信息安全风险评估第三章.doc

《信息安全风险评估第三章.doc》由会员分享，可在线阅读，更多相关《信息安全风险评估第三章.doc（14页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、第3章营业零碎信息平安危险评价计划3.1危险评价概述3.1.1配景该营业零碎危险评价的目标是评价营业零碎的危险情况，提出危险操纵倡议，同时为下一步要制订的营业零碎平安治理规范以及以后营业零碎的平安树破跟危险治理供给依照跟倡议。需要指出的是，本评价讲演中所指的平安危险针对的是现阶段该营业零碎的危险情况，反应的是零碎以后的平安外形。3.1.2范畴该营业零碎危险评价范畴包含营业零碎搜集、员以及由营业零碎运用时所发作的文档、数据。治理轨制、运用或治理营业零碎的相干人3.1.3评价方法信息零碎存在确信的生命周期，在其生掷中期内实现照应的义务。采纳需要的平安保护方法使零碎在其生命周期内坚定、牢靠地运转是零

2、碎种种技艺、治理运用的根来源根底那么。本工程的评价要紧依照国际规范、国度规范跟地点规范，从识不信息零碎的资产动手，断定要紧资产，针对要紧资产剖析其面对的平安劫持并识不其存在的软弱性，零碎的平安危险。最初综合评价资产分不是危险评价的根底，在一切识不的零碎资产中，依照资产在秘密性、完整性跟可用性平安属性的代价差别，综合断定资产要紧性水平并将其分不为核心、要跟特不低5个品级。要害、中等、次对于列为要紧及以上品级的资产，剖析其面对的平安劫持。软弱性识没关联从技艺跟治理两个层面，采纳人工访谈。现场核对。检测。浸透性测试等方法，寻出零碎所存在的软弱性跟平安隐患。对要紧资产已识不的劫持、软弱性，依照其能够性

3、跟严厉性，综合评价其平安危险。3.2该营业零碎概略3.2.1该营业零碎配景频年来，因为数据量敏捷添加，营业量也敏捷添加，本来的硬件零碎、运用零碎跟方法已慢慢不习惯营业的需要，晋升IT治理零碎曾经成为迫不及待的情况。通过细心论证之后，信息决议局部在IT治理零碎晋级上告竣如下共鸣：改换新的硬件装备，运用更进步跟更巨大年夜的主机；在方法上为不合的集合式零碎；在零碎上用运转跟保护效力较高的单库构造交流原有多库零碎；在技艺上预备运用基于B/S架构的J2EE两头件技术，同时施行999.999%的高牢靠性运转方法；在营业上用新型义务流作为驱动新一代营业零碎的引擎，真正到达经过以客户为核心来晋升利润及经过高效

4、智能的义务流来进步每个行员的休息破费率，从而落低本钞票、进步核心竞争力以应答外部的竞争。3.2.2搜集构造与拓扑图该零碎的搜集包含运用效力器组、数据库效力器组、营业治理端、搜集衔接装备跟平安防护装备。营业零碎搜集经过一台高功用路由器衔接分部搜集，经过一台千兆以太网交流机衔接到其余营业零碎。此中营业零碎搜集外部主干搜集采纳千兆位以太网，交流机位主干交流机。搜集装备百兆桌面交流机来衔接搜集治理保护客户机。具体的搜集拓扑图如图3-1所示。两台千兆以太网3.2.3营业零碎界限具体的零碎界限图如图3-2所示。3.2.4运用零碎跟营业流程剖析营业零碎构造构造分不为总部跟分部两个档次，营业零碎所触及的绝大年

5、夜少数营业流程都需要经过多级营业治理局部进展处置，营业流程庞杂且流程跨度比拟大年夜。其次，营业零碎处置流程特不冗杂。在对客户恳求审批处置进程中，确信会呈现重复的提交、上报、退回等操纵，同时能够将义务退回到指定的岗亭上，而后再次上报提交。在同一个审批进程中，依照客户的差别级不，能够需要提交到下级授信治理局部，下级的危险治理局部。也能够提交到3.3资产识不3.3.1资产清单资产识不经过火析信息零碎的营业流程跟功用，从营业数据的完整性、可用性跟秘密性的保护恳求动身，识不出对CIA三性有确信障碍的信息流及其承载体或周边装备。在本次营业零碎评价中进展的资产分类，要紧分为搜集装备、主机零碎、效力器零碎、数

