信息安全风险评估资产识别用例

《信息安全风险评估资产识别用例》由会员分享，可在线阅读，更多相关《信息安全风险评估资产识别用例（12页珍藏版）》请在装配图网上搜索。

1、1 资产识别1.1 资产数据采集1.1.1 资产采集说明通过资产调查和现场访谈，对信息系统的相关资产进行调查，形成资产列表。采集工作在前期调研的基础上开展，以调研所得的设备列表为依据，将所有与信息系统有关的信息资产核查清楚。1.1.2 资产采集检测表检测目的资产数据检查目的将所有与信息系统有关的信息资产核查清楚检测依据检测对象被检测方所有非机密资产检查级别基本配置检测方法实地检查与工作人员展开交流检查流程到被检测方的机房查看硬件、软件及网络拓扑等与相关工作人员进行访谈，并获取资产环境、业务运行模式和技术体系等信息根据调查结果汇总数据并生成详细资产列表预期结果采集所有资产数据，形成资产列表检查结

2、果形成资产列表1.2 资产分类识别1.2.1 资产分类说明将所采集的资产数据按照资产形态和用途进行分类，形成资产分类表。信息系统的资产一般可分为硬件、软件、文档与数据、人力资源、服务和其它资产等几大类。1.2.1.1 硬件标识设备种类设备清单备注1.网络设备路由器、网关、交换机等2.计算机设备大型机、小型机、服务器、工作站、台式计算机、便携计算机等3.存储设备磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等4.传输设备光纤、双绞线等5.保障设备UPS、变电设备等、空调、保险柜、文件柜、门禁、消防设施等6.安全保障设备防火墙、入侵检测系统、身份鉴别等7.其他打印机、复印机、扫描仪、传真机等1.2.

3、1.2 软件标识设备种类设备清单备注1.系统软件操作系统、数据库管理系统、语句包、开发系统等2.应用软件应用软件：办公软件、数据库软件、各类工具软件等3.源程序源程序：各种共享源代码、自行或合作开发的各种代码等1.2.1.3 文档与数据一般指保存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等。1.2.1.4 人力资源人力资源一般包括掌握重要信息和核心业务的人员，如主机维护主管、网络维护主管及应用项目经理等。1.2.1.5 服务编号设备种类设备清单备注1.信息服务对外依赖该系统开展的各类服务2.网络服务各种网络设备、设施提供的网

4、络连接服务3.办公服务为提高效率而开发的管理信息系统，包括各种内部配置管理、文件流转 管理等服务1.2.1.6 其它资产其它资产是指一些无形的但同样对于企业本身具有一定的价值，如企业形象、客户关系等。1.2.2 资产分类检测表检测目的资产分类检查目的将所采集的资产数据按照资产形态和用途进行分类，形成资产分类表检测依据资产数据及分类方式检测对象被检测方所有非机密资产检查级别基本配置检测方法参照资产分类标准进行分类检查流程（流程图）1. 完成资产数据收集2. 将所有数据按照不同资产类别进行分类，形成多个资产识别列表预期结果根据资产性质分类，形成多个资产列表检查结果形成多个资产列表1.2.3 网络拓

5、扑中常用的硬件资产设备名称拓扑图标简介生产厂商路由器路由器是连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号的设备。目前路由器已经广泛应用于各行各业，各种不同档次的产品已成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互通业务的主力军思科华为华三交换机交换机是一种用于电信号转发的网络设备。它可以为接入交换机的任意两个网络节点提供独享的电信号通路。最常见的交换机是以太网交换机。交换是按照通信两端传输信息的需要，用人工或设备自动完成的方法，把要传输的信息送到符合要求的相应路由上的技术的统称。根据工作位置的不同，可以分为广域网交换机和局

6、域网交换机思科华为华三服务器服务器是一种运行管理软件以控制对网络或网络资源进行访问的计算机，并能够为在网络上的计算机提供资源使其犹如工作站那样地进行操作。服务器的构成与微机基本相似，有处理器、硬盘、内存、系统总线等，它们是针对具体的网络应用特别制定的，因而服务器与微机在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面存在差异很大。一个管理资源并为用户提供服务的计算机软件，通常分为文件服务器，数据库服务器和应用程序服务器IBM戴尔防火墙防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机

