信息安全风险评估报告..

1111单位:1111系统安全项目信息安全风险评估 报告 软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载 我们单位名 日期 报告编写人: 日期: 批准人:日期: 版本号:第一版本日期 第二版本日期 终板 目录 1概述 (5) 1.1项目背景 (5) 1.2工作方法 (5) 1.3评估范围 (5) 1.4基本信息 (5) 2业务系统分析 (6) 2.1业务系统职能 (6) 2.2网络拓扑结构 (6) 2.3边界数据流向 (6) 3资产分析 (6) 3.1信息资产分析 (6) 3.1.1信息资产识别概述 (6) 3.1.2信息资产识别 (7) 4威胁分析 (7) 4.1威胁分析概述 (7) 4.2威胁分类 (8) 4.3威胁主体 (8) 4.4威胁识别 (9) 5脆弱性分析 (9) 5.1脆弱性分析概述 (9) 5.2技术脆弱性分析 (10) 5.2.1网络平台脆弱性分析 (10) 5.2.2操作系统脆弱性分析 (10) 5.2.3脆弱性扫描结果分析 (11) 5.2.3.1扫描资产列表 (11) 5.2.3.2高危漏洞分析 (11) 5.2.3.3系统帐户分析 (11) 5.2.3.4应用帐户分析 (11) 5.3管理脆弱性分析 (12) 5.4脆弱性识别 (13) 6风险分析 (14) 6.1风险分析概述 (14) 6.2资产风险分布 (14) 6.3资产风险列表 (15) 7系统安全加固建议 (15) 7.1管理类建议 (15) 7.2技术类建议 (15) 7.2.1安全措施 (15) 7.2.2网络平台 (16) 7.2.3操作系统 (16) 8制定及确认 ................................................................................................... 错误!未定义书签。9附录A:脆弱性编号规则 (18) 1概述 1.1项目背景 为了切实提高各系统的安全保障水平,更好地促进各系统的安全建设工作,提升奥运保障能力,需要增强对于网运中心各系统的安全风险控制,发现系统安全风险并及时纠正。根据网络与信息安全建设 规划 污水管网监理规划下载职业规划大学生职业规划个人职业规划职业规划论文 ,为了提高各系统的安全保障和运营水平,现提出系统安全加固与服务项目。 1.2工作方法 在本次安全风险评测中将主要采用的评测方法包括: ● 人工评测; ● 工具评测; ● 调查问卷; ● 顾问访谈。 1.3评估范围 此次系统测评的范围主要针对该业务系统所涉及的服务器、应用、数据库、网络设备、安全设备、终端等资产。 主要涉及以下方面: 1)业务系统的应用环境,; 2)网络及其主要基础设施,例如路由器、交换机等; 3)安全保护措施和设备,例如防火墙、IDS等; 4)信息安全管理体系(ISMS) 1.4基本信息 2业务系统分析 2.1业务系统职能 2.2网络拓扑结构 图表1业务系统拓扑结构图 2.3边界数据流向 3资产分析 3.1信息资产分析 3.1.1信息资产识别概述 资产是风险评估的最终评估对象。在一个全面的风险评估中,风险的所有重要因素都紧紧围绕着资产为中心,威胁、脆弱性以及风险都是针对资产而客观存在的。威胁利用资产自身的脆弱性使得安全事件的发生成为可能,从而形成了风险。这些安全事件一旦发生,将对资产甚至是整个系统都将造成一定的影响。 资产被定义为对组织具有价值的信息或资源,资产识别的目标就是识别出资产的价值,风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在其安全属性——机密性、完整性和可用性上的达成程度或者其安全属性未达成时 3.1.2信息资产识别 4威胁分析 4.1威胁分析概述 威胁是指可能对资产或组织造成损害事故的潜在原因。作为风险评估的重要因素,威胁是一个客观存在的事物,无论对于多么安全的信息系统都存在。 