第2章某OA系统信息安全风险评估方案汇总.pptVIP

脆弱性严重程度 资产价值 1 2 3 4 5 1 2 4 7 9 12 2 3 6 10 14 17 3 5 9 12 16 20 4 7 11 14 20 22 5 8 12 17 22 25 表2-26 安全事件可能性计算二维矩阵表 　　 资产ASSET_01的未授权访问威胁发生频率=3，资产ASSET_01允许匿名登录FTP脆弱性严重等级=4，根据安全事件可能性计算矩阵，则： 安全事件的可能性=16。 安全事件可能性值 1～5 6～10 11～5 16～20 21～25 发生可能性等级 1 2 3 4 5 安全事件发生可能等级判断准则如表2-27所示。 根据安全事件可能程度判断准则判断，则： 安全事件发生可能性等级=4 2）. 计算安全事件发生后的损失 根据资产价值及脆弱性严重程度，在计算安全事件的损失时，本系统采用矩阵进行计算。该二维矩阵如表2-28所示。 脆弱性严重程度 资产价值 1 2 3 4 5 1 2 4 7 10 13 2 3 6 9 12 16 3 4 7 11 15 20 4 5 18 14 19 22 5 6 112 16 21 25 　　资产ASSET_01的资产价值等级=5，资产ASSET_01允许匿名登录FTP脆弱性严重等级=4，根据资产价值等级和脆弱性严重程度值在矩阵中进行对照，则：  安全事件的损失=F（资产价值等级，脆弱性严重程度）  =F（5,4）=21  安全事件损失等级判断准则如表2-29所示 安全事件损失值 1～5 6～10 11～5 16～20 21～25 安全事件损失等级 1 2 3 4 5 表2-29 安全事件损失等级判断准则 根据安全事件损失程度判断准则判断，则 安全事件损失等级=5 3）. 计算风险值 根据计算出的安全事件发生的可能性以及安全事件的损失，在计算风险值时，本系统采用矩阵法进行计算。该二维矩阵如表2-30所示 安全事件发生的可能性 1 2 3 4 5 安全事件 的损失 1 3 6 9 12 16 2 5 8 11 15 18 3 6 9 13 18 21 4 7 11 16 21 23 5 9 14 20 23 25 资产ASSET_01的安全事件发生的可能性程度=4，安全事件的损失等级为5，根据资产价值等级和脆弱性严重程度值在矩阵中进行对照，则： 风险值=23 　　风险等级判断准则如表2-31所示。表2-31 风险等级判断标准 风险值 1～6 7～12 13～18 19～23 24～25 风险等级 很低 低 中 高 很高 根据风险等级判断准则判断，则风险等级为高。 其他硬件资产的风险值和风险等级计算过程类同，通过风险计算，得到本系统的硬件资产风险状况如表2-32所示。 表2-31 风险等级判断标准 表2-32 硬件资产风险分析结果表 资产ID与 名称 资产 等级 威胁ID 威 胁 名 称 威胁 发生 可能 性 脆弱性 ID 脆弱性名称 脆弱性 严重 程度 风险值 风险等级 ASSET_01: OA Server 5 THREAT-06 未授权访问 4 VULN_06 允许匿名登录FTP 4 23 高 VULN_07 可以通过SMB连接注册表 4 23 高 THREAT-09 漏洞利用 3 VULN_03 Smtpscan指纹识别 3 16 中 VULN_04 DCE服务列举漏洞 2 9 低 VULN_05 WebDAV服务器启用 4 23 高 ASSET_01: OB Server 5 THREAT-06 未授权访问 4 VULN_08 ADMIN_RESTRICTIONS旗标没有设置 5 25 很高 VULN_09 监听器口令没有设置 5 25 很高 ASSET_03: NetScreen FW_01 5 THREAT-06 未授权访问 4 VULN_11 防火墙开放端口增加 3 21 很高 VULN_12 防火墙关键模块失效 5 25 很高 THREAT-09 漏洞利用 3 VULN_13 非法流量流出外网 2 11 低 VULN_14 防火墙模块工作异常 3 16 中 ASSET_08: PC_01 2 THREAT-03 恶意代码和病毒 5 VULN_17 恶意代码、木马和后门 3 15 中