中石化石勘院信息安全風險評估報告中石化石勘院信息安全風險評估報告（版本號：V1.0）北京子輝恒信科技有限公司2012年11月

文檔信息項目名稱中石化石勘院信息安全風險評估項目合同編號FXPG-20121106項目經理魏益民項目階段風險評估處置版本V1.0受控狀態(tài)受控擬制閆曉楠日期2012.11批準魏益民日期2012.11生效日期2012.11文件版本信息日期版本描述作者2012.11V1.0信息安全風險評估報告閆曉楠版權說明本文件中出現(xiàn)的任何文字敘述、文檔格式、插圖、照片、方法、過程等內容，除另有特別注明，均為保密信息。任何個人、機構未經中石化石勘院書面授權許可，不得復制、引用或傳播本文件的任何片斷，無論通過電子形式或非電子形式。

目錄一、前言 51.1背景和目的 51.2評估范圍 5二、 風險評估綜述 52.1 風險評估概念 52.2 風險評估目的和意義 52.3 風險評估相關術語 62.4 風險評估依據(jù) 62.5 信息安全風險等級 7三、 風險評估概述 73.1 風險評估過程 73.2 評估步驟 83.3 風險評估使用工具 9四、 資產識別與分析 104.1資產概述 104.1.1資產類型 104.1.2資產賦值 114.2中石化石勘院資產賦值表 13五、 威脅識別與分析 135.1 威脅概述 135.2 威脅識別 15六、 脆弱性識別與分析 156.1 脆弱性分類 156.2 脆弱性賦值 166.3 脆弱性情況總述 16七、 現(xiàn)有安全控制措施有效性分析 177.1 現(xiàn)有安全控制措施識別內容 177.2 現(xiàn)有安全控制措施確認 17八、 風險分析 198.1 風險計算方法 198.2 風險可接受標準 19九、 殘余風險處置 19十、 風險分析結果及處置方案 2010.1 風險分析結果匯總 2010.2 主要風險列表及建議 2010.2.1 CRM系統(tǒng) 2010.2.2 業(yè)務支撐系統(tǒng) 2210.2.3 OA系統(tǒng) 23十一、 總結 25

一、前言1.1背景和目的中國石化石油勘探開發(fā)研究院(下稱“中石化石勘院”）作為一個大型的網絡系統(tǒng)，隨著業(yè)務數(shù)量的增多和網絡規(guī)模的不斷擴大，系統(tǒng)的安全事件也日益增多，沒有準確及時的風險評估，將無法對信息安全的狀況做出準確的判斷。為有力保障中石化石勘院信息系統(tǒng)安全、可靠、有序、高效地運行，特進行本次信息安全風險評估工作。本次評估項目共包括中石化石勘院的CRM系統(tǒng)、業(yè)務支撐系統(tǒng)和OA系統(tǒng)，本風險評估報告，詳細描述了中石化石勘院相關系統(tǒng)面臨的安全風險狀況。本次安全風險評估分析可以幫助中石化石勘院了解相關系統(tǒng)當前信息資產的實際安全狀況，明確信息資產的價值、面臨的威脅和風險，以便進一步掌握當前面臨的安全風險和安全狀況，明晰安全目標和現(xiàn)實狀況之間的距離，并進行正確的決策：同時可以發(fā)現(xiàn)系統(tǒng)中比較迫切的網絡安全需求，為下階段的需求分析提供客觀準確的數(shù)據(jù)。1.2評估范圍本次評估主要針對中石化石勘院CRM系統(tǒng)、業(yè)務支撐系統(tǒng)和OA系統(tǒng)的關鍵信息資產、網絡狀況以及相應的管理/策略/人員等各個方面進行了安全評估。信息安全風險評估內容包括資產的識別與賦值、威脅的識別與賦值、脆弱性的識別與賦值、現(xiàn)有安全控制措施的識別與確認，整體風險的評估，最終形成本報告。風險評估綜述風險評估概念信息安全風險評估是參照風險評估標準和管理規(guī)范，對信息系統(tǒng)的資產價值、潛在威脅、薄弱環(huán)節(jié)、已采取的防護措施等進行分析，從而判斷安全事件發(fā)生的概率以及可能造成的損失，提出風險管理措施的過程。風險評估目的和意義信息安全風險評估是信息安全保障體系建立過程中的重要的評價方法和決策機制，沒有準確及時的風險評估，將無法對其信息安全的狀況做出準確的判斷。為有力保障中石化石勘院信息系統(tǒng)安全、可靠、有序、高效地運行，特進行本次信息安全風險評估工作。風險評估相關術語信息安全風險評估informationsecurityriskassessment依據(jù)有關信息安全技術與管理標準，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的過程。它要評估資產面臨的威脅以及威脅利用脆弱性導致安全事件的可能性，并結合安全事件所涉及的資產價值來判斷安全事件一旦發(fā)生對組織造成的影響。