1、第2章 某OA系統信息安全風險評估方案 2.1 風險評估概述 2.2 OA系統概況 2.3 資產識別 2.4 威脅識別2.5 脆弱性識別 2.6 風險分析 2.1.1 背景 某OA系統風險評估的目的是評估辦公自動化（OA）系統的風險狀況，提出風險控制建議，同時為下一步要制定的OA系統安全管理規范以及今后OA系統的安全建設和風險管理提供依據和建議。 需要指出的是，本評估報告中所指的安全風險是針對現階段OA系統的風險狀況，反映的是系統當前的安全狀態。2.1.2 范圍 某OA系統風險評估范圍包括某OA網絡、管理制度、使用或管理OA系統的相關人員以及由其辦公所產生的文檔、數據。2.1.3 評估方式 信

2、息系統具有一定的生命周期，在其生命周期內完成相應的使命。采取必要的安全保護方式使系統在其生命周期內穩定、可靠的運行，是系統各種技術、管理應用的基本原則。本項目的評估主要根據國際標準、國家標準和地方標準，從識別信息系統的資產入手，著重針對重要資產分析其面臨的安全威脅并識別其存在的脆弱性，最后綜合評估系統的安全風險。 資產識別是風險評估的基礎，在所有識別的系統信息資產中，依據資產在機密性、完整性和可用性三個安全屬性的價值不同，綜合判定資產的重要性程度并將其劃分為核心、關鍵、中等、普通和次要5個等級。其中核心、關鍵和中等等級的資產都被列為重要資產，并分析其面臨的安全威脅。 脆弱性識別主要從技術和管理

3、兩個層面，采取人工訪談、現場核查、掃描檢測、滲透性測試等方式，識別系統所存在的脆弱性和安全隱患 對重要資產已識別的威脅、脆弱性，判斷威脅發生的可能性和嚴重性，綜合評估重要信息資產的安全風險。 根據重要信息資產威脅風險值的大小，劃分安全風險等級，判斷不可接受安全風險的范圍、確定風險優先處理等級。 根據不可接受安全風險的范圍、重要信息資產安全風險值和風險優先處理等級，給出風險控制措施。 2.2 OA系統概況2.2.1 OA系統背景 隨著計算機通信以及互聯網技術的飛速發展，社會信息化建設以及網絡經濟為主要特征的新經濟形態正在發展和壯大。辦公自動化正在成為信息化建設的一個重要組成部分，通過規范化和程序

4、化來改變傳統的工作模式，建立一種以高效為特征的新型業務模式。在此背景下決定建設OA系統，建立規范化、程序化工作模式，最終提高工作的效率。2.2.2 網絡結構圖與拓撲圖 該OA系統網絡是一個專用網絡，與Internet物理隔離。該網絡包含OA服務器組、數據庫服務器組、辦公人員客戶端、網絡連接設備和安全防護設備等。OA系統網絡通過一臺高性能路由器連接上級部門網絡，通過一臺千兆以太網交換機連接到下級部門網絡。其中內部骨干網絡采用千兆位以太網，兩臺千兆以太網交換機為骨干交換機，網絡配備百兆桌面交換機用來連接用戶終端。表3-1 NTFS的引導扇區2.2.3 網絡結構與系統邊界 該OA系統網絡分別與上級部

5、門辦公網絡、下級部門辦公網絡連接。其中用一臺高性能路由器連接上級部門辦公網絡，用一臺千兆交換機連接下級部門辦公網絡。具體的系統邊界圖如圖書本23頁圖2-2所示： 表2-1列舉了主要邊界情況。 表2-1 OA系統網絡邊界表網絡連接連接方式主要連接用戶主要用途與下級部門辦公網絡連接千兆以太網（內部）下級部門與下級部門公文流轉等與上級部門辦公網絡連接專用光纖上級部門與上級部門公文流轉等2.2.4 應用系統和業務流程分析 該OA系統使用電子郵件系統作為信息傳遞與共享的工具和手段，滿足辦公自動化系統最基本的通信需求。電子郵件系統作為本系統的通信基礎設施，為各種業務提供通用的通信平臺。 該OA系統采用以電

