电厂二次系统安全审核报告模板

1、 版权所有 密级：内部密级：内部xxxxxxxx 单位单位 xxxxxxxx 项目项目xxxxxxxx 文档文档xxxx 信息技术有限公司信息技术有限公司2005 年年 10 月月 版权所有目目 录录一一.引言引言.11.1.目的 .11.2.背景 .11.3.术语和定义 .11.4.参照标准和规范 .2二二.xx 电厂安全审核概述电厂安全审核概述.32.1.安全审核范围 .32.1.1.安全审核业务.32.1.2.业务网络拓扑结构.32.2.审核流程 .3三三.资产识别和估价资产识别和估价.63.1.概述 .63.2.资产识别 .63.2.1.评估资产编号规则.63.2.2.服务器.63.2

2、.3.网络设备.73.2.4.终端设备.73.3.资产估价方法 .73.4.资产估价结果 .8四四.威胁评估威胁评估.84.1.概述 .84.2.威胁的类别 .94.3.威胁评估方法 .104.4.威胁评估结果 .11 版权所有4.4.1.威胁严重性评估结果.114.4.2.威胁可能性评估结果.12五五.脆弱性评估脆弱性评估.125.1.概述 .125.2.脆弱性的类别 .125.3.脆弱性评估方法 .155.4.脆弱性评估结果 .15六六.风险分析风险分析.166.1.概述 .166.2.风险计算方法 .166.3.风险评估结果 .176.4.风险分析 .176.4.1.业务风险综合分析.1

3、76.4.2.资产风险分析.18七七.风险管理建议风险管理建议.24comment cxd1: 添加其它条目 版权所有第 1 页一一. 引言引言1.1.目的目的本安全审核报告是针对 xx 电厂二次系统进行安全评估过程的总结。通过对 xx 电厂二次系统的调查、审核及评估，为 xx 电厂二次系统提供符合电力二次系统安全防护规定 （电监会 5 号令）的初步审查和安全现状了解，为下一步的系统安全分析、安全保护方案制定、安全风险管理等提供可靠的依据。1.2.背景背景随着现代通讯技术和信息技术的发展，为了保障大电网的安全和经济运行，各种信息系统， 如调度自动化（scada/ems）、配电网自动化系统（da

4、）和变电站综合自动化系统（sa），电力市场技术支持系统等在电力系统领域里得到了广泛应用。电力系统与信息系统、通信系统已经融合成为高度集成的混杂系统，电力系统的监测和控制越来越依赖于信息系统和通信系统的可靠运行。为保障电网系统的安全可靠运行，国家电力监管委员会发布了电力二次系统安全防护规定 （电监会 5 号令） ，在 5 号令中明确了电力二次系统安全防护工作应当坚持安全分区、网络专用、横向隔离、纵向认证的原则，并且要求建立电力二次系统安全评估制度。在电力二次系统中电厂二次系统是其中的重要环节，对电厂二次系统的安全审核和评估是目前电力二次系统安全审核和评估中较大的空白。xx 公司根据自身贴近和熟悉

5、行业的特点，结合自身的技术力量，开展对电厂二次系统的审核和评估。1.3.术语和定义术语和定义电力二次系统：包括电力监控系统、电力通信及数据网络等。 版权所有第 2 页电力监控系统：是指用于监视和控制电网及电厂生产运行过程的、基于计算机及网络技术的业务处理系统及智能设备等。包括电力数据采集与监控系统、能量管理系统、变电站自动化系统、换流站计算机监控系统、发电厂计算机监控系统、配电自动化系统、微机继电保护和安全自动装置、广域相量测量系统、负荷控制系统、水调自动化系统和水电梯级调度自动化系统、电能量计量计费系统、实时电力市场的辅助控制系统等。电力调度数据网络：是指各级电力调度专用广域数据网络、电力生

6、产专用拨号网络等。控制区：是指由具有实时监控功能、纵向联接使用电力调度数据网的实时子网或专用通道的各业务系统构成的安全区域。非控制区：是指在生产控制范围内由在线运行但不直接参与控制、是电力生产过程的必要环节、纵向联接使用电力调度数据网的非实时子网的各业务系统构成的安全区域。1.4.参照标准和规范参照标准和规范中华人民共和国计算机信息系统安全保护条例计算机信息系统安全保护等级划分准则电力二次系统安全防护规定 （电监会 5 号令）信息技术 安全技术 信息技术安全性评估准则，第一部分 简介和一般模型(iso15408 / gb/t 18336)信息技术 安全技术 信息技术安全性评估准则，第二部分 安

