信息安全風險評估

重慶電子工程職業(yè)學院十一棟

信息安全教室風險評估項目名稱：信息安全教室風險評估風險評估單位：信安09級1班風險評估人員：黃洪TOC\o"1-5"\h\z\o"CurrentDocument"一、風險評估概述 5\o"CurrentDocument"風險評估概念 5\o"CurrentDocument"1.2風險評估相關(guān) 5\o"CurrentDocument"1.3信息安全現(xiàn)狀 6\o"CurrentDocument"1.4風險評估目的 6\o"CurrentDocument"二、風險評估活動概述 6\o"CurrentDocument"風險評估工作組織管理 6\o"CurrentDocument"風險評估工作過程 6\o"CurrentDocument"評估步驟 7\o"CurrentDocument"依據(jù)的技術(shù)標準及相關(guān)法規(guī)文件 8\o"CurrentDocument"風險評估使用工具 9\o"CurrentDocument"三、評估對象 9\o"CurrentDocument"評估對象構(gòu)成與定級 9\o"CurrentDocument"3.1.1網(wǎng)絡(luò)結(jié)構(gòu) 93.1.2業(yè)務(wù)應(yīng)用 10\o"CurrentDocument"四、資產(chǎn)識別與分析 11\o"CurrentDocument"資產(chǎn)類型與賦值 114.1.1資產(chǎn)類型 \o"CurrentDocument"資產(chǎn)賦值 12\o"CurrentDocument"保密性賦值 12\o"CurrentDocument"4.2.2完整性賦值 12\o"CurrentDocument"4.2.3可用性賦值 13\o"CurrentDocument"4.2.4資產(chǎn)重要性等級 13\o"CurrentDocument"4.2.5資產(chǎn)賦值表 14\o"CurrentDocument"五、威脅識別與分析 14\o"CurrentDocument"威脅識別 14\o"CurrentDocument"威脅賦值 16六、脆弱性識別與分析 17常規(guī)脆弱性 176.1.1管理脆弱性 176.1.2網(wǎng)絡(luò)脆弱性 176.1.3系統(tǒng)脆弱性 176.1.4應(yīng)用脆弱性 176.1.5數(shù)據(jù)處理和存儲脆弱性 176.1.6運行維護脆弱性 176.1.7災(zāi)備與應(yīng)急響應(yīng)脆弱性 176.1.8物理脆弱性 176.2脆弱性專項檢測 176.2.1木馬病毒專項檢查 176.2.2滲透與攻擊性專項測試 176.2.3關(guān)鍵設(shè)備安全性專項測試 176.2.4設(shè)備采購和維保服務(wù)專項檢測 176.2.5其他專項檢測 176.2.6安全保護效果綜合驗證 17脆弱性識別內(nèi)容表 17\o"CurrentDocument"七、風險分析 18\o"CurrentDocument"7.1風險計算結(jié)果 18\o"CurrentDocument"風險等級 197.1.1風險等級列表 197.1.2風險等級統(tǒng)計 197.1.3基于脆弱性的風險排名 197.1.4風險結(jié)果分析 20\o"CurrentDocument"八、綜合評價和建議 20\o"CurrentDocument"8.1綜合評價 20\o"CurrentDocument"8.2防范建議 20一、風險評估概述1.1風險評估概念信息安全風險評估是參照風險評估標準和管理規(guī)范，對信息系統(tǒng)的資產(chǎn)價值潛在威脅、薄弱環(huán)節(jié)、已采取的防護措施等進行分析，判斷安全事件發(fā)生的概率以及可能造成的損失，提出風險管理措施的過程。當風險評估應(yīng)用于IT領(lǐng)域時，就是對信息安全的風險評估。