电厂二次系统安全审核报告模板.doc

版权所有 密级：内部密级：内部 xxxxxxxx 单位单位 xxxxxxxx 项目项目 xxxxxxxx 文档文档 xxxx 信息技术有限公司信息技术有限公司 2005 年年 10 月月 版权所有 目目 录录 一一.引言引言1 1.1.目的 1 1.2.背景 1 1.3.术语和定义 1 1.4.参照标准和规范 2 二二.xx 电厂安全审核概述电厂安全审核概述.3 2.1.安全审核范围 3 2.1.1.安全审核业务3 2.1.2.业务网络拓扑结构3 2.2.审核流程 3 三三.资产识别和估价资产识别和估价6 3.1.概述 6 3.2.资产识别 6 3.2.1.评估资产编号规则6 3.2.2.服务器6 3.2.3.网络设备7 3.2.4.终端设备7 3.3.资产估价方法 7 3.4.资产估价结果 8 四四.威胁评估威胁评估8 4.1.概述 8 4.2.威胁的类别 9 4.3.威胁评估方法 10 4.4.威胁评估结果 11 版权所有 4.4.1.威胁严重性评估结果11 4.4.2.威胁可能性评估结果12 五五.脆弱性评估脆弱性评估12 5.1.概述 12 5.2.脆弱性的类别 12 5.3.脆弱性评估方法 15 5.4.脆弱性评估结果 15 六六.风险分析风险分析16 6.1.概述 16 6.2.风险计算方法 16 6.3.风险评估结果 17 6.4.风险分析 17 6.4.1.业务风险综合分析17 6.4.2.资产风险分析18 七七.风险管理建议风险管理建议24 comment cxd1: 添加其它条目 版权所有 第 1 页 一一. 引言引言 1.1.目的目的 本安全审核报告是针对 xx 电厂二次系统进行安全评估过程的总结。通过 对 xx 电厂二次系统的调查、审核及评估，为 xx 电厂二次系统提供符合电 力二次系统安全防护规定 （电监会 5 号令）的初步审查和安全现状了解，为下 一步的系统安全分析、安全保护方案制定、安全风险管理等提供可靠的依据。 1.2.背景背景 随着现代通讯技术和信息技术的发展，为了保障大电网的安全和经济运行， 各种信息系统， 如调度自动化（scada/ems）、配电网自动化系统（da）和变 电站综合自动化系统（sa），电力市场技术支持系统等在电力系统领域里得到 了广泛应用。电力系统与信息系统、通信系统已经融合成为高度集成的混杂系 统，电力系统的监测和控制越来越依赖于信息系统和通信系统的可靠运行。 为保障电网系统的安全可靠运行，国家电力监管委员会发布了电力二次 系统安全防护规定 （电监会 5 号令） ，在 5 号令中明确了电力二次系统安全防 护工作应当坚持安全分区、网络专用、横向隔离、纵向认证的原则，并且要求 建立电力二次系统安全评估制度。 在电力二次系统中电厂二次系统是其中的重要环节，对电厂二次系统的安 全审核和评估是目前电力二次系统安全审核和评估中较大的空白。xx 公司根 据自身贴近和熟悉行业的特点，结合自身的技术力量，开展对电厂二次系统的 审核和评估。 1.3.术语和定义术语和定义 电力二次系统：包括电力监控系统、电力通信及数据网络等。 版权所有 第 2 页 电力监控系统：是指用于监视和控制电网及电厂生产运行过程的、基于计 算机及网络技术的业务处理系统及智能设备等。包括电力数据采集与监控系统、 能量管理系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监 控系统、配电自动化系统、微机继电保护和安全自动装置、广域相量测量系统、 负荷控制系统、水调自动化系统和水电梯级调度自动化系统、电能量计量计费 系统、实时电力市场的辅助控制系统等。 