第2章 某OA系统信息安全风险评估方案

1、第2章 第第2章章 某OA系统信息安全风险评估方案 2.1 风险评估概述 2.2 OA系统概况 2.3 资产识别 2.4 威胁识别 2.5 脆弱性识别 2.6 风险分析 第2章 2.1.1 背景 某OA系统风险评估的目的是评估办公自动化（OA）系 统的风险状况，提出风险控制建议，同时为下一步要制定的 OA系统安全管理规范以及今后OA系统的安全建设和风险管 理提供依据和建议。 需要指出的是，本评估报告中所指的安全风险是针对现 阶段OA系统的风险状况，反映的是系统当前的安全状态。 第2章 2.1.2 范围 某OA系统风险评估范围包括某OA网络、管理制度、使 用或管理OA系统的相关人员以及由其办公所

2、产生的文档、 数据。 2.1.3 评估方式 信息系统具有一定的生命周期，在其生命周期内完成相 应的使命。采取必要的安全保护方式使系统在其生命周期内 稳定、可靠的运行，是系统各种技术、管理应用的基本原则。 第2章 本项目的评估主要根据国际标准、国家标准和地方标准， 从识别信息系统的资产入手，着重针对重要资产分析其面临 的安全威胁并识别其存在的脆弱性，最后综合评估系统的安 全风险。 第2章 资产识别是风险评估的基础，在所有识别的系统信息资 产中，依据资产在机密性、完整性和可用性三个安全属性的 价值不同，综合判定资产的重要性程度并将其划分为核心、 关键、中等、普通和次要5个等级。其中核心、关键和中等

3、 等级的资产都被列为重要资产，并分析其面临的安全威胁。 脆弱性识别主要从技术和管理两个层面，采取人工访谈、 现场核查、扫描检测、渗透性测试等方式，识别系统所存在 的脆弱性和安全隐患 第2章 对重要资产已识别的威胁、脆弱性，判断威胁发生的可 能性和严重性，综合评估重要信息资产的安全风险。 根据重要信息资产威胁风险值的大小，划分安全风险等 级，判断不可接受安全风险的范围、确定风险优先处理等级。 根据不可接受安全风险的范围、重要信息资产安全风险 值和风险优先处理等级，给出风险控制措施。 第2章 2.2 OA系统概况 2.2.1 OA系统背景 随着计算机通信以及互联网技术的飞速发展，社会信息 化建设以

4、及网络经济为主要特征的新经济形态正在发展和壮 大。办公自动化正在成为信息化建设的一个重要组成部分， 通过规范化和程序化来改变传统的工作模式，建立一种以高 效为特征的新型业务模式。在此背景下决定建设OA系统， 建立规范化、程序化工作模式，最终提高工作的效率。 第2章 2.2.2 网络结构图与拓扑图 该OA系统网络是一个专用网络，与Internet物理隔离。 该网络包含OA服务器组、数据库服务器组、办公人员客户 端、网络连接设备和安全防护设备等。OA系统网络通过一 台高性能路由器连接上级部门网络，通过一台千兆以太网交 换机连接到下级部门网络。其中内部骨干网络采用千兆位以 太网，两台千兆以太网交换机

5、为骨干交换机，网络配备百兆 桌面交换机用来连接用户终端。 第2章 表3-1 NTFS的引导扇区 第2章 2.2.3 网络结构与系统边界 该OA系统网络分别与上级部门办公网络、下级部门办 公网络连接。其中用一台高性能路由器连接上级部门办公网 络，用一台千兆交换机连接下级部门办公网络。具体的系统 边界图如图书本23页图2-2所示： 第2章 表2-1列举了主要边界情况。 表2-1 OA系统网络边界表 网络连接网络连接连接方式连接方式主要连接用户主要连接用户主要用途主要用途 与下级部门办公 网络连接 千兆以太网 （内部） 下级部门与下级部门 公文流转等 与上级部门办公 网络连接 专用光纤上级部门与上级