6、据跟文档资产5个方面。1搜集装备资产搜集装备要紧资产如表3-1所示。表3-1搜集装备要紧资产表资产编号资产称号型号资产描绘ASSET_01ASSET_023com交流机-01Cisco交流机-013com2345Cisco6509Cisco7507Cisco7034Cisco6500FW-0080二级交流机主干交流机主干交流机主干交流机主干路由器防火墙ASSET_03Cisco交流机-02ASSET_04Cisco交流机-03ASSET_05Cisco路由器-01ASSET_06NetScreen防火墙-01主机零碎要紧资产如表2主机零碎资产3-2所示。表3-2主秘密紧资产表型号资产编号ASS

7、ET_07资产称号PC_01资产描绘WindowsXPWindowsXP营业处置客户端营业处置客户端ASSET_08PC_023效力器资产效力注主要资产如表3-3所示。表3-3效力注主要资产表资产编号资产称号型号资产描绘ASSET_09ASSET_10APP效力器DB效力器Windows2000ServerWindows2000Server营业处置客户端营业处置客户端4数据跟文档资产数据跟文档要紧资产如表3-4所示。表3-4数据跟文档资产要紧资产表资产编号资产称号资产描绘ASSET_11客户全然信息DB效力器中的客户全然信息ASSET_12ASSET_13ASSET_14客户全然信息财政讲演D

8、B效力器中的客户存款信息财政讲演审计日记审计日记ASSET_15治理轨制治理轨制3.3.2资产赋值资产赋值对识不的信息资产，依照资产的差别平安属性，即秘密性、完整性跟可用性的要紧性跟保护恳求，分过错资产的CIA三性予以赋值。三性赋值分为5个品级，分过错应了改项信息资产的秘密性、度的障碍，上面是赋值依照。完整性跟可用性的差别程1.秘密性Confidentiality赋值依照依照资产秘密性属性的差别，将它分为5个差其余品级，分过错应资产在秘密性方面的代价或许在秘密性方面遭到丧丢掉机对全部评价的障碍。秘密性赋值依照如表2-6所示。2.完整性Integrity赋值依照依照资产完整性属性的差别，将它分为

9、5个差其余品级，分过错应资产在完整性方面的代价或许在完整性方面遭到丧丢掉机对全部评价的障碍。完整性赋值依照如表2-7所示。3.可用性Availability赋值依照依照资产可用性属性的差别，将它分为5个差其余品级，分过错应资产在可用性方面的代价或许在可用性方面遭到丧丢掉机对全部评价的障碍。可用性赋值依照如表依照资产的差别平安属性，即秘密性、完整性跟可用性的品级分不原那么，2-8所示。采纳专家指定的方法对一切资产的CIA三性予以赋值。赋值后的资产清单如表3-5所示。表3-5资产CIA三性品级表资产编号资产称号秘密性完整性可用性ASSET_01ASSET_02ASSET_03ASSET_04ASS

10、ET_053com交流机-01Cisco交流机-01Cisco交流机-02Cisco交流机-03Cisco路由器-01344453444434444ASSET_06ASSET_07ASSET_08ASSET_09ASSET_10ASSET_11ASSET_12ASSET_13ASSET_14ASSET_15NetScreen防火墙-01PC_01433555543343444453334435545333PC_02APP效力器DB效力器客户全然信息客户全然信息财政讲演审计日记治理轨制3.3.3资产分级资产代价应依照资产在秘密性、完整性跟可用性上的赋值品级，经过综合评定得出。根据本零碎的营业特点

11、，采纳相乘法决议资产的代价。计划公式如下：vf(x,y,z)xyz此中：v表现资产代价，x表现秘密性，y表现完整性，z表现可用性。资产的CIA三性如表3-9所示，依照式3.1能够计划出资产的代价。比方取资产ASSET_01三性值代入式3.1，得vf(3,3,3)333得资产ASSET_01的资产代价=3。顺次类推丢掉丢掉本零碎资产的代价清单如表3-6所示。表3-6资产代价表资产编号资产称号秘密性完整性可用性资产代价ASSET_01ASSET_02ASSET_03ASSET_04ASSET_05ASSET_06ASSET_07ASSET_08ASSET_09ASSET_103com交流机-01C

