精品文庫(kù)1111單位:1111系統(tǒng)安全項(xiàng)目信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告我們單位名日期歡迎下載精品文庫(kù)報(bào)告編寫人:日期：批準(zhǔn)人：日期 ：版本號(hào)：第一版本 日期第二版本 日期終板目錄1概述.................................................................................................................................................41.1項(xiàng)目背景................................................................................................................................41.2工作方法................................................................................................................................41.3評(píng)估范圍................................................................................................................................41.4基本信息................................................................................................................................42業(yè)務(wù)系統(tǒng)分析.................................................................................................................................52.1業(yè)務(wù)系統(tǒng)職能........................................................................................................................52.2網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)........................................................................................................................52.3邊界數(shù)據(jù)流向........................................................................................................................53資產(chǎn)分析.........................................................................................................................................53.1信息資產(chǎn)分析........................................................................................................................53.1.1信息資產(chǎn)識(shí)別概述............................................................................................................53.1.2信息資產(chǎn)識(shí)別....................................................................................................................64威脅分析.........................................................................................................................................64.1威脅分析概述........................................................................................................................64.2威脅分類................................................................................................................................74.3威脅主體................................................................................................................................74.4威脅識(shí)別................................................................................................................................85脆弱性分析.....................................................................................................................................8歡迎下載精品文庫(kù)5.1脆弱性分析概述....................................................................................................................85.2技術(shù)脆弱性分析....................................................................................................................95.2.1網(wǎng)絡(luò)平臺(tái)脆弱性分析........................................................................................................95.2.2操作系統(tǒng)脆弱性分析........................................................................................................95.2.3脆弱性掃描結(jié)果分析......................................................................................................掃描資產(chǎn)列表.........................................................................................................高危漏洞分析.........................................................................................................系統(tǒng)帳戶分析.........................................................................................................應(yīng)用帳戶分析.........................................................................................................105.3管理脆弱性分析..................................................................................................................115.4脆弱性識(shí)別..........................................................................................................................126風(fēng)險(xiǎn)分析.......................................................................................................................................136.1風(fēng)險(xiǎn)分析概述......................................................................................................................136.2資產(chǎn)風(fēng)險(xiǎn)分布......................................................................................................................136.3資產(chǎn)風(fēng)險(xiǎn)列表......................................................................................................................147系統(tǒng)安全加固建議.......................................................................................................................