信息安全风险评估物理脆弱性识别用例

信息安全风险评估脆弱性识别一、引言信息安全风险评估是企业规划和实施信息安全控制措施的关键步骤之一。

在评估过程中，脆弱性识别是非常重要的环节，旨在发现系统、网络或应用程序中存在的安全漏洞和弱点。

本文将介绍信息安全风险评估中脆弱性识别的重要性，并探讨几种常用的脆弱性识别方法。

二、信息安全风险评估概述信息安全风险评估是为了确定和分析系统、网络或应用程序等各个层面的潜在风险，并为其采取相应的安全控制措施提供依据。

在评估过程中，脆弱性识别是一个非常关键的环节，它可以帮助发现潜在的安全漏洞和弱点，为后续的安全控制工作提供基础。

三、脆弱性识别的重要性脆弱性识别的重要性主要体现在以下几个方面：1. 发现安全漏洞和弱点：脆弱性识别可以通过系统化的方法，主动发现各类安全漏洞和弱点，为企业提供全面的安全风险管理。

2. 避免信息泄露和攻击：通过脆弱性识别，可以及时发现系统、网络或应用程序中的潜在安全漏洞，从而采取相应的补救措施，避免信息泄露和遭受恶意攻击。

3. 保障业务连续性：脆弱性识别可以发现潜在的系统故障和弱点，提前预防潜在的风险，从而保障企业的业务连续性。

四、脆弱性识别方法1. 漏洞扫描：漏洞扫描是一种常用的脆弱性识别方法，通过扫描系统、网络或应用程序的各个层面，发现其中的安全漏洞和弱点。

漏洞扫描工具可以自动化进行，提高效率和准确性。

2. 安全审计：安全审计是通过对系统、网络或应用程序的日志和事件进行审计，发现潜在的安全漏洞和异常活动。

安全审计可以帮助识别系统可能存在的安全风险，从而及时采取措施进行修复。

3. 渗透测试：渗透测试是一种模拟真实攻击的方法，通过测试者模拟黑客攻击的手段和方法，评估系统、网络或应用程序的安全性。

渗透测试可以全面测试系统的安全性，发现隐藏的脆弱性。

五、结论脆弱性识别在信息安全风险评估中具有重要地位和作用。

通过脆弱性识别，可以发现系统或应用程序中的安全漏洞和弱点，为企业的信息安全提供保障。

附录 A（资料性附录）法律法规方面信息安全事件管理策略和相关方案中宜关注信息安全事件管理的如下法律法规方面。

a)提供足够的数据保护和个人信息的隐私保护。

在那些有特定法律涵盖数据保密性和完整性的国家中，对于个人数据的控制常常受到限制。

由于信息安全事件通常需要归因到个人，个人特性的信息可能因此需要被相应地记录和管理。

因此，结构化的信息安全事件管理方法需要考虑适当的隐私保护。

这可能包括以下方面：1)如果实际情况可行，访问被调查人的个人数据的人员不宜与其存在私交；2)在允许访问个人数据之前,宜签署保密协议；3)信息宜仅用于其被获取的明示目的，即信息安全事件调查。