12、isco交流机-01Cisco交流机-02Cisco交流机-03Cisco路由器-01NetScreen防火墙-01PC_0134445433553444443444344444435534444.343.33.34.74.7PC_02APP效力器DB效力器ASSET_11ASSET_12ASSET_13ASSET_14ASSET_15客户全然信息客户全然信息财政讲演5543345333453334.353.33审计日记治理轨制3为与上述平安属性的赋值绝对应，依照终极赋值将资产分不为5级，级不越高表现资产越要紧。不等同级的资产要紧性水平揣摸准那么如表2-11所示。依照资产要紧性水平揣摸准那么，

13、能够丢掉丢掉资产的品级。本零碎的资产品级如表 3-7所示。表3-7资产代价表资产编号资产称号资产代价资产品级资产品级值ASSET_01ASSET_02ASSET_03ASSET_04ASSET_053com交流机-01Cisco交流机-01Cisco交流机-02Cisco交流机-03Cisco路由器-013中高高高高344444444.3ASSET_06ASSET_07ASSET_08ASSET_09ASSET_10ASSET_11NetScreen防火墙-01PC_014高4335553.33.34.74.74.3中PC_02中APP效力器DB效力器客户全然信息特不高特不高特不高ASSET_

14、12ASSET_13ASSET_14ASSET_15客户全然信息财政讲演5特不高中53333.33审计日记中治理轨制3中3.4劫持识不3.4.1劫持概述平安劫持是一种对零碎及其资产形成潜伏毁坏的能够性要素或许情况。不管对于如许安全的信息零碎，平安劫持是一个客不美不雅存在的事物，它是危险评价的要紧要素之一。发作平安劫持的要紧要素能够分为工资要素跟情况要素。工资要素又可辨别为有意跟无劫持沾染方法能够是对信息意两种，情况要素包含天然界的弗成抗的要素跟其余物理要素。零碎单刀直入或单刀直入的攻打，比方非受权的透露、窜改、删除等，在秘密性、完整性跟可用性等方面形成侵害，也能够是偶发的或蓄意的情况。普通来说

15、，劫持老是要运用搜集、零碎、应用或数据的缺点能够胜利地对形成形成侵害。平安情况及其结果是剖析劫持的要紧依照。依照劫持呈现频率的差别，将它分为5个差其余品级。以此属性来权衡劫持，具体的揣摸准那么如表2-13所示。3.4.2营业零碎劫持识不对营业零碎的劫持剖析起首对于要紧资产进展劫持识不，剖析其劫持来源跟品种。在本咨询卷法要紧搜集一些治理方面IDS的日记信息来猎取零碎面对的劫持。表3-8为本次评次评价中，要紧采纳了咨询卷法跟技艺检测来取得劫持的信息。的劫持，技艺检测要紧经过火析估剖析丢掉丢掉的劫持来源、劫持品种以及劫持发作的频率。表3-8国际营业零碎潜伏的平安劫持来源列表劫持来源劫持来源描绘因某种

16、缘故，零碎外部职员对信息零碎进展歹意毁坏；式偷盗秘密信息或进展窜改，猎取好处采纳自破的或表里勾搭的方恶不测部职员零碎外部职员因为缺少义务心，或许因为不关怀跟不专一，或许不依照规章轨制无恶不测部职员外部职员攻打跟操纵流程而招致缺点或被攻打；外部职员因为缺少培训，专业技艺缺少，不存在岗亭技艺恳求而招致信息零碎缺点或被攻打非营业零碎的外部职员运用信息零碎的软弱性，可用性进展毁坏，以猎取好处或夸耀才能对搜集跟零碎的秘密性、完整性跟要紧指来自协作过错、效力供给商、外包效力供给商、渠道跟其余与本构造的信息零碎有联络的第三方的劫持第三方装备缺点因为不测事变或软件、硬件，数据、通讯线路方面的缺点所形成的劫持因

17、为断电、静电、尘土、湿润、温度、鼠蚁虫害、电磁干扰、洪灾、火警、地动等情况前提跟天然灾祸所形成的劫持情况要素、不测事变依照劫持呈现揣摸准那么，丢掉丢掉的劫持呈现频率如表3-9所示。表3-9营业零碎面对的平安劫持品种劫持编号劫持类不硬件缺点呈现频率劫持描绘因为装备硬件缺点、通讯链路中缀招致对营业高效坚定运转的障碍THREAT-01中零碎自身或软件缺点招致对营业高效坚定运转的障碍THREAT-02THREAT-03软件缺点中存在自我复制、自我传达才能，对信息零碎形成毁坏的次第代码歹意代码跟病毒特不高因为应当履行而不履行照应的操纵，或非缺点地履行了过掉的操纵，对零碎形成障碍THREAT-04THRE

