信息安全評估實例

信息安全風險評估實例本章概要：之前介紹了信息安全風險評估的基本過程，本章以某信息系統(tǒng)為例詳細介紹信息安全風險評估的實施過程。依據GB/T20984—2007《信息安全技術信息安全風險評估規(guī)范》和信息安全風險評估的基本過程，將信息安全風險評估的實施過程分為評估準備、識別并評價資產、識別并評估威脅、識別并評估脆弱性、分析可能性和影響、風險計算、風險處理、編寫信息安全風險評估報告等階段。本秤章董目我錄1評大估薦準收備2識蜓別結并攝評染價遞資置產3識澆別暖并身評肝估健威掀脅4識喬別簽并霉評品估越脆譜弱蕩性5分貢析鎮(zhèn)可駱能傾性匠和鹿影猛響6風非險辦計槐算7風障險愚處謎理8編辮寫嗚信肚息卡安睛全棒風帥險飽評溜估鞭報帆告上悼機傅實婆驗1評谷估梁準織備依叛據G披B逝/喬T米2呀0黑9哭8牢4—2宣0惜0辮7端《信途息病安礎全細技勻術麻信椒息桌安洗全刷風真險瀉評邊估閣規(guī)俱范》，夢在泳風川險抬評泊估總實高施萍前遲，院應貫確斑定緩風徑險返評帖估棍的憂目槍標惡，關確休定斃評郵估尼范儀圍瞇，摧組配建悼評皂估衣管美理備與凡實善施何團迷隊廉，盞進港行塘系其統(tǒng)革調摸研墾，站確幸定竭評捆估叼依階據閣和酷方茄法恰，等制續(xù)定拋評擔估番方盤案它，屋獲完得秀最吳高樹管委理珍者穴的伯支店持堤。1霞.脖1確靠定檢信約息輪安軌全可風哈險遲評永估悉的飯目嫌標×?！列艂蛳⒚韵的懡y(tǒng)途風蔥險傲評執(zhí)估浙目歇標塌是石通堆過親風妖險象評午估育，膜分勻析與信挑息充系棍統(tǒng)君的歸安選全寺狀月況挪，貪全納面夜了育解多和效掌叢握轎信兇息搜系經統(tǒng)壁面腦臨投的肚安椒全良風椅險伙，晚評辭估秧信薦息姜系愚統(tǒng)絨的叮風粒險壇，既提快出票風東險紀控種制誤建桑議弟，轉為扇下準一挺步果完延善借管天理稀制稿度哀以蝕及棍今晚后踢的棗安統(tǒng)全博建藍設雹和送風筆險繞管虜理肺提貸供咳第康一疊手姓資彩料得。8床.愧1劃.喉2確寧定后信障息傳安昌全訓風鴉險薯評命估宇的冰范蒼圍既燦定愉的皇信館息蝦安掘全寇風既險億評卸估候可任能分只糧針涉對箱組恐織限全批部港資洲產處的歷一零個扣子可集條，烏評永估太范鈴圍媽必揮須隆明外確軟。通本竿次勤評慘估仗的立范明圍更包銜括盛該屑信瘦息砌系渡統(tǒng)院網抵絡夢、忙管預理興制稀度膠、租使沿用宜或堂管政理澡該嗓信建息銅系沒統(tǒng)跑的妙相沒關史人匪員威，漸以玻及粗由賞系吸統(tǒng)詳使盲用枕時速所條產映生溝的逃文低檔史、靜數洋據兇。8章.的1肺.漂3組溜建答適傍當劃的愛評績估篇管呀理覆與問實蓮施煤團汗隊組至建辯由唱該翻單飛位劃領溪導廈、薯風鮮險暮評漸估導專鋪家化、竟技幻玉術序專面家歉，飛以配及測各身管巾理然層葛、腔業(yè)碗務衣部湊門頸的鐘相嫩關政人歌員畏組睡成嗎風朝險漸評助估蜓小辰組盞，朱同晴時醫(yī)明卵確無規(guī)音定橫每天個振成護員費的某任挪務螺分論工。8仗.坡1箱.卷4進嗚行鄙系倡統(tǒng)顫調險研通腰過皆問名卷剝調吐查場、擦人銳員柄訪子談蛙、別現(xiàn)到場蘋考蹤蝶察除、征核潤查爸表紀等謹形離式宋，注對顯信這息漠系耗統(tǒng)君的拐業(yè)抱務基、汽組蟲織線結毯構恭、權管厚理王、役技巧術似等凝方慘面替進乏行旬調頑查虹。谷問弦卷是調廈查目、崗人亦員琴訪奸談槐的卻方隸式怨使夾用菊了《調誼查司表》，液調莖查匙了墾系慎統(tǒng)壟的副管漿理竊、慣設撞備抬、窗人斥員桐管堅理氣的謙情依況風，擴現(xiàn)棵場焦考駁察者、深核榮查置表愛的坐方預式駕考劍察剃了免設換備掘的靜具娛體薯位枕置午，蠶核糧查罩了占設蜘備筆的搬實象際皂配哲置骨等痰情版況稼，蝕得夜出勞有伍關騰信牌息乞系況統(tǒng)業(yè)的親描艇述武。8盼.其1副.州4木.彩1業(yè)敢務翼目蒼標筑和看業(yè)煤務蹦特擴性1．飯業(yè)喝務次目撞標×功×信忘息棟系類統(tǒng)仗主濫要兩負秘責反數牧據員的奮收校集嚴、披技秩術斬處準理防以科及泉預爪測泊分懷析典，峰為陳相捷關墳部菜門框提織供疏決剩策勵和被管烘理璃支綁持緞，深向筒社容會梢提替供琴公撞益貪服男務榮。2．桂業(yè)故務涂特礙性通幸過咬對總信嫂息這系勁統(tǒng)格的脈業(yè)腳務亮目集標膠的滑分兆析吩，損歸目納雄出粘以創(chuàng)下駕業(yè)掠務偏特族性您：⑴業(yè)邀務季種免類替多模，灘技刷術鵝型赴工貴作之與宜管善理棉型溜工罰作尚并利重雀；⑵業(yè)限務瓶不管可誓中吹斷竊性富低勁；⑶業(yè)畏務段保嶼密點性喚要眉求游低分；⑷業(yè)幫務烤基須本嶄不樣涉劉及護現(xiàn)腸金采流誰動克；⑸人跌員傍業(yè)故務等素拼質強要釘求遍高哀。8尚.菜1傍.倘4燃.訊2管雁理刺特寬性現(xiàn)尚有匪的愈規(guī)口章暮制該度源原年則梯性慚要釘求弊較虧多剪，惜可僵操護作哨性迷較著低芝，塞在華信擱息戰(zhàn)安零全雹管逝理何方抬面鏡偏換重號于暈技許術辣。8戶.誤1惠.引4端.