00信息系统安全风险评估总结报告.doc

《00信息系统安全风险评估总结报告.doc》由会员分享，可在线阅读，更多相关《00信息系统安全风险评估总结报告.doc（34页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息系统安全风险评估总结报告文档信息文档名称xxxxxx信息系统安全风险评估总结报告保密级别商密文档版本编号1.0文档管理编号XJAIR-PGBG管理人xxxxxx信息部起草人制作日期2005/05/26复审人评估工作领导小组风险评估专家咨询小组复审日期2005/06/16扩散范围xxxxxx风险评估项目组，风险评估专家咨询小组，xxxxxx信息部文档说明本文档为xxxxxx信息系统安全风险评估总结报告，包括风险评估概述、风险评估方法、系统特征描述、风险分析和风险控制几个部分。版权声明本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属xxxxxx监理公

2、司所有，受到有关产权及版权法保护。任何个人、机构未经xxxxxx监理公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。前 言2003年中共中央办公厅、国务院办公厅下发了国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号)，即27号文件，文件指出：“为了进一步提高信息安全保障工作的能力和水平，要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素，进行相应等级的安全建设和管理。”为加强信息安全保障工作，开展重要行业信息系统的安全风险评估工作指明了方向。金融、电

3、信和民航一向被认为是我国信息化程度最高的三大行业，也是信息化手段更新最快、对信息技术依赖性最强的行业。安全生产是民航运输业的重中之重，但是由于信息安全保障不足，2003年7月，某机场的计算机网络系统突然瘫痪，一时间，所有飞机无法起降，大量乘客被困机场，严重影响机场的正常运营，并造成了巨大的损失。而在不久之后，某大型民航机场的信息系统又突然出现问题，所幸几分钟后机场备用系统成功地接替了工作，顺利化险为夷。这些例子说明，当前民航网络和信息安全形势不容乐观，重要的网络和信息系统缺乏必要的安全防范手段，这同样也成为了民航信息化建设的隐患。值得一提的是，和国外相比，信息网络安全在国内的信息系统建设过程中

4、所受到的重视程度往往不够，投资所占的比例明显偏低。也许这正是我国信息系统安全的隐忧所在。目前，银行、电力、铁路、民航、证券、保险、海关、税务已经被列入与国计民生密切相关的八大重点行业之中，其信息安全保障工作受到国信办的高度重视。xxxxxx致力于信息系统建设近十年，期间信息系统经历了多次的升级改造，同时在信息系统的建设过程中，航空公司也经历了重大的机构调整，实行了机场、民航管理局和航空公司的分离，成立了xxxxxx集团xx分公司，并形成了xxxxxx独立的网络系统。在信息系统建设形成一定规模、网络系统经过重大调整的情况下，xxxxxx部适时提出了进行“信息系统安全风险评估”这一具有前瞻性、建设

5、性的要求，请第三方机构对信息系统的安全管理、网络通讯、应用系统进行全面的安全风险评估。本报告是整个评估工作的总结性报告，综合分析了xxxxxx系统的特征、面临的安全威胁、系统存在的脆弱性以及威胁利用脆弱性可能对系统造成的风险，描述了针对脆弱性提出的信息安全风险控制建议。评估过程及详细的测试分析内容分别体现在本报告的附件-01到附件-18。目 录第一部分 概述41.1 风险评估的背景41.2 风险评估项目组41.3 风险评估的目的61.4 风险评估的依据7第二部分 风险评估方法72.1 风险评估流程72.2 风险评估的结果文档92.3 风险评估的现场测试102.4 风险评估的分析方法11第三部分

6、 系统特征描述123.1 系统定位123.2 网络拓扑结构123.3 现行系统的安全策略133.4 信息资产识别和定义15第四部分 风险分析174.1 威胁识别174.2 脆弱性识别204.3 信息安全风险分析24第五部分 风险控制265.1 评估结果分析265.2 风险控制建议275.3 风险控制措施实施建议28附表1 XXXXXX信息系统安全保护等级符合情况对照表28附表2 XXXXXX信息系统安全风险评估技术文档交接单28第一部分 概述1.1 风险评估的背景xxxxxx是xxxxxx股份公司的成员单位之一，是国有大型航空运输企业，开辟有50多条国内航线和多条国际航线。现已形成以xxxx为