18、AT-05保护过掉或操纵丢掉误物理情况劫持中中情况咨询题跟天然灾祸THREAT-06THREAT-07THREAT-08THREAT-09未受权访咨询权限滥用探测保密数据窜改高高高高因零碎或搜集访咨询操纵不当惹起的非受权访咨询滥用本人的权柄，做出透露或毁坏信息零碎及数据的举措经过窃听、歹意攻打的手段猎取零碎秘密信息经过歹意攻打非受权修正信息，毁坏信息的完整性经过歹意攻打非受权操纵零碎并毁坏全部零碎或数据THREAT-10操纵跟毁坏中THREAT-11THREAT-12THREAT-13破绽运用电源中缀成认特不高低运用零碎破绽进展攻打电源因某种缘故中缀低不成认收到的信息跟所作的操纵3.5软弱性识

19、不软弱性识没关联从技艺跟刚来两个方面进展评价，具体的评价结果如下所述。采纳东西、设置核对、战略文档剖析、平安审计、搜集架构剖析营业、营业流程剖析、运用软件剖析等方法。依照软弱性严厉水平的差别，将它分为5个差其余品级。具体的揣摸准那么如表2-16所示。3.5.1技艺软弱性评价技艺软弱性识没关联从现有平安技艺方法的合感性跟无效性来分不。表3-10所示。评价的具体结果如表3-10技艺软弱性评价结果严厉程资产ID与称号软弱性ID软弱性称号软弱性描绘度一些IOS中的默许设置并一些IOS中的默许设置并不需ASSET_01:3Com交流机-01VULN_01高不需要，但不封闭要，但不封闭VULN_02VUL

20、N_03Finger效力未封闭高中Finger效力未封闭不日记记载不日记记载ASSET_02:Ci当发送畸形的数据包时，能够导致近程的IOS瘫痪sco交流机-01VULN_04VULN_05CSCdz39284CSCdw33027中中发送畸形的SSH数据包时，能够招致近程IOS瘫痪ASSET_03:CiCisco公司的IOS软件有一个漏sco交流机-02tcp的初始VULN_06CSCds04747高洞，该破绽赞成取得序列号不装备Service没有配备ServiceVULN_07VULN_08高中ASSET_04:CiPassword-Encryption不修正SNMP的默许字符串效力Pass

21、word-Encryption效力sco交流机-03不修正SNMP的默许字符串经过发送不规那么Ipv4数据包能够堵塞近程路由器，攻打者能够利用该破绽使路由器无奈义务CiscoIOS界面被Ipv4数据VULN_09VULN_10中中包堵塞ASSET_05:Cisco路由器-01Cisco路由器未设置暗码，这就允Cisco路由器未设置暗码许攻打者取得对于无聊的更多信息，同时假定未设置enable口令，攻打者将会封闭装备ASSET_06:NVULN_11VULN_12防火墙开放端口添加特不高高防火墙开放端口添加防火墙要害模块生效etScreen防火墙-01防火墙要害模块生效运用NetBIOS探测运用

22、NetBIOS探测Windows主VULN_13特不高机信息ASSET_07:PC-01Windows主机信息歹意代码VULN_14VULN_15高高PC易蒙受歹意代码攻打病毒PC易蒙受病毒攻打在blackmoon.mdb文件中，用明文存储FTP效力器的用户名跟密码，该主机上任何有账号的用户都能够读取该文件VULN_16VULN_17BlackmoonFTP明文口令特不高ASSET_08:PC-02MicrosoftWindows操纵零碎MUP中的缓冲溢出赞成本地用MUPoverlongrequest高户惹起回绝效力，或许经过恳求取得零碎权限UNCVULN_18VULN_19木马跟后门高PC易

23、蒙受木马跟后门攻打ADMIN_RESTRICTIONS监听器口令不准确设置，攻打者能够修正监听器参数特不高旗标不设置假定监听器口令不设置，攻打者能够运用监听效力在操纵零碎ASSET_09:DB效力器VULN_20监听器口不设置特不高上写文件，从而能够取得Oracle数据库的账号ListenerPasswordSet=OFFSMB登录VULN_21VULN_22VULN_23SMB登录Telnet破绽中高ASSET_10:ATelnet破绽PP效力器能够经过SMB衔接注册表特不高能够经过SMB衔接注册表3.5.2治理软弱性评价本局部要紧描绘该营业零碎现在的信息平安治理上存在的平安缺点近况以及危险

