信息安全风险评估报告书.doc

1111 单位 1111 系统安全项目 信息安全信息安全风险评风险评估估报报告告 我我们单们单位名位名 日期 报告编写人 日期 批准人 日期 版本号 第一版本 日期 第二 版本 日期 终板 目目 录录 1概述概述 3 1 1项目背景 3 1 2工作方法 3 1 3评估范围 3 1 4基本信息 3 2业务业务系系统统分析分析 4 2 1业务系统职能 4 2 2网络拓扑结构 4 2 3边界数据流向 4 3资产资产分析分析 5 3 1信息资产分析 5 3 1 1信息资产识别概述 5 3 1 2信息资产识别 5 4威威胁胁分析分析 6 4 1威胁分析概述 6 4 2威胁分类 7 4 3威胁主体 7 4 4威胁识别 7 5脆弱性分析脆弱性分析 8 5 1脆弱性分析概述 8 5 2技术脆弱性分析 9 5 2 1网络平台脆弱性分析 9 5 2 2操作系统脆弱性分析 9 5 2 3脆弱性扫描结果分析 9 5 2 3 1扫描资产列表 9 5 2 3 2高危漏洞分析 10 5 2 3 3系统帐户分析 10 5 2 3 4应用帐户分析 10 5 3管理脆弱性分析 10 5 4脆弱性识别 12 6风险风险分析分析 13 6 1风险分析概述 13 6 2资产风险分布 13 6 3资产风险列表 13 7系系统统安全加固建安全加固建议议 14 7 1管理类建议 14 7 2技术类建议 14 7 2 1安全措施 14 7 2 2网络平台 15 7 2 3操作系统 15 8制定及确制定及确认认 16 9附附录录 A 脆弱性 脆弱性编编号号规则规则 17 可编辑 word 供参考版 1 1 1 概述概述概述概述 1 11 11 1 项项项项目背景目背景目背景目背景 为了切实提高各系统的安全保障水平 更好地促进各系统的安全建设工作 提升奥运保障能力 需要增强对于网运中心各系统的安全风险控制 发现系统安 全风险并及时纠正 根据网络与信息安全建设规划 为了提高各系统的安全保障 和运营水平 现提出系统安全加固与服务项目 1 21 21 2 工作方法工作方法工作方法工作方法 在本次安全风险评测中将主要采用的评测方法包括 人工评测 工具评测 调查问卷 顾问访谈 1 31 31 3 评评评评估范估范估范估范围围围围 此次系统测评的范围主要针对该业务系统所涉及的服务器 应用 数据库 网络设备 安全设备 终端等资产 主要涉及以下方面 1 业务系统的应用环境 2 网络及其主要基础设施 例如路由器 交换机等 3 安全保护措施和设备 例如防火墙 IDS 等 可编辑 word 供参考版 4 信息安全管理体系 ISMS 1 41 41 4 基本信息基本信息基本信息基本信息 被被评评估系估系统统名称名称xx 系统 业务业务系系统负责统负责人人 评评估工作配合人估工作配合人员员 2 2 2 业务业务业务业务系系系系统统统统分析分析分析分析 2 12 12 1 业务业务业务业务系系系系统统统统职职职职能能能能 2 22 22 2 网网网网络络络络拓扑拓扑拓扑拓扑结结结结构构构构 图表 1 业务系统拓扑结构图 2 32 32 3 边边边边界数据流向界数据流向界数据流向界数据流向 编编 号号 边边界名称界名称边边界界类类型型路径系路径系统统发发起方起方数据流向数据流向现现有安全措施有安全措施 1 MDN系统类MDN 本系统 对端系统 双向系统架构隔离 可编辑 word 供参考版 3 3 3 资产资产资产资产分析分析分析分析 3 13 13 1 信息信息信息信息资产资产资产资产分析分析分析分析 3 1 13 1 13 1 1 信息信息信息信息资产识别资产识别资产识别资产识别概述概述概述概述 资产是风险评估的最终评估对象 在一个全面的风险评估中 风险的所有重 要因素都紧紧围绕着资产为中心 威胁 脆弱性以及风险都是针对资产而客观存 在的 威胁利用资产自身的脆弱性使得安全事件的发生成为可能 从而形成了风 险 这些安全事件一旦发生 将对资产甚至是整个系统都将造成一定的影响 资产被定义为对组织具有价值的信息或资源 资产识别的目标就是识别出资 产的价值 风险评估中资产的价值不是以资产的经济价值来衡量 