- 项目背景
随着信息化技术的快速发展,特别是面向社会、政府机构、企业等业务系统的投入使用,各组织机构对网络和信息系统安全防护都提出了新的要求。为满足安全需求,需对组织机构的网络和信息系统的安全进行一次系统全面的评估,以便更加有效的保护组织机构各项业务应用的安全。
从政府部门网站、智慧校园或大型企业网站选取合适的评估对象进行信息安全风险管理,对该组织的网络和信息系统进行全面的信息安全风险评估,找出系统目前存在的安全风险,提供风险评估报告。并依据该报告,实现对信息系统进行新的安全建设规划。构建安全的信息化应用平台,提高组织的信息安全技术保障能力。任务书内容
任务书内容:任务书(封皮、任务书)、目录、评估管理报告、收获和体会。
概述
南阳城市一卡通,是关系到各城市广大民众日常出行的应用最为广泛的支付系统。本次风险评估主要针对其下的公交业务系统进行评估。
评估范围和对象
本次评估的范围主要针对公交业务系统涉及的服务器,应用软件,数据库,网络设备、安全设备等资产
主要涉及如下方面:
网络架构主要基础设施,如路由器、交换机
业务系统的应用软件,智慧公交管理平台提供的应用服务
系统软件,智慧公交管理平台采用的操作系统、数据库系统及相关产品的安全
数据库,用户和公交车的各种数据
安全设备,如防火墙,IDS等
硬件设备,包括服务器主机等
目标
保护信息资产的完整性、机密性和可用性,确保信息资源得以合理利用。
预防各类威胁因素(如病毒、木马、网络钓鱼等)对信息系统的侵害,提升信息系统的安全性能。
提高组织内员工的安全意识,降低潜在的人为失误所导致的信息风险。
评估安全策略的有效性
组建适当的评估管理与实施团队
组织方式
选择分散式组织方式:各个部门或业务线自行负责信息安全管理。
组织结构
1.风险委员会:该委员会由高管领导,包括各职能部门的代表。该委员会负责确定组织的风险,并指导整个风险评估过程。
2.项目团队:负责执行具体任务,在风险评估过程中负责数据收集、风险分析等任务。
3.风险管理部门:就是专门研究公司的风险所在,制定预防措施和应急处置方案,开展统一管理的部门。
4.内部审计组:内部审计部门对公司经营活动进行审计,从反欺诈、反腐败等多个角度去审查公司业务,并发出意见书,提供帮助。
5.第三方顾问和承包商:作为机构,第三方顾问和承包商不仅具备风险评估专业知识,而且能够为组织提供的意见和建议。
角色及职责
办公室:内设档案管理中心
管理信息部:负责公交的业务统计工作,汇总和编制各类业务统计报表。负责全行信息工作
运营部:运营部门人员负责规划和执行公交车路线,制定每日运营计划。他们还需要确保公交车系统的日常维护和保养工作得以完成。
信息IT部:负责全司计算机网络系统的安全策略规划和实施。
信息系统基本情况
网络结构
南阳市一卡通公交智慧系统的网络结构分为三部分:核心网络、外网区域和业务应用单位网络。下图所示为核心网络拓扑图:
图1-1 南阳市一卡通公交智慧系统网络拓补图
调研信息
实施团队对“南阳市一卡通公交智慧系统”进行调研,按照物理层面、网络层面、系统层面、应用层面、数据层面、管理层面等多个方面进行,主要调研内容如下表所示。
| 类型 | 调研内容 |
| 物理层面 | 从环境和设备两个方面了解现有的措施和实施情况。环境方面包括静电、灰尘、散热、消防,设备方面包括物理区隔离情况 |
| 网络层面 | 从网络拓补图了解整个系统的内网划分情况。从网络流量监控和远程安全登录等方面设备部署、配置、运维和审计情况等 |
| 系统层面 | 系统主要包括数据库服务系统、备份服务系统、服务器操作系统的配置和参数、主机安全加固和补丁更新 |
| 应用层面 | 系统涉及的软件,中间件,插件的部署和版本,和软件默认用户账号、访问控制等方面,了解应用运行整个流程的安全情况 |
| 数据层面 | 从数据存储加密、数据传输加密、数据输入检验、数据备份等方面,了解数据全生命周期情况 |
| 管理层面 | 从安全策略、管理策略、应急响应管理等方面了解现有管理层面的问题 |