电力调度数据网络：是指各级电力调度专用广域数据网络、电力生产专用 拨号网络等。 控制区：是指由具有实时监控功能、纵向联接使用电力调度数据网的实时 子网或专用通道的各业务系统构成的安全区域。 非控制区：是指在生产控制范围内由在线运行但不直接参与控制、是电力 生产过程的必要环节、纵向联接使用电力调度数据网的非实时子网的各业务系 统构成的安全区域。 1.4.参照标准和规范参照标准和规范 中华人民共和国计算机信息系统安全保护条例 计算机信息系统安全保护等级划分准则 电力二次系统安全防护规定 （电监会 5 号令） 信息技术 安全技术 信息技术安全性评估准则，第一部分 简介和一般模型 (iso15408 / gb/t 18336) 信息技术 安全技术 信息技术安全性评估准则，第二部分 安全功能要求 (iso15408 / gb/t 18336) 信息技术 安全技术 信息技术安全性评估准则，第三部分 安全保证要求 (iso15408 / gb/t 18336) iso 17799 part i, code of practice for information security management iso 17799 part ii, specification for information security management 版权所有 第 3 页 二二. xx 电厂安全审核概述电厂安全审核概述 2.1.安全审核范围安全审核范围 2.1.1. 安全审核业务安全审核业务 本次评估业务系统为 xx 电厂二次系统，包括电厂电力监控系统、电厂电 力通信及数据网络等。 xx 电厂二次系统提供 xxxx 业务，具体二次系统参见业务网络拓扑图。 具体评估范围涵盖关键服务器、网络设备、终端，包括：（列出审核及评 估的所有节点） 邮件服务器、邮件网关服务器、邮件过滤服务器 数据库服务器、经营数据服务器、经营分析服务器 iis服务器、ftp服务器、dns服务器 2.1.2. 业务网络拓扑结构业务网络拓扑结构 xx 电厂网络拓扑图图示如下： 图图 2-1 网络拓扑结构图网络拓扑结构图 简述网络连接方式和结构。 2.2.审核流程审核流程 本次评估过程主要分为以下几个阶段（参见图 2-2）： 版权所有 第 4 页 第一阶段确定评估范围阶段，调查并了解 xx 电厂二次系统的业务流 程和运行环境，确定评估范围的边界以及范围内的所有网络系统。 第二阶段是资产的识别和估价阶段，对评估范围内的所有资产进行识 别，并调查资产破坏后可能造成的影响大小，根据影响的大小为资产 进行相对赋值。 第三阶段是安全威胁评估阶段，即评估资产所面临的每种威胁发生的 可能性和严重性。 第四阶段是脆弱性评估阶段，包括从技术和管理等方面进行的脆弱程 度检查，技术方面是以本地方式进行手工检查的评估。 第五阶段是风险分析阶段，即通过分析上面所评估的数据，进行风险 值计算、区分和确认高风险因素。 第六阶段是风险管理阶段，这一阶段主要是总结整个风险评估过程， 制定相关风险控制策略，建立安全审核报告，实施某些紧急风险控制 措施。 版权所有 第 5 页 图图 2-2 风险评估流程图风险评估流程图 版权所有 第 6 页 三三. 资产识别和估价资产识别和估价 3.1.概述概述 资产是风险评估的最终评估对象。在一个全面的风险评估中，风险的所有 重要因素都紧紧围绕着资产为中心，威胁、脆弱性以及风险都是针对资产而客 观存在的。威胁利用资产自身的脆弱性使得安全事件的发生成为可能，从而形 成了风险。这些安全事件一旦发生，将对资产甚至是整个系统都将造成一定的 影响。