147.1管理類建議..........................................................................................................................147.2技術(shù)類建議..........................................................................................................................147.2.1安全措施..........................................................................................................................147.2.2網(wǎng)絡(luò)平臺(tái)..........................................................................................................................157.2.3操作系統(tǒng)..........................................................................................................................158制定及確認(rèn)...................................................................................................錯(cuò)誤！未定義書簽。9附錄A：脆弱性編號(hào)規(guī)則............................................................................................................17歡迎下載精品文庫(kù)概述1項(xiàng)目背景為了切實(shí)提高各系統(tǒng)的安全保障水平，更好地促進(jìn)各系統(tǒng)的安全建設(shè)工作，提升奧運(yùn)保障能力，需要增強(qiáng)對(duì)于網(wǎng)運(yùn)中心各系統(tǒng)的安全風(fēng)險(xiǎn)控制，發(fā)現(xiàn)系統(tǒng)安全風(fēng)險(xiǎn)并及時(shí)糾正。根據(jù)網(wǎng)絡(luò)與信息安全建設(shè)規(guī)劃，為了提高各系統(tǒng)的安全保障和運(yùn)營(yíng)水平，現(xiàn)提出系統(tǒng)安全加固與服務(wù)項(xiàng)目。2工作方法在本次安全風(fēng)險(xiǎn)評(píng)測(cè)中將主要采用的評(píng)測(cè)方法包括：人工評(píng)測(cè)；工具評(píng)測(cè)；調(diào)查問卷；顧問訪談。3評(píng)估范圍此次系統(tǒng)測(cè)評(píng)的范圍主要針對(duì)該業(yè)務(wù)系統(tǒng)所涉及的服務(wù)器、應(yīng)用、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、終端等資產(chǎn)。主要涉及以下方面：業(yè)務(wù)系統(tǒng)的應(yīng)用環(huán)境，；網(wǎng)絡(luò)及其主要基礎(chǔ)設(shè)施，例如路由器、交換機(jī)等；安全保護(hù)措施和設(shè)備，例如防火墻、IDS等；信息安全管理體系（ISMS）4基本信息被評(píng)估系統(tǒng)名稱 xx系統(tǒng)業(yè)務(wù)系統(tǒng)負(fù)責(zé)人評(píng)估工作配合人員歡迎下載精品文庫(kù)業(yè)務(wù)系統(tǒng)分析1業(yè)務(wù)系統(tǒng)職能2網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖表1業(yè)務(wù)系統(tǒng)拓?fù)浣Y(jié)構(gòu)圖3邊界數(shù)據(jù)流向編邊界類型路徑系統(tǒng)發(fā)起方數(shù)據(jù)流向現(xiàn)有安全措施邊界名稱號(hào)1.MDN系統(tǒng)類MDN本系統(tǒng)/雙向系統(tǒng)架構(gòu)隔離對(duì)端系統(tǒng)資產(chǎn)分析1信息資產(chǎn)分析信息資產(chǎn)識(shí)別概述資產(chǎn)是風(fēng)險(xiǎn)評(píng)估的最終評(píng)估對(duì)象。在一個(gè)全面的風(fēng)險(xiǎn)評(píng)估中，風(fēng)險(xiǎn)的所有重要因素都緊緊圍繞著資產(chǎn)為中心，威脅、脆弱性以及風(fēng)險(xiǎn)都是針對(duì)資產(chǎn)而客觀存在的。威脅利用資產(chǎn)自身的脆弱性使得安全事件的發(fā)生成為可能，從而形成了風(fēng)險(xiǎn)。這些安全事件一旦發(fā)生，將對(duì)資產(chǎn)甚至是整個(gè)系統(tǒng)都將造成一定的影響。資產(chǎn)被定義為對(duì)組織具有價(jià)值的信息或資源，資產(chǎn)識(shí)別的目標(biāo)就是識(shí)別出資產(chǎn)的價(jià)值，風(fēng)險(xiǎn)評(píng)估中資產(chǎn)的價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來衡量，而是由資產(chǎn)在其安全屬性——機(jī)密性、完整性和可用性上的達(dá)成程度或者其安全屬性未達(dá)成時(shí)所造成的影響程度來決定的。