而是由资产在 其安全属性 机密性 完整性和可用性机密性 完整性和可用性上的达成程度或者其安全属性未达成 时所造成的影响程度来决定的 资产资产估价等估价等级级 赋值赋值 高3 中2 低1 3 1 23 1 23 1 2 信息信息信息信息资产识别资产识别资产识别资产识别 资产组资产组 资产资产分分类类 组组号号资产编资产编号号具体具体资产资产 IP 地址地址 名称名称 资产资产 估价估价 等等级级 H001sun ultra60中 H002sun ultra60中 H003sun ultra60高 服服务务器器 1 H004sun ultra60高 N001华为 3680E中 N002 华为 3680E 中 物物 理理 资资 产产 网网络设备络设备 2 N003 华为 S2016 中 软软 操作系操作系统统 3 H001Solaris高 可编辑 word 供参考版 H002Solaris高 H003Solaris高 H004Solaris高 件件 资资 产产 数据数据库库和和 应应用用软软件件 4 D001Sybase高 4 4 4 威威威威胁胁胁胁分析分析分析分析 4 14 14 1 威威威威胁胁胁胁分析概述分析概述分析概述分析概述 威胁是指可能对资产或组织造成损害事故的潜在原因 作为风险评估的重要 因素 威胁是一个客观存在的事物 无论对于多么安全的信息系统都存在 威胁可能源于对系统直接或间接的攻击 例如信息泄漏 篡改 删除等 在机 密性 完整性或可用性等方面造成损害 威胁也可能源于偶发的 或蓄意的事件 按照威胁产生的来源 可以分为外部威胁和内部威胁 1 外部威胁 来自不可控网络的外部攻击 主要指移动的 CMNET 其它电 信运营商的 Internet 互联网 以及第三方的攻击 其中互联网的威胁主要是黑客 攻击 蠕虫病毒等 而第三方的威胁主要是越权或滥用 泄密 篡改 恶意代码或 病毒等 2 内部威胁 主要来自内部人员的恶意攻击 无作为或操作失误 越权或滥 用 泄密 篡改等 另外 由于管理不规范导致各支撑系统之间的终端混用 也带 来病毒泛滥的潜在威胁 对每种威胁发生的可能性进行分析 最终为其赋一个相对等级值 将根据经 验 有关的统计数据来判断威胁发生的频率或者概率 威胁发生的可能性受下列 因素影响 1 资产的吸引力 2 资产转化成报酬的容易程度 可编辑 word 供参考版 3 威胁的技术力量 4 脆弱性被利用的难易程度 下面是威胁标识对应表 威威胁胁 等等级级 赋赋 值值 可能可能带带来的威来的威胁胁可控性可控性发发生生频频度度 高 3 黑客攻击 恶意代码和病 毒等 完全不可控 出现的频率较高 或 1 次 月 或在大多数情况 下很有可能会发生 或可 以证实多次发生过 中 2 物理攻击 内部人员的操 作失误 恶意代码和病毒 等 一定的可控性 出现的频率中等 或 1 次 半年 或在某种情况 下可能会发生 或被证实 曾经发生过 低 1 内部人员的操作失误 恶 意代码和病毒等 较大的可控性 出现的频率较小 或一般 不太可能发生 或没有被 证实发生过 4 24 24 2 威威威威胁胁胁胁分分分分类类类类 下面是针对威胁分类对威胁途径的描述 其中不包括物理威胁 威威胁胁种种类类威威胁胁途径途径 操作错误合法用户工作失误或疏忽的可能性 滥用授权 合法用户利用自己的权限故意或非故意破坏系统的可 能性 行为抵赖合法用户对自己操作行为否认的可能性 身份假冒非法用户冒充合法用户进行操作的可能性 密码分析非法用户对系统密码分析的可能性 安全漏洞非法用户利用系统漏洞侵入系统的可能性 可编辑 word 供参考版 拒绝服务非法用户利用拒绝服务手段攻击系统的可能性 恶意代码病毒 特洛伊木马 蠕虫 逻辑炸弹等感染的可能性 窃听数据非法用户通过窃听等手段盗取重要数据的可能性 社会工程非法用户利用社交等手段获取重要信息的可能性 意外故障系统的组件发生意外故障的可能性 通信中断数据通信传输过程中发生意外中断的可能性 4 34 34 3 威威威威胁胁胁胁主体主体主体主体 下面对威胁来源从威胁主体的角度进行了威胁等级分析 威威胁胁主体主体面面临临的威的威胁胁 操作错误 滥用授权 系统合法用户 