信息系統(tǒng)informationsystem由計算機及其相關的和配套的設備、設施(含網絡)構成的，按照一定的應用目標和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。典型的信息系統(tǒng)由三部分組成：硬件系統(tǒng)（計算機硬件系統(tǒng)和網絡硬件系統(tǒng)）；系統(tǒng)軟件（計算機系統(tǒng)軟件和網絡系統(tǒng)軟件）；應用軟件（包括由其處理、存儲的信息）。信息安全風險評估服務提供者informationsecurityriskassessmentSeriviceProvlder具備一定的風險評估能力，按照合同或協(xié)議，為信息系統(tǒng)所有者提供信息安全風險評估服務的組織。資產asset對組織具有價值的信息或資源，是安全策略保護的對象。威脅threat可能導致對系統(tǒng)或組織危害的不希望事故潛在起因。脆弱性vulnerability可能被威脅所利用的資產或若干資產的薄弱環(huán)節(jié)。殘余風險residualrisk采取了安全措施后，信息系統(tǒng)仍然可能存在的風險。風險評估依據(jù)主要依據(jù)：《信息安全風險評估實施指南》（國家標準報批稿）《信息安全等級保護管理辦法》（公通字[2007]43號）《信息安全技術信息安全風險評估規(guī)范》（GB/T20984-2007）《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號）1994年國務院頒布的《中華人民共和國計算機信息系統(tǒng)安全保護條例》單位依據(jù)：《中石化石勘院信息安全管理要求》《中石化石勘院信息系統(tǒng)安全管理制度》信息安全風險等級根據(jù)《信息網絡安全風險評估實施指南》，由風險后果等級和風險概率矩陣將風險劃分為5個等級。等級越大，風險越高。如下表所示：風險等級的劃分風險后果等級風險概率很低低中等高災難性必然發(fā)生中等高極高極高極高非常可能中等高高極高極高有可能低中等高高極高不太可能低低中等高極高不可能低低低中等高風險評估概述風險評估過程信息安全風險評估可分為評估準備、風險識別、風險分析、風險處置四個關鍵階段。風險評估實施流程如下圖所示：

風險評估實施流程評估步驟風險評估步驟風險評估項目描述備注1、信息安全風險評估知識培訓網絡信息安全典型案例培訓目的是為了讓中石化石勘院項目組成員對網絡安全有個清晰的認識，從而在評估前就引起其重視，方便后面工作的開展。網絡安全評估流程培訓目的是為了讓中石化石勘院相關人員能了解我們的工作流程，配合我們的工作。2、資產識別收集信息完成《資產信息登記表》訪談、問卷調查3、威脅識別對物理安全進行評估參照《物理安全規(guī)范表》訪談、查看相關文檔實地考察對人員安全管理進行評估參照《人員安全管理規(guī)范表》訪談人事部門相關人員4、脆弱性識別（完成網絡安全、應用安全、主機安全規(guī)范表）整體網絡安全信息Xscan-gui進行全網安全掃描，獲得全網的安全統(tǒng)計使用網絡版殺毒軟件對全網絡的操作系統(tǒng)漏洞情況進行掃描統(tǒng)計使用工具共享資源掃描整個網絡，同時演示暴露在內網中的敏感信息應用服務Nessus對服務器系統(tǒng)進行安全掃描使用自動化評估腳本對服務器安全信息進行收集根據(jù)checklist對服務器進行本地安全檢查使用密碼強度測試工具請求客戶網管進行密碼強度測試網絡設備Nessus對網絡設備進行安全掃描使用密碼強度測試工具請求客戶網管進行密碼強度測試根據(jù)checklist對網絡設備進行本地安全檢查5、安全管理評估網絡拓撲結構分析分析冗余、負載均衡功能數(shù)據(jù)安全調查《數(shù)據(jù)安全規(guī)范表》管理機構評估《安全管理機構規(guī)范表》訪談相關領導安全管理制度《安全管理制度規(guī)范表》文件審核問卷調查系統(tǒng)建設管理《系統(tǒng)建設管理規(guī)范表》訪談網絡管理員文件審核系統(tǒng)運維管理《系統(tǒng)運維管理規(guī)范表》訪談部門領導、網管實地考察6、滲透測試滲透測試參考有關滲透測試方案簽署有關授權協(xié)議滲透測試報告《中石化石勘院系統(tǒng)滲透測試報告》7、數(shù)據(jù)整理、風險評估報告以及加固建議資產風險《風險評估報告》信息系統(tǒng)安全《風險評估報告》領導參閱版和技術人員參閱版整改建議《風險整改建議》根據(jù)checklis進行加固風險評估使用工具序號名稱功能描述版本用途1數(shù)據(jù)庫安全掃描系統(tǒng)可掃描Qracle、SqlServer、SybaseV2.0數(shù)據(jù)庫漏洞掃描2ISS網絡掃描器可掃描各類操作系統(tǒng)和應用系統(tǒng)V1.0網絡