第2章 某OA系统信息安全风险评估方案

第2章第2章某OA系统信息安全风险评估方案2.1风险评估概述2.2OA系统概况2.3资产识别2.4威胁识别2.5脆弱性识别2.6风险分析第2章2.1.1背景某OA系统风险评估的目的是评估办公自动化（OA）系统的风险状况，提出风险控制建议，同时为下一步要制定的OA系统安全管理规范以及今后OA系统的安全建设和风险管理提供依据和建议。需要指出的是，本评估报告中所指的安全风险是针对现阶段OA系统的风险状况，反映的是系统当前的安全状态。第2章2.1.2范围某OA系统风险评估范围包括某OA网络、管理制度、使用或管理OA系统的相关人员以及由其办公所产生的文档、数据。2.1.3评估方式信息系统具有一定的生命周期，在其生命周期内完成相应的使命。采取必要的安全保护方式使系统在其生命周期内稳定、可靠的运行，是系统各种技术、管理应用的基本原则。第2章本项目的评估主要根据国际标准、国家标准和地方标准，从识别信息系统的资产入手，着重针对重要资产分析其面临的安全威胁并识别其存在的脆弱性，最后综合评估系统的安全风险。第2章资产识别是风险评估的基础，在所有识别的系统信息资产中，依据资产在机密性、完整性和可用性三个安全属性的价值不同，综合判定资产的重要性程度并将其划分为核心、关键、中等、普通和次要5个等级。其中核心、关键和中等等级的资产都被列为重要资产，并分析其面临的安全威胁。脆弱性识别主要从技术和管理两个层面，采取人工访谈、现场核查、扫描检测、渗透性测试等方式，识别系统所存在的脆弱性和安全隐患第2章对重要资产已识别的威胁、脆弱性，判断威胁发生的可能性和严重性，综合评估重要信息资产的安全风险。根据重要信息资产威胁风险值的大小，划分安全风险等级，判断不可接受安全风险的范围、确定风险优先处理等级。根据不可接受安全风险的范围、重要信息资产安全风险值和风险优先处理等级，给出风险控制措施。第2章2.2OA系统概况2.2.1OA系统背景随着计算机通信以及互联网技术的飞速发展，社会信息化建设以及网络经济为主要特征的新经济形态正在发展和壮大。办公自动化正在成为信息化建设的一个重要组成部分，通过规范化和程序化来改变传统的工作模式，建立一种以高效为特征的新型业务模式。在此背景下决定建设OA系统，建立规范化、程序化工作模式，最终提高工作的效率。第2章2.2.2网络结构图与拓扑图该OA系统网络是一个专用网络，与Internet物理隔离。该网络包含OA服务器组、数据库服务器组、办公人员客户端、网络连接设备和安全防护设备等。OA系统网络通过一台高性能路由器连接上级部门网络，通过一台千兆以太网交换机连接到下级部门网络。其中内部骨干网络采用千兆位以太网，两台千兆以太网交换机为骨干交换机，网络配备百兆桌面交换机用来连接用户终端。第2章表3-1NTFS的引导扇区字节偏移字段长度字段名0x003字节Jump指令0x038字节OEMID0x0B25字节BPB0x2448字节扩展的BPB0x54426字节自举代码0x01FE字引导扇区结束标记第2章2.2.3网络结构与系统边界该OA系统网络分别与上级部门办公网络、下级部门办公网络连接。其中用一台高性能路由器连接上级部门办公网络，用一台千兆交换机连接下级部门办公网络。具体的系统边界图如图书本23页图2-2所示：第2章表2-1列举了主要边界情况。表2-1OA系统网络边界表网络连接连接方式主要连接用户主要用途与下级部门办公网络连接千兆以太网（内部）下级部门与下级部门公文流转等与上级部门办公网络连接专用光纤上级部门与上级部门公文流转等第2章2.2.4应用系统和业务流程分析该OA系统使用电子邮件系统作为信息传递与共享的工具和手段，满足办公自动化系统最基本的通信需求。电子邮件系统作为本系统的通信基础设施，为各种业务提供通用的通信平台。该OA系统采用以电子邮件作为统一入口的设计思想。电子邮件信箱作为发文、收文、信息服务、档案管理、会议管理等业务的统一“门户”。每一个工作人员通过关注自己的电子邮件信箱就可以了解到需要处理的工作。