6、子郵件作為統一入口的設計思想。電子郵件信箱作為發文、收文、信息服務、檔案管理、會議管理等業務的統一“門戶”。每一個工作人員通過關注自己的電子郵件信箱就可以了解到需要處理的工作。各個業務系統通過電子郵件信箱來實現信息的交互和流轉。 例如公文流轉業務中，一般工作人員起草的公文通過電子郵件系統發送到領導的電子信箱中，領導通過查看電子信箱得到文件的初稿。在審批通過后，轉發到公文下發人員。公文下發人員再通過電子郵件系統下發到各個部門各個工作人員的電子信箱中。 2.3 資產識別2.3.1 資產清單 該OA系統資產識別通過分析OA系統的業務流程和功能，從信息數據的完整性，可用性和機密性（簡稱CIA）的安全需

7、求出發，識別CIA三性有影響的信息數據及其承載體和周邊環境。 在本次OA系統風險評估中進行的資產識別，主要分為硬件資產、文檔和數據、人員、管理制度等，其中著重針對硬件資產進行風險評估，人員主要分析其安全職責，IT網絡服務和軟件結合其涉及的硬件資產進行綜合評估。下面列出具體的資產清單。硬件資產見表2-2資產編號資產名稱責任人資產描述ASSET_01OA Server王責OA服務器，實現OA的應用服務ASSET_02DB Server王責DB服務器，存儲OA系統的相關數據ASSET_03NetScreen FW_01李珊防火墻ASSET_04Cisco Router_01李存路由器ASSET_05

8、Cisco Switch_01李存骨干交換機ASSET_06Cisco Switch_02李存骨干交換機ASSET_073Com Switch_01李存二級交換機ASSET_08PC_01張晨用戶終端ASSET_09PC_02陳乙用戶終端表2-2 硬件資產清單資產編號資產名稱責任人資產描述ASSET_10人員檔案于己機構人員檔案數據ASSET_11電子文件數據于己OA系統的電子文件文檔和數據資產見表2-3。表2-3 文檔和數據資產清單資產編號資產名稱責任人資產描述ASSET_12安全管理制度于己機房安全管理制度等ASSET_13備份制度于己系統備份制度制度資產清單見表2-4。表2-4 制度資產

9、清單 人員資產清單見表2-5 表2-5 人員資產清單資產編號資產名稱責任人資產描述ASSET_13王責王責系統管理員ASSET_14李珊李珊安全管理員ASSET_15李存李存網絡管理員ASSET_16張晨張晨普通用戶ASSET_17陳乙陳乙普通用戶ASSET_18于己于己檔案和數據管理員，制度實施者2.3.2 資產賦值 資產賦值對識別的信息資產，按照資產的不同安全屬性，即機密性，完整性和可用性的重要性和保護要求，分別對資產的CIA三性予以賦值。 三性賦值分為5個等級，分別對應了該項信息資產的機密性，完整性和可用性的不同程度的影響，賦值依據如下： 1. 機密性（Confidentiality）賦

10、值依據 根據資產機密性屬性的不同，將它分為5個不同的等級，分別對應資產在機密性方面的價值或者機密性方面受到損失時的影響，如表2-6所示。賦值含義解 釋5很高指組織最重要的機密，關系組織未來發展的前途命運，對組織根本利益有著決定性的影響，如果泄露會造成災難性的影響4高指包含組織的重要秘密，其泄露會使組織的安全和利益遭受嚴重損害3中指包含組織一般性秘密，其泄露會使組織的安全和利益受到損害2低指僅在組織內部或在組織某一部門公開，向外擴散有可能對組織的利益造成損害1很低對社會公開的信息，公用的信息處理設備和系統資源等信息資產如表2-6所示。表2-6 機密性賦值依據表2. 完整性（Integrity）賦

