某OA系统信息安全风险评估方案素材.pptx

单击此处编辑母版标题样式,第,2,章,第,2,章,某,OA,系统信息安全风险评估方案,2.1,风险评估概述,2.2,OA,系统概况,2.3,资产识别,2.4,威胁识别,2.5,脆弱性识别,2.6,风险分析,2.1.1,背景 某,OA,系统风险评估的目的是评估办公自动化（,OA,）系统的风险状况，提出风险控制建议，同时为下一步要制定的,OA,系统安全管理规范以及今后,OA,系统的安全建设和风险管理提供依据和建议。需要指出的是，本评估报告中所指的安全风险是针对现阶段,OA,系统的风险状况，反映的是系统当前的安全状态。,2.1.2,范围 某,OA,系统风险评估范围包括某,OA,网络、管理制度、使用或管理,OA,系统的相关人员以及由其办公所产生的文档、数据。,2.1.3,评估方式 信息系统具有一定的生命周期，在其生命周期内完成相应的使命。采取必要的安全保护方式使系统在其生命周期内稳定、可靠的运行，是系统各种技术、管理应用的基本原则。,本项目的评估主要根据国际标准、国家标准和地方标准，从识别信息系统的资产入手，着重针对重要资产分析其面临的安全威胁并识别其存在的脆弱性，最后综合评估系统的安全风险。,资产识别是风险评估的基础，在所有识别的系统信息资产中，依据资产在机密性、完整性和可用性三个安全属性的价值不同，综合判定资产的重要性程度并将其划分为核心、关键、中等、普通和次要,5,个等级。其中核心、关键和中等等级的资产都被列为重要资产，并分析其面临的安全威胁。脆弱性识别主要从技术和管理两个层面，采取人工访谈、现场核查、扫描检测、渗透性测试等方式，识别系统所存在的脆弱性和安全隐患,对重要资产已识别的威胁、脆弱性，判断威胁发生的可能性和严重性，综合评估重要信息资产的安全风险。根据重要信息资产威胁风险值的大小，划分安全风险等级，判断不可接受安全风险的范围、确定风险优先处理等级。根据不可接受安全风险的范围、重要信息资产安全风险值和风险优先处理等级，给出风险控制措施。,2.2 OA,系统概况,2.2.1 OA,系统背景 随着计算机通信以及互联网技术的飞速发展，社会信息化建设以及网络经济为主要特征的新经济形态正在发展和壮大。办公自动化正在成为信息化建设的一个重要组成部分，通过规范化和程序化来改变传统的工作模式，建立一种以高效为特征的新型业务模式。在此背景下决定建设,OA,系统，建立规范化、程序化工作模式，最终提高工作的效率。,2.2.2,网络结构图与拓扑图 该,OA,系统网络是一个专用网络，与,Internet,物理隔离。该网络包含,OA,服务器组、数据库服务器组、办公人员客户端、网络连接设备和安全防护设备等。,OA,系统网络通过一台高性能路由器连接上级部门网络，通过一台千兆以太网交换机连接到下级部门网络。其中内部骨干网络采用千兆位以太网，两台千兆以太网交换机为骨干交换机，网络配备百兆桌面交换机用来连接用户终端。,表,3-1 NTFS,的引导扇区,2.2.3,网络结构与系统边界 该,OA,系统网络分别与上级部门办公网络、下级部门办公网络连接。其中用一台高性能路由器连接上级部门办公网络，用一台千兆交换机连接下级部门办公网络。具体的系统边界图如图书本,23,页图,2-2,所示：,表,2-1,列举了主要边界情况。,表,2-1 OA,系统网络边界表,网络连接,连接方式,主要连接用户,主要用途,与下级部门办公网络连接,千兆以太网,（内部）,下级部门,与下级部门,公文流转等,与上级部门办公网络连接,专用光纤,上级部门,与上级部门,公文流转等,2.2.4,应用系统和业务流程分析 该,OA,系统使用电子邮件系统作为信息传递与共享的工具和手段，满足办公自动化系统最基本的通信需求。电子邮件系统作为本系统的通信基础设施，为各种业务提供通用的通信平台。该,OA,系统采用以电子邮件作为统一入口的设计思想。电子邮件信箱作为发文、收文、信息服务、档案管理、会议管理等业务的统一“门户”。每一个工作人员通过关注自己的电子邮件信箱就可以了解到需要处理的工作。各个业务系统通过电子邮件信箱来实现信息的交互和流转。,例如公文流转业务中，一般工作人员起草的公文通过电子邮件系统发送到领导的电子信箱中，领导通过查看电子信箱得到文件的初稿。在审批通过后，转发到公文下发人员。公文下发人员再通过电子邮件系统下发到各个部门各个工作人员的电子信箱中。