东升需求分析实施报告

《东升需求分析实施报告》由会员分享，可在线阅读，更多相关《东升需求分析实施报告（40页珍藏版）》请在装配图网上搜索。

1、求仓斤日期东升网络网络平安解决方案需求分析报告作者：杰雷丹王浩骅完成日期：2016年6月19日签收人：签收日期：修改情况记录:版本号修改批准人修改人安装日期签收人1.01.1目录1 引言11.1 编写目的11.2 背景说明11.3 定义11.4 参考资料22 公司网络方案分析22.1 公司网络现状分析22.1.1 公司背景22.1.2 公司网络的主要平安隐患22.1.3 公司网络的平安误区错误!未定义书签。2.2 公司原网络拓扑图42.3 网络拓扑说明43 需求分析53.1 公司网络平安需求53.2 需求分析54 业务功能概要描述64.1 业务描述64.2 公司部门划分65 风险评估75.1

2、评估工作概述75.1.1 评估围75.1.2 评估阻止75.2 评估依据和标准85.3 资产识别95.3.1 资产识别容和方法95.3.2 重要资产确实定及三性赋值125.4 威胁识别155.5 脆弱性识别215.5.1 脆弱性识别容及方法215.5.2 脆弱性识别结果226 综合风险分析256.1 风险分析方法256.2 风险等级划分276.3 不可接收风险划分276.4 风险分析结果287 风险统计338 不可接收风险处理方案351引言1.1 编写目的这是1.0版本，预期读者是用户、工程经理、需求工程师、售前工程师、售后工程师等，主要是让他们熟悉公司背景以及透彻的了解公司现状，这样才好分析

3、出漏洞并设计解决方案。1.2 背景说明随着IT产业规模的不断扩大，专业门类的日益齐全，技术水平的显着提升，如今我国已经成为了全球主要的电子信息产品生产消费和出口大国。东升公司了解到，就开展现状来看，我国目前的信息产业呈现出开展迅速、规模庞大、竞争剧烈、产业集中度高、信息化程度高、国际化趋势显着等特点。由于企业在行业中的地位，所以企业面临的竞争环境也是相当恶劣的。在这样的竞争环境中，企业的各种数据资料的平安尤为重要尤其是研发以及销售数据。1.3 定义平安评估：利用系统工程原理和方法对拟建或已有工程、系统可能存在的危险性及其可能产生的后果进展综合评价和预测，并根据可能导致的事故风险的大小，提出相应

4、的平安对策措施，以到达工程、系统平安的过程。网络拓扑：传输介质互连各种设备的物理布局。指构成网络的成员间特定的物理的即真实的、或者逻辑的即虚拟的排列方式。资产识别曲企业拥有或者控制的能够为企业带来未来经济利益的资源。我们主要识别的是各种与业务相关的IT物理设备或使用的硬件设施，用于安装已识别的软件、存放有已识别的数据资产或对部门业务有支持作用。包括主机设备、存储设备、网络设备、平安设备、计算机外设、可移动设备、移动存储介质、布线系统等。边界保护：为整个公司网络周围建立一个边界保护，就像在城堡周边围绕一条护城河来控制谁能进入。1.4 参考资料a网络平安解决方案设计.ppt；b网络风险评估.ppt

5、；c信息平安风险评估规.pdf；d风险评估案例.pdf。2公司网络方案分析2.1 公司网络现状分析2.1.1 公司背景东升网络是一家有100名员工的中小型网络公司，主要以手机应用开发为主营工程的软件企业。公司有一个局域网，约100台计算机，效劳器的操作系统是Linux,客户机的操作系统是WindowsXP,在工作组的模式下一人一机办公。公司对网络的依赖性很强，主要业务都要涉及互联网以及部网络。随着公司的开展现有的网络平安已经不能满足公司的需要，因此构建健全的网络平安体系是当前的重中之重。2.1.2公司网络的主要平安隐患现在网络平安系统所要防的不再仅是病毒感染，更多的是基于网络的非法入侵、攻击和