11、值依據 根據資產完整性屬性的不同，將它分為5個不同的等級，分別對應資產在完整性方面的價值或者在完整性方面受到損失時對整個評估的影響，如表2-7所示。賦值含義解 釋5很高完整性價值非常關鍵，未經過授權的修改或破壞會對評估體造成重大的或特別難以接受的影響，對業務沖擊重大，并可能造成嚴重的業務中斷，損失難以彌補4高完整性價值較高，未經過授權的修改或破壞會對評估體造成重大影響，對業務沖擊嚴重，損失比較難以彌補3中完整性價值中等，未經過授權的修改或破壞會對評估體造成影響，對業務沖擊明顯，但損失可以彌補2低完整性價值較低，未經過授權的修改或破壞會對評估體造成輕微影響，可以忍受，對業務沖擊輕微，損失容易彌補

12、1很低完整性價值非常低，未經過授權的修改或破壞會對評估體造成影響，可以忽略，對業務沖擊可以忽略表2-7 完整性賦值依據表 3. 可用性賦值依據 根據資產可用性屬性的不同，將它分為5個不同的等級（見表2-8），分別對應資產在可用性方面的價值或者在可用性方面受到損失時的影響。 表2-8 是可用性賦值依據表賦值含義解 釋5很高可用性價值非常關鍵，合法使用者對信息系統及資源的可用度達到年度99%以上，一般不容許出現服務中斷的情況，否則將對生產經營造成重大的影響或損失4高可用性價值較高，合法使用者對信息系統及資源的可用度達到工作時間95%以上，一般不容許出現服務中斷，否則對生產經營造成一定的影響或損失3

13、中可用性價值中等，合法使用者對信息系統及資源的可用度在工作時間75%以上，容忍出現偶爾和較短時間的服務中斷，且對企業造成的影響不大2低可用性價值較低，合法使用者對信息系統及資源的可用度在正常上班時間達到35%75%1很低可用性價值或潛在影響可以忽略，完整性價值較低，合法使用者對資源的可用度在正常上班時間低于35%表2-8 可用性賦值依據表 根據資產的不同安全屬性，及機密性，完整性和可用性的等級劃分原則，采用專家指定的方法對所有資產CIA三性予以賦值。賦值后的資產清單見表 表2-9 資產CIA三性等級表資產編號資產名稱機密性完整性可用性ASSET_01OA Server555ASSET_02DB

14、 Server555ASSET_03NetScreen FW_01555ASSET_04Cisco Router_01345ASSET_05Cisco Switch_01345ASSET_06Cisco Switch_02345ASSET_073Com Switch_01244ASSET_08PC_01222ASSET_09PC_02222ASSET_10人員檔案552ASSET_11電子文件數據553ASSET_12安全管理制度144ASSET_13備份制度144ASSET_13王責532ASSET_14李珊532ASSET_15李存532ASSET_16張晨132ASSET_17陳乙132

15、ASSET_18于己5322.3.3 資產分級 資產價值應依據資產在機密性、完整性和可用性上的賦值等級，經過綜合評定得出。根據系統業務特點，采取相乘法決定資產的價值。計算公式如下： V=f(x,y,z) = 其中：V表示資產價值，x表示機密性，y表示完整性，z表示可用性。 根據該計算公式可以計算出資產的價值。例如取資產ASSET_01三性值代入公式如下： V=f(5,5,5)= 得資產ASS ET_01的資產價值=5。依此類推得到本系統資產的價值清單如表2-10所示。表2-10 資產價值表資產編號資產名稱機密性完整性可用性資產價值ASSET_01OA Server5555ASSET_02DB