,2.3,资产识别,2.3.1,资产清单 该,OA,系统资产识别通过分析,OA,系统的业务流程和功能，从信息数据的完整性，可用性和机密性（简称,CIA,）的安全需求出发，识别,CIA,三性有影响的信息数据及其承载体和周边环境。在本次,OA,系统风险评估中进行的资产识别，主要分为硬件资产、文档和数据、人员、管理制度等，其中着重针对硬件资产进行风险评估，人员主要分析其安全职责，,IT,网络服务和软件结合其涉及的硬件资产进行综合评估。下面列出具体的资产清单。硬件资产见表,2-2,资产编号,资产名称,责任人,资产描述,ASSET_01,OA Server,王责,OA,服务器，实现,OA,的应用服务,ASSET_02,DB Server,王责,DB,服务器，存储,OA,系统的相关数据,ASSET_03,NetScreen FW_01,李珊,防火墙,ASSET_04,Cisco Router_01,李存,路由器,ASSET_05,Cisco Switch_01,李存,骨干交换机,ASSET_06,Cisco Switch_02,李存,骨干交换机,ASSET_07,3Com Switch_01,李存,二级交换机,ASSET_08,PC_01,张晨,用户终端,ASSET_09,PC_02,陈乙,用户终端,表,2-2,硬件资产清单,资产编号,资产名称,责任人,资产描述,ASSET_10,人员档案,于己,机构人员档案数据,ASSET_11,电子文件数据,于己,OA,系统的电子文件,文档和数据资产见表,2-3,。,表,2-3,文档和数据资产清单,资产编号,资产名称,责任人,资产描述,ASSET_12,安全管理制度,于己,机房安全管理制度等,ASSET_13,备份制度,于己,系统备份制度,制度资产清单见表,2-4,。,表,2-4,制度资产清单,人员资产清单见表,2-5,表,2-5,人员资产清单,资产编号,资产名称,责任人,资产描述,ASSET_13,王责,王责,系统管理员,ASSET_14,李珊,李珊,安全管理员,ASSET_15,李存,李存,网络管理员,ASSET_16,张晨,张晨,普通用户,ASSET_17,陈乙,陈乙,普通用户,ASSET_18,于己,于己,档案和数据管理员，制度实施者,2.3.2,资产赋值,资产赋值对识别的信息资产，按照资产的不同安全属性，即机密性，完整性和可用性的重要性和保护要求，分别对资产的,CIA,三性予以赋值。三性赋值分为,5,个等级，分别对应了该项信息资产的机密性，完整性和可用性的不同程度的影响，赋值依据如下：,1.,机密性（,Confidentiality,）赋值依据 根据资产机密性属性的不同，将它分为,5,个不同的等级，分别对应资产在机密性方面的价值或者机密性方面受到损失时的影响，如表,2-6,所示。,赋值,含义,解 释,5,很高,指组织最重要的机密，关系组织未来发展的前途命运，对组织根本利益有着决定性的影响，如果泄露会造成灾难性的影响,4,高,指包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害,3,中,指包含组织一般性秘密，其泄露会使组织的安全和利益受到损害,2,低,指仅在组织内部或在组织某一部门公开，向外扩散有可能对组织的利益造成损害,1,很低,对社会公开的信息，公用的信息处理设备和系统资源等信息资产,如表,2-6,所示。,表,2-6,机密性赋值依据表,2.,完整性（,Integrity,）赋值依据 根据资产完整性属性的不同，将它分为,5,个不同的等级，分别对应资产在完整性方面的价值或者在完整性方面受到损失时对整个评估的影响，如表,2-7,所示。,赋值,含义,解 释,5,很高,完整性价值非常关键，未经过授权的修改或破坏会对评估体造成重大的或特别难以接受的影响，对业务冲击重大，并可能造成严重的业务中断，损失难以弥补,4,高,完整性价值较高，未经过授权的修改或破坏会对评估体造成重大影响，对业务冲击严重，损失比较难以弥补,3,中,完整性价值中等，未经过授权的修改或破坏会对评估体造成影响，对业务冲击明显，但损失可以弥补,2,低,完整性价值较低，未经过授权的修改或破坏会对评估体造成轻微影响，可以忍受，对业务冲击轻微，损失容易弥补,1,很低,完整性价值非常低，未经过授权的修改或破坏会对评估体造成影响，可以忽略，对业务冲击可以忽略,表,2-7,完整性赋值依据表,3.,可用性赋值依据 根据资产可用性属性的不同,，,将它分为,5,个不同的等级（见表,2-8,），分别对应资产在可用性方面的价值或者在可用性方面受到损失时的影响。