6、访问，同时公司网络平安隐患的来源有、外网之分，很多情况下部网络平安威胁要远远大于外部网络，因为部中实施入侵和攻击更加容易，公司网络平安威胁的主要来源主要包括：（1）病毒、木马和恶意软件的入侵。2网络黑客的攻击。3重要文件或的非法窃取、访问与操作。4关键部门的非法访问和敏感信息外泄。5外网的非法入侵。6备份数据和存储媒体的损坏、丧失。针对这些平安隐患，所采取的平安策略可以通过安装专业的网络版病毒防护系统，同时也要加强部网络的平安管理，配置好防火墙过滤策略和系统本身的各项平安措施，及时安装系统平安补丁，有条件的还可以在、外网之间安装网络扫描检测、网络嗅探器、IDS、IPS系统，甚至配置网络平安隔离

7、系统，对、外网络进展平安隔离；加强部网络的平安管理，严格实行“最小权限原那么，为各个用户配置好恰当的用户权限；同时对一些敏感数据进展加密保护，对数据还可以进展数字签名措施；根据企业实际需要配置好相应的数据策略，并按策略认真执行。2.1.3公司网络的平安误区许多人对于自己的数据和网络目前有一种虚假的平安感：在边界安装了防火墙、在桌面上安装了防病毒和防间谍软件工具、安装了微软及各大平安公司不断增强平安工具和补丁程序或者使用加密技术发送和保存数据等。以下是有关平安的六大误解：（1）安装防火墙就平安了防火墙主要用来执行两个网络之间的访问控制策略，它能限制被保护的网络与互联网络之间，或者与其他网络之间进

8、展的信息存取、传递操作。防火墙是一种隔离控制技术，可以作为不同网络或网络平安域之间信息的出入口。防火墙主要工作都是控制存取与过滤封包，所以对DoS攻击、非法存取与篡改封包等攻击模式的防极为有效，可以提供网络周边的平安防护。但如果攻击行为不经过防火墙，或是将应用层的攻击程序隐藏在正常的封包，便力不从心了，许多防火墙只是工作在网络层。防火墙的原理是“防外不防，对部网络的访问不进展任何阻挠，而事实上，企业网络平安事件绝大局部还是源于企业部。2安装了最新的杀毒软件就不怕病毒了安装杀毒软件的目的是为了预防病毒的入侵和查杀系统中已感染的计算机病毒，但这并不能保证就没有病毒入侵了，因为杀毒软件查杀某一病毒的

9、能力总是滞后于该病毒的出现。3在每台计算机上安装单机版杀毒软件和网络版杀毒软件等效网络版杀毒软件核心就是集中的网络防毒系统管理。网络版杀毒软件可以在一台效劳器上通过平安中心控制整个网络的客户端杀毒软件同步病毒查杀、监控整个网络的病毒。同时对于整个网络，管理非常方便，对于单机版是不可能做到的。4只要不上网就不会中毒虽然不少病毒是通过网页传播的，但像QQ聊天接发同样是病毒传播的主要途径，而且盗版光盘以及U盘等也会存在着病毒。所以只要计算机开着，就要防病毒。5文件设置只读就可以防止感染病毒设置只设置只读只是调用系统的几个命令，而病毒或黑客程序也可以做到这一点,读并不能有效防毒，不过在局域网中为了共享

10、平安，放置误删除，还是比拟有用的。6网络平安主要来自外部基于部的网络攻击更加容易，不需要借助于其他的网络连接方式，就可以直接在部网络中实施攻击。所以，加强部网络平安管理，特别是用户管理，如密码、临时、过期和权限等方面的管理非常必要了。2.3公司原网络拓扑图I时期Ef希然邮件旗号器无味建基I力MR M器二层交傲机-W柳病毒图普素总鬟理 子网总图2.1公司原网络拓扑图财子斗EI iI I2.4 网络拓扑图说明由于东升网络公司是直接从电信接入分为 DMZ 区域和普通区域。防火墙上做255.255.255.0。 防火墙接客户区端口地址为地址分配为10.1.2.0 255.255.255.。防火墙0IP

11、为58.192.65.62255.255.255.0，直接经由防火墙NAT转换，分别给客户机端的地址为10.1.1.010.1.1.1 255.255.255.0。DMZ主要有各类的效劳器，DMZ区的接口地址为10.1.2.1255.255.255.。网主0要由3层交换机作为核心交换机，下面有两台2层交换机做接入。3需求分析3.1公司网络平安需求东升网络根据业务开展需求，建立一个小型的企业网，有Web、Mail等效劳器和办公区客户机。企业分为财务部门和业务部门，需要他们之间相互隔离。同时由于考虑到Inteneter的平安性，以及网络平安等一些因素，如DDoS、ARP等。因此本企业的网络平安构架