梅3網匪絡墓特挨性×拜×信燃息欠系蘭統(tǒng)短的汽網雀絡欣拓畜撲阿結弦構畜圖橋如針圖8控-血1所販示晶。圖8藥-奇1網閣絡儉拓譜撲硬結述構炎圖8虧.核1哪.澇5評制估今依居據評正估初所抽遵挎循逼的利依列據吃如恰下譯：1梁.擴《信根息衡安傷全遺技虹術臣信預息鵲安洲全喉風匹險蘆評鋒估添規(guī)搶范》（G貸B滴/徑T首2往0些9迷8制4纏-夫2匆0策0債7）2寇.概《信衰息役技昆術中信今息渣技坐術悶安惑全踩管辰理兄指齒南》（G雜B欠/慌T避1也9炕7讓1存5勿-員2好0額0芬5）3燃.鑼《信楊息爽技經術界信爬息共安紙全屢管都理誕實壩用甘規(guī)晶則》（G闖B前/來T但1想9污7饅1耐6彼-渴2愧0嚷0輝5）2茄.困《信描息臟安落全項等茂級恥保育護冰管芒理麗辦識法》（壇公霸通鼓字[昂2梅0究0貪7美]部4泰3號恢）3麥.云《信鵲息脫安寶全延技困術滅信聰息州系吸統(tǒng)蕩安鏡全濟管校理耍要證求》（G茅B俯/綁T葛2柄0絞2優(yōu)6及9俱-械2竹0辛0糕6）8扎.蟲1肆.愈6信扣息年安腸全倡風磚險莊評內估傅項工目筆實假施蠶方宏案8綱.訂1陰.聞6碰.帖1項老目寇組苦織督機冒構項還目汽實走施場的最組區(qū)織搶機換構淡如芬下:項斜目質工閃程收領控導溪小炊組膏由襪受典測灘機齊構真主瓶管拌信膨息得安俱全凝的號領搞導引和北評欄估拴機急構抗領往導臣共議同兄組茅成僻。拆項俊目煮工辨程夏領條導頭小含組瘡定挽期售聽課取胖項吐目居工獄程習管膛理拌小譽組灑匯載報課整際個競項窯目色的掉進五展鑄情綁況飲和捎項走目你實吐施險關籍鍵百階轉段跨的筐成畫果嘩；昆項雄目腐實季施喊完礙畢遼之劣后隆，參領貫導驚小濕組是將枕根游據務整肅個園項銅目習的按成外果社情鑼況應，囑批王準渣并衡主匹持敏項材目興試撐點緣瑞總傍結鑄工稠作優(yōu)。項烘目迅工侍程落管炸理陵小獵組時由唱評墾估膽雙應方慶的譽項酷目刊負屆責墻人棒組喜成昆。借主語要年職餅責譯是暴審紡核捏確吵認畫項艇目悲實濫施衛(wèi)組幅制適定間的像現(xiàn)乳場映工逝作獨計抱劃湖，沫并旋監(jiān)破督竹項通目酒進腐展涌情壞況劑；切主煙持抗階谷段杏成第果詳匯諒報砌會壇議教；鐘做凍好傻協(xié)母調鹽工此作元，鬧保君證蔥項必目護的坦順出利絨執(zhí)圖行伐。項尖目激實棵施青組稱由兩評錘估謝專殲家籮、余評舍估居工繭程清師蜂及跑受室測衣機沫構榆的分安擦全梢管嫩理念員霸、吸網異絡淺管病理痰員泊和躬應酒用剛系底統(tǒng)攀分己析葡員短組醉成滋。蜂主掃要爺職汁責坑是魔制霜定帝詳訪細棚項爭目猾實匆施嚷計們劃侍，材根麗據鹿實遞施港計完劃供開顛展踐工踐作殊。質伶量雁控友制溫組們由鈔質蒸量憶控淘制矩人柏員忌組次成僵。幸主洽要蠟負灑責辦對紗各排個欣服梳務刃項薯目冊的裙實庸施森情打況舉進嘆行托質捐量羊控周制遷和障最堪終水的漁驗肉收堤。外吐聘介專援家京組俱由置有付經斧驗惜的貸專換家籍組擠成告。愧主姐要埋負廣責枯對凍項臉目對的趕方葉案挨分援析老、映實哭施鑼、槳步王驟咳、站關殲鍵融問蹦題膠的譜解酒決姿及戴新吸技遇術事的扔應縫用數提季供需思榜路濟、在指藝導匪和匹咨映詢營。8死.樸1薪.墻6緩.恢2項諷目別階帆段遇劃奇分本北次列風虜險登評便估襯項視目沃分偵項概目露準態(tài)備劫、盡現(xiàn)殿狀譽調摔研在、禮檢賴查螞與悄測趕試悲、倚分塘析怒評胡估細及紡編諸制憤評背估采報含告皆六窩個畢階軌段團，攪各德階斯段裹工奮作舟定躲義伙說怎明級如砌下幣：項貧目活準魄備出：敬項談目臨實士施脆前走期壺工柜作仁，咐包業(yè)括恨成董立雷項竿目絹組冶，法確傘定塞評坐估后范愿圍優(yōu)，誓制失定伙項熱目散實際施閃計擔劃薪，名收樸集闊整筒理智開咱發(fā)鬼各偉種隙評嗚估職工傷具狠等幟。傅工院作侄方每式磨：圖研木討裙會笑。情工紋作付成突果勾：《項免目成組新成住員扔信每息陷表》、《評玻估寒范兵圍練說可明》、《評緩估趴實銹施狂計綱劃》。現(xiàn)凡狀乞調饒研紀：軋通裁過撤訪提談辟調朵查蘿，譽收烈集后評叼估寫對宅象悶信暴息密。爸工才作眉方隨式濱：確訪插談率、評問晴卷旁調頸查銀。嫁工尾作若成佳果宅：《各工種偵系穩(wěn)統(tǒng)窮資睡料筆記舅錄礙表狂單》。檢鍋查魄與集測蛋試都：鑼手托工皮或徹工怖具穴檢闖查電及攝測包試作。困進醉行因資值產庸分鍬析蜘、昂威贏脅提分擺析抱和石脆彈弱如性熱掃昨描怠。葬工珍作泡方雜式炊：津訪些談視、剃問諸卷摧調謎查括、舟測那試怠、楚研吉討促會喜。召工錘作上成厘果提：《資主產梨評察估偵報短告》、《威君脅蛙評皮估秩報雁告》、《脆共弱貞性盞評掘估陳報個告》。ID任務名稱開始時間完成時間持續(xù)時間2007年5月2007年6月5-65-135-205-276-36-106-176-241項目準備5-85-1710d2現(xiàn)狀調研5-185-2711d3檢查與測試5-286-812d4分析評估6-96-179d5編制評估報告6-186-2811d分妖析散評楚估鎮(zhèn)：婚根先據拴相焰關擾標很準勻或斑實略踐狹經船驗鵲確飽定頌安貴全暑風上險證，廈并適給亡出囑整戶改景措巷施煤。竹工墾作險方州式萌：鞏訪恢談荒、片研當討綱會至。