系统管理员和其他授权用户 行为抵赖 身份假冒 密码分析 安全漏洞 拒绝服务 恶意代码 窃听数据 系统非法用户 权限较低用户和外部攻击者 社会工程 意外故障 系统组件 通信中断 4 44 44 4 威威威威胁识别胁识别胁识别胁识别 序序 号号 资产编资产编号号 操操 作作 滥滥 用用 行行 为为 身身 份份 密密 码码 安安 全全 拒拒 绝绝 恶恶 意意 窃窃 听听 社社 会会 意意 外外 通通 信信 可编辑 word 供参考版 错错 误误 授授 权权 抵抵 赖赖 假假 冒冒 分分 析析 漏漏 洞洞 服服 务务 代代 码码 数数 据据 工工 程程 故故 障障 中中 断断 1 N001122231312211 2 N002122231312211 3 N003122231312211 4 H001112111311211 5 H002112111311211 6 H003112111311211 7 H004112111311211 8 D001112221311211 5 5 5 脆弱性分析脆弱性分析脆弱性分析脆弱性分析 5 15 15 1 脆弱性分析概述脆弱性分析概述脆弱性分析概述脆弱性分析概述 脆弱性是指资产或资产组中能被威胁所利用的弱点 它包括物理环境 组织 机构 业务流程 人员 管理 硬件 软件及通讯设施等各个方面 这些都可能被 各种安全威胁利用来侵害一个组织机构内的有关资产及这些资产所支持的业务 系统 各种安全薄弱环节自身并不会造成什么危害 只有在被各种安全威胁利用 后才可能造成相应的危害 需要注意的是不正确的 起不到应有作用的或没有正 确实施的安全保护措施本身就可能是一个安全薄弱环节 这里将对脆弱性被威胁利用的可能性进行评估 最终为其赋相对等级值 脆弱性等脆弱性等级级 赋值赋值 描述描述 高3 很容易被攻击者利用 会对系统造成极大损害 中2 脆弱项虽然对系统安全有一定影响 但其被利用需要一 定难度 低1 脆弱项被利用后会对系统产生有限影响 在脆弱性评估时的数据来源应该是资产的拥有者或使用者 相关业务领域的 可编辑 word 供参考版 专家以及软硬件信息系统方面的专业人员 在本次评估中将从技术 管理两个方面进行脆弱性评估 其中在技术方面主 要是通过远程和本地两种方式进行工具扫描 手动检查等方式进行评估 以保证 脆弱性评估的全面性和有效性 管理脆弱性评估方面主要是对现有的安全管理制 度的制定和执行情况进行检查 发现其中的管理漏洞和不足 5 25 25 2 技技技技术术术术脆弱性分析脆弱性分析脆弱性分析脆弱性分析 5 2 15 2 15 2 1 网网网网络络络络平台脆弱性分析平台脆弱性分析平台脆弱性分析平台脆弱性分析 华为交换机 路由器设备脆弱性分析 下面按照严重程度高 中 低的顺序排 列 脆弱性脆弱性 编编号号 脆弱性名称脆弱性名称受影响的受影响的资产资产 严严重重 程度程度 V30001 未对 super 密码加密 高 V30002 未进行用户权限设置 高 V30003 未对 VTY 的访问限制 中 V30004 未进行登陆超时设置 中 V30005 未禁用 FTP 服务 中 V30006 未进行日志审计 中 V30007 未对 VTY 的数量限制 低 5 2 25 2 25 2 2 操作系操作系操作系操作系统统统统脆弱性分析脆弱性分析脆弱性分析脆弱性分析 Solaris 操作系统脆弱性分析 下面按照严重程度高 中 低的顺序排列 可编辑 word 供参考版 脆弱性脆弱性编编 号号 脆弱性名称脆弱性名称受影响的受影响的资产资产 严严重重 程度程度 V22001 存在可能无用的组中 V22002 存在没有所有者的文件低 V22003 不记录登录失败事件低 5 2 35 2 35 2 3 脆弱性脆弱性脆弱性脆弱性扫扫扫扫描描描描结结结结果分析果分析果分析果分析 5 2 3 1 扫扫描描资产资产列表列表 序号序号设备设备 系系统统名称名称IP 地址地址扫扫描策略描策略 是否是否 扫扫描描 1 网络设备与防火墙 是 2 网络设备与防火墙 是 3 solaris 系统 solaris 应用 是 4 solaris 系统 solaris 应用 是 