12、要求如下：（ 1）根据公司现有的网络设备组网规划（ 2）保护网络系统的可用性（ 3）保护网络系统效劳的连续性（ 4）防网络资源的非法访问及非授权访问（ 5）防入侵者的恶意攻击与破坏（ 6）保护企业信息通过网上传输过程中的性、完整性（ 7）防病毒的侵害（ 8实现网络的平安管理。3.2需求分析通过了解东升网络公司的需求与现状，为实现东升网络公司的网络平安建立实施网络系统改造，提高企业网络系统运行的稳定性，保证企业各种设计信息的平安性，防止图纸、文档的丧失和外泄。通过软件或平安手段对客户端的计算机加以保护，记录用户对客户端计算机中关键目录和文件的操作，使企业有手段对用户在客户端计算机的使用情况进展追

13、踪，防外来计算机的侵入而造成破坏。通过网络的改造，使管理者更加便于对网络中的效劳器、客户端、登陆用户的权限以及应用软件的安装进展全面的监控和管理。因此需要：1构建良好的环境确保企业物理设备的平安2划分VLAN控制网平安3安装防火墙体系4建立VPN（虚拟专用网络）确保数据平安5安装防病毒效劳器6加强企业对网络资源的管理4业务功能概要描述4.1 业务描述研发部门业务：是构建网络构造的主要人员，负责网络构造的管理和维护，风险评估也是由研发部门的人员负责。销售部门业务：协助研发部门的人员完成风险评估工作。财务部门业务：协助研发部门的人员完成风险评估工作。人力资源部门业务：协助研发部门的人员完成风险评估

14、工作。4.2 公司部门划分我公司于2016年6月开展了网络平安解决方案工作，本次风险评估工作主要依托于研发部门的技术人员开展，销售部门、财务部门、人力资源部门、公司老总参与了该项工作。5.1.1 评估围本次评估为我公司的网络构造。该网络构造是在公司成立初期建立的，建立目标是便于公司成员进展部交流和与外界进展通信，并且管理部门能方便的进展管理。使用该网络构造的部门包括研发部门、销售部门、财务部门、人力资源部门和公司老总，日常用户数为100人左右；管理该网络构造的部门主要为研发部门和公司老总，其中研发部门主要负责网络构造的搭建和维护，公司老总主要负责网络构造的管理。5.1.2 评估组织我公司专门成

15、立了自评估工作小组负责开展本次评估工作，自评估工作小组组长最高管理者代表由杰担任，评估工程负责人由雷丹担任，工作小组下设资产识别小组、脆弱性识别小组、风险分析小组和应急响应小组，人员组成情况如下：表5.1人员组成表组名小组组长成员资产识别小组杰王浩骅脆弱性识别小组雷丹杰威胁识别小组王浩骅雷丹风险分析小组杰王浩骅应急响应小组雷丹杰5.2评估依据和标准1) 信息平安技术信息平安风险评估规GB/T20984-20072)信息技术平安技术信息技术平安性评估准那么GB/T18336-20013) 电子计算机场地通用规GB/T2887-20004) 计算机场地平安要求GB9361-19895) 信息技术平

16、安技术信息技术平安性评估准那么GB/T18336-20016) 信息技术信息技术平安管理指南GB/T19715.1-20057) 信息技术信息平安管理实用规那么GB/T19716-2005GB/T 20008-2005 GB/T 20010-20058) 信息平安技术操作系统平安评估准那么9) 信息平安技术包过滤防火墙评估准那么10) 信息平安技术路由器平安评估准那么GB/T 20011-200511) 信息平安技术信息系统平安管理要求GB/T 20269-200612) 信息平安技术网络根底平安技术要求GB/T20270-200613) 信息平安技术信息系统通用平安技术要求GB/T20271

17、-200614) 信息平安技术操作系统平安技术要求GB/T 20272-200615) 信息平安技术数据库管理系统平安技术要求GB/T20273-200616) 信息平安技术网络和终端设备隔离部件测试评价方法GB/T20277-200617) 信息平安技术网络和终端设备隔离部件平安技术要求GB/T20279-200618) 信息平安技术防火墙技术要求和测试评价方法GB/T20281-200619) 信息平安技术信息系统平安工程管理要求GB/T20282-200620) 信息平安技术路由器平安技术要求GB/T18018-200721) 信息平安技术信息系统平安审计产品技术要求和评价方法GB/T2