7、全功能要求(iso15408 / gb/t 18336)信息技术 安全技术 信息技术安全性评估准则，第三部分 安全保证要求(iso15408 / gb/t 18336)iso 17799 part i, code of practice for information security managementiso 17799 part ii, specification for information security management 版权所有第 3 页二二. xx 电厂安全审核概述电厂安全审核概述2.1.安全审核范围安全审核范围2.1.1. 安全审核业务安全审核业务本次评估业务系统为

8、xx 电厂二次系统，包括电厂电力监控系统、电厂电力通信及数据网络等。xx 电厂二次系统提供 xxxx 业务，具体二次系统参见业务网络拓扑图。具体评估范围涵盖关键服务器、网络设备、终端，包括：（列出审核及评估的所有节点）邮件服务器、邮件网关服务器、邮件过滤服务器数据库服务器、经营数据服务器、经营分析服务器iis服务器、ftp服务器、dns服务器2.1.2. 业务网络拓扑结构业务网络拓扑结构xx 电厂网络拓扑图图示如下：图图 2-1 网络拓扑结构图网络拓扑结构图简述网络连接方式和结构。2.2.审核流程审核流程本次评估过程主要分为以下几个阶段（参见图 2-2）： 版权所有第 4 页第一阶段确定评估范

9、围阶段，调查并了解 xx 电厂二次系统的业务流程和运行环境，确定评估范围的边界以及范围内的所有网络系统。第二阶段是资产的识别和估价阶段，对评估范围内的所有资产进行识别，并调查资产破坏后可能造成的影响大小，根据影响的大小为资产进行相对赋值。第三阶段是安全威胁评估阶段，即评估资产所面临的每种威胁发生的可能性和严重性。第四阶段是脆弱性评估阶段，包括从技术和管理等方面进行的脆弱程度检查，技术方面是以本地方式进行手工检查的评估。第五阶段是风险分析阶段，即通过分析上面所评估的数据，进行风险值计算、区分和确认高风险因素。第六阶段是风险管理阶段，这一阶段主要是总结整个风险评估过程，制定相关风险控制策略，建立安

10、全审核报告，实施某些紧急风险控制措施。 版权所有第 5 页图图 2-2 风险评估流程图风险评估流程图 版权所有第 6 页三三. 资产识别和估价资产识别和估价3.1.概述概述资产是风险评估的最终评估对象。在一个全面的风险评估中，风险的所有重要因素都紧紧围绕着资产为中心，威胁、脆弱性以及风险都是针对资产而客观存在的。威胁利用资产自身的脆弱性使得安全事件的发生成为可能，从而形成了风险。这些安全事件一旦发生，将对资产甚至是整个系统都将造成一定的影响。因此资产的评估是风险评估的一个重要的步骤，它被确定和估价的准确性将影响着下一步所有因素的评估。本项目中资产评估的主要工作就是对 xx 电厂二次系统风险评估

11、范围内的资产进行识别，确定所有的评估对象，然后根据评估的资产在业务和应用流程中的重要程度为资产进行估价。3.2.资产识别资产识别3.2.1. 评估资产评估资产编号规则编号规则编号规则为：设备位置 + 设备类型 + 序号。其中：设备位置：a 代表物理位置一；b 代表物理位置二；依此类推。设备类型：h 代表服务器；n 代表网络设备；t 代表终端设备；s 代表存储设备；o 代表其它设备。设备序号：以三位数字 xxx 表示，从 001 开始累加。3.2.2. 服务器服务器提供服务器资产数据清单。编号编号ip 地址地址操作系统操作系统应用软件应用软件存储业务数据存储业务数据应用说明应用说明ah00110

12、.87.13.66hp-ux 11.0domino 5.08邮件邮件服务器 版权所有第 7 页3.2.3. 网络设备网络设备提供网络设备资产数据清单。编号编号ip 地址地址设备型号设备型号版本版本应用说明应用说明an0020华为 ne16vrp2.0中心接入an0011华为 3680vrp1.3.01拨号，ddn3.2.4. 终端设备终端设备提供终端设备资产数据清单。编号编号ip 地址地址物理位置物理位置at00业务支援中心3.3.资产估价方法资产估价方法在识别出所有信息资产后，接着是为每项资产赋予价值。我们将资产的权值分为 0

