风险评估工具6499980275

1、.：.；*网安资产识别工具任务内容：识别信息资产，进展合理分类；确定每类信息资产的平安需求；为每类信息资产的重要性赋值。评价日志：单位称号：资产识别担任人：评价人：评价日期/时间：信息资产赋值定义：资产赋值经综合思索后的财务价值对于业务的重要性级别11100元121011，000元231,00110,000元3410,001100，000元45100,0011,000，000元561,000,00110,000，000元6710,000,001100,000，000元78100,000,0011,000,000，000元891,000,000,00110,000,000，000元91010,0

2、00,000,001100,000,000，000元10资产识别登记表资产识别记录表工程称号或编号表格符号资产识别活动信息日期起止时间访谈者访谈对象及阐明地点阐明记录信息所属业务业务编号所属类别类别编号资产称号资产编号IP地址物理位置功能描画性要求完好性要求可用性要求重要程度平安控制措施担任人备注资产识别记录表工程称号或编号表格符号资产识别活动信息日期起止时间访谈者访谈对象及阐明地点阐明记录信息所属业务业务编号所属类别类别编号资产称号资产编号IP地址物理位置功能描画性要求完好性要求可用性要求重要程度平安控制措施担任人备注*网安要挟识别工具任务内容：要挟识别；要挟分类；要挟赋值；构建要挟场景评价

3、日志：单位称号：资产识别担任人：评价人：评价日期/时间：要挟来源值定义：要挟来源危险性级别描画要挟来源值要挟源事例动机低风险：低攻击动机，低攻击才干1缺乏培训的内部员工无意错误、编程错误和数据录入错误等中低风险：低攻击动机，高攻击才干2外部黑客挑战性、虚荣心或游戏的心思中等风险：高攻击动机，低攻击才干3内部黑客猎奇或财务问题等高风险：高攻击动机，高攻击才干4恶意攻击者破坏信息、金钱驱动等极高风险：极高攻击动机，高攻击才干5恐惧分子报仇等要挟影响程度赋值定义影响程度值定义1单个任务小组或部门遭到影响，对企业运营过程没有或有非常细微的影响2一个或更多的部门遭到影响，对完成任务义务有细微的延迟3两个

4、或更多的部门或一个业务单元遭到影响，对完成任务义务有4到6个小时的延迟4两个或更多的业务单元遭到影响，对完成任务义务有1到2天的延迟5企业的整个任务义务遭到影响。计算公式识别：t = Ts + Ti T = INT i=1Nti /2N+0.5 要挟来源值Ts影响程度值Ti综合要挟值t要挟统计记录工具要挟统计表资产编号资产称号在此填入资产称号要挟编号要挟类别要挟子类要挟称号要挟来源值Ts影响程度值Ti综合要挟值t1自然要挟1.1火灾1.2温度过热1.3地震1.4台风1.5灰尘2环境要挟技术缺点2.1断电2.2硬件缺点2.3数据存储介质失效2.4化学物质泄露2.5漏水3人为要挟管理缺陷3.1对运

5、用没有进展授权管理3.2对资源运用没有进展控制3.3对笔记本电脑用户的改动没有进展管理人为错误3.4因任务忽略而损坏设备和数据3.5违反平安管理规章制度3.6清洁工人和第三方职员导致的损害3.7对信息系统的不恰当运用故意行为3.8对设备或附件的破坏3.9对数据或软件的篡改3.1偷窃3.11未授权的运用3.12计算机病毒3.13计算机蠕虫3.14木马程序小计汇总结果值 要挟人员访谈记录工具要挟人员访谈记录表工程称号或编号表格编号访谈活动信息日期起止时间访谈者访谈对象及阐明地点阐明记录信息受损资产资产描画和类别景象描画要挟主体要挟来源方式和途径结果和影响技术脆弱性缺失或薄弱的控制措施后续的补救措施

6、备注要挟工具检测记录工具要挟工具检测记录工程称号或编号表格编号检测活动信息日期起止时间检测者配合人员检测方式位置阐明记录信息受损资产资产描画和类别景象描画要挟主体要挟来源方式和途径结果和影响技术脆弱性缺失或薄弱的控制措施建议的补救措施原始数据备注潜在要挟分析记录工具潜在要挟分析记录表工程称号或编号表格编号分析活动信息起止日期起止时间分析人员辅助人员分析结果记录受损资产资产描画和类别景象描画要挟主体要挟来源方式和途径潜在结果潜在影响技术脆弱性缺失或薄弱的控制措施外部数据建议的补救措施备注*网安脆弱性识别工具任务内容：脆弱性识别；识别结果整理与展现；脆弱性赋值；评价日志：单位称号：资产识别担任人：