、主機漏洞掃描3天鏡脆弱性掃描系統(tǒng)可掃描各類操作系統(tǒng)和應用系統(tǒng)V6.0網絡、主機漏洞掃描4極光遠程安全評估系統(tǒng)可掃描各類操作系統(tǒng)和應用系統(tǒng)V5.0網絡、主機漏洞掃描5網絡綜合協(xié)議分析儀OptiView網絡透視與協(xié)議分析，網絡性能測評V1.110網絡流量監(jiān)控6網絡系統(tǒng)管理,HPOpenView自動發(fā)現(xiàn)網絡拓撲圖、網絡性能與故障管理V2.0繪制網絡拓撲圖資產識別與分析在資產識別過程中，通過資料收集、問卷調查、訪談的方式現(xiàn)場確認和收集了中石化石勘院相關系統(tǒng)的所有網絡及服務器資產信息。4.1資產概述4.1.1資產類型資產是使用單位直接賦予了價值因而需要保護的東西，它可能是以多種形式存在，有無形的、有有形的，有硬件、有軟件，有文檔、代碼，也有服務、企業(yè)形象等。每一類資產存在的弱點、面臨的威脅、需要進行的保護和安全控制都各不相同。機密性、完整性和可用性是評價信息資產的三個安全屬性。風險評估中資產的價值不僅僅以資產的經濟價值來衡量，而且由資產在這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定。安全屬性達成程度的不同將使資產具有不同的價值，而資產面臨的威脅、存在的脆弱性以及已采用的安全措施都將對資產安全屬性的達成程度產生影響。為此，有必要對組織中的資產進行識別。對信息系統(tǒng)及相關的資產恰當?shù)姆诸悾沁M行風險評估下一步工作的基礎。依據(jù)資產的屬性，分為如下類型：類別示例數(shù)據(jù)保存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、運行管理規(guī)程、計劃、報告、用戶手冊等軟件系統(tǒng)軟件：操作系統(tǒng)、語句包、工具軟件、各種庫等應用軟件：外部購買的應用軟件，外包開發(fā)的應用軟件等源程序：各種共享源代碼、自行或合作開發(fā)的各種代碼等硬件網絡設備：路由器、網關、交換機等計算機設備：大型機、小型機、服務器、工作站、臺式計算機、移動計算機等存儲設備：磁帶機、磁盤陣列、磁帶、光盤、軟盤、移動硬盤等傳輸線路：光纖、雙絞線等保障設備：動力保障設備（UPS、變電設備等）、空調、保險柜、文件柜、門禁、消防設施等安全保障設備：防火墻、防病毒網關、入侵檢測系統(tǒng)、身份驗證等其他：打印機、復印機、掃描儀、傳真機等服務辦公服務：為提高效率而開發(fā)的管理信息系統(tǒng)（MIS），包括各種內部配置管理、文件流轉管理等服務網絡服務：各種網絡設備、設施提供的網絡連接服務信息服務：對外依賴該系統(tǒng)開展的各類服務文檔紙質的各種文件，如傳真、電報、財務報告、發(fā)展計劃等人員掌握重要信息和核心業(yè)務的人員，如主機維護主管、網絡維護主管及應用項目經理等其它企業(yè)形象，客戶關系等4.1.2資產賦值資產估價的過程也就是對資產保密性、完整性和可用性的影響進行分析的過程。資產安全屬性的不同通常也意味著安全控制、保護功能需求的不同。通過考察資產的保密性、完整性和可用性，并對其進行賦值，從而反映出資產的價值。資產的最終賦值由子輝恒信和中石化石勘院共同確定。保密性賦值根據(jù)資產在保密性上的不同要求，將其分為五個不同的等級，分別對應資產在機密性上達成的不同程度或者機密性缺失時對整個組織的影響。資產機密性賦值表賦值標識定義5很高包含組織最重要的秘密，關系未來發(fā)展的前途命運，對組織根本利益有著決定性的影響，如果泄露會造成災難性的損害4高包含組織的重要秘密，其泄露會使組織的安全和利益遭受嚴重損害3中等組織的一般性秘密，其泄露會使組織的安全和利益受到損害2低僅能在組織內部或在組織某一部門內部公開的信息，向外擴散有可能對組織的利益造成輕微損害1很低可對社會公開的信息，公用的信息處理設備和系統(tǒng)資源等完整性賦值根據(jù)資產在完整性上的不同要求，將其分為五個不同的等級，分別對應資產在完整性上缺失時對整個組織的影響。資產完整性賦值表賦值標識定義5很高完整性價值非常關鍵，未經授權的修改或破壞會對組織造成重大的或無法接受的影響，對業(yè)務沖擊重大，并可能造成嚴重的業(yè)務中斷，難以彌補。4高完整性價值較高，未經授權的修改或破壞會對組織造成重大影響，對業(yè)務沖擊嚴重，較難彌補。3中等完整性價值中等，未經授權的修改或破壞會對組織造成影響，對業(yè)務沖擊明顯，但可以彌補。2低完整性價值較低，未經授權的修改或破壞會對組織造成輕微影響，對業(yè)務沖擊輕微，容易彌補。1很低完整性價值非常低，未經授權的修改或破壞對組織造成的影響可以忽略，對業(yè)務沖擊可以忽略。