18、0945-200722) 信息技术平安技术信息平安事件管理指南GB/Z20985-200723) 信息平安技术信息平安事件分类分级指南GB/Z20986-200724) 信息平安技术效劳器平安技术要求GB/T21028-200725) 信息平安技术网络交换机平安技术要求GB/T21050-200726) 信息技术信息平安管理实施细那么ISO/IEC17799:200027) 信息技术信息平安管理实施规ISO/IEC27001:200528) 各种检查机构运作的一般规那么ISO-IEC17020-20045.3资产识别5.3.1资产识别容和方法资产识别小组召集财务部、销售部、人力资源部、研发部和

19、公司老总等网络构造的使用部门以及网络构造的管理部门研发部的主要工作人员对评估围的资产进展了逐项分析，比对财务资产清单，结合系统运行现状，识别出评估围的信息资产，形成了资产识别表；参考资产重要性程度判断准那么？为每个资产进展了重要性程度赋值。资产识别和赋值结果记录在资产识别表中。表5.2硬件资产识别表资产识别表-硬件资产序号资产名称资产编R责任人应用描述重要性程度备注部门1核心路由器S001三核心路由5Cisco7206研发部2核心交换机S002三核心交换机5Cisco6509研发部3数据中心交换机S003三交换机5Nexus7000研发部4会聚交换机S004三交换机2Cisco3560研发部5

20、接入交换机S005三交换机2Cisco2960研发部6无线APS006三无线接入点3CiscoAIR系列研发部7效劳器S007三效劳器5浪潮天梭研发部8个人PCS008三PC3联想扬天研发部9磁盘阵列S009三磁盘组5华为OceanStor研发部10移动硬盘S010三移动硬盘3希捷Backup研发部11U盘S011三U盘2研发部12光纤S012三光纤1研发部13双绞线S013三双绞线1研发部14UPSS014三UPS4研发部15PDU电源分配器S015三PDU电源分配器4研发部16精细空调S016三精细空调3研发部17打印机S017三打印机2研发部18投影仪S018三投影仪1研发部19液晶显示

21、器S019三液晶显示器1研发部20防火墙S020三连接各分部3研发部表5.3软件资产识别表资产识别表-软件资产序号资产名称描述重要性程度备注部门1Windows系统2004XP2研发部2Linux系统5研发部3MySQL数据库5研发部4Vmware虚拟化软件74研发部5Apache软件5研发部6Squid代理效劳器软件2研发部7Cacti监控软件3研发部8WPSoffice2研发部9福昕PDF2研发部10Eclipse2研发部11Memcached缓2研发部12Maven工程管理工具4研发部13Svn版本管理工具4研发部表5.4效劳资产识别表资产识别表-效劳资产序号资产名称描述重要性程度备注部

22、门1DNS效劳3研发部2DHCP效劳2研发部3FTP效劳2研发部4HIIP效劳2研发部5SNMP效劳2研发部6NFS效劳2研发部7VPN效劳3研发部8效劳3研发部9ERP企业资源方案系统2SA研发部10HR系统2研发部11CRM客户关系管理系统2金蝶研发部12OA办公自动化系统5研发部表5.5文档和数据资产识别表资产识别表-文档和数据序号资产名称责任人应用描述存储形式备份形式重要性程度备注部门1网络构造相关技术资料三资料纸版、电子版电子备份5研发部表5.6人力资产识别表资产识别表-人力资源序号岗位岗位描述重要性程度备注部门1网络管理员网络管理员三5研发部2网络管理员网络管理员四5研发部表5.7

23、物理环境资产识别表资产识别表-物理环境序号资产名称使用围描述重要性程度备注部门1总机房主要设备的机房4研发部5.3.2重要资产确实定及三性赋值资产识别小组组织研发部工作人员，依据资产对主要业务、运作及声誉影响程度设定本单位重要资产的判定标准为：资产重要性程度值大于等于3。根据这个标准形成了系统重要资产清单。资产识别小组依据？信息平安技术信息平安风险评估规GB/T20984-2007？对于性、可用性、完整性的定义及资产赋值表，对重要资产进展了赋值制作重要资产赋值表。表5.8硬件重要资产赋值表重要资产赋值表-硬件资产序号资产名称责任人应用描述性等级完整性等级可用性等级重要性程度部门1核心路由器三核