風險評估從早期簡單的漏洞掃描、人工審計、滲透性測試這種類型的純技術(shù)操作，逐漸過渡到目前普遍采用國際標準的BS7799、ISO17799、國家標準《信息系統(tǒng)安全等級評測準則》等方法，充分體現(xiàn)以資產(chǎn)為出發(fā)點、以威脅為觸發(fā)因素、以技術(shù)/管理/運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型。1.2風險評估相關(guān)資產(chǎn)，任何對組織有價值的事物。威脅，指可能對資產(chǎn)或組織造成損害的事故的潛在原因。例如，組織的網(wǎng)絡(luò)系統(tǒng)可能受到來自計算機病毒和黑客攻擊的威脅。脆弱點，是指資產(chǎn)或資產(chǎn)組中能背威脅利用的弱點。如員工缺乏信息安全意思，使用簡短易被猜測的口令、操作系統(tǒng)本身有安全漏洞等。風險，特定的威脅利用資產(chǎn)的一種或一組薄弱點，導致資產(chǎn)的丟失或損害餓潛在可能性，即特定威脅事件發(fā)生的可能性與后果的結(jié)合。風險評估，對信息和信息處理設(shè)施的威脅、影響和脆弱點及三者發(fā)生的可能性評估。風險評估也稱為風險分析，就是確認安全風險及其大小的過程，即利用適當?shù)娘L險評估工具，包括定性和定量的方法，去頂資產(chǎn)風險等級和優(yōu)先控制順序。1.3信息安全現(xiàn)狀伴隨著信息技術(shù)的飛速發(fā)展,我國高校信息化建設(shè)不斷取得新的成果,高校信息的安全是學校正常運行的保證。據(jù)統(tǒng)計,100%的一類重點本科高校擁有校園網(wǎng),10%以上的高校已經(jīng)開始建設(shè)數(shù)字化校園。各個院校對網(wǎng)絡(luò)和信息系統(tǒng)的依賴程度越來越大,同時面臨的信息安全問題也更加復雜化,如何在有限的人力、物力、財力條件下最大限度保障信息安全是每個院校面臨的共同問題。因此,對高校進行信息安全風險評估勢在必行。1.4風險評估目的風險評估的目的是全面、準確的了解組織機構(gòu)的網(wǎng)絡(luò)安全現(xiàn)狀，發(fā)現(xiàn)系統(tǒng)的安全問題及其可能的危害，為系統(tǒng)最終安全需求的提出提供依據(jù)。準確了解組織的網(wǎng)絡(luò)和系統(tǒng)安全現(xiàn)狀。二、風險評估活動概述風險評估工作組織管理為了更好的了解信息安全狀況，根據(jù)《信息安全風險評估指南》和GB/T20984-2007《信息安全技術(shù)信息安全風險評估規(guī)范》要求，總體評估信息化建設(shè)風險。風險評估工作過程風險評估的實施流程見下圖所示

2.3評估步驟風險評估項目描述備注1、網(wǎng)絡(luò)安全評估知識培訓網(wǎng)絡(luò)信息安全典型案例培訓目的是為了讓客戶對網(wǎng)絡(luò)安全有個清晰的認識，從而在評估前就引起其重視，方便后面動作的開展。網(wǎng)絡(luò)安全評估流程培訓目的是為了客戶能理解我們的工作，從而獲得客戶的支持。2、資產(chǎn)評估收集信息完成《資產(chǎn)信息登記表》可以遠程操作3、威脅評估對物理安全進行評估參照《物理安全規(guī)范表》訪談、查看相關(guān)文檔，實地考察對人員安全管理進行評估參照《人員安全管理規(guī)范表》訪談人事部門相關(guān)人員4、弱點評估（完成網(wǎng)絡(luò)安全、應(yīng)用安全、主機安全規(guī)范表）整體網(wǎng)絡(luò)安全信息Xscan-gui進行全網(wǎng)安全掃描，獲得全網(wǎng)的安全統(tǒng)計使用網(wǎng)絡(luò)版殺毒殺毒軟件對全網(wǎng)絡(luò)的操作系統(tǒng)漏洞情況進行掃描統(tǒng)計使用工具共享資源掃描整個網(wǎng)絡(luò)，同時演示給客戶其暴露在內(nèi)網(wǎng)中的敏感信息應(yīng)用服務(wù)Nessus對服務(wù)器系統(tǒng)進行安全掃描使用自動化評估腳本對服務(wù)器安全信息進行收集根據(jù)checklist對服務(wù)器進行本地安全檢查