6、部门 公文流转等 第2章 2.2.4 应用系统和业务流程分析 该OA系统使用电子邮件系统作为信息传递与共享的工 具和手段，满足办公自动化系统最基本的通信需求。电子邮 件系统作为本系统的通信基础设施，为各种业务提供通用的 通信平台。 该OA系统采用以电子邮件作为统一入口的设计思想。 电子邮件信箱作为发文、收文、信息服务、档案管理、会议 管理等业务的统一“门户”。每一个工作人员通过关注自己 的电子邮件信箱就可以了解到需要处理的工作。各个业务系 统通过电子邮件信箱来实现信息的交互和流转。 第2章 例如公文流转业务中，一般工作人员起草的公文通过电 子邮件系统发送到领导的电子信箱中，领导通过查看电子信

7、箱得到文件的初稿。在审批通过后，转发到公文下发人员。 公文下发人员再通过电子邮件系统下发到各个部门各个工作 人员的电子信箱中。 第2章 2.3 资产识别资产识别 2.3.1 资产清单 该OA系统资产识别通过分析OA系统的业务流程和功能， 从信息数据的完整性，可用性和机密性（简称CIA）的安全 需求出发，识别CIA三性有影响的信息数据及其承载体和周 边环境。 在本次OA系统风险评估中进行的资产识别，主要分为 硬件资产、文档和数据、人员、管理制度等，其中着重针对 硬件资产进行风险评估，人员主要分析其安全职责，IT网络 服务和软件结合其涉及的硬件资产进行综合评估。下面列出 具体的资产清单。硬件资产见

8、表2-2 第2章 资产编号资产名称责任人资产描述 ASSET_01OA Server王责OA服务器，实现OA的应用服务 ASSET_02DB Server王责DB服务器，存储OA系统的相关数据 ASSET_03NetScreen FW_01李珊防火墙 ASSET_04Cisco Router_01李存路由器 ASSET_05Cisco Switch_01李存骨干交换机 ASSET_06Cisco Switch_02李存骨干交换机 ASSET_073Com Switch_01李存二级交换机 ASSET_08PC_01张晨用户终端 ASSET_09PC_02陈乙用户终端 表2-2 硬件资产清单 第

9、2章 资产编号资产名称责任人资产描述 ASSET_10人员档案于己机构人员档案数据 ASSET_11电子文件数据于己OA系统的电子文件 文档和数据资产见表2-3。 表2-3 文档和数据资产清单 第2章 资产编号资产名称责任人资产描述 ASSET_12安全管理制度于己机房安全管理制度等 ASSET_13备份制度于己系统备份制度 制度资产清单见表2-4。 表2-4 制度资产清单 第2章 人员资产清单见表2-5 表2-5 人员资产清单 资产编号资产名称责任人资产描述 ASSET_13王责王责系统管理员 ASSET_14李珊李珊安全管理员 ASSET_15李存李存网络管理员 ASSET_16张晨张晨普

10、通用户 ASSET_17陈乙陈乙普通用户 ASSET_18于己于己档案和数据管理员，制度实施者 第2章 2.3.2 资产赋值资产赋值 资产赋值对识别的信息资产，按照资产的不同安全属性， 即机密性，完整性和可用性的重要性和保护要求，分别对资 产的CIA三性予以赋值。 三性赋值分为5个等级，分别对应了该项信息资产的机 密性，完整性和可用性的不同程度的影响，赋值依据如下： 1. 机密性（Confidentiality）赋值依据 根据资产机密性属性的不同，将它分为5个不同的等级， 分别对应资产在机密性方面的价值或者机密性方面受到损失 时的影响，如表2-6所示。 第2章 赋值含义解 释 5很高指组织最重

11、要的机密，关系组织未来发展的前途命运，对组织根 本利益有着决定性的影响，如果泄露会造成灾难性的影响 4高指包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重 损害 3中指包含组织一般性秘密，其泄露会使组织的安全和利益受到损害 2低指仅在组织内部或在组织某一部门公开，向外扩散有可能对组织 的利益造成损害 1很低对社会公开的信息，公用的信息处理设备和系统资源等信息资产 如表2-6所示。 表2-6 机密性赋值依据表 第2章 2. 完整性（Integrity）赋值依据 根据资产完整性属性的不同，将它分为5个不同的等级， 分别对应资产在完整性方面的价值或者在完整性方面受到损 失时对整个评估的影响，如

