深圳市信息安全风险评估报告范本

深圳市某某局
2008 年信息安全风险评估报告
深圳市某某局
二〇〇八年八月六日
目录风险评估结论I
1 评估工作概述1
11 评估范围1
12 评估组织2
2 评估依据和标准3
3 资产识别5
31 资产识别内容和方法5
32 重要资产的确定及三性赋值8
4 威胁识别11
5 脆弱性识别15
51 脆弱性识别内容及方法15
52 脆弱性识别结果15
6 综合风险分析19
61 风险分析方法19
62 风险等级划分19
63 不可接受风险划分20
64 风险分析结果20
7 风险统计26
8 不可接受风险处理计划28
风险评估结论
此次风险评估我局确定的评估范围为OA 系统评估共发现信息
安全风险60 个其中极高风险6 个高风险14 个中风险1 个低
风险20 个极低风险19 个经分析确定60 个风险中40 个为可以
接受20 个为不可接受
为消除不可接受的风险相应的处理计划如下
1 OA 数据库服务器应用服务器内网管理及病毒服务器将及时
升级系统补丁并强制用户口令强度和更改频率降低风险
2 OA 应用服务器应启用帐户锁定策略防止非授权访问
3 防火墙及主要的网络设备将启用日志功能规避抗抵赖的风险
同时还将尽快建立操作规程规范操作过程
4 主要的网络设备将建立访问控制策略规避非授权访问的风险
5 业务系统的关键网络数据在进行传输时将采取适当的保密措施
并进行完整性校验
6 核心机房的物理访问控制将建立来访人员登记制度
评估单位深圳市某某局公章
批准人某某某
深圳市信息安全测评中心-I-
2008 年信息安全风险评估报告范本
1 评估工作概述
我局于2008 年6 月2 日至8 月6 日开展了信息安全风险自评估工作本次风险
评估工作主要依托信息中心的技术人员开展行政办公室财务室业务一处业务
二处秘书处参与了该项工作
11 评估范围
评估范围概述
本次评估范围为我局的OA 系统
该系统是一个基于BS 架构的办公自动化系统系统建设目标是将传统手工纸
面封闭的运作方式转换成自动电子开放的方式提高行政管理及相关业务的工
作质量和效率并为全面信息化建设做好准备工作
使用该系统的部门包括行政办公室财务室业务一处业务二处秘书处信
息中心日常用户数为120 人管理该系统的部门主要为秘书处信息中心其中秘
书处主要负责系统的业务管理信息中心主要负责系统的技术保障
系统主要功能构成
该系统主要功能包括
1 各部门协同办公系统主要功能包括非涉密电子公文交换公文流转通知
公告资料交换事务呈签等日常办公功能
2 综合资料管理系统实现文档的一体化管理各种类型的信息按分类和分级
管理提供完善的查询检索功能
3 若干辅助办公系统主要包括请示报告处理系统简易发文系统短信电
子邮件局领导日程安排个人日程安排等
深圳市信息安全测评中心- 1 -
2008 年信息安全风险评估报告范本
网络拓扑
评估边界
此次评估的范围为上述拓扑图中框内部分框外部分不属于本次评估范围拓扑
图中隔离网闸内接口华为交换机内接口为评估边界
12 评估组织
我局专门成立了自评估工作小组负责开展本次评估工作自评估工作小组组长
最高管理者代表由张三分管信息中心的副局长担任评估项目负责人有赵二
信息中心总工担任工作小组下设资产识别小组脆弱性识别小组威胁识别小
组风险分析小组和应急响应小组风人员组成情况如下
深圳市信息安全测评中心- 2 -
2008 年信息安全风险评估报告范本
组名小组组长成员
资产识别小组张三 A B C D
脆弱性识别小组李四 E F G H
威胁识别小组王五 E C D V
风险分析小组刘六 A C G H
应急响应小组陈三 B D C S F
2 评估依据和标准
各单位根据本单位评估情况选择使用相关的标准及文件
1 国家信息化领导小组《关于加强信息安全保障工作的意见》中办发〔2003〕
27 号
2 国家网络与信息安全协调小组《关于开展信息安全风险评估工作的意见》国
信办〔2006〕5 号
3 深圳市关于开展信息安全风险评估工作的实施意见深科信〔2006〕268 号
4 信息安全技术信息安全风险评估规范GBT20984-2007