各个业务系统通过电子邮件信箱来实现信息的交互和流转。第2章例如公文流转业务中，一般工作人员起草的公文通过电子邮件系统发送到领导的电子信箱中，领导通过查看电子信箱得到文件的初稿。在审批通过后，转发到公文下发人员。公文下发人员再通过电子邮件系统下发到各个部门各个工作人员的电子信箱中。第2章2.3资产识别2.3.1资产清单该OA系统资产识别通过分析OA系统的业务流程和功能，从信息数据的完整性，可用性和机密性（简称CIA）的安全需求出发，识别CIA三性有影响的信息数据及其承载体和周边环境。在本次OA系统风险评估中进行的资产识别，主要分为硬件资产、文档和数据、人员、管理制度等，其中着重针对硬件资产进行风险评估，人员主要分析其安全职责，IT网络服务和软件结合其涉及的硬件资产进行综合评估。下面列出具体的资产清单。硬件资产见表2-2第2章资产编号资产名称责任人资产描述ASSET_01OAServer王责OA服务器，实现OA的应用服务ASSET_02DBServer王责DB服务器，存储OA系统的相关数据ASSET_03NetScreenFW_01李珊防火墙ASSET_04CiscoRouter_01李存路由器ASSET_05CiscoSwitch_01李存骨干交换机ASSET_06CiscoSwitch_02李存骨干交换机ASSET_073ComSwitch_01李存二级交换机ASSET_08PC_01张晨用户终端ASSET_09PC_02陈乙用户终端表2-2硬件资产清单第2章资产编号资产名称责任人资产描述ASSET_10人员档案于己机构人员档案数据ASSET_11电子文件数据于己OA系统的电子文件文档和数据资产见表2-3。表2-3文档和数据资产清单第2章资产编号资产名称责任人资产描述ASSET_12安全管理制度于己机房安全管理制度等ASSET_13备份制度于己系统备份制度制度资产清单见表2-4。表2-4制度资产清单第2章人员资产清单见表2-5表2-5人员资产清单资产编号资产名称责任人资产描述ASSET_13王责王责系统管理员ASSET_14李珊李珊安全管理员ASSET_15李存李存网络管理员ASSET_16张晨张晨普通用户ASSET_17陈乙陈乙普通用户ASSET_18于己于己档案和数据管理员，制度实施者第2章2.3.2资产赋值资产赋值对识别的信息资产，按照资产的不同安全属性，即机密性，完整性和可用性的重要性和保护要求，分别对资产的CIA三性予以赋值。三性赋值分为5个等级，分别对应了该项信息资产的机密性，完整性和可用性的不同程度的影响，赋值依据如下：1.机密性（Confidentiality）赋值依据根据资产机密性属性的不同，将它分为5个不同的等级，分别对应资产在机密性方面的价值或者机密性方面受到损失时的影响，如表2-6所示。第2章赋值含义解释5很高指组织最重要的机密，关系组织未来发展的前途命运，对组织根本利益有着决定性的影响，如果泄露会造成灾难性的影响4高指包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害3中指包含组织一般性秘密，其泄露会使组织的安全和利益受到损害2低指仅在组织内部或在组织某一部门公开，向外扩散有可能对组织的利益造成损害1很低对社会公开的信息，公用的信息处理设备和系统资源等信息资产如表2-6所示。表2-6机密性赋值依据表第2章2.完整性（Integrity）赋值依据根据资产完整性属性的不同，将它分为5个不同的等级，分别对应资产在完整性方面的价值或者在完整性方面受到损失时对整个评估的影响，如表2-7所示。第2章赋值含义解释5很高完整性价值非常关键，未经过授权的修改或破坏会对评估体造成重大的或特别难以接受的影响，对业务冲击重大，并可能造成严重的业务中断，损失难以弥补4高完整性价值较高，未经过授权的修改或破坏会对评估体造成重大影响，对业务冲击严重，损失比较难以弥补3中完整性价值中等，未经过授权的修改或破坏会对评估体造成影响，对业务冲击明显，但损失可以弥补2低完整性价值较低，未经过授权的修改或破坏会对评估体造成轻微影响，可以忍受，对业务冲击轻微，损失容易弥补1很低完整性价值非常低，未经过授权的修改或破坏会对评估体造成影响，可以忽略，对业务冲击可以忽略表2-7完整性赋值依据表第2章3.