【正文】 端口增加 5 防火墻關(guān)鍵模塊失效 4 防火墻 3 原發(fā)抵賴 3 未啟用日志功能 5 病毒服務(wù)器 惡意代碼或病毒 3 操作系統(tǒng)補(bǔ)丁未安裝 5 硬件故障 1 設(shè)備不穩(wěn)定 5 未授權(quán)訪問 4 操作系統(tǒng)的口令策略沒有啟用 5 木馬后門攻擊 4 操作系統(tǒng)開放多余服務(wù) 4 資產(chǎn) 威脅 威脅 頻率 脆弱性 嚴(yán)重 程度 數(shù)據(jù)服務(wù)器 操作失誤或維護(hù) 錯誤 2 缺少操作規(guī)程和職責(zé) 管理 5 未授權(quán)訪問 4 存在弱口令 5 惡意代碼或病毒 3 操作系統(tǒng)補(bǔ)丁未安裝 5 權(quán)限濫用 4 沒有訪問控制措施 4 應(yīng)用服務(wù)器 操作失誤或維護(hù) 錯誤 2 缺少操作規(guī)程和職責(zé) 管理 5 未授權(quán)訪問 4 存在弱口令 5 惡意代碼或病毒 3 操作系統(tǒng)補(bǔ)丁未安裝 5 漏洞利用 5 Tel漏洞 4 可以通過 SMB連接 注冊表 5 PC1 惡意代碼或病毒 3 操作系統(tǒng)補(bǔ)丁未安裝 5 數(shù)據(jù)篡改 3 使用 NetBIOS探測 Windows主機(jī)信息 5 PC2 惡意代碼或病毒 3 木馬和后門 5 數(shù)據(jù)篡改 3 SMB shares access 4 竊密 4 弱口令 5 UPS 硬件故障 1 設(shè)備不穩(wěn)定 5 空調(diào) 硬件故障 1 設(shè)備不穩(wěn)定 5 表 89 資產(chǎn)、威脅、脆弱性關(guān)聯(lián)表 使用矩 陣 法 計 算 風(fēng)險 利用矩陣法，首先根據(jù)表 721，計算安全事件發(fā)生的可能性，再根據(jù)安全事件可能等級劃分表 722，計算安全事件發(fā)生的可能性值等級?？梢鸫硇畔? 或服務(wù)的重大損失 4 高 可引起重要系統(tǒng)的中斷，或連接客戶損失或商業(yè)信 任損失 3 中等 能引起系統(tǒng)聲望的損害，或是對系統(tǒng)資源或服務(wù)的 信任程度的降低，需要支付重要資源維修費(fèi) 2 低 對系統(tǒng)有一些很小的影響，只須很小的努力就可恢 復(fù)系統(tǒng) 1 很低 對系統(tǒng)幾乎沒有影響 表 88 嚴(yán)重程度定義 風(fēng)險計算 首先建立資產(chǎn)、威脅和脆弱性關(guān)聯(lián)，并給威脅發(fā)生的可能性及脆弱性嚴(yán)重程度賦值，如表 89所示。 等級 威脅頻率 描述 5 很高 大多數(shù)情況下幾乎不可避免或者可以證實(shí)發(fā) 生過的頻率很高 4 高 在大多數(shù)情況下很有可能會發(fā)生或者可以證 實(shí)曾發(fā)生過 3 中 在某種情況下可能會發(fā)生但未被證實(shí)發(fā)生過 2 低 一般不太可能發(fā)生 1 很低 幾乎不可能發(fā)生 表 87 可能性級別定義 分析脆弱性嚴(yán)重程度 脆弱性嚴(yán)重程度是指威脅一次成功地利用脆弱性后對組織造成的不期望的后果或損失的相對等級，表 88給出了 5個級別定義的描述。 路由器 2 VULN03 沒有制定訪問控制策略 沒有制定訪問控制策略 VULN04 安裝與維護(hù)缺乏管理 安裝與維護(hù)缺乏管理 交換機(jī) 1 VULN05 日志及管理功能未啟用 日志及管理功能未啟用 交換機(jī) 2 VULN06 CSCdz39284 當(dāng)發(fā)送畸形的 SIP數(shù)據(jù)包 時，可導(dǎo)致遠(yuǎn)程的 IOS癱瘓 VULN07 CSCdw33027 當(dāng)發(fā)送畸形的 SSH數(shù)據(jù)包 時，可導(dǎo)致遠(yuǎn)程的 IOS癱瘓 交換機(jī) 3 VULN08 CSCds04747 