调研结果
经过调研和整理,得到结果如下表:
| 类型 | 子类型 | 基本情况 |
| 物理层面 | 散热、消防 | 机房配备有空调和风扇,但内部自动灭火喷头不足,无法覆盖机房所有区域 |
| 物理区隔离 | 机房隔壁为卫生间,有用水设备 | |
| 网络层面 | 网络拓补结构/内网划分 | 系统部署有数据库服务器、备份服务器和应用服务器。其中数据库服务器和备份服务器网络接入同一个交换机,防火墙和路由器,应用服务器接入另一条线路的交换机防火墙和路由器 |
| 远程安全登录 | 采用ssh和https协议进行远程安全登陆,通过防火墙白名单对通入内网的ip进行限制 | |
| 系统层面 | 数据库系统 | 数据库采用的是mysql5.7稳定版本,适配大部分软件 |
| 服务器操作系统的配置/安全补丁加固 | 服务器采用ubuntu20tls版本,系统内核补丁全部为最新安装 | |
| 应用层面 | 系统使用的软件/默认用户 | 系统使用到的软件有数据库软件phpmyadmin,默认用户为root,已进行密码修改和普通用户增加 |
| 系统使用的中间件 | 网站搭建使用的中间件为Apache2.4,已为该中间件打上版本所包含的所有最新安全补丁 | |
| 数据层面 | 数据存储加密 | 数据库存储数据采用sha256加密,不可暴力破解 |
| 数据传输加密 | 数据传输采用公钥私钥认证,认证通过方可接收 | |
| 数据备份 | 数据库服务器配置定期从数据库中备份数据到备份服务器 | |
| 管理层面 | 安全策略 | 包括对对机房的非法入侵和防盗报警措施。重要设备的访问控制进行角色划分,实现管理用户的权限分离,重要文件加密存储。 |
| 管理策略 | 包括关键岗位人员必须签署保密协议,不得随意下载公司内部隐私信息,不得在工作机上进行与工作无关的操作,工作机要及时安装杀毒软件和更新,发现问题及时通报修补。定期开展员工培训,加强员工网络安全意识。 |
评估准备
工作过程
| 编号 | 评估阶段 | 工作内容 |
| 1 | 评估准备 | 制定整体计划,对资产、威胁、脆弱性进行分级赋值,然后整理选择本次评估需要的工具 |
| 2 | 识别并评估资产 | 对系统资产进行整理、编号、分析并赋值 |
| 3 | 识别并评估威胁 | 对系统面临的威胁进行整理、判断并赋值 |
| 4 | 识别并评估脆弱性 | 对系统存在的脆弱性进行整理、测试、判断并确认其是否存在,进行脆弱性赋值 |
| 5 | 识别已有的安全措施 | 整理已有安全措施并和技术管理 |
| 6 | 风险分析评价 | 整合各关键资产对应的威胁、脆弱性,根据资产价值和威胁频率,脆弱性值(严重程度),计算安全事件可能性和安全事件损失,最终计算风险值,得到表格 |
| 7 | 风险处置建议 | 依据各个风险描述和优先级,给出风险处理方式和具体处理措施 |
| 8 | 编制评估报告 | 根据以上过程得到最终评估报告,提交到决策层进行评审 |
人工的安全配置核查
• 路由器、交换机等网络设备的配置是否最优,是否配置了安全参数;
• 主机系统的安全配置策略是否最优
• 对终端设备和主机系统抽查进行病毒扫描
• 对防火墙、入侵检测等安全产品进行漏洞检查
问卷调研
• 调研对象:网络系统管理员、安全管理员、技术负责人
• 调研内容:业务、资产、威胁、脆弱性(管理方面)
人员访谈
• 访谈对象:安全管理员、网络系统管理员,用户
• 访谈内容:确认问卷调查结果,详细获取管理执行现状,听取用户想法和意见
风险分级
风险分级准则可以基于以下几个方面:
1.资产影响范围:公交信息系统信息泄漏、故障等安全风险所带来的影响范围,包括是否只是单一站点遭受攻击还是整个系统遭受攻击,是否会对整个城市的交通引起不良后果等因素。
2.威胁:公交信息系统发生安全事故的概率或者频率,比如被病毒感染等事件在该系统中发生的可能性有多大等。
3.脆弱性:如果安全事故发生,造成的后果程度是什么样的,比如是否有可能导致损失巨大的停运、数据丢失、经济损失等问题。
