《威胁评估报告模板.docx》由会员分享,可在线阅读,更多相关《威胁评估报告模板.docx(21页珍藏版)》请在课桌文档上搜索。
1、上海观安信息技术股份有限公司威胁评估报告模板TSC-RA-4-11本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属上海观安信息技术股份有限公司和客户公司所有,受到有关产权及版权法保护。任何个人、机构未经上海观安信息技术股份有限公司和客户公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。修订历史记录版本号拟制人/修改人拟制/修改日期审批人更改原因主要更改内容(写要点即可)VI.O陈芳2019-10-26李俊定稿目录文档信息错误!未定义书签。适用范围错误!未定义书签。版权信息错误!未定义书签。目录31. 威胁评估概述42. 威胁评估范围43.
2、 威胁调查43.1.网络结构43.2.网络接入53.3.网络访问63.4.网络事件63.4.1内网服务器域出口错误!未定义书签。3.4.2安全事件调查73. 5.问卷调查94. 6.日志分析115. 威胁评估124. 1.威胁识别125. 2.威胁分析136. 威胁评估总结20L威胁评估概述威胁是指可能对资产或组织造成损害事故的潜在原因。威胁可能源于对信息系统直接或间接的攻击,也可能源于偶发的或蓄意的内部、外部事件。威胁只有利用系统存在的脆弱点才能对系统造成影响和伤害,形成风险。作为风险评估的重要因素,威胁是一个客观存在的事物,无论对于多么安全的信息系统,它都存在安全威胁。因此,首先要对组织需
3、要保护的关键资产进行威胁识别。根据资产所处的环境条件、资产以前遭受威胁、资产目前存在的威胁情况来判断威胁的可能性。同时还要识别出威胁由谁什么事物引发,即确认威胁的主体和客体,然后还要识别出威胁的主要方式。本次威胁调查主要通过调查问卷、数据采样分析、现场观察、问询等方式对XXX(客户名称)信息系统进行提取威胁评估需要的相关信息。2 .威胁评估范围依据XXX(客户名称)信息系统安全评估需求,本次对XXX(客户名称)信息系统进行威胁识别调查,主要对XXX(客户名称)信息系统所涉及的重要资产(服务器、网络设备、安全设备等)进行威胁分析和评估。3 .威胁调查为了便于威胁识别(识别威胁主体、威胁途径、威胁
4、人员),需要对XXX(客户名称)信息系统所处的网络进行了威胁识别调查,本次主要对网络结构、网络访问、网络接入的现状进行调查,以便理解XXX(客户名称)信息系统面临的威胁。3.1. 网络结构为了解(客户名称)信息系统运行的网络环境、访问的边界、接入边界等相关信息,需要对网络整体结构的进行详细调查,这些相关信息可以为威胁分析和识别提供帮助。XXX(客户名称)信息系统网络结构如下:(注:根据客户实际网络情况描述)3.2. 网络接入为了了解和分析威胁源可能的入侵路径,需要对xxx(客户名称)信息系统网络的接入点进行调查。如XXX(客户名称)信息系统网络结构图所示,目前XXX(客户名称)信息系统网络接入
5、状况如下:(注:根据客户实际网络情况描述)接入的网络网络访问接入设备互联网社会公众通过互联网访问XXX(客户名称)外网网站系统和邮件系统XXX政务外网政务外网人员通过政务外网访问XXX(客户名称)外网网站系统和邮件系统XXX内网XXX(客户名称)工作人员访问内网0A、档案管理和内网网站系统XXXW购;!威胁评估报告3.3. 网络访问为了了解人员能够或者可能通过网络接触或直接接触到XXX(客户名称)信息系统。需要根据网络的物理接入情况调查XXX(客户名称)信息系统网络的目前的访问状况。根据XXX(客户名称)信息系统的应用,目前能够或者可能通过网络接触或直接接触到XXX(客户名称)信息系统的人员如