Cisco的 IOS軟件有一個漏 洞，允許獲得 TCP的初始序 列號 VULN09 沒有配備 Service Password Encryption服務(wù) 沒有配備 Service Password Encryption服務(wù) 防火墻 1 VULN10 安裝與維護(hù)缺乏管理 安裝與維護(hù)缺乏管理 VULN11 缺少操作規(guī)程和職責(zé)管理 缺少操作規(guī)程和職責(zé)管理 防火墻 2 VULN12 防火墻開放端口增加 防火墻開放端口增加 VULN13 防火墻關(guān)鍵模塊失效 防火墻關(guān)鍵模塊失效 資產(chǎn)名稱 脆弱性 ID 脆弱性名稱 脆弱性描述 防火墻 3 VULN14 未啟用日志功能 未啟用日志功能 防病毒服務(wù)器 VULN15 操作系統(tǒng)補(bǔ)丁未安裝 未及時安裝補(bǔ)丁 VULN16 設(shè)備不穩(wěn)定 設(shè)備不穩(wěn)定 VULN17 操作系統(tǒng)的口令策略沒有啟用 操作系統(tǒng)的口令策略沒有啟用 VULN18 操作系統(tǒng)開放多余服務(wù) 操作系統(tǒng)開放多余服務(wù) 數(shù)據(jù)服務(wù)器 VULN19 缺少操作規(guī)程和職責(zé)管理 缺少操作規(guī)程和職責(zé)管理 VULN20 存在弱口令 存在弱口令 VULN21 操作系統(tǒng)補(bǔ)丁未安裝 未及時安裝補(bǔ)丁 VULN22 沒有訪問控制措施 沒有訪問控制措施 應(yīng)用服務(wù)器 VULN23 缺少操作規(guī)程和職責(zé)管理 缺少操作規(guī)程和職責(zé)管理 VULN24 存在弱口令 存在弱口令 VULN25 操作系統(tǒng)補(bǔ)丁未安裝 未及時安裝補(bǔ)丁 VULN26 Tel漏洞 未及時安裝補(bǔ)丁 VULN27 可以通過 SMB連接注冊表 可以通過 SMB連接注冊表 PC1 VULN28 操作系統(tǒng)補(bǔ)丁未安裝 未及時安裝補(bǔ)丁 VULN29 使用 NetBIOS探測 Windows主機(jī)信息 使用 NetBIOS探測 Windows主機(jī)信息 PC2 VULN30 木馬和后門 木馬和后門 VULN31 SMB shares access SMB登錄 VULN32 弱口令 弱口令 UPS VULN33 設(shè)備不穩(wěn)定 設(shè)備不穩(wěn)定 空調(diào) VULN34 設(shè)備不穩(wěn)定 設(shè)備不穩(wěn)定 表 86 技術(shù)脆弱性評估結(jié)果 分析可能性和影響 分析威脅發(fā)生的頻率 威脅發(fā)生的頻率需要根據(jù)威脅、脆弱性和安全措施來綜合評價。 按照各種管理調(diào)查表的安全管理要求對現(xiàn)有的安全管理制度及其執(zhí)行情況進(jìn)行檢查 ， 發(fā)現(xiàn)其中的管理脆弱性 。按照脆弱性工具使用計劃 ， 使用掃描工具對主機(jī)等設(shè)備進(jìn)行掃描 ， 查找主機(jī)的系統(tǒng)漏洞 、 數(shù)據(jù)庫漏洞 、 共享資源以及帳戶使用等安全問題 。 表 85 信息系統(tǒng)面臨的威脅列表 從技術(shù)和管理兩方面對本項(xiàng)目的脆弱性進(jìn)行評估 。 T09 泄密 通過竊聽、惡意攻擊的手段獲得系統(tǒng)秘密信息。 T07 原發(fā) 抵賴 不承認(rèn)收到的信息和所作的操作。 T04 操作失誤或維護(hù)錯誤 由于應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或非故意地執(zhí)行了錯誤的操作，對系統(tǒng)造成影響。 T02 未授權(quán)訪問 因系統(tǒng)或網(wǎng)絡(luò)訪問控制不當(dāng)引起的非授權(quán)訪問。 表 85是本次評估分析得到的威