附件3:资产类型与赋值表
针对每一个系统或子系统,单独建表
类别
| 项目
| 子项
| 资产编号
| 资产名称
| 资产权重
| 赋值说明
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
附件4:威胁赋值表
资产名称
| 编号
| 威胁
| 总分值
| 威胁等级
| 操作失误
| 滥用授权
| 行为抵赖
| 身份假冒
| 口令攻击
| 密码分析
| 漏洞利用
| 拒绝服务
| 恶意代码
| 窃取数据
| 物理破坏
| 社会工程
| 意外故障
| 通信中断
| 数据受损
| 电源中断
| 灾害
| 管理不到位
| 越权使用
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
附件5:脆弱性分析赋值表
编号
| 检测项
| 检测子项
| 脆弱性
| 作用对象
| 赋值
| 潜在影响
| 整改建议
| 标识
| 1
| 管理脆弱性检测
| 机构、制度、人员
| | | | |
| V1
| 安全策略
| | | | |
| V2
| 检测与响应脆弱性
| | | | |
| V3
| 日常维护
| | | | |
| V4
| ……
| | | | |
| V5
| 2
| 网络脆弱性检测
| 网络拓扑及结构脆弱性
| | | | |
| V6
| 网络设备脆弱性
| | | | |
| V7
| 网络安全设备脆弱性
| | | | |
| V8
| ……
| | | | |
| V9
| 3
| 系统脆弱性检测
| 操作系统脆弱性
| | | | |
| V10
| 数据库脆弱性
| | | | |
| V11
| ……
| | | | |
| V12
| 4
| 应用脆弱性检测
| 网络服务脆弱性
| | | | |
| V13
| ……
| | | | |
| V14
| 5
| 数据处理和存储脆弱性
| 数据处理
| | | | |
| V15
| 数据存储脆弱性
| | | | |
| V16
| ……
| | | | |
| V17
| 6
| 运行维护脆弱性
| 安全事件管理
| | | | |
| V18
| ……
| | | | |
| V19
| 7
| 灾备与应急响应脆弱性
| 数据备份
| | | | |
| V20
| 应急预案及演练
| | | | |
| V21
| ……
| | | | |
| V22
| 8
| 物理脆弱性检测
| 环境脆弱性
| | | | | | V23
| 设备脆弱性
| | | | |
| V24
| 存储介质脆弱性
| | | | |
| V25
| ……
| | | | |
| V26
| ……
| | | | |
| V27
| 9
| 木马病毒检测
| 远程控制木马
| | | | |
| V28
| 恶意插件
| | | | |
| V29
| ……
| | | | |
| V30
| 10
| 渗透与攻击性检测
| 现场渗透测试
| 办公区
| | | | | | V31
| 生产区
| | | | | | V32
| 服务区
| | | | | | V33
| 跨地区
| | | | | | V34
| 远程渗透测试
| | | | |
| V35
| 11
| 关键设备安全性专项检测
| 关键设备一
| | | | |
| V36
| 关键设备二
| | | | |
| V37
| ……
| | | | |
| V38
| 12
| 设备采购和维保服务
| 设备采购环节
| | | | |
| V39
| 维护环节
| | | | |
| V40
| ……
| | | | |
| V41
| 13
| 其他检测
| ……
| | | | |
| V42
|
第 [1] [2] [3] [4] [5] 页 共[6]页 |