b)维护适当的记录保存。

一些国家的法律，要求公司维护其活动的适当记录，在每年组织的审计过程中进行审查。

政府机构也有类似的要求。

在某些国家，要求组织报告或生成执法用的档案（例如，当涉及到对政府敏感系统的严重犯罪或渗透时）。

c)控制措施到位以确保实现商业合同义务。

当对信息安全事件管理服务提出要求时，例如，满足所需的响应时间，组织宜确保提供适当的信息安全来保证在任何情况下满足这种义务要求。

与此相关，如果组织寻求外部方支持并签署合同，例如外部IRT，那么宜确保在与外部方签署的合同中涵盖了所有要求，包括响应时间；d)处理与策略和规程相关的法律问题。

与信息安全事件管理方案相关的策略和规程宜就潜在的法律法规问题得到检查，例如，是否有关于对那些引起信息安全事件的事项采取惩戒和（或）法律诉讼的声明。

在一些国家，解雇人员并不是一件容易的事情；e)检查免责声明的法律效力。

信息事件管理团队和任何外部支持人员所采取行动的免责声明的法律效力宜得到检查。

f)与外部支持人员的合同涵盖所有要求的方面。

与任何外部支持人员的合同，例如来自外部IRT 人员，在免除责任、保密、服务可用性和错误建议的影响方面宜得到彻底检查。

g)保密协议可强制执行。

信息安全事件管理团队成员在入职和离职时，可被要求签署保密协议。

5.1.2物理脆弱性检测（完成）物理脆弱性分析主要是通过对场所环境（计算机网络专用机房内部环境、外部环境和各网络终端工作间）、电磁环境（内部电磁信息泄露、外部电磁信号的干扰或冲击）、设备实体（网络设备、安全防护设备、办公设备）、线路进行检测，通过问卷调查和现场查看方式，分析出物理方面存在的脆弱性。

5.1.2.1检测对象本部分对以下内容进行安全性分析：XXXX主机房的物理环境XXXX的主机、网络设备、网络安全设备及环境设备等XXXX使用的磁盘阵列、磁带机、U盘、活动硬盘等5.1.2.2检测用例表1 检测用例5.1.2.3检测结果本次检测仅对物理环境、设备、移动存储介质进行了检测。

检查中发现大部分情况良好，但是在防电磁、设备管控等方面存在安全隐患。

（1）环境脆弱性检测1）门禁：门禁系统由主机、门锁和读卡器等组成。

机房主门、操作间、主机房关键部位都设有门禁系统，但门口无门卫看守，外来人员进入需要进行登记、刷卡，内部工作人员通过刷卡进行记录，且主机房只有管理人员及巡检人员有相应的进入权限，其他人进入主机房需申请登记。

2）供电：XXXX主机房供电由市电，UPS，小型机电源三部分组成，其供电为两路供电，UPS电源在断电后理论上可持续供电8小时，实际供电为4小时左右，但无法带动精密空调等设备，同时XXXX配备有柴油发电机。

对于电力设备的维护只有机房人员平时做检查，UPS电源为厂家定期巡检。

3）消防：机房内部署了自动气体灭火装置以及深圳中联通的声光报警装置，当有人员在机房时为手动控制，无人时为自动控制。

同时在走廊、操作间、配电间都设有单独的干粉灭火器，但配电间的灭火设备较为陈旧。

在配电间发现堆放有装设备的纸箱等外包。

在与主机房相连的配电间设置了专门的安全出口。

XXXX内部有巡检人员定期对消防设备进行检查，并有记录。

4）防鼠：主机房内无防鼠设施，在配电间的管线出口处放置有鼠夹。

5）防雷：机房达到三集防雷，在建筑物屋顶安置有避雷针，且市电、UPS 电源、小型机电源均配备有防雷设置。

服务器脆弱性识别表格依据《GB/T20272-2007操作系统安全技术要求》中第三级---安全标记保护级所列举内容编制。

项目子项内容是否符合备注安全功能身份鉴别a) 按GB/T 20271-2006 中 6.3.3.1.1 和以下要求设计和实现用户标识功能：——凡需进入操作系统的用户，应先进行标识（建立账号）；——操作系统用户标识应使用用户名和用户标识（UID），并在操作系统的整个生存周期实现用户的唯一性标识，以及用户名或别名、UID 等之间的一致性；b) 按GB/T 20271-2006 中 6.3.3.1.2 和以下要求设计和实现用户鉴别功能：——采用强化管理的口令鉴别/基于令牌的动态口令鉴别/生物特征鉴别/数字证书鉴别等机制进行身份鉴别，并在每次用户登录系统时进行鉴别；——鉴别信息应是不可见的，在存储和传输时应按GB/T 20271-2006 中6.3.3.8 的要求，用加密方法进行安全保护；——过对不成功的鉴别尝试的值（包括尝试次数和时间的阈值）进行预先定义，并明确规定达到该值时应采取的措施来实现鉴别失败的处理。

c) 对注册到操作系统的用户，应按以下要求设计和实现用户-主体绑定功能：——将用户进程与所有者用户相关联，使用户进程的行为可以追溯到进程的所有者用户；——将系统进程动态地与当前服务要求者用户相关联，使系统进程的行为可以追溯到当前服务的要求者用户。