4.预防和控制成本:管理人员维护公交信息系统需要努力预防和控制服务过程中风险的成本,包括使用技术进行调查和修复活动成本等。
资产分级准则
可用性
| 等级 | 标志 | 描述 |
| 5 | 很高 | 可用性需求很高、合法使用者对信息及信息系统的可用度达到年度99.9%以上、或不允许中断 |
| 4 | 高 | 可用性需求高、合法使用者对信息及信息系统的可用度达到每天90%以上 |
| 3 | 中 | 可用性需求一般、合法使用者对信息及信息系统的可用度在需求工作时间达到60%以上 |
| 2 | 低 | 可用性需求低、合法使用者对信息及信息系统的可用度达到正常工作时间的25%以上 |
| 1 | 很低 | 可用性需求很低合法使用者对信息及信息系统的可用度在正常工作时间低于25% |
表1-1 可用性分级准则表
机密性
| 等级 | 标志 | 描述 |
| 5 | 很高 | 组织的最高机密,如果泄露会造成灾难性的损害 |
| 4 | 高 | 组织的重要秘密,其泄露会使组织的安全和利益受到损害 |
| 3 | 中 | 组织的一般性秘密,其泄露会使组织的安全和利益受到伤害 |
| 2 | 低 | 仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成轻微损害 |
| 1 | 很低 | 已公开信息 |
表 1-2机密性分级准则表
完整性
| 等级 | 标志 | 描述 |
| 5 | 很高 | 完整性价值非常关键,未经授权的修改或破坏会对组织造成无法弥补的影响,会造成严重的业务中断,难以弥补. |
| 4 | 高 | 完整性价值较高,未经授权的修改或破坏会对组织造成重大影响,对业务影响较大,难以弥补. |
| 3 | 中 | 完整性价值中等,未经授权的修改或破坏会对组织造成影响,对业务冲击明显,但可以弥补 |
| 2 | 低 | 完整性价值较低,未经授权的修改或破坏会对 |
| 1 | 很低 | 完整性价值非常低,未经授权的修改或破坏对 |
威胁分级准则
| 等级 | 标志 | 描述 |
| 5 | 很高 | 威胁出现频率很高,大多数情况下无法避免或者经常发生 |
| 4 | 高 | 威胁出现频率高,大多数情况下很有可能发生 |
| 3 | 中 | 威胁出现频率中等,大多数情况下可能会发生 |
| 2 | 低 | 威胁出现频率低,大多数情况下不会发生 |
| 1 | 很低 | 威胁出现频率很低,仅在非常罕见的情况下才会发生 |
脆弱性分级准则
| 等级 | 标志 | 描述 |
| 5 | 很高 | 如果被威胁利用,将对系统造成完全性损害 |
| 4 | 高 | 如果被威胁利用,将对系统造成重大损害 |
| 3 | 中 | 如果被威胁利用,将对系统造成一般损害 |
| 2 | 低 | 如果被威胁利用,将对系统造成较低损害 |
| 1 | 很低 | 如果被威胁利用,对系统造成的损害可以忽略 |
风险评估工具
| 分类 | 工具 | 说明 |
| 渗透测试工具 | metasploit | 一款开源的安全漏洞检测工具,可以识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供安全风险情报 |
| Immunity canwa | 安全漏洞检测工具,包含了480多个以上的漏洞利用,是一款针对对象广泛的自动化漏洞利用工具 | |
| 日志审计工具 | 火绒剑 | 火绒内置的插件,一款运行在Windows平台的安全分析工具 |
| PowerTool | 一个强大的内核级监控工具,可以查看进程、驱动模块、内核、 | |
| 漏洞扫描工具 | Appscan | 采用黑盒测试的方式,可以扫描常见的 web 应用安全漏洞, |
| D盾 | 专为IIS设计的一个主动防御的保护软件,以内外保护的方式 防止网站和服务器被入侵 | |
| 流量分析工具 | wireshark | 网络封包分析软件,可以截取各种网络数据包,并显示数据包详细信息 |
