重要资产信息安全脆弱性汇总表

XXXXX公司信息安全风险评估报告历史版本编制、审核、批准、发布实施、分发信息记录表一.风险项目综述1. 企业名称：XXXXX 公司2. 企业概况：XXXXX公司是一家致力于计算机软件产品的开发与销售、计算机信息系统集成及技术支持3. ISMS方针：预防为主，共筑信息安全；完善管理，赢得顾客信赖。

4. ISMS范围：计算机应用软件开发，网络安全产品设计/开发，系统集成及服务的信息安全管理。

二.风险评估目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式，将信息安全风险控制在可接受的水平，进行本次风险评估。

三.风险评估日期：2017-9-10 至2017-9-15四.评估小组成员XXXXXX X五.评估方法综述1、首先由信息安全管理小组牵头组建风险评估小组；2、通过咨询公司对风险评估小组进行相关培训；3、根据我们的信息安全方针、范围制定信息安全风险管理程序，以这个程序作为我们风险评估的依据和方法；4、各部门识别所有的业务流程，并根据这些业务流程进行资产识别，对识别的资产进行打分形成重要资产清单；5、对每个重要资产进行威胁、脆弱性识别并打分，并以此得到资产的风险等级；6、根据风险接受准则得出不可接受风险，并根据标准£027001:2013的附录A制定相关的风险控制措施;7、对于可接受的剩余风险向公司领导汇报并得到批准。

欢迎下载根据第一阶段审核结果，修订了信息安全风险管理程序，根据新修订程序文件，再次进行了风险评估工作从2017年9月10日开始进入风险评估阶段，到2017年9月15日止基本工作告一段落。

主要工作过程如下：1. 2017-9-10 ~ 2017-9-10 ，风险评估培训；2. 2017-9-11 ~ 2017-9-11 ，公司评估小组制定《信息安全风险管理程序》，制定系统化的风险评估方法;3. 2017-9-12 ~ 2017-9-12，本公司各部门识别本部门信息资产，并对信息资产进行等级评定，其中资产分为物理资产、软件资产、数据资产、文档资产、无形资产，服务资产等共六大类；4. 2017-9-13〜2017-9-13，本公司各部门编写风险评估表，识别信息资产的脆弱性和面临的威胁，评估潜在风险，并在ISMS工作组内审核；5. 2017-9-14〜2017-9-14 ，本公司各部门实施人员、部门领导或其指定的代表人员一起审核风险评估表；6. 2017-9-15〜2017-9-15 ，各部门修订风险评估表，识别重大风险，制定控制措施；ISMS工作组组织审核，并最终汇总形成本报告。

服务器脆弱性识别表格依据《GB/T20272-2007操作系统安全技术要求》中第三级---安全标记保护级所列举内容编制。

项目子项内容是否符合备注安全功能身份鉴别a) 按GB/T 20271-2006 中 6.3.3.1.1 和以下要求设计和实现用户标识功能：——凡需进入操作系统的用户，应先进行标识（建立账号）；——操作系统用户标识应使用用户名和用户标识（UID），并在操作系统的整个生存周期实现用户的唯一性标识，以及用户名或别名、UID 等之间的一致性；b) 按GB/T 20271-2006 中 6.3.3.1.2 和以下要求设计和实现用户鉴别功能：——采用强化管理的口令鉴别/基于令牌的动态口令鉴别/生物特征鉴别/数字证书鉴别等机制进行身份鉴别，并在每次用户登录系统时进行鉴别；——鉴别信息应是不可见的，在存储和传输时应按GB/T 20271-2006 中6.3.3.8 的要求，用加密方法进行安全保护；——过对不成功的鉴别尝试的值（包括尝试次数和时间的阈值）进行预先定义，并明确规定达到该值时应采取的措施来实现鉴别失败的处理。

c) 对注册到操作系统的用户，应按以下要求设计和实现用户-主体绑定功能：——将用户进程与所有者用户相关联，使用户进程的行为可以追溯到进程的所有者用户；——将系统进程动态地与当前服务要求者用户相关联，使系统进程的行为可以追溯到当前服务的要求者用户。