12、表2-7所示。 第2章 赋值含义解 释 5很高完整性价值非常关键，未经过授权的修改或破坏会对评估体造成重大的 或特别难以接受的影响，对业务冲击重大，并可能造成严重的业务中断， 损失难以弥补 4高完整性价值较高，未经过授权的修改或破坏会对评估体造成重大影响， 对业务冲击严重，损失比较难以弥补 3中完整性价值中等，未经过授权的修改或破坏会对评估体造成影响，对业 务冲击明显，但损失可以弥补 2低完整性价值较低，未经过授权的修改或破坏会对评估体造成轻微影响， 可以忍受，对业务冲击轻微，损失容易弥补 1很低完整性价值非常低，未经过授权的修改或破坏会对评估体造成影响，可 以忽略，对业务冲击可以忽略 表2-

13、7 完整性赋值依据表 第2章 3. 可用性赋值依据 根据资产可用性属性的不同，将它分为5个不同的等级 （见表2-8），分别对应资产在可用性方面的价值或者在可 用性方面受到损失时的影响。 表2-8 是可用性赋值依据表 第2章 赋值含义解 释 5很高可用性价值非常关键，合法使用者对信息系统及资源的可用度达到年度 99%以上，一般不容许出现服务中断的情况，否则将对生产经营造成重 大的影响或损失 4高可用性价值较高，合法使用者对信息系统及资源的可用度达到工作时间 95%以上，一般不容许出现服务中断，否则对生产经营造成一定的影响 或损失 3中可用性价值中等，合法使用者对信息系统及资源的可用度在工作时间

14、75%以上，容忍出现偶尔和较短时间的服务中断，且对企业造成的影响 不大 2低可用性价值较低，合法使用者对信息系统及资源的可用度在正常上班时 间达到35%75% 1很低可用性价值或潜在影响可以忽略，完整性价值较低，合法使用者对资源 的可用度在正常上班时间低于35% 表2-8 可用性赋值依据表 第2章 根据资产的不同安全属性，及机密性，完整性和可用性 的等级划分原则，采用专家指定的方法对所有资产CIA三性 予以赋值。赋值后的资产清单见表 表2-9 资产CIA三性等级表 第2章 资产编号资产名称机密性完整性可用性 ASSET_01OA Server555 ASSET_02DB Server555 A

15、SSET_03NetScreen FW_01555 ASSET_04Cisco Router_01345 ASSET_05Cisco Switch_01345 ASSET_06Cisco Switch_02345 ASSET_073Com Switch_01244 ASSET_08PC_01222 ASSET_09PC_02222 ASSET_10人员档案552 ASSET_11电子文件数据553 ASSET_12安全管理制度144 ASSET_13备份制度144 ASSET_13王责532 ASSET_14李珊532 ASSET_15李存532 ASSET_16张晨132 ASSET_17陈

16、乙132 ASSET_18于己532 第2章 2.3.3 资产分级资产分级 资产价值应依据资产在机密性、完整性和可用性上的赋值等级，经 过综合评定得出。根据系统业务特点，采取相乘法决定资产的价值。计 算公式如下： V=f(x,y,z) = 其中：V表示资产价值，x表示机密性，y表示完整性，z表示可用性。 根据该计算公式可以计算出资产的价值。例如取资产ASSET_01三性 值代入公式如下： V=f(5,5,5)= 得资产ASS ET_01的资产价值=5。依此类推得到本系统资产的价值 清单如表2-10所示。 表2-10 资产价值表 第2章 资产编号资产名称机密性完整性可用性资产价值 ASSET_0

17、1OA Server5555 ASSET_02DB Server5555 ASSET_03NetScreen FW_015555 ASSET_04Cisco Router_013454.2 ASSET_05Cisco Switch_013454.2 ASSET_06Cisco Switch_023454.2 ASSET_073Com Switch_012443.4 ASSET_08PC_012222 ASSET_09PC_022222 ASSET_10人员档案5523.2 ASSET_11电子文件数据5533.9 ASSET_12安全管理制度1442.8 ASSET_13备份制度1442.8