5 信息技术安全技术信息技术安全性评估准则GBT18336-2001
6 电子计算机场地通用规范GBT2887-2000
7 计算机场地安全要求GB9361-1989
8 信息技术安全技术信息技术安全性评估准则GBT 18336-2001
9 信息技术信息技术安全管理指南GBT 197151-2005
10 信息技术信息安全管理实用规则GBT 19716-2005
11 信息安全技术操作系统安全评估准则GBT 20008-2005
深圳市信息安全测评中心- 3 -
2008 年信息安全风险评估报告范本
12 信息安全技术数据库管理系统安全评估准则GBT 20009-2005
13 信息安全技术包过滤防火墙评估准则GBT 20010-2005
14 信息安全技术路由器安全评估准则GBT 20011-2005
15 信息安全技术信息系统安全管理要求GBT 20269-2006
16 信息安全技术网络基础安全技术要求GBT 20270-2006
17 信息安全技术信息系统通用安全技术要求GBT 20271-2006
18 信息安全技术操作系统安全技术要求GBT 20272-2006
19 信息安全技术数据库管理系统安全技术要求GBT 20273-2006
20 信息安全技术网络和终端设备隔离部件测试评价方法GBT 20277-2006
21 信息安全技术网络和终端设备隔离部件安全技术要求GBT 20279-2006
22 信息安全技术防火墙技术要求和测试评价方法GBT 20281-2006
23 信息安全技术信息系统安全工程管理要求GBT 20282-2006
24 信息安全技术路由器安全技术要求GBT 18018-2007
25 信息安全技术信息系统安全审计产品技术要求和评价方法GBT
20945-2007
26 信息技术安全技术信息安全事件管理指南GBZ 20985-2007
27 信息安全技术信息安全事件分类分级指南GBZ 20986-2007
28 信息安全技术服务器安全技术要求GBT 21028-2007
29 信息安全技术网络交换机安全技术要求GBT 21050-2007
30 信息技术信息安全管理实施细则ISOIEC 177992000
31 信息技术信息安全管理实施规范ISOIEC 270012005
32 深圳市信息安全风险评估实施指南
33 各种检查机构运作的一般规则ISO-IEC 17020-2004
深圳市信息安全测评中心- 4 -
2008 年信息安全风险评估报告范本
3 资产识别
31 资产识别内容和方法
资产识别小组召集行政办公室财务室业务一处业务二处等OA 系统的使用
部门以及系统管理部门秘书处信息中心的主要工作人员对评估范围内的资产进行了
逐项分析比对财务资产清单结合系统运行现状识别出评估范围内的信息资产
形成了资产识别表参考《资产重要性程度判断准则》为每个资产进行了重要性程度
赋值资产识别和赋值结果记录在资产识别表中
表格3-1 硬件资产识别表
资产识别表－－硬件资产
资产责任重要性
序号资产名称应用描述备注部门
编号人程度
OA 数据库服
1 S001 张三OA 服务器45 IBM P650 信息中心
务器
内网提醒服
2 S002 张三内网提醒服务器10 IBM X366 信息中心
务器
3 视频服务器S003 张三视频服务器10 联想信息中心
4 病毒服务器S004 张三病毒服务器40 联想信息中心
OA 服应用务
5 S005 张三OA 服务器40 ibm x365 信息中心
器
核心路由
6 S006 张三核心路由45 信息中心
6509-1
深圳市信息安全测评中心- 5 -
2008 年信息安全风险评估报告范本
核心路由
7 G007 张三核心路由45 信息中心
6509-2
8 思科3745 G008 张三交换机45 信息中心
各楼层交
9 思科2950 G009 张三楼层交换机25 信息中心
换机
10 防火墙F001 张三连接各分部30 信息中心
11 磁盘阵列D002 张三统一的磁盘阵列45 信息中心
12 磁带机D001 张三统一的磁带机45 信息中心
表格3-2 文档和数据资产识别表
资产识别表－－文档和数据
应用存储形备份形重要性