| Fiddler | Web调试工具之一,能记录所有客户端和服务器的http和https请求,允许监视,设置断点,修改输入输出数据. | |
| 终端连接工具 | Xshell | 远程安全连接终端的软件 |
风险识别
对资产进行分层识别:
顶层业务资产,下有一个公交业务,公交业务下又包含智慧公交管理平台、公交信息数据资产、通信网络三个系统类资产,智慧公交管理平台资产包含应用服务器、操作系统等组件资产
数据资产下又包含数据库服务器等组件资产
通信网络包含路由器交换机等组件资产
最终得到表格如下:
| 资产分层 | 资产编号 | ||
| 业务资产 | A001 | ||
| 系统资产 | B001 | ||
| 公交信息数据资产 | 数据资产 | ||
| B003 | |||
| 系统组件和单元资产 | FW1、FW2 | ||
| 操作系统 | 系统软件资产,各服务器使用的操作系统 | ||
| S1 | |||
| 数据库服务器 | 硬件资产,存储公交信息数据 | ||
| S3 | |||
| 路由器(2个) | 硬件资产 | ||
| L1、L2 |
对资产进行赋值,得到表格如下:
| 资产编号 | 资产名称 | 安全属性赋值 | 权值 | 资产价值 | 资产重要性 | ||||
| 保密性 | 完整性 | 可用性 | 保密性 | 完整性 | 可用性 | ||||
| S1 | 应用服务器 | 4 | 5 | 5 | 0.3 | 0.3 | 0.4 | 4.7 | 很高 |
| S2 | 数据库服务器 | 5 | 4 | 3 | 0.5 | 0.4 | 0.1 | 4.4 | 很高 |
| L1 | 交换机 | 2 | 3 | 4 | 0.3 | 0.2 | 0.5 | 3.2 | 高 |
| B001 | 智慧公交管理平台 | 3 | 4 | 4 | 0.3 | 0.3 | 0.4 | 3.7 | 高 |
| B003 | 通信网络 | 4 | 3 | 4 | 0.6 | 0.2 | 0.2 | 3.8 | 高 |
| FW1 | 防火墙服务器 | 3 | 3 | 3 | 0.3 | 0.2 | 0.5 | 3 | 高 |
对公交企业智慧管理平台的网络资产有可能受到的安全危害进行分析,从威胁来源、威胁主体、威胁种类、威胁动机、威胁频率五方面来分析。
威胁主体分为人为和非人为,人为的表示国家、组织团体和个人的行为,人为的分为环境影响、网络自身问题、系统问题
威胁动机分为恶意和非恶意,恶意即实施对象有意破防,非恶意则为失误、环境、客观漏洞存在等
威胁来源分为外部和内部的,即企业外部造成的威胁和企业内部造成的威胁
整理图表如下:
| 威胁主体 | 威胁动机 | 威胁种类 | |||
| 非人为 | 非恶意 | 电源故障 | |||
| 恶劣天气、自然灾害 | |||||
| 粉尘 | |||||
| 内部的 | 1 | ||||
| 1 | |||||
| 使用的插件和服务产品漏洞 | |||||
| 使用非官方软件 | |||||
| 系统的 | 2 | ||||
| 1 | |||||
| 网络的 | 外部的 | 2 | |||
| 3 | |||||
| 1 | |||||
| 滥用权限 | |||||
| 物理的 | 1 | ||||
| 内部的 | 2 | ||||
| 2 | |||||
对“南阳市一卡通智慧公交系统”相关资产进行脆弱性的识别,确定脆弱性的危害严重程度、利用脆弱性难易程度,依据评估准备阶段制定的脆弱性分类准则对脆弱性进行赋值,从物理脆弱性、技术脆弱性、管理脆弱性三个方面展开。
物理环境脆弱性
现场核查主要对机房环境进行检查,结果如下表:
| 序号 | 检查项 | 检查内容 | 检查结果 | 存在脆弱性 |
| 1 | 机房环境 | 电磁安全防护 | 能较好地屏蔽电磁干扰 | 否 |
| 2 | 机房环境 | 消防安全防护 | 机房内部自动灭火喷头不足,无法覆盖机房所有区域 | 是 |