可用性賦值根據(jù)資產在可用性上的不同要求，將其分為五個不同的等級，分別對應資產在可用性上應達成的不同程度。資產可用性賦值表賦值標識定義5很高可用性價值非常高，合法使用者對信息及信息系統(tǒng)的可用度達到年度99.9%以上，或系統(tǒng)不允許中斷。4高可用性價值較高，合法使用者對信息及信息系統(tǒng)的可用度達到每天90%以上，或系統(tǒng)允許中斷時間小于10分鐘。3中等可用性價值中等，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達到70%以上，或系統(tǒng)允許中斷時間小于30分鐘。2低可用性價值較低，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達到25%以上，或系統(tǒng)允許中斷時間小于60分鐘。1很低可用性價值可以忽略，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間低于25%。資產重要性等級依據(jù)保密性、完整性和可用性上的賦值等級，可以評定出資產重要性的等級。根據(jù)最終賦值將資產劃分為五級，級別越高表示資產越重要，確定重要資產的范圍，并主要圍繞重要資產進行下一步的風險評估。資產等級及含義描述等級標識描述5很高非常重要，其安全屬性破壞后可能對組織造成非常嚴重的損失。4高重要，其安全屬性破壞后可能對組織造成比較嚴重的損失。3中比較重要，其安全屬性破壞后可能對組織造成中等程度的損失。2低不太重要，其安全屬性破壞后可能對組織造成較低的損失。1很低不重要，其安全屬性破壞后對組織造成導很小的損失，甚至忽略不計。4.2中石化石勘院資產賦值表本次評估的系統(tǒng)包括CRM系統(tǒng)、業(yè)務支撐系統(tǒng)、OA系統(tǒng)。從資產的角度來看，本次參與評估的設備包括交換機、路由器、應用服務器、PC等九大類，賦值情況如下：資產賦值表資產編號資產類型保密性完整性可用性資產值A-01交換機1111A-02路由器3333A-03防火墻3333A-04防病毒網關3333A-05上網行為管理3333A-06數(shù)據(jù)服務器4444A-07應用服務器2554A-08PC2222A-其它其它2222資產值=保密性值*完整性值*可用性值/3中石化石勘院信息資產識別的詳細結果，見《中石化石勘院風險評估資產清單》。威脅識別與分析威脅概述安全威脅是一種對機構及其資產構成潛在破壞的可能性因素或者事件。無論對于多么安全的信息系統(tǒng)，安全威脅是一個客觀存在的事物，它是風險評估的重要因素之一。威脅與脆弱性不相同，脆弱性是信息系統(tǒng)自身存在的安全問題，而威脅是通過各種手段，利用信息系統(tǒng)自身脆弱性，對信息系統(tǒng)產生影響。脆弱性在信息系統(tǒng)中是固定的，而威脅在信息系統(tǒng)中會根據(jù)網絡環(huán)境不同、用戶來源不同、用戶使用習慣不同、管理制度執(zhí)行情況不同而發(fā)生變化。威脅分析的目的就是需要找出這個可變的因素，分析識別出這些可變因素可能造成的影響，控制和管理這些動態(tài)的因素，最終降低信息系統(tǒng)存在的風險。對安全威脅進行分類的方式有多種多樣，參照國際通行做法和子輝恒信專家經驗，本項目中我們將采用下述的安全威脅列表。種類描述威脅子類軟硬件故障由于設備硬件故障、通訊鏈路中斷、系統(tǒng)本身或軟件缺陷造成對業(yè)務實施、系統(tǒng)穩(wěn)定運行的影響。設備硬件故障、傳輸設備故障、存儲媒體故障、系統(tǒng)軟件故障、應用軟件故障、數(shù)據(jù)庫軟件故障、開發(fā)環(huán)境故障。物理環(huán)境影響斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災、火災、地震等環(huán)境問題或自然災害。無作為或操作失誤由于應該執(zhí)行而沒有執(zhí)行相應的操作，或無意地執(zhí)行了錯誤的操作，對系統(tǒng)造成的影響。維護錯誤、操作失誤管理不到位安全管理無法落實，不到位，造成安全管理不規(guī)范，或者管理混亂，從而破壞信息系統(tǒng)正常有序運行。惡意代碼和病毒具有自我復制、自我傳播能力，對信息系統(tǒng)構成破壞的程序代碼。惡意代碼、木馬后門、網絡病毒、間諜軟件、竊聽軟件越權或濫用通過采用一些措施，超越自己的權限訪問了本來無權訪問的資源，或者濫用自己的職權，做出破壞信息系統(tǒng)的行為。未授權訪問網絡資源、未授權訪問系統(tǒng)資源、濫用權限非正常修改系統(tǒng)配置或數(shù)據(jù)、濫用權限泄露秘密信息網絡攻擊利用工具和技術，如偵察、密碼破譯、安裝后門、嗅探、偽造和欺騙、拒絕服務等手段，對信息系統(tǒng)進行攻擊和入侵。