13、4 五个级别，由低到高代表资产的重要等级。资产估价是一个主观的过程，资产估价不是以资产的账面价格来衡量的，而是指其相对价值。在对资产进行估价时，不仅要考虑资产的成本价格，更重要的是考虑资产对于组织的商务的重要性，即根据资产损失所引发的潜在的商务影响来决定。为确保资产估价时的一致性和准确性，xx 公司按照上述原则，建立了一套资产价值尺度，即资产评估准则，以明确如何对资产进行赋值。资产估价的过程也就是资产影响分析的过程。影响就是由人为或突发性引起的安全事件对资产破坏的后果。这一后果可能毁灭某些资产，危及信息系统并使其丧失机密性、完整性、可用性，最终还会造成经济损失、市场份额或公司形象的破坏。特别重

14、要的是，即使每一次影响引起的损失并不大，但长期积 版权所有第 8 页累的众多意外事件的影响总和亦可造成严重损失。一般情况下，影响主要从以下几方面来考虑（具体请参见附录 a 资产评估准则 ）：经济损失业务影响系统破坏信誉影响商机泄露法律责任人身安全公共秩序商业利益3.4.资产估价结果资产估价结果根据 xx 电厂二次系统评估信息资产及其影响调查结果，结合关键服务器、网络设备和终端设备的重要程度，确定不同类别的资产评估结果如下：所有评估资产估价表物理物理资产资产编号编号资产名称资产名称ip 地址地址应用说明应用说明破坏后可能破坏后可能造成的影响造成的影响权权值值四四. 威胁评估威胁评估4.1.概述概

15、述威胁是指可能对资产或组织造成损害事故的潜在原因。作为风险评估的重要因素，威胁是一个客观存在的事物，无论对于多么安全的信息系统而言，它总一定存在。威胁可能源于对系统直接或间接的攻击，例如信息泄露、篡改、 版权所有第 9 页删除等，在机密性、完整性或可用性等方面造成损害。威胁可能源于意外的、或有预谋的事件。一般来说，威胁总是要利用系统、应用服务的弱点才可能成功地对资产造成损害。从宏观上讲，威胁按照安全事件的性质可以分为人为错误、非授权蓄意行为、不可抗力、以及设施/设备错误等；按照威胁的主体可以分为系统合法用户、系统非法用户、系统组件和物理环境四种类型。首先识别出对 xx 电厂二次系统需要保护的每

16、一项关键资产的主要威胁，即根据资产所处的环境条件和资产以前遭受威胁损害的情况进行判断。一项资产可能面临着多个威胁，同样一个威胁可能对不同的资产有不同的表现形式，也就可能造成不同程度的影响。识别主要是找出威胁由谁或什么事物引发以及威胁影响的资产是什么，即确定威胁的主体和客体。其次对每种威胁的属性（即威胁的严重程度和威胁发生的可能性）进行调查和分析，最终通过为各属性赋相对值的方式为其估价。在本项目中，确定威胁的属性是威胁评估的重要环节，xx 公司根据行业经验的基础上对搜集的 xx 电厂二次系统历史安全事件的统计数据进行了判断，并通过问卷调查的方式对 xx 电厂二次系统的相关网络系统管理员、安全管理

17、员进行了调查，最终获取了大量的威胁发生的频率或概率的第一手数据。4.2.威胁威胁的类别的类别根据 xx 电厂二次系统的具体情况，结合 xx 电厂二次系统历年来在信息安全方面发生过的事件记录及其发展趋势调查，本次风险评估将对如下十五种安全威胁进行考虑。威胁的主体包括：系统合法用户、系统非法用户、系统组件和物理环境。下面分别对这些威胁及其可能发生的各种情形进行简单描述。（本次评估需要作适合用户环境和应用的下述描述） 版权所有第 10 页表表 4-1 主要威胁列表主要威胁列表4.3.威胁评估方法威胁评估方法威胁的评估主要是对威胁的严重性和威胁的可能性的评估，两者取值均为相对等级 04，4 为最严重或