7、评价人：评价日期/时间：脆弱性分类表:类型识别对象识别内容技术脆弱性物理环境从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通讯线路的防护、机房区域防护、机房设备管理等方面进展识别网络构造从网络构造设计、边境维护、外部访问控制战略、内部访问控制战略、网络设备平安配置等方面进展识别系统软件含操作系统及系统效力从补丁安装、物理维护、用户账号、口令战略、资源共享、事件审计、访问控制、新系统配置初始化、注册表加固、网络平安、系统管理等方面进展识别数据库软件从补丁安装、鉴别机制、口令机制、访问控制、网络和效力设置、备份恢复机制、审计机制等方面进展识别运用中间件从协议平安、买卖完好

8、性、数据完好性等方面进展识别运用系统从审计机制、审计存储、访问控制战略、数据完好性、通讯、鉴别机制、密码维护等方面进展识别管理脆弱性技术管理从物理和环境平安、通讯与操作管理、访问控制、系统开发与维护、业务延续性等方面进展识别组织管理从平安战略、组织平安、资产分类与控制、人员平安、符合性等方面进展识别脆弱性分级定义：脆弱性值定义3脆弱性严重程度高，需求立刻整改或加固2脆弱性严重程度中，需求予以高度注重，并在一定时间内进展整改或加固1脆弱性严重程度低，需求予以关注，并在适当时候加以整改和加固脆弱性评分规范：根本度量值计算公式和相关参数访问向量本地0.7远程1.0访问复杂性高0.8低1.0鉴权需求0

9、.6不需求1.0性影响无0部分0.7全部1.0性影响权重值正常0.333性0.5一致性0.25可用性0.25一致性影响无0部分0.7全部1.0一致性影响权重值正常0.333性0.5一致性0.25可用性0.25可用性影响无0部分0.7全部1.0可用性影响权重值正常0.333性0.5一致性0.25可用性0.25根本度量值Round_to_1_decimal(10访问向量访问复杂性鉴权(性影响性影响权重值)+( 一致性影响一致性影响权重值)+ (可用性影响可用性影响权重值) 时间度量值计算公式和相关参数可被利用性未证明的0.85有实际证明的0.9实践可行的0.95高1.00可被修复的等级正式修复0.

10、87暂时修复0.90替代方法0.95不可修复1.00报告的性未确认的0.90未证明的0.95已确认的1.00时间度量值= Round_to_1_decimal(根本度量分可被利用性可被修复的等级报告的性)环境度量值计算公式和相关参数附带的损失影响无0低0.1中0.3高0.5目的的分布性无0低0.25中0.75高1.00环境度量值= Round_to_1_decimal(时间度量分+(10-时间度量分) 附带的损失影响) 目的的分布性)脆弱性值计算公式定义：V = INT(环境度量值3/10 + 0.5)脆弱性与要挟映射定义脆弱性类别描画要挟映射环境类缺乏对建筑物、门、窗等的物理维护盗窃对建筑物

11、和房屋等的物理访问控制不充缺点破坏分或不仔细不稳定的电力供应电涌建筑物坐落于易发洪水的区域洪水硬件短少硬件定期改换的方案存储介质失效电压敏感性电压动摇温度敏感性温度大幅度变化对湿度、灰尘、泥土等敏感潮湿、灰尘、泥土等电磁辐射敏感性电子干扰缺乏配置改换控制配置人员错误软件软件测试过程没有或不充分未授权用户运用用户接口复杂操作人员错误短少用户认证、鉴权机制用户身份被冒名顶替缺乏审计记录软件被非授权运用广为人知的软件破绽软件被非授权运用未受维护的口令表用户身份被冒名顶替口令管理机制薄弱如运用易被猜出的口令、用明文存储口令和口令没有强迫性定期更改战略等用户身份被冒名顶替错误的访问权限分配用非授权的方式