自主访问控制a) 允许命名用户以用户的身份规定并控制对客体的访问，并阻止非授权用户对客体的访问。

b) 设置默认功能，当一个主体生成一个客体时，在该客体的访问控制表中相应地具有该主体的默认值；c) 有更细粒度的自主访问控制，将访问控制的粒度控制在单个用户。

对系统中的每一个客体，都应能够实现由客体的创建者以用户指定方式确定其对该客体的访问权限，而别的同组用户或非同组的用户和用户组对该客体的访问权则应由创建者用户授予；d) 自主访问控制能与身份鉴别和审计相结合，通过确认用户身份的真实性和记录用户的各种成功的或不成功的访问，使用户对自己的行为承担明确的责任；e) 客体的拥有者应是唯一有权修改客体访问权限的主体，拥有者对其拥有的客体应具有全部控制权，但是，不允许客体拥有者把该客体的控制权分配给其他主体；f) 定义访问控制属性，并保护这些属性。

XXXXX公司信息安全风险评估报告历史版本编制、审核、批准、发布实施、分发信息记录表风险项目综述企业名称: XXXXX公司企业概况：XXXXX公司是一家致力于计算机软件产品的开发与销售、计算机信息系统集成及技术支持与服务的企业。

ISMS方针：预防为主，共筑信息安全；完善管理，赢得顾客信赖。

ISMS范围：计算机应用软件开发，网络安全产品设计/开发，系统集成及服务的信息安全管理。

风险评估目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式，将信息安全风险控制在可接受的水平,进行本次风险评估。

风险评估日期：2017-9-10至2017-9-15评估小组成员XXXXXXX。

评估方法综述首先由信息安全管理小组牵头组建风险评估小组；通过咨询公司对风险评估小组进行相关培训；根据我们的信息安全方针、范围制定信息安全风险管理程序，以这个程序作为我们风险评估的依据和方法；各部门识别所有的业务流程，并根据这些业务流程进行资产识别，对识别的资产进行打分形成重要资产清单；对每个重要资产进行威胁、脆弱性识别并打分，并以此得到资产的风险等级；根据风险接受准则得出不可接受风险，并根据标准ISO27001:2013的附录A 制定相关的风险控制措施；对于可接受的剩余风险向公司领导汇报并得到批准。

风险评估概况根据第一阶段审核结果，修订了信息安全风险管理程序，根据新修订程序文件，再次进行了风险评估工作从20xx年9月10日开始进入风险评估阶段，到20xx年9月15日止基本工作告一段落。

主要工作过程如下：2017-9-10 ~ 2017-9-10，风险评估培训；2017-9-11 ~ 2017-9-11，公司评估小组制定《信息安全风险管理程序》，制定系统化的风险评估方法；2017-9-12 ~ 2017-9-12，本公司各部门识别本部门信息资产，并对信息资产进行等级评定，其中资产分为物理资产、软件资产、数据资产、文档资产、无形资产，服务资产等共六大类；2017-9-13 ~ 2017-9-13，本公司各部门编写风险评估表，识别信息资产的脆弱性和面临的威胁，评估潜在风险，并在ISMS工作组内审核；2017-9-14 ~ 2017-9-14，本公司各部门实施人员、部门领导或其指定的代表人员一起审核风险评估表；6. 2017-9-15 ~ 2017-9-15，各部门修订风险评估表，识别重大风险，制定控制措施；ISMS工作组组织审核，并最终汇总形成本报告。