6、下:(注:根据客户实际网络情况描述) 互联网用户 政务外网人员 XXX(客户名称)内部人员 第三方人员3.4.网络事件为了了解和分析威胁源可能的入侵行为,对XXX(客户名称)信息系统网络中所发生的事件进行取样分析。统计结果如下:3.4.1数据采样此处根据IDS采样结果或抓包软件采样分析结果描述事件类型事件名称源IP目标IP目的端口风险级别应用服务事件FTPRETR读命令xx.xx.xx.xxxx.xx.xx.xxxx.xx.xx.xxxx.xx.xx.xxxx.xx.xx.xxxx.xx.xx.xxxx.xx.xx.xx21低可疑行为FTP空口令登录xx.xx.xx.xxxx.xx.xx.xx
7、xx.xx.xx.xxxx.xx.xx.xx21中协议连接事件FTP连接关闭xx.xx.xx.xxxx.xx.xx.xxxx.xx.xx.xxxx.xx.xx.xx21低应用服务事件FTP匿名登录anonymous用户xx.xx.xx.xxxx.xx.xx.xxxx.xx.xx.xxxx.xx.xx.xx21中协议连接事件FTP数据连接关闭xx.xx.xx.xxxx.xx.xx.xxxx.xx.xx.xxxx.xx.xx.xx20低可疑行为ICMP目的主机不可到达xx.xx.xx.xxxx.xx.xx.xxxx.xx.xx.xxxx.xx.xx.xx中可疑行为ICMPping请求xx.xx.x
8、x.xxxx.xx.xx.xxxx.xx.xx.xxxx.xx.xx.xx低非授权访问IIS5.0Translate头标记源码泄露漏洞攻击xx.xx.xx.xxxx.xx.xx.xxxx.xx.xx.xxxx.xx.xx.xx高嗅探MSSQLSQLcandy扫描xx.xx.xx.xxxx.xx.xx.xx高嗅探MSSQL连接xx.xx.xx.xxxx.xx.xx.xx低协议连接事件MSSQL连接关闭xx.xx.xx.xxxx.xx.xx.xxxx.xx.xx.xxxx.xx.xx.xx4587低拒绝服务TCPACK洪水攻击xx.xx.xx.xxxx.xx.xx.xxxx.xx.xx.xxxx.
9、xx.xx.xx1159中拒绝服务TCPSYN过多xx.xx.xx.xxxx.xx.xx.xxxx.xx.xx.xxxx.xx.xx.xx80中拒绝服务TerminalServer拒绝服务漏洞攻击xx.xx.xx.xxxx.xx.xx.xxxx.xx.xx.xxxx.xx.xx.xx3389中3.4.2安全事件调查(注:根据客户实际网络情况描述)口没有次/年口2次/年口3次以上/年是否发生过安全事件口不清楚安全事件说明:发生过安全事件发生的安全事件类型(多选)感染病毒/蠕虫/特洛伊木马程序口拒绝服务攻击口端口扫描攻击口数据窃取口破坏数据或网络口篡改网页口垃圾邮件口内部人员有意破坏口内部人员滥用
10、网络端口、系统资源:P2P占用大量互联网带宽口网络诈骗和盗窃口其他其它说明:1、网管中心UPS掉电,导致服务器重启如何发现安全事件(多选)J网络(系统)管理员工作监测发现口通过事后分析发现J通过安全产品发现J有关部门通知或意外发现J他人告知其他其他说明:安全事件造成影响评估口非常严重J严重口一般口比较轻微轻微口无法评估;可能的攻击来源内部口外部口都有病毒口其他原因口不清楚攻击来源说明:大部分为内部病毒造成,曾经发生过主动攻击导致发生网络安全事件的可能原因。未修补或防范软件漏洞口网络或软件配置错误口登录密码过于简单或未修改J缺少访问控制口攻击者使用拒绝服务攻击口攻击者利用软件默认设置口利用内部用
11、户安全管理漏洞或内部人员作案口内部网络违规连接互联网口攻击者使用欺诈方法口不知原因其他其它说明:发现网络安全事件后采取的措施(多选)口向公安机关报案口向上级业务主管部门报告口请网络安全服务单位协助解决请网络开发维护单位协助解决请网络安全事件应急响应组织解决自行解决口未采取任何措施其他其它说明:目前使用了哪些网络安全产品(多选)防火墙口计算机病毒防治产品J入侵检测口内外网络连接物理隔离器或逻辑隔离器口身份鉴别产品口访问控制口信息内容过滤产品安全审计远程监控J网络漏洞扫描器口文件系统保护虚拟专用网络口防雷保安器口数据存储设备J数据备份(个别应用有数据备份)口系统故障恢复口其他其它说明:目前采取了哪