妨工冠作脹成火果陜：《安便全疊風防險苗分豎析震說藝明》。編志制考評槳估旦報咸告軌：貞完朵成姥最機終波評潤估昏報源告彎。顛工賄作絮方萬式夠：壞研坐討把會粘。政工煤作棗成盼果隙：《信搬息拳系刺統(tǒng)圍綜香合狐評賊估盲報買告》。表8咱-笛1宵×指×信鋪息就系酬統(tǒng)謙風搭險陶評哨估姿實梯施捉進肉度辟表8炊.級1暢.燥7獲討得持最外高晉管紋理五者編對襯信桿息積安鏈全斑風垮險細評槐估塔工界作羞的殃支傲持上花述閃所買有粗內課容挺得貞到繼了菠相肝關蒜管蔑理瓶者是的話批額準江，衫并芹對紀管僚理壯層捕和好員香工匹進尸行粱了乳傳枝達兇。8清.索2識庫別摩并猾評毛價辣資專產依菊據G豎B虎/泄T票2瓣0氣9售8灶4—2格0飼0潔7滾《信籍息瘋安裕全叢技忽術勸信械息弱安面全辮風脫險迫評跳估扯規(guī)夜范》和展第7章膝信墾息誘安祝全軍風白險客評幸估匹的符基減本傍過零程漫，晌對芒資簽產鼻進幼行繡分集類囑并窄按而照范資鍬產橫的云保糾密律性植、戀完它整孟性釋和嚴可巡壽用蔥性凍進盒行鏈賦漁值諸。8泛.渾2此.開1識臂別賭資崇產根衫據浮對×鎖×信附息廁系扁統(tǒng)股的拌調塞查兼分帳析獸，寫并伙結益合徑業(yè)劃務洋特禁點傾和胃系啊統(tǒng)司的臺安安全挪要音求揉，爆確懂定糠了河系鄰統(tǒng)怠需香要脊?；熳o載的距資蜂產濁，臥見貿表8路-注2。資產編號資產名稱型號A-01路由器-1CISCO3640A-02路由器-2華為NE40A-03交換機-1CATALYST4000A-04交換機-2CISCO3745A-05交換機-3CISCO2950A-06防火墻-1聯(lián)想網域SuperV-5318A-07防火墻-2聯(lián)想網域UTM-418DA-08防火墻-3網神Secgate3600-F3A-09防病毒服務器MACFEEA-10數據服務器HPDL380A-11應用服務器HPDL380A-12PC-1HPX8620A-13PC-2HPX8620A-14UPSChampin(20KW)A-15空調美的表8著-道2信拖息便系嘗統(tǒng)漆資向產芒列剝表8炮.系2蜜.跡2資讓產澤賦批值對扇識衫別貴的襖信聚息獵資水產顆，俘按許照寨資朗產殼的鈴不松同謙安蠻全蘆屬粗性屬，拳即頑保造密沸性棗、勁完暑整皺性饒和動可臂用晚性強的英重魂要榨性漏和放保布護部要達求繞，閃分幸別后對深資燥產撞的C市I尋A三餓性音予懲以乘賦良值代，注見糠表8液-份3，醒這競里變采賤用扣五破個憶等桐級旬。資產編號資產名稱型號保密性完整性可用性A-01路由器-1CISCO3640000A-02路由器-2華為NE40132A-03交換機-1CATALYST4000133A-04交換機-2CISCO3745133A-05交換機-3CISCO2950244A-06防火墻-1聯(lián)想網域SuperV-5318134A-07防火墻-2聯(lián)想網域UTM-418D124A-08防火墻-3網神Secgate3600-F3124A-09防病毒服務器MACFEE134A-11數據服務器HPDL380244A-12應用服務器HPDL380244A-14PC-1HPX8620144A-15PC-2HPX8620144A-16UPSChampin(20KW)145A-18空調美的124表8播-舊3資僅產C浩I惹A三東性礎等痕級鳳表8抓.濁2勁.歡3資宵產經價潮值根哪據姓資習產限保索密德性的、蠟完釋整旁性厲和奴可件用浴性騰的見不也同杜等伶級迫對貿其歡賦仇值嘴進容行抓加嫁權敏計復算遭得毒到架資切產潤的袋最謀終恰賦啟值求結凍果殖。晶加形權賴方唇法抵可毯根芝據輩組銅織捆的接業(yè)卷務耳特至點閑確股定介。維資使產尺價悟值組如譽表8紛-饑4所季示瓜。資產編號資產名稱安全屬性賦值權值資產價值保密性完整性可用性保密性完整性可用性A-01路由器-11110．10．50．41.0A-02路由器-21320．10．50．42.4A-03交換機-11330．10．30．62.8A-04交換機-21330．10．30．62.8A-05交換機-32440．10．30．63.8A-06防火墻-11340．10．20．73.5A-07防火墻-21240．10．40．52.9A-08防火墻-31240．10．40．52.9A-09防病毒服務器1340．10．30．63.4A-10數據服務器2440．10．40．53.8A-11應用服務器2440．10．40．53.8A-12PC-11440．10．40．53.7A-13PC-21440．10．40．53.7A-14UPS1450．10．30．64.3A-15空調1240．00．50．53.0表8拍-菌4資套產梢價肯值垃表8到.秧3識表別柴并互評葡估濾威脅脅在賠本白次役評孤估奔中猶，乏首鹽先拔收道集友系某統(tǒng)資所金面宿臨證的丘威辜脅布，夠然抖后腰對恒威庭脅置的殖來年源描和際行運為勇進矛行鐮分肚析獨。盆威堪脅國的壘收幼集純主免要講是利通但過撈問榜卷由調減查秒、譜人哈員碰訪辟談磚、境現(xiàn)娃場淡考扁察姥、考查釣看肚系永統(tǒng)言工截作標日版志霧以吵及首安湊全報事題件屆報鞋告虛或判記傭錄玩等鑒方可式撞進智行返，北同串時生使鋤用桌綠醋盟1美2醫(yī)0枯0態(tài)D酸-狂0肥2，管收革集底整叔個贊系銀統(tǒng)烏所真發(fā)咳生撒的蟲入蜜侵六檢乓測形記拾錄構。表8餓-垮5是炭本毀次雪評陜估硬分鬧析賭得產到踏的探威點脅剛列抓表接。威脅編號威脅類別描述

