信息安全风险评估资产识别用例

1资产识别1.1资产数据采集1.1.1资产采集说明通过资产调查和现场访谈，对信息系统的相关资产进行调查，形成资产列表。采集工作在前期调研的基础上开展，以调研所得的设备列表为依据，将所有与信息系统有关的信息资产核查清楚。1.1.2资产采集检测表检测目的资产数据检查目的将所有与信息系统有关的信息资产核查清楚检测依据检测对象被检测方所有非机密资产检查级别基本配置检测方法实地检查与工作人员展开交流检查流程到被检测方的机房查看硬件、软件及网络拓扑等与相关工作人员进行访谈，并获取资产环境、业务运行模式和技术体系等信息根据调查结果汇总数据并生成详细资产列表预期结果采集所有资产数据，形成资产列表检查结果形成资产列表1.2资产分类识别1.2.1资产分类说明将所采集的资产数据按照资产形态和用途进行分类，形成资产分类表。信息系统的资产一般可分为硬件、软件、文档与数据、人力资源、服务和其它资产等几大类。1.2.1.1硬件标识设备种类设备清单备注1.网络设备路由器、网关、交换机等2.计算机设备大型机、小型机、服务器、工作站、台式计算机、便携计算机等3.存储设备磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等标识设备种类设备清单备注4.传输设备光纤、双绞线等5.保障设备UPS、变电设备等、空调、保险柜、文件柜、门禁、消防设施等6.安全保障设备防火墙、入侵检测系统、身份鉴别等7.其他打印机、复印机、扫描仪、传真机等1.2.1.2软件标识设备种类设备清单备注1.系统软件操作系统、数据库管理系统、语句包、开发系统等2.应用软件应用软件：办公软件、数据库软件、各类工具软件等3.源程序源程序：各种共享源代码、自行或合作开发的各种代码等1.2.1.3文档与数据一般指保存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等。1.2.1.4人力资源人力资源一般包括掌握重要信息和核心业务的人员，如主机维护主管、网络维护主管及应用项目经理等。1.2.1.5服务编号设备种类设备清单备注1.信息服务对外依赖该系统开展的各类服务2.网络服务各种网络设备、设施提供的网络连接服务3.办公服务为提高效率而开发的管理信息系统，包括各种内部配置管理、文件流转管理等服务1.2.1.6其它资产其它资产是指一些无形的但同样对于企业本身具有一定的价值，如企业形象、客户关系等。1.2.2资产分类检测表检测目的资产分类检查目的将所采集的资产数据按照资产形态和用途进行分类，形成资产分类表检测依据资产数据及分类方式检测对象被检测方所有非机密资产检查级别基本配置检测方法参照资产分类标准进行分类检查流程（流程图）1.完成资产数据收集2.将所有数据按照不同资产类别进行分类，形成多个资产识别列表预期结果根据资产性质分类，形成多个资产列表检查结果形成多个资产列表1.2.3网络拓扑中常用的硬件资产设备名称拓扑图标简介生产厂商路由器路由器是连接因特网中各局域网、广域网的设备，它会根据信道的情况自动选择和设定路由，以最佳路径，按前后顺序发送信号的设备。目前路由器已经广泛应用于各行各业，各种不同档次的产品已成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互通业务的主力军思科华为华三交换机交换机是一种用于电信号转发的网络设备。它可以为接入交换机的任意两个网络节点提供独享的电信号通路。最常见的交换机是以太网交换机。交换是按照通信两端传输信息的需要，用人工或设备自动完成的方法，把要传输的信息送到符合要求的相应路由上的技术的统称。根据工作位置的不同，可以分为广域网交换机和局域网交换机思科华为华三设备名称拓扑图标简介生产厂商服务器服务器是一种运行管理软件以控制对网络或网络资源进行访问的计算机，并能够为在网络上的计算机提供资源使其犹如工作站那样地进行操作。服务器的构成与微机基本相似，有处理器、硬盘、内存、系统总线等，它们是针对具体的网络应用特别制定的，因而服务器与微机在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面存在差异很大。一个管理资源并为用户提供服务的计算机软件，通常分为文件服务器，数据库服务器和应用程序服务器IBM戴尔防火墙防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关，从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。思科华为IDS入侵检测系统，简称“IDS”，是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。华为启明星负载均衡器是一种采用各种分配算法把网络请求分散到一个服务器集群中的可用服务器上去，通过管理进入的Web数据流量和增加有效的网络带宽，从而使网络访问者获得尽可能最佳的联网体验的硬件设备。F5深信服Array1.3资产赋值1.3.1资产保密性赋值赋值标识定义5很高包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定性的影响，如果泄露会造成灾难性的损害4高包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害3中等组织的一般性秘密，其泄露会使组织的安全和利益受到损害2低仅能在组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成轻微损害1很低可对社会公开的信息，公用的信息处理设备和系统资源等1.3.2资产完整性赋值赋值标识定义5很高完整性价值非常关键，未经授权的修改或破坏会对组织造成重大的或无法接受的影响，对业务冲击重大，并可能造成严重的业务中断，难以弥补4高完整性价值较高，未经授权的修改或破坏会对组织造