风险评估工具

1、*网安资产识别工具工作内容:1. 识别信息资产，进行合理分类;2. 确定每类信息资产的安全需求;3. 为每类信息资产的重要性赋值。评估日志:单位名称：资产识别负责人：评估人：评估日期/时间：信息资产赋值定义:资产赋值经综合考虑后的财务价值对丁业务的重要性级别11100元121011,000元231,00110,000元3410,001100,000元45100,0011,000,000元561,000,00110,000,000元6710,000,001100,000,000元78100,000,0011,000,000,000元891,000,000,00110,000,000,000元91

2、010,000,000,001100,000,000,000元10资产识别登记表资产识别记录表项目名称或编号表格时资产识别活动信息日期起止时间访谈者地点说明访谈对象及说明记录信息所属业务业务编号所属类别类别编号资产名称资产编号IP地址物理位置功能描述机密性要求完整性要求可用性要求重要程度安全控制措施负责人备注资产识别记录表项目名称或编号表格时资产识别活动信息日期起止时间访谈者访谈对象及说明地点说明记录信息所属业务业务编号所属类别类别编号资产名称资产编号IP地址物理位置功能描述机密性要求完整性要求可用性要求重要程度安全控制措施负责人备注*网安威胁识别工具工作内容：1. 威胁识别；2. 威胁分类;

3、3. 威胁赋值;4. 构建威胁场景评估日志:单位名称：资产识别负责人：评估人：评估日期/时间：威胁来源值定义:威胁来源危险性级别描述威胁来源值威胁源事例动机低风险：低攻击动机，低攻击能力1缺乏培训的内部员工无意错误、编程错误和数据录入错误等中低风险：低攻击动机，高攻击能力2外部黑客挑战性、虚荣心或游戏的心理中等风险：高攻击动机，低攻击能力3内部黑客好奇或财务问题等高风险：高攻击动机，高攻击能力4恶息攻击者破坏信息、金钱驱动等极高风险：极高攻击动机，高攻击能力5恐怖分子报复等威胁影响程度赋值定义影响程度值定义1单个工作小组或部门受到影响，对企业经营过程没有或有非常轻微的影响2一个或更多的部门受到

4、影响，对完成工作任务有轻微的延退3两个或更多的部门或一个业务单元受到影响，对完成工作任务有4到6个小时的延迟4两个或更多的业务单元受到影响，对完成工作任务有1到2天的延退5企业的整个工作任务受到影响。计算公式识别:t=+T=INT威胁来源值Ts影响程度值Ti综合威胁值t威胁统计记录工具威胁统计表资产编号资产名称（在此填入资广名称）威胁编4威胁类别威胁子类威胁名称威胁来源值Ts影响程度值Ti综合威胁值t1自然威胁1.1火灾1.2温度过热1.3地震1.4台风1.5灰尘2环境威胁技术故障2.1断电2.2硬件故障2.3数据存储介质失效2.4化学物质泄露2.5漏水3人为威胁管理缺陷3.1对使用没有进行授

5、权管理3.2对资源使用没有进行控制3.3对笔记本电脑用户的改变没有进行管理人为错误3.4因工作疏忽而损坏设备和数据3.5违反安全管理规章制度3.6清洁工人和第三方职员导致的损害3.7对信息系统的不恰当使用故意行为3.8对设备或附件的破坏3.9对数据或软件的篡改3.1偷窃3.11未授权的使用3.12计算机病毒3.13计算机蠕虫3.14木马程序小计汇总结果值威胁人员访谈记录工具威胁人员访谈记录表项目名称或编号表格编亏访谈活动信息日期起止时间访谈者访谈对象及说明地点说明记录信息受损资产资广描述和类别现象描述威胁主体威胁来源力式和途径结果和影响技术脆弱性缺失或薄弱的控制措施后续的补救措施备注威胁工具检

6、测记录工具威胁工具检测记录项目名称或编号表格编亏检测活动信息日期起止时间检测者配合人员检测方式位置说明记录信息受损资产资广描述和类别现象描述威胁主体威胁来源力式和途径结果和影响技术脆弱性缺失或薄弱的控制措施建议的补救措施原始数据备注潜在威胁分析记录工具潜在威胁分析记录表项目名称或编号表格编亏分析活动信息起止日期起止时间分析人员辅助人员分析结果记录受损资产资广描述和类别现象描述威胁主体威胁来源力式和途径潜在结果潜在影响技术脆弱性缺失或薄弱的控制措施外部数据建议的补救措施备注*网安脆弱性识别工具工作内容：1. 脆弱性识别；2. 识别结果整理与展示；3. 脆弱性赋值；评估日志：单位名称：资产识别负责