網絡探測和信息采集、漏洞探測、嗅探（賬戶、口令、權限等）、用戶身份偽造和欺騙、用戶或業(yè)務數(shù)據(jù)的竊取和破壞、系統(tǒng)運行的控制和破壞物理攻擊通過物理的接觸造成對軟件、硬件、數(shù)據(jù)的破壞。物理接觸、物理破壞、盜竊泄密信息泄露給不應了解的他人。內部信息泄露、外部信息泄露篡改非法修改信息，破壞信息的完整性使系統(tǒng)的安全性降低或信息不可用。篡改網絡配置信息、篡改系統(tǒng)配置信息、篡改安全配置信息、篡改用戶身份信息或業(yè)務數(shù)據(jù)信息抵賴不承認收到的信息和所作的操作和交易。原發(fā)抵賴、接收抵賴、第三方抵賴威脅嚴重程度由威脅發(fā)生可能性與破壞程度兩方面因素綜合確定，其量化值見下表：等級標識定義5很高出現(xiàn)的頻率很高（或≥1次/周）；或在大多數(shù)情況下幾乎不可避免；或可以證實經常發(fā)生過。4高出現(xiàn)的頻率較高（或≥1次/月）；或在大多數(shù)情況下很有可能會發(fā)生；或可以證實多次發(fā)生過。3中出現(xiàn)的頻率中等（或>1次/半年）；或在某種情況下可能會發(fā)生；或被證實曾經發(fā)生過。2低出現(xiàn)的頻率較小；或一般不太可能發(fā)生；或沒有被證實發(fā)生過。1很低威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生。威脅識別具體識別出的威脅，請參考本文檔的第八部分。脆弱性識別與分析脆弱性也稱為弱點，它和資產緊密相連，脆弱性只是一種客觀存在的條件或環(huán)境，本身不會造成損失，但是當它被威脅利用時會造成資產損失或者損毀。對脆弱性進行評估，是安全風險評估中重要的內容，通過脆弱性評估能夠幫助使用者掌握信息系統(tǒng)的脆弱性，為控制信息系統(tǒng)自身的脆弱性提供依據(jù)，在很大程度的減少了信息系統(tǒng)安全事件的發(fā)生。脆弱性評估，在技術方面主要是通過系統(tǒng)掃描、對網絡設備和主機等進行人工抽查，以保證技術脆弱性評估的全面性和有效性；管理脆弱性評估方面按照ISO27002：2005等標準的安全管理要求對現(xiàn)有的安全管理制度及其執(zhí)行情況進行檢查，發(fā)現(xiàn)其中的管理漏洞和不足。脆弱性分類脆弱性分類類型識別對象識別內容技術脆弱性網絡結構從網絡結構設計、邊界保護、外部訪問控制策略、內部訪問控制策略、網絡設備安全配置等方面進行識別系統(tǒng)軟件從補丁安裝、物理保護、用戶帳號、口令策略、資源共享、事件審計、訪問控制、新系統(tǒng)配置、注冊表加固、網絡安全、系統(tǒng)管理等方面進行識別應用中間件從協(xié)議安全、交易完整性、數(shù)據(jù)的完整性、可用性和保密性等方面進行識別應用系統(tǒng)從審計機制、審計存儲、訪問控制策略、數(shù)據(jù)的完整性、可用性和保密性、通信、鑒別機制、密碼保護等方面進行識別管理脆弱性技術管理從物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護、應用服務等方面進行識別組織管理安全策略、組織機構、規(guī)章制度、人員管理等方面進行識別信息內容管理從待發(fā)布信息的審核機制、已發(fā)布信息的巡查處置等識別脆弱性賦值參照國際通行做法和子輝恒信專家經驗，將資產存在的弱點分為5個等級，分別是很低、低、中等、很高、高，并且從低到高分別賦值1到5。脆弱性賦值脆弱性等級描述脆弱性賦值很低保護對象弱點很不明顯，對威脅吸引力很小1低保護對象弱點不明顯，對威脅吸引力小2中等保護對象弱點比較明顯，對威脅吸引力較小3高保護對象弱點明顯，對威脅吸引力大4很高保護對象弱點非常明顯，對威脅吸引力非常大5脆弱性情況總述本次被評估的資產發(fā)現(xiàn)的脆弱性數(shù)量較多，在這種分布中，中風險和低風險脆弱性數(shù)量居多，高風險脆弱性數(shù)量相對很少，呈現(xiàn)典型的金字塔形狀。具體數(shù)量請參見下圖和下表：脆弱性嚴重程度脆弱性分布數(shù)量高338中562低896這種脆弱性數(shù)量分布情況說明了中石化石勘院當前安全脆弱性具有以下的特征：中石化石勘院已經采取了一些有效的手段和技術措施，消除了部分高、中級別安全脆弱性；大多數(shù)的安全脆弱性屬于低安全級別脆弱性，因此不會在短期內對當前的系統(tǒng)構成嚴重的安全威脅；目前網絡中仍有相當數(shù)量的高等級安全風險沒有被消除，這說明目前對信息系統(tǒng)的安全脆弱性發(fā)掘和處理仍舊存在不全面和不徹底的方面，對高風險的安全脆弱性，缺少發(fā)掘和處理的手段；現(xiàn)有安全控制措施有效性分析在識別資產脆弱性的同時，還應當識別并詳細分析已有或已規(guī)劃的安全措施，并評價這些安全措施針的有效性。