T-01硬件故障由于設備硬件故障導致對業(yè)務高效穩(wěn)定運行的影響。T-02未授權訪問因系統(tǒng)或網絡訪問控制不當引起的非授權訪問。T-03漏洞利用利用操作系統(tǒng)本身的漏洞導致的威脅。T-04操作失誤或維護錯誤由于應該執(zhí)行而沒有執(zhí)行相應的操作，或非故意地執(zhí)行了錯誤的操作，對系統(tǒng)造成影響。T-05木馬后門攻擊木馬后門攻擊T-06惡意代碼和病毒具有復制、自我傳播能力，對信息系統(tǒng)構成破壞的程序代碼。T-07原發(fā)抵賴不承認收到的信息和所作的操作。T-08權限濫用濫用自己的職權，做出泄露或破壞。T-09泄密通過竊聽、惡意攻擊的手段獲得系統(tǒng)秘密信息。T-10數據篡改通過惡意攻擊非授權修改信息，破壞信息的完整性。表8刺-鑰5陪×茫×信墨息爭系零統(tǒng)挽面史臨騰的爬威坊脅筒列傻表8看.翻4識宴別孝并踩評底估萌脆喚弱鄭性從秋技掀術作和協(xié)管隸理殺兩肝方河面藍對圖本登項把目趕的促脆豎弱帶性購進舞行襲評互估辦。類技安術膚脆愿弱方性方主愛要難是山通餃過情使務用極新光隙遠座程寒安爛全支評遠估書系勁統(tǒng)進撤行既系蛙統(tǒng)烤掃厭描聲。怎按谷照慕脆蒼弱賢性槽工誼具紛使售用驢計蜜劃沉，等使溜用薦掃栽描頭工逗具菠對攜主即機栗等才設煙備懼進雅行槳掃畢描掘，良查象找欣主帥機慌的箏系海統(tǒng)膠漏紐奉洞確、運數招據種庫答漏險洞嚷、禽共耽享咐資你源斧以按及址帳霉戶言使蜘用滔等返安坐全貴問繪題擔。澆在臭進艱行桐工素具找掃器描生之暑后歉，雄結踐合貼威洪脅鋪分援析草的酒內穩(wěn)容走，凍根路據純得屬出亭的屈原喝始摘記蔽錄昏，圖進灣行克整遙體賞分雹析肥。潛按駐照積各啊種卵管輕理挑調潤查怪表豎的渠安吉全臣管篩理秘要屋求斬對仍現(xiàn)涂有表的檔安去全吐管沸理書制危度油及捆其瞞執(zhí)起行轎情盜況辣進脹行咱檢坊查現(xiàn)，特發(fā)下現(xiàn)怖其槐中論的頭管醋理丑脆晴弱惠性都。表8床-腹6技打術留脆臘弱跨性摟評愿估首結久果資產名稱脆弱性ID脆弱性名稱脆弱性描述路由器-1VULN-01Cisco未設置密碼Cisco路由器未設置密碼，將允許攻擊者獲得網絡的更多信息VULN-02CISCOIOS界面被IPv4數據包阻塞通過發(fā)送不規(guī)則IPv4數據包可以阻塞遠程路由器。路由器-2VULN-03沒有制定訪問控制策略沒有制定訪問控制策略VULN-04安裝與維護缺乏管理安裝與維護缺乏管理交換機-1VULN-05日志及管理功能未啟用日志及管理功能未啟用交換機-2VULN-06CSCdz39284當發(fā)送畸形的SIP數據包時，可導致遠程的IOS癱瘓VULN-07CSCdw33027當發(fā)送畸形的SSH數據包時，可導致遠程的IOS癱瘓交換機-3VULN-08CSCds04747Cisco的IOS軟件有一個漏洞，允許獲得TCP的初始序列號VULN-09沒有配備ServicePasswordEncryption服務沒有配備ServicePasswordEncryption服務防火墻-1VULN-10安裝與維護缺乏管理安裝與維護缺乏管理VULN-11缺少操作規(guī)程和職責管理缺少操作規(guī)程和職責管理防火墻-2VULN-12防火墻開放端口增加防火墻開放端口增加VULN-13防火墻關鍵模塊失效防火墻關鍵模塊失效資產名稱脆弱性ID脆弱性名稱脆弱性描述防火墻-3VULN-14未啟用日志功能未啟用日志功能防病毒服務器VULN-15操作系統(tǒng)補丁未安裝未及時安裝補丁VULN-16設備不穩(wěn)定設備不穩(wěn)定VULN-17操作系統(tǒng)的口令策略沒有啟用操作系統(tǒng)的口令策略沒有啟用VULN-18操作系統(tǒng)開放多余服務操作系統(tǒng)開放多余服務數據服務器VULN-19缺少操作規(guī)程和職責管理缺少操作規(guī)程和職責管理VULN-20存在弱口令存在弱口令VULN-21操作系統(tǒng)補丁未安裝未及時安裝補丁VULN-22沒有訪問控制措施沒有訪問控制措施應用服務器VULN-23缺少操作規(guī)程和職責管理缺少操作規(guī)程和職責管理VULN-24存在弱口令存在弱口令VULN-25操作系統(tǒng)補丁未安裝未及時安裝補丁VULN-26Telnet漏洞未及時安裝補丁VULN-27可以通過SMB連接注冊表可以通過SMB連接注冊表PC-1VULN-28操作系統(tǒng)補丁未安裝未及時安裝補丁VULN-29使用NetBIOS探測Windows主機信息使用NetBIOS探測Windows主機信息PC-2VULN-30木馬和后門木馬和后門VULN-31SMBsharesaccessSMB登錄VULN-32弱口令弱口令UPSVULN-33設備不穩(wěn)定設備不穩(wěn)定空調VULN-34設備不穩(wěn)定設備不穩(wěn)定表8雖-語6技辭術膛脆具弱紛性瞎評傍估觸結貨果8明.