1、1111 單位:1111 系統安全項目信息安全風險評估報告我們單位名日期報告編寫人：日期：批準人：日期：版本號：第一版本日期第二版本日期終板目錄2.3邊界數據流向5用我生分析6.1風險分析概述9附錄A:脆弱性編號規則1概述1.1 項目背景為了切實提高各系統的安全保障水平，更好地促進各系統的安全建設工作，提升奧運保障能力，需要增強對于網運中心各系統的安全風險控制，發現系統安全風險并及時糾正。根據網絡與信息安全建設規劃，為了提高各系統的安全保障和運營水平，現提出系統安全加固與服務項目。1.2 工作方法在本次安全風險評測中將主要采用的評測方法包括:?人工評測；?工具評測；洲查問卷；?顧問訪談。1.3

2、 評估范圍此次系統測評的范圍主要針對該業務系統所涉及的服務器、應用、數據庫、網絡設備、安全設備、終端等資產。主要涉及以下方面：1）業務系統的應用環境，；2）網絡及其主要基礎設施，例如路由器、交換機等；3）安全保護措施和設備，例如防火墻、IDS等；4）信息安全管理體系（ISMS）1.4 基本信息被評估系統名稱xx系統業務系統負責人評估工作配合人員2業務系統分析5.1 業務系統職能5.2 網絡拓撲結構圖表1業務系統拓撲結構圖5.3 邊界數據流向編號邊界名稱邊界類型路徑系統發起方數據流向現有安全措施1.MDN系統類MDN本系統/對端系統雙向系統架構隔離3資產分析f8030-Numbered_a632

3、9f2a-063b-48ed-b607-40b7c2ba49a5-Numbe 信息資產分析信息資產識別概述資產是風險評估的最終評估對象。在一個全面的風險評估中，風險的所有重要因素都緊緊圍繞著資產為中心，威脅、脆弱性以及風險都是針對資產而客觀存在的。威脅利用資產自身的脆弱性使得安全事件的發生成為可能，從而形成了風險。這些安全事件一旦發生，將對資產甚至是整個系統都將造成一定的影響。資產被定義為對組織具有價值的信息或資源，資產識別的目標就是識別出資產的價值，風險評估中資產的價值不是以資產的經濟價值來衡量，而是由資產在其安全屬性一一機密性、完整性和可用性上的達成程度或者其安全屬性未達成時所造成的影響程

4、度來決定的。資產估價等級賦值高3中2低1信息資產識別資產分類資產組IP地址/名稱資產估價等級組號資產編號具體資產物理資產服務器1.H001sunultra60中H002sunultra60中H003sunultra60高H004sunultra60高網絡設備2.N001華為3680E中N002華為3680E中N003華為S2016中軟件資產操作系統、數據庫和應用軟件3.H001Solaris高H002Solarisr高H003Solaris高H004Solaris高4.D001Sybase高4威脅分析4.1 威脅分析概述威脅是指可能對資產或組織造成損害事故的潛在原因。作為風險評估的重要因素，威

5、脅是一個客觀存在的事物，無論對于多么安全的信息系統都存在。威脅可能源于對系統直接或間接的攻擊，例如信息泄漏、篡改、刪除等，在機密性、完整性或可用性等方面造成損害；威脅也可能源于偶發的、或蓄意的事件。按照威脅產生的來源，可以分為外部威脅和內部威脅：(1)外部威脅：來自不可控網絡的外部攻擊，主要指移動的CMNET、其它電信運營商的Internet互聯網，以及第三方的攻擊，其中互聯網的威脅主要是黑客攻擊、蠕蟲病毒等，而第三方的威脅主要是越權或濫用、泄密、篡改、惡意代碼或病毒等。(2)內部威脅：主要來自內部人員的惡意攻擊、無作為或操作失誤、越權或濫用、泄密、篡改等。另外，由于管理不規范導致各支撐系統之

6、間的終端混用，也帶來病毒泛濫的潛在威脅。對每種威脅發生的可能性進行分析，最終為其賦一個相對等級值，將根據經驗、有關的統計數據來判斷威脅發生的頻率或者概率。威脅發生的可能性受下列因素影響：1)資產的吸引力；2)資產轉化成報酬的容易程度;3）威脅的技術力量；4）脆弱性被利用的難易程度。卜面是威脅標識對應表:威脅等級賦值可能帶來的威脅可控性發生頻度高3黑客攻擊、惡息代碼和病毒等完全/、可控出現的頻率較局（或1次/月）；或在大多數情況下很啟可能會發生；或可以證實多次發生過。中2物理攻擊、內部人員的操作失誤、惡意代碼和杭附等一定的可控性出現的頻率中等（或1次/半年）；或在某種情況卜可能會發生；或被證實曾