18、最可能。威胁的严重性是指威胁可能造成的最严重的影响，比较容易理解和确定。而威胁的可能性是考虑威胁发生的概率，比较难以判断，xx 公司在威胁发生的可能性时主要考虑如下因素的影响：资产的吸引力资产转化成报酬的容易程度威胁的技术力量和成熟手段脆弱性被利用的难易程度其他综合因素威胁主体威胁主体威胁类别威胁类别威胁描述威胁描述操作错误合法用户工作失误或疏忽的可能性滥用授权合法用户利用自己的权限故意或非故意破坏系统的可能性系统合法用户（包括系统管理员和其他授权用户）行为抵赖合法用户对自己操作行为否认的可能性身份假冒非法用户冒充合法用户进行操作的可能性密码分析非法用户对系统密码分析的可能性安全漏洞非法用户利

19、用系统漏洞侵入系统的可能性拒绝服务非法用户利用拒绝服务手段攻击系统的可能性恶意代码病毒、特洛伊木马、蠕虫、逻辑炸弹等感染的可能性窃听数据非法用户通过窃听等手段盗取重要数据的可能性物理破坏非法用户利用各种手段对资产物理破坏的可能性系统非法用户（包括权限较低用户和外部攻击者）社会工程非法用户利用社会工程等手段获取重要信息的可能性意外故障系统的硬件、软件发生意外故障的可能性系统组件通信中断数据通信传输过程中发生意外中断的可能性电源中断电源发生中断的可能性物理环境灾难火灾、水灾、雷击、鼠害、地震等发生的可能性 版权所有第 11 页各属性评估准则参照如下列表：赋值赋值简称简称说明说明4vh不可避免（90

20、%）3h非常有可能（70% 90%）2m可能（20% 70%）1l可能性很小（75%）3h资产遭受重大损失（50% 75%）2m资产遭受明显损失（25% 50%）1l损失可忍受（25%）0n损失可忽略（0%）表表 4-3 威胁严重性赋值参考表威胁严重性赋值参考表威胁可能性属性非常难以度量，它依赖于具体的资产、弱点。而影响也依赖于具体资产的价值、分类属性。并且，这两个属性都和时间有关系，也就是说，具体的威胁评估结果会随着时间的变动而需要重新审核。在威胁评估中，评估者的专家经验非常重要。4.4.威胁评估结果威胁评估结果根据 xx 电厂二次系统系统管理员、维护工程师的问卷调查结果，结合众多方面的专家

21、经验，对威胁的评估结果见下表。4.4.1. 威胁严重性评估结果威胁严重性评估结果威胁严重性评估表 版权所有第 12 页4.4.2. 威胁可能性评估结果威胁可能性评估结果威胁可能性评估表五五. 脆弱性评估脆弱性评估5.1.概述概述脆弱性是指资产或资产组中能被威胁所利用的弱点，它包括物理环境、组织机构、业务流程、人员、管理、硬件、软件及通讯设施等各个方面，这些都可能被各种安全威胁利用来侵害一个组织机构内的有关资产及这些资产所支持的业务系统。这些表现出来的各种安全薄弱环节自身并不会造成什么危害，它们只有在被各种安全威胁利用后才可能造成相应的危害。那些没有安全威胁的弱点可以不需要实施安全保护措施，但它

22、们必须记录下来以确保当情况、条件有所变化时能随之加以改变。需要注意的是不正确的、起不到应有作用的或没有正确实施的安全保护措施本身就可能是一个安全薄弱环节。在这一阶段，针对每一项需要保护的信息资产，找出每一种威胁所能利用的脆弱性，并对脆弱性的严重程度进行评估，换句话说，就是对脆弱性被威胁利用的可能性进行评估，最终为其赋相对等级值。在本次评估中，xx 公司从技术、管理两个方面进行脆弱性评估。其中在技术方面，由于电厂二次系统的重要性，主要是通过本地进行手动检查方式进行评估；管理脆弱性评估方面主要是按照 bs 7799 的安全管理要求对现有的安全管理制度和安全策略的制定和执行情况进行检查，发现其中的管