24、心路由5455研发部2核心交换机三核心交换机5455研发部3数据中心交换机三交换机5555研发部4无线AP三无线接入点2233研发部5病毒效劳器三病是效劳器5555研发部6OA效劳器三OA效劳器5555研发部7VPN效劳器三VPN效劳器5555研发部8效劳器三效劳器5555研发部9DNS效劳器三DNS效劳器5555研发部10个人PC三PC3333研发部11磁盘阵列三磁盘组5555研发部12移动硬盘三移动硬盘3323研发部13防火墙三连接各分部3243研发部表5.9软件重要资产赋值表重要资产赋值表-软件资产序号资产名称责任人应用描述性等级完整性等级可用性等级重要性程度部门1Linux系统三445

25、5研发部2MySQL数据库三4455研发部3Vmware虚拟化软件三4354研发部4Apache软件三4455研发部5Cacti监控软件三3333研发部6Maven工程管理工具三4444研发部7Svn版本管理工具三4444研发部表5.10效劳重要资产赋值表重要资产赋值表-效劳资产序号资产名称责任人应用描述性等级完整性等级可用性等级重要性程度部门1DNS效劳三1343研发部2VPN效劳三3333研发部3效劳三4433研发部4病毒效劳三5555研发部5OA办公自动化系统三3333研发部表5.11文档和数据重要资产赋值表重要资产赋值表-文档和数据序号资产名称责任人应用描述性等级完整性等级可用性等级重

26、要性程度部门1网络构造相关技术资料三网络构造相关技术资料5445研发部表5.12人力资源重要资产赋值表重要资产赋值表-人力资源序号资产名称应用描述性等级完整性等级可用性等级重要性程度部门1网络管理员三网络管理员3444研发部2网络管理员四网络管理员3444研发部表5.13物理环境重要资产赋值表重要资产赋值表-物理环境序号资产名称使用围描述性等级完整性等级可用性等级重要性程度部门1机房机房3233研发部5.4 威胁识别威胁识别小组通过召集关技术人员召开会议，查阅平安设备日志和以往的平安事件记录，分析本系统在物理环境、网络、人员、设备故障、恶意代码及病毒等方面可能出现的情况，经工程负责人批准确认形

27、成了威胁识别表：表5.14重要硬件资产威胁识别表重要资产威胁识别表-硬件资产序号资产名称威胁类部门1防火墙操作失误研发部访问控制策略管理不当未授权访问资源原发抵赖2DNS效劳器操作失误研发部木马后门攻击设备硬件故障网络病毒传播维护错误未授权访问系统资源系统负载过载3效劳器操作失误研发部滥用权限木马后门攻击社会工程威胁网络病毒传播维护错误未授权访问系统资源未授权访问资源4VPN效劳器操作失误研发部滥用权限木马后门攻击社会工程威胁网络病毒传播维护错误未授权访问系统资源未授权访问资源5OA效劳器操作失误研发部滥用权限木马后门攻击社会工程威胁网络病毒传播维护错误未授权访问系统资源未授权访问资源6磁盘阵

28、列维护错误研发部7核心路由操作失误研发部维护错误未授权访问网络资源嗅探系统平安配置数据如账户、口令、权限等原发抵赖8病毒效劳器操作失误研发部木马后门攻击设备硬件故障网络病毒传播维护错误未授权访问系统资源系统负载过载原发抵赖9核心交换机操作失误研发部维护错误原发抵赖10数据中心交换机操作失误研发部维护错误原发抵赖11无线AP操作失误研发部维护错误未授权访问网络资源嗅探系统平安配置数据如账户、口令、权限等原发抵赖12个人PC操作失误研发部维护错误未授权访问网络资源嗅探系统平安配置数据如账户、口令、权限等原发抵赖13移动硬盘操作失误研发部维护错误表5.15重要软件资产威胁识别表重要资产威胁识别表-软