12、运用软件对下载和运用软件没有进展控制恶意软件分开电脑时没有退出登录软件被非授权运用短少有效的代码修正控制软件错误短少文档操作人员错误短少备份拷贝恶意软件或火等反复运用的介质未进展适宜的数据去除处置未授权用户运用不用要的效力被启用软件被非授权运用不成熟的或新软件不完全和不充分的测试广泛分发软件分发过程中软件的一致性破坏通讯未维护的通讯线路窃听电缆衔接点通讯浸透缺乏对发送方和接受方身份认证和鉴权机制身份冒用明文传送口令非法用户访问网络缺乏对发送和接受音讯的证明抵赖拨号线路非法用户访问网络敏感流量未维护窃听缺乏的网络管理流量过载未维护的公共网络衔接软件被非授权运用不平安的网络构造网络入侵文档未维护的

13、存储介质盗窃丢弃盗窃未对拷贝进展控制盗窃人员人员旷工人手缺乏未对外部人员或清洁工人的任务进展监视盗窃平安训练缺乏操作人员错误缺乏平安认识用户错误软件和硬件的错误运用操作人员错误缺乏监控机制软件被非授权运用缺乏对通讯介质和音讯正确运用的战略网络设备的非授权运用不完善的招聘流程故意破坏任务流程缺乏信息处置设备运用授权故意破坏对公共可用信息的正式处置缺乏授权机制输入渣滓数据缺乏对访问权限审核的正式处置流程非授权的访问缺乏对挪动计算机运用的平安战略盗窃缺乏对ISMS文档进展控制的处置流程输入渣滓数据缺乏对用户进展注册和注销的正式处置流程非授权的访问缺乏对任务场所外资产的控制盗窃缺乏效力等级协议维护错误

14、缺乏对办公桌和计算机屏幕的清空战略信息偷窃同客户和第三方的合同里缺乏平安相关的条款非授权的访问同雇员的合同里缺乏平安相关的条款非授权的访问短少继续性方案技术缺点缺乏信息平安责任的合理分配抵赖缺乏电子邮件的运用战略音讯的错误传播缺乏风险的识别和评价流程非授权的系统访问缺乏信息处置的分类用户错误缺乏对知识产权的维护流程信息偷窃缺乏平安破绽的报告流程非授权的网络设备运用缺乏新软件安装的管理流程操作人员错误缺乏对信息处置设备的监控非授权的访问缺乏定期审计非授权的访问缺乏定期的管理审核资源滥用缺乏对平安入侵行为的监控机制故意破坏缺乏对任务岗位的信息平安责任描画用户错误缺乏对管理和操作日志中错误报告的记录

15、软件被非授权运用缺乏对管理和操作日志的记录操作人员错误缺乏对平安事故的处置规那么信息盗窃业务运用不正确的参数设置用户错误对运用程序运用了错误的数据数据不可用不能生成管理报告非授权访问日期不正确用户错误常见运用单点缺点通讯效力缺点不充分的维护呼应效力不适宜的选择和操作控制等脆弱性检查工具编号检查工程内容阐明是/否备注1平安战略1.1能否启用了密码复杂性战略1.2能否启用了密码长度战略长度最少8位以上1.3能否启用密码更改周期战略1.4能否启用账户锁定阈值1.5能否启用账户锁定时间1.6能否启用账户自动复位1.7能否启用审核战略1.8能否设置了“IP平安战略管理1.9设定平安记录的访问权限2平安加

16、固2.1本地账户平安2.1.1能否停掉guest账号任何时候都不允许guest账号登录系统为了保险起见，最好给guest加一个复杂的密码2.1.2能否删除不用要的用户账号去掉一切的duplicate user账户，测试用账户，共享账户，普通部门账号等等2.1.3能否创建2个管理员用账号创建一个普通权限账号用来收信以及处置一些日常事物，另一个拥有administrators权限的账户只在需求的时候运用。可以让管理员运用“RunAs命令来执行一些需求特权才干作的一些任务2.1.4能否把系统administrator账号改名该账号不能停用，改名可以预防暴力破解2.1.5不同管理员能否运用各自的管理账

17、号2.1.6能否创建一个圈套账号将权限设置为最低2.2效力平安2.2.1能否封锁不用要的效力2.2.2能否封锁不用要的端口2.2.3能否封锁默许共享2.3文件系统2.3.1一切磁盘逻辑分区能否为NTFS格式2.3.2能否运用了NTFS所提供的平安特性2.4注册表的平安设置2.4.1能否关机时去除掉页面文件HKLMSYSTEMCurrentControlSetControlSession ManagerMemory Management把Clear Page File At Shut down的值设置成12.4.2能否不让系统显示上次登录的用户名HKLMSoftwareMicrosoftWind