16、Server5555ASSET_03NetScreen FW_015555ASSET_04Cisco Router_013454.2ASSET_05Cisco Switch_013454.2ASSET_06Cisco Switch_023454.2ASSET_073Com Switch_012443.4ASSET_08PC_012222ASSET_09PC_022222ASSET_10人員檔案5523.2ASSET_11電子文件數據5533.9ASSET_12安全管理制度1442.8ASSET_13備份制度1442.8ASSET_13王責5322.8ASSET_14李珊5322.8ASSET_

17、15李存5322.8ASSET_16張晨1322.47ASSET_17陳乙1322.4ASSET_18于己5322.8為與上述安全屬性的賦值相對應，根據最終賦值將資產劃分為5級，級別越高表示資產越重要。表2-11劃分表明了不同等級的重要性的綜合描述。 表2-11 資產重要性程度判斷準則資產價值資產等級資產等級值定義4.2x5很高5價值非常關鍵，損害或破壞會影響全局，造成重大的或無法接受的損失，對業務沖擊重大，并可能造成嚴重的業務中斷，損失難以彌補3.4x4.2高4價值非常重要，損害或破壞會對該部門造成重大影響，對業務沖擊嚴重，損失比較難以彌補2.6x3.4中3價值中等，損害或破壞會對該部門造成

18、影響，對業務沖擊明顯，但損失可以彌補1.8x2.6低2價值較低，損害或破壞會對該部門造成輕微影響，可以忍受，對業務沖擊輕微，損失容易彌補1x1.8很低1價值非常低，屬于普通資產，損害或破壞會對該部門造成的影響可以忽略，對業務沖擊可以忽略表2-11 資產重要性程度判斷準則資產編號資產名稱資產價值資產等級資產等級值ASSET_01OA Server5很高5ASSET_02DB Server5很高5ASSET_03NetScreen FW_015很高5ASSET_04Cisco Router_014.2高4ASSET_05Cisco Switch_014.2高4ASSET_06Cisco Switc

19、h_024.2高4ASSET_073Com Switch_013.4中3ASSET_08PC_012低2ASSET_09PC_022低2ASSET_10人員檔案3.2中3ASSET_11電子文件數據3.9高4ASSET_12安全管理制度2.8中3ASSET_13備份制度2.8中3ASSET_13王責2.8中3ASSET_14李珊2.8中3ASSET_15李存2.8中3ASSET_16張晨2.47低2ASSET_17陳乙2.4低2ASSET_18于己2.8中3 根據表2-11中對資產等級的規定，可以通過資產價值得到資產的等級。本系統的資產等級如上表2-12所示。2.4 威脅識別2.4.1 威脅概

20、述 安全威脅是一種對系統及其資產構成潛在破壞的可能性因素或者事件。無論對于多么安全的信息系統，安全威脅是一個客觀存在的事物，它是風險評估的重要因素之一。 產生安全威脅的主要因素可以分為人為因素和環境因素。人為因素又可區分為有意和無意兩種，環境因素包括自然界的不可抗因素和其他物理因素。威脅作用形式可以是對信息系統直接或間接的攻擊，例如非授權的泄露、篡改、刪除等，在機密性、完整性或可用性等方面造成損害。也可能是偶發的或蓄意的事件。一般來說，威脅總是要利用網絡、系統、應用或數據的弱點才可能成功地對資產造成傷害。安全事件及其后果是分析威脅的重要依據。根據威脅出現頻率的不同，將它分為5個不同的等級。以此

21、屬性來衡量威脅，具體的判斷準則如表2-13所示。等級出現頻率描述5很高威脅利用弱點發生危害的可能性很高，在大多數情況下幾乎不可避免或者可以證實發生過的頻率較高4高威脅利用弱點發生危害的可能性較高，在大多數情況下很有可能會發生或者可以證實曾發生過3中威脅利用弱點發生危害的可能性中等，在某種情況下可能會發生但未被證實發生過2低威脅利用弱點發生危害的可能性較小，一般不太可能發生，也沒有被證實發生過1很低威脅利用弱點發生危害幾乎不可能發生，僅可能在非常罕見和例外的情況下發生表2-13 威脅出現頻率判斷準則2.4.2 OA系統威脅識別 對OA系統的安全威脅分析著重對于重要資產進行威脅識別，分析其威脅來源

