收藏
下载资源 加入VIP免费专享

信息安全风险评估报告(模板).pdf

上传人:tbuqq 文档编号:4990926 上传时间:2020-01-24 格式:PDF 页数:15 大小:201KB
返回 下载 相关 举报
信息安全风险评估报告(模板).pdf_第1页
第1页 / 共15页
信息安全风险评估报告(模板).pdf_第2页
第2页 / 共15页
信息安全风险评估报告(模板).pdf_第3页
第3页 / 共15页
信息安全风险评估报告(模板).pdf_第4页
第4页 / 共15页
信息安全风险评估报告(模板).pdf_第5页
第5页 / 共15页
点击查看更多>>
资源描述

《信息安全风险评估报告(模板).pdf》由会员分享,可在线阅读,更多相关《信息安全风险评估报告(模板).pdf(15页珍藏版)》请在三一文库上搜索。

1、SC ISTEC/STC JLMB- QP19-08 安全风险评估报告 系统名称:xxxxxxxxxxx 送检单位 :xxxxxxxxxxxxxxxxxxxx 合同编号 : 评估时间:2011 年 10 月 10 日2011年 10 月 25 日 第 1 页 共 94 页 目录 报告声明 错误!未定义书签。 委托方信息 错误!未定义书签。 受托方信息 错误!未定义书签。 风险评估报告单 错误!未定义书签。 1. 风险评估项目概述 错误!未定义书签。 1.1. 建设项目基本信息 错误!未定义书签。 1.2. 风险评估实施单位基本情况 错误!未定义书签。 1.3. 风险评估活动概述 错误!未定义书

2、签。 1.3.1. 风险评估工作组织过程 错误!未定义书签。 1.3.2. 风险评估技术路线 错误!未定义书签。 1.3.3. 依据的技术标准及相关法规文件 错误!未定义书签。 2. 评估对象构成 错误!未定义书签。 2.1. 评估对象描述 错误!未定义书签。 2.2. 网络拓扑结构 错误!未定义书签。 2.3. 网络边界描述 错误!未定义书签。 2.4. 业务应用描述 错误!未定义书签。 2.5. 子系统构成及定级 错误!未定义书签。 3. 资产调查 错误!未定义书签。 3.1. 资产赋值 错误!未定义书签。 3.2. 关键资产说明 错误!未定义书签。 4. 威胁识别与分析 3 4.1. 关

3、键资产安全需求 3 4.2. 关键资产威胁概要 7 4.3. 威胁描述汇总 20 4.4. 威胁赋值 22 第 2 页 共 94 页 5. 脆弱性识别与分析 25 5.1. 常规脆弱性描述 25 5.1.1. 管理脆弱性 25 5.1.2. 网络脆弱性 25 5.1.3. 系统脆弱性 25 5.1.4. 应用脆弱性 25 5.1.5. 数据处理和存储脆弱性 25 5.1.6. 灾备与应急响应脆弱性 25 5.1.7. 物理脆弱性 25 5.2. 脆弱性专项检查 25 5.2.1. 木马病毒专项检查 25 5.2.2. 服务器漏洞扫描专项检测 26 5.2.3. 安全设备漏洞扫描专项检测 37

4、5.3. 脆弱性综合列表 40 6. 风险分析 47 6.1. 关键资产的风险计算结果 47 6.2. 关键资产的风险等级 51 6.2.1. 风险等级列表 51 6.2.2. 风险等级统计 52 6.2.3. 基于脆弱性的风险排名 52 6.2.4. 风险结果分析 54 7. 综合分析与评价 55 7.1. 综合风险评价 55 7.2. 风险控制角度需要解决的问题 56 8. 整改意见 56 9. 注意事项 错误!未定义书签。 第 3 页 共 94 页 1. 威胁识别与分析 1.1.关键资产安全需求 资产 类别 重要资产名称 重要性程度 (重要等 级) 资产重要性 说明 安全需求 光纤交换机