5 solaris 系统 solaris 应用 是 6 solaris 系统 solaris 应用 是 7 windows 终端windows 系统 是 8 windows 终端windows 系统 是 9 windows 终端windows 系统 是 5 2 3 2 高危漏洞分析高危漏洞分析 Solaris 操作系统高危漏洞如下 可编辑 word 供参考版 脆弱性脆弱性 编编号号 脆弱性名称脆弱性名称受影响的受影响的资产资产 严严重重 程度程度 V22004 OpenSSH S Key 远程信息 泄露漏洞 中 V22005 OpenSSH GSSAPI 信号处 理程序内存两次释放漏洞 中 V22006 OpenSSH 复制块远程拒绝 服务漏洞 中 5 2 3 3 系系统帐户统帐户分析分析 本次扫描未发现系统帐户信息 5 2 3 4 应应用用帐户帐户分析分析 本次扫描未发现应用帐户信息 5 35 35 3 管理脆弱性分析管理脆弱性分析管理脆弱性分析管理脆弱性分析 项项目目子子项项检查结检查结果果可能危害可能危害 是否有针对业务系统的安全策略有无 是否传达到相关员工有无 安全策安全策 略略 信息安全 策略 是否有复核制度无明确的复核制度安全策略与现 状不符合 贯 彻不力 部门职责分配有无 安全安全组组 织织 基础组织 保障 与外部安全机构的合作合作较少对最新的安全 动态和系统现 状的了解不足 不能及时响应 最新的安全问 题 可编辑 word 供参考版 项项目目子子项项检查结检查结果果可能危害可能危害 访问控制外来人员参观机房需 要有信息中心专人陪 同 无 第三方访 问安全 保密合同有无 资产清单和描述有无资产资产分分 类类与控与控 制制 资产分类资产分类 按业务角度进行分类无 工作职责有无 岗位划分划分明确无 能力要求有 对人员基本能力 有明确的技术要求 无 岗位和资 源 保密协议签订保密协议无 定期培训 公司定期培训 无针 对本系统的培训 不能完全适合 该业务系统的 实际情况 缺 少针对性 培训 安全意识员工安全意识比较强无 事故报告制度有事件报告机制 有 明确规定 无 事故事后分析有无 人人员员安安 全全 事故处理 纠正机制有纠正机制无 操作规程文件有明确的操作规程文 件及文档指南 无 操作规程 和职责安全事故管理责任 有完整流程 并作相 应记录 无 信息备份 有详细的备份计划无 保持操作记录有完善的操作记录无 通通讯讯与与 运行管运行管 理理 内务处理 故障记录有无 外联用户控制有防火墙无 网络路由控制有 统一做的无 网络连接控制有无 网络访问 控制 网络隔离控制划分 vlan无 用户认证用户名和密码简单认 证模式 未授权用户威 胁系统安全 口令管理 有无 应用系统 访问控制 文件共享 无无 用户权限控制 有无 访问权限控制 有无 数据库系 统访问控 制 口令控制 有无 系系统访统访 问问控制控制 日常维护业务系统监控有 并且有记录无 可编辑 word 供参考版 项项目目子子项项检查结检查结果果可能危害可能危害 网络监控有 统一部署的无 维护文档更新有无 系统日志有无 核心服务器冗余核心服务器数据库有 备份 无 关键链路冗余 有无 容灾备份 数据库备份有数据备份 无 安全机构支持 有无 集成商的技术服务和支持 华为 无 技术支持 证据收集没有采取收集证据的 方式来维护自己的利 益 自身利益可能 受到损失 安全策略信息系统有安全策略 并经常被审查 集团 下发的一些东西 无 业务连业务连 续续性管性管 理理 安全策略 和技术技术符合性检验有 定期进行技术审 查以确保符合安全实 现标准 无 5 45 45 4 脆弱性脆弱性脆弱性脆弱性识别识别识别识别 序序 号号 资产编资产编号号 操操 作作 错错 误误 滥滥 用用 授授 权权 行行 为为 抵抵 赖赖 身身 份份 假假 冒冒 密密 码码 分分 析析 安安 全全 漏漏 洞洞 拒拒 绝绝 服服 务务 恶恶 意意 代代 码码 窃窃 听听 数数 据据 社社 会会 工工 程程 意意 外外 故故 障障 通通 信信 中中 断断 1 N001121231311111 2 N002121231311111 3 