18、ASSET_13王责5322.8 ASSET_14李珊5322.8 ASSET_15李存5322.8 ASSET_16张晨1322.47 ASSET_17陈乙1322.4 ASSET_18于己5322.8 第2章 为与上述安全属性的赋值相对应，根据最终赋值将资产 划分为5级，级别越高表示资产越重要。表2-11划分表明了 不同等级的重要性的综合描述。 表2-11 资产重要性程度判断准则 第2章 资产价值资产 等级 资产等 级值 定义 4.2x5很高5价值非常关键，损害或破坏会影响全局，造成重 大的或无法接受的损失，对业务冲击重大，并可 能造成严重的业务中断，损失难以弥补 3.4x4.2高4价值非

19、常重要，损害或破坏会对该部门造成重大 影响，对业务冲击严重，损失比较难以弥补 2.6x3.4中3价值中等，损害或破坏会对该部门造成影响，对 业务冲击明显，但损失可以弥补 1.8x2.6低2价值较低，损害或破坏会对该部门造成轻微影 响，可以忍受，对业务冲击轻微，损失容易弥补 1x1.8很低1价值非常低，属于普通资产，损害或破坏会对该 部门造成的影响可以忽略，对业务冲击可以忽略 表2-11 资产重要性程度判断准则 第2章 资产编号资产名称资产价值资产等级资产等级值 ASSET_01OA Server5很高5 ASSET_02DB Server5很高5 ASSET_03NetScreen FW_01

20、5很高5 ASSET_04Cisco Router_014.2高4 ASSET_05Cisco Switch_014.2高4 ASSET_06Cisco Switch_024.2高4 ASSET_073Com Switch_013.4中3 ASSET_08PC_012低2 ASSET_09PC_022低2 ASSET_10人员档案3.2中3 ASSET_11电子文件数据3.9高4 ASSET_12安全管理制度2.8中3 ASSET_13备份制度2.8中3 ASSET_13王责2.8中3 ASSET_14李珊2.8中3 ASSET_15李存2.8中3 ASSET_16张晨2.47低2 ASSET

21、_17陈乙2.4低2 ASSET_18于己2.8中3 第2章 根据表2-11中对资产等级的规定，可以通过资产价值得 到资产的等级。本系统的资产等级如上表2-12所示。 2.4 威胁识别威胁识别 2.4.1 威胁概述 安全威胁是一种对系统及其资产构成潜在破坏的可能性 因素或者事件。无论对于多么安全的信息系统，安全威胁是 一个客观存在的事物，它是风险评估的重要因素之一。 第2章 产生安全威胁的主要因素可以分为人为因素和环境因素。 人为因素又可区分为有意和无意两种，环境因素包括自然界 的不可抗因素和其他物理因素。威胁作用形式可以是对信息 系统直接或间接的攻击，例如非授权的泄露、篡改、删除等， 在机密

22、性、完整性或可用性等方面造成损害。也可能是偶发 的或蓄意的事件。一般来说，威胁总是要利用网络、系统、 应用或数据的弱点才可能成功地对资产造成伤害。安全事件 及其后果是分析威胁的重要依据。 第2章 根据威胁出现频率的不同，将它分为5个不同的等级。 以此属性来衡量威胁，具体的判断准则如表2-13所示。 第2章 等级出现频率描述 5很高威胁利用弱点发生危害的可能性很高，在大多数情况下 几乎不可避免或者可以证实发生过的频率较高 4高威胁利用弱点发生危害的可能性较高，在大多数情况下 很有可能会发生或者可以证实曾发生过 3中威胁利用弱点发生危害的可能性中等，在某种情况下可 能会发生但未被证实发生过 2低威