12、些安全管理和技术措施(多选) 口令加密文件加密口使用审计监控软件口用户权限控制口存储备份系统口移动存储器管理口制定安全管理规章制度(正在完善)口制定安全事件应急处置预案和措施 建立安全组织确定安全责任人 PKI安全机制数据传输安全身份认证(用户名/口令)网络访问控制J机房物理访问控制口其他其它说明:安全检查、系统升级和打补丁程序情况每月口每季度口半年口很少口从不网络安全管理人员情况口建立网络安全组织J有专职人员负责口有兼职人员负责请社会提供安全服务无口其他其它说明:网络安全服务的需求(多选)口有效抵御网络安全事件口及时响应口组织专业培训口及时提供安全预警信息口其他其它说明:3.5.问卷调查(注
13、:根据客户实际网络情况描述)编号调查项目调查结果基础运行环境状况1机房是否有火灾监测系统、灭火系统等物理安全设施?是2机房是否有电力保障系统?是3机房是否有温度监测与控制系统?是4机房是否有湿度监测与控制系统?是5机房是否采取防静电措施?是6机房是否设置电磁屏蔽系统?否7设备是否固定在机架上?是8是否对所有的物理访问(包括工作人员)进行记录?访问记录的采取什么形式?有纸质文档9访问记录长期保存吗?进行安全存放吗?专人保存是10上班时间,机房是否会出现无人值守的状况?否11机房无人时,是否对门窗上锁?是12有关设备配置和功能描述文档是否容易被不相干人员获得?否13内部人员通讯录是否容易被不相干人
14、员获得?看14工作环境(尤其是重要设备机房)是否放置了易燃易爆的危险品?如果有,采取何种方式放置和保护?否15备份设备及备份介质是否与主设备放置在一起?是16处理敏感数据的信息处理及储存设备是否已放置好,以减少外部远距离物理袭击的风险?/17机构是否制定了针对在信息处理设备附近饮食及吸烟等行为控制规范?是18连接信息处理设备的电力及电讯电缆线路是否放在地下或地板下面?是19网络布线是否受到保护,不要被非法截取或被破坏?是20纸张及计算机介质不用时,特别是在规定工作时间之外,是否储存在了合适的能够上锁的柜子之内及/或其他安全的地方?否21敏感或重要的业务信息文档在不需要时,特别是办公室没人时,是
15、否被锁起(最好是放在防火的保险柜)否22任何设备都不应在用户已登陆状态下被搁置一旁,是否强制实施了这样的策略?否访问控制安全1工作环境(尤其是设备机房)是否有闭路电视监控系统?是2工作环境(尤其是设备机房)是否设置专门的会客室?是3进入工作环境(尤其是设备机房)的客人是否有人监督,他们进入及离开的时间是否都有记录?是4第三方的支持服务人员进入工作环境(尤其是设备机房)时要经过什么样的手续或流程?签字审批5设备机柜是否加锁?进入机房的人是否可以随意接触设备,比如接触reset按钮?是否6重要设备可否被他人通过键盘Ctr+lt+Del重新启动?否7系统在设定时间内无人操作时,是否会自动锁定?是事故
16、响应预处理能力和流程1是否考虑过针对工作场所附近发生的灾难的防范和应急措施,例如火灾、房顶漏水,地下层渗水、街道发生爆炸等灾难?是2是否只有授权的维护人员才可以修理重要设备?/3任何故障以及防范和改正措施是否都得到了记录?/4出现物理事故是否需要进行汇报?如何进行汇报?/安全区域1是否对重要的业务系统和信息处理设施周围进行了安全区域划分?是2是否对安全周界进行了清晰地定义?/3是否对安全区域的访问进行了严格的访问控制?/4是否制定了在安全区域工作的相应安全规章制度?/设备的安全1重要设备(如:服务器、交换机、防火墙等)的放置是否进行了安全考虑,采用了那些安全措施?否2重要设备(如:服务器、交换