因此资产的评估是风险评估的一个重要的步骤，它被确定和估价的准确 性将影响着下一步所有因素的评估。 本项目中资产评估的主要工作就是对 xx 电厂二次系统风险评估范围内的 资产进行识别，确定所有的评估对象，然后根据评估的资产在业务和应用流程 中的重要程度为资产进行估价。 3.2.资产识别资产识别 3.2.1. 评估资产评估资产编号规则编号规则 编号规则为：设备位置 + 设备类型 + 序号。其中： 设备位置：a 代表物理位置一；b 代表物理位置二；依此类推。 设备类型：h 代表服务器；n 代表网络设备；t 代表终端设备；s 代表 存储设备；o 代表其它设备。 设备序号：以三位数字 xxx 表示，从 001 开始累加。 3.2.2. 服务器服务器 提供服务器资产数据清单。 编号编号ip 地址地址操作系统操作系统应用软件应用软件存储业务数据存储业务数据应用说明应用说明 ah006hp-ux 11.0domino 5.08邮件邮件服务器 版权所有 第 7 页 3.2.3. 网络设备网络设备 提供网络设备资产数据清单。 编号编号ip 地址地址设备型号设备型号版本版本应用说明应用说明 an0020华为 ne16vrp2.0中心接入 an0011华为 3680vrp1.3.01拨号，ddn 3.2.4. 终端设备终端设备 提供终端设备资产数据清单。 编号编号ip 地址地址物理位置物理位置 at00业务支援中心 3.3.资产估价方法资产估价方法 在识别出所有信息资产后，接着是为每项资产赋予价值。我们将资产的权 值分为 04 五个级别，由低到高代表资产的重要等级。资产估价是一个主观的 过程，资产估价不是以资产的账面价格来衡量的，而是指其相对价值。在对资 产进行估价时，不仅要考虑资产的成本价格，更重要的是考虑资产对于组织的 商务的重要性，即根据资产损失所引发的潜在的商务影响来决定。为确保资产 估价时的一致性和准确性，xx 公司按照上述原则，建立了一套资产价值尺度， 即资产评估准则，以明确如何对资产进行赋值。 资产估价的过程也就是资产影响分析的过程。影响就是由人为或突发性引 起的安全事件对资产破坏的后果。这一后果可能毁灭某些资产，危及信息系统 并使其丧失机密性、完整性、可用性，最终还会造成经济损失、市场份额或公 司形象的破坏。特别重要的是，即使每一次影响引起的损失并不大，但长期积 版权所有 第 8 页 累的众多意外事件的影响总和亦可造成严重损失。一般情况下，影响主要从以 下几方面来考虑（具体请参见附录 a 资产评估准则 ）： 经济损失 业务影响 系统破坏 信誉影响 商机泄露 法律责任 人身安全 公共秩序 商业利益 3.4.资产估价结果资产估价结果 根据 xx 电厂二次系统评估信息资产及其影响调查结果，结合关键服务器、 网络设备和终端设备的重要程度，确定不同类别的资产评估结果如下： 所有评估资产估价表 物理物理 资产资产 编号编号资产名称资产名称ip 地址地址应用说明应用说明 破坏后可能破坏后可能 造成的影响造成的影响 权权 值值 四四. 威胁评估威胁评估 4.1.概述概述 威胁是指可能对资产或组织造成损害事故的潜在原因。作为风险评估的重 要因素，威胁是一个客观存在的事物，无论对于多么安全的信息系统而言，它 总一定存在。威胁可能源于对系统直接或间接的攻击，例如信息泄露、篡改、 版权所有 第 9 页 删除等，在机密性、完整性或可用性等方面造成损害。威胁可能源于意外的、 或有预谋的事件。一般来说，威胁总是要利用系统、应用服务的弱点才可能成 功地对资产造成损害。从宏观上讲，威胁按照安全事件的性质可以分为人为错 误、非授权蓄意行为、不可抗力、以及设施/设备错误等；按照威胁的主体可以 分为系统合法用户、系统非法用户、系统组件和物理环境四种类型。 