使用密碼強度測試工具請求客戶網(wǎng)管進行密碼強度測試網(wǎng)絡(luò)設(shè)備Nessus對網(wǎng)絡(luò)設(shè)備進行安全掃描使用密碼強度測試工具請求客戶網(wǎng)管進行密碼強度測試根據(jù)checklist對網(wǎng)絡(luò)設(shè)備進行本地安全檢查5、安全管理評估網(wǎng)絡(luò)拓撲結(jié)構(gòu)分析分析冗余、負載均衡功能數(shù)據(jù)安全調(diào)查《數(shù)據(jù)安全規(guī)范表》管理機構(gòu)評估《安全管理機構(gòu)規(guī)范表》需要訪談對方領(lǐng)導，需要先獲得領(lǐng)導的支持與配合安全管理制度《安全管理制度規(guī)范表》通過問卷調(diào)查的方式獲得部分內(nèi)容、管理制度文檔審查系統(tǒng)建設(shè)管理《系統(tǒng)建設(shè)管理規(guī)范表》查看相關(guān)文檔、訪談網(wǎng)管系統(tǒng)運維管理《系統(tǒng)運維管理規(guī)范表》訪談部門領(lǐng)導、網(wǎng)管。實地考察6、滲透測試滲透測試參考有關(guān)滲透測試方案簽署有關(guān)授權(quán)協(xié)議滲透測試報告《XX系統(tǒng)滲透測試報告》7、數(shù)據(jù)整理、風險評估報告以及加固建議資產(chǎn)風險《資產(chǎn)風險評估報告》信息系統(tǒng)安全《整體網(wǎng)絡(luò)安全報告》領(lǐng)導參閱版和技術(shù)人員參閱版加固建議《安全加固報告》、《管理規(guī)范建議》根據(jù)checklis進行加固2.4依據(jù)的技術(shù)標準及相關(guān)法規(guī)文件信息安全風險評估指南》信息系統(tǒng)安全等級保護測評準則》信息系統(tǒng)安全等級保護基本要求》信息系統(tǒng)安全保護等級定級指南》(試用版v3.2)《計算機機房場地安全要求》(GB9361-88)《計算機信息系統(tǒng)安全等級保護網(wǎng)絡(luò)技術(shù)要求》(GA/T387-2002)《計算機信息系統(tǒng)安全等級保護操作系統(tǒng)技術(shù)要求》(GA/T388-2002)計算機信息系統(tǒng)安全等級保護數(shù)據(jù)庫管理系統(tǒng)技術(shù)要求》GA/T389-2002)《計算機信息系統(tǒng)安全等級保護通用技術(shù)要求》(GA/T390-2002)《計算機信息系統(tǒng)安全等級保護管理要求》(GA/T391-2002)《計算機信息系統(tǒng)安全等級保護劃分準則》(GB/T17859-1999)2.5風險評估使用工具序號名 稱功能描述版本用途1數(shù)據(jù)庫安全掃描系統(tǒng)可掃描Qracle、SqlServer、SybaseATX數(shù)據(jù)庫漏洞掃描2ISS網(wǎng)絡(luò)掃描器可掃描各類操作系統(tǒng)和應(yīng)用系統(tǒng)7.0sp2網(wǎng)絡(luò)、主機漏洞掃描3天鏡脆弱性掃描系統(tǒng)可掃描各類操作系統(tǒng)和應(yīng)用系統(tǒng)6.0網(wǎng)絡(luò)、主機漏洞掃描4極光遠程安全評估系統(tǒng)可掃描各類操作系統(tǒng)和應(yīng)用系統(tǒng)AURORA-200網(wǎng)絡(luò)、主機漏洞掃描5網(wǎng)絡(luò)綜合協(xié)議分析儀OptiView網(wǎng)絡(luò)透視與協(xié)議分析，網(wǎng)絡(luò)性能測評INA網(wǎng)絡(luò)流量監(jiān)控6網(wǎng)絡(luò)系統(tǒng)管理,HPOpenView自動發(fā)現(xiàn)網(wǎng)絡(luò)拓撲圖、網(wǎng)絡(luò)性能與故障管理NNM6.0繪制網(wǎng)絡(luò)拓撲圖三、評估對象3.1評估對象構(gòu)成與定級3.1.1網(wǎng)絡(luò)結(jié)構(gòu)信息安全機房，網(wǎng)絡(luò)結(jié)構(gòu)為星型結(jié)構(gòu)，共分為八個區(qū)，每個區(qū)由六臺電腦組成，主要用于學生進行信息安全試驗。平面分布圖如下：網(wǎng)絡(luò)拓撲圖：3.1.2業(yè)務(wù)應(yīng)用主要用于老師教學，學生做實驗。、資產(chǎn)識別與分析4.1資產(chǎn)類型與賦值4.1.1資產(chǎn)類型首先需要將信息系統(tǒng)及相關(guān)的資產(chǎn)進行恰當?shù)姆诸?