22、和種類。在本次評估中，主要采用了問卷法和技術檢測來獲得威脅的信息。問卷法主要收集一些管理相關方面的威脅，技術檢測主要通過分析IDS的日志信息來獲取系統面臨的威脅。表2-14為本次評估分析得到的威脅來源、威脅種類以及威脅發生的頻率。威脅來源威脅描述惡意內部人員因某種原因，OA系統內部人員對信息系統進行惡意破壞；采用自主的或內外勾結的方式盜竊機密信息或進行篡改，獲取利益無惡意內部人員OA系統內部人員由于缺乏責任書，或者由于不關心和不專注，或者沒有遵循規章制度和操作流程而導致故障或被攻擊；內部人員由于缺乏培訓，專業技能不足，不具備崗位技能要求而導致信息系統故障或被攻擊第三方主要指來自合作伙伴、服務提

23、供商、外包服務提供商、渠道和其他與本組織的信息系統有聯系的第三方的威脅設備故障意外事故或由于軟件、硬件、數據、通信線路方面的故障環境因素、意外事故由于斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災、火災、地震等環境條件和自然災害等的威脅表2-14 OA系統潛在的安全威脅來源列表威脅編號威脅種類出現頻率威脅描述THREAT_01硬件故障低由于設備硬件故障、通信鏈路中斷導致對業務高效穩定運行的影響THREAT_02軟件故障低系統本身或軟件缺陷導致對業務高效穩定運行的影響THREAT_03惡意代碼和病毒高具有自我復制、自我傳播能力，對信息系統構成破壞的程序代碼THREAT_04物理環境威脅很

24、低環境問題和自然災害THREAT_05未授權訪問高因系統或網絡訪問控制不當引起的非授權訪問THREAT_06權限濫用中濫用自己的職權，做出泄露或破壞信息系統及數據的行為THREAT_07探測竊密中通過竊聽、惡意攻擊的手段獲取系統秘密信息THREAT_08數據中通過惡意攻擊非授權修改信息，破壞信息的完整性THREAT_09漏洞利用中用戶利用系統漏洞的可能性THREAT_10電源中斷很低通過惡意攻擊使得電源不可用THREAT_11物理攻擊很低物理接觸、物理破壞、盜竊THREAT_12抵賴中不承認收到信息和所作的操作表2-15 OA系統面臨的安全威脅種類依據威脅出現判斷準則，得到威脅出現頻率如表2-

25、15所示。2.5 脆弱性識別 脆弱性識別主要從技術和管理兩個方面進行評估，詳細的評估結果如下所述。該OA系統的脆弱性評估采用工具掃描、配置核查、策略文檔分析、安全審計、網絡架構分析、業務流程分析、應用軟件分析等方法。 根據脆弱性嚴重程度的不同，將它分為5個不同的等級。具體的判斷準則如表2-16所示。威脅編號威脅類別出現頻率威脅描述5很高該脆弱性若被威脅利用，可以造成資產全部損失或業務不可用4高該脆弱性若被利用，可以造成資產重大損失，業務中斷等嚴重影響3中等該脆弱性若被利用，可以造成資產損失，業務受到損害等影響2低該脆弱性若被利用。可以造成資產較少損失，但能在較短的時間可以受到控制1很低該脆弱性