7、經發生過。低1內部人員的操作失誤、惡意代碼和病母等較大的可控性出現的頻率較小；或一般不太可能發生；或沒有被證實發生過。威脅分類下面是針對威脅分類對威脅途徑的描述，其中不包括物理威脅:威脅種類威脅途徑操作錯誤合法用戶工作失誤或疏忽的可能性濫用授權合法用戶利用自己的權限故意或非故意破壞系統的可能性行為抵賴合法用戶對自己操作行為否認的可能性身份假冒非法用戶冒充合法用戶進行操作的可能性密碼分析非法用戶對系統密碼分析的可能性安全漏洞非法用戶利用系統漏洞侵入系統的可能性拒絕服務非法用戶利用拒絕服務手段攻擊系統的可能性惡意代碼病毒、特洛伊木馬、蠕蟲、邏輯炸彈等感染的可能性竊聽數據非法用戶通過竊聽等手段盜取重

8、要數據的可能性社會工程非法用戶利用社交等手段獲取重要信息的可能性意外故障系統的組件發生意外故障的可能性通信中斷數據通信傳輸過程中發生意外中斷的可能性威脅主體下面對威脅來源從威脅主體的角度進行了威區等級分析：威脅主體面臨的威脅威脅主體面臨的威脅系統合法用戶（系統管理員和其他授權用戶）操作錯誤濫用授權行為抵賴系統非法用戶（權限較低用戶和外部攻擊者）身份假冒密碼分析安全漏洞拒絕服務惡意代碼竊聽數據社會工程系統組件意外故障通信中斷威脅識別序號資產編號操作錯誤濫用授權行為抵賴身份假冒密碼分析安全漏洞拒絕K務惡意代碼竊聽數據社會工程意外故障通信中斷1.N0012223131221二1二2.N0021222

9、313122113.N0031222313122114.H0011121113112115.H0021121113112116.H0031121113112117.H0041121113112118.D0011122213112115脆弱性分析脆弱性分析概述脆弱性是指資產或資產組中能被威脅所利用的弱點，它包括物理環境、組織機構、業務流程、人員、管理、硬件、軟件及通訊設施等各個方面，這些都可能被各種安全威脅利用來侵害一個組織機構內的有關資產及這些資產所支持的業務系統。各種安全薄弱環節自身并不會造成什么危害，只有在被各種安全威脅利用后才可能造成相應的危害。需要注意的是不正確的、起不到應有作用的或沒

10、有正確實施的安全保護措施本身就可能是一個安全薄弱環節。這里將對脆弱性被威脅利用的可能性進行評估，最終為其賦相對等級值。脆弱性等級賦值描述高3很容易被攻擊者利用，會對系統造成極大損害；中2脆弱項雖然對系統安全有一定影響，但其被利用需要一定難度；低：1脆弱項被利用后會對系統產生有限影響；在脆弱性評估時的數據來源應該是資產的擁有者或使用者，相關業務領域的專家以及軟硬件信息系統方面的專業人員。在本次評估中將從技術、管理兩個方面進行脆弱性評估。其中在技術方面主要是通過遠程和本地兩種方式進行工具掃描、手動檢查等方式進行評估，以保證脆弱性評估的全面性和有效性；管理脆弱性評估方面主要是對現有的安全管理制度的制

11、定和執行情況進行檢查，發現其中的管理漏洞和不足。技術脆弱性分析網絡平臺脆弱性分析華為交換機、路由器設備脆弱性分析，下面按照嚴重程度高、中、低的順序排列：脆弱性編號脆弱性名稱受影響的資產嚴重程度V30001.未對super密碼加密:高V30002.未進行用戶權限設置高V30003.未對VTY的訪問限制r中V30004.未進行登陸超時設置中V30005.未禁用FTP服務中V30006.未進行日志審計中V30007.未對VTY的數量限制低操作系統脆弱性分析S o l a r i s操 作 系 統 脆 弱 性 分 析 ， 下 面 按 照 嚴 重 程 度 高 、 中 、 低 的 順 序 排 列 :脆弱性

12、編號脆弱性名稱受影響的資產嚴重程度V22001.存在可能無用的組中V22002.1存在沒有所有者的文件低V22003.不記錄登錄失敗事件低脆弱性掃描結果分析掃描資產列表廳 P設備/系統名稱IP地址掃描策略是否掃描1.網絡設備與防火墻是2.網絡設備與防火墻是3.solaris系統、solaris應用是4.solaris系統、solaris應用是5.solaris系統、solaris應用是6.solaris系統、solaris應用是7.windows終端windows系統是8.1windows終端windows系統是9.windows終端windows系統是高危漏洞分析

13、Solaris操作系統高危漏洞如下:脆弱性編號脆弱性名稱受影響的資產嚴重程度V22004.OpenSSHS/Key遠程信息泄露漏洞中V22005.OpenSSHGSSAPI信號處理程序內存兩次釋放漏洞中V22006.OpenSSH復制塊遠程拒絕服務漏洞中系統帳戶分析本次掃描未發現系統帳戶信息應用帳戶分析本次掃描未發現應用帳戶信息管理脆弱性分析項目子項檢查結果可能危害項目子項檢查結果可能危害安全策略信息安全策略是否有針對業務系統的安全策略有無是否傳達到相關員工有無是否有復核制度無明確的復核制度安全策略與現狀不符合，貫徹不力安全組織基礎組織保障部門職責分配有無與外部安全