表,2-8,是可用性赋值依据表,赋值,含义,解 释,5,很高,可用性价值非常关键，合法使用者对信息系统及资源的可用度达到年度,99%,以上，一般不容许出现服务中断的情况，否则将对生产经营造成重,大的影响或损失,4,高,可用性价值较高，合法使用者对信息系统及资源的可用度达到工作时间,95%,以上，一般不容许出现服务中断，否则对生产经营造成一定的影响,或损失,3,中,可用性价值中等，合法使用者对信息系统及资源的可用度在工作时间,75%,以上，容忍出现偶尔和较短时间的服务中断，且对企业造成的影响,不大,2,低,可用性价值较低，合法使用者对信息系统及资源的可用度在正常上班时,间达到,35%,75%,1,很低,可用性价值或潜在影响可以忽略，完整性价值较低，合法使用者对资源,的可用度在正常上班时间低于,35%,表,2-8,可用性赋值依据表,根据资产的不同安全属性，及机密性，完整性和可用性的等级划分原则，采用专家指定的方法对所有资产,CIA,三性予以赋值。赋值后的资产清单见表 表,2-9,资产,CIA,三性等级表,资产编号,资产名称,机密性,完整性,可用性,ASSET_01,OA Server,5,5,5,ASSET_02,DB Server,5,5,5,ASSET_03,NetScreen FW_01,5,5,5,ASSET_04,Cisco Router_01,3,4,5,ASSET_05,Cisco Switch_01,3,4,5,ASSET_06,Cisco Switch_02,3,4,5,ASSET_07,3Com Switch_01,2,4,4,ASSET_08,PC_01,2,2,2,ASSET_09,PC_02,2,2,2,ASSET_10,人员档案,5,5,2,ASSET_11,电子文件数据,5,5,3,ASSET_12,安全管理制度,1,4,4,ASSET_13,备份制度,1,4,4,ASSET_13,王责,5,3,2,ASSET_14,李珊,5,3,2,ASSET_15,李存,5,3,2,ASSET_16,张晨,1,3,2,ASSET_17,陈乙,1,3,2,ASSET_18,于己,5,3,2,2.3.3,资产分级,资产价值应依据资产在机密性、完整性和可用性上的赋值等级，经过综合评定得出。根据系统业务特点，采取相乘法决定资产的价值。计算公式如下：,V=f(x,y,z)=,其中：,V,表示资产价值，,x,表示机密性，,y,表示完整性，,z,表示可用性。根据该计算公式可以计算出资产的价值。例如取资产,ASSET_01,三性值代入公式如下：,V=f(5,5,5)=,得资产,ASS ET_01,的资产价值,=5,。依此类推得到本系统资产的价值清单如表,2-10,所示。,表,2-10,资产价值表,资产编号,资产名称,机密性,完整性,可用性,资产价值,ASSET_01,OA Server,5,5,5,5,ASSET_02,DB Server,5,5,5,5,ASSET_03,NetScreen FW_01,5,5,5,5,ASSET_04,Cisco Router_01,3,4,5,4.2,ASSET_05,Cisco Switch_01,3,4,5,4.2,ASSET_06,Cisco Switch_02,3,4,5,4.2,ASSET_07,3Com Switch_01,2,4,4,3.4,ASSET_08,PC_01,2,2,2,2,ASSET_09,PC_02,2,2,2,2,ASSET_10,人员档案,5,5,2,3.2,ASSET_11,电子文件数据,5,5,3,3.9,ASSET_12,安全管理制度,1,4,4,2.8,ASSET_13,备份制度,1,4,4,2.8,ASSET_13,王责,5,3,2,2.8,ASSET_14,李珊,5,3,2,2.8,ASSET_15,李存,5,3,2,2.8,ASSET_16,张晨,1,3,2,2.47,ASSET_17,陈乙,1,3,2,2.4,ASSET_18,于己,5,3,2,2.8,为与上述安全属性的赋值相对应，根据最终赋值将资产划分为,5,级，级别越高表示资产越重要。表,2-11,划分表明了不同等级的重要性的综合描述。