資產(chǎn)估價(jià)等級(jí)賦值高3中2低1歡迎下載精品文庫(kù)信息資產(chǎn)識(shí)別資產(chǎn)組資產(chǎn)資產(chǎn)分類IP地址/名稱估價(jià)組號(hào)資產(chǎn)編號(hào)具體資產(chǎn)等級(jí)H001sunultra60中物服務(wù)器1.H002sunultra60中H003sunultra60高理H004sunultra60高資N001華為3680E中產(chǎn)2.網(wǎng)絡(luò)設(shè)備N002華為3680E中N003華為S2016中軟操作系H001Solaris高H002Solaris高件統(tǒng)、數(shù)據(jù)3.H003Solaris高資庫(kù)和應(yīng)用H004Solaris高產(chǎn)軟件4.D001Sybase高威脅分析1威脅分析概述威脅是指可能對(duì)資產(chǎn)或組織造成損害事故的潛在原因。作為風(fēng)險(xiǎn)評(píng)估的重要因素，威脅是一個(gè)客觀存在的事物，無論對(duì)于多么安全的信息系統(tǒng)都存在。威脅可能源于對(duì)系統(tǒng)直接或間接的攻擊，例如信息泄漏、篡改、刪除等，在機(jī)密性、完整性或可用性等方面造成損害；威脅也可能源于偶發(fā)的、或蓄意的事件。按照威脅產(chǎn)生的來源，可以分為外部威脅和內(nèi)部威脅：（1）外部威脅：來自不可控網(wǎng)絡(luò)的外部攻擊，主要指移動(dòng)的CMNET、其它電信運(yùn)營(yíng)商的Internet互聯(lián)網(wǎng)，以及第三方的攻擊，其中互聯(lián)網(wǎng)的威脅主要是黑客攻擊、蠕蟲病毒等，而第三方的威脅主要是越權(quán)或?yàn)E用、泄密、篡改、惡意代碼或病毒等。（2）內(nèi)部威脅：主要來自內(nèi)部人員的惡意攻擊、無作為或操作失誤、越權(quán)或?yàn)E用、泄密、篡改等。另外，由于管理不規(guī)范導(dǎo)致各支撐系統(tǒng)之間的終端混用，也帶來病毒泛濫的潛在威脅。對(duì)每種威脅發(fā)生的可能性進(jìn)行分析，最終為其賦一個(gè)相對(duì)等級(jí)值，將根據(jù)經(jīng)驗(yàn)、有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來判斷威脅發(fā)生的頻率或者概率。威脅發(fā)生的可能性受下列因素影響：資產(chǎn)的吸引力；歡迎下載精品文庫(kù)資產(chǎn)轉(zhuǎn)化成報(bào)酬的容易程度；威脅的技術(shù)力量；脆弱性被利用的難易程度。下面是威脅標(biāo)識(shí)對(duì)應(yīng)表：威脅賦可控性可能帶來的威脅等級(jí)值3高黑客攻擊、惡意代碼和病毒完全不可控等2中物理攻擊、內(nèi)部人員的操作一定的可控性失誤、惡意代碼和病毒等低1內(nèi)部人員的操作失誤、惡意較大的可控性代碼和病毒等

發(fā)生頻度出現(xiàn)的頻率較高（或≥ 1次/月）；或在大多數(shù)情況下很有可能會(huì)發(fā)生；或可以證實(shí)多次發(fā)生過。出現(xiàn)的頻率中等（或>1次/半年）；或在某種情況下可能會(huì)發(fā)生；或被證實(shí)曾經(jīng)發(fā)生過。出現(xiàn)的頻率較??；或一般不太可能發(fā)生；或沒有被證實(shí)發(fā)生過。2威脅分類下面是針對(duì)威脅分類對(duì)威脅途徑的描述，其中不包括物理威脅：威脅種類威脅途徑操作錯(cuò)誤合法用戶工作失誤或疏忽的可能性濫用授權(quán)合法用戶利用自己的權(quán)限故意或非故意破壞系統(tǒng)的可能性行為抵賴合法用戶對(duì)自己操作行為否認(rèn)的可能性身份假冒非法用戶冒充合法用戶進(jìn)行操作的可能性密碼分析非法用戶對(duì)系統(tǒng)密碼分析的可能性安全漏洞非法用戶利用系統(tǒng)漏洞侵入系統(tǒng)的可能性拒絕服務(wù)非法用戶利用拒絕服務(wù)手段攻擊系統(tǒng)的可能性惡意代碼病毒、特洛伊木馬、蠕蟲、邏輯炸彈等感染的可能性竊聽數(shù)據(jù)非法用戶通過竊聽等手段盜取重要數(shù)據(jù)的可能性社會(huì)工程非法用戶利用社交等手段獲取重要信息的可能性意外故障系統(tǒng)的組件發(fā)生意外故障的可能性通信中斷數(shù)據(jù)通信傳輸過程中發(fā)生意外中斷的可能性3威脅主體下面對(duì)威脅來源從威脅主體的角度進(jìn)行了威脅等級(jí)分析：歡迎下載精品文庫(kù)威脅主體 面臨的威脅操作錯(cuò)誤系統(tǒng)合法用戶濫用授權(quán)（系統(tǒng)管理員和其他授權(quán)用戶）行為抵賴身份假冒密碼分析安全漏洞系統(tǒng)非法用戶拒絕服務(wù)（權(quán)限較低用戶和外部攻擊者）惡意代碼竊聽數(shù)據(jù)社會(huì)工程意外故障系統(tǒng)組件通信中斷4威脅識(shí)別序資產(chǎn)編號(hào)操濫行身密安拒惡竊社意通號(hào)作用為份碼全絕意聽會(huì)外信錯(cuò)授抵假分漏服代數(shù)工故中誤權(quán)賴冒析洞務(wù)碼據(jù)程障斷1.N0011222313122112.N0021222313122113.N0031222313122114.H0011121113112115.H0021121113112116.H0031121113112117.H0041121113112118.D001112221311211脆弱性分析1脆弱性分析概述脆弱性是指資產(chǎn)或資產(chǎn)組中能被威脅所利用的弱點(diǎn)，它包括物理環(huán)境、組織機(jī)構(gòu)、業(yè)務(wù)流程、人員、管理、硬件、軟件及通訊設(shè)施等各個(gè)方面，這些都可能被各種安全威脅利用來侵害一個(gè)組織機(jī)構(gòu)內(nèi)的有關(guān)資產(chǎn)及這些資產(chǎn)所支持的業(yè)務(wù)系統(tǒng)。