24、近况，并标识其严厉水平。评价的具体结果如表3-11所示。表3-11治理软弱性评价结果资产ID与称号软弱性ID软弱性称号严厉水平高软弱性描绘ASSET_11:客户VULN_24不访咨询操纵方法不修正操纵方法不修正操纵方法不修正操纵方法供电零碎情况软弱性不访咨询操纵方法全然信息ASSET_12:客户VULN_25VULN_25VULN_26VULN_27高高高底不修正操纵方法不修正操纵方法不修正操纵方法存款信息ASSET_13:财政讲演ASSET_14:审计日记不设置UPS，不公用ASSET_15:治理轨制的供电线路不严厉的履行机房平安治理轨制VULN_28机房平安轨制软弱性底3.6危险剖析3.6

25、.1危险计划方法在实现了资产识不、劫持识不、软弱性识不，将采纳恰当的方法与东西断定劫持运用脆弱性招致平安情况的能够性。综合平安情况所沾染的资产代价及软弱性的严厉水平，揣摸安全情况形成的丧丢掉对构造的障碍，即平安危险。以上面的范式方法化加以阐明：危险值R(A,T,V)R(L(T,V),F(I,V)aa此中：R表现平安危险计划函数，A表现资产，T表现劫持呈现频率，V表现软弱性，I表a示平安情况所沾染的资产代价，V表现软弱性严厉水平，L表现劫持运用资产的软弱性招致a平安情况发作的能够性，F表现平安情况发作后发作的丧丢掉。危险计划的进程中有三个要害计划环节：1计划平安发作的能够性依照劫持呈现频率及软弱

26、性的情况，计划劫持运用软弱性招致平安情况发作的能够性，即：平安情况发作的能够性=L劫持呈现频率，软弱性=LT，V在计划平安情况发作的能够性时，本零碎采纳矩阵进展计划。二维矩阵见表2-19。5，资产ASSET_01一些IOS中的默许4，依照劫持呈现频率值跟软弱性严厉水平值在矩阵中进展对如资产ASSET_01的破绽运用劫持发作频率为设置未封闭软弱性严厉品级为照那么：平安情况发作的能够性=L劫持呈现频率，软弱性=L5,4=22依照计划丢掉丢掉平安情况发作能够性值的差别，将它分为5个差其余品级，分过错应安全情况发作能够性的水平。分其余原那么见表2-20。依照平安情况发作能够水平揣摸准那么，那么发作能够

27、性品级为5。2计划平安情况发作后的丧丢掉依照资产代价及软弱性严厉水平，计划平安情况一旦发作后的丧丢掉，即：平安情况的丧丢掉=F资产代价，软弱性严厉水平=FI，Vaa在计划平安情况的丧丢掉机，本零碎采纳矩阵法进展计划。该二维矩阵见表2-21。如资产ASSET_01的资产代价品级为3，资产ASSET_01一些IOS中的默许设置未封闭软弱性严厉品级为4，依照资产代价品级跟软弱性严厉水平值在矩阵中进展对比，那么：平安情况的丧丢掉=F资产代价，软弱性严厉水平=F3,4=15依照计划丢掉丢掉平安情况的丧丢掉的差别，将它分为 5个差其余品级，分过错应平安情况的丧丢掉水平。分其余原那么见表2-22。依照平安情

28、况丧丢掉水平揣摸准那么揣摸，那么平安情况丧丢掉品级为 3。3计划危险值依照计划出的平安情况发作的能够性以及平安情况的丧丢掉，计划危险值，即：危险值=R平安情况发作的能够性，平安情况的丧丢掉=RLT，V，FI，Vaa在计划危险值时，本零碎采纳矩阵法进展计划。该二维矩阵见表2-23。如资产ASSET_01的平安情况发作的能够性水平为5，平安情况的丧丢掉品级为3，根据资产代价品级跟软弱性严厉水平值在矩阵中进展对比，那么：危险值=RLT，V，FI，V=R5,3=21aa依照计划丢掉丢掉危险值的差别，将它分为 5个差其余品级。分其余原那么见表2-24。3.6.2危险剖析1硬件资产危险剖析运用丢掉丢掉的资