26、可能造成資產損失可以忽略，對業務無損害，輕微或可忽略等影響 根據脆弱性嚴重程度的不同，將它分為5個不同的等級。具體的判斷準則如表2-16所示 2.5.1 技術脆弱性識別 技術脆弱性識別主要從現有安全技術措施的合理性和有效性來分析。評估的詳細結果如表2-17所示。資產ID與名稱脆弱性ID脆弱性名稱嚴重程度脆弱性描述ASSET_01:OA ServerVULN_01rpcstatd: RPC statd remote file creation and removal很高RPC服務導致遠程可以創建、刪除文件。攻擊者可以在主機的任何目錄中創建文件VULN_02CdeDtspcdBo:Multi-ve

27、ndor CDE dtspcd daemon buffer overflow高CDE的子進程中存在有緩沖區溢出的弱點，該弱點可能使黑客執行用戶系統內任意代碼VULN_03smtpscan 指紋識別工具中Smtpscan是一個有Julien Border編寫的，對SMTP服務器進行指紋識別的工具。即使管理員更改了服務器的標識，該工具仍可識別遠程郵件服務器資產ID與名稱脆弱性ID脆弱性名稱嚴重程度脆弱性描述ASSET_01:OA ServerVULN_04DCE服務列舉漏洞低通過與端口135建立連接并發送合適的請求，將會獲得遠程機上運行的DCE服務VULN_05WebDAV服務器啟用低遠程服務器正

28、在運行WebDAV。WebDAV是HTTP規范的一個擴展的標準，允許授權用戶遠程地添加和管理Web服務器的內容。如果不使用該擴展標準，應該禁用此功能VULN_06允許匿名登錄FTP高該FTP服務允許匿名登錄，如果不想造成信息泄露，應該禁用匿名登錄項VULN_07可以通過SMB連接注冊表高用戶可以使用SMB測試中的login/password組合遠程連接注冊表。允許遠程連接注冊表存在潛在危險，攻擊者可能由此獲取更多主機信息ASSET_02:OB ServerVULN_08ADMIN_RESTRICTIONS旗標沒有設置很高監聽器口令沒有正確設置，攻擊者可以修改監聽器參數VULN_09監聽器口令沒

29、有設置很高如果監聽器口令沒有設置，攻擊者可以利用監聽服務在操作系統上寫文件，從而可能獲得Oracle數據庫的賬號ASSET_09:PC_02VULN_18OS識別中確定操作系統的類型和版本號。攻擊者可利用該腳本確定運程操作系統的類型，并過去該主機的更多信息VULN_19惡意代碼、木馬和后門中導致機器被非法控制ASSET_03:NetScreenFW_01VULN_100S識別中確定操作系統的類型和版本號。攻擊者可利用該腳本確定運程操作系統的類型，并過去該主機的更多信息VULN_11防火墻開發端口增加中導致供給著可以利用該漏洞進行控制，極大地降低了防火墻的安全性VULN_12防火墻關鍵模塊失效很

30、高防火墻關鍵模塊失效VULN_13非法流量出外網低防火墻配置可能存在缺陷VULN_14防火墻模塊工作異常中防火墻的異常ASSET_08:PC_01VULN_15SMB登錄高嘗試使用多個login/password組合登錄運程主機VULN_16OS識別中確定操作系統的類型和版本號。攻擊者可利用該腳本確定運程操作系統的類型，并過去該主機的更多信息VULN_17惡意代碼、木馬和后門中導致機器被非法控制ASSET_09:PC_02VULN_18OS識別中確定操作系統的類型和版本號。攻擊者可利用該腳本確定運程操作系統的類型，并過去該主機的更多信息VULN_19惡意代碼、木馬和后門中導致機器被非法控制2.

