XX信息系统脆弱性分析报告.docx
- 文档编号:5608862
- 上传时间:2022-12-29
- 格式:DOCX
- 页数:66
- 大小:30.96KB
XX信息系统脆弱性分析报告.docx
《XX信息系统脆弱性分析报告.docx》由会员分享,可在线阅读,更多相关《XX信息系统脆弱性分析报告.docx(66页珍藏版)》请在冰豆网上搜索。
XX信息系统脆弱性分析报告
信息系统脆弱性调研报告
1脆弱性调研概述
脆弱性是指资产或资产组中能被威胁所利用的弱点,它包括物理环境、组织机构、业务流程、人员、管理、硬件、软件及通讯设施等各个方面,这些都可能被各种安全威胁利用来侵害一个组织机构内的有关资产及这些资产所支持的业务系统。
这些表现出来的各种安全薄弱环节自身并不会造成什么危害,它们只有在被各种安全威胁利用后才可能造成相应的危害。
某些目前看来不会导致安全威胁的弱点可理解为是可以容忍接受的,但它们必须被记录下来并持续改进,以确保当环境、条件发生变化时,这些弱点所导致的安全威胁不会被忽视,并能够控制在可以承受的范围内。
需要注意的是不正确的、起不到应有作用的或没有正确实施的安全保护措施本身就可能是一个安全薄弱环节。
在这一阶段,将针对每一项需要保护的信息资产,找出每一种威胁所能利用的脆弱性,并对脆弱性的严重程度进行调研,换句话说,就是对脆弱性被威胁利用的可能性进行调研,最终为其赋予相对的等级值。
在进行脆弱性调研时,提供的数据应该来自于这些资产的拥有者或使用者,以及来自于相关业务领域的专家以及软硬件信息系统方面的专业人员。
在本次调研中,将从基础环境、技术两个方面进行脆弱性调研。
其中在技术方面主要是通过远程和本地两种方式进行工具扫描、手工检查、渗透测试等方式进行调研,以保证脆弱性调研的全面性和有效性。
2资产脆弱性识别
在此次调研中,从基础环境脆弱性、技术脆弱性两个方面进行了脆弱性识别检查。
2.1基础环境脆弱性识别
基础环境脆弱性主要是对信息系统所处的物理环境即机房、线路、客户端的支撑设施等进行脆弱性识别,为后续脆弱性分析及综合风险分析提供参考数据。
查看的情况如下:
编号
查看内容
描述
判定结果
1
物理位置:
机房和办公场地选择在具有防震、防风和防雨等能力的建筑内。
机房和办公场地的环境条件能够满足信息系统业务需求和安全管理需求,具有8级防震、防风和防雨等能力;
肯定
2
物理访问控制:
a)机房出入口安排专人值守,鉴别进入的人员身份并登记在案;
b)需进入机房的来访人员经过申请和审批流程,并限制和监控其活动范围。
a)控制机房进出口有专人负责,有门禁系统;
b)机房值守人员认真执行有关机房出入的管理制度,对进入机房的人员记录在案,不存在专人值守之外的其他出入口;
c)机房安全管理制度悬挂在墙面,对机房出入方面有详细规定;
肯定
3
防盗窃和防破坏:
a)将主要设备放置在物理受限的范围内;
b)对设备或主要部件进行固定,并设置明显的不易除去的标记;
c)将通信线缆铺设在隐蔽处,如铺设在地下或管道中等;
d)主机房安装必要的防盗报警设施,以防进入机房的盗窃和破坏行为。
a)主要设备放置位置安全可控,设备或主要部件进行了固定和标记,通信线缆铺设在隐蔽处;对机房安装的防盗报警设施进行定期维护检查;
b)机房防盗报警设施正常运行,有运行和报警记录;
肯定
防雷击:
a)机房建筑设置避雷装置;
b)机房设置交流电源地线。
a)机房建筑设置了避雷装置,通过验收或国家有关部门的技术检测;机房计算机供电系统有交流电源地线;
b)机房计算机系统接地(符合GB50174-93《电子计算机机房设计规范》的要求;
肯定
防火:
机房设置灭火设备和火灾自动报警系统,并保持灭火设备和火灾自动报警系统的良好状态。
机房设置了灭火设备,设置了火灾自动报警系统,有人负责维护该系统的运行,制订了有关机房消防的管理制度和消防预案,进行了消防培训;
肯定
防静电:
关键设备采用必要的接地防静电措施。
a)关键设备采用必要的接地防静电措施;
b)机房不存在静电问题;