表,2-11,资产重要性程度判断准则,资产价值,资产,等级,资产等,级值,定义,4.2x5,很高,5,价值非常关键，损害或破坏会影响全局，造成重,大的或无法接受的损失，对业务冲击重大，并可,能造成严重的业务中断，损失难以弥补,3.4x4.2,高,4,价值非常重要，损害或破坏会对该部门造成重大,影响，对业务冲击严重，损失比较难以弥补,2.6x3.4,中,3,价值中等，损害或破坏会对该部门造成影响，对,业务冲击明显，但损失可以弥补,1.8x2.6,低,2,价值较低，损害或破坏会对该部门造成轻微影,响，可以忍受，对业务冲击轻微，损失容易弥补,1x1.8,很低,1,价值非常低，属于普通资产，损害或破坏会对该,部门造成的影响可以忽略，对业务冲击可以忽略,表,2-11,资产重要性程度判断准则,资产编号,资产名称,资产价值,资产等级,资产等级值,ASSET_01,OA Server,5,很高,5,ASSET_02,DB Server,5,很高,5,ASSET_03,NetScreen FW_01,5,很高,5,ASSET_04,Cisco Router_01,4.2,高,4,ASSET_05,Cisco Switch_01,4.2,高,4,ASSET_06,Cisco Switch_02,4.2,高,4,ASSET_07,3Com Switch_01,3.4,中,3,ASSET_08,PC_01,2,低,2,ASSET_09,PC_02,2,低,2,ASSET_10,人员档案,3.2,中,3,ASSET_11,电子文件数据,3.9,高,4,ASSET_12,安全管理制度,2.8,中,3,ASSET_13,备份制度,2.8,中,3,ASSET_13,王责,2.8,中,3,ASSET_14,李珊,2.8,中,3,ASSET_15,李存,2.8,中,3,ASSET_16,张晨,2.47,低,2,ASSET_17,陈乙,2.4,低,2,ASSET_18,于己,2.8,中,3,根据表,2-11,中对资产等级的规定，可以通过资产价值得到资产的等级。本系统的资产等级如上表,2-12,所示。,2.4,威胁识别,2.4.1,威胁概述 安全威胁是一种对系统及其资产构成潜在破坏的可能性因素或者事件。无论对于多么安全的信息系统，安全威胁是一个客观存在的事物，它是风险评估的重要因素之一。,产生安全威胁的主要因素可以分为人为因素和环境因素。人为因素又可区分为有意和无意两种，环境因素包括自然界的不可抗因素和其他物理因素。威胁作用形式可以是对信息系统直接或间接的攻击，例如非授权的泄露、篡改、删除等，在机密性、完整性或可用性等方面造成损害。也可能是偶发的或蓄意的事件。一般来说，威胁总是要利用网络、系统、应用或数据的弱点才可能成功地对资产造成伤害。安全事件及其后果是分析威胁的重要依据。,根据威胁出现频率的不同，将它分为,5,个不同的等级。以此属性来衡量威胁，具体的判断准则如表,2-13,所示。,等级,出现频率,描述,5,很高,威胁利用弱点发生危害的可能性很高，在大多数情况下,几乎不可避免或者可以证实发生过的频率较高,4,高,威胁利用弱点发生危害的可能性较高，在大多数情况下,很有可能会发生或者可以证实曾发生过,3,中,威胁利用弱点发生危害的可能性中等，在某种情况下可,能会发生但未被证实发生过,2,低,威胁利用弱点发生危害的可能性较小，一般不太可能发,生，也没有被证实发生过,1,很低,威胁利用弱点发生危害几乎不可能发生，仅可能在非常,罕见和例外的情况下发生,表,2-13,威胁出现频率判断准则,2.4.2 OA,系统威胁识别 对,OA,系统的安全威胁分析着重对于重要资产进行威胁识别，分析其威胁来源和种类。在本次评估中，主要采用了问卷法和技术检测来获得威胁的信息。问卷法主要收集一些管理相关方面的威胁，技术检测主要通过分析,IDS,的日志信息来获取系统面临的威胁。表,2-14,为本次评估分析得到的威胁来源、威胁种类以及威胁发生的频率。,威胁来源,威胁描述,恶意内部人员,因某种原因，,OA,系统内部人员对信息系统进行恶意破坏；采,用自主的或内外勾结的方式盗窃机密信息或进行篡改，获取,利益,无恶意内部人员,OA,系统内部人员由于缺乏责任书，或者由于不关心和不专,注，或者没有遵循规章制度和操作流程而导致故障或被攻,击；内部人员由于缺乏培训，专业技能不足，不具备岗位技,能要求而导致信息系统故障或被攻击,第三方,主要指来自合作伙伴、服务提供商、外包服务提供商、渠道,和其他与本组织的信息系统有联系的第三方的威胁,设备故障,意外事故或由于软件、硬件、数据、通信线路方面的故障,环境因素、意外事故,由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、,洪灾、火灾、地震等环境条件和自然灾害等的威胁,表,2-14 