17、机、防火墙等)是否有不间断的供电系统。是3重要设备是否有维护计划、措施和程序,以确保它的连续的可用性和完整性?否4对设备的随意处置或重新使用是否制定相应的措施和操作规程?否5对安全设备的增加和投入使用是否有相应的审批、审查程序?是6重要设备是否严格指定了管理负责人员?是3. 6.日志分析(注:根据客户实际网络情况描述)对象日志内容事件分析1.XXX服务器X日-X日的系统日志中出现多次服务器意外关机事件,错误信息为“服务器对于某项系统服务的调用在意外情况下宣告失败。”经分析服务器SlCl控制器出现故障,导致系统无法保持与磁盘系统的连接,造成服务器当机。属硬件故障。2.XXX服务器X日22点以后安
18、全日志中出现24次用户登录失败记录,查看发现为同经分析发现登录地址来自内网,可能存在内部恶意人员暴一登录点的用户用不同用户名尝试登录服务器力破解攻击服务器或该终端中病毒、木马成僵尸电脑。3.XXX防火墙X日日志中发现有来自外部的蠕虫攻击事件属来自互联网人员的网络攻击4.4.威胁评估本次威胁的评估是依据威胁识别的网络状况、安全事件、安全威胁的结果为参考依据,并通过威胁评估方法对重要资产进行威胁评估。4. 1.威胁识别威胁识别的任务主要是识别可能的威胁主体(威胁源)、威胁途径和威胁方式,威胁主体是指可能会对信息资产造成威胁的主体对象,威胁方式是指威胁主体利用脆弱性的威胁形式,威胁主体会采用威胁方法
19、利用资产存在的脆弱性对资产进行破坏。威胁主体:分为人为因素和环境因素。根据威胁的动机,人为因素又可分为恶意和非恶意两种。环境因素包括自然灾害和设施故障。威胁途径:分为间接接触和直接接触,间接接触主要有网络访问、语音、视频访问等形式,直接接触指威胁主体可以直接物理接触到信息资产。威胁方式:主要有传播计算机病毒、传播异常信息(垃圾邮件、反动、色情、敏感信息)、扫描监听、网络攻击(后门、漏洞、口令、拒绝服务等)、越权或滥用、行为抵赖、滥用网络资源(P2P下载等)、人为灾害(水、火等)、人为基础设施故障(电力、网络等)、窃取、破坏硬件、软件和数据等。XXX(客户名称)信息系统威胁识别结果如下:威胁主体
20、威胁途径威胁方式人员威胁互联网用户互联网间接接触传播计算机病毒、传播异常信息(垃圾邮件、反动、色情、敏感信息)、扫描监听、网络攻击(后门、漏洞、口令、拒绝服务等)威胁主体威胁途径威胁方式政务外网人员政务外网间接接触传播计算机病毒、传播异常信息(垃圾邮件、反动、色情、敏感信息)、扫描监听、网络攻击(后门、漏洞、口令、拒绝服务等)XXX(客户名称)内部人员内网接入间接接触,直接接触传播计算机病毒、传播异常信息(垃圾邮件、反动、色情、敏感信息)、扫描监听、网络攻击(后门、漏洞、口令、拒绝服务等)、越权或滥用、行为抵赖、滥用网络资源(P2P下载等)、人为灾害(水、火等)、人为基础设施故障(电力、网络等
21、)、窃取、破坏硬件、软件和数据等第二万人贝内网接入间接接触,直接接触传播计算机病毒、传播异常信息(垃圾邮件、反动、色情、敏感信息)、扫描监听、网络攻击(后门、漏洞、口令、拒绝服务等)、滥用网络资源(P2P下载等)、人为灾害(水、火等)、人为基础设施故障(电力、网络等)、窃取、破坏硬件、软件和数据等环境威胁自然灾害直接作用水灾、地震灾害、地质灾害、气象灾害、自然火灾设施故障直接作用电力故障、外围网络故障、其他外围保障设施故障、软件自身故障、硬件自身故障4.2. 威胁分析威胁识别工作完成之后,我们将对资产所对应的威胁进行评估,我们将威胁的权值分为1-5五个级别,等级越高威胁发生的可能性越大。威胁的