c)关键设备是有安全接地,机房不存在明显的静电现象。
肯定
温湿度控制:
机房设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。
a)机房配备了温湿度自动调节设施,保证温湿度能够满足计算机设备运行的要求,在机房管理制度中规定了温湿度控制的要求,
b)温湿度自动调节设施能够正常运行。
肯定
电力供应:
a)在机房供电线路上设置稳压器和过电压防护设备;
b)提供短期的备用电力供应(如:
UPS设备),至少满足关键设备在断电情况下的正常运行要求。
计算机系统供电线路上设置了稳压器和过电压防护设备;设置了短期备用电源设备如UPS,供电时间满足系统关键设备最低电力供应需求;
肯定
备注
物理基础环境调研,各方面措施规范完备。
2.2技术脆弱性识别
在此次调研中,主要采用安全扫描、手工检查、问卷调查、人工问询等方式对调研工作范围内的网络设备、主机系统及核心应用进行系统脆弱性识别。
通过识别小组和协调小组成员在现场的安全扫描、手工检查、问卷调查、人工问询识别出了当前的技术脆弱性如下:
2.2.1远程脆弱性识别
通过使用远程漏洞扫描工具对主机系统的检查分析,目前主机系统存在的脆弱性主要是由操作系统和应用支撑系统(数据库、IIS等)的安全配置缺陷,以及软件系统自身的设计缺陷(软件存在的漏洞等)所引起的。
对系统安全配置缺陷导致的脆弱性需要及时调整系统的安全配置策略;对软件设计缺陷导致的脆弱性需要及时更新补丁程序,如果无法更新补丁程序,可以通过其他安全措施进行保护以减少系统的脆弱性。
远程漏洞扫描输出的数据结果,将作为本地手工检查的补充数据,为分析主机系统技术脆弱性提供参考。
在实际分析中,远程漏洞扫描输出的结果和本地手工检查获取的结果基本一致。
关于本次远程脆弱性扫描的具体情况详见子报告:
《脆弱性抽样统计及分析报告》。
2.2.1.1网络设备类
2.2.1.1.1C6509A核心交换机(信息内网)
Ø日志审核策略:
记录内容不足,没有自动记录的日志主机。
Ø网络与服务安全:
有些服务没有停掉,开启的服务也没有进行安全配置。
如SNMP、STP、monitor、VLAN、TRUNK等,会为入侵者提供额外信息并增加未知隐患。
Ø备份和升级:
升级不及时,操作系统版本低有安全隐患。
2.2.1.1.2Fortigate1000A防火墙
Ø访问控制策略:
控制列表没有做任何限制的应用,对县局的接入无访问规则控制。
Ø安全配置检查:
启用了IPS功能对进出流量进行检查,但该防火墙长期未升级IPS规则库。
IPS功能虽然启用,但只能防御早期一些攻击方式。
Ø日志审核策略:
日志的存贮都在防火墙的电子盘上,没有相应的主机存储。
电子盘上能够存贮的日志有限。
Ø安全管理:
未制订发生故障或突发事件时的排查应对方案。
该防火墙仅用于做县局接入,没有真正起到安全设备的作用,给后面的NOKIA防火墙增加了安全负担。
2.2.1.1.3NOKIA防火墙
Ø访问控制策略:
针对端口的控制做的较为完备,对用户管理的力度细致。
Ø日志审核策略:
日志主机存在,但发现登陆失败。
系长期无人维护导致,可判定日志也无人查看。
Ø安全管理:
针对发生故障时的排查解决步骤和方法,未形成正式的方案文档。
无相应物理损害和其他故障的备份恢复策略,操作人员无相应的日志记录。
2.2.1.1.4华为S7806核心交换机(信息外网)
Ø访问控制策略:
没有任何访问控制列表,对所有流量一律放行。
开启了4个VLAN,实际只用到两个,其他VLAN没有关闭。
Ø安全配置检查:
外挂深信服上网行为管理设备,作旁路监听,只能起到审计作用,无法进行控制。
Ø日志审核策略:
无日志审核。
Ø安全管理:
未启用SSH服务。
针对发生故障时的排查解决步骤和方法,未形成正式的方案文档。
无相应物理损害和其他故障的备份恢复策略,操作人员无相应的日志记录。
2.2.1.2主机系统及核心应用类
2.2.1.2.1营配一体化数据库服务器
Ø系统补丁:
