全的角度對現(xiàn)有的網(wǎng)絡(luò)安全策略。 4． 識別并評 估脆弱性。 （ 3）人員訪談。 （ 2）日志分析。本階段所采用的方法包括： （ 1） IDS采樣分析。 識別關(guān)鍵資產(chǎn)所面臨的威脅，及威脅對資產(chǎn)所產(chǎn)生的影響。 本階段所采用的方法包括： （ 1）會議：召集評估小組成員和相關(guān)人員進行資產(chǎn)分析會議； （ 2）手工記錄表格：通過資產(chǎn)調(diào)查表的填寫確定信息資產(chǎn)狀況。形成 《 系統(tǒng)信息資產(chǎn)識別清單 》 。在識別出所有信息資產(chǎn)后，為每項資產(chǎn)賦值。 ⑴ 確定 風(fēng)險評 估的目 標(biāo) ； ⑵ 確定 風(fēng)險評 估的范 圍 ； ⑶ 組 建適 當(dāng) 的 評 估管理 與實 施 團隊 ； ⑷ 進行系統(tǒng)調(diào)研； ⑸ 確定評估依據(jù)和方法； ⑹ 獲得最高管理者對風(fēng)險評估工作的支持 2． 識別并評 價 資產(chǎn) 。 T1～ T7 中 表 815 安全控制措施選擇 編寫 信息安全 風(fēng)險評 估 報 告 最后，編寫記錄 信息系統(tǒng)風(fēng)險評估過程得到的所有結(jié)果 的風(fēng)險評估報告，完成對本系統(tǒng)的風(fēng)險評估。 T1～ T7 中 M15 對通信線路進行定期的檢查并記錄。 T7 中 M13 制定操作層面的管理制度。 T1～ T7 高 M11 對用戶文件制定統(tǒng)一的完整性保護策略，并使用有效工具進行完整性約束。 T1～ T7 高 M9 制定合理的資源分配策略，包括：最大并發(fā)連接數(shù)，最小并發(fā)連接數(shù)，單個用戶會話數(shù)量等。 T T7 高 M7 制定具體的安全事件處理制度。 T1～ T7 高 M5 對內(nèi)、外網(wǎng)的服務(wù)器默認配置進行必要的更改。 T1～ T7 高 M3 對所屬的服務(wù)器和主機進行安全配置檢查，并重新配置安全策略。 編號 控制措施 對應(yīng)控制目標(biāo) 優(yōu)先級 M1 制定具體科室負責(zé)信息安全工作，明確人員及其分工。 表 813 風(fēng)險控制需求分析表 風(fēng)險 控制目 標(biāo) 依據(jù) 《 風(fēng)險接受等級劃分表 》 （表 812）、 《 風(fēng)險控制需求分析表 》 （表 813），確定風(fēng)險控制目標(biāo)， 如表 814所示。 R4 保障網(wǎng)站信息的正常發(fā)布。 R2 保障 XXXX系統(tǒng)外網(wǎng)的正常運行。 資產(chǎn) ID0 資產(chǎn)名稱 威脅 脆弱性 風(fēng)險 等級 是否可 接受 A01 路由器 1 未授權(quán)訪問 Cisco未設(shè)置密碼 2 是 漏洞利用 CISCO IOS界面被 IPv4數(shù)據(jù)包阻塞 3 是 A02 路由器 2 未授權(quán)訪問 沒有制定訪問控制策略 3 是 操作失誤或維護錯誤 安裝與維護缺乏管理 3 是 A03 交換機 1 漏洞利用 日志及管理功能未啟用 3 是 A04 交換機 2 漏洞利用 CSCdz39284 3 是 CSCdw33027 3 是 A05 交換機 3 漏洞利用 CSCds04747 4 否 沒有配備 Service Password Encryption服務(wù) 4 否 A06 防火墻 1 操作失誤或維護錯誤 安裝與維護缺乏管理 4 否 缺少操作規(guī)程和職責(zé)管理 4 否 A07 防火墻 2 未授權(quán)訪問 防火墻開放端口增加 3 是 防火墻關(guān)鍵模塊失效 2 是 A08 防火墻 3 原發(fā)抵賴 未啟用日志功能 4 否 A09 病毒服務(wù)器 惡意代碼或病毒 操作系統(tǒng)補丁未安裝 4 否 硬件故障 設(shè)備不穩(wěn)定 3 是 未授權(quán)訪問 操作系統(tǒng)的口令策略沒有啟用 4 否 木馬后門攻擊 操作系統(tǒng)開放多余服務(wù) 3 是 ?表 812 風(fēng)險接受等級劃分表 資產(chǎn) ID0 資產(chǎn)名稱 威脅 脆弱性 風(fēng)險 等級 是否可 接受 A10 數(shù)據(jù)服務(wù)器 操作失誤或維護錯誤 缺少操作規(guī)程和職責(zé)管理 4 否 未授權(quán)訪問 存在弱口令 5 否 惡意代碼或病毒 操作系統(tǒng)補丁未安裝 4 否 權(quán)限濫用 沒有訪問控制措施 4 否 A11 應(yīng)用服務(wù)器 操作失誤或維護錯誤 缺少操作規(guī)程和職責(zé)管理 4 否 未授權(quán)訪問 存在弱口令 5 否 惡意代碼或病毒 操作系統(tǒng)補丁未安裝 4 否 漏洞利用 Tel漏洞 4 否 可以通過 SMB連接注冊表 5 否 A12 PC1 惡意代碼或病毒 操作系統(tǒng)補丁未安裝 4 否 數(shù)據(jù)篡改 使用 NetBIOS探測 Windows主機信息 4 否 A13 PC2 惡意代碼或病毒 木馬和后門 4 否 數(shù)據(jù)篡改 SMB shares access 3 是 竊密 弱口令 5 否 A14 UPS 硬件故障 設(shè)備不穩(wěn)定 4 否 A15 空調(diào) 硬件故障 設(shè)備不穩(wěn)定 3 是 風(fēng)險控制需求分析 按照系統(tǒng)的風(fēng)險等級接受程度，通過對本信息系統(tǒng)技術(shù)層面的安全功能、組織層面的安全控制和管理層面的安全對策進行分析描述，形成已有安全措施的需求分析結(jié)果，如表 813所示。 內(nèi)容依據(jù)風(fēng)險評估結(jié)果，假設(shè)風(fēng)險等級在 4級以上不可接受，通過分析，發(fā)現(xiàn)有21個不可接受風(fēng)險。所有計算結(jié)果如表 810所示。根據(jù)風(fēng)險矩陣表 725，計算風(fēng)險風(fēng)險值。 資產(chǎn) 威脅 威脅 頻率 脆弱性 嚴(yán)重 程度 路由器 1 未授權(quán)訪問 2 Cisco未設(shè)置密碼 3 漏洞利用 5 CISCO IOS界面被 IPv4數(shù)據(jù)包阻塞 3 路由器 2 未授權(quán)訪問 2 沒有制定訪問控制策略 4 操作失誤或 維護錯誤 2 安裝與維護缺乏管理 4 交換機 1 漏洞利用 5 日志及管理功能未啟用 3 交換機 2 漏洞利用 5 CSCdz39284 3 CSCdw33027 3 交換機 3 漏洞利用 5 CSCds04747 4 沒有配備 Service Password Encryption服務(wù) 4 防火墻 1 操作失誤或 維護錯誤 2 安裝與維護缺乏管理 5 缺少操作規(guī)程和職責(zé)管理 5 防火墻 2 未授權(quán)訪問 1 防火墻開放