XX信息系统安全风险分析与评估报告模板(公开).doc

1、说明文字：大致内容如此，根据具体情况增删第 2 页 共 22 页XXXX信息系统安全风险评估报告二一五年七月第 3 页 共 22 页目 录1 评估工作概述 .31.1 评估目标 .31.2 评估组织 .31.3 评估对象 .31.3.1 业务职能与组织结构 .31.3.2 系统定级 .61.3.3 物理环境 .61.3.4 网络结构 .91.3.5 安全保密措施 .121.3.6 重要 XX 部门、部位 .132 评估依据和标准 .133 评估方案 .144 资产识别 .154.1 资产重要性等级定义 .154.2 资产分类 .164.2.1 服务器情况列表 .164.2.2 交换机情况列表

2、.194.2.3 用户终端和 XX 单机 .194.2.4 特种设备 .204.2.5 软件平台 .204.2.6 安全保密设备 .204.2.7 应用系统情况列表 .284.2.8 试运行应用系统情况列表 .295 威胁识别 .305.1 威胁分类 .305.2 威胁赋值 .316 脆弱性识别 .336.1 脆弱性识别内容 .336.2 脆弱性赋值 .336.3 脆弱性专向检测 .346.3.1 病毒木马专项检查 .346.3.2 网络扫描专项测试 .347 风险 分析 .448 风险统计 .489 评估结论 .4810 整改建议 .48第 4 页 共 22 页1 评估工作概述2015 年

3、7 月 7-9 日，由 XX 部门组织相关人员对 XX 信息系统进行了安全风险评估。本报告的评估结论仅针对 xx 厂 XX 信息系统本次安全风险评估时的状况。1.1 评估目标本次评估工作依据有关信息安全技术与管理标准，对 xx 厂 XX信息系统及由其处理、传输和存储的信息的安全属性进行评估，分析该 XX 信息系统内的服务器、网络设备、用户终端及支撑平台等资产在日常运行、管理过程中面临的威胁、存在的脆弱性以及由此带来的安全风险，为将安全风险控制在可接受的水平，最大限度地保障该 XX 信息系统的信息安全保密提供指导依据。1.2 评估组织本次风险评估由 XX 信息系统管理领导小组负责组织。由 xx

4、部门现场开展本次评估工作，XX 业务部门相关人员进行配合。1.3 评估对象1.3.1 业务职能与组织结构Xx1.3.2 系统定级Xx 厂 XX 信息系统经 xx 批准同意，按照所处理 XX 信息的最高密级定为机密级，采用增强保护要求进行保护。第 5 页 共 22 页1.3.3 物理环境XX1.3.4 网络结构图 1 、组织机构图图 2 周边物理环境图3 、网络拓扑结构图1.3.5 安全保密措施XX 厂 XX 信息系统配备了防火墙、网络入侵检测系统、漏洞扫描系统、主机监控与审计系统、XX 计算机及移动存储介质保密管理系统（“三合一”系统） 、中孚信息消除工具、打印安全监控与审计系统、安全邮件、网

5、间文件交换系统、防计算机病毒软件、线路传导干扰器、一级电磁干扰器、红黑电源滤波隔离插座等安全保密产品。身份鉴别口令认证，复杂度，密码长度等符合要求否？XX 便携式计算机、XX 单机和 XX 数据中转单机采用用户名与口令相结合的方式进行身份鉴别。1.3.6 重要 XX 部门、部位XX 厂 XX 信息系统保密要害部门为 2 个，保密要害部位为 5 个，具体情况如下表所示。防护措施序号 名称 位置 所属部门 部位性质监控 门控 红外报警第 6 页 共 22 页2 评估依据和标准 武器装备科研生产单位三级保密资格评分标准3 评估方案本次风险评估采用文档审阅、人员问询、脆弱性扫描和现场查验等风险评估方法

6、。（1）文档审阅：了解 XX 信息系统的基本情况、2015 年上半年发生的变化，问题项的整改情况，确定后续查验的重点。审阅的文档材料主要包括：安全审计报告与审计报告、例行检查记录、工作和审批记录。（2）人员问询：对 XX 信息系统管理人员和部分用户（包括行政管理人员和技术人员）进行了问询，评估 XX 信息系统的管理者和使用者对自身保密职责的知悉情况，以及理解相关制度和标准并落实到日常工作中的情况。（3）脆弱性扫描：通过使用中科网威网络漏洞扫描系统对 XX厂 XX 信息系统进行脆弱性扫描，收集服务器、用户终端、网络设备和数据库的安全漏洞。第 7 页 共 22 页（4）现场查验：评估规章制度的建设

7、和执行情况；评估部分服务器、用户终端、网络设备、应用系统和安全保密设备的安全保密防护情况；评估系统的物理安全和电磁泄漏发射防护情况。4 资产识别资产是对组织具有价值的信息或资源。机密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此，必须对 XX 厂 XX 信息系统内的资产进行识别。4.1 资产重要性等级定义资产的重要性等级依据资

8、产在保密性、完整性和可用性上的赋值等级综合评定后得出。本次评估将 XX 厂 XX 信息系统内的资产划分为五级，级别越高表示资产越重要。不同等级的资产重要性的综合描述如下表所示。等级 标识 描述5 很高 非常重要，其安全属性破坏后可能对组织造成非常严重的损失4 高 重要，其安全属性破坏后可能对组织造成比较严重的损失3 中等 比较重要，其安全属性破坏后可能对组织造成中等程度的损失2 低 不太重要，其安全属性破坏后可能对组织造成较低的损失1 很低 不重要，其安全属性破坏后可能对组织造成很小的损失，甚至忽略不计第 8 页 共 22 页4.2 资产分类根据 XX 厂资产的表现形式，首先将资产分为服务器、

9、交换机、用户终端（含网络打印机）和 XX 单机（含 XX 笔记本电脑） 、特种设备、软件平台、安全保密设备和应用系统七个大类。然后，根据4.1 节的定义，对不同资产的重要性等级进行赋值。4.2.1 服务器情况列表序号 类型 品牌型号 用途 IP 地址IP 地址类型资产重要性等级1. 服务器2. 服务器3. 服务器4.5.6.7.8.9.10.11.12.13.14.15.16.17.18.19.20.21.22.23.24.第 9 页 共 22 页4.2.2 交换机情况列表序号 类型 交换机型号 数量 用途资产重要性等级1 1 交换机2 2 交换机3 3 交换机4 交换机4.2.3 用户终端和

10、 XX 单机序号 类型 厂家、型号 数量 用途资产重要性等级1 1 用户终端 22 2 中间转换机 33 3 XX 笔记本电 脑 34.2.4 特种设备序号 类型 厂家、型号 数量 用途资产重要性等级1 1 数控机床 22 4 考勤设备 14.2.5 软件平台序号 软件名称 厂家、版本运行该软件的设备 用途 安装位置资产重要性等级1 2 3 Windows 2003 Server 3 Windows 2008 Server 4 6 SQL Server 数据库 5 7 Oracle 数据库 6 OSCAR 数据库 第 10 页 共 22 页4.2.6 安全保密设备序号设备名称厂家和型号 用途安装位置和数量策略设置证书1 防火墙2 防病毒 软件3 防病毒 软件4 防病毒 软件5 入侵检测系统6 漏洞扫描系统7USB 移动存储介质使用管理系统8主机监控与审计9微机视频信息保护系统10红黑电源隔离插座11线路传导干扰器4.2.7 应用系统情况列表序号 系统名称密级 安装位置 用途用户范围 访问权限设置情况资产重要性等级