7、人：评估人：评估日期/时间：脆弱性分类表:类型识别对象识别内容物理环境从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的防护、机房区域防护、机房设备管理等方面进行识别技术脆弱性网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别系统软件（含操作系统及系统服务）从补丁安装、物理保护、用户账号、口令策略、资源共享、事件审计、访问控制、新系统配置（初始化）、注册表加固、网络安全、系统管理等方面进行识别数据库软件从补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、备份恢复机制、审计机制等方面进行识别应用中间件从协议安

8、全、交易完整性、数据完整性等方面进行识别应用系统从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别管理脆弱性技术管理从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别组织管理从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别脆弱性分级定义:脆弱性值定义3脆弱性严重程度高，需要立即整改或加固2脆弱性严重程度中，需要予以高度重视，并在一定时间内进行整改或加固1脆弱性严重程度低，需要予以关注，并在适当时候加以整改和加固脆弱性评分标准：基本度量值计算公式和相关参数访问向量本地0.7远程1.0访问复杂性高0.8低1.

9、0鉴权而次0.6小rfn要1.0机密性影响无0部分0.7全部1.0机密性影响权重值正常0.333机密性0.5一致性0.25可用性0.25一致性影响无0部分0.7全部1.0一致性影响权重值正常0.333机密性0.5一致性0.25可用性0.25可用性影响无0部分0.7全部1.0可用性影响权重值正常0.333机密性0.5一致性0.25可用性0.25基本度量值Round_to_1_decima（ri0x访问向量x访问复杂性x鉴权x（机密性影响X机密性影响权重值）+（一致性影响x一致性影响权重值）+（可用性影响X可用性影响权重值）时间度里值计算公式和相关参数可被利用性未证实的0.85有理论证明的0.9实

10、际可行的0.95高1.00可被修复的等级正式修复0.87临时修复0.90替代方法0.95小可修复1.00报告的机密性未确认的0.90未证实的0.95已确认的1.00时间度里值=Round_to_1_decim建基本度重分x可被利用性x可被修复的等级x才器的机密性）环境度里值计算公式和相关参数附带的损失影响无0低0.1中0.3高0.5目标的分布性无0低0.25中0.75高1.00环境度量值=Round_to_1_decima（时间度量分+（10-时间度量分）x附带的损失影响）X目标的分布性）脆弱性值计算公式定义:V=INT（环境度量值X3/10+0.5）脆弱性与威胁映射定义脆弱性类别描述威胁映射

11、环境类缺乏对建筑物、门、窗等的物理保护盗窃对建筑物和房屋等的物理访问控制不充故障破坏分或不仔细不稳定的电力供应电涌建筑物坐落于易发洪水的区域洪水硬件缺少硬件定期更换的计划存储介质失效电压敏感性电压波动温度敏感性温度大幅度变化对湿度、灰尘、泥土等敏感潮湿、灰尘、泥土等电磁辐射敏感性电子干扰缺乏配置更换控制配置人员错误软件软件测试过程没有或不充分未授权用户使用用户接口复杂操作人员错误缺少用户认证、鉴权机制用户身份被冒名顶替缺乏审计记录软件被非授权使用广为人知的软件漏洞软件被非授权使用未受保护的口令表用户身份被冒名顶替口令管理机制薄弱（如使用易被猜出的口令、用明文存储口令和口令没有强制性定期更改策略

12、等）用户身份被冒名顶替错误的访问权限分配用非授权的方式使用软件对下载和使用软件没有进行控制恶意软件离开电脑时没有退出登录软件被非授权使用缺少有效的代码修改控制软件错误缺少文档操作人员错误缺少备份拷贝恶意软件或火等重复使用的介质未进行合适的数据清除处理未授权用户使用不必要的服务被启用软件被非授权使用不成熟的或新软件不完全和不充分的测试广泛分发软件分发过程中软件的一致性破坏通信未保护的通信线路窃听电缆连接点通信渗透缺乏对发送方和接受方身份认证和鉴权机制身份冒用明文传送口令非法用户访问网络缺乏对发送和接受消息的证明抵赖拨号线路非法用户访问网络敏感流里;木保护窃听不足的网络管理流量过载未保护的公共网络连接软件被非授权使用不安全的网络结构网络入侵文档未保护的存储介质盗窃丢弃盗窃未对拷贝进行