已安装了Windows2003SP2补丁,但后续发布的关键更新补丁没有完全安装,存在一定的安全隐患,应尽快更新补丁。
同时有关IE的更新补丁也应及时安装。
关于厂家发布的关键更新补丁,应定期跟踪查看并选择安装,从而起到预防潜在漏洞威胁的作用。
Ø账号和口令:
未启用账户口令策略,使用了默认Administator名称,没有对guest等用户进行更严格的限制,系统抗攻击能力偏低。
应更改默认名称,定期更换用户名和密码,使用强壮的密码安全策略等。
Ø网络与服务:
有一些不必要的服务也在运行,例如Telnet服务,建议关闭这些服务,防范安全隐患的发生。
检查中发现系统存在默认共享,这给攻击者提供了入侵系统的途径,同时也容易遭受病毒的危害,建议立即关闭默认共享,对需要共享的文件路径进行必要的访问权限控制,杜绝安全事件的发生。
Ø日志审核:
没有开启审核策略,日志均为默认配置,缺乏必要的审核追踪。
建议根据实际需要,完善日志审核策略,加强对日志记录事件的追踪分析。
Ø安全策略/访问控制:
对系统特定文件、目录的执行访问权限采用了默认设置,应有针对性的适当提高权限设置以防止被恶意使用;加强对远程访问注册表的权限管理;根据实际情况,尽快完善本地安全策略之中的安全配置选项;对服务器的I/O设备加强管理,不应未经允许随意使用(本地/远程都应禁止);对系统日志和注册表启动项应定期检查,对可疑事件要记录并追踪分析。
Ø数据库服务:
数据库应用设置基本上采用了默认配置,安全性较低,需整体加固。
2.2.1.2.2营配一体化应用服务器
Ø系统补丁:
已安装了Windows2003SP2补丁,但后续发布的关键更新补丁没有完全安装,存在一定的安全隐患,应尽快更新补丁。
同时有关IE和IIS的更新补丁也应及时安装。
关于厂家发布的关键更新补丁,应定期跟踪查看并选择安装,从而起到预防潜在漏洞威胁的作用。
Ø账号和口令:
默认的账户口令策略,使用了默认Administator名称,没有对guest等用户进行更严格的限制,系统抗攻击能力偏低。
应更改默认名称,定期更换用户名和密码,使用强壮的密码安全策略等。
Ø网络与服务:
有一些不必要的服务也在运行,例如Telnet服务,建议关闭这些服务,防范安全隐患的发生。
检查中发现系统存在默认共享,这给攻击者提供了入侵系统的途径,同时也容易遭受病毒的危害,建议立即关闭默认共享,对需要共享的文件路径进行必要的访问权限控制,杜绝安全事件的发生。
Ø日志审核:
没有开启审核策略,日志均为默认配置,缺乏必要的审核追踪。
建议根据实际需要,完善日志审核策略,加强对日志记录事件的追踪分析。
Ø安全策略/访问控制:
对系统特定文件、目录的执行访问权限采用了默认设置,应有针对性的适当提高权限设置以防止被恶意使用;加强对远程访问注册表的权限管理;根据实际情况,尽快完善本地安全策略之中的安全配置选项;对系统日志和注册表启动项应定期检查,对可疑事件要记录并追踪分析。
ØIIS服务:
补丁已安装了SP2,但后续发布的关键更新补丁没有安装。
Ø数据库服务:
数据库应用设置基本上采用了默认配置,安全性较低,需整体加固。
Ø安全管理:
针对物理损害或其他故障的备份恢复策略没有正式文档化。
没有对应各类操作过程的日志记录。
2.2.1.2.3生产MIS服务器
Ø系统补丁:
已安装了Win2000SP4,但后续发布的关键更新补丁没有安装。
服务器操作系统过于落后,建议与厂家协商升级系统。
同时有关IE和IIS的更新补丁也应及时安装。
关于厂家发布的关键更新补丁,应定期跟踪查看并选择安装,从而起到预防潜在漏洞威胁的作用。
Ø账号和口令:
默认的账户口令策略,使用了默认Administator名称,没有对guest等用户进行更严格的限制,系统抗攻击能力偏低。
应更改默认名称,定期更换用户名和密码,使用强壮的密码安全策略等。
Ø网络与服务:
有一些不必要的服务也在运行,例如Messenger,Telnet服务,建议关闭这些服务,防范安全隐患的发生。
