信息安全风险评估实例.pptVIP

资产 资产 价值 威胁 威胁 频率 脆弱性 严重 程度 安全事件 可能性 可能性 等级 安全事件 损失 损失 等级 风险 值 风险 等级 A-01 1 T-02 2 VULN-01 3 10 2 6 2 8 2 T-03 5 VULN-02 3 17 4 6 2 15 3 A-02 2 T-02 2 VULN-03 4 13 3 12 3 13 3 T-04 2 VULN-04 4 13 3 12 3 13 3 A-03 3 T-03 5 VULN-05 3 17 4 11 3 17 3 A-04 3 T-03 5 VULN-06 3 17 4 11 3 17 3 VULN-07 3 17 4 11 3 17 3 A-05 4 T-03 5 VULN-08 4 20 4 19 4 20 4 VULN-09 4 20 4 19 4 20 4 A-06 4 T-04 2 VULN-10 5 17 4 22 5 23 4 VULN-11 5 17 4 22 5 23 4 A-07 3 T-02 1 VULN-12 5 14 3 20 4 16 3 VULN-13 4 11 2 15 3 9 2 A-08 3 T-07 3 VULN-14 5 20 4 20 4 20 4 表8-10 风险计算表1 资产 资产 价值 威胁 威胁 频率 脆弱性 严重 程度 安全事件 可能性 可能性 等级 安全事件 损失 损失 等级 风险 值 风险 等级 A-09 3 T-06 3 VULN-15 5 20 4 20 4 20 4 T-01 1 VULN-16 5 14 3 20 4 16 3 T-02 4 VULN-17 5 22 5 20 4 23 4 T-05 4 VULN-18 4 18 4 15 3 17 3 A-10 4 T-04 2 VULN-19 5 17 4 22 5 23 4 T-02 4 VULN-20 5 22 5 22 5 25 5 T-06 3 VULN-21 5 20 4 22 5 23 4 T-08 4 VULN-22 4 18 4 19 4 20 4 A-11 4 T-04 2 VULN-23 5 17 4 22 5 23 4 T-02 4 VULN-24 5 22 5 22 5 25 5 T-06 3 VULN-25 5 20 4 22 5 23 4 T-03 5 VULN-26 4 20 4 19 4 20 4 VULN-27 5 25 5 22 5 25 5 A-12 4 T-06 3 VULN-28 5 20 4 22 5 23 4 T-10 3 VULN-29 5 20 4 22 5 23 4 A-13 4 T-06 3 VULN-30 5 20 4 22 5 23 4 T-10 3 VULN-31 4 16 3 19 4 16 3 T-09 4 VULN-32 5 22 5 22 5 25 5 A-14 4 T-01 1 VULN-33 5 14 3 22 5 20 4 A-15 3 T-01 1 VULN-34 5 14 3 20 4 16 3 8.6.2 使用相乘法计算风险 使用相乘法计算风险等级，计算结果如表8-11风险计算表2 (右图)所示。 8.7风险处理 　　　8.7.1现存风险判断 　　　内容依据风险评估结果，假设风险等级在4级以上不可接受，通过分析，发现有21个不可接受风险。分析结果如表8-12所示。 资产ID0 资产名称 威胁 脆弱性 风险 等级 是否可 接受 A-01 路由器-1 未授权访问 Cisco未设置密码 2 是 漏洞利用 CISCO IOS界面被IPv4数据包阻塞 3 是 A-02 路由器-2 未授权访问 没有制定访问控制策略 3 是 操作失误或维护错误 安装与维护缺乏管理 3 是 A-03 交换机-1 漏洞利用 日志及管理功能未启用 3 是 A-04 交换机-2 漏洞利用 CSCdz39284 3 是 CSCdw33027 3 是 A-05 交换机-3 漏洞利用 CSCds04747 4 否 没有配备Service Password Encryption服务 4 否 A-06 防火墙-1 操作失误或维护错误 安装与维护缺乏管理 4 否 缺少操作规程和职责管理 4 否 A-07 防火墙-2 未授权访问 防火墙开放端口增加 3 是 防火墙关键模块失效 2 是 A-08 防火墙-3 原发抵赖 未启用日志功能 4 否 A-09 病毒服务器 恶意代码或病毒 操作系统补丁未安装 4 否 硬件故障 设备不稳定 3 是 未授权访问 操作系统的口令策略没有启用 4 否 木马后门攻击 操作系统开放多余服务 3 是 表8-12 风险接受等级划分表 资产ID0 资产名称 威