7、中心的枢纽-辐射式营运网。xxxxxx信息系统建设开始于1995年，经过1996年（原）办公楼综合布线、1997-1998年建立了覆盖五个相关办公楼的局域网及这五个办公大楼内部的综合布线、1999年建立INTERNET出口、2000年启用公司新办公楼，2000-2001年通过光缆连接了七个主要业务楼，形成了以公司办公楼为核心覆盖全公司的主干网，目前公司与管理局分离，形成了公司独立的局域网。信息化综合管理机构设置了信息部，目前信息部已有技术人员二十一人，形成了一支信息系统软件开发、系统管理、日常维护的专业队伍。在xxxxxx网络中，目前有二十几个应用系统在运行。可以说，信息系统已经是航空公司日常

8、工作不可缺少的工具和手段，信息系统的安全稳定运行，直接关系到生产和管理一线业务的正常运转，也间接影响到航空公司社会形象及信誉度等无形资产。目前xxxxxx系统虽然仍保持着正常运行的状态，但整个系统运行中存在哪些风险，安全管理中存在哪些漏洞，针对这些问题应该采取什么措施，这都需要进行更高层次的评估与检测。因此，经过在近十年信息系统的建设，对信息网络系统做一次全面的安全风险评估，找出系统漏洞，进行风险控制，防患于未然，保证系统稳定运行，是管理人员在两年前就酝酿的一项工作，希望通过风险评估，找出整个系统运行中存在的风险，评价信息系统建设的效果，并针对存在的问题提出解决方案，为今后xxxxxx化的进一

9、步发展提供参考依据。1.2 风险评估项目组本次风险评估项目由多方共同组建项目组，项目委托单位为xxxxxx，项目组织单位为xxxxxx监理公司，参加单位有xx质量技术监督局、xx大学现代教育中心、中国科学院xx理化所等。安全评估领导小组组成如下：分组姓名职务/职称工作单位工作职责领导小组总经理组长/组织协调总工副组长/技术负责部长协调管理副部长协调管理主任/教授应用系统组组长总监网络通讯组组长安全评估小组组成如下：分组姓名职务/职称工作单位工作职责应用系统小组主任/教授应用系统组组长计算机硕士副组长主任副组长监理工程师成员工程师成员网络通讯小组网络总监组长副主任副组长副主任成员高级程序员流量分

10、析与系统测试计算机硕士成员助理工程师成员助理工程师成员安全管理小组副研究员xxxxxx监理公司组长副主任xxxxxx信息部运行室副组长助理工程师xxxxxx信息部运行室成员监理工程师xxxxxx监理公司成员为了保证评估工作的质量，项目组还聘请了以下专家组成本项目的专家咨询组：分组姓名工作单位职务/职称联系电话专家咨询组副主任/教授主任副所长/研究员副处长教授CCIE副主任副主任1.3 风险评估的目的风险分析与评估作为一种重要的信息安全工程技术方法，其目的是帮助相关人员明确信息系统对于用户的作用、价值大小，明确信息系统故障、安全事故可能对用户造成的影响。风险分析与评估的结果是信息安全方面投资、决

11、策的依据，同时也是评估投资效果的重要手段和依据。风险分析与评估最重要的成果就是目前系统的风险大小，以及相应的降低风险的安全措施部署策略建议。本次风险评估的主要目标就是要帮助用户确定信息系统的安全风险，通过这次风险评估，可以全面了解当前xxxxxx系统的安全状况，分析系统所面临的各种风险，根据评估结果发现信息系统存在的安全问题，并对严重的问题提出相应的风险控制策略，通过信息安全相关系统工程的实施，使信息系统的安全风险降到用户可以承受的范围内。1.4 风险评估的依据信息安全是信息技术发展过程中提出的课题，是一个与时俱进的概念，评价标准随时代及信息技术的发展而变化。可以说所有与IT相关的标准都是我们

12、评估的依据，通用的主要依据和国际、国内、行业标准有：1、 信息系统安全评估合同书2、 中办发200327号文件 国家信息化领导小组关于加强信息安全保障工作的意见3、 GB/T18336-2001信息技术安全技术信息技术安全性评估准则（CC）4、 ISO17799:2000基于风险管理的信息安全管理体系5、 ISO13335 信息技术 安全技术 信息技术安全管理指南6、 GA/T378391-2002 计算机信息系统安全等级保护技术要求系列标准7、 美国标准与技术研究院开发的信息技术系统的风险管理指南8、 GB/T 信息安全风险评估指南（报批稿）9、 微软安全风险管理指南10、 相关各方达成的协