29、产识不、劫持识不跟软弱性识不结果，依照危险剖析道理，评价丢掉丢掉本系统的硬件资产危险如表3-12所示。表3-12硬件资产危险剖析表能够严厉资产劫持称号资产ID与称号劫持ID性等级软弱性ID软弱性称号水平品级品级破绽运用一些IOS中的默许设置并ASSET_01:3THREAT-11THREAT-1155VULN_01VULN_0244不需要，但不封闭Com交流机344破绽运用-01Finger效力未封闭不日记记载破绽运用破绽运用破绽运用破绽运用THREAT-11THREAT-11THREAT-11THREAT-115555VULN_03VULN_04VULN_05VULN_063334ASSET

30、_02:Cisco交流机-01CSCdz39284CSCdw33027ASSET_03:Cisco交流机-02CSCds04747不装备Service破绽运用THREAT-11THREAT-11THREAT-06THREAT-11THREAT-0655454VULN_07VULN_08VULN_09VULN_10VULN_11Password-Encryption服43335ASSET_04:Ci务44sco交流机-03破绽运用未授权访咨询不修正SNMP的默许字符串CiscoIOS界面被Ipv4数据包堵塞ASSET_05:Cisco路由器-01破绽运用Cisco路由器未设置暗码未授权访咨询防火

31、墙开放端口添加ASSET_06:NetScreen防火墙-014未授权访咨询THREAT-064VULN_12防火墙要害模块生效4数据窜改运用NetBIOS探测THREAT-09THREAT-0344VULN_13VULN_1454Windows 主机信息歹意代码跟病毒歹意代码ASSET_07:PC-013歹意代码跟病毒THREAT-034VULN_15病毒4探测保密数据窜改歹意BlackmoonFTP明文口THREAT-08THREAT-0943VULN_16VULN_1754令MUPoverlongrequestASSET_08:PC-023代码跟病THREAT-034VULN_18木马跟

32、后门4毒未授权访ADMIN_RESTRTHREAT-06THREAT-11THREAT-06454VULN_19VULN_20VULN_21553ASSET_09:DICTIONS旗标不设置5咨询B效力器破绽运用未授权访咨询监听器口不设置SMB登录ASSET_10:A5破绽运用破绽运用PP效力器THREAT-11THREAT-1155VULN_22VULN_23Telnet破绽45能够经过SMB衔接注册表上面以资产ASSET_01为例计划该资产的危险值跟危险品级。1计划平安情况发作的能够性。依照劫持呈现频率及软弱性的情况，在计划平安情况发作的能够性时，本零碎采纳矩阵法进展计划。该二维矩阵见表2

33、-26。资产ASSET_01的破绽运用劫持发作频率=5，资产ASSET_01一些IOS中的默许配置未封闭软弱性=4，依照平安情况肯下计划矩阵，那么：平安情况发作的能够性=22平安情况发作能够品级揣摸准那么见表2-27。依照平安情况发作能够水平揣摸准那么揣摸，那么：平安情况发作能够性品级=52计划平安情况发作后的丧丢掉。依照资产代价及软弱性严厉水平，在计划平安情况的丧丢掉机，本零碎采纳矩阵法进展计算。该二维矩阵见表2-28。资产ASSET_01的资产代价品级=3，一些IOS中的默许设置未封闭软弱性严厉品级=4。依照资产代价品级跟软弱性严厉水平值在矩阵中进展对比，那么：平安情况的丧丢掉=F资产代价

34、，软弱性严厉水平=F3,4=15平安情况丧丢掉品级揣摸准那么见表2-29。依照平安情况丧丢掉水平揣摸准那么揣摸，那么：平安情况丧丢掉品级=33计划危险值依照计划出的平安情况发作的能够性以及平安情况的丧丢掉，在计划危险值时，本零碎采用矩阵法进展计划。该二维矩阵见表2-30。资产ASSET_01的平安情况发作的能够性水平=5，平安情况的丧丢掉品级=3。依照资产代价品级跟软弱性严厉水平值在矩阵中进展对比，那么：危险值=12依照危险品级揣摸准那么揣摸，那么：危险品级=高其余硬件资产的危险值跟危险品级计划进程类同，经过危险计划，丢掉丢掉本零碎的硬件资产的危险情况如表3-13所示。表3-13硬件资产危险剖