自主访问控制a) 允许命名用户以用户的身份规定并控制对客体的访问，并阻止非授权用户对客体的访问。

b) 设置默认功能，当一个主体生成一个客体时，在该客体的访问控制表中相应地具有该主体的默认值；c) 有更细粒度的自主访问控制，将访问控制的粒度控制在单个用户。

对系统中的每一个客体，都应能够实现由客体的创建者以用户指定方式确定其对该客体的访问权限，而别的同组用户或非同组的用户和用户组对该客体的访问权则应由创建者用户授予；d) 自主访问控制能与身份鉴别和审计相结合，通过确认用户身份的真实性和记录用户的各种成功的或不成功的访问，使用户对自己的行为承担明确的责任；e) 客体的拥有者应是唯一有权修改客体访问权限的主体，拥有者对其拥有的客体应具有全部控制权，但是，不允许客体拥有者把该客体的控制权分配给其他主体；f) 定义访问控制属性，并保护这些属性。

ISMS-4025—信息安全风险评估报告1 前言本次风险评估的目的为：分析公司信息系统的安全状况，针对重要的信息资产进行安全影响、威胁、脆弱性及可能性分析，从而估计对业务产生的影响，最终可以选择适当的方法达到降低风险、消除风险、转移风险、接受剩余风险的目的。

全面了解和掌握业务过程、应用系统和网络面临的信息安全威胁和风险，为全面建设安全保障体系服务，为确立安全策略、制定安全规划、开展安全建设提供决策建议，为完善和加强公司的信息安全保护奠定基石。

2 整体安全状态公司在信息安全保障方面的相关工作处于深化阶段,已经从物理安全、网络安全、系统安全、应用安全和管理安全多个方面采取了一系列有效的措施。

初步建立起信息安全体系框架，根据标准要求建立了一整套管理体系文件，并卓有成效，为业务和系统的正常运行提供了一定的安全保障。

需要引起注意的是：整个信息系统的安全保障体系建设还需要进一步完善，最重要的是在下一步工作中如何能确保措施和制度能有效的落实下去，确保全体员工切实执行，来进一步满足安全保障的要求,实施阶段将是信息安全工作最关键的环节。

3 资产识别3.1 资产识别结果信息安全工作小组对公司的信息资产进行了非常详尽的识别，对公司的各类资产已经有了全面的了解和掌握。

这些信息资产包括以下7类资产：1)硬件:计算机设备、服务器设备、安全设备、通讯设备、存储设备和其他设备.2)软件:应用软件、系统软件、开发工具和各种管理系等.3)数据:业务数据、源代码、数据库数据、备份数据、系统文档、日志、运行管理规程、计划、报告、用户手册等。