13、议第二部分 风险评估方法2.1 风险评估流程本次风险评估的过程从组织管理的角度可以分为五个阶段，而从技术分析的角度可以分为九个步骤，五个阶段和九个步骤及其相互之间的关系可以用图3-1表示。图3-1对风险评估的每个阶段所要完成的工作做出了清晰的描述，在风险评估的五个阶段中，业务调研的目的是为了准确地对系统的特征进行描述，从而界定信息系统安全评估的边界，为信息资产定义提供第一手资料；而现场测试则为系统漏洞的检测分析提供了依据。图3-1 信息安全风险评估过程及步骤风险评估的技术分析的九个步骤是和评估各个阶段的工作紧密结合的，从业务调研阶段开始进入技术分析的步骤。系统特征描述是在对信息系统软、硬件结构

14、、系统接口、系统任务、系统信息以及人员情况进行充分了解的基础上，对信息系统功能、边界的描述和对关键信息资产的定义；在系统特征描述过程中，对系统面临的威胁、系统存在的弱点、目前已经采取的控制措施进行初步的了解，在现场测试阶段，通过现场测试、实地堪查、座谈讨论等方式，进一步了解系统特征，掌握信息系统在采取了一系列控制措施后，仍然存在的各种弱点；在综合评估阶段，具体分析信息系统的潜在威胁，系统存在的弱点，这些弱点被威胁利用后可能产生的风险以及这些风险对系统的实际影响的大小等，最后安全风险评估小组根据业务调研、现场测试以及系统特征分析的结果确定各类风险的大小，提出风险控制建议，直至最后形成结果文档。2

15、.2 风险评估的结果文档在整个风险评估的过程中，我们按照这五个阶段的顺序组织管理整个评估工作，而且每个阶段的工作都有详细的文字记载，评估工作产生的文档包括：文档名称隶属阶段隶属步骤xxxxxx系统安全风险评估方案评估准备阶段xxxxxx安全风险评估实施计划xxxxxx安全风险评估调查提纲信息安全风险评估调查反馈表业务调研阶段系统特征描述xxxxxx化现状介绍xxxxxx系统管理规章制度系统特征分析报告资产定义阶段信息系统安全现场测试计划现场测试阶段威胁识别脆弱性识别控制分析影响分析可能性分析风险确定信息系统安全现场测试记录表系统及数据库漏洞检测报告网络通信漏洞检测报告网络通信性能检测报告安全管

16、理风险评估报告综合评估阶段网络与通讯风险评估报告应用系统风险评估报告xxxxxx系统安全风险评估报告信息安全管理机制风险控制建议书控制建议信息系统安全风险控制建议书信息系统安全风险控制措施实施计划以上所有文档均作为结果文档提交给xxxxxx信息部（技术文档交接单见附表2），这些文档既是对本次评估工作的总结，也是本次评估工作的成果，可以作为xxxxxx安全方面投资、决策的依据；也是今后进行动态信息安全评估的参考资料。可以看出，风险评估的整个过程都是在充分的信息收集、调查研究的基础上进行的，信息收集的工作贯穿于评估工作的始终。因此其结果可以客观地反映被评估系统存在的安全风险，使xxxxxx可以及时

17、采取相应的措施，防患于未然。2.3 风险评估的现场测试根据安全风险评估方案的安排，本次安全评估的现行信息安全状况的现场测试工作由 “网络通信”、“应用系统”两个小组承担，现场测试采用自动化弱点扫描工具、人工测量分析、分析仪器测试、现场勘察、上机操作、对照标准进行分析评价等方法对评估对象进行测试。“安全管理”小组根据前期调研结果进行了现场访谈，进一步了解信息安全管理方面存在的问题。在测试之前各小组均根据本组的测试任务制定了详细的测试计划（具体内容见xxxxxx系统现场测试计划），并经过安全评估领导小组组织的讨论审查。在整个评估过程中，现场测试工作为风险评估提供了大量的原始资料，是评估工作不可缺少

18、的组成部分。关于各小组详细的测试范围、测试依据、测试方法及测试步骤等内容见各小组的测试计划（附件-06）、现场测试表（附件-07）及测试报告（附件-08、09、10）。现场测试的调查对象包括：网络信现场测试：现场测试的物理环境包括位于机关办公大楼的信息中心机房，维修基地机房和飞行部机房三个物理位置，直接调查对象为xxxxxx的关键网络通信设备（包括核心交换机、远程接入路由器、所有二级接入网络设备等）及信息中心安全设备，并且对网络性能进行了测试。应用系统现场测试：测试对象为xxxxxx系统的数据库服务器和应用服务器。应用系统测试主要在xxxxxx中心机房内进行。使用机房内的PC机，安装扫描软件或