OA,系统潜在的安全威胁来源列表,威胁编号,威胁种类,出现频率,威胁描述,THREAT_01,硬件故障,低,由于设备硬件故障、通信链路中断导致对业务高效稳定运行的影响,THREAT_02,软件故障,低,系统本身或软件缺陷导致对业务高效稳定运行的影响,THREAT_03,恶意代码和病毒,高,具有自我复制、自我传播能力，对信息系统构成破坏的程序代码,THREAT_04,物理环境威胁,很低,环境问题和自然灾害,THREAT_05,未授权访问,高,因系统或网络访问控制不当引起的非授权访问,THREAT_06,权限滥用,中,滥用自己的职权，做出泄露或破坏信息系统及数据的行为,THREAT_07,探测窃密,中,通过窃听、恶意攻击的手段获取系统秘密信息,THREAT_08,数据,中,通过恶意攻击非授权修改信息，破坏信息的完整性,THREAT_09,漏洞利用,中,用户利用系统漏洞的可能性,THREAT_10,电源中断,很低,通过恶意攻击使得电源不可用,THREAT_11,物理攻击,很低,物理接触、物理破坏、盗窃,THREAT_12,抵赖,中,不承认收到信息和所作的操作,表,2-15 OA,系统面临的安全威胁种类,依据威胁出现判断准则，得到威胁出现频率如表,2-15,所示。,2.5,脆弱性识别,脆弱性识别主要从技术和管理两个方面进行评估，详细的评估结果如下所述。该,OA,系统的脆弱性评估采用工具扫描、配置核查、策略文档分析、安全审计、网络架构分析、业务流程分析、应用软件分析等方法。根据脆弱性严重程度的不同，将它分为,5,个不同的等级。具体的判断准则如表,2-16,所示。,威胁编号,威胁类别,出现频率,威胁描述,5,很高,该脆弱性若被威胁利用，可以造成资产全部损失或业务不可用,4,高,该脆弱性若被利用，可以造成资产重大损失，业务中断等严重影响,3,中等,该脆弱性若被利用，可以造成资产损失，业务受到损害等影响,2,低,该脆弱性若被利用。可以造成资产较少损失，但能在较短的时间可以受到控制,1,很低,该脆弱性可能造成资产损失可以忽略，对业务无损害，轻微或可忽略等影响,根据脆弱性严重程度的不同，将它分为,5,个不同的等级。具体的判断准则如表,2-16,所示,2.5.1,技术脆弱性识别,技术脆弱性识别主要从现有安全技术措施的合理性和有效性来分析。评估的详细结果如表,2-17,所示。,资产,ID,与名称,脆弱性,ID,脆弱性名称,严重程度,脆弱性描述,ASSET_01:,OA Server,VULN_01,rpcstatd:RPC statd remote file creation and removal,很高,RPC,服务导致远程可以创建、删除文件。攻击者可以在主机的任何目录中创建文件,VULN_02,CdeDtspcdBo:Multi-vendor CDE dtspcd daemon buffer overflow,高,CDE,的子进程中存在有缓冲区溢出的弱点，该弱点可能使黑客执行用户系统内任意代码,VULN_03,smtpscan,指纹识别工具,中,Smtpscan,是一个有,Julien Border,编写的，对,SMTP,服务器进行指纹识别的工具。即使管理员更改了服务器的标识，该工具仍可识别远程邮件服务器,资产,ID,与名称,脆弱性,ID,脆弱性名称,严重程度,脆弱性描述,ASSET_01:,OA Server,VULN_04,DCE,服务列举漏洞,低,通过与端口,135,建立连接并发送合适的请求，将会获得远程机上运行的,DCE,服务,VULN_05,WebDAV,服务器启用,低,远程服务器正在运行,WebDAV,。,WebDAV,是,HTTP,规范的一个扩展的标准，允许授权用户远程地添加和管理,Web,服务器的内容。如果不使用该扩展标准，应该禁用此功能,VULN_06,允许匿名登录,FTP,高,该,FTP,服务允许匿名登录，如果不想造成信息泄露，应该禁用匿名登录项,VULN_07,可以通过,SMB,连接注册表,高,用户可以使用,SMB,测试中的,login/password,组合远程连接注册表。允许远程连接注册表存在潜在危险，攻击者可能由此获取更多主机信息,ASSET_02:,OB Server,VULN_08,ADMIN_RESTRICTIONS,旗标没有设置,很高,监听器口令没有正确设置，攻击者可以修改监听器参数,VULN_09,监听器口令没有设置,很高,如果监听器口令没有设置，攻击者可以利用监听服务在操作系统上写文件，从而可能获得,Oracle,数据库的账号,ASSET_09:,PC_02,VULN_18,OS,识别,中,确定操作系统的类型和版本号。