序号资产名称责任人备注部门
描述式式程度
OA 相关技术oa 资纸版电电子备
1 张三30 信息中心
资料料子版份
表格3-3 人力资产识别表
资产识别表－－人力资源
序号岗位岗位描述姓名重要性程度备注部门
1 网络管理员网络管理员张三35 信息中心
深圳市信息安全测评中心- 6 -
2008 年信息安全风险评估报告范本
资产识别表－－人力资源
序号岗位岗位描述姓名重要性程度备注部门
2 系统管理员系统管理员李四35 信息中心
3 业务管理员业务管理王五30 秘书处
4 网络管理员 2 网络管理员李四3
5 信息中心
5 系统管理员 2 系统管理员刘六35 信息中心
表格3-4 业务应用资产识别表
资产识别表－－业务应用
序
资产名称使用范围描述重要性程度备注部门
号
1 OA 业务系统OA 业务系统48 秘书处
表格3-5 物理环境资产识别表
资产识别表－－物理环境
序号资产名称使用范围描述重要性程度备注部门
1 总机房主要设备的机房40 信息中心
深圳市信息安全测评中心- 7 -
2008 年信息安全风险评估报告范本
32 重要资产的确定及三性赋值
资产识别小组组织信息中心及秘书处工作人员依据资产对主要业务运作及声
誉影响程度设定本单位重要资产的判定标准为资产重要性程度值大于等于30根
据这个标准形成了系统重要资产清单资产识别小组依据《信息安全技术信息安全
风险评估规范GBT20984-2007 》对于保密性可用性完整性的定义及资产赋
值表对重要资产进行了赋值制作重要资产赋值表
表格3-6 硬件重要资产赋值表
重要资产赋值表－－硬件资产
机密性完整性可用性重要性
序号资产名称责任人应用描述部门
等级等级等级程度
OA 数据库服
1 张三OA 服务器 4
2 2 45 信息中心
务器
2 病毒服务器张三病毒服务器 2 2
3 40 信息中心
OA 服应用务
3 张三OA 服务器 3 2 3 40 信息中心
器
核心路由
4 张三核心路由 2 3 4 4
5 信息中心
6509-1
核心路由
5 张三核心路由 2 3 3 45 信息中心
6509-2
6 思科3745 张三交换机 2 2 3 45 信息中心
深圳市信息安全测评中心- 8 -
2008 年信息安全风险评估报告范本
重要资产赋值表－－硬件资产
机密性完整性可用性重要性
序号资产名称责任人应用描述部门
等级等级等级程度
7 防火墙张三连接各分部 3 2 4 30 信息中心
统一的磁盘
8 磁盘阵列李四 4 4 4 45 信息中心
阵列
统一的磁带
9 磁带机李四 4 4 4 45 信息中心
机
表格3-7 文档和数据重要资产赋值表
重要资产赋值表－－文档和数据
序应用描机密性等完整性等可用性等重要性程
资产名称责任人部门
号述级级级度
OA 资
1 OA 相关技术资料李四 4
2 2 30 信息中心
料
表格3-8 人力资源重要资产赋值表
重要资产赋值表－－人力资源
重要性程
序号岗位名称岗位描述姓名机密性等级完整性等级可用性等级部门
度
1 网络管理员网络管理员张三
2 2
3 35 信息中心
深圳市信息安全测评中心- 9 -
2008 年信息安全风险评估报告范本
重要资产赋值表－－人力资源
重要性程
序号岗位名称岗位描述姓名机密性等级完整性等级可用性等级部门
度
2 系统管理员系统管理员余六 2 2
3 35 信息中心
3 业务管理员业务管理吴四
4 3 3 30 秘书处
4 网络管理员 2 网络管理员余六 2 2 3 3
5 信息中心
5 系统管理员 2 系统管理员傅五 2 2 3 35 信息中心
表格3-9 业务应用重要资产赋值表
重要资产赋值表－－应用系统
重要性程
序号资产名称使用范围描述保密性等级完整性等级可用性等级部门
度
OA 业务系
1 OA 业务系统 3
2 4 48 秘书处
统
表格3-10 物理环境重要资产赋值表
重要资产赋值表－－物理环境
完整性等重要性程
序号资产名称使用范围描述保密性等级可用性等级部门
级度
1 机房机房 3
2
3 35 信息中心
深圳市信息安全测评中心- 10 -
2008 年信息安全风险评估报告范本
4 威胁识别