5、 Brocade 300 非常重要 (5) 保证 xxxx 系统 数据正常传输到 磁 盘 阵 列 的 设 备。 可用性 - 系统可用性是 必需的,价值非常高; 保证各项系统数据正 常传输到磁盘阵列。 完整性 - 完整性价值非 常关键,除管理员外其 他任何用户不能修改 数据。 保密性 - 包含组织的重 要秘密,泄露将会造成 严重损害。 完整性 - 完整性价值非 常关键,除管理员外其 他任何用户不能修改 数据。 保密性 - 包含组织的重 要秘密,泄露将会造成 严重损害。 保密性 - 包含组织的重 要秘密,泄露将会造成 严重损害。 第 4 页 共 94 页 资产 类别 重要资产名称 重要性程度 (重

6、要等 级) 资产重要性 说明 安全需求 保密性 - 包含组织的重 要秘密,泄露将会造成 严重损害。 保密性 - 包含组织的重 要秘密,泄露将会造成 严重损害。 存储 设备 磁盘阵列 HP EVA 4400 非常重要 (5) xxxx 系 统数 据 存储设备。 可用性 - 系统可用性是 必需的,价值非常高; 保证 xxxx 系统数据存 储功能持续正常运行。 完整性 - 完整性价值非 常关键,除管理员外其 他任何用户不能修改 数据。 保密性 - 包含组织的重 要秘密,泄露将会造成 严重损害。 保障 设备 UPS 电源 SANTAK 3C3 EX 30KS 重要( 4) 机房电力保障的 重要设备。

7、可用性 - 系统可用性价 值较高;保证 xxxx 系 统供电工作正常。 完整性 - 完整性价值较 高; 除授权人员外其他 任何用户不能修改数 据。 第 5 页 共 94 页 资产 类别 重要资产名称 重要性程度 (重要等 级) 资产重要性 说明 安全需求 保密性 - 包含组织内部 可公开的信息,泄露将 会造成轻微损害。 完整性 - 完整性价值较 高, 除授权人员外其他 任何用户不能修改数 据。 保密性 - 包含组织的重 要秘密,泄露将会造成 严重损害。 金农一期业务 系统 4(高) 部署在应用服务 器上。 可用性 - 系统可用性价 值较高;保证 xxxx 数 据正常采集。 完整性 - 完整性价

8、值较 高, 除授权人员外其他 任何用户不能修改数 据。 保密性 - 包含组织的重 要秘密,泄露将会造成 严重损害。 备份管理软件 Symantec Backup 重要( 4) xxxx 系 统数 据 备份管理软件。 可用性 - 系统可用性价 值较高;保证 xxxx 系 统数据备份管理功能 正常运行。 第 6 页 共 94 页 资产 类别 重要资产名称 重要性程度 (重要等 级) 资产重要性 说明 安全需求 完整性 - 完整性价值较 高, 除授权人员外其他 任何用户不能修改数 据。 保密性 - 包含组织的重 要秘密,泄露将会造成 严重损害。 内容管理软件 WCM-MUL-V60 网站群版 重要(

9、 4)用户数据采编。 可用性 - 系统可用性价 值较高;保证 xxxx 系 统数据的采编。 完整性 - 完整性价值较 高, 除授权人员外其他 任何用户不能修改数 据。 保密性 - 包含组织的重 要秘密,泄露将会造成 严重损害。 数据xxxx 系统数据 非常重要 (5) xxxx 系 统的 核 心数据。 可用性 - 系统可用性是 必需的,价值非常高; 保证 xxxx 系统的核心 数据能够正常读取及 使用。 完整性 - 完整性价值非 常关键,除管理员外其 他任何用户不能修改 数据。 第 7 页 共 94 页 资产 类别 重要资产名称 重要性程度 (重要等 级) 资产重要性 说明 安全需求 保密性

10、- 包含组织的重 要秘密,泄露将会造成 严重损害。 1.2.关键资产威胁概要 威胁是一种客观存在的, 对组织及其资产构成潜在破坏的可能性因素,通过 对“xxxxxxxxxxxxxxxxxxxx信息系统”关键资产进行调查,对威胁来源(内部/ 外部;主观 /不可抗力等)、威胁方式、发生的可能性等进行分析,如下表所示: 关键资产名称威胁类型关注范围 核心交换机 Quidway S3300 Series 操作失误(维护错误、操作失 误) 维护人员操作不当, 导致交 换机服务异常或中断, 导致 金农一期系统无法正常使 用。 社会工程(社会工程学破解) 流行的免费下载软件中捆 绑流氓软件、 免费音乐中包