各種安全薄弱環(huán)節(jié)自身并不會(huì)造成什么危害，只有在被各種安全威脅利用后才可能造成相應(yīng)的危害。需要注意的是不正確的、起不到應(yīng)有作用的或沒有正確實(shí)施的安全保護(hù)措施本身就可能是一個(gè)安全薄弱環(huán)節(jié)。這里將對(duì)脆弱性被威脅利用的可能性進(jìn)行評(píng)估，最終為其賦相對(duì)等級(jí)值。歡迎下載精品文庫(kù)脆弱性等級(jí)賦值描述高3很容易被攻擊者利用，會(huì)對(duì)系統(tǒng)造成極大損害；中2脆弱項(xiàng)雖然對(duì)系統(tǒng)安全有一定影響，但其被利用需要一定難度；低1脆弱項(xiàng)被利用后會(huì)對(duì)系統(tǒng)產(chǎn)生有限影響；在脆弱性評(píng)估時(shí)的數(shù)據(jù)來源應(yīng)該是資產(chǎn)的擁有者或使用者，相關(guān)業(yè)務(wù)領(lǐng)域的專家以及軟硬件信息系統(tǒng)方面的專業(yè)人員。在本次評(píng)估中將從技術(shù)、管理兩個(gè)方面進(jìn)行脆弱性評(píng)估。其中在技術(shù)方面主要是通過遠(yuǎn)程和本地兩種方式進(jìn)行工具掃描、手動(dòng)檢查等方式進(jìn)行評(píng)估，以保證脆弱性評(píng)估的全面性和有效性；管理脆弱性評(píng)估方面主要是對(duì)現(xiàn)有的安全管理制度的制定和執(zhí)行情況進(jìn)行檢查，發(fā)現(xiàn)其中的管理漏洞和不足。2技術(shù)脆弱性分析網(wǎng)絡(luò)平臺(tái)脆弱性分析華為交換機(jī)、路由器設(shè)備脆弱性分析，下面按照嚴(yán)重程度高、中、低的順序排列：脆弱性脆弱性名稱受影響的資產(chǎn)嚴(yán)重編號(hào)程度V30001.未對(duì)super密碼加密高V30002.未進(jìn)行用戶權(quán)限設(shè)置高V30003.未對(duì)VTY的訪問限制中V30004.未進(jìn)行登陸超時(shí)設(shè)置中V30005.未禁用FTP服務(wù)中V30006.未進(jìn)行日志審計(jì)中V30007.未對(duì)VTY的數(shù)量限制低操作系統(tǒng)脆弱性分析Solaris操作系統(tǒng)脆弱性分析，下面按照嚴(yán)重程度高、中、低的順序排列：嚴(yán)脆弱性編脆弱性名稱受影響的資產(chǎn)重號(hào)程度V22001.存在可能無用的組中V22002.存在沒有所有者的文件低V22003.不記錄登錄失敗事件低歡迎下載精品文庫(kù)脆弱性掃描結(jié)果分析掃描資產(chǎn)列表序號(hào)設(shè)備/系統(tǒng)名稱IP地址掃描策略是否掃描1.網(wǎng)絡(luò)設(shè)備與防火墻是2.網(wǎng)絡(luò)設(shè)備與防火墻是3.solaris系統(tǒng)、solaris應(yīng)用是4.solaris系統(tǒng)、solaris應(yīng)用是5.solaris系統(tǒng)、solaris應(yīng)用是6.solaris系統(tǒng)、solaris應(yīng)用是7.windows終端windows系統(tǒng)是8.windows終端windows系統(tǒng)是9.windows終端windows系統(tǒng)是高危漏洞分析Solaris操作系統(tǒng)高危漏洞如下：脆弱性脆弱性名稱嚴(yán)重編號(hào)受影響的資產(chǎn)程度V22004.OpenSSHS/Key遠(yuǎn)程信息中泄露漏洞V22005.OpenSSHGSSAPI信號(hào)處中理程序內(nèi)存兩次釋放漏洞V22006.OpenSSH復(fù)制塊遠(yuǎn)程拒絕中服務(wù)漏洞系統(tǒng)帳戶分析本次掃描未發(fā)現(xiàn)系統(tǒng)帳戶信息。應(yīng)用帳戶分析本次掃描未發(fā)現(xiàn)應(yīng)用帳戶信息。歡迎下載精品文庫(kù)3管理脆弱性分析項(xiàng)目子項(xiàng)檢查結(jié)果可能危害是否有針對(duì)業(yè)務(wù)系統(tǒng)的安全策略有無安全策信息安全是否傳達(dá)到相關(guān)員工有無略策略是否有復(fù)核制度無明確的復(fù)核制度安全策略與現(xiàn)狀不符合，貫徹不力部門職責(zé)分配有無與外部安全機(jī)構(gòu)的合作合作較少對(duì)最新的安全基礎(chǔ)組織動(dòng)態(tài)和系統(tǒng)現(xiàn)狀的了解不保障足，不能及時(shí)安全組響應(yīng)最新的安織全問題訪問控制外來人員參觀機(jī)房需無第三方訪要有信息中心專人陪問安全同保密合同有無資產(chǎn)分資產(chǎn)清單和描述有無類與控資產(chǎn)分類資產(chǎn)分類按業(yè)務(wù)角度進(jìn)行分類無制工作職責(zé)有無崗位和資