检查中发现系统存在默认共享,这给攻击者提供了入侵系统的途径,同时也容易遭受病毒的危害,建议立即关闭默认共享,对需要共享的文件路径进行必要的访问权限控制,杜绝安全事件的发生。
Ø日志审核:
没有开启审核策略,日志均为默认配置,缺乏必要的审核追踪。
建议根据实际需要,完善日志审核策略,加强对日志记录事件的追踪分析。
Ø安全策略/访问控制:
对系统特定文件、目录的执行访问权限采用了默认设置,应有针对性的适当提高权限设置以防止被恶意使用;加强对远程访问注册表的权限管理;根据实际情况,尽快完善本地安全策略之中的安全配置选项;对系统日志和注册表启动项应定期检查,对可疑事件要记录并追踪分析。
ØIIS服务:
补丁已安装了SP4,但后续发布的关键更新补丁没有安装。
Ø数据库服务:
数据库应用设置基本上采用了默认配置,安全性较低,需整体加固。
Ø安全管理:
针对物理损害或其他故障的备份恢复策略没有正式文档化。
没有对应各类操作过程的日志记录。
2.2.1.2.4营配维护服务器
Ø系统补丁:
已安装了Windows2003SP2,但后续发布的关键更新补丁没有安装,存在一定的安全隐患,应尽快更新补丁。
同时有关IE的更新补丁也应及时安装。
关于厂家发布的关键更新补丁,应定期跟踪查看并选择安装,从而起到预防潜在漏洞威胁的作用。
Ø账号和口令:
默认的账户口令策略,系统抗攻击能力偏低。
应更改默认名称,定期更换用户名和密码,使用强壮的账户和密码安全策略等。
Ø网络与服务:
有一些不必要的服务也在运行,例如Telnet服务,建议关闭这些服务,防范安全隐患的发生。
检查中发现系统存在默认共享,这给攻击者提供了入侵系统的途径,同时也容易遭受病毒的危害,建议立即关闭默认共享,对需要共享的文件路径进行必要的访问权限控制,杜绝安全事件的发生。
Ø日志审核:
没有开启审核策略,日志均为默认配置,缺乏必要的审核追踪。
建议根据实际需要,完善日志审核策略,加强对日志记录事件的追踪分析。
Ø安全策略/访问控制:
对系统特定文件、目录的执行访问权限采用了默认设置,应有针对性的适当提高权限设置以防止被恶意使用;加强对远程访问注册表的权限管理;根据实际情况,尽快完善本地安全策略之中的安全配置选项;对系统日志和注册表启动项应定期检查,对可疑事件要记录并追踪分析。
Ø安全管理:
针对物理损害或其他故障的备份恢复策略没有正式文档化。
没有对应各类操作过程的日志记录。
2.2.1.2.5营财一体化服务器
Ø系统补丁:
已安装了SP4,但后续发布的关键更新补丁没有安装,存在一定的安全隐患,应尽快更新补丁。
同时有关IE和IIS的更新补丁也应及时安装。
关于厂家发布的关键更新补丁,应定期跟踪查看并选择安装,从而起到预防潜在漏洞威胁的作用。
Ø账号和口令:
默认的账户口令策略,没有对guest等用户进行更严格的限制,系统抗攻击能力偏低。
应更改默认名称,定期更换用户名和密码,使用强壮的密码安全策略等。
Ø网络与服务:
有一些不必要的服务也在运行,例如Telnet服务,建议关闭这些服务,防范安全隐患的发生。
检查中发现系统存在默认共享,这给攻击者提供了入侵系统的途径,同时也容易遭受病毒的危害,建议立即关闭默认共享,对需要共享的文件路径进行必要的访问权限控制,杜绝安全事件的发生。
Ø日志审核:
没有开启审核策略,日志均为默认配置,缺乏必要的审核追踪。
建议根据实际需要,完善日志审核策略,加强对日志记录事件的追踪分析。
Ø安全策略/访问控制:
对系统特定文件、目录的执行访问权限采用了默认设置,应有针对性的适当提高权限设置以防止被恶意使用;加强对远程访问注册表的权限管理;根据实际情况,尽快完善本地安全策略之中的安全配置选项;对系统日志和注册表启动项应定期检查,对可疑事件要记录并追踪分析。
Ø安全管理:
针对物理损害或其他故障的备份恢复策略没有正式文档化。
没有对应各类操作过程的日志记录。
2.2.1.2.6营财一体化数据库服务器
Ø系统补丁:
安装HP-UX操作系统后没有进行过更新。
关于厂家发布的关键更新补丁,应定期跟踪查看并选择安装,从而起到预防潜在漏洞威胁的作用。