| 3 | 机房环境 | 物理区域是否隔离 | 机房隔壁为卫生间,有用水设备 | 是 |
| 4 | 通信网络B001 | 是否明文通信 | 明文通信 | 是 |
| 是否做通信线路的保护 | 未做通信线路的保护 | 是 |
技术脆弱性
对“南阳市一卡通智慧公交系统”相关软硬件存在的技术方面的脆弱性进行识别,物理安全、操作系统、应用系统、中间件、存储备份等在内的各个方面进行检查
| 序号 | 检查项 | 检查内容 | 检查结果 | 存在脆弱性 |
| 1 | S1应用服务器 | 使用的操作系统是否存在漏洞 | 使用的操作系统未及时打补丁 | 是 |
| 2 | 使用的中间件是否存在漏洞 | 未检测到漏洞,已打最新补丁 | 否 | |
| 3 | 访问控制策略 | 访问控制策略不完整,可以越权访问 | 是 | |
| 4 | 代码审计 | 未发现漏洞代码 | 否 | |
| 5 | 登陆验证 | 登陆未做人机验证,可能被暴力破解 | 是 | |
| 6 | S2数据库服务器 | 数据是否定时备份 | 数据已定时备份 | 否 |
| 7 | 存储数据是否加密 | 数据已加密 | 否 | |
| 8 | S3 备份服务器 | 安全策略 | 符合要求 | 否 |
| 9 | L1/L2 交换机 | 日志缓存 | 未设置日志缓存 | 是 |
| 10 | VLAN设置 | Vlan设置符合安全要求 | 否 | |
| 11 | FW1/FW2防火墙 | 安全策略 | 网络安全策略不完整 | 是 |
| 12 | 日志缓存 | 未指定日志服务器 | 是 | |
| 13 | 超时退出 | 300秒 | 否 | |
| 14 | AR1/AR2 路由器 | 安全策略 | 网络安全策略完整 | 否 |
管理脆弱性
识别“南阳市一卡通智慧公交系统”设计、建设和运行时各生命周期阶段管理工作中存在的脆弱性,具体检查内容包括管理制度、系统运维、项目管理、业务连续性、应急响应等。信息系统的严格管理时企业及用户免受攻击的重要措施。管理是网络安全得到保证的重要组成部分。
管理脆弱性的识别主要是通过访谈交流、文档审查、符合性检查、现场查看以及综合分析得出。
| 序号 | 检查内容 | 检查结果 | 存在脆弱性 |
| 1 | 资产管理 | 包含与信息系统相关的重要资产信息,以及对应负责部门和重要程度 | 未发现 |
| 2 | 员工操作管理 | 包括关键岗位人员必须签署保密协议,不得随意下载公司内部隐私信息,不得在工作机上进行与工作无关的操作,工作机要及时安装杀毒软件和更新。员工未及时对报警进行响应和维修 | 发现 |
| 3 | 网络安全管理 | 包括对对机房的非法入侵和防盗报警措施。重要设备的访问控制进行角色划分,实现管理用户的权限分离,重要文件加密存储 | 未发现 |
| 4 | 业务日常运维管理 | 具有规范的日常检查、安全配置、日志管理和日常操作等流程规定 | 未发现 |
| 5 | 应急响应流程管理 | 建立了应急响应制度,对应急事件发生的应急报警,系统排查、进程排查、服务排查、日志分析、流量分析等方面做出规定 | 未发现 |
| 6 | 备份方案管理 | 未进行及时备份和备份维护 | 发现 |
脆弱性赋值和评价
本阶段根据脆弱性的严重程度为脆弱性进行赋值,赋值依据评估准备阶段制定的脆弱性分级准则进行赋值,脆弱性的赋值分为五个等级。
| 序号 | 脆弱性编号 | 说明 | 等级 | |
| 1 | 物理环境脆弱点 | EV001 | 机房内部自动灭火喷头不足,无法覆盖机房所有区域 | 2 |
| EV002 | 机房隔壁为卫生间,有用水设备 | 1 | ||
| EV003 | 通信明文通信 | 3 | ||
| EV004 | 未做通信线路的保护 | 2 | ||
| 2 | 技术脆弱点 | TV001 | S1使用的操作系统未及时打补丁 | 3 |
| TV002 | S1访问控制策略不完整,可以越权访问 | 3 | ||