信息资产威胁和脆弱性对应表编号威胁脆弱性1地震位于地震带，建筑物抗震结构差　位于地震带，建筑物抗震结构一般　无备份文件和系统2火灾位于活在易发地区，资产易燃　位于活在易发地区，资产不易燃　位于火灾不易发生地区，资产易燃　无备份文件和系统　位于林区时周围无隔离带3水灾位于水灾易发地区，资产易受潮　位于水灾易发地区，资产不易受潮　位于水灾不易发地区，资产易受潮　无备份文件和系统4暴风雨位于暴风雨易发地区，资产易受水害　位于暴风雨易发地区，资产不易受潮　位于暴风雨不易发地区，资产易受潮　无备份文件和系统5潮汐位于潮汐易发地区，资产易遭水害　位于潮汐易发地区，资产不易遭水害　位于潮汐不易发地区，资产易遭水害　无备份文件和系统6污染位于污染严重地区，设备易受污染　位于污染严重地区，设备不易受污染　位于污染不严重地区，设备易受污染　位于污染不严重地区，设备不易受污染7电子干扰位于强电子干扰地区，设备易受电子干扰　位于强电子干扰地区，设备不易受电子干扰　位于若电子干扰地区，设备易受电子干扰8电磁辐射位于电子辐射严重的环境，设备易受电子辐射影响　位于电子辐射严重的环境，设备不易受电子辐射影响　位于电子辐射的环境，设备易受电子辐射的影响9温度过度位于温度易于过度的区域，资产易受温度影响　位于温度易于过度的区域，资产不易受温度影响　位于温度不易过度的区域，资产易受温度影响　环境监控不当10湿度过度位于湿度易于过度的区域，资产易受潮　位于湿度易于过度的区域，资产不易受潮　位于湿度不易过度的区域，资产易受潮　环境监控不当11电力供应故障环境易断电，断电后造成轻微损失　环境易断电，断电后造成严重损失　环境不易断电，断电后造成轻微损失　环境不易断电，断电后造成严重损失12空调设备故障位于温度易于过度的区域，资产易受温度影响　位于温度易于过度的区域，资产不易受温度影响　位于温度不易过度的区域，资产易受温度影响13电力波动易受电压波动影响，已造成严重损失　轻微受电压波动影响，易造成严重损失　易受电压波动影响，不易造成严重损失14静电位于易产生静电环境，资产易受静电破坏　位于易产生静电环境，资产不易受静电破坏　位于不易产生静电环境，资产易受静电破坏　工作人员无资产维护意识，没有维护常识　工作人员有资产维护意识，没有维护常识　工作人员无资产维护意识，有维护常识　无防静电设备　环境监控不当15偷盗建筑或房屋无访问控制　建筑或房屋弱访问控制　缺乏物理安全措施16诈骗工作人员无信息保护意识　工作人员无法律意识　工作人员法律意识弱　不易辨认身份的真伪　信息不易辨认真伪17勒索工作人员注重个人利益18恐怖分子袭击缺乏物理安全措施19抵赖不易辨认身份的真伪　信息不易辨认真伪　未标识发送者和接收者　无消息发送和接受证据20罢工无业务连续性规划和流程　无劳工协议21窃听设备本身缺乏信息保护功能　采用共享式以太技术导致信息在本地广播　通讯未加密22窃取信息工作人员无信息保护意识　工作人员注重个人利益　工作人员无法律意识　工作人员法律意识弱　工作人员无防病毒意识　工作人员防病毒意识弱23破坏性攻击操作系统存在漏洞　应用软件存在漏洞　未使用防火墙　防火墙策略不当　不恰当的网络管理24拒绝服务攻击操作系统存在漏洞　应用软件存在漏洞　未使用防火墙　防火墙策略不当　不恰当的网络管理25恶意代码系统易受病毒感染　系统不易受病毒感染　未使用杀毒软件　未及时更新病毒防杀软件　缺乏入侵检测软件　对从Internet上下载和安装软件控制不当　缺乏打开邮件的附件的策略　缺乏对不扫描病毒使用软盘行为的控制策略26通讯渗透设备本身缺乏信息保护功能　不易辨认身份的真伪　采用共享式以太技术导致信息在本地广播　缺乏物理安全措施　未标识发送者和接收者　无消息发送和接受证据　缺乏入侵检测软件27流量分析设备本身缺乏信息保护功能　不易辨认身份的真伪　采用共享式以太技术导致信息在本地广播　