Ø账号和口令:
合理配置应用帐号或用户自建帐号权限,删除系统中多余的自建帐号,修改弱口令帐号,确保系统帐号口令长度和复杂度满足安全要求,禁用或删除非root的超级用户。
禁止系统伪帐户登录,限制能够su为root的用户
Ø网络与服务:
关闭系统中不安全的服务,确保操作系统只开启承载业务所必需的网络服务和网络端口
Ø网络访问控制:
远程控制需有安全机制保证,限制能够访问本机的用户或IP地址。
须禁止root用户远程登陆。
关闭多余的远程管理方式
Ø审计:
配置操作系统的日志功能,使系统对用户登录、系统管理行为、入侵攻击行为等重要事件进行审计
Ø安全策略/访问控制:
配置系统重要文件的访问控制策略,严格限制访问权限(如读、写、执行),避免被普通修改和删除
2.2.1.2.7公司门户服务器
Ø系统补丁:
已安装了Windows2003SP2,但后续发布的关键更新补丁没有全部安装,存在一定的安全隐患,应尽快更新补丁。
同时有关IE和IIS的更新补丁也应及时安装。
关于厂家发布的关键更新补丁,应定期跟踪查看并选择安装,从而起到预防潜在漏洞威胁的作用。
Ø账号和口令:
默认的账户口令策略,没有对guest等用户进行更严格的限制,系统抗攻击能力偏低。
存在多余的不安全用户。
用户名应更改默认名称,定期更换用户名和密码,使用强壮的密码安全策略等。
Ø网络与服务:
检查中发现系统存在默认共享,这给攻击者提供了入侵系统的途径,同时也容易遭受病毒的危害,建议立即关闭默认共享,对需要共享的文件路径进行必要的访问权限控制,杜绝安全事件的发生。
Ø日志审核:
没有开启审核策略,日志均为默认配置,缺乏必要的审核追踪。
建议根据实际需要,完善日志审核策略,加强对日志记录事件的追踪分析。
Ø安全策略/访问控制:
对系统特定文件、目录的执行访问权限采用了默认设置,应有针对性的适当提高权限设置以防止被恶意使用;加强对远程访问注册表的权限管理;根据实际情况,尽快完善本地安全策略之中的安全配置选项;对系统日志和注册表启动项应定期检查,对可疑事件要记录并追踪分析。
Ø安全管理:
针对物理损害或其他故障的备份恢复策略没有正式文档化。
没有对应各类操作过程的日志记录。
2.2.1.2.8办公自动化服务器
Ø系统补丁:
已安装了Windows2003SP2,但后续发布的关键更新补丁没有安装,存在一定的安全隐患,应尽快更新补丁。
同时有关IE和IIS的更新补丁也应及时安装。
关于厂家发布的关键更新补丁,应定期跟踪查看并选择安装,从而起到预防潜在漏洞威胁的作用。
Ø账号和口令:
默认的账户口令策略,没有对guest等用户进行更严格的限制,系统抗攻击能力偏低。
应更改默认名称,定期更换用户名和密码,使用强壮的密码安全策略等。
Ø网络与服务:
检查中发现系统存在默认共享,这给攻击者提供了入侵系统的途径,同时也容易遭受病毒的危害,建议立即关闭默认共享,对需要共享的文件路径进行必要的访问权限控制,杜绝安全事件的发生。
Ø日志审核:
没有开启审核策略,日志均为默认配置,缺乏必要的审核追踪。
建议根据实际需要,完善日志审核策略,加强对日志记录事件的追踪分析。
Ø安全策略/访问控制:
对系统特定文件、目录的执行访问权限采用了默认设置,应有针对性的适当提高权限设置以防止被恶意使用;加强对远程访问注册表的权限管理;根据实际情况,尽快完善本地安全策略之中的安全配置选项;对系统日志和注册表启动项应定期检查,对可疑事件要记录并追踪分析。
Ø安全管理:
针对物理损害或其他故障的备份恢复策略没有正式文档化。
没有对应各类操作过程的日志记录。
2.2.1.2.9财务服务器
Ø系统补丁:
共三台服务器,其中两台操作系统为Windows2000,系统补丁更新至SP4,另一台为Windows2003SP2,系统补丁更新至SP2,以后的补丁均没有更新。
同时有关IE和IIS的更新补丁也应及时安装。
应用系统均采用远光财务管理系统,关于厂家发布的关键更新补丁,应定期跟踪查看并选择安装,从而起到预防潜在漏洞威胁的作用。