暫5分膊析堪可陳能押性役和妖影景響8銅.設5炮.壯1分健析絞威附脅展發(fā)燈生絕的征頻番率威當脅糧發(fā)告生仰的說頻杠率齊需枝要臣根軋據牛威展脅賞、取脆質弱齡性椒和挎安江全慶措胡施晶來椒綜珍合子評興價丙。屯表8嗎-這7給深出擴了5個壯級嗓別便定個義概的梅描姨述勁。等級威脅頻率描述5很高大多數情況下幾乎不可避免或者可以證實發(fā)生過的頻率很高4高在大多數情況下很有可能會發(fā)生或者可以證實曾發(fā)生過3中在某種情況下可能會發(fā)生但未被證實發(fā)生過2低一般不太可能發(fā)生1很低幾乎不可能發(fā)生表8辛-諒7可自能它性匆級肥別原定伏義8殼.滔5羊.弊2分墨析牲脆軋弱婆性死嚴您重語程探度脆假弱尖性瓶嚴匠重慶程卵度察是僵指嘩威焰脅炭一錦次會成億功殘地儀利包用濁脆叔弱給性言后非對報組礙織曬造風成鳴的跪不爐期朱望差的鼓后抖果返或學損莫失煤的姨相饒對序等球級堆，秤表8托-鄉(xiāng)豐8給出出尾了5個這級厲別態(tài)定雞義輩的菌描雙述痕。等級嚴重程度描述5很高可引起系統(tǒng)持續(xù)中斷或永久關閉?？梢鸫硇畔⒒蚍盏闹卮髶p失4高可引起重要系統(tǒng)的中斷，或連接客戶損失或商業(yè)信任損失3中等能引起系統(tǒng)聲望的損害，或是對系統(tǒng)資源或服務的信任程度的降低，需要支付重要資源維修費2低對系統(tǒng)有一些很小的影響，只須很小的努力就可恢復系統(tǒng)1很低對系統(tǒng)幾乎沒有影響表8湊-虎8嚴訴重龜程箏度適定福義8嶼.燈6風坡險墨計唱算首嚼先酒建稼立筐資矮產雨、用威屋脅炎和淚脆裳弱品性渡關憑聯(lián)評，坊并決給備威拖脅的發(fā)嚇生迫的賭可全能趣性輔及件脆斗弱坊性稠嚴鍬重若程悉度訊賦吃值貸，志如本表8表-熊9所烘示限。在毯本欲項團目借中驢，鮮采鑒用7筍.朽8介纏紹戲的光矩含陣墻法布和櫻相斷乘堆法票進皺行鳴風比險礦計麥算仿。資產威脅威脅頻率脆弱性嚴重程度路由器-1未授權訪問2Cisco未設置密碼3漏洞利用5CISCOIOS界面被IPv4數據包阻塞3路由器-2未授權訪問2沒有制定訪問控制策略4操作失誤或維護錯誤2安裝與維護缺乏管理4交換機-1漏洞利用5日志及管理功能未啟用3交換機-2漏洞利用5CSCdz392843CSCdw330273交換機-3漏洞利用5CSCds047474沒有配備ServicePasswordEncryption服務4防火墻-1操作失誤或維護錯誤2安裝與維護缺乏管理5缺少操作規(guī)程和職責管理5防火墻-2未授權訪問1防火墻開放端口增加5防火墻關鍵模塊失效4防火墻-3原發(fā)抵賴3未啟用日志功能5病毒服務器惡意代碼或病毒3操作系統(tǒng)補丁未安裝5硬件故障1設備不穩(wěn)定5未授權訪問4操作系統(tǒng)的口令策略沒有啟用5木馬后門攻擊4操作系統(tǒng)開放多余服務4資產威脅威脅頻率脆弱性嚴重程度數據服務器操作失誤或維護錯誤2缺少操作規(guī)程和職責管理5未授權訪問4存在弱口令5惡意代碼或病毒3操作系統(tǒng)補丁未安裝5權限濫用4沒有訪問控制措施4應用服務器操作失誤或維護錯誤2缺少操作規(guī)程和職責管理5未授權訪問4存在弱口令5惡意代碼或病毒3操作系統(tǒng)補丁未安裝5漏洞利用5Telnet漏洞4可以通過SMB連接注冊表5PC-1惡意代碼或病毒3操作系統(tǒng)補丁未安裝5數據篡改3使用NetBIOS探測Windows主機信息5PC-2惡意代碼或病毒3木馬和后門5數據篡改3SMBsharesaccess4竊密4弱口令5UPS硬件故障1設備不穩(wěn)定5空調硬件故障1設備不穩(wěn)定5表8弱-創(chuàng)9資蔽產網、羊威寫脅筍、鴨脆資弱少性姨關龍聯(lián)阿表8長.賀6煮.攻1使胳用屈矩條陣逃法敬計厘算嗚風肢險利鉆用諒矩穩(wěn)陣棚法要，腔首壇先惕根驚據你表7棄-妙2慈1，抱計曉算洗安填全駁事暑件五發(fā)碑生填的徹可答能廁性狀，射再掃根怠據曉安總全許事掘件猶可逆能粗等產級帝劃驢分但表7嚷-津2澆2，父計換算桂安揀全敞事著件燃發(fā)鎮(zhèn)生梨的繞可著能服性典值綠等橫級辰。鵝根睬據侍安亂全逗事傷件菌發(fā)撐生槍損敗失慈矩糠陣籠表7喇-株2茫3，城計著算姿安歌全疲事忙件講的巨損腫失簽，決再榆根報據衡安例全憲事簡件漁損任失你等漏級番劃流分窗表7弊-烘2借4，摧計皮算腐安景全鳥事融件亦損需失慚等圖級井。臣根孝據君風花險削矩脂陣趣表7侄-詠2因5，自計綿算普風氏險勇風舞險無值濕。鉛最拜后教根津據救風萄險筑等捆級緣瑞劃您分教表7有-探2番6，吹確膝定煩風龍險竊等因級奧。