4)服务:IT服务、培训服务、租赁服务、公用设施（能源、电力）、保安保洁等.5)文档：纸质的各种文件、传真、电报、财务报告、发展计划、宣传文件等。

6)人员：人员的资格、技能和经验；涉密的主要领导、关键技术人员和重要岗位人员等。

7)其他（无形资产）：组织的声誉、商标、形象。

具体结果详见：各部门《ISMS—4021—信息资产识别评价表》.3。

风险评估准则资产价值计算方法：资产价值 = 保密性赋值＋完整性赋值＋可用性赋值风险值计算方法： 风 险 值 = 资产等级＋威胁性赋值＋脆弱性赋值资产等级、风险等级评定方法：见下要素准则数据资产实体资产软件资产文件资产服务资产人员资产保密性按信息的访问权限等级或信息的存储、传输及处理设施/人员涉及信息的访问权限等级来评估资产保密性的要求等级访问权限赋值存储、传输及处理信息的访问权限赋值存储、传输及处理信息的访问权限赋值存储、传输及处理信息的访问权限赋值存储、传输及处理信息的访问权限赋值岗位接触信息的访问权限赋值对公司及外部都是公开的1对公司及外部都是公开的1对公司及外部都是公开的1对公司及外部都是公开的1对公司及外部都是公开的1对公司及外部都是公开的1对公司内部所有员工是公开的2对公司内部所有员工是公开的2对公司内部所有员工是公开的2对公司内部所有员工是公开的2对公司内部所有员工是公开的2对公司内部所有员工是公开的2只限于公司某个部门或职能可以访问的信息3只限于公司某个部门或职能可以访问的信息3只限于公司某个部门或职能可以访问的信息3只限于公司某个部门或职能可以访问的信息3只限于公司某个部门或职能可以访问的信息3只限于公司某个部门或职能可以访问的信息3只限于公司中层管理人员以上或部门少数关键人员可以访问的信息4只限于公司中层管理人员以上或部门少数关键人员可以访问的信息4只限于公司中层管理人员以上或部门少数关键人员可以访问的信息4只限于公司中层管理人员以上或部门少数关键人员可以访问的信息4只限于公司中层管理人员以上或部门少数关键人员可以访问的信息4只限于公司中层管理人员以上可以访问的信息4只限于公司高层管理人员或公司少数关键人员可以访问的信息5只限于公司高层管理人员或公司少数关键人员可以访问的信息5只限于公司高层管理人员或公司少数关键人员可以访问的信息5只限于公司高层管理人员或公司少数关键人员可以访问的信息5只限于公司高层管理人员或公司少数关键人员可以访问的信息5只限于公司高层管理人员或少数关键人员可以访问的信息5要素准则数据资产实体资产软件资产文件资产服务资产人员资产完整性按资产的准确性或完整性受损，而造成组织的业务持续或形象声誉受影响的严重程度来评估影响程度赋值影响程度赋值影响程度赋值文件类别赋值影响程度赋值岗位范围赋值可以忽略1可以忽略1可以忽略1可以忽略1可以忽略1实习员工\外聘临时工1轻微2轻微2轻微2轻微2轻微2一般员工2一般3一般3一般3一般3一般3技术、管理、财务等方面的骨干人员3严重4严重4严重4严重4严重4中层管理人员4非常严重5非常严重5非常严重5非常严重5非常严重5高层管理人员5要素准则数据资产实体资产软件资产文件资产服务资产人员资产可用性按资产使用或允许中断的时间次数来评估数据存储、传输及处理设施在一个工作日内允许中断的次数或时间比例赋值每次中断允许时间赋值使用频次要求赋值使用频次赋值使用频次要求赋值允许离岗时间赋值16次以上或全部工作时间中断13天以上1每年都要使用至少1次1每年都要使用至少1次1每年都要使用至少1次110个工作日及以上1 9-15次或1/2工作时间中断21－3天2每个季度都要使用至少1次2每个季度都要使用至少1次2每个季度都要使用至少1次26-9工作日2 3-8次或1/4工作时间中断312小时－1天3每个月都要使用至少1次3每个月都要使用至少1次3每个月都要使用至少1次33-5个工作日3 1-2次或1/8工作时间中断43小时－12小时4每周都要使用至少1次4每周都要使用至少1次4每周都要使用至少1次42个工作日4不允许50－3小时5每天都要使用至少1次5每天都要使用至少1次5每天都要使用至少1次51个工作日5要素标识相对价值范围等级资产重要程度资产等级很高23,25,274重要资产高17,19,213一般资产一般11,13,152一般资产低3,5,7,91一般资产要素标识发生的频率等级威胁利用弱点导致危害的可能性很高出现的频率很高（或≥1 次/周）；或在大多数情况下几乎不可避免；或可以证实经常发生过5高出现的频率较高（或≥ 1 次/月）；或在大多数情况下很有可能会发生；或可以证实多次发生过4一般出现的频率中等（或> 1 次/半年）；或在某种情况下可能会发生；或被证实曾经发生过3低出现的频率较小；或一般不太可能发生；或没有被证实发生过2很低威胁几乎不可能发生；仅可能在非常罕见和例外的情况下发生1要素标识严重程度等级脆弱性被威胁利用后的严重性很高如果被威胁利用，将对公司重要资产造成重大损害5高如果被威胁利用，将对重要资产造成一般损害4一般如果被威胁利用，将对一般资产造成重要损害 3低如果被威胁利用，将对一般资产造成一般损害2很低如果被威胁利用，将对资产造成的损害可以忽略1常见威胁ID威胁威胁方影响资产利用弱点可能性影响风险R01篡改恶意人员业务数据系统缺陷，网络缺陷低高低R02传输信息泄漏恶意人员业务数据网络线路中高中R03配置错误维护人员应用系统，业务数据运行管理流程缺陷中中低低高高R04冒名访问恶意人员业务数据运行管理流程缺陷、帐户口令泄漏R05病毒感染维护人员、用户业务数据，应用系统系统缺陷、运行管理缺陷低高低R06业务信息泄漏用户业务数据运行管理流程缺陷低高低R07攻击恶意人员应用系统，业务数据系统缺陷，网络缺陷中高高R08操作抵赖维护人员，用户应用系统，业务数据操作记录低中低R09越权访问用户应用系统，业务数据系统配置缺陷中低低R10设备物理破坏恶意人员应用系统，业务数据设备物理安全漏洞低高低威胁分类表常见脆弱性脆弱性识别内容表。

