信息安全风险评估报告.doc
《信息安全风险评估报告.doc》由会员分享,可在线阅读,更多相关《信息安全风险评估报告.doc(18页珍藏版)》请在启牛文库网上搜索。
1、 1111 单位:1111 系统安全项目 信息信息安全安全风险风险评估评估报告报告 我们单位名我们单位名 日期 报告编写人:日期:批准人:日期:版本号:第一版本 日期 第二 版本 日期 终板 目目 录录 1 概述概述.5 1.1 项目背景.5 1.2 工作方法.5 1.3 评估范围.5 1.4 基本信息.5 2 业务系统分析业务系统分析.6 2.1 业务系统职能.6 2.2 网络拓扑结构.6 2.3 边界数据流向.6 3 资产分析资产分析.6 3.1 信息资产分析.6 3.1.1 信息资产识别概述.6 3.1.2 信息资产识别.7 4 威胁分析威胁分析.7 4.1 威胁分析概述.7 4.2 威
2、胁分类.8 4.3 威胁主体.8 4.4 威胁识别.9 5 脆弱性分析脆弱性分析.9 5.1 脆弱性分析概述.9 5.2 技术脆弱性分析.10 5.2.1 网络平台脆弱性分析.10 5.2.2 操作系统脆弱性分析.10 5.2.3 脆弱性扫描结果分析.11 5.2.3.1 扫描资产列表.11 5.2.3.2 高危漏洞分析.11 5.2.3.3 系统帐户分析.11 5.2.3.4 应用帐户分析.11 5.3 管理脆弱性分析.12 5.4 脆弱性识别.13 6 风险分析风险分析.14 6.1 风险分析概述.14 6.2 资产风险分布.14 6.3 资产风险列表.15 7 系统安全加固建议系统安全加
3、固建议.15 7.1 管理类建议.15 7.2 技术类建议.15 7.2.1 安全措施.15 7.2.2 网络平台.16 7.2.3 操作系统.16 8 制定及确认制定及确认.错误!未定义书签。9 附录附录 A:脆弱性编号规则:脆弱性编号规则.18 1 1 概概概概述述述述 1 1.1 1 项项项项目目目目背背背背景景景景 为了切实提高各系统的安全保障水平,更好地促进各系统的安全建设工作,提升奥运保障能力,需要增强对于网运中心各系统的安全风险控制,发现系统安全风险并及时纠正。根据网络与信息安全建设规划,为了提高各系统的安全保障和运营水平,现提出系统安全加固与服务项目。1 1.2 2 工工工工作
4、作作作方方方方法法法法 在本次安全风险评测中将主要采用的评测方法包括:人工评测;工具评测;调查问卷;顾问访谈。1 1.3 3 评评评评估估估估范范范范围围围围 此次系统测评的范围主要针对该业务系统所涉及的服务器、应用、数据库、网络设备、安全设备、终端等资产。主要涉及以下方面:1)业务系统的应用环境,;2)网络及其主要基础设施,例如路由器、交换机等;3)安全保护措施和设备,例如防火墙、IDS 等;4)信息安全管理体系(ISMS)1 1.4 4 基基基基本本本本信信信信息息息息 被评估系统名称被评估系统名称 xx 系统 业务系统负责人业务系统负责人 评估工作配合人员评估工作配合人员 2 2 业业业
5、业务务务务系系系系统统统统分分分分析析析析 2 2.1 1 业业业业务务务务系系系系统统统统职职职职能能能能 2 2.2 2 网网网网络络络络拓拓拓拓扑扑扑扑结结结结构构构构 图表 1 业务系统拓扑结构图 2 2.3 3 边边边边界界界界数数数数据据据据流流流流向向向向 编编号号 边界名称边界名称 边界类型边界类型 路径系统路径系统 发起方发起方 数据流向数据流向 现有安全措施现有安全措施 1.MDN 系统类 MDN 本 系 统/对端系统 双向 系统架构隔离 3 3 资资资资产产产产分分分分析析析析 3 3.1 1 信信信信息息息息资资资资产产产产分分分分析析析析 3 3.1 1.1 1 信信
6、信信息息息息资资资资产产产产识识识识别别别别概概概概述述述述 资产是风险评估的最终评估对象。在一个全面的风险评估中,风险的所有重要因素都紧紧围绕着资产为中心,威胁、脆弱性以及风险都是针对资产而客观存在的。威胁利用资产自身的脆弱性使得安全事件的发生成为可能,从而形成了风险。这些安全事件一旦发生,将对资产甚至是整个系统都将造成一定的影响。资产被定义为对组织具有价值的信息或资源,资产识别的目标就是识别出资产的价值,风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在其安全属性机密性、完整性和可用性机密性、完整性和可用性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。资产估价等级资
7、产估价等级 赋值赋值 高 3 中 2 低 1 3 3.1 1.2 2 信信信信息息息息资资资资产产产产识识识识别别别别 资产分类资产分类 资产组资产组 IP 地址地址/名称名称 资产资产估价估价等级等级 组号组号 资产编号资产编号 具体资产具体资产 物物理理资资产产 服务器服务器 1.H001 sun ultra60 中 H002 sun ultra60 中 H003 sun ultra60 高 H004 sun ultra60 高 网络设备网络设备 2.N001 华为 3680E 中 N002 华为 3680E 中 N003 华为 S2016 中 软软件件资资产产 操作系操作系统、数据统、数
8、据库和应用库和应用软件软件 3.H001 Solaris 高 H002 Solaris 高 H003 Solaris 高 H004 Solaris 高 4.D001 Sybase 高 4 4 威威威威胁胁胁胁分分分分析析析析 4 4.1 1 威威威威胁胁胁胁分分分分析析析析概概概概述述述述 威胁是指可能对资产或组织造成损害事故的潜在原因。作为风险评估的重要因素,威胁是一个客观存在的事物,无论对于多么安全的信息系统都存在。威胁可能源于对系统直接或间接的攻击,例如信息泄漏、篡改、删除等,在机密性、完整性或可用性等方面造成损害;威胁也可能源于偶发的、或蓄意的事件。按照威胁产生的来源,可以分为外部威胁
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 安全 风险 评估 报告