琴所慰有燃計釘算躍結蝦果拒如首表8她-滾1斷0所妻示殲。資產資產價值威脅威脅頻率脆弱性嚴重程度安全事件可能性可能性等級安全事件損失損失等級風險值風險等級A-011T-022VULN-0131026282T-035VULN-02317462153A-022T-022VULN-034133123133T-042VULN-044133123133A-033T-035VULN-053174113173A-043T-035VULN-063174113173VULN-073174113173A-054T-035VULN-084204194204VULN-094204194204A-064T-042VULN-105174225234VULN-115174225234A-073T-021VULN-125143204163VULN-083T-073VULN-145204204204表8池-蠟1走0風飛險眠計額算惑表1資產資產價值威脅威脅頻率脆弱性嚴重程度安全事件可能性可能性等級安全事件損失損失等級風險值風險等級A-093T-063VULN-155204204204T-011VULN-165143204163T-024VULN-175225204234T-054VULN-184184153173A-104T-042VULN-195174225234T-024VULN-205225225255T-063VULN-215204225234T-084VULN-224184194204A-114T-042VULN-235174225234T-024VULN-245225225255T-063VULN-255204225234T-035VULN-264204194204VULN-275255225255A-124T-063VULN-285204225234T-103VULN-295204225234A-134T-063VULN-305204225234T-103VULN-314163194163T-094VULN-325225225255A-144T-011VULN-335143225204A-153T-011VULN-3451432041638著.鋼6還.蓋2使近用暢相央乘六法焰計糟算稼風之險使役用素相嘴乘詢法凱計咸算蒜風太險暮等蝦級架，菜計貌算棋結末果預如普表8下-魂1葉1風挖險列計媽算谷表2(右賣圖)所旋示丘。8級.臉7風欠險銀處吃理8男.膝7蓮.從1現(xiàn)塊存返風服險紛判逮斷內園容閉依存據丸風查險鑄評幕估蒸結豎果諒，墻假雨設窮風折險溫等殊級癥在4級謠以晨上制不盈可嗽接默受只，咸通刊過逃分遷析因，皮發(fā)乓現(xiàn)瞇有2哨1個甜不驚可漆接伙受扶風腿險信。唱分幸析臂結熔果駁如皮表8從-曾1屢2所售示否。資產ID0資產名稱威脅脆弱性風險等級是否可接受A-01路由器-1未授權訪問Cisco未設置密碼2是漏洞利用CISCOIOS界面被IPv4數據包阻塞3是A-02路由器-2未授權訪問沒有制定訪問控制策略3是操作失誤或維護錯誤安裝與維護缺乏管理3是A-03交換機-1漏洞利用日志及管理功能未啟用3是A-04交換機-2漏洞利用CSCdz392843是CSCdw330273是A-05交換機-3漏洞利用CSCds047474否沒有配備ServicePasswordEncryption服務4否A-06防火墻-1操作失誤或維護錯誤安裝與維護缺乏管理4否缺少操作規(guī)程和職責管理4否A-07防火墻-2未授權訪問防火墻開放端口增加3是防火墻關鍵模塊失效2是A-08防火墻-3原發(fā)抵賴未啟用日志功能4否A-09病毒服務器惡意代碼或病毒操作系統(tǒng)補丁未安裝4否硬件故障設備不穩(wěn)定3是未授權訪問操作系統(tǒng)的口令策略沒有啟用4否木馬后門攻擊操作系統(tǒng)開放多余服務3是表8冒-迎1導2風坐險懷接沒受福等慎級寧劃葡分笛表資產ID0資產名稱威脅脆弱性風險等級是否可接受A-10數據服務器操作失誤或維護錯誤缺少操作規(guī)程和職責管理4否未授權訪問存在弱口令5否惡意代碼或病毒操作系統(tǒng)補丁未安裝4否權限濫用沒有訪問控制措施4否A-11應用服務器操作失誤或維護錯誤缺少操作規(guī)程和職責管理4否未授權訪問存在弱口令5否惡意代碼或病毒操作系統(tǒng)補丁未安裝4否漏洞利用Telnet漏洞4否可以通過SMB連接注冊表5否A-12PC-1惡意代碼或病毒操作系統(tǒng)補丁未安裝4否數據篡改使用NetBIOS探測Windows主機信息4否A-13PC-2惡意代碼或病毒木馬和后門4否數據篡改SMBsharesaccess3是竊密弱口令5否A-14UPS硬件故障設備不穩(wěn)定4否A-15空調硬件故障設備不穩(wěn)定3是8舅.斜7風她險方處燙理8狀.湖7牢.濟2惰.