23、理漏洞和不足，具体内容参见xx 电厂二次系统脆弱性评估报告 。5.2.脆弱性的脆弱性的类别类别本次风险评估考虑的威胁有十五种，因此被威胁利用的脆弱性也分为十五种，每种脆弱性都与同种威胁一一对应。为简化文字称呼，以后定义每种威胁 版权所有第 13 页可利用脆弱性的名称与前面威胁的名称相同，必要时在名称前面加上其属性。对每种脆弱性在评估时都应考虑该威胁利用的可能性有多大，而这个大小需要综合本次评估中收集的手动检查结果、和管理调查结果。下面分别对这些可能被威胁利用的资产的脆弱性进行简单的描述。脆弱性类别脆弱性类别威胁可能利用的脆弱性的主要因素威胁可能利用的脆弱性的主要因素操作错误进行操作的用户的技术

24、水平是否能够胜任这份工作；是否对系统用户所做的操作进行记录；不同的岗位是否是不同的人员；不同的岗位是否有不同的责权；公司是否定期进行不同形式的安全培训；其他因素。滥用授权授权用户的思想素质是否很差；不同的岗位是否是不同的人员；不同的岗位是否有不同的责权；每个授权用户的权限是否设定为最小；公司是否定期对员工的岗位进行考核；关键业务系统是否有开启了日志审计功能；其他因素。行为抵赖是否对系统用户所做的操作进行记录；不同的岗位是否是不同的人员；不同的岗位是否有不同的责权；每个授权用户的权限是否设定为最小；公司是否定期对员工的岗位进行考核；其他因素。身份假冒公司是否建立了员工离岗制度；对各种业务系统的各

25、种账户是否均分配了不同的权限；不同的岗位是否有不同的责权；每个授权用户的权限是否设定为最小；是否对关键的系统或网络建立了访问控制机制；关键业务系统是否开启了日志审计功能；其他因素。密码分析公司是否对关键的系统或网络建立了访问控制机制；每台业务系统主机是否执行了适当的安全策略；重要账户的密码强度如何；密码是否定期更换；关键业务系统是否开启了日志审计功能；其他因素。安全漏洞公司是否对关键的系统或网络建立了访问控制机制；每台业务系统主机是否执行了适当的安全策略；业务系统是否存在高风险的漏洞；网络系统是否建立了实时监控机制；是否有专业人员定期对系统进行安全检测和维护；是否有人专门负责修补和升级系统的安

26、全漏洞；关键业务系统是否开启了日志审计功能；其他因素。 版权所有第 14 页拒绝服务公司是否对关键的系统或网络建立有效的防拒绝服务措施；每台业务系统主机是否执行了适当的安全策略；网络系统是否建立了实时监控机制；系统是否对关键的网络设备和主机进行了冗余设置；关键业务系统是否开启了日志审计功能；公司是否建立了完善的应急响应体系；其他因素。恶意代码每台业务系统主机是否执行了适当的安全策略；公司是否在全网建立了有效的防毒体系；公司是否有专人负责病毒防范工作；是否定期对防毒软件进行升级；是否有人专门负责修补和升级系统的安全漏洞；是否定期对网络系统进行病毒扫描；公司是否建立了完善的应急响应体系；其他因素。

27、窃听数据是否定期对网络系统漏洞进行修补；敏感数据是否加密保存和传输；是否建立了网络系统的实时监控机制；其他因素。物理破坏机房是否安装了门禁系统；公司是否有严格的保安制度；对重要的数据或系统位置是否有电视监控；进入机房的人员是否登记；在机房内进行的操作是否做了记录；安全管理制度是否全面制定并实施；其他因素。社会工程安全管理制度是否全面制定并实施；授权用户的思想素质是否很差；不同的岗位是否是不同的人员；不同的岗位是否有不同的责权；其他因素。意外故障关键业务系统是否进行了实时热备份；重要的网络设备和计算机设备、业务数据是否进行了备份；使用的硬件或软件是否是购于正牌厂家；是否建立了网络系统的实时监控机

28、制；是否有专门的人员负责定期对系统进行检查和维护；每个设备或系统在正式投入使用之前是否进行功能和安全测试；公司是否建立了完善的应急响应体系；其他因素。通信中断是否对关键业务数据的通信线路建立的备份线路；是否建立了网络系统的实时监控机制；是否有专门的人员负责定期对系统进行检查和维护；公司是否建立了完善的应急响应体系；其他因素。电源中断是否对关键业务系统是否进行了实时热备份；重要的网络设备和计算机设备、业务数据是否进行了备份；关键的业务系统有 ups 作备用电源；是否有单独的配电柜；是否有备用发电机；公司是否建立了完善的应急响应体系；其他因素。灾难公司是否有完善的防火、防雷、防水、防尘、防鼠等措施