，以此為基礎(chǔ)進行下一步的風險評估。根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務(wù)、人員分類示例數(shù)據(jù)保存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、運行管理規(guī)程、計劃、報告、用戶手冊等軟件系統(tǒng)軟件：操作系統(tǒng)、語句包、工具軟件、各種庫等應(yīng)用軟件：外部購買的應(yīng)用軟件，外包開發(fā)的應(yīng)用軟件等源程序：各種共享源代碼、自行或合作開發(fā)的各種代碼等硬件網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機等計算機設(shè)備：大型機、小型機、服務(wù)器、工作站、臺式計算機、移動計算機等存儲設(shè)備：磁帶機、磁盤陣列、磁帶、光盤、軟盤、移動硬盤等傳輸線路：光纖、雙絞線等保障設(shè)備：動力保障設(shè)備（UPS、變電設(shè)備等）、空調(diào)、保險柜、文件柜、門禁、消防設(shè)施等安全保障設(shè)備：防火墻、入侵檢測系統(tǒng)、身份驗證等其他：打印機、復印機、掃描儀、傳真機等服務(wù)辦公服務(wù)：為提高效率而開發(fā)的管理信息系統(tǒng)（MIS）,包括各種內(nèi)部配置管理、文件流轉(zhuǎn)管理等服務(wù)網(wǎng)絡(luò)服務(wù)：各種網(wǎng)絡(luò)設(shè)備、設(shè)施提供的網(wǎng)絡(luò)連接服務(wù)信息服務(wù)：對外依賴該系統(tǒng)開展的各類服務(wù)文檔紙質(zhì)的各種文件，如傳真、電報、財務(wù)報告、發(fā)展計劃等人員掌握重要信息和核心業(yè)務(wù)的人員，如主機維護主管、網(wǎng)絡(luò)維護主管及應(yīng)用項目經(jīng)理等其它企業(yè)形象，客戶關(guān)系等

4.2資產(chǎn)賦值保密性賦值根據(jù)資產(chǎn)在保密性上的不同要求，將其分為五個不同的等級，分別對應(yīng)資產(chǎn)在機密性上應(yīng)達成的不同程度或者機密性缺失時對整個組織的影響。資產(chǎn)機密性賦值表賦值標識定義5很高包含組織最重要的秘密，關(guān)系未來發(fā)展的前途命運，對組織根本利益有著決定性的影響，如果泄露會造成災(zāi)難性的損害4高包含組織的重要秘密，其泄露會使組織的安全和利益遭受嚴重損害3中等組織的一般性秘密，其泄露會使組織的安全和利益受到損害2低僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息，向外擴散有可能對組織的利益造成輕微損害1很低可對社會公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等完整性賦值根據(jù)資產(chǎn)在完整性上的不同要求，將其分為五個不同的等級，分別對應(yīng)資產(chǎn)在完整性上缺失時對整個組織的影響。資產(chǎn)完整性賦值表賦值標識定義5很高完整性價值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會對組織造成重大的或無法接受的影響，對業(yè)務(wù)沖擊重大，并可能造成嚴重的業(yè)務(wù)中斷，難以彌補。4高完整性價值較高，未經(jīng)授權(quán)的修改或破壞會對組織造成重大影響，對業(yè)務(wù)沖擊嚴重，較難彌補。3中等完整性價值中等，未經(jīng)授權(quán)的修改或破壞會對組織造成影響，對業(yè)務(wù)沖擊明顯，但可以彌補。