可用性赋值依据根据资产可用性属性的不同，将它分为5个不同的等级（见表2-8），分别对应资产在可用性方面的价值或者在可用性方面受到损失时的影响。表2-8是可用性赋值依据表第2章赋值含义解释5很高可用性价值非常关键，合法使用者对信息系统及资源的可用度达到年度99%以上，一般不容许出现服务中断的情况，否则将对生产经营造成重大的影响或损失4高可用性价值较高，合法使用者对信息系统及资源的可用度达到工作时间95%以上，一般不容许出现服务中断，否则对生产经营造成一定的影响或损失3中可用性价值中等，合法使用者对信息系统及资源的可用度在工作时间75%以上，容忍出现偶尔和较短时间的服务中断，且对企业造成的影响不大2低可用性价值较低，合法使用者对信息系统及资源的可用度在正常上班时间达到35%～75%1很低可用性价值或潜在影响可以忽略，完整性价值较低，合法使用者对资源的可用度在正常上班时间低于35%表2-8可用性赋值依据表第2章根据资产的不同安全属性，及机密性，完整性和可用性的等级划分原则，采用专家指定的方法对所有资产CIA三性予以赋值。赋值后的资产清单见表表2-9资产CIA三性等级表第2章资产编号资产名称机密性完整性可用性ASSET_01OAServer555ASSET_02DBServer555ASSET_03NetScreenFW_01555ASSET_04CiscoRouter_01345ASSET_05CiscoSwitch_01345ASSET_06CiscoSwitch_02345ASSET_073ComSwitch_01244ASSET_08PC_01222ASSET_09PC_02222ASSET_10人员档案552ASSET_11电子文件数据553ASSET_12安全管理制度144ASSET_13备份制度144ASSET_13王责532ASSET_14李珊532ASSET_15李存532ASSET_16张晨132ASSET_17陈乙132ASSET_18于己532第2章2.3.3资产分级资产价值应依据资产在机密性、完整性和可用性上的赋值等级，经过综合评定得出。根据系统业务特点，采取相乘法决定资产的价值。计算公式如下：V=f(x,y,z)=其中：V表示资产价值，x表示机密性，y表示完整性，z表示可用性。根据该计算公式可以计算出资产的价值。例如取资产ASSET_01三性值代入公式如下：V=f(5,5,5)=得资产ASSET_01的资产价值=5。依此类推得到本系统资产的价值清单如表2-10所示。表2-10资产价值表第2章资产编号资产名称机密性完整性可用性资产价值ASSET_01OAServer5555ASSET_02DBServer5555ASSET_03NetScreenFW_015555ASSET_04CiscoRouter_013454.2ASSET_05CiscoSwitch_013454.2ASSET_06CiscoSwitch_023454.2ASSET_073ComSwitch_012443.4ASSET_08PC_012222ASSET_09PC_022222ASSET_10人员档案5523.2ASSET_11电子文件数据5533.9ASSET_12安全管理制度1442.8ASSET_13备份制度1442.8ASSET_13王责5322.8ASSET_14李珊5322.8ASSET_15李存5322.8ASSET_16张晨1322.47ASSET_17陈乙1322.4ASSET_18于己5322.8第2章为与上述安全属性的赋值相对应，根据最终赋值将资产划分为5级，级别越高表示资产越重要。表2-11划分表明了不同等级的重要性的综合描述。表2-