您的位置:360文档中心› 信息安全风险评估实施报告总结计划...doc

信息安全风险评估实施报告总结计划...doc

合集下载
相关主题
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

1111 单位 :1111 系统安全项目

信息安全风险评估报告

我们单位名

日期

报告编写人 :日期:

批准人:日期:

版本号:第一版本日期

第二版本日期

终板

目录

1 概述 (5)

1.1 项目背景 (5)

1.2 工作方法 (5)

1.3 评估范围 (5)

1.4 基本信息 (5)

2 业务系统分析 . (6)

2.1 业务系统职能 (6)

2.2 网络拓扑结构 (6)

2.3 边界数据流向 (6)

3 资产分析 . (6)

3.1 信息资产分析 (6)

3.1.1 信息资产识别概述 (6)

3.1.2 信息资产识别 (7)

4 威胁分析 . (7)

4.1 威胁分析概述 (7)

4.2 威胁分类 (8)

4.3 威胁主体 (8)

4.4 威胁识别 (9)

5 脆弱性分析 . (9)

5.1 脆弱性分析概述 (9)

5.2 技术脆弱性分析 (10)

5.2.1 网络平台脆弱性分析 (10)

5.2.2 操作系统脆弱性分析 (10)

5.2.3 脆弱性扫描结果分析 (11)

5.2.3.1 扫描资产列表 . (11)

5.2.3.2 高危漏洞分析 . (11)

5.2.3.3 系统帐户分析 . (11)

5.2.3.4 应用帐户分析 . (12)

.

5.3 管理脆弱性分析 (12)

5.4 脆弱性识别 (14)

6 风险分析 . (14)

6.1 风险分析概述 (14)

6.2 资产风险分布 (15)

6.3 资产风险列表 (15)

7 系统安全加固建议 (16)

7.1 管理类建议 (16)

7.2 技术类建议 (16)

7.2.1 安全措施 (16)

7.2.2 网络平台 (16)

7.2.3 操作系统 (17)

8 制定及确认 . ............................................... 错误!未定义书签。

9 附录 A:脆弱性编号规则 (18)

.

1概述

1.1 项目背景

为了切实提高各系统的安全保障水平,更好地促进各系统的安全建设工作,

提升奥运保障能力,需要增强对于网运中心各系统的安全风险控制,发现系统安全风险并及时纠正。根据网络与信息安全建设规划,为了提高各系统的安全保障和运营水平,现提出系统安全加固与服务项目。

1.2 工作方法

在本次安全风险评测中将主要采用的评测方法包括:

人工评测;

工具评测;

调查问卷;

顾问访谈。

1.3 评估范围

此次系统测评的范围主要针对该业务系统所涉及的服务器、应用、数据库、

网络设备、安全设备、终端等资产。

主要涉及以下方面:

1)业务系统的应用环境,;

2)网络及其主要基础设施,例如路由器、交换机等;

3)安全保护措施和设备,例如防火墙、 IDS 等;

4)信息安全管理体系( ISMS)

1.4 基本信息

被评估系统名称xx 系统

业务系统负责人

评估工作配合人员

2业务系统分析

2.1 业务系统职能

2.2 网络拓扑结构

图表 1 业务系统拓扑结构图

2.3 边界数据流向

边界类型路径系统发起方数据流向现有安全措施边界名称

1. MDN 系统类MDN 本系统 /

双向系统架构隔离对端系统

3资产分析

3.1 信息资产分析

3.1. 1 信息资产识别概述

资产是风险评估的最终评估对象。在一个全面的风险评估中,风险的所有重要因素都紧紧围绕着资产为中心,威胁、脆弱性以及风险都是针对资产而客观存在的。威胁利用资产自身的脆弱性使得安全事件的发生成为可能,从而形成了风险。这些安全事件一旦发生,将对资产甚至是整个系统都将造成一定的影响。

资产被定义为对组织具有价值的信息或资源,资产识别的目标就是识别出资产的价值,风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在其安全属性——机密性、完整性和可用性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。

资产估价等级赋值

高 3

中 2

低 1

3.1. 2 信息资产识别

资产组

资产资产分类IP 地址 / 名称估价组号资产编号具体资产等级

H001 sun ultra60 中

物服务器 1. H002 sun ultra60 中H003 sun ultra60 高

H004 sun ultra60 高资

N001 华为 3680E 中产

网络设备 2. N002 华为 3680E 中

N003 华为 S2016 中软操作系

H001 Solaris 高

H002 Solaris 高件统、数据 3.

H003 Solaris 高资库和应用

H004 Solaris 高产软件

4. D001 Sybase 高4威胁分析

4.1 威胁分析概述

威胁是指可能对资产或组织造成损害事故的潜在原因。作为风险评估的重要因素,威胁是一个客观存在的事物,无论对于多么安全的信息系统都存在。

威胁可能源于对系统直接或间接的攻击,例如信息泄漏、篡改、删除等,在机密性、完整性或可用性等方面造成损害;威胁也可能源于偶发的、或蓄意的事件。按照威胁产生的来源,可以分为外部威胁和内部威胁:

(1)外部威胁:来自不可控网络的外部攻击,主要指移动的 CMNET、其它电信运营商的 Internet 互联网,以及第三方的攻击,其中互联网的威胁主要是黑客攻击、蠕虫病毒等,而第三方的威胁主要是越权或滥用、泄密、篡改、恶意代

码或病毒等。

(2)内部威胁:主要来自内部人员的恶意攻击、无作为或操作失误、越权或滥用、泄密、篡改等。另外,由于管理不规范导致各支撑系统之间的终端混用,也带来病毒泛滥的潜在威胁。

对每种威胁发生的可能性进行分析,最终为其赋一个相对等级值,将根据经验、有关的统计数据来判断威胁发生的频率或者概率。威胁发生的可能性受下列因素影响:

1)资产的吸引力;

相关文档
最新文档