23、胁利用弱点发生危害的可能性较小，一般不太可能发 生，也没有被证实发生过 1很低威胁利用弱点发生危害几乎不可能发生，仅可能在非常 罕见和例外的情况下发生 表2-13 威胁出现频率判断准则 第2章 2.4.2 OA系统威胁识别 对OA系统的安全威胁分析着重对于重要资产进行威胁 识别，分析其威胁来源和种类。在本次评估中，主要采用了 问卷法和技术检测来获得威胁的信息。问卷法主要收集一些 管理相关方面的威胁，技术检测主要通过分析IDS的日志信 息来获取系统面临的威胁。表2-14为本次评估分析得到的威 胁来源、威胁种类以及威胁发生的频率。 第2章 威胁来源威胁描述 恶意内部人员因某种原因，OA系统内部人员

24、对信息系统进行恶意破坏；采 用自主的或内外勾结的方式盗窃机密信息或进行篡改，获取 利益 无恶意内部人员OA系统内部人员由于缺乏责任书，或者由于不关心和不专 注，或者没有遵循规章制度和操作流程而导致故障或被攻 击；内部人员由于缺乏培训，专业技能不足，不具备岗位技 能要求而导致信息系统故障或被攻击 第三方主要指来自合作伙伴、服务提供商、外包服务提供商、渠道 和其他与本组织的信息系统有联系的第三方的威胁 设备故障意外事故或由于软件、硬件、数据、通信线路方面的故障 环境因素、意外 事故 由于断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、 洪灾、火灾、地震等环境条件和自然灾害等的威胁 表2-14 O

25、A系统潜在的安全威胁来源列表 第2章 威胁编号威胁种类出现频率威胁描述 THREAT_01硬件故障低由于设备硬件故障、通信链路中断导致对业务高效 稳定运行的影响 THREAT_02软件故障低系统本身或软件缺陷导致对业务高效稳定运行的影 响 THREAT_03恶意代码和病毒高具有自我复制、自我传播能力，对信息系统构成破 坏的程序代码 THREAT_04物理环境威胁很低环境问题和自然灾害 THREAT_05未授权访问高因系统或网络访问控制不当引起的非授权访问 THREAT_06权限滥用中滥用自己的职权，做出泄露或破坏信息系统及数据 的行为 THREAT_07探测窃密中通过窃听、恶意攻击的手段获取系

26、统秘密信息 THREAT_08数据中通过恶意攻击非授权修改信息，破坏信息的完整性 THREAT_09漏洞利用中用户利用系统漏洞的可能性 THREAT_10电源中断很低通过恶意攻击使得电源不可用 THREAT_11物理攻击很低物理接触、物理破坏、盗窃 THREAT_12抵赖中不承认收到信息和所作的操作 表2-15 OA系统面临的安全威胁种类 第2章 依据威胁出现判断准则，得到威胁出现频率如表2- 15所示。 2.5 脆弱性识别脆弱性识别 脆弱性识别主要从技术和管理两个方面进行评估， 详细的评估结果如下所述。该OA系统的脆弱性评估采用 工具扫描、配置核查、策略文档分析、安全审计、网络 架构分析、业

27、务流程分析、应用软件分析等方法。 根据脆弱性严重程度的不同，将它分为5个不同的等 级。具体的判断准则如表2-16所示。 第2章 威胁编 号 威胁类 别 出现频率威胁描述 5很高该脆弱性若被威胁利用，可以造成资产全部损失或业务 不可用 4高该脆弱性若被利用，可以造成资产重大损失，业务中断 等严重影响 3中等该脆弱性若被利用，可以造成资产损失，业务受到损害 等影响 2低该脆弱性若被利用。可以造成资产较少损失，但能在较 短的时间可以受到控制 1很低该脆弱性可能造成资产损失可以忽略，对业务无损害， 轻微或可忽略等影响 根据脆弱性严重程度的不同，将它分为5个不同的等级。具体的 判断准则如表2-16所示

28、第2章 2.5.1 技术脆弱性识别技术脆弱性识别 技术脆弱性识别主要从现有安全技术措施的合理性和有 效性来分析。评估的详细结果如表2-17所示。 第2章 资产ID与名称脆弱性ID脆弱性名称严重 程度 脆弱性描述 ASSET_01: OA Server VULN_01rpcstatd: RPC statd remote file creation and removal 很高RPC服务导致远程可以创建、 删除文件。攻击者可以在主 机的任何目录中创建文件 VULN_02CdeDtspcdBo: Multi- vendor CDE dtspcd daemon buffer overflow 高CDE