攻击者可利用该脚本确定运程操作系统的类型，并过去该主机的更多信息,VULN_19,恶意代码、木马和后门,中,导致机器被非法控制,ASSET_03:,NetScreen,FW_01,VULN_10,0S,识别,中,确定操作系统的类型和版本号。攻击者可利用该脚本确定运程操作系统的类型，并过去该主机的更多信息,VULN_11,防火墙开发端口增加,中,导致供给着可以利用该漏洞进行控制，极大地降低了防火墙的安全性,VULN_12,防火墙关键模块失效,很高,防火墙关键模块失效,VULN_13,非法流量出外网,低,防火墙配置可能存在缺陷,VULN_14,防火墙模块工作异常,中,防火墙的异常,ASSET_08:,PC_01,VULN_15,SMB,登录,高,尝试使用多个,login/password,组合登录运程主机,VULN_16,OS,识别,中,确定操作系统的类型和版本号。攻击者可利用该脚本确定运程操作系统的类型，并过去该主机的更多信息,VULN_17,恶意代码、木马和后门,中,导致机器被非法控制,ASSET_09:,PC_02,VULN_18,OS,识别,中,确定操作系统的类型和版本号。攻击者可利用该脚本确定运程操作系统的类型，并过去该主机的更多信息,VULN_19,恶意代码、木马和后门,中,导致机器被非法控制,2.5.2,管理脆弱性识别 本部分主要描述该,OA,系统目前的信息安全管理上存在的安全弱点现状以及风险现状，并标识其严重程度。评估的详细结果如表,2-18,所示。表,2-18,管理脆弱性识别结果,资产,ID,与名称,脆弱,性,ID,脆弱性名称,严重程度,脆弱性描述,ASSET_12:,管理制度,VULN_20,供电系统状况脆弱性,高,没有配备,UPS,，没有专用的供电线路,ASSET_12:,管理制度,VULN_21,机房安全管理,控制脆弱性,中,没有严格的执行机房安全管理制度,ASSET_12:,管理制度,VULN_22,审计操作规程,脆弱性,中,对,OA,服务器的管理以及操作审计信息,偏少,ASSET_12:,管理制度,VULN_23,安全策略脆弱,性,中,由于没有配备信息安全顾问，导致安全,策略不符合实际需求,ASSET_12:,备份制度,VULN_24,备份制度不健,全脆弱性,中,没有制定系统备份制度，出现突发事件,后无法进行恢复,表,2-18,管理脆弱性识别结果,2.6,风险分析,2.6.1,风险计算方法 在完成了资产识别、威胁识别、脆弱性识别之后，将采用适当的方法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度，判断安全事件造成的损失对组织的影响，即安全风险。以下面的范式形式化加以说明：其中：,R,表示安全风险计算函数，,A,表示资产，,T,表示威胁出现频率，,V,表示脆弱性，,Ia,表示安全事件所作用的资产价值，,Va,表示脆弱性严重程度，,L,表示威胁利用资产的脆弱性导致安全事件发生的可能性，,F,表示安全事件发生后产生的损失,风险计算的过程中有三个关键计算环节：,1.,计算安全事件发生的可能性,根据威胁出现频率及脆弱性的状况，计算威胁利用脆弱性导致安全事件发生的可能性，即：安全事件发生的可能性,=L(,威胁出现频率，脆弱性,)=L(T,V),在计算安全事件的可能性时，本系统采用矩阵法进行计算。该二维矩阵如表,2-19,所示。,脆弱性,威胁出现频率,1,2,3,4,5,1,2,4,7,9,12,2,3,6,10,14,17,3,5,9,12,16,20,4,7,11,14,20,22,5,8,12,17,22,25,表,2-19,安全事件可能性计算二维矩阵表,如资产,ASSET_01,的为授权访问威胁频率为,3,，资产,ASSET_01,允许匿名登录,FTP,脆弱性为,4,，根据威胁出现频率值和脆弱性严重程度值所在矩阵中进行对照，则：安全事件发生的可能性,=L,（威胁出现频率，脆弱性）,=L,（,3,4,）,=16,根据计算得到安全事件发生可能性值的不同，将它分为,5,个不同等级，分别对应安全事件发生可能性的程度。划分的原则如表,2-20,所示。