7、硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关，从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。思科华为IDS入侵检测系统，简称“IDS”，是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。华为启明星负载均衡器是一种采用各种分配算法把网络请求分散到一个服务器集群中的可用服务器上去，通过管理

8、进入的Web数据流量和增加有效的网络带宽，从而使网络访问者获得尽可能最佳的联网体验的硬件设备。F5深信服Array1.3 资产赋值1.3.1 资产保密性赋值赋值标识定义5很高包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定性的影响，如果泄露会造成灾难性的损害 4高包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害 3中等组织的一般性秘密，其泄露会使组织的安全和利益受到损害 2低仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成轻微损害 1很低可对社会公开的信息，公用的信息处理设备和系统资源等 1.3.2 资产完整性赋值赋值标识定义5很高完整

9、性价值非常关键，未经授权的修改或破坏会对组织造成重大的或无法接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补4高完整性价值较高，未经授权的修改或破坏会对组织造成重大影响，对业务冲击严重，较难弥补3中等完整性价值中等，未经授权的修改或破坏会对组织造成影响，对业务冲击明显，但可以弥补2低完整性价值较低，未经授权的修改或破坏会对组织造成轻微影响，对业务冲击轻微，容易弥补1很低完整性价值非常低，未经授权的修改或破坏对组织造成的影响可以忽略，对业务冲击可以忽略1.3.3 资产可用性赋值赋值标识定义5很高可用性价值非常高，合法使用者对信息及信息系统的可用度达到年度99.9%以上，或系统不允许

10、中断4高可用性价值较高，合法使用者对信息及信息系统的可用度达到每天90%以上，或系统允许中断时间小于10 min 3中等可用性价值中等，合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上，或系统允许中断时间小于30 min2低可用性价值较低，合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上，或系统允许中断时间小于60 min 1很低可用性价值可以忽略，合法使用者对信息及信息系统的可用度在正常工作时间低于25% 1.3.4 资产安全特性综合评定赋值赋值标识定义5很高非常重要，其安全属性破坏后可能对组织造成非常严重的损失 4高重要，其安全属性破坏后可能对组织造成比较严重的

11、损失 3中等比较重要，其安全属性破坏后可能对组织造成中等程度的损失 2低不太重要，其安全属性破坏后可能对组织造成较低的损失 1很低不重要，其安全属性破坏后对组织造成导很小的损失，甚至忽略不计 1.3.5 资产脆弱性赋值标识脆弱性脆弱性描述作用资产风险等级赋值1未限制root用户远程登录系统在用户登录时会执行会话相关的自启动程序，程序以用户身份运行。当系统被植入会话自启动恶意代码，若用户以root用户登录，则恶意代码将以root用户身份执行，并可对系统所有资源进行读取、篡改操作。网银数据库服务器nbdb1，nbdb2中32未设置口令最小长度和口令复杂度用户可设置空密码或者过于简单的密码，易被恶意

12、人员暴力猜解。网银数据库服务器nbdb1，nbdb2低23未设置用户帐户锁定策略恶意人员可以通过多次、大量的暴力猜测账户密码。网银数据库服务器nbdb1，nbdb2低24开启了daytime、time无用服务影响系统性能。网银数据库服务器nbdb1，nbdb2低25开启了ftp、rlogin、rexec不安全的服务采用明文传输，敏感信息易泄露。网银数据库服务器nbdb1，nbdb2中36用户umask设置为022用户创建文件可被同组人员和其他组人员进行读、执行操作，可能导致用户敏感信息泄漏。网银数据库服务器nbdb1，nbdb2低27未限制root用户远程登录系统在用户登录时会执行会话相关的自

13、启动程序，程序以用户身份运行。当系统被植入会话自启动恶意代码，若用户以root用户登录，则恶意代码将以root用户身份执行，并可对系统所有资源进行读取、篡改操作。若开启了FTP服务，由于ftp采用明文传输，当用户以root用户登录时，明文传输的用户名、密码等身份认证信息可被恶意人员通过网络嗅探等手段截获。网银应用服务器nxbankapp1、nxbankapp2，网银WEB服务器netbankweb1、网银WEB服务器netbankweb2，前置服务器qianzhi1、前置服务器qianzhi2，网站服务器nxbankWeb，网银后台管理服务器netbankmweb，网银WEB发布服务器mweb