本次評估針對安全控制措施有效性，從技術措施和系統(tǒng)統(tǒng)現(xiàn)有管理制度兩方面進行分析。現(xiàn)有安全控制措施識別內容技術措施方面：識別已采取的技術安全控制措施，并對控制措施有效性進行核查。將有效的安全控制措施繼續(xù)保持，并進行優(yōu)化，以避免不必要的工作和費用，防止控制措施的重復實施。對于那些確認為不適當?shù)目刂茟∠蛘哂酶线m的控制代替。核查內容包括：防火墻、IDS、交換機等網絡設備的安全配置檢查操作系統(tǒng)、數(shù)據(jù)庫安全功能檢查；應用軟件安全功能驗證等系統(tǒng)現(xiàn)有管理制度方面包括兩部分的分析：安全產品統(tǒng)一管理分析，避免安全盲區(qū)的產生；安全管理制度規(guī)范和安全意識的分析。風險評估小組應對已采取的控制措施進行識別并對控制措施的有效性進行確認，將有效的安全控制措施繼續(xù)保持，以避免不必要的工作和費用，防止控制措施的重復實施。對于那些確認為不適當?shù)目刂茟瞬槭欠駪蝗∠蛘哂酶线m的控制代替。安全措施分類包含的內容管理性對系統(tǒng)的開發(fā)、維護和使用實施管理的措施，包括安全策略、程序管理、風險管理、安全保障、系統(tǒng)生命周期管理等。操作性用來保護系統(tǒng)和應用操作的流程和機制，包括人員職責、應急響應、事件處理、意識培訓、系統(tǒng)支持和操作、物理和環(huán)境安全等。技術性身份識別與認證、邏輯訪問控制、日志審計、加密等。現(xiàn)有安全控制措施確認已有安全措施確認管理措施類型已有安全措施名稱詳細說明有效性分析管理措施總體結構網絡系統(tǒng)網絡總體設計合理，結構清晰對將來的網絡安全解決方案的設計和實施提供了較好的基礎，但在安全方面還存在諸多不安全因素物理、環(huán)境安全中石化石勘院網絡在物理和環(huán)境安全、安全組織、系統(tǒng)訪問控制和系統(tǒng)開發(fā)與維護方面很好安全策略、資產分類和控制方面一般建立相關管理制度在管理制度方面做了很多的工作但部分相關制度和策略不夠完善，需要參照國際公認的安全標準將安全管理系統(tǒng)化、整體化，從而完善管理手段、提高管理效果。相關管理部門已成立相關管理部門有專門的部門針對于設備硬件和軟件系統(tǒng)進行管理，還需要加強溝通協(xié)作。技術措施網絡風險措施1、系統(tǒng)補丁已有專業(yè)部門更新；2、已設置系統(tǒng)登錄口令3、已設置訪問控制權限4、有相關的日志服務器管理1、系統(tǒng)補丁的修復較不及時，建議由專門人員，定期管理。2、口令不夠復雜。容易破解。3、有一些端口或者協(xié)議未禁止。4、有日志記錄，但是未有專門人員分析。主機風險措施1、已建立審計日志；2、管理服務器已具備入侵檢測能力；3、服務器已安裝病毒軟件4、服務器已有相應的口令5、安全漏洞有專門部門進行修補1、可以查看到相關的審計日志，但分析瀏覽機制還不健全。2、建議加強3、加強病毒庫的管理4、建議增強服務器口令的復雜性5、安全漏洞的修補較不及時，建議由專門人員，定期管理。數(shù)據(jù)庫和發(fā)布系統(tǒng)風險措施1、數(shù)據(jù)庫已有管理口令；2、已根據(jù)系統(tǒng)帳號的不同用戶，創(chuàng)建不同的profile。1、建議增強服務器口令的復雜性以及定期更換；2、使用權限不夠細化；應用系統(tǒng)風險措施1、應用系統(tǒng)已建立驗證機制2、有專門的人員管理應用系統(tǒng)；3、已具備日志功能1、建議加強驗證碼難度；2、建議分權管理應用系統(tǒng)3、加強日志分類和分析風險分析風險計算方法風險值=資產值×威脅值×脆弱性值風險可接受標準依據(jù)風險計算方法：風險值=資產值×威脅值×脆弱性值，確定風險值分數(shù)后，劃分風險等級。劃分標準如下：高風險等級的確定：風險值分數(shù)65-125分，顏色：紅色區(qū)域。中風險等級的確定：風險值分數(shù)32-64分，顏色：黃色區(qū)域。低風險等級的確定：風險值分數(shù)1-31分，顏色：黃色區(qū)域。風險等級決定風險的可接受標準和必要的風險處理行為，僅當風險等級為低的風險才可被接受，下表為風險等級與之對應的必要風險處理行動。風險可接受標準等級分數(shù)顏色區(qū)域可接受標準低1-31綠色區(qū)域可接受的風險等級，落在此區(qū)域的風險可不必采取任何糾正預防措施或控制措施。