19、直接登录到相应的服务器上，对服务器及数据库的配置情况进行检查，对照已知漏洞，发现安全隐患。信息安全管理机制：参照GA/T 391-2002计算机信息系统等级保护管理技术要求中相关内容，及调研阶段收集的xxxxxx安全管理规章制度，采取进行现场访谈的方式，对安全管理机制的健全性进行进一步的验证。调查对象包括：安全管理组织、人员管理、安全管理制度、备份恢复机制、应急响应机制。2.4 风险评估的分析方法本次评估采用了下图所示的风险评估模型：在风险评估模型中，主要包含信息资产、弱点、威胁、影响和风险五个要素。每个要素各自有一个或两个属性，信息资产的属性是资产价值，弱点的属性是被威胁利用的难易程度、威胁

20、的属性是威胁的可能性、影响的属性是严重性，风险的两个属性风险的后果和风险的可能性。其中资产价值和影响的严重性构成风险的后果，弱点被威胁利用的难易程度和威胁的可能性构成风险的可能性，风险的后果和风险的可能性构成风险。本次评估，我们采用了定性与半定量相结合的风险分析方法，通过调查、测试等手段了解信息系统的潜在威胁、脆弱性及其对关键资产可能产生的影响，从而确定风险的等级。半定量风险计算的过程是：（1）根据信息资产识别的结果，计算资产价值；（2）对威胁进行分析，并对威胁发生的可能性赋值；（3）识别信息资产的脆弱性，并对弱点的严重程度赋值；（4）根据威胁和脆弱性计算安全事件发生的可能性；（5）结合信息资

21、产的重要性和在此资产上发生安全事件的可能性计算信息资产的风险值。第三部分 系统特征描述3.1 系统定位xxxxxx是xxxxxx股份公司的成员单位之一，是国有大型航空运输企业，开辟有50多条国内航线和多条国际航线。现已形成以xxxx为中心的枢纽-辐射式营运网。航空企业是一个关系到人民生命安全的行业，信息系统作为其业务支撑体系，具有应用系统涉及面广、数据准确性、实时性要求高的特点。因此在信息安全的定位中，评估小组认为xxxxxx系统是企业级、非涉密信息网络系统，要求信息系统稳定、可靠运行；信息系统中包含有商密信息、敏感信息、业务信息及公众服务信息，在机密性、完整性、可用性、可控性、抗抵赖性各方面

22、都有一定的安全要求。3.2 网络拓扑结构3.2.1 网络主干拓扑结构xxxxxx系统网络采用TCP/IP网络协议，网络主干拓扑结构见图3-1图3-1 xxx网络主干拓扑结构图3.2.2 中心机房信息系统构成图3-2信息中心核心设备拓扑图3.3 现行系统的安全策略xxxxxx目前的网络基于Internet/Intranet和同城网络流行的符合国际标准的TCP/IP网络协议和WEB等技术，提供了与中国xxxxxx公司的数据传输与信息发布的专用网络，为了保障网络不受到有意、无意的的破坏，采取了以下安全防范措施：1. 配置防火墙：为减少局域网用户受到病毒及黑客的威胁，在局域网与internet之间安装

23、了思科Secure PIX525防火墙，实现了局域网用户对internet资源的单向访问；通过防火墙的过滤规则，实现ip控制，限制局域网用户对internet的访问等。2. 安装网管软件：公司专门安装了Cisco works网管软件，利用管理软件直观地以图形方式显示Cisco的设备，以及基本的故障排除信息，进行有效的网络管理。 3. 进行网络性能监测分析：为了给网络管理人员提供深入监测、分析和优化网络的信息，公司购买了美国福禄克网络公司的 OptiView II 系列集成式网络分析仪（OPVS2 INA），该产品具有协议分析、流量分析和网络搜索的功能。4. 入侵检测系统（IDS）：作为防火墙的

24、补充，公司在网络上增加了干将/莫邪入侵检测系统，该系统主要作用是保护网络、帮助系统对付网络攻击，扩展了系统管理员的安全管理能力。5. 定期进行漏洞扫描：承影网络漏洞扫描器是一种基于网络的漏洞扫描和分析工具软件，用来检查网络环境下各种网络系统与设备的安全缺陷和弱点，信息部工作人员每周对中心服务器进行一次扫描，帮助管理员巩固企业的信息系统安全。6. 划分VLAN：通过路由访问列表等Vlan划分原则，可以有效的控制网络广播风暴和逻辑网段大小，将不同部门划分在不同Vlan，从而提高交换式网络的整体性能7. 安装网络防病毒软件：为了保证用户在使用网络时不受病毒的感染，公司于2004年2月建立防病毒系统，