18、ows NTCurrent VersionWinlogonDont Display Last User Name把REG_SZ的键值改成12.4.3能否制止建立空衔接Local_MachineSystemCurrentControlSetControlLSA Restrict Anonymous的值改成1即可2.4.4能否锁住注册表2.4.5防止ICMP重定向报文的攻击HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters EnableICMPRedirects REG_DWORD 0 x0(默许值为0 x1)2.4.6

19、能否禁用IGMP协议HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters IGMPLevel REG_DWORD 0 x0 (默许值为0 x2)2.4.7能否制止死网管监测HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters EnableDeadGWDetect REG_DWORD 0 x0默许值为0 x1阐明：假设他设置了多个网管，那么他的机器在处置多个衔接有困难时，就会自动改用备份网关。有时候这并不是一项好主意，建议制止死网关监测2.4.8

20、能否启用防DoSHKLMSYSTEMCurrentContrlSetServicesTcpipParameters中更改以下值可以协助 他防御一定强度的DoS攻击注册表键值略3晋级与维护3.1能否运用了管理运用程序Terminal Service,PcAnywhere3.2分区格式能否为NTFS提高数据的平安性3.3能否采用分区平安原那么系统和运用软件以及数据分开放置3.4能否对分区设置了平安限制经过用户进展权限的职责和划分3.5能否指定专人来维护设备3.6系统维护能否有文字记录3.7能否认期对效力列表进展检查3.8能否进展了日志监视3.9能否认期对开放的端口和链接进展监视3.10能否对关键的

21、共享数据进展了监视3.11能否对进程和系统信息监视3.12能否建立了应急呼应机制3.13能否对运转效力建立了基准线3.14能否安装了最新的补丁程序3.15能否对病毒库进展定期晋级3.16能否对效力器进展定期备份3.17能否对备份系统或磁盘进展相应的平安防护*网安平安措施识别工具任务内容：技术控制措施的识别与确认；管理和操作控制措施的识别与确认；评价日志：单位称号：资产识别担任人：评价人：评价日期/时间：*网安平安措施审计工具类别已有控制措施审计范围结果及备注类别风险控制需求风险控制措施结果备注战略设备管理制度建立健全各种平安相关的规章制定和操作规范，使得维护、检测和呼应环节有章可循、真实有效。

22、机房出入守那么系统平安管理守那么系统平安配置明细网络平安管理守那么网络平安配置明细运用平安管理守那么运用平安配置明细应急呼应方案平安事件处置准那么维护机房严厉按照GB 50174-1993、GB 9361-1988、GB 2887-1982和GB/T 2887-2000等国家规范建立和维护计算机机房。门控安装门控系统保安建立保安制度和保安队伍。电磁屏蔽在必要的地方设置抗电磁干扰和防电磁走漏的设备。病毒防杀全面部署防病毒系统。破绽补丁及时下载和安装最新的破绽补丁模块。平安配置严厉遵守各系统单元的平安配置明细，防止配置中的平安破绽。身份认证根据不同的平安强度，分别采用身份标识/口令、数字钥匙、数字

23、证书、生物识别、双因子等级别的身份认证系统，对设备、用户、效力等主客体进展身份认证。访问控制根据不同的平安强度，分别采用自主型、强迫型等级别的访问控制系统，对设备、用户等主体访问客体的权限进展控制。数据加密根据不同的平安强度，分别采用商密、普密、等级别的数据加密系统，对传输数据和存储数据进展加密。边境控制在网络边境布置防火墙，阻止外界非法访问。数字水印对于需求版权维护的图片、声音、文字等方式的信息，采用数字水印技术加以维护。数字签名在需求防止事后否认时，可采用数字签名技术。内容净化部署内容过滤系统。平安机构、平安岗位、平安责任建立健全平安机构，合理设置平安岗位，明确划分平安责任。检测监视、监测和报警在适当的位置安顿监视器和报警器，在各系统单元中配备监测系统和报警系统，以实时发现平安事件并及时报警。数据校验经过数据校验技术，发现数据篡改。主机入侵检测部署主机入侵检测系统，发现主机入侵行为。主机形状监测部署主机形状监测系统，随时掌握主机运转形状。网络入侵检测部署网络入侵检测系统，发现网络入侵行为。网络形状监测部署网络形状监测系统，随时掌握网络运转形状。平安审计在各系统单元中配备平安审计，以发现深层平