首先识别出对 xx 电厂二次系统需要保护的每一项关键资产的主要威胁， 即根据资产所处的环境条件和资产以前遭受威胁损害的情况进行判断。一项资 产可能面临着多个威胁，同样一个威胁可能对不同的资产有不同的表现形式， 也就可能造成不同程度的影响。识别主要是找出威胁由谁或什么事物引发以及 威胁影响的资产是什么，即确定威胁的主体和客体。其次对每种威胁的属性 （即威胁的严重程度和威胁发生的可能性）进行调查和分析，最终通过为各属 性赋相对值的方式为其估价。 在本项目中，确定威胁的属性是威胁评估的重要环节，xx 公司根据行业 经验的基础上对搜集的 xx 电厂二次系统历史安全事件的统计数据进行了判断， 并通过问卷调查的方式对 xx 电厂二次系统的相关网络系统管理员、安全管理 员进行了调查，最终获取了大量的威胁发生的频率或概率的第一手数据。 4.2.威胁威胁的类别的类别 根据 xx 电厂二次系统的具体情况，结合 xx 电厂二次系统历年来在信息 安全方面发生过的事件记录及其发展趋势调查，本次风险评估将对如下十五种 安全威胁进行考虑。威胁的主体包括：系统合法用户、系统非法用户、系统组 件和物理环境。 下面分别对这些威胁及其可能发生的各种情形进行简单描述。 （本次评估需要作适合用户环境和应用的下述描述） 版权所有 第 10 页 表表 4-1 主要威胁列表主要威胁列表 4.3.威胁评估方法威胁评估方法 威胁的评估主要是对威胁的严重性和威胁的可能性的评估，两者取值均为 相对等级 04，4 为最严重或最可能。威胁的严重性是指威胁可能造成的最严 重的影响，比较容易理解和确定。而威胁的可能性是考虑威胁发生的概率，比 较难以判断，xx 公司在威胁发生的可能性时主要考虑如下因素的影响： 资产的吸引力 资产转化成报酬的容易程度 威胁的技术力量和成熟手段 脆弱性被利用的难易程度 其他综合因素 威胁主体威胁主体威胁类别威胁类别威胁描述威胁描述 操作错误合法用户工作失误或疏忽的可能性 滥用授权合法用户利用自己的权限故意或非故意破坏系统的可能性 系统合法用户 （包括系统管理 员和其他授权用 户） 行为抵赖合法用户对自己操作行为否认的可能性 身份假冒非法用户冒充合法用户进行操作的可能性 密码分析非法用户对系统密码分析的可能性 安全漏洞非法用户利用系统漏洞侵入系统的可能性 拒绝服务非法用户利用拒绝服务手段攻击系统的可能性 恶意代码病毒、特洛伊木马、蠕虫、逻辑炸弹等感染的可能性 窃听数据非法用户通过窃听等手段盗取重要数据的可能性 物理破坏非法用户利用各种手段对资产物理破坏的可能性 系统非法用户 （包括权限较 低用户和外部 攻击者） 社会工程非法用户利用社会工程等手段获取重要信息的可能性 意外故障系统的硬件、软件发生意外故障的可能性 系统组件 通信中断数据通信传输过程中发生意外中断的可能性 电源中断电源发生中断的可能性 物理环境 灾难火灾、水灾、雷击、鼠害、地震等发生的可能性 版权所有 第 11 页 各属性评估准则参照如下列表： 赋值赋值简称简称说明说明 4vh不可避免（90%） 3h非常有可能（70% 90%） 2m可能（20% 70%） 1l可能性很小（75%） 3h资产遭受重大损失（50% 75%） 2m资产遭受明显损失（25% 50%） 1l损失可忍受（25%） 0n损失可忽略（0%） 表表 4-3 威胁严重性赋值参考表威胁严重性赋值参考表 威胁可能性属性非常难以度量，它依赖于具体的资产、弱点。而影响也依 赖于具体资产的价值、分类属性。并且，这两个属性都和时间有关系，也就是 说，具体的威胁评估结果会随着时间的变动而需要重新审核。