29、件资产序号资产名称威胁类部门1Linux系统系统软件故障研发部应用软件故障操作失误维护错误越权或滥用篡改2MySQL数据库数据库软件故障研发部操作失误维护错误越权或滥用篡改3Vmware虚拟化软件应用软件故障研发部操作失误维护错误越权或滥用篡改4Apache软件应用软件故障研发部操作失误维护错误越权或滥用篡改5Cacti监控软件应用软件故障研发部操作失误维护错误6Maven工程管理工具应用软件故障研发部操作失误维护错误7Svn版本管理工具应用软件故障研发部操作失误维护错误表5.16重要效劳资产威胁识别表重要资产威胁识别表-效劳资产序号资产名称威胁类部门1DNS效劳滥用权限泄漏秘密信息研发部数据

30、篡改探测窃密未授权访问未授权访问系统资源用户或业务数据的窃取2VPN效劳篡改用户或业务数据信息研发部控制和破坏用户或业务数据滥用权限泄漏秘密信息数据篡改探测窃密未授权访问3效劳篡改用户或业务数据信息研发部控制和破坏用户或业务数据滥用权限泄漏秘密信息数据篡改探测窃密未授权访问未授权访问系统资源用户或业务数据的窃取4病毒效劳篡改用户或业务数据信息研发部控制和破坏用户或业务数据滥用权限泄漏秘密信息数据篡改探测窃密未授权访问未授权访问系统资源5OA办公自动化系统篡改用户或业务数据信息研发部控制和破坏用户或业务数据滥用权限泄漏秘密信息数据篡改探测窃密未授权访问未授权访问系统资源用户或业务数据的窃取表5.

31、17重要数据和文档资产威胁识别表重要资产威胁识别表-数据和文档序号资产名称威胁类部门1网络构造相关技术资料滥用权限研发部未授权访问资源表5.18重要人力资源资产威胁识别表重要资产威胁识别表-人力资源序号资产名称威胁类部门1网络管理员三社会工程威胁研发部2网络管理员四社会工程威胁研发部表5.19重要物理环境资产威胁识别表重要资产威胁识别表-物理环境序号资产名称威胁类部门1总机房电磁干扰研发部访问控制策略管理不当5.5 脆弱性识别5.5.1 脆弱性识别容和方法脆弱性识别小组针对不同类型的重要资产分组进展脆弱性分析，对网络设备、主机、数据库、应用程序进展了扫描，对网络设备、主机、数据库进展了配置核查

32、，对平安管理进展报工程负责人批准形A公司的B型漏洞扫了现场走访，发放了调查问卷，脆弱性识别小组最后进展汇总并确认,成资产脆弱性汇总表。在脆弱性识别过程中我们使用的扫描工具包括描器、应用层漏洞扫描器。5.5.2 脆弱性识别结果表5.20重要资产脆弱性汇总表序号资产名称脆弱性名称1防火墙平安保障设备的其它配置不当安装与维护缺乏管理缺少操作规程和职责管埋未启用日志功能2DNS效劳器安装与维护缺乏管理操作系统补丁未安装操作系统的口令策略没有启用操作系统的账户锁定策略没有启用操作系统开放多余效劳缺少操作规程和职责管埋未启用日志功能3效劳器安装与维护缺乏管理操作系统补丁未安装操作系统的口令策略没有启用操作

33、系统的锁定策略没有启用操作系统开放多余效劳缺少操作规程和职责管理4VPN效劳器安装与维护缺乏管理操作系统补丁未安装操作系统的口令策略没有启用操作系统的锁定策略没有启用操作系统开放多余效劳缺少操作规程和职责管埋5OA效劳器安装与维护缺乏管理操作系统补丁未安装操作系统的口令策略没有启用操作系统的锁定策略没有启用操作系统开放多余效劳缺少操作规程和职责管埋6磁盘阵列缺少操作规程和职责管埋7核心路由安装与维护缺乏管理没有制定访问控制策略日志及管理功能未启用未备份配置文件或存放不当8病毒效劳器安装与维护缺乏管理操作系统补丁未安装操作系统的口令策略没有启用操作系统的账户锁定策略没有启用操作系统开放多余效劳缺

34、少操作规程和职责管埋未启用日志功能9核心交换机安装与维护缺乏管理日志及管理功能未启用未备份配置文件或存放不当10数据中心交换机安装与维护缺乏管理日志及管理功能未启用未备份配置文件或存放不当11无线AP安装与维护缺乏管理日志及管理功能未启用未备份配置文件或存放不当12个人PC安装与维护缺乏管理日志及管理功能未启用未备份配置文件或存放不当13移动硬盘安装与维护缺乏管理14Linux系统安装与维护缺乏管理未备份配置文件或存放不当日志及管理功能未启用操作系统补丁未安装操作系统的口令策略没有启用操作系统的锁定策略没有启用操作系统开放多余效劳缺少操作规程和职责管埋15MySQL数据库安装与维护缺乏管理缺少