威胁可能源于对系统直接或间接的攻击,例如信息泄漏、篡改、删除等,在机密性、完整性或可用性等方面造成损害;威胁也可能源于偶发的、或蓄意的事件。按照威胁产生的来源,可以分为外部威胁和内部威胁: (1)外部威胁:来自不可控网络的外部攻击,主要指移动的CMNET、其它电信运营商的Internet互联网,以及第三方的攻击,其中互联网的威胁主要是黑客攻击、蠕虫病毒等,而第三方的威胁主要是越权或滥用、泄密、篡改、恶意代码或病毒等。 (2)内部威胁:主要来自内部人员的恶意攻击、无作为或操作失误、越权或滥用、泄密、篡改等。另外,由于管理不 规范 编程规范下载gsp规范下载钢格栅规范下载警徽规范下载建设厅规范下载 导致各支撑系统之间的终端混用,也带来病毒泛滥的潜在威胁。 对每种威胁发生的可能性进行分析,最终为其赋一个相对等级值,将根据经验、有关的统计数据来判断威胁发生的频率或者概率。威胁发生的可能性受下列因素影响: 1)资产的吸引力; 2)资产转化成报酬的容易程度; 3)威胁的技术力量; 4)脆弱性被利用的难易程度。 4.2威胁分类 4.3威胁主体 下面对威胁来源从威胁主体的角度进行了威胁等级分析: 4.4威胁识别 5脆弱性分析 5.1脆弱性分析概述 脆弱性是指资产或资产组中能被威胁所利用的弱点,它包括物理环境、组织机构、业务流程、人员、管理、硬件、软件及通讯设施等各个方面,这些都可能被各种安全威胁利用来侵害一个组织机构内的有关资产及这些资产所支持的业务系统。各种安全薄弱环节自身并不会造成什么危害,只有在被各种安全威胁利用后才可能造成相应的危害。需要注意的是不正确的、起不到应有作用的或没有正确实施的安全保护措施本身就可能是一个安全薄弱环节。 这里将对脆弱性被威胁利用的可能性进行评估,最终为其赋相对等级值。 在脆弱性评估时的数据来源应该是资产的拥有者或使用者,相关业务领域的专家以及软硬件信息系统方面的专业人员。 在本次评估中将从技术、管理两个方面进行脆弱性评估。其中在技术方面主要是通过远程和本地两种方式进行工具扫描、手动检查等方式进行评估,以保证脆弱性评估的全面性和有效性;管理脆弱性评估方面主要是对现有的安全 管理制度 档案管理制度下载食品安全管理制度下载三类维修管理制度下载财务管理制度免费下载安全设施管理制度下载 的制定和执行情况进行检查,发现其中的管理漏洞和不足。 5.2技术脆弱性分析 5.2.1网络平台脆弱性分析 华为交换机、路由器设备脆弱性分析,下面按照严重程度高、中、低的顺序 5.2.2操作系统脆弱性分析 5.2.3脆弱性扫描结果分析5.2.3.1 扫描资产列表 5.2.3.2 高危漏洞分析 5.2.3.3 系统帐户分析 本次扫描未发现系统帐户信息。 5.2.3.4 应用帐户分析 本次扫描未发现应用帐户信息。 5.3管理脆弱性分析 5.4脆弱性识别 6风险分析 6.1风险分析概述 风险是指特定的威胁利用资产的一种或一组脆弱性,导致资产的丢失或损害的潜在可能性,即特定威胁事件发生的可能性与后果的结合。风险只能预防、避免、降低、转移和接受,但不可能完全被消灭。在这个过程中,将根据上面评估的结果,选择适当的风险计算方法或工具确定风险的大小与风险等级,即对每一业务系统的资产因遭受泄露、修改、不可用和破坏所带来的任何影响做出一个风险测量的列表,以便识别与选择适当和正确的风险控制策略,这也将是策划信息安全体系架构的重要步骤。 6.2资产风险分布 图表2资产风险分布图 6.3资产风险列表 根据风险的计算 公式 小学单位换算公式大全免费下载公式下载行测公式大全下载excel公式下载逻辑回归公式下载 函数:R=f(A,T,V)=f(Ia,L(Va,T)),其中R代表风险, 7系统安全加固建议 7.1管理类建议 7.2技术类建议 7.2.1安全措施 7.2.2网络平台 7.2.3操作系统 8附录A:脆弱性编号规则 脆弱性编号形式为:Vnnxxx,例如:V10001。脆弱性编号从001开始从小