在威胁评估中， 评估者的专家经验非常重要。 4.4.威胁评估结果威胁评估结果 根据 xx 电厂二次系统系统管理员、维护工程师的问卷调查结果，结合众 多方面的专家经验，对威胁的评估结果见下表。 4.4.1. 威胁严重性评估结果威胁严重性评估结果 威胁严重性评估表 版权所有 第 12 页 4.4.2. 威胁可能性评估结果威胁可能性评估结果 威胁可能性评估表 五五. 脆弱性评估脆弱性评估 5.1.概述概述 脆弱性是指资产或资产组中能被威胁所利用的弱点，它包括物理环境、组 织机构、业务流程、人员、管理、硬件、软件及通讯设施等各个方面，这些都 可能被各种安全威胁利用来侵害一个组织机构内的有关资产及这些资产所支持 的业务系统。这些表现出来的各种安全薄弱环节自身并不会造成什么危害，它 们只有在被各种安全威胁利用后才可能造成相应的危害。那些没有安全威胁的 弱点可以不需要实施安全保护措施，但它们必须记录下来以确保当情况、条件 有所变化时能随之加以改变。需要注意的是不正确的、起不到应有作用的或没 有正确实施的安全保护措施本身就可能是一个安全薄弱环节。 在这一阶段，针对每一项需要保护的信息资产，找出每一种威胁所能利用 的脆弱性，并对脆弱性的严重程度进行评估，换句话说，就是对脆弱性被威胁 利用的可能性进行评估，最终为其赋相对等级值。在本次评估中，xx 公司从 技术、管理两个方面进行脆弱性评估。其中在技术方面，由于电厂二次系统的 重要性，主要是通过本地进行手动检查方式进行评估；管理脆弱性评估方面主 要是按照 bs 7799 的安全管理要求对现有的安全管理制度和安全策略的制定和 执行情况进行检查，发现其中的管理漏洞和不足，具体内容参见xx 电厂二 次系统脆弱性评估报告 。 5.2.脆弱性的脆弱性的类别类别 本次风险评估考虑的威胁有十五种，因此被威胁利用的脆弱性也分为十五 种，每种脆弱性都与同种威胁一一对应。为简化文字称呼，以后定义每种威胁 版权所有 第 13 页 可利用脆弱性的名称与前面威胁的名称相同，必要时在名称前面加上其属性。 对每种脆弱性在评估时都应考虑该威胁利用的可能性有多大，而这个大小 需要综合本次评估中收集的手动检查结果、和管理调查结果。下面分别对这些 可能被威胁利用的资产的脆弱性进行简单的描述。 脆弱性类别脆弱性类别威胁可能利用的脆弱性的主要因素威胁可能利用的脆弱性的主要因素 操作错误 进行操作的用户的技术水平是否能够胜任这份工作；是否对系统用户所做 的操作进行记录；不同的岗位是否是不同的人员；不同的岗位是否有不同 的责权；公司是否定期进行不同形式的安全培训；其他因素。 滥用授权 授权用户的思想素质是否很差；不同的岗位是否是不同的人员；不同的岗 位是否有不同的责权；每个授权用户的权限是否设定为最小；公司是否定 期对员工的岗位进行考核；关键业务系统是否有开启了日志审计功能；其 他因素。 行为抵赖 是否对系统用户所做的操作进行记录；不同的岗位是否是不同的人员；不 同的岗位是否有不同的责权；每个授权用户的权限是否设定为最小；公司 是否定期对员工的岗位进行考核；其他因素。 身份假冒 公司是否建立了员工离岗制度；对各种业务系统的各种账户是否均分配了 不同的权限；不同的岗位是否有不同的责权；每个授权用户的权限是否设 定为最小；是否对关键的系统或网络建立了访问控制机制；关键业务系统 是否开启了日志审计功能；其他因素。 密码分析 公司是否对关键的系统或网络建立了访问控制机制；每台业务系统主机是 否执行了适当的安全策略；重要账户的密码强度如何；密码是否定期更换； 关键业务系统是否开启了日志审计功能；其他因素。 