煮1風柱險眼控拍制豎需妹求橫分絡析按剝照載系含統(tǒng)穴的攏風貓險貢等李級棉接妨受挑程輛度忽，滑通晶過緩對錘本猜信熔息攀系品統(tǒng)窯技助術士層仔面慈的梅安螞全酷功斥能宇、哄組效織另層燭面源的件安疏全足控感制膠和雙管愉理習層繳面朽的撲安暫全售對波策待進決行蓮分臘析劣描蔑述其，妥形之成誕已見有庸安環(huán)全營措刑施薪的刊需忍求忙分數析菜結水果罰，石如敗表8堡-郊1網3所落示郵。編號控制需求說明R1保障XXXX系統(tǒng)內網的正常運行。R2保障XXXX系統(tǒng)外網的正常運行。R3保障辦公用計算機系統(tǒng)正常運行。R4保障網站信息的正常發(fā)布。R5保證基本信息的保密性、完整性、可用性。表8件-襯1定3風回險珍控齡制摸需系求吉分嶺析兆表8姓.部7嬸.緩2躬.領2風閥險哲控爛制默目嚴標依奴據《風谷險廚接嗽受盼等袍級郊劃庫分媽表》（鈴表8咬-泥1勺2）腐、《風敢險賞控晌制貼需硬求嚇分僵析混表》（御表8蝴-財1踢3）素，維確蜓定悲風目險仔控萍制信目抖標殖，如場表8體-召1破4所耍示與。編號控制目標需求T1數據庫系統(tǒng)（內、外網數據庫服務器）R1、R2、R5T2網絡支撐系統(tǒng)（路由器、交換機、通信線路）R1、R2、R4、R5T3網絡安全系統(tǒng)（防病毒、防火墻、數據恢復、IDS、漏洞掃描）R1、R2、R4、R5T4網絡管理系統(tǒng)（CISCOWORKS、HPOPENVIEW）R1、R2、R4、R5T5網上信息發(fā)布系統(tǒng)（內、外網WEB服務器）R4T6終端系統(tǒng)（PC、筆記本電腦）R3T7介質及文檔（數據備份文檔等）R1、R2、R5表8淺-姜1霉4控攝制怠目接標8搖.堪7網.牽3控敘制從措燥施棚選液擇依繳據《風堂險豪控好制企需避求榨分赴析硬表》（鳳表8淘-騙1片3）見、《控焦制跳目宜標且表》（匆表8維-畜1陽4）沒，民針檢對張控益制霉目胞標厲，速綜政合溉考壇慮圍控饑制鞭成拘本可和套實景際憤的辱風惕險信控寫制駱需逮求弦，池建閱議掠采取取蜂適華當旅的?？赝浦票P措晴施趣，逆如冒表8葛-咽1佳5所不示摩。編號控制措施對應控制目標優(yōu)先級M1制定具體科室負責信息安全工作，明確人員及其分工。T1～T7高M2制定定期開展信息安全意識教育培訓的計劃并落實。T1～T7高M3對所屬的服務器和主機進行安全配置檢查，并重新配置安全策略。T1～T7高M4開啟重要服務器和主機的審計功能，并制定審計記錄的維護和分析流程。T1～T7高M5對內、外網的服務器默認配置進行必要的更改。T1～T7高M6制定具體的備份與恢復制度。T1、T7高M7制定具體的安全事件處理制度。T1～T7高M8對應用系統(tǒng)制定統(tǒng)一的完整性保護策略，并使用有效工具進行完整性約束。T1～T7高M9制定合理的資源分配策略，包括：最大并發(fā)連接數，最小并發(fā)連接數，單個用戶會話數量等。T1～T7高M10及時針對安全漏洞打補丁。T1～T7高M11對用戶文件制定統(tǒng)一的完整性保護策略，并使用有效工具進行完整性約束。T1～T7高M12完善對介質的管理。T7中M13制定操作層面的管理制度。T1～T7中M14使用清晰、耐久的標簽對線纜、插座進行標識；保證布線的合理性。T1～T7中M15對通信線路進行定期的檢查并記錄。T1～T7中M16解決機房的溫控問題。T1～T7中表8澤-秧1生5安釋全豆控鴉制坊措翅施言選走擇8停.括8編矛寫村信革息群安豪全吧風麻險蒼評黑估巡壽報凱告最汪后示，務編般寫扭記連錄×杰×信賊息蛛系頁統(tǒng)促風字險顯評對估僑過任程脆得目到嫂的市所吵有澤結煩果的迅風耳險情評軍估上報噴告塘，去完扒成孟對垃本鍛系舅統(tǒng)汪的告風查險網評士估勾。上遇機鋸實易驗實光驗安項優(yōu)目炭：典信趟息常安英全退風袋險姨評犯估實定驗壤目涼的伸：限掌卷握境信漫息午安獻全蔑風戶險敢評怒估累的圍過廚程錄。實孝驗溪環(huán)本境護：還具門體妖網碑絡賺信顧息心系扁統(tǒng)圈環(huán)戴境嗚。實役驗虜內輸容城：椅結衡合混具未體脈的猾信摟息球系諒統(tǒng)鋸評因估凱項每目罩，完鼠成降信乒息臘安擦全貫風恰險寒評遵估營，巨并揀編圖寫技各詞階佛段員報酬告暖。具尿體職步稿驟駛如況下薪：1．宿風范險帶評況估刻的懼準猴備裙工摔作耗。⑴纖確懸定考風雨險佳評掃估南的示目戰(zhàn)標辣；⑵淋確膜定顫風束險齡評插估愚的它范憑圍陽；⑶腫組槍建神適沖當俗的輩評床估華管紙理拿與尋實樹施痛團柴隊似；⑷珍進取行貌系盟統(tǒng)沫調趨研神；⑸救確現(xiàn)定豆評北估灣依現(xiàn)據斯和揚方澆法除；⑹毅獲敞得投最斤高引管販理桶者招對綁風描險旬評觀估告工用作繪的脆支閱持2．設識壟別溉并曬評勵價戴資臉產爐。在什劃右定耕的舉評南估劉范扔圍規(guī)內旬，情以塌網潛絡殊拓坐撲暑結摟構鐘圖媽的扔業(yè)共務牽系調統(tǒng)犬為居主統(tǒng)線角，棋列呆出陸所多有約網往絡揉上胸的舌物迎理飲資以產植、鋤軟賓件代資域產葵和鑄數嫩據抱資醒產忽，多形民成濟一叫個言信嬸息侍資兇產劣的籃清羊單夜。釋在之識籍別祖出虹所迅有躺信邊息施資俘產姓后視，作為面每質項螺資呀產筍賦俱值撤。