14、，网银RA服务器CFCA1、网银RA服务器CFCA2中38未设置口令复杂度和最小口令长度用户设置的口令过于简单，易被恶意人员暴力猜解。网银应用服务器nxbankapp1、nxbankapp2，网银WEB服务器netbankweb1、网银WEB服务器netbankweb2，前置服务器qianzhi1、前置服务器qianzhi2，网站服务器nxbankWeb，网银后台管理服务器netbankmweb，网银WEB发布服务器mweb，网银RA服务器CFCA1、网银RA服务器CFCA2低29未设置密码有效期密码长期有效，恶意人员可以有很长一段时间破解口令，增加了密码被暴力破解的风险。网银应用服务器nxb

15、ankapp1、nxbankapp2，网银WEB服务器netbankweb1、网银WEB服务器netbankweb2，前置服务器qianzhi1、前置服务器qianzhi2，网站服务器nxbankWeb，网银后台管理服务器netbankmweb，网银WEB发布服务器mweb，网银RA服务器CFCA1、网银RA服务器CFCA2低210开了不安全的ftp服务ftp服务采用明文传输，用户敏感信息易泄露。网站服务器nxbankWeb中311用户umask设置为022用户创建文件可被同组人员和其他组人员进行读、写操作，可能导致用户敏感信息泄漏。网银应用服务器nxbankapp1、nxbankapp2，网

16、银WEB服务器netbankweb1、网银WEB服务器netbankweb2，前置服务器qianzhi1、前置服务器qianzhi2，网站服务器nxbankWeb，网银后台管理服务器netbankmweb，网银WEB发布服务器mweb，网银RA服务器CFCA1、网银RA服务器CFCA2低212服务器HTTP回应头信息泄露servertokens设置为os，Server回送给客户端的回应头包含服务器OS类型。网银WEB服务器netbankweb1,网银WEB服务器netbankweb2,网站服务器nxbankWeb低213部分目录DocumentRoot开启了目录浏览攻击者利用此漏洞可能会查看和

17、下载特定 Web 应用程序虚拟目录的内容，分析网站目录结构以此进一步发起攻击。网银WEB服务器netbankweb1,网银WEB服务器netbankweb2,网站服务器nxbankWeb中314未启用SSL链接设置未启用SSL链接设置，不能通过https:/登录管理控制台，由于http是明文传输，所以配置信息和登录信息都可能被窃听和截获。网银应用服务器nxbankapp1、nxbankapp1，网银后台管理服务器netbankmweb低215未设置服务器允许的HTTP消息大小，HTTP消息头包含HTTP消息长度。该设置项可防范黑客对服务器发起DDOS/DOS攻击，防止黑客通过发送超长HTTP消

18、息，对服务器发起DOS攻击。网银应用服务器nxbankapp1、nxbankapp2，网银后台管理服务器netbankmweb低216未设置限制服务器接受的POST消息最大长度通过该限制可防范黑客通过发送超长POST消息实施DOS/DDOS攻击。网银应用服务器nxbankapp1、nxbankapp3，网银后台管理服务器netbankmweb低217未限制应用服务器Socket数量Sockets最大打开数目设置不当的话，容易受到拒绝服务攻击，超出操作系统文件描述符限制。网银应用服务器nxbankapp1、nxbankapp4，网银后台管理服务器netbankmweb低218未记录审计信息，也未

19、采用第三方软件进行审计未将sys用户的动作记录到系统日志中（audit_sys_operations = False、audit_trail = NONE），给系统的日常维护带来很大不便，面对突发事件时无处可查。日志服务是对系统使用的一个记载，可以查看系统的使用情况，需要保存留档。网银数据库服务器nbdb1，nbdb2低219管理监听器未设置密码黑客可通过控制监听器控制整个数据库。网银数据库服务器nbdb1，nbdb2低220未开启IP限制功能、TCP有效节点检验（没有sqlnet.ora文件）设置此功能可仅允许用户从特定的客户机连接到数据库，增强安全性。网银数据库服务器nbdb1，nbdb2