29、的子进程中存在有缓冲 区溢出的弱点，该弱点可能 使黑客执行用户系统内任意 代码 VULN_03smtpscan 指 纹识别工具 中Smtpscan是一个有Julien Border编写的，对SMTP服务 器进行指纹识别的工具。即 使管理员更改了服务器的标 识，该工具仍可识别远程邮 件服务器 第2章 资产ID与名称脆弱性ID脆弱性名称严重程度脆弱性描述 ASSET_01: OA Server VULN_04DCE服务列举漏洞低通过与端口135建立连接并发送合适的请求， 将会获得远程机上运行的DCE服务 VULN_05WebDAV服务器启 用 低远程服务器正在运行WebDAV。WebDAV是HTT

30、P规 范的一个扩展的标准，允许授权用户远程地添 加和管理Web服务器的内容。如果不使用该扩 展标准，应该禁用此功能 VULN_06允许匿名登录FTP高该FTP服务允许匿名登录，如果不想造成信息 泄露，应该禁用匿名登录项 VULN_07可以通过SMB连接 注册表 高用户可以使用SMB测试中的login/password组 合远程连接注册表。允许远程连接注册表存在 潜在危险，攻击者可能由此获取更多主机信息 ASSET_02: OB Server VULN_08ADMIN_RESTRICTI ONS旗标没有设置 很高监听器口令没有正确设置，攻击者可以修改监 听器参数 VULN_09监听器口令没有 设

31、置 很高如果监听器口令没有设置，攻击者可以利用监 听服务在操作系统上写文件，从而可能获得 Oracle数据库的账号 ASSET_09: PC_02 VULN_18OS识别中确定操作系统的类型和版本号。攻击者可利用 该脚本确定运程操作系统的类型，并过去该主 机的更多信息 VULN_19恶意代码、木马 和后门 中导致机器被非法控制 第2章 ASSET_03: NetScree n FW_01 VULN_100S识别中确定操作系统的类型和版本号。攻击者 可利用该脚本确定运程操作系统的类型， 并过去该主机的更多信息 VULN_11防火墙开发端口增加中导致供给着可以利用该漏洞进行控制， 极大地降低了防火

32、墙的安全性 VULN_12防火墙关键模块失效很 高 防火墙关键模块失效 VULN_13非法流量出外网低防火墙配置可能存在缺陷 VULN_14防火墙模块工作异常中防火墙的异常 ASSET_08: PC_01 VULN_15SMB登录高尝试使用多个login/password组合登录 运程主机 VULN_16OS识别中确定操作系统的类型和版本号。攻击者 可利用该脚本确定运程操作系统的类型， 并过去该主机的更多信息 VULN_17恶意代码、木马和后门中导致机器被非法控制 ASSET_09: PC_02 VULN_18OS识别中确定操作系统的类型和版本号。攻击者 可利用该脚本确定运程操作系统的类型，

33、并过去该主机的更多信息 VULN_19恶意代码、木马和后门中导致机器被非法控制 第2章 2.5.2 管理脆弱性识别 本部分主要描述该OA系统目前的信息安全管理上存在 的安全弱点现状以及风险现状，并标识其严重程度。评估的 详细结果如表2-18所示。 表2-18 管理脆弱性识别结果 第2章 资产ID与名称脆弱 性ID 脆弱性名称严重程度脆弱性描述 ASSET_12:管理 制度 VULN_20供电系统状况 脆弱性 高没有配备UPS，没有专用的供电线路 ASSET_12:管理 制度 VULN_21机房安全管理 控制脆弱性 中没有严格的执行机房安全管理制度 ASSET_12:管理 制度 VULN_22审

34、计操作规程 脆弱性 中对OA服务器的管理以及操作审计信息 偏少 ASSET_12:管理 制度 VULN_23安全策略脆弱 性 中由于没有配备信息安全顾问，导致安全 策略不符合实际需求 ASSET_12:备份 制度 VULN_24备份制度不健 全脆弱性 中没有制定系统备份制度，出现突发事件 后无法进行恢复 表2-18 管理脆弱性识别结果 第2章 2.6 风险分析 2.6.1 风险计算方法 在完成了资产识别、威胁识别、脆弱性识别之后，将采用适当的方 法与工具确定威胁利用脆弱性导致安全事件发生的可能性。综合安全事 件所作用的资产价值及脆弱性的严重程度，判断安全事件造成的损失对 组织的影响，即安全风险