威胁识别小组通过召集秘书处信息中心相关技术人员召开会议查阅安全设备
日志和以往的安全事件记录分析本系统在物理环境网络人员设备故障恶意
代码及病毒等方面可能出现的情况经项目负责人批准确认形成了威胁识别表
表格4-1 重要硬件资产威胁识别表
重要资产威胁识别表－－硬件资产
序号资产名称威胁类部门
操作失误
访问控制策略管理不当
1 防火墙维护错误信息中心
未授权访问资源
原发抵赖
操作失误
木马后门攻击
设备硬件故障
2 OA 服应用务器网络病毒传播信息中心
维护错误
未授权访问系统资源
系统负载过载
3 OA 数据库服务器操作失误信息中心
深圳市信息安全测评中心- 11 -
2008 年信息安全风险评估报告范本
重要资产威胁识别表－－硬件资产
序号资产名称威胁类部门
滥用权限
木马后门攻击
社会工程威胁
网络病毒传播
维护错误
未授权访问系统资源
未授权访问资源
4 磁带机维护错误信息中心
5 磁盘阵列维护错误信息中心
操作失误
维护错误
6 核心路由6509-1 未授权访问网络资源信息中心
嗅探系统安全配置数据如帐户口令权限等
原发抵赖
操作失误
维护错误
7 核心路由6509-2 信息中心
未授权访问网络资源
嗅探系统安全配置数据如帐户口令权限等
深圳市信息安全测评中心- 12 -
2008 年信息安全风险评估报告范本
重要资产威胁识别表－－硬件资产
序号资产名称威胁类部门
原发抵赖
操作失误
木马后门攻击
设备硬件故障
网络病毒传播
8 病毒服务器信息中心
维护错误
未授权访问系统资源
系统负载过载
原发抵赖
操作失误
9 思科3745 维护错误信息中心
原发抵赖
表格4-2 重要文档和数据资产威胁识别表
重要资产威胁识别表－－文档和数据
序号资产名称威胁类部门
滥用权限
1 OA 相关技术资料信息
中心
未授权访问资源
深圳市信息安全测评中心- 13 -
2008 年信息安全风险评估报告范本
表格4-3 重要人力资源资产威胁识别表
重要资产威胁识别表－－人力资源
序号资产名称威胁类部门
1 网络管理员社会工程威胁信息中心
2 网络管理员 2 社会工程威胁信息中心
3 系统管理员社会工程威胁信息中心
4 系统管理员 2 社会工程威胁信息中心
5 业务管理员社会工程威胁秘书处
表格4-4 重要业务应用资产威胁识别表
重要资产威胁识别表－－业务应用
序号资产名称威胁类部门
篡改用户或业务数据信息
控制和破坏用户或业务数据
滥用权限泄漏秘密信息
数据篡改
1 OA 业务系统秘书处
探测窃密
未授权访问
未授权访问系统资源
用户或业务数据的窃取
深圳市信息安全测评中心- 14 -
2008 年信息安全风险评估报告范本
表格4-5 重要物理环境资产威胁识别表
重要资产威胁识别表－－物理环境
序号资产名称威胁类部门
电磁干扰
1 总机房信息中心
访问控制策略管理不当
5 脆弱性识别
51 脆弱性识别内容及方法
脆弱性识别小组针对不同类型的重要资产分组进行脆弱性分析对网络设备主
机数据库应用程序进行了扫描对网络设备主机数据库进行了配置核查对
安全管理进行了现场走访发放了调查问卷脆弱性识别小组最后进行汇总并确认
报项目负责人批准形成资产脆弱性汇总表
在脆弱性识别过程中我们使用的扫描工具包括A 公司的B 型漏洞扫描器应用层
漏洞扫描器
52 脆弱性识别结果
表5-1 重要资产脆弱性汇总表
序号资产名称脆弱性名称
安装与维护缺乏管理
1 OA 数据库服务器
操作系统补丁未安装
深圳市信息安全测评中心- 15 -
2008 年信息安全风险评估报告范本
序号资产名称脆弱性名称
操作系统存在弱口令
缺少操作规程和职责管理
安装与维护缺乏管理
操作系统补丁未安装
操作系统的口令策略没有启用
2 病毒服务器操作系统的帐户锁定策略没有启用
操作系统开放多余服务
缺少操作规程和职责管理
未启用日志功能
安装与维护缺乏管理
操作系统补丁未安装
操作系统的口令策略没有启用
3 OA 服应用务器
操作系统的帐户锁定策略没有启用
操作系统开放多余服务
缺少操作规程和职责管理
安装与维护缺乏管理
4 核心路由6509-1 没有制定访问控制策略
日志及管理功能未启用
深圳市信息安全测评中心- 16 -