25、局域网内的用户必须安装Symantec防病毒软件。8. 安全管理组织：xxxxxx成立了由信息部部长任安全领导小组组长，由运行室副主任任副组长的“安全领导小组”，安全管理人员由信息中心两名技术人员担任。负责与xxxxxx总部联系，并发布信息安全的相关信息。9. 安全管理制度：xxxxxx制定了以下与信息系统管理相关的规章制度：1) xxxxxx网络管理暂行规定2) 网络设备运行管理制度3) xxxxxx计算机病毒防治管理办法4) xxxxxx计算机系统密码设置和使用规则5) xxxxxx邮件帐号使用管理及安全管理规定6) 系统运行室管理规章制度7) 系统运行室值班职责8) 2005系统维护室工

26、作职责划分9) 系统运行室各系统应急预案xxxxxx在信息系统的建设中已经采取了以上的安全措施，这些安全措施也的确起到了安全防范的作用，信息系统运行至今，没有出现过重大的安全事故。但是从实际测试以及业务调研中，还是发现了不少系统的安全漏洞，有些系统的脆弱性还具有比较高的风险（参见本文第四部分）。这些问题是必须引起高度重视的。3.4 信息资产识别和定义在资产定义阶段，通过对前期业务调研的总结和讨论，产生了xxxxxx中心信息资产工作表，并从中挑选出本次评估的关键资产，见表一：表一：资产定义汇总表资产资产的作用和重要性信息xxxxxx财务信息财务信息是公司的核心数据，目前xxxxxx公司的财务系统

27、由xxxxxx公司统一管理，数据主要集中在xxxxxx公司航务、机务、采供、飞行、货运、客户信息这些信息直接关系到航空公司业务的正常进行，是企业的重要信息。原始资料及相关档案通常指第一手资料，如硬件、软件设计文档、数据库设计文档、原程序、软件安装介质、使用手册、配置手册、管理制度等等，有些内容丢失会造成泄密及无法恢复的损失应用软件业务系统软件xxxxxx公司的应用软件包括有FOC 系统、航空维修综合管理信息系统 客舱采供管理系统、飞行统计系统、航班查询系统、950333系统 ISO 9000手册电子版管理系统来保证xxxxxx业务的正常运行。数据库管理系统xxxxxx的数据库管理系统主要采用的

28、是MS SQL SERVER，部分应用系统采用DB2 、SYBASE 和ORACLE数据库，来保障系统的正常运行，它们关系到数据的完整性和可用性操作系统xxxxxx公司各类服务器的操作平台，目前全部采用 MS WIN2000 系列操作系统，是各类服务器及工作站正常运行的基础环境，也是信息系统的最后一道安全防线。办公应用软件包括：xxxxxx的电子邮件（采用的mdaemon6.5.3、xxxxxx的电子邮件系统Exchange2000）；xxxxxx内、外部网站；办公自动化系统（服务器在xxxxxx）、视频系统等，是正常办公的辅助工具。网络管理软件信息中心采用CISCOWORK 2000网管软件

29、对网络运行状况的监控和维护提供了技术手段网络防病毒软件采用Symantec网络防病毒软件（1000客户端），该系统主要用于为公司服务器和pc机防病毒，保证用户在使用网络时不受病毒的感染。关系网络中所有计算机的安全。承影网络漏洞扫描软件基于网络的漏洞扫描和分析工具软件，用来检查网络环境下各种网络系统与设备的安全缺陷和弱点，帮助管理员巩固企业的信息系统安全。网络设备及硬件数据库存储设备采用DELL 磁盘阵列保存及备份xxxxxx公司部分的重要信息及数据数据库服务器采用HP 和DELL的PC服务器做数据库系统载体，为xxxxxx公司提供各种查询、计划等数据服务核心路由及核心交换机核心交换机CISCO

30、 6509网络核心设备，一旦出现故障，会导致整个网络系统瘫痪通讯线路主干光缆线路和机房内连接各设备的线缆，保证xxxxxx业务的正常运行其他路由器及交换机CISCO 3640 和CISCO 3750 等是网络互联设备，提供对xxxxxx和市区售票处的接入，出现故障，会造成无法与中心网络连接，影响业务正常进行防火墙Pix 525防火墙提供xxxxxx公司INTERNET 的安全接入入侵检测系统防火墙的补充，提高系统对外部攻击的检测能力，扩展了系统管理员的安全管理能力（包括安全审计、监视、攻击识别和响应）。网络测试仪OptiView II将网络分析和监测能力结合在一起，能够完整的透视整个网络。人员