35、操作规程和职责管埋16Vmware虚拟化软件安装与维护缺乏管理缺少操作规程和职责管埋17Apache软件安装与维护缺乏管理缺少操作规程和职责管埋18Cacti监控软件安装与维护缺乏管理缺少操作规程和职责管埋19Maven工程管理工具安装与维护缺乏管理缺少操作规程和职责管埋20Svn版本管理工具安装与维护缺乏管理缺少操作规程和职责管埋21DNS效劳未设置用户登录失败门限与超过门限后的处理措施无法保证用户使用的口令到达一定的质量要求无法检测存储的重要信息、数据是否出现完整性21VPN效劳未设置用户登录失败门限与超过门限后的处理措施无法保证用户使用的口令到达一定的质量要求无法检测存储的重要信息、数据

36、是否出现完整性22效劳未设置用户登录失败门限与超过门限后的处理措施无法保证用户使用的口令到达一定的质量要求无法检测存储的重要信息、数据是否出现完整性23病毒效劳未设置用户登录失败门限与超过门限后的处理措施无法保证用户使用的口令到达一定的质量要求无法检测存储的重要信息、数据是否出现完整性24OA办公自动化系统未设置用户登录失败门限与超过门限后的处理措施无法保证用户使用的口令到达一定的质量要求无法检测存储的重要信息、数据是否出现完整性25网络构造相关技术资料没有访问控制策略或未实施信息资产没有清晰的分类标志26网络管理员三没有适当的奖惩规那么没有正式的协议27网络管理员四没有适当的奖惩规那么没有正

37、式的协议28总机房机房出入、平安管理中心缺少出入防护机房缺少电磁防护6综合风险分析6.1风险分析方法风险分析小组采用矩阵法计算出威胁风险值，按照？信息平安技术信息平安风险评估规？中“威胁风险值=R(A,T,V)=R(L(T,V),F(Ia,Va)、资产风险值=资产重要性程度值x威胁风险值的公式，计算资产风险值，经工程负责人批准确认形成微产风险值表？。威胁风险值计算步骤是：由威胁和脆弱性确定平安事件发生的可能性;由资产和脆弱性确定平安事件的损失；由平安事件发生的可能性和平安事件的损失确定风险值。表6.1平安事件可能性矩阵威胁发生频率脆弱性严重程度1234512471114236101317359

38、12162047111418225812172025表6.2平安事件可能性等级划分平安事件发生可能性值15611121617212225发生可能性等级12345表6.3平安事件损失矩阵资产价值脆弱性严重程度1234512461013235912163471115204581419225610162125表6.4平安事件损失等级划分平安事件损失值15610111516202125平安事件损失等级12345表6.5风险矩阵损失等级可能性123451369121625811151836913172147111620235914202325表6.6风险等级划分平安事件损失值16712131819232

39、425平安事件损失等级123456.2风险等级划分经风险分析小组确定并经工程负责人批准，我们设定资产风险值大于等于55为极高风险，小于55但大于等于40的为高风险，小于40但大于等于30的为中风险，小于30但大于等于20的为低风险，其余为极低风险。6.3 不可接收风险划分经风险分析小组确定并经工程负责人批准，我们设定威胁风险值大于等11或资产威胁风险值大于等于55的风险都属于不可承受风险。6.4 风险分析结果根据6.2、6.3的划分准那么，我们得到重要资产的风险值表:表6.2资产风险值表资产风险值表-全部资产序号资产名称资产重要程度威胁威胁发生频率脆弱性影响程度威胁风险值资产风险值是否可承受风

40、险风险等级1防火墙3操作失误22824是低访问控制策略管理不当22824是低维护错误22824是低未授权访问资源22824是低原发抵赖331339否中2DNS效劳器5操作失误22840是高木马后门攻击231155否极高设备硬件故障131155否极高网络病毒传播331680否极高维护错误22840是高未授权访问系统资源231155否极高系统负载过载12525是低3效劳器5操作失误22840是高滥用权限231155否极高木马后门攻击331680否极高社会工程威胁22840是高网络病毒传播331680否极高维护错误22840是高未授权访问系统资源231155否极高未授权访问资源231155否极高4V