22、权值主要是根据多年的经验积累或类似行业客户的历史数据来确定。对于那些没有经验和历史数据的威胁,我们主要根据资产的吸引力、威胁的技术力量、脆弱性被利用的难易程度等制定了一套标准对应表,以保证威胁等级赋值的有效性和一致性。根据赋值准则,我们对威胁发生的可能性用频率来衡量赋值:等级标识定义5很高出现的频率很高(或Nl次/周);或在大多数情况下几乎不可避免;或可以证实经常发生过。4高出现的频率较高(或NI次/月);或在大多数情况下很有可能会发生;或可以证实多次发生过。3中出现的频率中等(或1次/半年);或在某种情况下可能会发生;或被证实曾经发生过。2低出现的频率较小;或一般不太可能发生;或没有被证实发
23、生过。1很低威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生。4.3.1.人员威胁威胁主体威胁意向威胁途径威胁方式事件威胁等级标识互联网用户恶意互联网接入传播计算机病毒/2低传播异常信息(垃圾邮件、反动、色情、敏感信息)/2低扫描监听/2低网络攻击(后门、漏洞、口令、拒绝服务等)防火墙日志中存在很多蠕虫攻击记录5很高越权或滥用/2低行为抵赖/2低无意互联网接入传播计算机病毒/3中传播异常信息(垃圾邮件、反动、色情、敏感信息)/2低扫描监听/2低网络攻击(后门、漏洞、口令、拒绝服务等)/2低政务外网人员恶意政务外网接入传播计算机病毒/2低传播异常信息(垃圾邮件、反动、色情、敏感信息)/2低
24、扫描监听/2低网络攻击(后门、漏洞、口令、拒绝服务等)/2低威胁主体威胁意向威胁途径威胁方式事件威胁等级标识越权或滥用/2低行为抵赖/2低无意政务外网接入传播计算机病毒/2低传播异常信息(垃圾邮件、反动、色情、敏感信息)/2低扫描监听/2低网络攻击(后门、漏洞、口令、拒绝服务等)/2低XXX(客户名称)内部人员恶意内网接入,直接接触传播计算机病毒/2低传播异常信息(垃圾邮件、反动、色情、敏感信息)/2低扫描监听/2低网络攻击(后门、漏洞、口令、拒绝服务等)XXX服务器日志中存在内网用户暴力破解攻击记录5很高越权或滥用/2低行为抵赖/2低滥用网络资源(P2P下载等)/2低无意内网接入,直接接触人
25、为灾害(水、火等)/2低人为基础设施故障(电力、网络等)/2低威胁方式事件威胁等级标识窃取、破坏硬件、软件和数据/2低传播计算机病毒/2很高传播异常信息(垃圾邮件、反动、色情、敏感信息)/2低扫描监听/2低网络攻击(后门、漏洞、口令、拒绝服务等)/2低第三方人员恶意内网接入,直接接触人为灾害(水、火等)/2低人为基础设施故障(电力、网络等)/2低遗失(硬件、软件、数据)/2低破坏硬件、软件、数据/2低滥用网络资源/2低人为灾害(水、火等)/2低人为基础设施故障(电力、网络等)/2低窃取、破坏硬件、软件和数据/2低无意内网接入,直接接触传播计算机病毒/2低传播异常信息(垃圾邮件、反动、色情、敏感
26、信息)/2低威胁主体威胁意向威胁途径威胁方式事件威胁等级标识扫描监听/2低网络攻击(后门、漏洞、口令、拒绝服务等)/2低人为灾害(水、火等)/2低人为基础设施故障(电力、网络等)/2低遗失(硬件、软件、数据)/2低破坏硬件、软件、数据/2低滥用网络资源/2低4.3.2环境威胁威胁主体威胁途径威胁方式事件威胁等级标识自然灾害直接作用水灾/1很低地震灾害/1很低地质灾害/1很低气象灾害/1很低自然火灾/1很低设施故障直接作用电力故障/2低外围网络故障/2低威胁主体威胁途径威胁方式事件威胁等级标识其他外围保隙设施故障/2低软件自身故障/2低硬件自身故障XXX服务器SCSl控制器故障3中5.威胁评估总结通过对XXX(客户名称)信息系统的威胁识别、分析和评估,目前XXX(客户名称)信息系统面临的主要威胁来自于人员威胁和环境威胁,威胁方式主要有计算机病毒、电力故障等其中等级较高的威胁(等级23)其主体主要是无意的内部办公人员威胁和环境威胁。这些发生机率较高的威胁主体有可能会成为XXX(客户名称)信息系统的威胁对象,因此建议在XXX(客户名称)信息系统安全建设中要严格对发生机率较高的威胁进行合理的控制。对于其他威胁也要密切注意其发展趋,防止其由低等级发展成高等级威胁。