31、应用系统管理员负责应用软件升级、扩展、更新及数据备份。人是第一位的，其它因素，如：设备、软件程序、信息系统均由人来操作使用，信息资料由人来调用。安全管理人员负责信息系统安全管理及安全支持软件开发维护人员应用系统开发、升级、扩展及维护。网络硬件管理人员网络设备系统配置、网络检测。技术文档系统配置信息系统功能参数设定。源程序应用系统的程序清单。系统设计开发文档系统设计的依据、技术特征、业务及数据模式、开发方法等。系统说明文档说明系统的功能、使用范围。系统维护文档记载系统升级、维修的文字记录。在系统资产定义阶段，还根据资产的工作范围及重要性，对信息资产的安全优先级别进行了定义，在风险规避中，要优先考

32、虑安全要求高的资产；根据系统对信息安全的机密性、完整性、可用性、可控性以及抗抵赖性的要求，对信息资产的安全需求进行了定义。具体内容见系统特征分析报告文档。第四部分 风险分析4.1 威胁识别威胁是指可能对资产或组织造成损害事故的潜在因素。作为风险评估的重要因素，威胁是一个客观存在的事物，无论对于多么安全的信息系统，它都存在。通过对各业务系统关键资产进行的直观的威胁分析，可以清楚地看出本次评估范围内各业务系统及关键资产所面临的威胁种类。下面针对xxxxxx的信息资产目前所面临的各种威胁进行综合描述，包括威胁的主体、威胁的客体以及威胁发生的可能性。来自系统内部的威胁：1 操作失误：这种威胁的主体为系

33、统管理员用户或其他合法用户，威胁的客体为所有物理资产、软件资产、硬件资产和信息资产。这种威胁是合法用户的无意行为，但是对资产的种类接触很多，处理和维护操作比较多，因此这种威胁发生的可能性根据不同的用户（主体）和不同的资产（客体）而不同，一般发生可能性适中。2 滥用授权：这种威胁的主体为系统管理员用户或其他合法用户，威胁的客体为所有物理资产、软件资产、硬件资产和数据资产。这种威胁是合法用户的故意行为，与xxxxxx员工的素质有关，也与用户的权限大小和威胁资产的可利用程度有关，一般发生可能性偏低。3 特权升级：这种威胁的主体为合法用户，客体为软件资产和数据资产。特权升级是指使用恶意手段获取比正常分

34、配的权限更多的权限。例如，在一个得逞的特权升级攻击中，恶意用户设法获得Web 服务器的管理特权，使他能够随意地进行破坏，发生的可能性适中。4 行为抵赖：这种威胁的主体为系统管理员用户或其他合法用户，威胁的客体为所有物理资产、软件资产、硬件资产和信息资产。这种威胁是合法用户对自己所作操作的否认，一般发生可能性较低，但对于员工素质较差、操作造成损失较大、没有监控记录的情形下可能会发生。来自系统外部的威胁：5 身份假冒：这种威胁的主体主要为非法用户，也有少量的合法用户，威胁的客体为所有物理资产、软件资产和数据资产。这种威胁主要是合法用户冒用别人的身份或账号进行一些合法操作，或者非法用户盗用合法用户身

35、份或账号进行非法操作，这两种情形在冒用账号方面发生可能性比较高。6 信息泄漏：这种威胁的主体为非法用户，也有少量合法用户，主要是蓄意盗取敏感数据或泄露应该保密的信息，威胁的客体为软件资产和数据资产。这些非法用户利用社交等手段获取系统软件或应用软件的配置数据，以便为后面的破坏做好基础，或者直接骗取业务敏感数据，这种威胁很隐藏，利用的手段很多，因此该威胁发生的可能性比较高，但属于中风险范畴。7 篡改：这种威胁的主体为非法用户，客体为数据资产。篡改是在未经授权的情况下更改或删除资源。数据在传输中（以物理或电子方式）和存储时都会受到该威胁。例如，未受保护的数据包可被截获和修改，或者数据可因为攻击者利用