Ø账号和口令:
默认的账户口令策略,没有对guest等用户进行更严格的限制,系统抗攻击能力偏低。
应更改默认名称,定期更换用户名和密码,使用强壮的密码安全策略等。
Ø网络与服务:
有一些不必要的服务也在运行,例如Messenger,Telnet,RemoteRegistry服务,建议关闭这些服务,防范安全隐患的发生。
检查中发现系统存在默认共享,这给攻击者提供了入侵系统的途径,同时也容易遭受病毒的危害,建议立即关闭默认共享,对需要共享的文件路径进行必要的访问权限控制,杜绝安全事件的发生。
Ø日志审核:
没有开启审核策略,日志均为默认配置,缺乏必要的审核追踪。
建议根据实际需要,完善日志审核策略,加强对日志记录事件的追踪分析。
Ø安全策略/访问控制:
对系统特定文件、目录的执行访问权限采用了默认设置,应有针对性的适当提高权限设置以防止被恶意使用;加强对远程访问注册表的权限管理;根据实际情况,尽快完善本地安全策略之中的安全配置选项;对系统日志和注册表启动项应定期检查,对可疑事件要记录并追踪分析。
Ø安全管理:
针对物理损害或其他故障的备份恢复策略没有正式文档化。
没有对应各类操作过程的日志记录。
2.2.1.2.10物资管理服务器
Ø系统补丁:
已安装了SP4,但后续发布的关键更新补丁没有安装,存在一定的安全隐患,应尽快更新补丁。
同时有关IE和IIS的更新补丁也应及时安装。
关于厂家发布的关键更新补丁,应定期跟踪查看并选择安装,从而起到预防潜在漏洞威胁的作用。
Ø账号和口令:
默认的账户口令策略,没有对guest等用户进行更严格的限制,系统抗攻击能力偏低。
应更改默认名称,定期更换用户名和密码,使用强壮的密码安全策略等。
Ø网络与服务:
有一些不必要的服务也在运行,例如Telnet服务,建议关闭这些服务,防范安全隐患的发生。
检查中发现系统存在默认共享,这给攻击者提供了入侵系统的途径,同时也容易遭受病毒的危害,建议立即关闭默认共享,对需要共享的文件路径进行必要的访问权限控制,杜绝安全事件的发生。
Ø日志审核:
没有开启审核策略,日志均为默认配置,缺乏必要的审核追踪。
建议根据实际需要,完善日志审核策略,加强对日志记录事件的追踪分析。
Ø安全策略/访问控制:
对系统特定文件、目录的执行访问权限采用了默认设置,应有针对性的适当提高权限设置以防止被恶意使用;加强对远程访问注册表的权限管理;根据实际情况,尽快完善本地安全策略之中的安全配置选项;对系统日志和注册表启动项应定期检查,对可疑事件要记录并追踪分析。
Ø远方V6:
无法对用户和口令进行设置策略,没有审计功能,
Ø安全管理:
针对物理损害或其他故障的备份恢复策略没有正式文档化。
没有对应各类操作过程的日志记录。
3脆弱性分析
在脆弱性识别的基础上,进一步分析信息系统及其关键资产所存在的各方面脆弱性,即基础环境脆弱性、技术脆弱性。
并依据其脆弱性被利用的难易程度和被成功利用后所产生的影响进行赋值量化。
3.1资产脆弱性的调研方法
资产脆弱性调研,主要是根据在这一阶段进行的资产脆弱性调查结果调研的。
在资产脆弱性调查中,首先进行了管理脆弱性问卷的调查,发现整个系统在管理方面弱点,然后对调研的所有主机和网络设备进行了工具扫描和手动检查,对各资产的系统漏洞和安全策略缺陷进行了调查。
最后对收集到的各资产的管理和技术脆弱性数据进行综合分析。
根据赋值准则,我们对资产组脆弱性使用综合脆弱性来衡量。
综合脆弱性代表了两层含义:
一是脆弱性被成功利用后所产生的影响;二是脆弱性能够被利用的难易程度。
两者的综合即为该资产组的综合脆弱性。
参考如下:
Ø脆弱性被利用的难易程度
权值
描述
1
此种脆弱性被利用的难度极大几乎不可能被利用
2
此种脆弱性被利用的难度较大
3
此种脆弱性被利用的难度一般
4
此种脆弱性被利用的难度较小
5
此种脆弱性被利用的难度非
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- XX 信息系统 脆弱 分析 报告