31、5.2 管理脆弱性識別 本部分主要描述該OA系統目前的信息安全管理上存在的安全弱點現狀以及風險現狀，并標識其嚴重程度。評估的詳細結果如表2-18所示。 表2-18 管理脆弱性識別結果資產ID與名稱脆弱性ID脆弱性名稱嚴重程度脆弱性描述ASSET_12:管理制度VULN_20供電系統狀況脆弱性高沒有配備UPS，沒有專用的供電線路ASSET_12:管理制度VULN_21機房安全管理控制脆弱性中沒有嚴格的執行機房安全管理制度ASSET_12:管理制度VULN_22審計操作規程脆弱性中對OA服務器的管理以及操作審計信息偏少ASSET_12:管理制度VULN_23安全策略脆弱性中由于沒有配備信息安全顧問

32、，導致安全策略不符合實際需求ASSET_12:備份制度VULN_24備份制度不健全脆弱性中沒有制定系統備份制度，出現突發事件后無法進行恢復表2-18 管理脆弱性識別結果2.6 風險分析2.6.1 風險計算方法 在完成了資產識別、威脅識別、脆弱性識別之后，將采用適當的方法與工具確定威脅利用脆弱性導致安全事件發生的可能性。綜合安全事件所作用的資產價值及脆弱性的嚴重程度，判斷安全事件造成的損失對組織的影響，即安全風險。以下面的范式形式化加以說明： 其中：R表示安全風險計算函數，A表示資產，T表示威脅出現頻率，V表示脆弱性，Ia表示安全事件所作用的資產價值，Va表示脆弱性嚴重程度，L表示威脅利用資產的

33、脆弱性導致安全事件發生的可能性，F表示安全事件發生后產生的損失 風險計算的過程中有三個關鍵計算環節：1. 計算安全事件發生的可能性 根據威脅出現頻率及脆弱性的狀況，計算威脅利用脆弱性導致安全事件發生的可能性，即： 安全事件發生的可能性=L(威脅出現頻率，脆弱性) =L(T,V) 在計算安全事件的可能性時，本系統采用矩陣法進行計算。該二維矩陣如表2-19所示。 脆弱性 威脅出現頻率12345124791223610141735912162047111420225812172225表2-19 安全事件可能性計算二維矩陣表 如資產ASSET_01的為授權訪問威脅頻率為3，資產ASSET_01允許匿名

34、登錄FTP脆弱性為4，根據威脅出現頻率值和脆弱性嚴重程度值所在矩陣中進行對照，則： 安全事件發生的可能性=L（威脅出現頻率，脆弱性） =L（3,4）=16 根據計算得到安全事件發生可能性值的不同，將它分為5個不同等級，分別對應安全事件發生可能性的程度。劃分的原則如表2-20所示。安全事件發生可能性值15610111516202125發生可能性等級22345表2-20 安全事件發生可能等級判斷準則 根據安全事件發生可能程度判斷準則判斷，發生可能性等級為4。2. 計算安全事件發生后的損失 根據資產價值及脆弱性嚴重程度，計算安全事件一旦發生后的損失，即： 安全事件的損失=F（資產價值，脆弱性嚴重程度

35、） =F（Ia， Va） 在計算安全事件的損失時，本系統采用矩陣法進行計算。該二維矩陣如表2-21所示。 如資產ASSET_01的資產價值等級為5，資產ASSET_01允許匿名登錄FTP脆弱性嚴重程度為4，根據資產價值等級和脆弱性嚴重程度值在矩陣中進行對照則： 安全事件的損失=F(資產價值，脆弱性嚴重程度) =F(5,4)=21 脆弱性嚴重程度資產價值1234512471013236912163471115204581419225612162125表2-21 安全事件損失計算二維矩陣表根據計算得到安全事件的損失的不同，將它分為5個不同的等級，分別對應安全事件的損失程度。劃分的原則如表2-22所

36、示。 表2-22 安全事件等級判斷準則 安全事件損失值156101511152125安全事件損失等級12345表2-22 安全事件等級判斷準則根據安全事件損失程度判斷準則判斷，則安全事件損失等級為5。3. 計算風險值 根據計算出的安全事件發生的可能性以及安全事件的損失，計算風險值，即： 風險值=R(安全事件發生的可能性，安全事件的損失) = 在計算風險值時，本系統采用矩陣進行計算，該二維矩陣如表2-23所示。 安全事件發生的可能性安全事件的損失123451369121625811151836913182147111621235914202325 如資產ASSET_01的安全事件發生的可能性程度