20、低221未开启管理限制功能防止对Listener的未授权管理建议开启，可禁止运行期间对listener.ora的修改，只能手工修改listener.ora文件。网银数据库服务器nbdb1，nbdb2低222未设置专门的补丁升级更新策略不能有效方法黑客利用已知漏洞进行的攻击。网银数据库服务器nbdb1，nbdb2低223数据备份策略不完备数据备份每日进行一次全备，但只在本机存储，未进行导出并存储到其他介质（例如磁带）中进行离线存储，且七日消除，存储时间较短，追溯问题是无法对比更长时间的数据。备份数据的存储也未按照密级程度进行管理。网银数据库服务器nbdb1，nbdb2低224未禁止MySQL导入

21、本地文件mysql对本地文件的存取，比如黑客通过mysql把/etc/passwd获取了，会对系统构成威胁。黑客通过SQL注射等获取系统核心文件。网银web服务器netbankweb1、netbankweb2，网站服务器nxbankWeb低225允许远程连接数据库允许用户远程通过帐号密码连接数本地数据库，使用默认3306端口进行监听，不能保证安全性。网银web服务器netbankweb1、netbankweb2，网站服务器nxbankWeb低226限制连接用户的数量数据库的某用户多次远程连接，会导致性能的下降和影响其他用户的操作网银web服务器netbankweb1、netbankweb2，网

22、站服务器nxbankWeb低21.4 资产部分评估实例1.4.1 资产分类赋值表资产类别资产编号说明名称型号保密性完整性可用性资产权重网络安全设备FW001互联网接入区防火墙IFW1001深信服AF-11205555FW002互联网接入区防火墙IFW1002深信服AF-11205555FW003边界防火墙 ASA1001Cisco 55205455FW004核心区防火墙CFW2001Cisco ASA5510-K85545FW005核心区防火墙CFW2002Cisco ASA5510-K85545IPS001互联网接入区入侵检测系统IPS1001华为NIP 21004555网络通讯设备SW00

23、1互联网交换机ISW1001Cisco 45065555SW002链路汇聚交换机LSW1001juniper32004555SW003链路汇聚交换机LSW1002juniper32005545SW004核心业务交换机WFW1001Cisco65094555SW005核心业务交换机WFW1002Cisco65095455服务器AS001内网区数据库服务器电视银行数据库服务器曙光TC36004555AS002内网区应用服务器电视银行应用服务器曙光 TC36005555AS003DMZ区应用服务器电视银行网关服务器曙光 TC36005455AS004内网区数据库服务器CA数据库服务器app曙光 TC

24、36004555AS005内网区数据库服务器CA数据库服务器cadb曙光 TC36005545AS006OA区应用服务器电视银行内管曙光 TC36005545应用系统A0001电视银行系统55551.4.2 资产脆弱性分析信息资产风险等级判定表如下所示：风险值0-540541-10801081-16201621-21602160风险等级12345依据对该银行系统信息资产风险计算的结果，按信息资产风险值的高低，形成如下风险列表：资产类别资产编号说明名称型号资产风险值资产风险等级网络安全设备FW001互联网接入区防火墙IFW1001深信服AF-1120201FW002互联网接入区防火墙IFW100

25、2深信服AF-1120201FW003边界防火墙 ASA1001Cisco 5520201FW004核心区防火墙CFW2001Cisco ASA5510-K8201FW005核心区防火墙CFW2002Cisco ASA5510-K8201IDS001互联网接入区入侵检测系统IPS1001华为NIP 2100201网络通讯设备SW001互联网交换机ISW1001Cisco 4506401SW002链路汇聚交换机LSW1001Juniper 3200401SW003链路汇聚交换机LSW1002Juniper 3200401SW004核心业务交换机WFW1001Cisco 6509401SW005核心业务交换机WFW1002Cisco 6509401服务器AS001内网区数据库服务器电视银行数据库服务器曙光TC3600451AS002内网区应用服务器电视银行应用服务器曙光 TC3600451AS003DMZ区应用服务器电视银行网关服务器曙光 TC3600451AS004内网区数据库服务器CA数据库服务器app曙光 TC3600901AS005内网区数据库服务器CA数据库服务器cadb曙光 TC3600451AS006OA区应用服务器电视银行内管曙光 TC3600451应用系统A0001电视银行系统01