缺乏物理安全措施　未标识发送者和接收者　无消息发送和接受证据　缺乏入侵检测软件28系统入侵工作人员无信息保护意识　弱密码管理　软件无身份验证机制　软件采用弱身份验证机制　系统易受病毒感染　系统不易受病毒感染　不易辨认身份的真伪　信息不易辨认真伪　无逻辑访问控制29系统渗透工作人员无信息保护意识　弱密码管理　软件无身份验证机制　软件采用弱身份验证机制　系统易受病毒感染　系统不易受病毒感染　不易辨认身份的真伪　信息不易辨认真伪　无逻辑访问控制30系统篡改弱密码管理　软件无身份验证机制　软件采用弱身份验证机制　操作系统存在漏洞　应用软件存在漏洞　无备份系统设置信息　缺乏物理安全措施31资源滥用数据未加密　软件无复制限制　软件无安装次数限制　无软件使用控制　无数据访问控制32对软件的非法更改无劳工协议　无软件更新控制　无软件使用控制33软件的非法输入输出工作人员操作不熟练　软件无合法数据验证机制　无软件使用控制34未授权的数据访问采用共享式以太技术导致信息在本地广播　缺乏物理安全措施　通讯未加密35未授权的拨号访问拨号进入网络不受限　拨号进入网络弱管理　缺乏物理安全措施36未授权使用存储介质无数据访问控制　无硬件访问控制　缺乏物理安全措施37web站点入侵操作系统存在漏洞　应用软件存在漏洞　未使用防火墙　防火墙策略不当　缺乏入侵检测软件38内部员工蓄意破坏资产易遭破坏　建筑或房屋无访问控制　建筑或房屋弱访问控制　工作人员注重个人利益　工作人员无法律意识　工作人员法律意识弱　缺乏物理安全措施39未授权人员引用或带出数据建筑或房屋无访问控制　建筑或房屋弱访问控制　工作人员注重个人利益　工作人员无法律意识　工作人员法律意识弱　无数据访问控制　无硬件访问控制40内部人员身份假冒工作人员无法律意识　工作人员弱法律意识　弱密码管理　不易辨认身份的真伪41内部人员出卖个人信息工作人员注重个人利益　工作人员无法律意识　工作人员法律意识弱　数据中心无物理安全措施　数据中心弱物理安全措施　无劳工协议，竞业禁止等保密要求42外包操作失败无业务一致性计划和流程　无文件和系统备份　外包协议中责任不清43关键人员缺席无候选关键人44软件运行错误工作人员操作不熟练　操作系统存在漏洞　应用软件存在漏洞45软件的操作失误工作人员操作不熟练　无软件使用控制46软件设计错误软件开发标准不当　没有良好的员工沟通47错误信息输入工作人员操作不熟练　软件无合法数据验证机制48提供给操作人员错误的指南信息文件匮乏　文档管理混乱49软件维护失误工作人员无资产维护意识，没有维护常识　工作人员有资产维护意识，没有维护常识　工作人员无资产维护意识，有维护常识　无软件更新控制50硬件的操作失误工作人员操作不熟练　设备易损坏　无硬件访问控制　缺乏物理安全措施51存储介质的故障建筑或房屋无访问控制　建筑或房屋弱访问控制　设备易损坏　缺乏物理安全措施52网络部件的技术故障工作人员无资产维护意识，没有维护常识　工作人员有资产维护意识，没有维护常识　工作人员无资产维护意识，有维护常识　缺乏物理安全措施53通讯服务故障无备份设施和流程　不恰当的网络管理　不恰当的事件处理54流量过载无备份设施和流程　不恰当的网络管理　不恰当的事件处理55硬件维护失误工作人员无资产维护意识，没有维护常识　工作人员有资产维护意识，没有维护常识　工作人员无资产维护意识，有维护常识　缺乏物理安全措施51内部人员信息丢失工作人员无信息保护意识人事管理制度、保密协议不完善52管理运营职工失误企业无安全问题解决能力　企业安全问题解决能力弱53人员匮乏人力资源部门和信息技术部门间缺乏沟通54用户失误用户操作不熟练55供应故障操作系统存在漏洞　应用软件存在漏洞56保养不当工作人员无资产维护意识，没有维护常识　工作人员有资产维护意识，没有维护常识　工作人员无资产维护意识，有维护常识。

