公司网络安全风险评估报告

网络安全风险评估报告

XXXXX有限公司

20XX年X月X日

目录

一、概述 (3)

1.1工作方法 (3)

1.2评估依据 (3)

1.3评估范围 (3)

1.4评估方法 (3)

1.5基本信息 (4)

二、资产分析 (4)

2.1 信息资产识别概述 (4)

2.2 信息资产识别 (4)

三、评估说明 (5)

3.1无线网络安全检查项目评估 (5)

3.2无线网络与系统安全评估 (5)

3.3 ip管理与补丁管理 (5)

3.4防火墙 (5)

四、威胁细类分析 (6)

4.1威胁分析概述 (6)

4.2威胁分类 (7)

4.3威胁主体 (7)

五、安全加固与优化 (8)

5.1加固流程 (8)

5.2加固措施对照表 (9)

六、评估结论 (10)

一、概述

XXXXX有限公司通过自评估的方式对网络安全进行检查，发现系统当前面临的主要安全问题，边检查边整改，确保信息网络和重要信息系统的安全。

1.1工作方法

在本次网络安全风险评测中将主要采用的评测方法包括：人工评测、工具评测。

1.2评估依据

根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》（信安通［2006］15号）、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》（办信息[2006]48号）以及公司文件、检查方案要求, 开展XXXXX有限公司网络安全评估。

1.3评估范围

此次系统测评的范围主要针对该业务系统所涉及的服务器、应用、数据库、网络设备、安全设备、终端等资产。

主要涉及以下方面：

●业务系统的应用环境；

●网络及其主要基础设施，例如路由器、交换机等；

●安全保护措施和设备，例如防火墙、IDS等；

●信息安全管理体系。

1.4评估方法

采用自评估方法。

3/ 10

1.5基本信息

二、资产分析

2.1 信息资产识别概述

资产被定义为对组织具有价值的信息或资源，资产识别的目标就是识别出资产的价值，风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产在其安全属性——机密性、完整性和可用性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。

风险评估是对本司范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别，将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总。

2.2 信息资产识别

4/ 10