2008 年信息安全风险评估报告范本
序号资产名称脆弱性名称
未备份配置文件或存放不当
安装与维护缺乏管理
没有制定访问控制策略
5 核心路由6509-2
日志及管理功能未启用
未备份配置文件或存放不当
安装与维护缺乏管理
6 思科3745 日志及管理功能未启用
未备份配置文件或存放不当
安全保障设备的其它配置不当
安装与维护缺乏管理
7 防火墙
缺少操作规程和职责管理
未启用日志功能
8 磁盘阵列缺少操作规程和职责管理
9 磁带机缺少操作规程和职责管理
未设置用户登录失败门限与超过门限后的处理措
施
10 OA 业务系统
无法保证用户使用的口令达到一定的质量要求
无法检测存储的重要信息数据是否出现完整性
深圳市信息安全测评中心- 17 -
2008 年信息安全风险评估报告范本
序号资产名称脆弱性名称
错误
重要信息数据无加密措施以明文传输
机房出入安全管理中心缺少出入防护
11 总机房
机房缺少电磁防护
没有适当的奖惩规则
12 网络管理员
没有正式的保密协议
没有适当的奖惩规则
13 系统管理员
没有正式的保密协议
没有适当的奖惩规则
14 业务管理员
没有正式的保密协议
没有适当的奖惩规则
15 网络管理员2
没有正式的保密协议
没有适当的奖惩规则
16 系统管理员2
没有正式的保密协议
没有访问控制策略或未实施
17 OA 相关技术资料
信息资产没有清晰的分类标志
深圳市信息安全测评中心- 18 -
2008 年信息安全风险评估报告范本
6 综合风险分析
61 风险分析方法
风险分析小组采用矩阵法计算出风险系数然后按照《深圳市信息安全风险评估
实施指南》中资产风险值＝资产重要性程度值×威胁风险系数的公式计算资产风险
值经项目负责人批准确认形成《资产风险值表》
表格6-1 威胁风险系数计算矩阵
威胁影响程度 1 2 3 4 5
威
胁
风
威险
胁系
发生可数几乎无轻微性一般性严重性非常严重
能
性
1 极低 1 3 6 11 13
2 低 2 5 9 14 17
3 中等
4 8 1
5 18 22
4 高7 12 19 21 24
5 很高10 1
6 20 23 25
62 风险等级划分
经风险分析小组确定并经项目负责人批准我们设定资产风险值大于等于500 为
极高风险小于500 但大于等于350 的为高风险小于350 但大于等于300 的为中
风险小于300 但大于等于200 的为低风险其余为极低风险
深圳市信息安全测评中心- 19 -
2008 年信息安全风险评估报告范本
63 不可接受风险划分
经风险分析小组确定并经项目负责人批准我们设定威胁风险值大于等于8 或资
产威胁风险值大于等于350 的风险都属于不可接受风险
64 风险分析结果
根据6263 的划分准则我们得到重要资产的风险值表
表格6-2 硬件资产风险值表
资产风险值表－－硬件资产
威胁发资产是否可
序资产名资产重威胁影威胁风风险
威胁生可能风险接受风
号称要程度响程度险系数等级
性值险
操作失误 2 2 5 150 是极低
访问控制策略管理不当 2 2 5 150 是极低
1 防火墙30 维护错误
2 2 5 150 是极低
未授权访问资源 2 2 5 150 是极低
原发抵赖 3 3 15 450 否高
操作失误 2 2 5 200 是极低
OA 服应木马后门攻击 2 3 9 360 否高
2 40
用务器设备硬件故障 1 3 6 240 是低
网络病毒传播 3 3 15 600 否极高
深圳市信息安全测评中心- 20 -
2008 年信息安全风险评估报告范本
资产风险值表－－硬件资产
威胁发资产是否可
序资产名资产重威胁影威胁风风险
威胁生可能风险接受风
号称要程度响程度险系数等级
性值险
维护错误 2 2 5 200 是极低
未授权访问系统资源 2 3 9 360 否高
系统负载过载 1 2 3 120 是极低
操作失误 2 2 5 225 是低
滥用权限 2 3 9 405 否高
木马后门攻击 3 3 15 675 否极高
OA 数据社会工程威胁 2 2 5 225 是低
3 45
库服务器网络病毒传播 3 3 15 675 否极高