崗位劃分劃分明確無能力要求有，對(duì)人員基本能力源無有明確的技術(shù)要求保密協(xié)議簽訂保密協(xié)議無定期培訓(xùn)不能完全適合人員安公司定期培訓(xùn)，無針該業(yè)務(wù)系統(tǒng)的全培訓(xùn)對(duì)本系統(tǒng)的培訓(xùn)實(shí)際情況，缺少針對(duì)性安全意識(shí)員工安全意識(shí)比較強(qiáng)無事故報(bào)告制度有事件報(bào)告機(jī)制，有無明確規(guī)定事故處理事故事后分析有無糾正機(jī)制有糾正機(jī)制無操作規(guī)程文件有明確的操作規(guī)程文無操作規(guī)程件及文檔指南通訊與和職責(zé)安全事故管理責(zé)任有完整流程，并作相無運(yùn)行管應(yīng)記錄理信息備份有詳細(xì)的備份計(jì)劃無內(nèi)務(wù)處理保持操作記錄有完善的操作記錄無歡迎下載精品文庫(kù)項(xiàng)目子項(xiàng)故障記錄外聯(lián)用戶控制網(wǎng)絡(luò)訪問網(wǎng)絡(luò)路由控制控制網(wǎng)絡(luò)連接控制網(wǎng)絡(luò)隔離控制用戶認(rèn)證應(yīng)用系統(tǒng)訪問控制口令管理系統(tǒng)訪文件共享問控制用戶權(quán)限控制數(shù)據(jù)庫(kù)系統(tǒng)訪問控訪問權(quán)限控制制口令控制業(yè)務(wù)系統(tǒng)監(jiān)控日常維護(hù)網(wǎng)絡(luò)監(jiān)控維護(hù)文檔更新系統(tǒng)日志核心服務(wù)器冗余容災(zāi)備份關(guān)鍵鏈路冗余數(shù)據(jù)庫(kù)備份安全機(jī)構(gòu)支持集成商的技術(shù)服務(wù)和支持業(yè)務(wù)連技術(shù)支持證據(jù)收集續(xù)性管理安全策略安全策略和技術(shù)技術(shù)符合性檢驗(yàn)

檢查結(jié)果可能危害有無有防火墻無有，統(tǒng)一做的無有無劃分vlan無用戶名和密碼簡(jiǎn)單認(rèn)未授權(quán)用戶威證模式脅系統(tǒng)安全有無無無有無有無有無有，并且有記錄無有，統(tǒng)一部署的無有無有無核心服務(wù)器數(shù)據(jù)庫(kù)有無備份有無有數(shù)據(jù)備份無有無華為無沒有采取收集證據(jù)的自身利益可能方式來維護(hù)自己的利受到損失益信息系統(tǒng)有安全策略并經(jīng)常被審查，集團(tuán)無下發(fā)的一些東西有，定期進(jìn)行技術(shù)審查以確保符合安全實(shí)無現(xiàn)標(biāo)準(zhǔn)4脆弱性識(shí)別序資產(chǎn)編號(hào)操濫行身密安拒惡竊社意通號(hào)作用為份碼全絕意聽會(huì)外信錯(cuò)授抵假分漏服代數(shù)工故中誤權(quán)賴冒析洞務(wù)碼據(jù)程障斷1.N001121231311111歡迎下載精品文庫(kù)2.N0021212313111113.N0031212313111114.H0011121112111115.H0021121112111116.H0031121112111117.H0041121112111118.D001112111211111風(fēng)險(xiǎn)分析1風(fēng)險(xiǎn)分析概述風(fēng)險(xiǎn)是指特定的威脅利用資產(chǎn)的一種或一組脆弱性，導(dǎo)致資產(chǎn)的丟失或損害的潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結(jié)合。風(fēng)險(xiǎn)只能預(yù)防、避免、降低、轉(zhuǎn)移和接受，但不可能完全被消滅。在這個(gè)過程中，將根據(jù)上面評(píng)估的結(jié)果，選擇適當(dāng)?shù)娘L(fēng)險(xiǎn)計(jì)算方法或工具確定風(fēng)險(xiǎn)的大小與風(fēng)險(xiǎn)等級(jí)，即對(duì)每一業(yè)務(wù)系統(tǒng)的資產(chǎn)因遭受泄露、修改、不可用和破壞所帶來的任何影響做出一個(gè)風(fēng)險(xiǎn)測(cè)量的列表，以便識(shí)別與選擇適當(dāng)和正確的風(fēng)險(xiǎn)控制策略，這也將是策劃信息安全體系架構(gòu)的重要步驟。2資產(chǎn)風(fēng)險(xiǎn)分布圖表 2資產(chǎn)風(fēng)險(xiǎn)分布圖歡迎下載精品文庫(kù)3資產(chǎn)風(fēng)險(xiǎn)列表根據(jù)風(fēng)險(xiǎn)的計(jì)算公式函數(shù)：R=f(A，T，V)=f(Ia,L(Va,T))，其中R代表風(fēng)險(xiǎn)，A代表資產(chǎn)的估價(jià)，T代表威脅，V代表脆弱性。我們得出下表：序資產(chǎn)編號(hào)操濫行身密安拒惡竊社意通號(hào)作用為份碼全絕意聽會(huì)外信錯(cuò)授抵假分漏服代數(shù)工故中誤權(quán)賴冒析洞務(wù)碼據(jù)程障斷1.N00131261227327663332.N00231261227327663333.N00331261227327663334.H001331233318363335.H002331233318363336.H003331233318363337.H004331233318363338.D00133126631833633系統(tǒng)安全加固建議1管理類建議編脆弱性描述安全加固建議號(hào)1.缺少明確的復(fù)核制度在安全體系中完善復(fù)核制度，明確執(zhí)行