29、；公司是否建立了完善的灾难恢复计划；其他因素。 版权所有第 15 页表表 5-1 主要脆弱性因素列表主要脆弱性因素列表5.3.脆弱性评估方法脆弱性评估方法资产脆弱性评估，主要是根据在这一阶段进行的资产脆弱性调查结果评估的。在资产脆弱性调查中，首先进行了管理脆弱性问卷的调查，发现整个系统在管理方面弱点，然后对评估的所有主机和网络设备进行了工具扫描和手动检查，对各资产的系统漏洞和安全策略缺陷进行了调查。最后对收集到的各资产的管理和技术脆弱性数据进行综合分析，根据每种脆弱性所应考虑的因素是否符合，确定每个资产可能被威胁利用的脆弱性的权值。参照国际通行作法和专家经验，将资产存在的脆弱性分为 5 个等级

30、，分别是很高（vh） 、高（h） 、中（m） 、低（l） 、可忽略（n） ，并且从高到低分别赋值 4-0。参照下表。赋值赋值简称简称说明说明4vh该弱点可以造成资产全部损失等非常大的威胁3h该弱点可以造成资产重大损失等较大威胁2m该弱点可以造成资产损失，引发中等威胁1l该弱点可以造成较小资产损失，引发较小威胁0n该弱点可能造成资产损失可以忽略、引发的威胁可以忽略表表 5-2 脆弱性评估赋值参考表脆弱性评估赋值参考表5.4.脆弱性评估结果脆弱性评估结果脆弱性评估表comment cxd2: 考虑其它的风险计算方法？！ 版权所有第 16 页六六. 风险分析风险分析6.1.概述概述风险是指特定的威胁

31、利用资产的一种或一组脆弱性，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合。风险只能预防、避免、降低、转移和接受，但不可能完全被消灭。在完成资产、威胁和脆弱性的评估后，才会进入安全风险的评估阶段。在这个过程中，根据上面评估的结果，采用下节所述的风险计算方法，对xx 电厂二次系统风险评估范围内的每一信息资产因遭受泄露、修改、不可用和破坏所带来的任何影响做出一个风险测量的列表，以便对 xx 电厂二次系统面临的风险进行详细分析，以识别与选择适当和正确的风险控制策略。6.2.风险风险计算计算方法方法风险存在两个属性：后果（consequence）和可能性（likelihood

32、） 。最终风险对 xx 电厂二次系统的影响，也就是风险两个属性权衡作用的结果。不同的资产面临的主要威胁各不相同。而随着威胁可以利用的、资产存在的弱点数量的增加会增加风险的可能性，随着弱点严重级别的提高会增加该资产面临风险的后果。在许多情况下，某资产风险的可能性是面临的威胁的可能性和资产存在的脆弱性的函数，而风险的后果是资产的价值和威胁的严重性的函数。建议采用下面的算式来得到资产的风险赋值：风险值风险值 = 资产价值资产价值 威胁严重性威胁严重性 威胁可能性威胁可能性 资产脆弱性资产脆弱性上述公式主要考虑到各参数的取值并不是特别精确的数据，加入了顾问的经验和判断，在国际中对此类数据常采用的数据主

33、要使用加法、乘法或矩阵等方法。考虑到便于运算，故我们采用线性的相乘。根据风险信息和数据，对风险分析予以不同程度的改进。采用下面的赋值矩阵来获得最终的风险等级： 版权所有第 17 页数值数值符号符号含义含义建议处置、措施建议处置、措施备注备注128256e极度风险要求立即采取措施：避免？转移？减小？需要具体资产信息64127h高风险需要高级管理部门的注意：避免？转移？减小？需要具体资产信息463m中等风险必须规定管理责任：避免？接受？转移？减小？需要具体资产信息03l低风险用日常程序处理：避免？接受？转移？减小？需要具体资产信息表表 6-1 风险程度和措施风险程度和措施6.3.风险评估结果风险评