35、析结果表能够性等级严厉水平品级资产品级劫持称号危险值危险品级资产ID与称号劫持ID软弱性ID软弱性称号破绽运用破绽运用一些IOS中的默许设置并ASSET_01:3Com交流机-01THREAT-11THREAT-11THREAT-11555VULN_01VULN_02VULN_03443212117高高中不需要，但不封闭344Finger效力未封闭破绽运用不日记记载ASSET_02:Cisco交流机-01破绽运用THREAT-11THREAT-1155VULN_04VULN_05CSCdz39284CSCdw33027331717中中破绽运用ASSET_03:Cisco交流机-02破绽运用TH

36、REAT-11THREAT-11THREAT-11555VULN_06VULN_07VULN_08CSCds04747443232317高高中不装备Service破绽运用Password-Encryption服ASSET_04:Ci44务sco交流机-03破绽运用不修正SNMP的默许字符串未授ASSET_05:CiCiscoIOS界面被Ipv4数THREAT-06权访咨询4VULN_09316中sco路由器-01据包堵塞破绽运用THREAT-11THREAT-0654VULN_10VULN_11Cisco路由器未设置暗码352023高高未授权访咨询防火墙开放端口添加ASSET_06:NetSc

37、reen防火墙-014未授权访咨询THREAT-06THREAT-0944VULN_12VULN_13防火墙要害模块生效452023高高数据窜改运用NetBIOS探测Windows 主机信息歹意代码跟病毒THREAT-03THREAT-0344VULN_14VULN_15歹意代码441717中中ASSET_07:PC-013歹意代码跟病病毒毒探测保密BlackmoonFTP明文口THREAT-08THREAT-0943VULN_16VULN_17542317高中令数据窜改MUPoverlongrequestASSET_08:PC-023歹意代码THREAT-034VULN_18木马跟后门417

38、中跟病毒未授权访咨询ADMIN_RESTRTHREAT-06THREAT-11THREAT-06454VULN_19VULN_20VULN_21553252516特不高特不高中ASSET_09:DICTIONS旗标不设置5B效力器破绽运用未授权访咨询监听器口不设置SMB登录ASSET_10:A5破绽运用破绽运用PP效力器THREAT-11THREAT-1155VULN_22VULN_23Telnet破绽452525特不高特不高能够经过SMB衔接注册表2其余资产危险运用丢掉丢掉的资产识不、劫持识不跟软弱性识不结果，统的其余资产危险如表3-14所示。依照危险剖析道理，评价丢掉丢掉本系表3-14其余

39、资产危险剖析表资产ID与称号资产劫持ID劫持名能够性软弱性ID软弱严厉品级称品级性名称水平不访咨询操纵方法不修正操纵方法不滥用权限THREAT-07THREAT-09THREAT-134VULN_24VULN_25VULN_254ASSET_11:客数据篡改53244户全然信息修正操纵成认方法不修正数据篡改THREAT-09THREAT-13THREAT-13THREAT-133222VULN_25VULN_25VULN_25VULN_254444操纵方法ASSET_12:客5户存款信息不修正成认成认成认操纵方法不修正操纵方法不修正操纵方法ASSET_13:财33务讲演ASSET_14:审计日

40、记其余资产的危险值跟危险品级计划进程与硬件资产的计划进程类同，经过危险计划，得到本零碎的其余资产危险情况如表3-15所示。表3-15其余资产危险剖析结果表软弱性名称严厉资产ID与名资产等级劫持称号能够性品级危险值危险品级劫持ID软弱性ID水平品级称不访咨询操纵方法不修正操纵方法滥用权限THREAT-0743VULN_24441212底底ASSET_11:5客户全然信息数据窜改THREAT-09VULN_25不修正THREAT-13THREAT-09THREAT-13THREAT-13THREAT-13成认23222VULN_25VULN_25VULN_25VULN_25VULN_25444448128底底操纵方法不修正操纵方法不修正操纵方法不数据窜改ASSET_12:5客户存款信息成认成认成认底ASSET_13:修正操纵方法336特不低特不低财政讲演不修正操纵方法ASSET_14:6审计日记3.6.3危险统计综合危险剖析的结果，丢掉丢掉本零碎危险的统计表如表3-16所示。表3-16资产危险汇总表危险项硬件特不高高9中100底0特不低4002其余05合计491052