| TV003 | S1登陆未做人机验证,可能被暴力破解 | 3 | ||
| TV004 | L1未设置日志缓存 | 4 | ||
| TV005 | FW1网络安全策略不完整 | 3 | ||
| TV006 | FW1未指定日志服务器 | 3 | ||
| 3 | 管理脆弱点 | MV001 | 未进行及时备份和备份维护 | 3 |
| MV002 | 员工未及时对报警进行响应和维修 | 5 |
| 安全措施 | |
| 安全意识调查 | |
| 安全控制措施调查表 | |
| 公交业务原理分析 | |
| 无害测试 |
风险评估与评价
综合风险分析
| 资产 | 威胁 | 脆弱性 | 影响 | 加固措施 | ||
| 应用服务器S1 | 暴力破解 | 登陆未做人机验证 | 运行减慢或者故障 | 做好人机验证,限制错误次数 | ||
| 越权访问 | 没有做访问控制 | 数据泄露 | Ip白名单 | |||
| 黑客非法窃取数据 | 数据泄露 | ip白名单 | ||||
| 漏洞利用 | 使用的操作系统未及时打补丁 | 系统被注入木马后门,资源被二次利用 | 设置定时更新打补丁系统任务 | |||
| 核心交换机A1 | 误操作 | 没有设置日志缓存 | 日志数据溢出,无法查看误操作命令内容 | 设置日志缓存 | ||
| 软件故障 | 无法查看错误日志,加大修复难度 | 设置日志缓存 | ||||
| 防火墙FW1 | 未授权访问 |
| 安全管理信息泄露 | 配置安全策略 | ||
| 误操作 | 造成系统崩溃或者数据丢失 | 配置安全策略 | ||||
| 误操作 | 未设置日志服务器 | 无法追溯负责人和错误操作代码 | 设置日志服务器 | |||
| 人员管理 | 数据丢失 | 未进行及时备份和备份维护 | 出现问题时无法进行数据恢复 | 配置自动备份 | ||
| 漏洞利用,服务瘫痪 | 员工未及时对报警进行响应和维修 | 黑客利用漏洞拿下平台甚至服务器,影响服务正常运行 | 配备人员时刻对平台进行维护 | |||
| 通信网络B003 | 黑客非法窃取通信数据 | 明文通信 | 公司内重要通信信息泄露 | 做好加密传输 | ||
| 传输意外中断 | 未做通信线路的保护 | 通信信息缺失 | 做好通信线路的保护 | |||
| 传输被恶意破坏 | 通信信息缺失甚至无法进行正常通信 | 做好通信线路的保护 |
风险评价
定性风险分析
| 编号 | 类别 | 安全风险 | 安全风险描述 | 风险等级 |
| A1 | 机房环境 | 消防存在漏洞 | 机房内部自动灭火喷头不足,无法覆盖机房所有区域 | 2 |
| A2 | 通信网络B003 | 未保障通信的安全传输 | 明文传输,未做通信线路的保护 | 3 |
| A3 | 应用服务器S1 | 使用的操作系统是否存在漏洞 | 使用的操作系统未及时打补丁 | 3 |
| A4 | 防火墙FW1 | 网络安全策略存在漏洞 | 网络安全策略不完整 | 3 |
| A5 | 交换机L1 | 日志信息溢出 | 未设置日志缓存 | 4 |
| A6 | 管理制度 | 维护不及时 | 员工未及时对报警进行响应和维修 | 3 |
| A7 | 备份方案 | 找不到备份 | 未进行及时备份和备份维护 | 2 |
定量风险分析
矩阵法
安全事件发生可能性矩阵
| 脆弱性赋值 威胁赋值 | 1 | 2 | 3 | 4 | 5 |
| 1 | 2 | 4 | 7 | 11 | 14 |
| 2 | 3 | 6 | 10 | 13 | 17 |
| 3 | 5 | 9 | 12 | 16 | 20 |
| 4 | 7 | 11 | 14 | 18 | 22 |
| 5 | 8 | 12 | 17 | 20 | 25 |
安全事件可能性等级划分
| 安全事件发生可能性 | 1-5 | 6-10 | 11-15 | 16-20 | 21-25 |
| 发生可能性等级 | 1 | 2 | 3 | 4 | 5 |
