风险评估工具

**网安资产识别工具工作内容：1．识别信息资产，进行合理分类；2．确定每类信息资产的安全需求；3．为每类信息资产的重要性赋值。评估日志：单位名称：资产识别负责人：评估人：评估日期/时间：信息资产赋值定义：资产赋值经综合考虑后的财务价值对于业务的重要性级别11～100元12101～1，000元231,001～10,000元3410,001～100，000元45100,001～1,000，000元561,000,001～10,000，000元6710,000,001～100,000，000元78100,000,001～1,000,000，000元891,000,000,001～10,000,000，000元91010,000,000,001～100,000,000，000元10资产识别登记表资产识别记录表项目名称或编号表格符号资产识别活动信息日期起止时间访谈者访谈对象及说明地点说明记录信息所属业务业务编号所属类别类别编号资产名称资产编号IP地址物理位置功能描述机密性要求完整性要求可用性要求重要程度安全控制措施负责人备注资产识别记录表项目名称或编号表格符号资产识别活动信息日期起止时间访谈者访谈对象及说明地点说明记录信息所属业务业务编号所属类别类别编号资产名称资产编号IP地址物理位置功能描述机密性要求完整性要求可用性要求重要程度安全控制措施负责人备注**网安威胁识别工具工作内容：1．威胁识别；2．威胁分类；3．威胁赋值；4．构建威胁场景评估日志：单位名称：资产识别负责人：评估人：评估日期/时间：威胁来源值定义：威胁来源危险性级别描述威胁来源值威胁源事例动机低风险：低攻击动机，低攻击能力1缺乏培训的内部员工无意错误、编程错误和数据录入错误等中低风险：低攻击动机，高攻击能力2外部黑客挑战性、虚荣心或游戏的心理中等风险：高攻击动机，低攻击能力3内部黑客好奇或财务问题等高风险：高攻击动机，高攻击能力4恶意攻击者破坏信息、金钱驱动等极高风险：极高攻击动机，高攻击能力5恐怖分子报复等威胁影响程度赋值定义影响程度值定义1单个工作小组或部门受到影响，对企业经营过程没有或有非常轻微的影响2一个或更多的部门受到影响，对完成工作任务有轻微的延迟3两个或更多的部门或一个业务单元受到影响，对完成工作任务有4到6个小时的延迟4两个或更多的业务单元受到影响，对完成工作任务有1到2天的延迟5企业的整个工作任务受到影响。计算公式识别：t=+T=INT威胁来源值Ts影响程度值Ti综合威胁值t威胁统计记录工具威胁统计表资产编号资产名称（在此填入资产名称）威胁编号威胁类别威胁子类威胁名称威胁来源值Ts影响程度值Ti综合威胁值t1自然威胁1.1火灾1.2温度过热1.3地震1.4台风1.5灰尘2环境威胁技术故障2.1断电2.2硬件故障2.3数据存储介质失效2.4化学物质泄露2.5漏水3人为威胁管理缺陷3.1对使用没有进行授权管理3.2对资源使用没有进行控制3.3对笔记本电脑用户的改变没有进行管理人为错误3.4因工作疏忽而损坏设备和数据3.5违反安全管理规章制度3.6清洁工人和第三方职员导致的损害3.7对信息系统的不恰当使用故意行为3.8对设备或附件的破坏3.9对数据或软件的篡改3.1偷窃3.11未授权的使用3.12计算机病毒3.13计算机蠕虫3.14木马程序小计汇总结果值威胁人员访谈记录工具威胁人员访谈记录表项目名称或编号表格编号访谈活动信息日期起止时间访谈者访谈对象及说明地点说明记录信息受损资产资产描述和类别现象描述威胁主体威胁来源方式和途径结果和影响技术脆弱性缺失或薄弱的控制措施后续的补救措施备注威胁工具检测记录工具威胁工具检测记录项目名称或编号表格编号检测活动信息日期起止时间检测者配合人员检测方式位置说明记录信息受损资产资产描述和类别现象描述威胁主体威胁来源方式和途径结果和影响技术脆弱性缺失或薄弱的控制措施建议的补救措施原始数据备注潜在威胁分析记录工具潜在威胁分析记录表项目名称或编号表格编号分析活动信息起止日期起止时间分析人员辅助人员分析结果记录受损资产资产描述和类别现象描述威胁主体威胁来源方式和途径潜在结果潜在影响技术脆弱性缺失或薄弱的控制措施外部数据建议的补救措施备注**网安脆弱性识别工具工作内容：1．