信息安全风险评估实例
以下是一个信息安全风险评估的实例：
假设某公司有一个内部网络，其中存储着员工的个人信息、公司的财务数据、客户信息等重要数据。

为了确保这些数据的安全，该公司需要进行一个信息安全风险评估。

首先，评估团队会收集关于公司的信息，包括公司的业务流程、现有的安全措施、网络拓扑图等。

然后，团队会识别潜在的威胁，如网络攻击、员工的错误操作、设备损坏等。

接着，评估团队会评估每个潜在威胁的概率和影响程度。

例如，网络攻击的概率可能较高，但是该公司已经采取了安全防护措施，因此影响程度可能较低。

而员工的错误操作可能概率较低，但一旦发生可能造成严重的影响。

评估团队会将每个潜在威胁的概率和影响程度结合起来，计算出每个威胁的风险等级。

风险等级高的威胁需要优先处理。

团队还会对每个威胁提出相应的建议，如加强网络防护、设置访问控制、提供员工培训等。

最后，评估团队会编写报告，将评估的结果和建议提交给公司的决策者。

公司可以根据这些评估结果决定采取何种措施来减少信息安全风险，并制定相应的预防和应对策略。

这是一个简化的信息安全风险评估实例，实际的评估过程可能
会更复杂和详细。

评估的目标是为了识别和管理信息安全风险，以保护公司的重要数据和业务运作的稳定性。

信息系统脆弱性评估
信息、系统:计算机硬件网络通讯设备软件信息资源用户和规章条例
脆弱性评估标准：
(1)物理环境脆弱性识别:GB/T9361 -2000标准
⑵操作系统与数据库:GB17895-1999
(3)网络/主机/应用:GB/T18336-2008
信息系统脆弱性评估
⑴脆弱性识别方法:问卷调查，工具检测，人工核查，文档查阅
⑵技术脆弱性:物理安全，网络结构，系统软件，应用系统
脆弱性评估模型
第一步: 系统脆弱性识别内容
第二步: 是否需要进行工具检测
第三步: a)漏洞检测(Y)脆弱性赋值
b)标准检测(N)专家评分
第四步: AHP评估
第五步: 脆弱性评估结果和安全建议信息系统脆弱性评估使用工具
X-SCAN:
Nmap:。

威胁和脆弱性识别指南版本记录批准人（签名）：日期:威胁和脆弱性识别指南1.目的为规范信息安全风险评估过程中，对信息资产的所面临的威胁以及自身的脆弱性的识别、分类和赋值，以产生一致的、可比较的结果，特制定本指南。

2.适用范围本规范适用于信息安全风险评估过程中的，对信息资产的威胁以及脆弱性的识别、分类和赋值。

3.术语和定义无4.相关/支持性文件•《信息安全风险评估程序》•《记录控制程序》5.6.程序内容6.1.威胁识别安全威胁是一种对机构及其资产构成潜在破坏的可能性因素或者事件。