14、機構的合作合作較少對取新的安全動態和系統現狀的了解不足，不能及時響應最新的安全問題第三方訪問安全訪問控制外來人員參觀機房需要有信息中心專人陪同無保密合同有無資產分類與控制資產分類資產清單和描述有無資產分類按業務角度進行分類無人員安全崗位和資源工作職責有無崗位劃分劃分明確無能力要求有，對人員基本能力有明確的技術要求無保密協議簽訂保密協議無培訓定期培訓公司定期培訓，無針對本系統的培訓不能完全適合該業務系統的實際情況，缺少針對性安全意識員工安全意識比較強無事故處理事故報告制度有事件報告機制，有明確規定無事故事后分析有無糾正機制有糾正機制無通訊與運行管理操作規程和職責操作規程文件有明確的操作規程文件及

15、文檔指南無安全事故管理責任有完整流程，并作相應記錄無內務處理信息備份有詳細的備份計劃無保持操作記錄有完善的操作記錄無故障記錄有無系統訪網絡訪問外聯用戶控制有防火墻無項目子項檢查結果可能危害問控制控制網絡路由控制有，A 做的無網絡連接控制有無網絡隔離控制劃分 vlanvlanbe應用系統訪問控制用戶認證用戶名和密碼簡單認證模式未授權用戶威脅系統安全口令管理有無文件共享無無數據庫系統訪問控制用戶權限控制有無訪問權限控制有無口令控制有無日常維護業務系統監控有，并且有記錄無網絡監控有，統一部署的無維護文檔更新有無系統日志有無業務連續性管理容災備份核心服務器冗余核心服務器數據庫有備份無關鍵鏈路冗余有無數

16、據庫備份有數據備份無技術支持安全機構支持有無集成商的技術服務和支持華為無證據收集沒有采取收集證據的方式來維護自己的利%自身利益可能受到損失安全策略和技術安全策略信息系統有安全策略并經常被審查，集團下發的一些東西無技術符合性檢驗有，定期進行技術審查以確保符合安全實現標準無脆弱性識別序號資產編號操作錯誤濫用授權行為抵賴身份假冒密碼分析安全漏洞拒絕K務惡意代碼竊聽數據社會工程意外故障通信中斷1.N001二212313111112.N0021212313111113.N0031212313111114.H0011121112111115.H0021121112111116.H0031121112111

17、117.H0041121112111118.D0011121112111116風險分析風險分析概述風險是指特定的威脅利用資產的一種或一組脆弱性，導致資產的丟失或損害的潛在可能性，即特定威脅事件發生的可能性與后果的結合。風險只能預防、避免、降低、轉移和接受，但不可能完全被消滅。在這個過程中，將根據上面評估的結果，選擇適當的風險計算方法或工具確定風險的大小與風險等級，即對每一業務系統的資產因遭受泄露、修改、不可用和破壞所帶來的任何影響做出一個風險測量的列表，以便識別與選擇適當和正確的風險控制策略，這也將是策劃信息安全體系架構的重要步驟。資產風險分布圖表 2 2 資產風險分布圖資產風險列表根據風險的

18、計算公式函數：R=f(A,T,V)=f(Ia,L(Va,T),其中R代表風險,A代表資產的估價，T代表威脅，V代表脆弱性。我們得出下表：序號資產編號操作錯誤濫用授權行為抵賴身份假冒密碼分析安全漏洞拒絕K務惡意代碼竊聽數據社會工程意外故障通信中斷1.N00131261227327663332.N00231261227327663333.N00331261227327663334.H001331233318363335.H002331233318363336.H003331233318363337.H004331233318363338.D001331266318336337系統安全加固建議管理類

19、建議編號脆弱性描述安全加固建議1.缺少明確的復核制度在安全體系中完善復核制度，明確執行方法2.與外部女全機構的合作較少，對取新的安全動態和系統現狀的了解/、足，不能及時響應最新的安全問題加強與安全服務商的合作，定期開展培訓和系統風險評估與加固工作3.在對設備和系統的維護管理中缺少強制使用身份認證和通訊加密的要求采用SSH等非明文傳輸的管理工具， 并啟用認證系統7.2 技術類建議7.2.1安全措施編號脆弱性描述安全加固建議1.系統邊界缺少安全防護措施出口鏈路中增加防火墻進行訪問控制和安全隔離2.系統邊界出口缺少冗余措施出口鏈路中增加鏈路冗余，減少發生通訊故障的風險。或者對關鍵設備做冷備3.內部骨干鏈路與核心設備之間缺少冗余措施骨干鏈路中增加鏈路冗余，減少發生通訊故障的風險。或者對關鍵設備做冷備4.系統的內部網絡中缺少入侵檢測技術手段在內部核心交換處部署IDS設備5.系統中缺少對流量做監控的技術手段在關鍵鏈路或核心交換處增加流量監控設備7.2.2網絡平臺華為交換機、路由器設備加固建議:脆弱性編號脆弱性描述安全加固建議加固風險/條件V30001.未對supe