銳對攝資臣產擊的調保評密皇性雷、棋完克整而性只和晌可憐用憤性北這堆三勵個苦安悼全呼屬蓬性碌分陷別排賦動值魯，稍根貧據貪三蛛個迷安固全更屬校性劈燕的辭權腐值跳計燈算菠資句產苗的啟價物值壟。箏形謙成《系罵統(tǒng)傳信茅息樸資軌產費識射別自清炸單》。陷確悔定狹關拒鍵卻資痛產均，按詳警細龜識魚別送關銹鍵準資僵產毀的剖安隱全挽屬刷性踐，待并畝對追關鞏鍵剝資妄產剪的內重膽要鋤性沃進器行慘賦看值零，歇形懸成《系丸統(tǒng)循重捧要抽信鑰息碰資債產雷評弊估興報艇告》。本就階錢段蟲所者采點用另的捆方獸法乘包模括糕：（1）管會謎議污：御召琴集男評晃估渡小萬組幻玉成容員卻和屯相白關設人虜員張進級行物資座產用分逝析繭會賭議廉；（2）鑼手弓工前記嫩錄蜘表掌格夢：晴通朱過妥資蜂產湖調竿查湯表趙的非填般寫競確包定釀信弊息撤資揪產親狀賞況稼。3．俯識民別青并脊評塌估轟威繭脅土。識快別復關產鍵季資邪產皂所喂面防臨燭的國威涂脅賢，稱及榴威鹽脅蒜對背資讀產殃所渠產峽生尋的駕影梁響漁。費形侵成《威咽脅富列甜表》。鑒本內階顏段濾所站采希用權的炊方司法麗包晝括常：（1）I河D開S采謠樣嫌分螺析竹。劫使鑼用I雨D較S，籍通陽過裕對時網架絡晃流棒量友進壞行漁不脖間都斷縮慧的煮分迷析氧，傻從烏中鉗發(fā)末現(xiàn)傭攻版擊耕、炎入戰(zhàn)侵圍或渡非緊法妙訪友問優(yōu)等廈行徒為毀。（2）富日主志柏分陣析休。智通但過未檢頂查程不府同銀來拘源店的每日涌志梁文可件述發(fā)遮現(xiàn)拒曾秘經艦發(fā)昂生面過璃的辣威萄脅規(guī)，鴿獲招取砌威悼脅愛信錘息只。（3）談人忘員流訪鉆談切。廣評既估僑小正組鄉(xiāng)豐成饅員巾與衛(wèi)規(guī)榮劃覺編否寫須人奪員箭及頭項屈目聯(lián)建溪設塵人廁員菌進教行載訪據談孩交令流慌。4．霞識扮別即并儀評經估族脆幣弱捉性介。從咐技毒術凡、趕管捉理錫和脾策點略循三昌個灘方煉面欠進僅行還脆誤弱撞性哄評味估烏，搜其桐中隆在用技仁術方揉面絹主暮要澆是竭通盲過親遠憤程當和客本穩(wěn)地哨兩香種汁方株式掃進落行大系朗統(tǒng)糞掃祖描醋、銀對僵網劫絡念設供備和院主歷機畜等注進冠行繳適句當控的禽人精工鉗抽筆查吐、省對版關存鍵休外殃網找服頸務門主射機鳴進切行賢遠尿程綱滲透呀測通試渠。橫管儉理轎脆顧弱勸性筐評缸估必方歸面冰主帝要萍對涉現(xiàn)鉤有掏的汪安輝全躲管當理總制吳度掘及畢其霜執(zhí)行呢情鈴況枝進救行散檢封查獨，漿發(fā)帳現(xiàn)循其緩中憂的摘管困理賠漏回洞鑰和踐不醫(yī)足步；做策機略肉脆觀弱艇性桿評銷估方墾面腦主譯要亡是重從劫整偉體駕網啊絡企安裹全憤的棋角李度命對淘現(xiàn)受有乖的夾網鞭絡鹽安構全銹策槳略櫻。進找行番全容局予性宜的膀評使估曾，慌它擁也瘡包害括醋了壩技伍術陡和辦管蘭理輪方歉面液的倉內邀容螺。吉脆問弱塊性財評歸估哨階糕段甩形氣成美文鎖檔《脆還弱圖性跳列司表》。此候階橫段縱所餃采貼用鞋的賭方振法往包筋括顫：（1）常利衰用鋸漏仰洞滅掃次描斤工取具倘進鏈行抵掃夏描貴；（2）蟲滲子透洞測刮試管；（3）汁各鍛類艦檢獵查勤列梁表爆。5．弊風鹿險宜分劇析休。通涌過鎮(zhèn)分愚析貓上庭面恩所狀評趴估頸的粘數負據宇，辨進腳行尤風晝險恥值拆計農算界，漫確療定訪風欄險蓄等洞級妖，導確置認導高理風融險患因駐素突，脊提雞出費整縫改紅意粉見低。流形鮮成《風雹險棵分乖析尿報去告》和《規(guī)叫劃谷整尸改洽意狗見》。息此悔階占段昨所親采籌用跡的疼方駐法父包菌括罩：（1）劍會各議及：題召賽集著評牢估夕小燈組截成寄員陡進并行串風戚險倍分患析刻會熟議棟。（2）做咨仍詢咳交朝流哀：乒評稀估銅小斬組侍成叮員切與嘴相座關倍人限員寇及電第誘三脖方認專鑒家進貴行炕訪趣談繡交易流莊。（3）附資賀料愈審暫查爛確些認萄：磁評冷估振小揭組申成喝員倉將涂對閘形禁成床的湊風蛾險戚分濱析報武告銀和士整陡改裹建碼議券進紗行呆審唯查打確街認迅。9、誰靜謝夜租四輝無劣鄰疤，妄荒稅居裹舊巖業(yè)年貧來。瘦。7艙月晚-或2極37乳月扒-惡2換3S壩u謀n體d多a船y袍,畢J偵u首l澆y桌3偉0瞞,允2浮0善2晶31染0、誰雨鹽中腹黃熱葉見樹奸，葵燈醉下炊白匪頭匯人禾。廳。0仍9僻:恒3秒8藝:啄3啄10晝9帥:旬3險8失:小3主10境9宏:似3倒87富/直3蛛0癢/霧2性0荒2鋼3蠅9喘:證3鐵8啞:攀3度1球A婆M1卸1、墳以濁我長獨意沈丑久優(yōu)，漿愧定君凍相恨見隊頻精。怪。7剛月樹-街2摔30酒9主:器3婦8帖:震3男10蠻9換:嫁3思8J衡u擺l疼-眾2吼33辱0抽-思J錫u曠l竭-釀2舊31恥2、相故楚人糠江俘海抽別返，局幾浪度隊隔葡山韻川誘。碌。0條9婚:椅3酬8哀:膚3鼻10肆9席:曉3冠8渡:險3截10醉9蜓:謠3仔8S柔u撓n擋d匪a弱y扮,趟J青u恩l暗y懷3悉0蕉,販2度0械2策31鍛3、混乍繡見焦翻勇疑衰夢炕，生相奏悲專各旅問鐮年補。戒。7谷月霞-昌2鉆37恥月裙-逼2閃30近9甘:吐3黨8悄:避3窩10傍9茅:邀3拳8晨:匙3軌1J跪u謹l曲y