36、缓冲区溢出脆弱性所执行的恶意代码而损坏。该威胁发生的可能性适中。8 拒绝服务：这种威胁的主体为非法用户，主要是故意破坏的攻击者，威胁的客体为软件资产。这种威胁一般是内部的破坏者针对内部应用系统的有效攻击方式，发生可能性较大。外部的攻击者针对公开服务的各种系统都有可能进行攻击，发生可能性很大。9 窃听数据：这种威胁的主体为非法用户，威胁的客体为软件资产和数据资产。非法用户通过窃听手段窃取系统软件和应用软件的系统数据及敏感的业务数据，为了达到攻击和入侵系统的目的，攻击者一般都会进行这方面的尝试，因此此威胁发生的可能性较高。10 物理破坏：这种威胁的主体为非法用户，主要是故意破坏的攻击者，威胁的客体

37、为物理资产。非法用户通过各种手段接近资产进行物理破坏，这种威胁发生的可能性与xxxxxx的安全保卫制度和相关的访问控制制度有关，发生可能性适中。11 社会工程：这种威胁的主体为非法用户，主要是蓄意盗取敏感数据或破坏系统的攻击者，威胁的客体为软件资产、信息资产和人员。这些非法用户利用社交等手段获取系统软件或应用软件的配置数据，以便为后面的破坏做好基础，或者直接骗取业务敏感数据，这种威胁很隐藏，利用的手段很多，因此该威胁发生的可能性较高。系统原因：12 意外故障：这种威胁的主体为系统组件，即资产自身；威胁的客体为所有物理资产、软件资产和数据资产。这种威胁是资产在系统运行期间自身偶然发生的故障，该威

38、胁发生的可能性根据资产的类别不同而不同，一般发生可能性非常高。13 恶意代码：这种威胁的主体可以视为系统问题，也可以看作系统外部人员的恶意行为。但是恶意代码往往不是有针对性的行为，可能是其它软件或系统漏洞引发的结果。威胁的客体为软件资产和信息资产，目前有些恶意代码也可能威胁硬件资产的安全。系统感染病毒的可能性较多，但也有可能被非法用户利用漏洞安装恶意代码，这种威胁的可能性与系统的防病毒体系建设和安全漏洞的严重程度有关。14 配置中的威胁：这种威胁的主体为非法用户，主体为操作系统、应用软件和TCP/IP协议。大多数系统软件和应用软件为了方便用户，初始安装结束之后，存在一些默认的用户名、口令和开放

39、的服务端口。往往会被攻击者利用，造成网络瘫痪或机密被窃取。另外，TCP/IP某些协议存在一些漏洞，非法用户可以利用此漏洞进行入侵系统，获取管理员的权限。这些威胁发生的可能性适中。其它问题：15 通信中断：这种威胁的主体为通信线路，威胁的客体为软件资产和数据资产。不明原因的通信意外故障造成传输中断是不定时出现的，这种威胁发生的可能性适中。16 电源中断：这种威胁的主体为电源，威胁的客体为所有的物理资产、软件资产和数据资产。电源中断是由于xxxxxx自身的一些因素或者意外因素，由于xxxxxx办公楼信息中心一侧全部采用UPS供电，这种威胁发生可能性较低。但是UPS设备间无大门防护，有被撬经历，增加

40、了威胁发生的可能性。17 灾难：这种威胁的主体为环境因素，如火、水、雷电、灰尘、老鼠等，威胁的客体为物理资产。这种威胁发生的可能性与各业务系统所处环境有直接关系，另外也与xxxxxx的相应防范措施有关，这里主要是雷电和水灾的威胁可能性较大，其他发生的可能性适中。4.2 脆弱性识别脆弱性是信息资产或资产组中可能被威胁所利用的弱点，它包括物理环境、组织机构、业务流程、人员、管理、硬件、软件及通讯设施等各个方面。这些都可能被各种安全威胁利用来侵害有关资产及这些资产所支持的业务系统。在这一阶段，将针对每一项需要保护的信息资产，找出每一种威胁所能利用的各种脆弱性，并对脆弱性的严重程度进行评估。由于本次评

41、估工作分2个专业组、三个方面进行现场测试，为了便于总结归纳，在脆弱性识别阶段，我们根据前期调查及各专业测评小组现场检测的结果，分析了xxxxxx系统中可能存在的各种脆弱性，分别对安全管理机制、网络与通信、应用系统三个方面各自存在的脆弱性（即：安全漏洞）进行了识别。4.2.1 安全管理机制的脆弱性根据标准GA/T391-2002的要求，对照现行安全管理制度及被测方提供的安全威胁及风险描述，并将物理环境中存在的问题也归并在一起，共有以下12项内容不符合安全标准的要求。xxxxxx系统在安全管理机制及物理环境方面存在以下问题：1. 安全管理组织不健全，信息安全管理没有得到公司主管领导足够的重视；2.