中32-64黃色區(qū)域待處理的風險等級，落在此區(qū)域的風險是否處理需要依據(jù)：在限定時間內，企業(yè)能提供的資源是否滿足處理此風險所需要的資源；或者處理此風險的代價不大于此風險發(fā)生后帶來的損失。若落在此區(qū)域的風險可接受或受資源的限制無法處理，必須要將其提交給管理層批準。高65-125紅色區(qū)域無法接受的風險等級，落在此區(qū)域的風險必須要在限定的時間采取措施控制來減輕或降低此區(qū)域的風險。殘余風險處置殘余風險是指在實現(xiàn)了新的或增強的安全控制后還剩下的\o"風險"風險。對于不可接受范圍內的風險，應在選擇了適當?shù)目刂拼胧┖螅瑢堄囡L險進行評價，判定風險是否已經降低到可接受的水平，為風險管理提供輸入。殘余風險的評價可以依據(jù)本標準進行，考慮選擇的控制措施和已有的控制措施對于威脅發(fā)生的可能性的降低。某些風險可能在選擇了適當?shù)目刂拼胧┖笕蕴幱诓豢山邮艿娘L險范圍內，應通過信息系統(tǒng)所有者依據(jù)風險接受的原則，考慮是否接受此類風險或增加控制措施。為確保所選擇控制措施的有效性，必要時可進行再評估，以判斷實施控制措施后的殘余風險是否是可被接受的。在本階段結束后子輝恒信公司風險評估小組將向信息系統(tǒng)所有者提供如下：《重要資產清單》《信息識別清單》《信息安全風險評估表》《信息安全風險評估報告》《信息安全不可接受風險處理計劃》《殘余風險報告》《風險評估報告》以由均需要由信息系統(tǒng)所有者進行書面確認。風險分析結果及處置方案風險分析結果匯總實施范圍內所有信息資產所面臨的風險共783項，所有風險在各系統(tǒng)的數(shù)量及所占比例如下面所示：部門高風險中風險低風險總計CRM系統(tǒng)228113146業(yè)務支撐系統(tǒng)222245270OA系統(tǒng)330336367總計780694783主要風險列表及建議CRM系統(tǒng)CRM系統(tǒng)風險分析及建議資產名稱風險描述風險風險等級處置措施建議CRM系統(tǒng)資產組因“沒有禁止使用未授權軟件，未授權軟件中綁有木馬、病毒”，當發(fā)生“惡意代碼攻擊”時，可能導致“機密信息丟失”76.0高風險1.建立標準軟件清單。2.清除非授權軟件。CRM系統(tǒng)資產組因“USB口未禁用，可以連接移動存儲設備”，當發(fā)生“非授權訪問/使用”時，可能導致“機密信息丟失或泄露”76.0高風險1.禁用所有不必要的USB端口。2.對使用的USB存儲進行統(tǒng)一的管理。外包人員PC因“外部人員離職、轉崗流程機制不完善”，當發(fā)生“非授權訪問/使用”時，可能導致“機密信息泄露、或被篡改”48.0中風險建立外部人員離職、轉崗控制機制。CRM辦公PC因“人員安全意識薄弱，人員離開終端時，沒有鎖屏”，當發(fā)生“非授權訪問/使用”時，可能導致“機密信息丟失”45.6中風險進一步加強安全意識教育。CRM系統(tǒng)資產組因“防病毒軟件的版本沒有統(tǒng)一，終端防病毒能力強弱不同”，當發(fā)生“惡意代碼攻擊”時，可能導致“病毒入侵，部分防毒能力弱的終端無法使用，工作受影響”45.6中風險對所有終端的防病毒軟件進行統(tǒng)一檢查，統(tǒng)一安裝公司制定的殺毒軟件。CRM系統(tǒng)資產組因“缺乏軟件的版權管理”，當發(fā)生“外部懲罰”時，可能導致“由于缺乏對軟件版權的管理可能導致由于版權問題面臨外部組織的懲罰，從而導致業(yè)務中斷或名譽受損。”45.6中風險1.對所有使用的軟件的授權進行清點，建立標準軟件清單。

2.清除非授權軟件。CRM系統(tǒng)資產組因“未設定信息安全員崗位”，當發(fā)生“組織安全策略需要向部門推行”時，可能導致“安全政策無法落地”44.4中風險設置信息安全協(xié)調員。內部人員PC因“缺乏足夠的工作相關培訓、缺乏足夠的安全宣導和意識培訓”，當發(fā)生“操作失誤、錯誤”時，可能導致“發(fā)生安全事件”44.4中風險進一步加強安全意識教育。內部人員PC因“安全意識不足或未嚴格執(zhí)行相關安全規(guī)定”，當發(fā)生“擅自使用非授權軟件”時，可能導致“發(fā)生安全事件”44.4中風險1.建立標準軟件清單，清除非授權軟件。

2.進一步加強安全意識培訓。CRM系統(tǒng)資產組因“員工辦公桌面擺放重要資料”，當發(fā)生“人員故意或非故意行為”時，可能導致“信息丟失或泄密”38.4中風險進一步加強安全意識教育。CRM系統(tǒng)資產組因“使用后沒有及時鎖進柜子”，當發(fā)生“非授權訪問/使用”時，可能導致“信息泄密”37.8中風險進一步加強安全意識教育。外包人員因“安全意識不足或未嚴格執(zhí)行相關安全規(guī)定”，當發(fā)生“無意識使用有危害程序”時，可能導致“發(fā)生安全事件”36.0中風險1.建立標準軟件清單，清除非授權軟件。