安全漏洞 公司是否对关键的系统或网络建立了访问控制机制；每台业务系统主机是 否执行了适当的安全策略；业务系统是否存在高风险的漏洞；网络系统是 否建立了实时监控机制；是否有专业人员定期对系统进行安全检测和维护； 是否有人专门负责修补和升级系统的安全漏洞；关键业务系统是否开启了 日志审计功能；其他因素。 版权所有 第 14 页 拒绝服务 公司是否对关键的系统或网络建立有效的防拒绝服务措施；每台业务系统 主机是否执行了适当的安全策略；网络系统是否建立了实时监控机制；系 统是否对关键的网络设备和主机进行了冗余设置；关键业务系统是否开启 了日志审计功能；公司是否建立了完善的应急响应体系；其他因素。 恶意代码 每台业务系统主机是否执行了适当的安全策略；公司是否在全网建立了有 效的防毒体系；公司是否有专人负责病毒防范工作；是否定期对防毒软件 进行升级；是否有人专门负责修补和升级系统的安全漏洞；是否定期对网 络系统进行病毒扫描；公司是否建立了完善的应急响应体系；其他因素。 窃听数据 是否定期对网络系统漏洞进行修补；敏感数据是否加密保存和传输；是否 建立了网络系统的实时监控机制；其他因素。 物理破坏 机房是否安装了门禁系统；公司是否有严格的保安制度；对重要的数据或 系统位置是否有电视监控；进入机房的人员是否登记；在机房内进行的操 作是否做了记录；安全管理制度是否全面制定并实施；其他因素。 社会工程 安全管理制度是否全面制定并实施；授权用户的思想素质是否很差；不同 的岗位是否是不同的人员；不同的岗位是否有不同的责权；其他因素。 意外故障 关键业务系统是否进行了实时热备份；重要的网络设备和计算机设备、业 务数据是否进行了备份；使用的硬件或软件是否是购于正牌厂家；是否建 立了网络系统的实时监控机制；是否有专门的人员负责定期对系统进行检 查和维护；每个设备或系统在正式投入使用之前是否进行功能和安全测试； 公司是否建立了完善的应急响应体系；其他因素。 通信中断 是否对关键业务数据的通信线路建立的备份线路；是否建立了网络系统的 实时监控机制；是否有专门的人员负责定期对系统进行检查和维护；公司 是否建立了完善的应急响应体系；其他因素。 电源中断 是否对关键业务系统是否进行了实时热备份；重要的网络设备和计算机设 备、业务数据是否进行了备份；关键的业务系统有 ups 作备用电源；是否 有单独的配电柜；是否有备用发电机；公司是否建立了完善的应急响应体 系；其他因素。 灾难 公司是否有完善的防火、防雷、防水、防尘、防鼠等措施；公司是否建立 了完善的灾难恢复计划；其他因素。 版权所有 第 15 页 表表 5-1 主要脆弱性因素列表主要脆弱性因素列表 5.3.脆弱性评估方法脆弱性评估方法 资产脆弱性评估，主要是根据在这一阶段进行的资产脆弱性调查结果评估 的。在资产脆弱性调查中，首先进行了管理脆弱性问卷的调查，发现整个系统 在管理方面弱点，然后对评估的所有主机和网络设备进行了工具扫描和手动检 查，对各资产的系统漏洞和安全策略缺陷进行了调查。最后对收集到的各资产 的管理和技术脆弱性数据进行综合分析，根据每种脆弱性所应考虑的因素是否 符合，确定每个资产可能被威胁利用的脆弱性的权值。 参照国际通行作法和专家经验，将资产存在的脆弱性分为 5 个等级，分别 是很高（vh） 、高（h） 、中（m） 、低（l） 、可忽略（n） ，并且从高到低分别 赋值 4-0。参照下表。 赋值赋值简称简称说明说明 4vh该弱点可以造成资产全部损失等非常大的威胁 3h该弱点可以造成资产重大损失等较大威胁 2m该弱点可以造成资产损失，引发中等威胁 1l该弱点可以造成较小资产损失，引发较小威胁 0n该弱点可能造成资产损失可以忽略、引发的威胁可以忽略 表表 5-2 脆弱性评估赋值参考表脆弱性评估赋值参考表 5.4.