35、。以下面的范式形式化加以说明： 其中：R表示安全风险计算函数，A表示资产，T表示威胁出现频率， V表示脆弱性，Ia表示安全事件所作用的资产价值，Va表示脆弱性严重 程度，L表示威胁利用资产的脆弱性导致安全事件发生的可能性，F表示 安全事件发生后产生的损失 )V,F(IV),R(L(T,V)T,(A,Raa风险值 第2章 风险计算的过程中有三个关键计算环节： 1. 计算安全事件发生的可能性计算安全事件发生的可能性 根据威胁出现频率及脆弱性的状况，计算威胁利用脆弱 性导致安全事件发生的可能性，即： 安全事件发生的可能性=L(威胁出现频率，脆弱性) =L(T,V) 在计算安全事件的可能性时，本系统采

36、用矩阵法进行计 算。该二维矩阵如表2-19所示。 第2章 脆弱性 威胁出现 频率 12345 1247912 236101417 359121620 4711142022 5812172225 表2-19 安全事件可能性计算二维矩阵表 第2章 如资产ASSET_01的为授权访问威胁频率为3，资产 ASSET_01允许匿名登录FTP脆弱性为4，根据威胁出现频率 值和脆弱性严重程度值所在矩阵中进行对照，则： 安全事件发生的可能性=L（威胁出现频率，脆弱性） =L（3,4）=16 根据计算得到安全事件发生可能性值的不同，将它分为 5个不同等级，分别对应安全事件发生可能性的程度。划分 的原则如表2-2

37、0所示。 第2章 安全事件发 生可能性值 15610111516202125 发生可能性 等级 22345 表2-20 安全事件发生可能等级判断准则 第2章 根据安全事件发生可能程度判断准则判断，发生可能性等级为4。 2. 计算安全事件发生后的损失计算安全事件发生后的损失 根据资产价值及脆弱性严重程度，计算安全事件一旦发生后的损失， 即： 安全事件的损失=F（资产价值，脆弱性严重程度） =F（Ia， Va） 在计算安全事件的损失时，本系统采用矩阵法进行计算。该二维矩 阵如表2-21所示。 如资产ASSET_01的资产价值等级为5，资产ASSET_01允许匿名登 录FTP脆弱性严重程度为4，根据

38、资产价值等级和脆弱性严重程度值在矩 阵中进行对照则： 安全事件的损失=F(资产价值，脆弱性严重程度) =F(5,4)=21 第2章 脆弱性严重程度 资产价值 12345 12471013 23691216 347111520 458141922 5612162125 表2-21 安全事件损失计算二维矩阵表 第2章 根据计算得到安全事件的损失的不同，将它分为5个不 同的等级，分别对应安全事件的损失程度。划分的原则如表 2-22所示。 表表2-22 安全事件等级判断准则安全事件等级判断准则 第2章 安全事件 损失值 156101511152125 安全事件 损失等级 12345 表2-22 安全事

39、件等级判断准则 根据安全事件损失程度判断准则判断，则安全事件损失等级为5。 第2章 3. 计算风险值计算风险值 根据计算出的安全事件发生的可能性以及安全事件的损 失，计算风险值，即： 风险值=R(安全事件发生的可能性，安全事件的损失) = 在计算风险值时，本系统采用矩阵进行计算，该二维矩 阵如表2-23所示。 )V,F(IV),R(L(T,V)T,(A,Raa风险值 第2章 安全事件发生的可能性 安全事件的损失 12345 13691216 258111518 369131821 4711162123 5914202325 第2章 如资产ASSET_01的安全事件发生的可能性程度为4， 安全事