2低完整性價值較低，未經(jīng)授權(quán)的修改或破壞會對組織造成輕微影響，對業(yè)務(wù)沖擊輕微，容易彌補。1很低完整性價值非常低，未經(jīng)授權(quán)的修改或破壞對組織造成的影響可以忽略，對業(yè)務(wù)沖擊可以忽略。4.2.3可用性賦值根據(jù)資產(chǎn)在可用性上的不同要求，將其分為五個不同的等級，分別對應(yīng)資產(chǎn)在可用性上應(yīng)達成的不同程度。資產(chǎn)可用性賦值表賦值標識定義5很高可用性價值非常高，合法使用者對信息及信息系統(tǒng)的可用度達到年度99.9%以上，或系統(tǒng)不允許中斷。4高可用性價值較高，合法使用者對信息及信息系統(tǒng)的可用度達到每天90%以上，或系統(tǒng)允許中斷時間小于10分鐘。3中等可用性價值中等，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達到70%以上，或系統(tǒng)允許中斷時間小于30分鐘。2低可用性價值較低，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間達到25%以上，或系統(tǒng)允許中斷時間小于60分鐘。1很低可用性價值可以忽略，合法使用者對信息及信息系統(tǒng)的可用度在正常工作時間低于25%。4.2.4資產(chǎn)重要性等級資產(chǎn)價值應(yīng)依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級，經(jīng)過綜合評定得出。根據(jù)最終賦值將資產(chǎn)劃分為五級，級別越高表示資產(chǎn)越重要，確定重要資產(chǎn)的范圍，并主要圍繞重要資產(chǎn)進行下一步的風險評估。資產(chǎn)等級及含義描述

等級標識描述5很高非常重要，其安全屬性破壞后可能對組織造成非常嚴重的損失。4高重要，其安全屬性破壞后可能對組織造成比較嚴重的損失。3中比較重要，其安全屬性破壞后可能對組織造成中等程度的損失。2低不太重要，其安全屬性破壞后可能對組織造成較低的損失。1很低不重要，其安全屬性破壞后對組織造成導很小的損失，甚至忽略不計。4.2.5資產(chǎn)賦值表慌產(chǎn)箱號型號■w性可用性A-01踣ill站-1ciscoa&iou0uDM跆II壽￡平為MEII)132亶按機-1CATALYSTI0W133.WI交拋機-1GI5CCST1533A-05玄播機￡CISCOQMO2>111龍譏羊-1聯(lián)想料城SupErY-53161s■1A-07聯(lián)世陸域irrn-iiBO121如火弗-3M"iSeegate3600-F3—2>1KACFEE134A-llBPDL朋024A-12HPDL3SO2-1-1A-llPC-1HPXU62U1■1■1A-inPC-2HPXB62014五、威脅識別與分析對威脅來源（內(nèi)部/外部；主觀/不可抗力等）、威脅方式、發(fā)生的可能性，威脅主體的能力水平等進行列表分析。5.1威脅識別種類描述威脅子類軟硬件故障由于設(shè)備硬件故障、通訊鏈路中斷、系統(tǒng)本身或軟件設(shè)備硬件故障、傳輸設(shè)備故障、應(yīng)用軟件故障、數(shù)據(jù)庫軟件故障、開發(fā)環(huán)境故障。物理環(huán)境影響斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震等環(huán)境問題或自然災(zāi)害。無作為或操作失誤由于應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或無意地執(zhí)行了錯誤的操作，對系統(tǒng)造成的影響。維護錯誤、操作失誤管理不到位安全管理無法落實，不到位，造成安全管理不規(guī)范，或者管理混亂，從而破壞信息系統(tǒng)正常有序運行。惡意代碼和病毒具有自我復制、自我傳播能力，對信息系統(tǒng)構(gòu)成破壞的程序代碼。惡意代碼、木馬后門、網(wǎng)絡(luò)病毒、間諜軟件、竊聽軟件未授權(quán)訪問網(wǎng)絡(luò)資源、未授權(quán)訪通過采用一些措施，超越自己的權(quán)限訪問了本來無權(quán)問系統(tǒng)資源、濫用權(quán)限非正常修越權(quán)或濫用訪問的資源，或者濫用自己的職權(quán)，做出破壞信息系改系統(tǒng)配置或數(shù)據(jù)、濫用權(quán)限泄統(tǒng)的行為。