⽹络信息安全管理之资产、脆弱性、威胁、风险⽹络信息安全管理是指对⽹络资产采取合适的安全措施，以确保⽹络资产的可⽤性、完整性、可控制性和抗抵赖性，不致因⽹络设备、⽹络通信协议、⽹络服务、⽹络管理受到⼈为和⾃然因素的危害，⽽导致⽹络中断、信息泄露或破坏。

⽹络信息管理对象主要包括⽹络设备、⽹络通信协议、⽹络操作系统、⽹络服务、安全⽹络管理等在内的所有⽀持⽹络系统运⾏的软、硬件总和。

⽹络信息安全管理的⽬标就是通过适当的安全防范措施，保障⽹络的运⾏安全和信息安全，满⾜⽹上业务开展的安全要求。

⽹络信息安全管理要素由⽹络管理对象、⽹络威胁、⽹络脆弱性、⽹络风险、⽹络保护措施组成。

由于⽹络管理对象⾃⾝的脆弱性，使得威胁的发⽣成为可能，从⽽造成了不同的影响，形成了风险。

⽹络安全管理实际上就是风险控制，其基本过程是通过⽹络管理对象的威胁和脆弱性进⾏分析，确定⽹络管理对象的价值、⽹络管理对象威胁发⽣的可能性、⽹络管理对象的脆弱程度，从⽽确定⽹络管理对象的风险等级，然后据此选取合适的安全保护措施，降低⽹络管理对象的风险。

安全风险管理的三要素分别是资产、威胁和脆弱性，脆弱性的存在将会导致风险，⽽威胁主体利⽤脆弱性产⽣风险。

⽹络攻击主要利⽤了系统的脆弱性。

由于⽹络管理对象⾃⾝的脆弱性，使得威胁的发⽣成为可能，从⽽造成了不同的影响，形成了风险。

⽹络信息安全管理对象是企业、机构直接赋予了价值⽽需要保护的资产。

它的存在形式包括有形的和⽆形的，如⽹络设备硬件、软件⽂档是有形的，⽽服务质量、⽹络带宽是⽆形的。

常见的⽹络信息安全管理对象信息安全资产分类如下：分类⽰例数据保存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统⽂档、运⾏管理规程、计划报告、⽤户⼿册、各类纸质的⽂档等软件系统软件：操作系统、数据库管理系统、语句包、开发系统等应⽤软件：办公软件、数据库软件、各类⼯具软件等源程序：各种共享源代码、⾃⾏或合作开发的各种代码等硬件⽹络设备：路由器、⽹关、交换机等计算机设备：⼤型机、⼩型机、服务器、⼯作站、台式计算机、便携计算机等存储设备：磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等传输线路：光纤、双绞线等保障设备：UPS、变电设备、空调、保险柜、⽂件柜、门禁、消防设施等安全设备：防⽕墙、⼊侵检测系统、⾝份鉴别等其他：打印机、复印机、扫描仪、传真机等服务信息服务：对外依赖该系统开展的各类服务⽹络服务：各种⽹络设备、设施提供的⽹络连接服务办公服务：为提⾼效率⽽开发的管理信息系统，包括各种内部配置管理、⽂件流转管理等服务⼈员掌握重要信息和核⼼业务的⼈员，如主机维护主管、⽹络维护主管及应⽤项⽬经理等其他企业形象、客户关系等脆弱性：脆弱性也可称为弱点或漏洞，是资产或资产组中存在的可能被威胁利⽤造成损害的薄弱环节。