41、PN效劳器5操作失误22840是高滥用权限231155否极高木马后门攻击331680否极高社会工程威胁22840是高网络病毒传播331680否极高维护错误22840是高未授权访问系统资源231155否极高未授权访问资源231155否极高5OA效劳器5操作失误22840是高滥用权限231155否极高木马后门攻击331680否极高社会工程威胁22840是高网络病毒传播331680否极高维护错误22840是高未授权访问系统资源231155否极高未授权访问资源231155否极高6磁盘阵列5维护错误12525是低7核心路由5操作失误131155否极高维护错误131155否极高未授权访问网络资源22840

42、是高嗅探系统平安配置数据如账户、口令、权限等231155否极高原发抵赖32840是高8病毒效劳器5操作失误22840是高木马后门攻击231155否极高设备硬件故障131155否极高网络病毒传播331680否极高维护错误22840是高未授权访问系统资源231155否极高系统负载过载12525是低原发抵赖32840是高9核心交换机5操作失误12525是低维护错误12525是低原发抵赖12525是低10数据中心交换机5操作失误12525是低维护错误12525是低原发抵赖22840是高11无线AP3操作失误13927是低维护错误13927是低未授权访问网络资源22824是低嗅探系统平安配置数据如账户、

43、口令、权限等23927是低原发抵赖32824是低12个人PC3操作失误13927是低维护错误13927是低未授权访问网络资源22824是低嗅探系统平安配置数据如账户、口令、权限等23927是低原发抵赖32824是低13移动硬盘3操作失误13927是低维护错误13927是低14Linux系统5系统软件故障32840是高应用软件故障32840是高操作失误32840是高维护错误32840是高越权或滥用331680否极高篡改331680否极高15MySQL数据库5数据库软件故障32840是高操作失误32840是高维护错误32840是高越权或滥用331680否极高篡改331680否极高16Vmware虚

44、拟化软4应用软件故障13936是中操作失误13936是中件维护错误13936是中越权或滥用331352否高篡改331352否高17Apache软件5应用软件故障32840是高操作失误32840是高维护错误32840是高越权或滥用331680否极高篡改331680否极高18Cacti监控软件3应用软件故障32824是低操作失误13927是低维护错误13927是低19Maven工程管理工具4应用软件故障13936是中操作失误13936是中维护错误13936是中20Svn版本管理工具4应用软件故障13936是中操作失误13936是中维护错误13936是中21DNS效劳3滥用权限泄漏秘密信息22824

45、是低数据篡改23927是低探测窃密23927是低未授权访问12515是极低未授权访问系统资源22824是低用户或业务数据的窃取331339否中22VPN效劳3篡改用户或业务数据信息22824是低控制和破坏用户或业务数据331339否中滥用权限泄漏秘密信息22824是低数据篡改23927是低探测窃密23927是低未授权访问12515是极低23效劳3篡改用户或业务数据信息22824是低控制和破坏用户或业务数据331339否中滥用权限泄漏秘密信息22824是低数据篡改23927是低探测窃密23927是低未授权访问12515是极低未授权访问系统资源22824是低用户或业务数据的窃取331339否中24

46、病毒效劳5篡改用户或业务数据信息22840是高控制和破坏用户或业务数据331680否极高滥用权限泄漏秘密信息22840是高数据篡改231155否极高探测窃密231155否极高未授权访问12525是低未授权访问系统资源22840是高25OA办公自动化系统3篡改用户或业务数据信息22824是低控制和破坏用户或业务数据331339否中滥用权限泄漏秘密信息22824是低数据篡改23927是低探测窃密23927是低未授权访问12515是极低未授权访问系统资源22824是低用户或业务数据的窃取331339否中26网络构造相关技术5滥用权限32840是高未授权访问资源32840是高资料27网络管理员三4社会工程威胁13936是中28网络管理员四4社会工程威胁13936是中29总机房3电磁干扰12515是极低访问控制策略管理不当331339否中7风险统计风险评估共识别出信息平安风险139个，具体如下表所示:表7.1风险等级种类-数量表风险等级种类个数极高风险35tWj风险34中风险19低风险46极低风险5表7.2风险承受类型-数量表风险接承受类型个数/、可承受风险45可承受风险94图7.2风险统计按风险是否可承受分类8不可接收风