40、件的损失等级为5，根据资产价值等级和脆弱性程度 值在矩阵中进行对照，则： 风险值= = R(4,5)=23 根据计算得到风险值的不同，将它分为5个不同的等级。 划分的原则如表2-24所示。 )V,F(IV),R(L(T,V)T,(A,Raa风险值 第2章 风险值16712131819232425 风险等级很低低中高很高 表2-24 风险等级判断准则 根据风险等级判断准则，则风险等级为高。 第2章 2.6.2 风险分析风险分析 1. 硬件资产风险分析硬件资产风险分析 利用得到的资产识别、威胁识别和脆弱性识别结果，根 据风险分析原理，评估得到本系统的硬件资产风险2-25所示。 第2章 资产ID与

41、名称 资产 等级 威胁ID威胁名称威胁发 生可能性 脆弱性ID脆弱性名称脆弱性 严重程度 ASSET_01: OA Server 5THREAT-06未授权 访问 4VULN_06允许匿名登录FTP4 VULN_07可以通过SMB连接注册表4 THREAT-09漏洞利用3VULN_03Smtpscan指纹识别3 VULN_04DCE服务列举漏洞2 VULN_05WebDAV服务器启用4 ASSET_01: OB Server 5THREAT-06未授权 访问 4VULN_08ADMIN_RESTRICTIONS旗标没有 设置 5 VULN_09监听器口令没有设置5 ASSET_03: NetS

42、creen FW_01 5THREAT-06未授权 访问 4VULN_11防火墙开放端口增加3 VULN_12防火墙关键模块失效5 THREAT-09漏洞利用3VULN_13非法流量流出外网2 VULN_14防火墙模块工作异常3 ASSET_08: PC_01 2THREAT-03恶意代码 和病毒 5VULN_17恶意代码、木马和后门3 ASSET_09: PC_02 2THREAT-03恶意代码 和病毒 5VULN_19恶意代码、木马和后门3 表2-25 硬件资产风险分析表 第2章 下面以资产ASSET_01为例计算该资产的风险值和风险 等级。 1）. 计算安全事件发生的可能性 根据威胁出现

43、频率及脆弱性的状况，在计算安全事件发 生的可能性时，本系统采用矩阵法进行计算。该二维矩阵如 表2-26所示。 第2章 脆弱性严重程度 资产价值 12345 1247912 236101417 359121620 4711142022 5 812172225 表2-26 安全事件可能性计算二维矩阵表 第2章 资产ASSET_01的未授权访问威胁发生频率=3，资产 ASSET_01允许匿名登录FTP脆弱性严重等级=4，根据安全 事件可能性计算矩阵，则： 安全事件的可能性=16。 第2章 安全事件可能性值1561011516202125 发生可能性等级12345 安全事件发生可能等级判断准则如表2-

44、27所示。 根据安全事件可能程度判断准则判断，则： 安全事件发生可能性等级=4 第2章 2）. 计算安全事件发生后的损失 根据资产价值及脆弱性严重程度，在计算安全事件的损 失时，本系统采用矩阵进行计算。该二维矩阵如表2-28所示。 第2章 脆弱性严重程度 资产价值 12345 12471013 23691216 347111520 4518141922 56112162125 第2章 资产ASSET_01的资产价值等级=5，资产ASSET_01允 许匿名登录FTP脆弱性严重等级=4，根据资产价值等级和脆 弱性严重程度值在矩阵中进行对照，则： 安全事件的损失=F（资产价值等级，脆弱性严重程度）

45、=F（5,4）=21 安全事件损失等级判断准则如表2-29所示 第2章 安全事件损失值1561011516202125 安全事件损失等 级 12345 表2-29 安全事件损失等级判断准则 根据安全事件损失程度判断准则判断，则 安全事件损失等级=5 第2章 3）. 计算风险值 根据计算出的安全事件发生的可能性以及安全事件的损 失，在计算风险值时，本系统采用矩阵法进行计算。该二维 矩阵如表2-30所示 第2章 安全事件发 生的可能性 12345 安全事件 的损失 13691216 258111518 369131821 4711162123 5914202325 资产ASSET_01的安全事件发生的可能性程度=4，安全事件的 损失等级为5，根据资产价值等级和脆弱性严重程度值在矩阵中 进行对照，则：