N003121231311111 4 H001112111211111 5 H002112111211111 6 H003112111211111 7 H004112111211111 8 D001112111211111 可编辑 word 供参考版 6 6 6 风险风险风险风险分析分析分析分析 6 16 16 1 风险风险风险风险分析概述分析概述分析概述分析概述 风险是指特定的威胁利用资产的一种或一组脆弱性 导致资产的丢失或损害 的潜在可能性 即特定威胁事件发生的可能性与后果的结合 风险只能预防 避 免 降低 转移和接受 但不可能完全被消灭 在这个过程中 将根据上面评估的 结果 选择适当的风险计算方法或工具确定风险的大小与风险等级 即对每一业 务系统的资产因遭受泄露 修改 不可用和破坏所带来的任何影响做出一个风险 测量的列表 以便识别与选择适当和正确的风险控制策略 这也将是策划信息安 全体系架构的重要步骤 6 26 26 2 资产风险资产风险资产风险资产风险分布分布分布分布 图表 2 资产风险分布图 6 36 36 3 资产风险资产风险资产风险资产风险列表列表列表列表 根据风险的计算公式函数 R f A T V f Ia L Va T 其中 R 代表风险 A 可编辑 word 供参考版 代表资产的估价 T 代表威胁 V 代表脆弱性 我们得出下表 序序 号号 资产编资产编号号 操操 作作 错错 误误 滥滥 用用 授授 权权 行行 为为 抵抵 赖赖 身身 份份 假假 冒冒 密密 码码 分分 析析 安安 全全 漏漏 洞洞 拒拒 绝绝 服服 务务 恶恶 意意 代代 码码 窃窃 听听 数数 据据 社社 会会 工工 程程 意意 外外 故故 障障 通通 信信 中中 断断 1 N0013126122732766333 2 N0023126122732766333 3 N0033126122732766333 4 H00133123331836333 5 H00233123331836333 6 H00333123331836333 7 H00433123331836333 8 D00133126631833633 7 7 7 系系系系统统统统安全加固建安全加固建安全加固建安全加固建议议议议 7 17 17 1 管理管理管理管理类类类类建建建建议议议议 编编 号号 脆弱性描述脆弱性描述安全加固建安全加固建议议 1 缺少明确的复核制度 在安全体系中完善复核制度 明确执行 方法 2 与外部安全机构的合作较少 对最新 的安全动态和系统现状的了解不足 不能及时响应最新的安全问题 加强与安全服务商的合作 定期开展培 训和系统风险评估与加固工作 3 在对设备和系统的维护管理中缺少强 制使用身份认证和通讯加密的要求 采用 SSH 等非明文传输的管理工具 并 启用认证系统 可编辑 word 供参考版 7 27 27 2 技技技技术类术类术类术类建建建建议议议议 7 2 17 2 17 2 1 安全安全安全安全措施措施措施措施 编编 号号 脆弱性描述脆弱性描述安全加固建安全加固建议议 1 系统边界缺少安全防护措施 出口链路中增加防火墙进行访问控制 和安全隔离 2 系统边界出口缺少冗余措施 出口链路中增加链路冗余 减少发生通 讯故障的风险 或者对关键设备做冷备 3 内部骨干链路与核心设备之间缺少冗 余措施 骨干链路中增加链路冗余 减少发生通 讯故障的风险 或者对关键设备做冷备 4 系统的内部网络中缺少入侵检测技术 手段 在内部核心交换处部署 IDS 设备 5 系统中缺少对流量做监控的技术手段 在关键链路或核心交换处增加流量监 控设备 7 2 27 2 27 2 2 网网网网络络络络平台平台平台平台 华为交换机 路由器设备加固建议 脆弱性脆弱性 编编号号 脆弱性描述脆弱性描述安全加固建安全加固建议议加固加固风险风险 条件条件 V30001 未对 super 密码加密 对 super 密码进行加 密 低风险 V30002 未进行用户权限设置设置用户权限可能会导致部分用户 可编辑 word 供参考版 权限不适当 V30003 未对 VTY 的访问限制设置 VTY 访问限制 可能限制某些用户无 法