无论对于多么安全的信息系统，安全威胁是一个客观存在的事物，它是风险评估的重要因素之一。

产生安全威胁的主要因素可以分为人为因素和环境因素。

人为因素又可区分为有意和无意两种。

环境因素包括自然界的不可抗的因素和其它物理因素。

威胁作用形式可以是对信息系统直接或间接的攻击，例如非授权的泄露、篡改、删除等，在保密性、完整性或可用性等方面造成损害。

也可能是偶发的、或蓄意的事件。

一般来说，威胁总是要利用网络、系统、应用或数据的弱点才可能成功地对资产造成伤害。

安全事件及其后果是分析威胁的重要依据。

但是有相当一部分威胁发生时，由于未能造成后果，或者没有意识到，而被安全管理人员忽略。

这将导致对安全威胁的认识出现偏差。

在威胁评估过程中，首先就要对组织需要保护的每一项关键资产进行威胁识别。

在威胁识别过程中，应根据资产所处的环境条件和资产以前遭受威胁损害的情况来判断。

一项资产可能面临着多个威胁，同样一个威胁可能对不同的资产造成影响。

6.2.脆弱性识别脆弱性评估也称为弱点评估，是安全风险评估中重要的内容。

弱点是资产本身存在的，它可以被威胁利用、引起资产或商业目标的损害。

弱点包括物理环境、组织、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。

值得注意的是，弱点虽然是资产本身固有的，但它本身不会造成损失，它只是一种条件或环境、可能导致被威胁利用而造成资产损失。

1物理脆弱性检测主要是对场所环境 (计算机网络专用机房内部环境、外部环境和各网络终端工作间)、电磁环境(内部电磁信息泄露、外部电磁信号干扰或者冲击)、设备实体(网络设备、安全防护设备、办公设备)、路线进行检测，通过问卷调查和现场技术检测方式，得出物理方面存在的脆弱性。

1.1检查地理位置选择是否合理GB/T 20984机房技术交流、现场查看问询机房具体地址查看机房所在地是否划分主机房、辅助区、支持区、行政管理区等相应区域高中低检查主机房划分是否合理GB/T 20984机房技术交流、现场查看问询主机房划分高中低检查辅助区划分是否合理GB/T 20984机房技术交流、现场查看问询辅助区划分高中低检查支持区划分是否合理GB/T 20984机房技术交流、现场查看问询支持区划分高中低检查行政管理区划分是否合理GB/T 20984机房技术交流、现场查看问询行政管理区划分高中低检查是否远离水灾、火灾隐患区域。

GB/T 20984机房技术交流、现场查看对机房周边环境进行查看和问询高中低是否远离产生粉尘、油烟、有害气体以及生产或者贮存具有腐蚀性、易燃、易爆物品的场所。

GB/T 20984机房技术交流、现场查看对机房周边环境进行查看和问询高中低是否远离强振源和强噪声源。

GB/T 20984机房技术交流、现场查看对机房周边环境进行查看和问询高中低是否避开强电磁场干扰。

GB/T 20984机房技术交流、现场查看对机房周边环境进行查看和问询高中低检查电力供给是否稳定可靠，交通、通信是否便捷，自然环境是否清洁。

GB/T 20984机房技术交流、现场查看对机房周边环境进行查看和问询高中低是否设置了二氧化碳或者卤代烷灭火设备，摆放位置如何，有效期是否合格，是否定期检查。

GB/T 20984机房手持灭火设备技术交流、现场查看请机房管理人员带领去查看手持灭火器；每一个门口至少应有1个以上的手持灭火器；检查手持灭火器的有效期；检查手持灭火器的检查记录，若没有，需向负责人员索要。