34、估结果所有节点的风险评估表6.4.风险分析风险分析6.4.1. 业务风险综合分析业务风险综合分析注意：下面每个图中每个柱体的高度代表相应风险总量，以从宏观上来分注意：下面每个图中每个柱体的高度代表相应风险总量，以从宏观上来分析该系统的各种风险。但是柱体的高度并不代表组成该系统的某一资产的风险析该系统的各种风险。但是柱体的高度并不代表组成该系统的某一资产的风险值。值。图图 6-1 xx 电厂二次系统风险量总计电厂二次系统风险量总计通过如上的综合总量图直观的看到各种威胁的对业务应用带来的风险程度。其中漏洞利用、意外故障、恶意代码、密码猜测等这几种风险较大。但是这里要注意的是，虽然在系统总量的角度看

35、某种风险很低，但是不代表某一个具体资产的风险很低。同样，由于风险的普遍性，系统风险总量高的不代表某一个具体的资产的风险高。风险较大的原因有两种：一部分原因是由于某些软件资 版权所有第 18 页产面临的威胁发生可能性较大，而系统中存在相当多可被该威胁利用的安全漏洞或缺陷，如安全漏洞、恶意代码等；另一种原因是面对范围较广，所有资产都存在该风险，导致整个系统风险值提高，如意外故障。6.4.2. 资产风险分析资产风险分析本节列出 xx 电厂二次系统不同类别资产所面临风险的风险等级、危险程度，并对“高（h） ”级以上的风险进行原因分析，提出了有针对性的建议措施，备注中注明了对应风险威胁的具体资产。需要针

36、对具体xx电厂分析xx 电厂二次系统服务器和网络设备面临的“极度风险”和“高风险”参见下表，导致这些风险存在的主要原因是 xx 电厂二次系统的安全措施不全面，并且很多已经采用的安全措施执行不严格造成的。具体分析参见下列各表。风险风险类别类别风险风险等级等级危险程度危险程度原因描述原因描述建议措施建议措施威胁资产威胁资产操作失误h高风险威胁严重性和可能性较高；管理员存在配置错误的可能管理员熟悉对数据库知识的了解；记录操作内容滥用授权h高风险威胁严重性。可能性较高；管理员权限分配不明确，部分人员权限过高明确划分管理权限；建立不同的角色；管理员审计身份假冒h高风险威胁的严重性很高；管理员权限分配不明

37、确，多人使用同一帐号明确划分管理权限；建立不同的用户；管理员审计密码分析h高风险威胁严重性和可能性很高采用防火墙和入侵检测设备；加强密码强度和复杂邮件服务器邮件网关服务器 版权所有第 19 页度dns 服务器公文服务器文档服务器人力资源服务器短信服务器信息展示服务器省公司代理服务器地市代理服务器防病毒服务器邮件过滤服务器集团公司公文网关服务器网络资源服务器测试平台服务器经营数据服务器综合分析服务器安全漏洞e极度风险利用安全漏洞的威胁严重性和可能性很高；数据库服务器存在高风险采用防火墙和入侵检测产品；定制安全通告；定期扫描系统安全漏洞；邮件服务器邮件网关服务器dns 服务器 版权所有第 20 页

38、漏洞；安全配置策略不够强。及时进行修补和加固。公文服务器文档服务器人力资源服务器短信服务器信息展示服务器省公司代理服务器地市代理服务器防病毒服务器邮件过滤服务器集团公司公文网关服务器网络资源服务器测试平台服务器经营数据服务器综合分析服务器集团网关路由器拒绝服务h/e高风险/极度风险拒绝服务攻击威胁严重性很高；两台服务器存在公采用抗拒绝服务产品；定制安全通告；定期扫描系邮件服务器dns 服务器邮件网关服务 版权所有第 21 页网 ip。统；及时进行修补和加固。器数据库服务器iis 服务器人力资源服务器短信服务器信息展示服务器省公司代理服务器地市代理服务器邮件过滤服务器集团公司公文网关服务器拨号，ddn主核心交换备核心交换汇聚交换地址转换外网防火墙mis 系统交换mis 系统防火墙集团网关路由器集团网关防火墙 版权所有第 22 页恶意代码h/e高风险/极度风险恶意代码威胁的严重性和可能性很高；服务器可能存在被恶意代码利用的漏洞；防病毒软件非网络版，不能在线升级病毒库；缺乏应急体系。全面建立和完善网络防病毒体系；定期扫描系统；及时进行修补和加固；建立应急计划，定期更新、演练和