42、 安全管理人员配置及责任划分不合理；3. 数据库安全管理没有受到应有的重视4. 没有建立信息安全的分级培训及宣传教育制度；5. 工作职责的划分没有体现“分权制衡”、“最小特权”的原则；6. 没有信息管理技术人员调离安全管理制度；7. 安全管理制度不健全，缺少以下重要的管理制度：(1) 物理安全方面：机房安全管理制度、主机设备安全管理制度、网络设施安全管理制度、物理设施分类标记管理制度不健全；(2) 系统与数据库安全方面：目前还没有建立明确的规章制度；(3) 网络安全方面：缺少网络维护管理制度和操作流程；(4) 运行安全方面：缺少人员安全管理制度、安全意识与安全技术教育制度、操作安全管理制度、操

43、作系统和数据库安全管理制度、系统运行记录编写制度、系统维护管理制度、安全审计管理制度等；(5) 信息安全方面：没有信息分类标记制度、技术文档管理制度、存储介质管理制度、信息披露与发布审批管理制度。8. 已经制定了一些安全制度但执行力度不够，起不到相应安全的作用。9. 应急预案中缺少中心关键设备故障、数据库故障、黑客攻击等方面的应急措施，缺少解决问题的具体操作流程；10. 没有完整的设备及数据备份制度以及与备份制度相对应的灾难恢复计划。11. 机房门窗没有采取防护措施，不利于防盗、防尘。12. 仅有办公大楼门卫制度，不能保证机房环境安全不受外来人员的威胁。从被测方提供的技术文档、管理制度以及调查

44、问卷中反映出来的管理方面的问题是比较多的，从这些问题上可以总结出，安全管理机制的脆弱性表现在信息安全管理组织机构建立、信息安全管理制度制定、安全技术及安全知识的培训等几个方面，造成信息管理人员安全职责不明确，安全管理制度执行力度不够，授权访问机制、应急处理及灾难恢复机制不健全等问题（详细内容见安全管理机制评估报告）。4.2.2 网络通信方面的脆弱性网络通讯组使用安全评估扫描工具进行了对网络进行了漏洞检测，涉及xxxxxx核心网络设备，包括：核心网络设备、接入线路、二级网络设备、信息中心安全设备。网络设备的软件版本号一致、配置也基本相同，通过网络安全评估工具检测出网络设备中每台设备都存在高风险漏

45、洞3项，中风险漏洞1项，低风险漏洞1项。详细情况见网络与通信漏洞检测报告。在高风险漏洞中：未升级网络设备的软件版本到最新版本的高风险就占2项网络设备的配置方面所引起的高风险占1项我们对安全评估扫描工具和静态分析的结果进行了统计分析，在网络通信方面存在的脆弱性包括：1、 关键的网络核心设备没有采用冗余设计2、 没有升级网络设备的IOS到最新的版本3、 网络设备的配置中采用的SNMP默认的读写字符串4、 对网络配置的更改及维护没有日志及审计制度5、 没有有效的安全策略，容易遭到拒绝服务攻击6、 VALN之间未实施安全策略4.2.3 应用系统的脆弱性本次评估采用了本地和远程的方式对xxxxxx应用服

46、务器和信息部的PC机进行了动态扫描和手动检查，并尝试性的进行了渗透性测试。我们一共对54台机器进行了检测，其中以本地的方式测试了52台，依次为：信息部机房内22台服务器及24台PC机，基地2台服务器，68号楼3台财务结算服务器，飞行部1台服务器。根据Retina扫描报告，对安全优先级别为3以上的12台服务器的漏洞统计如下：由于没有及时升级和安装补丁程序造成的：高风险漏洞有 74项 占到了90.24%中风险漏洞有 44项 占到了29.53%低风险漏洞有 6 项 占到了7.79%由于没有关闭不必要的服务造成的：高风险漏洞有 0项 占到了0中风险漏洞有 1项 占到了0.67%低风险漏洞有 7项 占到了9.09%由于系统配置不当造成的：高风险漏洞有 0 项 占到了0中风险漏洞有 94项 占到了63.09%低风险漏洞有 64 项 占到了83.12%由于弱口令造成的：高风险漏洞有8 项 占到了9.76%中风险漏洞有 10 项 占到了6.71%低风险漏洞有 0 项 占到了0通过分析Retina扫描结果，可以看出：68号楼财务结算的两台应用服务器存在的