脆弱性评估结果脆弱性评估结果 脆弱性评估表 comment cxd2: 考虑其它的风险 计算方法？！ 版权所有 第 16 页 六六. 风险分析风险分析 6.1.概述概述 风险是指特定的威胁利用资产的一种或一组脆弱性，导致资产的丢失或损 害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。风险只能预防、 避免、降低、转移和接受，但不可能完全被消灭。在完成资产、威胁和脆弱性 的评估后，才会进入安全风险的评估阶段。 在这个过程中，根据上面评估的结果，采用下节所述的风险计算方法，对 xx 电厂二次系统风险评估范围内的每一信息资产因遭受泄露、修改、不可用 和破坏所带来的任何影响做出一个风险测量的列表，以便对 xx 电厂二次系统 面临的风险进行详细分析，以识别与选择适当和正确的风险控制策略。 6.2.风险风险计算计算方法方法 风险存在两个属性：后果（consequence）和可能性（likelihood） 。最终风 险对 xx 电厂二次系统的影响，也就是风险两个属性权衡作用的结果。 不同的资产面临的主要威胁各不相同。而随着威胁可以利用的、资产存在 的弱点数量的增加会增加风险的可能性，随着弱点严重级别的提高会增加该资 产面临风险的后果。 在许多情况下，某资产风险的可能性是面临的威胁的可能性和资产存在的 脆弱性的函数，而风险的后果是资产的价值和威胁的严重性的函数。 建议采用下面的算式来得到资产的风险赋值： 风险值风险值 = 资产价值资产价值 威胁严重性威胁严重性 威胁可能性威胁可能性 资产脆弱性资产脆弱性 上述公式主要考虑到各参数的取值并不是特别精确的数据，加入了顾问的 经验和判断，在国际中对此类数据常采用的数据主要使用加法、乘法或矩阵等 方法。考虑到便于运算，故我们采用线性的相乘。 根据风险信息和数据，对风险分析予以不同程度的改进。采用下面的赋 值矩阵来获得最终的风险等级： 版权所有 第 17 页 数值数值符号符号含义含义建议处置、措施建议处置、措施备注备注 128256e极度风险 要求立即采取措施：避免？转 移？减小？ 需要具体资产信息 64127h高风险 需要高级管理部门的注意：避 免？转移？减小？ 需要具体资产信息 463m中等风险 必须规定管理责任：避免？接 受？转移？减小？ 需要具体资产信息 03l低风险 用日常程序处理：避免？接受？ 转移？减小？ 需要具体资产信息 表表 6-1 风险程度和措施风险程度和措施 6.3.风险评估结果风险评估结果 所有节点的风险评估表 6.4.风险分析风险分析 6.4.1. 业务风险综合分析业务风险综合分析 注意：下面每个图中每个柱体的高度代表相应风险总量，以从宏观上来分注意：下面每个图中每个柱体的高度代表相应风险总量，以从宏观上来分 析该系统的各种风险。但是柱体的高度并不代表组成该系统的某一资产的风险析该系统的各种风险。但是柱体的高度并不代表组成该系统的某一资产的风险 值。值。 图图 6-1 xx 电厂二次系统风险量总计电厂二次系统风险量总计 通过如上的综合总量图直观的看到各种威胁的对业务应用带来的风险程度。 其中漏洞利用、意外故障、恶意代码、密码猜测等这几种风险较大。但是这里 要注意的是，虽然在系统总量的角度看某种风险很低，但是不代表某一个具体 资产的风险很低。同样，由于风险的普遍性，系统风险总量高的不代表某一个 具体的资产的风险高。