脆弱性识别；2．识别结果整理与展示；3．脆弱性赋值；评估日志：单位名称：资产识别负责人：评估人：评估日期/时间：脆弱性分类表:类型识别对象识别内容技术脆弱性物理环境从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的防护、机房区域防护、机房设备管理等方面进行识别网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别系统软件（含操作系统及系统服务）从补丁安装、物理保护、用户账号、口令策略、资源共享、事件审计、访问控制、新系统配置（初始化）、注册表加固、网络安全、系统管理等方面进行识别数据库软件从补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、备份恢复机制、审计机制等方面进行识别应用中间件从协议安全、交易完整性、数据完整性等方面进行识别应用系统从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别管理脆弱性技术管理从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别组织管理从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别脆弱性分级定义：脆弱性值定义3脆弱性严重程度高，需要立即整改或加固2脆弱性严重程度中，需要予以高度重视，并在一定时间内进行整改或加固1脆弱性严重程度低，需要予以关注，并在适当时候加以整改和加固脆弱性评分标准：基本度量值计算公式和相关参数访问向量本地0.7远程1.0访问复杂性高0.8低1.0鉴权需要0.6不需要1.0机密性影响无0部分0.7全部1.0机密性影响权重值正常0.333机密性0.5一致性0.25可用性0.25一致性影响无0部分0.7全部1.0一致性影响权重值正常0.333机密性0.5一致性0.25可用性0.25可用性影响无0部分0.7全部1.0可用性影响权重值正常0.333机密性0.5一致性0.25可用性0.25基本度量值Round_to_1_decimal(10×访问向量×访问复杂性×鉴权×((机密性影响×机密性影响权重值)+(一致性影响×一致性影响权重值)+(可用性影响×可用性影响权重值))时间度量值计算公式和相关参数可被利用性未证实的0.85有理论证明的0.9实际可行的0.95高1.00可被修复的等级正式修复0.87临时修复0.90替代方法0.95不可修复1.00报告的机密性未确认的0.90未证实的0.95已确认的1.00时间度量值=Round_to_1_decimal(基本度量分×可被利用性×可被修复的等级×报告的机密性)环境度量值计算公式和相关参数附带的损失影响无0低0.1中0.3高0.5目标的分布性无0低0.25中0.75高1.00环境度量值=Round_to_1_decimal((时间度量分+((10-时间度量分)×附带的损失影响))×目标的分布性)脆弱性值计算公式定义：V=INT｛(环境度量值×3/10+0.5)｝脆弱性与威胁映射定义脆弱性类别描述威胁映射环境类缺乏对建筑物、门、窗等的物理保护盗窃对建筑物和房屋等的物理访问控制不充故障破坏分或不仔细不稳定的电力供应电涌建筑物坐落于易发洪水的区域洪水硬件缺少硬件定期更换的计划存储介质失效电压敏感性电压波动温度敏感性温度大幅度变化对湿度、灰尘、泥土等敏感潮湿、灰尘、泥土等电磁辐射敏感性电子干扰缺乏配置更换控制配置人员错误软件软件测试过程没有或不充分未授权用户使用用户接口复杂操作人员错误缺少用户认证、鉴权机制用户身份被冒名顶替缺乏审计记录软件被非授权使用广为人知的软件漏洞软件被非授权使用未受保护的口令表用户身份被冒名顶替口令管理机制薄弱（如使用易被猜出的口令、用明文存储口令和