成重大影响，对业务冲击严重，较难弥补3中等完整性价值中等，未经授权的修改或破坏会对组织造成影响，对业务冲击明显，但可以弥补2低完整性价值较低，未经授权的修改或破坏会对组织造成轻微影响，对业务冲击轻微，容易弥补1很低完整性价值非常低，未经授权的修改或破坏对组织造成的影响可以忽略，对业务冲击可以忽略1.3.3资产可用性赋值赋值标识定义5很高可用性价值非常高，合法使用者对信息及信息系统的可用度达到年度99.9%以上，或系统不允许中断4高可用性价值较高，合法使用者对信息及信息系统的可用度达到每天90%以上，或系统允许中断时间小于10min赋值标识定义3中等可用性价值中等，合法使用者对信息及信息系统的可用度在正常工作时间达到70%以上，或系统允许中断时间小于30min2低可用性价值较低，合法使用者对信息及信息系统的可用度在正常工作时间达到25%以上，或系统允许中断时间小于60min1很低可用性价值可以忽略，合法使用者对信息及信息系统的可用度在正常工作时间低于25%1.3.4资产安全特性综合评定赋值赋值标识定义5很高非常重要，其安全属性破坏后可能对组织造成非常严重的损失4高重要，其安全属性破坏后可能对组织造成比较严重的损失3中等比较重要，其安全属性破坏后可能对组织造成中等程度的损失2低不太重要，其安全属性破坏后可能对组织造成较低的损失1很低不重要，其安全属性破坏后对组织造成导很小的损失，甚至忽略不计1.3.5资产脆弱性赋值标识脆弱性脆弱性描述作用资产风险等级赋值1未限制root用户远程登录系统在用户登录时会执行会话相关的自启动程序，程序以用户身份运行。当系统被植入会话自启动恶意代码，若用户以root用户登录，则恶意代码将以root用户身份执行，并可对系统所有资源进行读取、篡改操作。网银数据库服务器nbdb1，nbdb2中32未设置口令最小长度和口令复杂度用户可设置空密码或者过于简单的密码，易被恶意人员暴力猜解。网银数据库服务器nbdb1，nbdb2低23未设置用户帐户锁定策略恶意人员可以通过多次、大量的暴力猜测账户密码。网银数据库服务器nbdb1，nbdb2低24开启了daytime、time无用服务影响系统性能。网银数据库服务器nbdb1，nbdb2低25开启了ftp、rlogin、采用明文传输，敏感信息易泄网银数据库服务中3标识脆弱性脆弱性描述作用资产风险等级赋值rexec不安全的服务露。器nbdb1，nbdb26用户umask设置为022用户创建文件可被同组人员和其他组人员进行读、执行操作，可能导致用户敏感信息泄漏。网银数据库服务器nbdb1，nbdb2低27未限制root用户远程登录系统在用户登录时会执行会话相关的自启动程序，程序以用户身份运行。当系统被植入会话自启动恶意代码，若用户以root用户登录，则恶意代码将以root用户身份执行，并可对系统所有资源进行读取、篡改操作。若开启了FTP服务，由于ftp采用明文传输，当用户以root用户登录时，明文传输的用户名、密码等身份认证信息可被恶意人员通过网络嗅探等手段截获。网银应用服务器nxbankapp1、nxbankapp2，网银WEB服务器netbankweb1、网银WEB服务器netbankweb2，前置服务器qianzhi1、前置服务器qianzhi2，网站服务器nxbankWeb，网银后台管理服务器netbankmweb，网银WEB发布服务器mweb，网银RA服务器CFCA1、网银RA服务器CFCA2中38未设置口令复杂度和最小口令长度用户设置的口令过于简单，易被恶意人员暴力猜解。网银应用服务器nxbankapp1、nxbankapp2，网银WEB服务器netbankweb1、网银WEB服务器netbankweb2，前置服务器qianzhi1、前置服务器qianzhi2，网站服务器nxbankWeb，网银后台管理服务器netbankmweb，网银WEB发布服务器mweb，网银RA服务器CFCA1、网银RA服务器CFCA2低2标识脆弱性脆弱性描述作用资产风险等级赋值9未设置密码有效期密码长期有效，恶意人员可以有很长一段时间破解口令，增加了密码被暴力破解的风险。网银应用服务器nxbankapp1、nxbankapp2，网银WEB服务器netbankweb1、网银WEB服务器netbankweb2，前置服务器qianzhi1、前置服务器qianzhi2，网站服务器nxbankWeb，网银后台管理服务器netbankmweb，网银WEB发布服务器mweb，网银RA服务器CFCA1、网银RA服务器CFCA2低210开了不安全的ftp服务ftp服务采用明文传输，用户敏感信息易泄露。网站服务器nxbankWeb中311用户umask设置为022用户创建文件可被同组人员和其他组人员进行读、写操作，可能导致用户敏感信息泄漏。网银应用服务器nxbankapp1、nxbankapp2，网银WEB服务器netbankweb1、网银WEB服务器netbankweb2，前置服务器qianzhi1、前置服务器qianzhi2，网站服务器nxbankWeb，网银后台管理服务器netbankmweb，网银WEB发布服务器mweb，网银RA服务器CFCA1、网银RA服务器CFCA2低212服务器HTTP回应头信息泄露servertokens设置为os，Server回送给客户端的回应头包含服务器OS类型。网银WEB服务器netbankweb1,网银WEB服务器低2标识脆弱性脆弱性描述作用资产风险等级赋值netbankweb2,网站服务器nxbankWeb13部分目录DocumentRoot开启了目录浏览攻击者利用此漏洞可能会查看和下载特定Web应用程序虚拟目录的内容，分析网站目录结构以此进一步发起攻击。网银WEB服务器netbankweb1,网银WEB服务器netbankweb2,网站服务器nxbankWeb中314未启用SSL链接设置未启用SSL链接设置，不能通过https://登录管理控制台，由于http是明文传输