维护错误 2 2 5 225 是低
未授权访问系统资源 2 3 9 405 否高
未授权访问资源 2 3 9 405 否高
4 磁带机4
5 维护错误 1 2 3 135 是极低
5 磁盘阵列45 维护错误 1 2 3 135 是极低
核心路由操作失误 1 3 6 270 是低
6 45
6509-1 维护错误 1 3 6 270 是低
深圳市信息安全测评中心- 21 -
2008 年信息安全风险评估报告范本
资产风险值表－－硬件资产
威胁发资产是否可
序资产名资产重威胁影威胁风风险
威胁生可能风险接受风
号称要程度响程度险系数等级
性值险
未授权访问网络资源 2 2 5 225 是低
嗅探系统安全配置数据如
2 3 9 405 否高
帐户口令权限等
原发抵赖 3 2 8 360 否高
操作失误 1 3 6 270 是低
维护错误 1 3 6 270 是低
核心路由未授权访问网络资源 2 2 5 225 是低
7 45
6509-2 嗅探系统安全配置数据如
2 3 9 405 否高
帐户口令权限等
原发抵赖 3 2 8 360 否高
操作失误 2 2 5 200 是极低
木马后门攻击 2 3 9 360 否高
病毒服务设备硬件故障 2 2 5 200 是极低
8 40
器网络病毒传播 3 3 15 600 否极高
维护错误 2 2 5 200 是极低
未授权访问系统资源 1 2 3 120 是极低
深圳市信息安全测评中心- 22 -
2008 年信息安全风险评估报告范本
资产风险值表－－硬件资产
威胁发资产是否可
序资产名资产重威胁影威胁风风险
威胁生可能风险接受风
号称要程度响程度险系数等级
性值险
系统负载过载 1 2 3 120 是极低
原发抵赖 3 2 7 320 是
中
操作失误 1 2 3 135 是极低
9 思科3745 45 维护错误 1 2 3 135 是极低
原发抵赖 2 2 5 225 是低
表格6-3 文档和数据风险值表
资产风险值表－－文档和数据
威胁发资产
序资产重威胁影威胁风是否可接风险
资产名称威胁生可能风险
号要程度响程度险系数受风险等级
性值
OA 相关技滥用权限 3 2 7 240 是低
1 30
术资料未授权访问资源 3 2 7 240 是低
深圳市信息安全测评中心- 23 -
2008 年信息安全风险评估报告范本
表格6-4 人力资源资产风险值表
资产风险值表－－人力资源
威胁发资产是否可
序资产名资产重要威胁影威胁风风险
威胁生可能风险接受风
号称程度响程度险系数等级
性值险
网络管理
1 35 社会工程威胁 1 3 6 210 是低
员
网络管理
2 35 社会工程威胁 1
3 6 210 是低
员2
系统管理
3 35 社会工程威胁 1 3 6 210 是低
员
系统管理
4 3
5 社会工程威胁 1 3
6 210 是低
员2
业务管理
5 30 社会工程威胁 1 3
6 180 是极低
员
深圳市信息安全测评中心- 24 -
2008 年信息安全风险评估报告范本
表格6-5 业务应用资产风险值表
资产风险值表－－业务应用
威胁发是否可
序资产名资产重要威胁影威胁风资产风风险
威胁生可能接受风
号称程度响程度险系数险值等级
性险
篡改用户或业务数据信
2 2 5 240 是低
息
控制和破坏用户或业务
3 3 15 720 否极高
数据
OA 业务滥用权限泄漏秘密信息 2 2 5 240 是低
1 48
系统数据篡改 2 3 9 432 否高
探测窃密 2 3 9 432 否高
未授权访问 1 2 3 144 是极低
未授权访问系统资源 2 2 5 240 是低
用户或业务数据的窃取 3 3 15 720 否极高
深圳市信息安全测评中心- 25 -
2008 年信息安全风险评估报告范本
表格6-6 物理环境风险值表
资产风险值表－－物理环境
威胁发是否可
序资产名资产重要威胁影威胁风资产风风险
威胁生可能接受风
号称程度响程度险系数险值等级
性险
电磁干扰 1 2 3 120 是极低
1 总机房40
访问控制策略管理不当 2 3 9 360 否高
7 风险统计
OA 系统风险评估共识别出信息安全风险60 个。