安全事件损失值
| 资产价值 严重程度 | 1 | 2 | 3 | 4 | 5 |
| 1 | 2 | 4 | 6 | 10 | 13 |
| 2 | 3 | 5 | 9 | 12 | 16 |
| 3 | 4 | 7 | 11 | 15 | 20 |
| 4 | 5 | 8 | 14 | 19 | 22 |
| 5 | 6 | 10 | 16 | 21 | 25 |
安全事件损失值等级划分
| 安全事件发生可能性 | 1-5 | 6-10 | 11-15 | 16-20 | 21-25 |
| 发生可能性等级 | 1 | 2 | 3 | 4 | 5 |
风险值矩阵
| 损失等级 可能性 | 1 | 2 | 3 | 4 | 5 |
| 1 | 3 | 6 | 9 | 12 | 16 |
| 2 | 5 | 8 | 11 | 15 | 18 |
| 3 | 6 | 9 | 13 | 17 | 21 |
| 4 | 7 | 11 | 16 | 20 | 23 |
| 5 | 9 | 14 | 20 | 23 | 25 |
| 编号 | 类型 | 安全风险 | 安全风险描述 | 风险等级 |
| QR1 | 网络安全 | S1(应用服务器)登陆未做人机验证 | 暴力破解 | 4 |
| QR2 | S1(应用服务器)未做访问控制 | 越权访问 | 3 | |
| QR3 | S1(应用服务器)未做访问控制 | 黑客非法窃取数据 | 3 | |
| QR4 | S1(应用服务器)未做访问控制 | 漏洞利用 | 4 | |
| QR5 | L1(核心交换机)未设置日志缓存 | 误操作但可能日志溢出无法查看内容 | 4 | |
| QR6 | L1(核心交换机)未设置日志缓存 | 软件故障 | 3 | |
| QR7 | FW1(防火墙1)网络安全策略不全 | 可能导致未授权访问 | 3 | |
| QR8 | FW1(防火墙1)网络安全策略不全 | 员工误操作 | 3 | |
| QR9 | FW1(防火墙1)未设置日志服务器 | 误操作无法查看具体内容 | 3 | |
| QR10 | 物理安全 | B003(通信网络)明文通信 | 可能信息泄露 | 3 |
| QR11 | B003(通信网络)未做通信线路的保护 | 传输意外中断 | 3 | |
| QR12 | B003(通信网络)未做通信线路的保护 | 传输被恶意破坏 | 3 |
最后形成资产风险等级统计表
| 资产 | 风险等级数目 | 综合风险等级 | ||||
| 很高 | 高 | 中 | 低 | 很低 | ||
| S1 | 0 | 2 | 2 | 0 | 0 | 4 |
| L1 | 0 | 1 | 1 | 0 | 0 | 4 |
| FW1 | 0 | 0 | 3 | 0 | 0 | 3 |
| B003 | 0 | 0 | 3 | 0 | 0 | 3 |
风险处置和批准监督
最后形成风险处置计划
| 风险分类 | 风险二级分类 | 风险描述 | 处理方式 | 措施编号 | 处理措施 | 优先级 |
| 人机验证 | 验证管理 | 存在暴力破解漏洞,攻击者可以通过字典暴力破解账号 | 风险规避 | M2 | 使用验证码验证是否是人为操作,并对登陆失败次数进行限制 | 高 |
| 访问控制 | 权限管理 | 存在越权访问,攻击通过纵向特权升级来提升自己权限来进行非法操作。或者非法读取重要数据 | 风险降低 | M1 | 在代码级别,使开发人员声明每个资源允许的访问,并默认拒绝访问。对权限进行二次确认 | 中 |
| 安全策略 | 补丁更新 | 操作44及时更新补丁,攻击者可通过最新爆出的漏洞对平台进行攻击 | 风险降低 | M1 | 安排人员时刻关注追踪爆出的最新的漏洞,并及时修补打补丁 | 高 |
| 应急响应 | 日志缓存 | 出现误操作或者软件故障时无法及时定位问题,日志溢出 | 风险规避 | M2 | 设置日志缓存 | 中 |