口令没有强制性定期更改策略等）用户身份被冒名顶替错误的访问权限分配用非授权的方式使用软件对下载和使用软件没有进行控制恶意软件离开电脑时没有退出登录软件被非授权使用缺少有效的代码修改控制软件错误缺少文档操作人员错误缺少备份拷贝恶意软件或火等重复使用的介质未进行合适的数据清除处理未授权用户使用不必要的服务被启用软件被非授权使用不成熟的或新软件不完全和不充分的测试广泛分发软件分发过程中软件的一致性破坏通信未保护的通信线路窃听电缆连接点通信渗透缺乏对发送方和接受方身份认证和鉴权机制身份冒用明文传送口令非法用户访问网络缺乏对发送和接受消息的证明抵赖拨号线路非法用户访问网络敏感流量未保护窃听不足的网络管理流量过载未保护的公共网络连接软件被非授权使用不安全的网络结构网络入侵文档未保护的存储介质盗窃丢弃盗窃未对拷贝进行控制盗窃人员人员旷工人手不足未对外部人员或清洁工人的工作进行监督盗窃安全训练不足操作人员错误缺乏安全意识用户错误软件和硬件的错误使用操作人员错误缺乏监控机制软件被非授权使用缺乏对通信介质和消息正确使用的策略网络设施的非授权使用不完善的招聘流程故意破坏工作流程缺乏信息处理设施使用授权故意破坏对公共可用信息的正式处理缺乏授权机制输入垃圾数据缺乏对访问权限审核的正式处理流程非授权的访问缺乏对移动计算机使用的安全策略盗窃缺乏对ISMS文档进行控制的处理流程输入垃圾数据缺乏对用户进行注册和注销的正式处理流程非授权的访问缺乏对工作场所外资产的控制盗窃缺乏服务等级协议维护错误缺乏对办公桌和计算机屏幕的清空策略信息偷窃同客户和第三方的合同里缺乏安全相关的条款非授权的访问同雇员的合同里缺乏安全相关的条款非授权的访问缺少持续性计划技术故障缺乏信息安全责任的合理分配抵赖缺乏电子邮件的使用策略消息的错误传播缺乏风险的识别和评估流程非授权的系统访问缺乏信息处理的分类用户错误缺乏对知识产权的保护流程信息偷窃缺乏安全漏洞的报告流程非授权的网络设施使用缺乏新软件安装的管理流程操作人员错误缺乏对信息处理设施的监控非授权的访问缺乏定期审计非授权的访问缺乏定期的管理审核资源滥用缺乏对安全入侵行为的监控机制故意破坏缺乏对工作岗位的信息安全责任描述用户错误缺乏对管理和操作日志中错误报告的记录软件被非授权使用缺乏对管理和操作日志的记录操作人员错误缺乏对安全事故的处理规则信息盗窃业务应用不正确的参数设置用户错误对应用程序使用了错误的数据数据不可用不能生成管理报告非授权访问日期不正确用户错误常见应用单点故障通信服务故障不充分的维护响应服务不合适的选择和操作控制等脆弱性检查工具编号检查项目内容说明是/否备注1安全策略1.1是否启用了密码复杂性策略1.2是否启用了密码长度策略长度最少8位以上1.3是否启用密码更改周期策略1.4是否启用账户锁定阈值1.5是否启用账户锁定时间1.6是否启用账户自动复位1.7是否启用审核策略1.8是否设置了“IP安全策略管理”1.9设定安全记录的访问权限2安全加固2.1本地账户安全2.1.1是否停掉guest账号任何时候都不允许guest账号登录系统为了保险起见，最好给guest加一个复杂的密码2.1.2是否删除不必要的用户账号去掉所有的duplicateuser账户，测试用账户，共享账户，普通部门账号等等2.1.3是否创建2个管理员用账号创建一个一般权限账号用来收信以及处理一些日常事物，另一个拥有administrators权限的账户只在需要的时候使用。可以让管理员使用“RunAs命令来执行一些需要特权才能作的一些工作2.1.4是否把系统administrator账号改名该账号不能停用，改名可以预防暴力破解2.1.5不同管理员是否使用各自的管理账号2.1.6是否创建一个陷阱账号将权限设置为最低2.2服务安全2.2.1是否关闭不必要的服务2.2.2是否关闭不必要的端口2.2.3是否关闭默认共享2.3文件系统2.3.1所有磁盘逻辑分区是否为NTFS格式2.3.2是否使用了NTFS所提供的安全特性2.4注册表的安全设置2.4.1是否关机时清除掉页面文件HKLM\SYS