,安全事件发,生可能性值,1,5,6,10,11,15,16,20,21,25,发生可能性,等级,2,2,3,4,5,表,2-20,安全事件发生可能等级判断准则,根据安全事件发生可能程度判断准则判断，发生可能性等级为,4,。,2.,计算安全事件发生后的损失,根据资产价值及脆弱性严重程度，计算安全事件一旦发生后的损失，即：安全事件的损失,=F,（资产价值，脆弱性严重程度）,=F,（,Ia,，,Va,）在计算安全事件的损失时，本系统采用矩阵法进行计算。该二维矩阵如表,2-21,所示。如资产,ASSET_01,的资产价值等级为,5,，资产,ASSET_01,允许匿名登录,FTP,脆弱性严重程度为,4,，根据资产价值等级和脆弱性严重程度值在矩阵中进行对照则：安全事件的损失,=F(,资产价值，脆弱性严重程度,)=F(5,4)=21,脆弱性严重程度,资产价值,1,2,3,4,5,1,2,4,7,10,13,2,3,6,9,12,16,3,4,7,11,15,20,4,5,8,14,19,22,5,6,12,16,21,25,表,2-21,安全事件损失计算二维矩阵表,根据计算得到安全事件的损失的不同，将它分为,5,个不同的等级，分别对应安全事件的损失程度。划分的原则如表,2-22,所示。,表,2-22,安全事件等级判断准则,安全事件,损失值,1,5,6,10,1,5,11,15,21,25,安全事件,损失等级,1,2,3,4,5,表,2-22,安全事件等级判断准则,根据安全事件损失程度判断准则判断，则安全事件损失等级为,5,。,3.,计算风险值,根据计算出的安全事件发生的可能性以及安全事件的损失，计算风险值，即：风险值,=R(,安全事件发生的可能性，安全事件的损失,)=,在计算风险值时，本系统采用矩阵进行计算，该二维矩阵如表,2-23,所示。,安全事件发生的可能性,安全事件的损失,1,2,3,4,5,1,3,6,9,12,16,2,5,8,11,15,18,3,6,9,13,18,21,4,7,11,16,21,23,5,9,14,20,23,25,如资产,ASSET_01,的安全事件发生的可能性程度为,4,，安全事件的损失等级为,5,，根据资产价值等级和脆弱性程度值在矩阵中进行对照，则：风险值,=R(4,5)=23,根据计算得到风险值的不同，将它分为,5,个不同的等级。划分的原则如表,2-24,所示。,风险值,1,6,7,12,13,18,19,23,24,25,风险等级,很低,低,中,高,很高,表,2-24,风险等级判断准则,根据风险等级判断准则，则风险等级为高。,2.6.2,风险分析,1.,硬件资产风险分析,利用得到的资产识别、威胁识别和脆弱性识别结果，根据风险分析原理，评估得到本系统的硬件资产风险,2-25,所示。,资产,ID,与,名称,资产,等级,威胁,ID,威胁名称,威胁发,生可能性,脆弱性,ID,脆弱性名称,脆弱性,严重程度,ASSET_01:,OA Server,5,THREAT-06,未授权,访问,4,VULN_06,允许匿名登录,FTP,4,VULN_07,可以通过,SMB,连接注册表,4,THREAT-09,漏洞利用,3,VULN_03,Smtpscan,指纹识别,3,VULN_04,DCE,服务列举漏洞,2,VULN_05,WebDAV,服务器启用,4,ASSET_01:,OB Server,5,THREAT-06,未授权,访问,4,VULN_08,ADMIN_RESTRICTIONS,旗标没有设置,5,VULN_09,监听器口令没有设置,5,ASSET_03:,NetScreen,FW_01,5,THREAT-06,未授权,访问,4,VULN_11,防火墙开放端口增加,3,VULN_12,防火墙关键模块失效,5,THREAT-09,漏洞利用,3,VULN_13,非法流量流出外网,2,VULN_14,防火墙模块工作异常,3,ASSET_08:,PC_01,2,THREAT-03,恶意代码,和病毒,5,VULN_17,恶意代码、木马和后门,3,ASSET_09:,PC_02,2,THREAT-03,恶意代码,和病毒,5,VULN_19,恶意代码、木马和后门,3,表,2-25,硬件资产风险分析表,下面以资产,ASSET_01,为例计算该资产的风险值和风险等级。,1,）,.,计算安全事件发生的可能性 根据威胁出现频率及脆弱性的状况，在计算安全事件发生的可能性时，本系统采用矩阵法进行计算。该二维矩阵如表,2-26,所示。