附件：国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式项目名称：项目建设单位：风险评估单位：年月日目录一、风险评估项目概述 (1)1.1工程项目概况 (1)1.1.1 建设项目基本信息 (1)1.1.2 建设单位基本信息 (1)1.1.3承建单位基本信息 (2)1.2风险评估实施单位基本情况 (3)二、风险评估活动概述 (3)2.1风险评估工作组织管理 (3)2.2风险评估工作过程 (3)2.3依据的技术标准及相关法规文件 (3)2.4保障与限制条件 (3)三、评估对象 (4)3.1评估对象构成与定级 (4)3.1.1 网络结构 (4)3.1.2 业务应用 (4)3.1.3 子系统构成及定级 (4)3.2评估对象等级保护措施 (4)3.2.1XX子系统的等级保护措施 (5)3.2.2子系统N的等级保护措施 (5)四、资产识别与分析 (5)4.1资产类型与赋值 (5)4.1.1资产类型 (5)4.1.2资产赋值 (5)4.2关键资产说明 (5)五、威胁识别与分析 (6)5.1威胁数据采集 (6)5.2威胁描述与分析 (6)5.2.1 威胁源分析 (6)5.2.2 威胁行为分析 (6)5.2.3 威胁能量分析 (6)5.3威胁赋值 (6)六、脆弱性识别与分析 (7)6.1常规脆弱性描述 (7)6.1.1 管理脆弱性 (7)6.1.2 网络脆弱性 (7)6.1.3系统脆弱性 (7)6.1.4应用脆弱性 (7)6.1.5数据处理和存储脆弱性 (8)6.1.6运行维护脆弱性 (8)6.1.7灾备与应急响应脆弱性 (8)6.1.8物理脆弱性 (8)6.2脆弱性专项检测 (8)6.2.1木马病毒专项检查 (8)6.2.2渗透与攻击性专项测试 (8)6.2.3关键设备安全性专项测试 (8)6.2.4设备采购和维保服务专项检测 (8)6.2.5其他专项检测 (8)6.2.6安全保护效果综合验证 (8)6.3脆弱性综合列表 (8)七、风险分析 (8)7.1关键资产的风险计算结果 (8)7.2关键资产的风险等级 (9)7.2.1 风险等级列表 (9)7.2.2 风险等级统计 (9)7.2.3 基于脆弱性的风险排名 (9)7.2.4 风险结果分析 (9)八、综合分析与评价 (10)九、整改意见 (10)附件1：管理措施表 (11)附件2：技术措施表 (13)附件3：资产类型与赋值表 (15)附件4：威胁赋值表 (15)附件5：脆弱性分析赋值表 (16)一、风险评估项目概述1.1 工程项目概况1.1.1 建设项目基本信息1.1.2 建设单位基本信息工程建设牵头部门工程建设参与部门如有多个参与部门，分别填写上1.1.3承建单位基本信息如有多个承建单位，分别填写下表。

1资产识别
1.1资产数据采集
1.1.1资产采集说明
通过资产调查和现场访谈，对信息系统的相关资产进行调查，形成资产列表。

采集工作在前期调研的基础上开展，以调研所得的设备列表为依据，将所有与信息系统有关的信息资产核查清楚。

1.1.2资产采集检测表
1.2资产分类识别
1.2.1资产分类说明
将所采集的资产数据按照资产形态和用途进行分类，形成资产分类表。

信息系统的资产一般可分为硬件、软件、文档与数据、人力资源、服务和其它资产等几大类。

1.2.1.1硬件
1.2.1.2软件
1.2.1.3文档与数据
一般指保存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等。

1.2.1.4人力资源
人力资源一般包括掌握重要信息和核心业务的人员，如主机维护主管、网络维护主管及应用项目经理等。

1.2.1.5服务
1.2.1.6其它资产
其它资产是指一些无形的但同样对于企业本身具有一定的价值，如企业形象、客户关系等。

1.2.2资产分类检测表
1.2.3网络拓扑中常用的硬件资产
1.3资产赋值
1.3.1资产保密性赋值
1.3.2资产完整性赋值
1.3.3资产可用性赋值
1.3.4资产安全特性综合评定赋值
1.3.5资产脆弱性赋值
1.4资产部分评估实例1.4.1资产分类赋值表
1.4.2资产脆弱性分析
信息资产风险等级判定表如下所示：
依据对该银行系统信息资产风险计算的结果，按信息资产风险值的高低，形成如下风险列表：。