露秘密信息網(wǎng)絡(luò)探測和信息采集、漏洞探測、利用工具和技術(shù)，如偵察、密碼破譯、安裝后門、嗅嗅探（賬戶、口令、權(quán)限等）用網(wǎng)絡(luò)攻擊探、偽造和欺騙、拒絕服務(wù)等手段，對信息系統(tǒng)進行戶身份偽造和欺騙、用戶或業(yè)務(wù)攻擊和入侵。數(shù)據(jù)的竊取和破壞、系統(tǒng)運行的控制和破壞物理攻擊通過物理的接觸造成對軟件、硬件、數(shù)據(jù)的破壞。物理接觸、物理破壞、盜竊泄密信息泄露給不應(yīng)了解的他人。內(nèi)部信息泄露、外部信息泄露篡改非法修改信息，破壞信息的完整性使系統(tǒng)的安全性降低或信息不可用。篡改網(wǎng)絡(luò)配置信息、篡改系統(tǒng)配置信息、篡改安全配置信息、篡改用戶身份信息或業(yè)務(wù)數(shù)據(jù)信息抵賴不承認收到的信息和所作的操作和交易。原發(fā)抵賴、接收抵賴、第三方抵賴威脅賦值等級標識定義5很高出現(xiàn)的頻率很高（或三1次/周）；或在大多數(shù)情況下幾乎不可避免；或可以證實經(jīng)常發(fā)生過。4高出現(xiàn)的頻率較高（或三1次/月）；或在大多數(shù)情況下很有可能會發(fā)生；或可以證實多次發(fā)生過。3中出現(xiàn)的頻率中等（或〉1次/半年）；或在某種情況下可能會發(fā)生；或被證實曾經(jīng)發(fā)生過。2低出現(xiàn)的頻率較小；或一般不太可能發(fā)生；或沒有被證實發(fā)生過。1很低威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生。六、脆弱性識別與分析6.1常規(guī)脆弱性6.1.1管理脆弱性6.1.2網(wǎng)絡(luò)脆弱性6.1.3系統(tǒng)脆弱性6.1.4應(yīng)用脆弱性6.1.5數(shù)據(jù)處理和存儲脆弱性6.1.6運行維護脆弱性6.1.7災(zāi)備與應(yīng)急響應(yīng)脆弱性6.1.8物理脆弱性6.2脆弱性專項檢測6.2.1木馬病毒專項檢查6.2.2滲透與攻擊性專項測試6.2.3關(guān)鍵設(shè)備安全性專項測試6.2.4設(shè)備采購和維保服務(wù)專項檢測6.2.5其他專項檢測電磁輻射、衛(wèi)星通信、光纜通信等6.2.6安全保護效果綜合驗證脆弱性識別內(nèi)容表類型識別對象識別內(nèi)容

技術(shù)脆弱性物理環(huán)境從機房場地、機房防火、機房供配電、機房防靜電、機房接地與防雷、電磁防護、通信線路的保護、機房區(qū)域防護、機房設(shè)備管理等方面進行識別。網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計、邊界保護、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進行識別。系統(tǒng)軟件（含操作系統(tǒng)及系統(tǒng)服務(wù)）從補丁安裝、物理保護、用戶賬號、口令策略、資源共享、事件審計、訪問控制、新系統(tǒng)配置（初始化）、注冊表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進行識別。數(shù)據(jù)庫軟件從補丁安裝、鑒別機制、口令機制、訪問控制、網(wǎng)絡(luò)和服務(wù)設(shè)置、備份恢復機制、審計機制等方面進行識別。應(yīng)用中間件從協(xié)議安全、交易完整性、數(shù)據(jù)完整性等方面進行識別。應(yīng)用系統(tǒng)從審計機制、審計存儲、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機制、密碼保護等方面進行識別。管理脆弱性技術(shù)管理從物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護、業(yè)務(wù)連續(xù)性等方面進行識別。組織管理從安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性等方面進行識別。七、風險分析7.1風險計算結(jié)果風險列表資產(chǎn)編號資產(chǎn)風險值資產(chǎn)名稱14學生用計