,脆弱性严重程度,资产价值,1,2,3,4,5,1,2,4,7,9,12,2,3,6,10,14,17,3,5,9,12,16,20,4,7,11,14,20,22,5,8,12,17,22,25,表,2-26,安全事件可能性计算二维矩阵表,资产,ASSET_01,的未授权访问威胁发生频率,=3,，资产,ASSET_01,允许匿名登录,FTP,脆弱性严重等级,=4,，根据安全事件可能性计算矩阵，则：安全事件的可能性,=16,。,安全事件可能性值,1,5,6,10,11,5,16,20,21,25,发生可能性等级,1,2,3,4,5,安全事件发生可能等级判断准则如表,2-27,所示。,根据安全事件可能程度判断准则判断，则：,安全事件发生可能性等级,=4,2,）,.,计算安全事件发生后的损失 根据资产价值及脆弱性严重程度，在计算安全事件的损失时，本系统采用矩阵进行计算。该二维矩阵如表,2-28,所示。,脆弱性严重程度,资产价值,1,2,3,4,5,1,2,4,7,10,13,2,3,6,9,12,16,3,4,7,11,15,20,4,5,18,14,19,22,5,6,112,16,21,25,资产,ASSET_01,的资产价值等级,=5,，资产,ASSET_01,允许匿名登录,FTP,脆弱性严重等级,=4,，根据资产价值等级和脆弱性严重程度值在矩阵中进行对照，则：安全事件的损失,=F,（资产价值等级，脆弱性严重程度）,=F,（,5,4,）,=21,安全事件损失等级判断准则如表,2-29,所示,安全事件损失值,1,5,6,10,11,5,16,20,21,25,安全事件损失等级,1,2,3,4,5,表,2-29,安全事件损失等级判断准则,根据安全事件损失程度判断准则判断，则,安全事件损失等级,=5,3,）,.,计算风险值 根据计算出的安全事件发生的可能性以及安全事件的损失，在计算风险值时，本系统采用矩阵法进行计算。该二维矩阵如表,2-30,所示,安全事件发生的可能性,1,2,3,4,5,安全事件,的损失,1,3,6,9,12,16,2,5,8,11,15,18,3,6,9,13,18,21,4,7,11,16,21,23,5,9,14,20,23,25,资产,ASSET_01,的安全事件发生的可能性程度,=4,，安全事件的损失等级为,5,，根据资产价值等级和脆弱性严重程度值在矩阵中进行对照，则：,风险值,=23,风险等级判断准则如表,2-31,所示。表,2-31,风险等级判断标准,风险值,1,6,7,12,13,18,19,23,24,25,风险等级,很低,低,中,高,很高,根据风险等级判断准则判断，则风险等级为高。,其他硬件资产的风险值和风险等级计算过程类同，通过风险计算，得到本系统的硬件资产风险状况如表,2-32,所示。,表,2-31,风险等级判断标准,表,2-32,硬件资产风险分析结果表,资产,ID,与,名称,资产,等级,威胁,ID,威,胁,名,称,威胁,发生,可能,性,脆弱性,ID,脆弱性名称,脆弱性,严重,程度,风险值,风险等级,ASSET_01:,OA Server,5,THREAT-06,未授权访问,4,VULN_06,允许匿名登录,FTP,4,23,高,VULN_07,可以通过,SMB,连接注册表,4,23,高,THREAT-09,漏洞利用,3,VULN_03,Smtpscan,指纹识别,3,16,中,VULN_04,DCE,服务列举漏洞,2,9,低,VULN_05,WebDAV,服务器启用,4,23,高,ASSET_01:,OB Server,5,THREAT-06,未授权访问,4,VULN_08,ADMIN_RESTRICTIONS,旗标没有设置,5,25,很高,VULN_09,监听器口令没有设置,5,25,很高,ASSET_03:,NetScreen,FW_01,5,THREAT-06,未授权访问,4,VULN_11,防火墙开放端口增加,3,21,很高,VULN_12,防火墙关键模块失效,5,25,很高,THREAT-09,漏洞利用,3,VULN_13,非法流量流出外网,2,11,低,VULN_14,防火墙模块工作异常,3,16,中,ASSET_08:,PC_01,2,THREAT-03,恶意代码和病毒,5,VULN_17,恶意代码、木马和后门,3,15,中,ASSET_09:,PC_02,2,THREAT-03,恶意代码和病毒,5,VULN_19,恶意代码、木马和后门,3,15,中,2.,其他资产风险分析 利用得到的资产识别、威胁识别和脆弱性识别结果，