37、為4，安全事件的損失等級為5，根據資產價值等級和脆弱性程度值在矩陣中進行對照，則： 風險值= = R(4,5)=23 根據計算得到風險值的不同，將它分為5個不同的等級。劃分的原則如表2-24所示。風險值16712131819232425風險等級很低低中高很高表2-24 風險等級判斷準則根據風險等級判斷準則，則風險等級為高。2.6.2 風險分析1. 硬件資產風險分析 利用得到的資產識別、威脅識別和脆弱性識別結果，根據風險分析原理，評估得到本系統的硬件資產風險2-25所示。資產ID與名稱資產等級威脅ID威脅名稱威脅發生可能性脆弱性ID脆弱性名稱脆弱性嚴重程度ASSET_01:OA Server5T

38、HREAT-06未授權訪問4VULN_06允許匿名登錄FTP4VULN_07可以通過SMB連接注冊表4THREAT-09漏洞利用3VULN_03Smtpscan指紋識別3VULN_04DCE服務列舉漏洞2VULN_05WebDAV服務器啟用4ASSET_01:OB Server5THREAT-06未授權訪問4VULN_08ADMIN_RESTRICTIONS旗標沒有設置5VULN_09監聽器口令沒有設置5ASSET_03:NetScreenFW_015THREAT-06未授權訪問4VULN_11防火墻開放端口增加3VULN_12防火墻關鍵模塊失效5THREAT-09漏洞利用3VULN_13非法

39、流量流出外網2VULN_14防火墻模塊工作異常3ASSET_08:PC_012THREAT-03惡意代碼和病毒5VULN_17惡意代碼、木馬和后門3ASSET_09:PC_022THREAT-03惡意代碼和病毒5VULN_19惡意代碼、木馬和后門3表2-25 硬件資產風險分析表 下面以資產ASSET_01為例計算該資產的風險值和風險等級。1）. 計算安全事件發生的可能性 根據威脅出現頻率及脆弱性的狀況，在計算安全事件發生的可能性時，本系統采用矩陣法進行計算。該二維矩陣如表2-26所示。 脆弱性嚴重程度資產價值1234512479122361014173591216204711142022581

40、2172225表2-26 安全事件可能性計算二維矩陣表 資產ASSET_01的未授權訪問威脅發生頻率=3，資產ASSET_01允許匿名登錄FTP脆弱性嚴重等級=4，根據安全事件可能性計算矩陣，則： 安全事件的可能性=16。安全事件可能性值1561011516202125發生可能性等級12345安全事件發生可能等級判斷準則如表2-27所示。根據安全事件可能程度判斷準則判斷，則： 安全事件發生可能性等級=42）. 計算安全事件發生后的損失 根據資產價值及脆弱性嚴重程度，在計算安全事件的損失時，本系統采用矩陣進行計算。該二維矩陣如表2-28所示。 脆弱性嚴重程度資產價值123451247101323

41、691216347111520451814192256112162125資產ASSET_01的資產價值等級=5，資產ASSET_01允許匿名登錄FTP脆弱性嚴重等級=4，根據資產價值等級和脆弱性嚴重程度值在矩陣中進行對照，則： 安全事件的損失=F（資產價值等級，脆弱性嚴重程度） =F（5,4）=21 安全事件損失等級判斷準則如表2-29所示安全事件損失值1561011516202125安全事件損失等級12345表2-29 安全事件損失等級判斷準則 根據安全事件損失程度判斷準則判斷，則 安全事件損失等級=53）. 計算風險值 根據計算出的安全事件發生的可能性以及安全事件的損失，在計算風險值時，本系統采用矩陣法進行計算。該二維矩陣如表2-30所示 安全事件發生的可能性12345安全事件的損失136912162581115183691318214711162123591420232