风险较大的原因有两种：一部分原因是由于某些软件资 版权所有 第 18 页 产面临的威胁发生可能性较大，而系统中存在相当多可被该威胁利用的安全漏 洞或缺陷，如安全漏洞、恶意代码等；另一种原因是面对范围较广，所有资产 都存在该风险，导致整个系统风险值提高，如意外故障。 6.4.2. 资产风险分析资产风险分析 本节列出 xx 电厂二次系统不同类别资产所面临风险的风险等级、危险程 度，并对“高（h） ”级以上的风险进行原因分析，提出了有针对性的建议措施， 备注中注明了对应风险威胁的具体资产。 需要针对具体xx电厂分析 xx 电厂二次系统服务器和网络设备面临的“极度风险”和“高风险”参见下表， 导致这些风险存在的主要原因是 xx 电厂二次系统的安全措施不全面，并且很 多已经采用的安全措施执行不严格造成的。具体分析参见下列各表。 风险风险 类别类别 风险风险 等级等级 危险程度危险程度原因描述原因描述建议措施建议措施威胁资产威胁资产 操作 失误 h高风险 威胁严重性和 可能性较高；管理 员存在配置错误的 可能 管理员熟悉对 数据库知识的了解； 记录操作内容 滥用 授权 h高风险 威胁严重性。 可能性较高；管理 员权限分配不明确， 部分人员权限过高 明确划分管理 权限；建立不同的 角色；管理员审计 身份 假冒 h高风险 威胁的严重性 很高；管理员权限 分配不明确，多人 使用同一帐号 明确划分管理 权限；建立不同的 用户；管理员审计 密码 分析 h高风险 威胁严重性和 可能性很高 采用防火墙和 入侵检测设备；加 强密码强度和复杂 邮件服务器 邮件网关服务 器 版权所有 第 19 页 度dns 服务器 公文服务器 文档服务器 人力资源服务 器 短信服务器 信息展示服务 器 省公司代理服 务器 地市代理服务 器 防病毒服务器 邮件过滤服务 器 集团公司公文 网关服务器 网络资源服务 器 测试平台服务 器 经营数据服务 器 综合分析服务 器 安全 漏洞 e 极度风 险 利用安全漏洞 的威胁严重性和可 能性很高；数据库 服务器存在高风险 采用防火墙和 入侵检测产品；定 制安全通告；定期 扫描系统安全漏洞； 邮件服务器 邮件网关服务 器 dns 服务器 版权所有 第 20 页 漏洞；安全配置策 略不够强。 及时进行修补和加 固。 公文服务器 文档服务器 人力资源服务 器 短信服务器 信息展示服务 器 省公司代理服 务器 地市代理服务 器 防病毒服务器 邮件过滤服务 器 集团公司公文 网关服务器 网络资源服务 器 测试平台服务 器 经营数据服务 器 综合分析服务 器 集团网关路由 器 拒绝 服务 h /e 高风险 /极度风险 拒绝服务攻击 威胁严重性很高； 两台服务器存在公 采用抗拒绝服 务产品；定制安全 通告；定期扫描系 邮件服务器 dns 服务器 邮件网关服务 版权所有 第 21 页 网 ip。统；及时进行修补 和加固。 器 数据库服务器 iis 服务器 人力资源服务 器 短信服务器 信息展示服务 器 省公司代理服 务器 地市代理服务 器 邮件过滤服务 器 集团公司公文 网关服务器 拨号，ddn 主核心交换 备核心交换 汇聚交换 地址转换 外网防火墙 mis 系统交换 mis 系统防火 墙 集团网关路由 器 集团网关防火 墙 版权所有 第 22 页 恶意 代码 h /e 高风险 /极度风险 恶意代码威胁 的严重性和可能性 很高；服务器可能 存在被恶意代码利 用的漏洞；防病毒 软件非网络版，不 能在线升级病毒库； 缺乏应急体系。 全面建立和完 善网络防病毒体系； 定期扫描系统；及 时进行修补和加固； 建立应急计划，定 期更新、演练和培 训应急方案。 。 邮件服务器 dns 服务器 邮件网关服务 器 数据库服务器 ftp 服务器 iis 服务器 公文服务器 文档服务