2.進一步加強安全意識培訓。CRM系統(tǒng)資產組因“終端訪問控制缺陷（存在多余帳戶、弱口令等）”，當發(fā)生“非授權邏輯訪問或使用”時，可能導致“主機中存儲的信息泄漏或被篡改”34.2中風險進一步加強對多余帳號、弱口令及權限的清查，并且及時糾正發(fā)現(xiàn)問題。內部人員因“信息安全意識較弱”，當發(fā)生“人員故意行為或非故意行為”時，可能導致“信息泄密或未授權訪問”33.3中風險進一步加強安全意識教育。CRM系統(tǒng)資產組因“使用后沒有及時鎖進柜子”，當發(fā)生“非授權訪問/使用”時，可能導致“信息泄密”33.3中風險進一步加強安全意識教育。業(yè)務支撐系統(tǒng)業(yè)務支撐系統(tǒng)風險分析及建議資產名稱風險描述風險風險等級處置措施建議業(yè)務系統(tǒng)資產組因“USB口未禁用，可以連接移動存儲設備”，當發(fā)生“非授權訪問/使用”時，可能導致“機密信息丟失或泄露”80.0高風險1.禁用所有不必要的USB端口。2.對使用的USB存儲進行統(tǒng)一的管理。業(yè)務系統(tǒng)資產組因“沒有禁止使用未授權軟件，未授權軟件中綁有木馬、病毒”，當發(fā)生“惡意代碼攻擊”時，可能導致“機密信息丟失”64.0高風險進一步加強安全意識教育。內部人員因“安全意識不足或未嚴格執(zhí)行相關安全規(guī)定”，當發(fā)生“擅自使用非授權軟件”時，可能導致“發(fā)生安全事件”50.4中風險建立外部人員離職、轉崗控制機制。內部人員因“未設定信息安全員崗位”，當發(fā)生“組織安全策略需要向部門推行”時，可能導致“安全政策無法落地”50.4中風險設置信息安全協(xié)調員。內部人員因“缺乏足夠的工作相關培訓、缺乏足夠的安全宣導和意識培訓”，當發(fā)生“操作失誤、錯誤”時，可能導致“發(fā)生安全事件”50.4中風險進一步加強安全意識教育。業(yè)務系統(tǒng)資產組因“防病毒軟件的版本沒有統(tǒng)一，終端防病毒能力強弱不同”，當發(fā)生“惡意代碼攻擊”時，可能導致“病毒入侵，部分防毒能力弱的終端無法使用，工作受影響”48.0中風險對所有終端的防病毒軟件進行統(tǒng)一檢查，統(tǒng)一安裝公司制定的殺毒軟件。業(yè)務系統(tǒng)資產組因“人員安全意識薄弱，人員離開終端時，沒有鎖屏”，當發(fā)生“非授權訪問/使用”時，可能導致“機密信息丟失”48.0中風險進一步加強安全意識教育。業(yè)務系統(tǒng)資產組因“安全意識不足或未嚴格執(zhí)行相關安全規(guī)定”，當發(fā)生“無意識使用有危害程序”時，可能導致“發(fā)生安全事件”48.0中風險1.建立標準軟件清單，清除非授權軟件。

2.進一步加強安全意識培訓。外部人員因“安全意識不足或未嚴格執(zhí)行相關安全規(guī)定”，當發(fā)生“無意識使用有危害程序”時，可能導致“發(fā)生安全事件”44.4中風險1.建立標準軟件清單，清除非授權軟件。

2.進一步加強安全意識培訓。外部人員因“外部人員離職、轉崗流程機制不完善”，當發(fā)生“非授權訪問/使用”時，可能導致“機密信息泄露、或被篡改”59.2中風險建立外部人員離職、轉崗控制機制。業(yè)務系統(tǒng)資產組因“訪問控制缺陷（存在多余帳戶、弱口令、帳戶權限過大等）”，當發(fā)生“非授權邏輯訪問或使用”時，可能導致“敏感信息外泄或高權限的錯誤操作引起中斷”39.6中風險進一步加強對多余帳號、弱口令及權限的清查，并且及時糾正發(fā)現(xiàn)問題。文件服務器系統(tǒng)因“訪問控制缺陷（存在多余帳戶、弱口令、帳戶權限過大等）”，當發(fā)生“非授權邏輯訪問或使用”時，可能導致“敏感信息外泄或高權限的錯誤操作引起中斷”39.6中風險進一步加強對多余帳號、弱口令及權限的清查，并且及時糾正發(fā)現(xiàn)問題。OA系統(tǒng)資產組因“備份介質缺少適合的保護措施”，當發(fā)生“盜竊、遺失”時，可能導致“備份存儲介質缺乏有效保護，損壞后介質內數(shù)據(jù)不可用”39.6中風險進一步加強對多余帳號、弱口令及權限的清查，并且及時糾正發(fā)現(xiàn)問題。OA系統(tǒng)OA系統(tǒng)風險分析及建議資產名稱風險描述風險風險等級處置措施建議OA系統(tǒng)資產組因“USB口未禁用，可以連接移動存儲設備”，當發(fā)生“非授權訪問/使用”時，可能導致“機密信息丟失或泄露”94.0高風險1.禁用所有不必要的USB端口。

2.對使用的USB存儲進行統(tǒng)一的管理。OA系統(tǒng)資產組因“沒有禁止使用未授權