11、含病毒、网络钓鱼、垃圾电 子邮件中包括间谍软件等, 引起系统安全问题。 物理破坏(断电、消防、盗窃 和破坏) 物理断电导致关键设备停 止工作,服务中断。 火灾隐患威胁系统正常运 行。 第 8 页 共 94 页 关键资产名称威胁类型关注范围 滥用授权(非授权访问网络资 源、滥用权限非正常修改系统 配置或数据) 管理地址未与特定主机进 行绑定,可导致非授权人员 访问核心交换机, 修改系统 配置或数据,造成网络中 断。 意外故障(设备硬件故障、传 输设备故障) 硬件故障、传输设备故障, 可能导致整个中心机房网 络中断,造成业务应用无法 正常运行。 管理不到位(管理制度和策略 不完善、管理规程遗失、职

12、责 不明确、监督控管机制不健 全) 安全管理制度不完善, 策略 执行无序,造成安全监管漏 洞和缺失。 光纤交换机 Brocade 300 操作失误(维护错误、操作失 误) 维护人员操作不当, 导致交 换机服务异常或中断, 导致 金农一期数据无法正常保 存到磁盘阵列。 物理破坏(断电、消防、盗窃 和破坏) 物理断电导致关键设备停 止工作,服务中断。 火灾隐患威胁系统正常运 行。 滥用授权(非授权访问网络资 源、滥用权限非正常修改系统 配置或数据) 管理地址未与特定主机进 行绑定,可导致非授权人员 访问光纤交换机, 修改系统 配置或数据, 造成数据存储 任务失败。 意外故障(设备硬件故障、传 输设

13、备故障) 硬件故障、传输设备故障, 可能导致磁盘阵列无法连 第 9 页 共 94 页 关键资产名称威胁类型关注范围 接到网络,造成数据存储失 败。 管理不到位(管理制度和策略 不完善、管理规程遗失、职责 不明确、监督控管机制不健 全) 安全管理制度不完善, 策略 执行无序,造成安全监管漏 洞和缺失。 电信接入交换机 Quidway S3300 Series 操作失误(维护错误、操作失 误) 维护人员操作不当, 导致交 换机服务异常或中断, 导致 金农一期系统无法通过互 联网访问。 物理破坏(断电、消防、盗窃 和破坏) 物理断电导致关键设备停 止工作,服务中断。 火灾隐患威胁系统正常运 行。 滥

14、用授权(非授权访问网络资 源、滥用权限非正常修改系统 配置或数据) 管理地址未与特定主机进 行绑定,可导致非授权人员 访问电信接入交换机, 修改 系统配置或数据, 造成网络 中断。 意外故障(设备硬件故障、传 输设备故障) 设备硬件故障、 传输设备故 障,可能导致所有终端的网 络传输中断, 影响各办公室 用户接入网络。 管理不到位(管理制度和策略 不完善、管理规程遗失、职责 不明确、监督控管机制不健 全) 安全管理制度不完善, 策略 执行无序,造成安全监管漏 洞和缺失。 电信出口路由器操作失误(维护错误、操作失维护人员操作不当, 导致出 第 10 页 共 94 页 关键资产名称威胁类型关注范围

15、 误)口路由器服务异常或中断, 影响地市州访问金农一期 系统。 物理破坏(断电、消防、盗窃 和破坏) 物理断电导致关键设备停 止工作,服务中断。 火灾隐患威胁系统正常运 行。 滥用授权(非授权访问网络资 源、滥用权限非正常修改系统 配置或数据) 管理地址未与特定主机进 行绑定,可导致非授权人员 访问电信出口路由器, 修改 系统配置或数据, 造成互联 网通信线路中断。 意外故障(设备硬件故障、传 输设备故障) 设备硬件故障、 传输设备故 障,可能导致所有终端的网 络无法接入互联网。 管理不到位(管理制度和策略 不完善、管理规程遗失、职责 不明确、监督控管机制不健 全) 安全管理制度不完善, 策略

16、 执行无序,造成安全监管漏 洞和缺失。 数据库服务器 漏洞利用(利用漏洞窃取信 息、利用漏洞破坏信息、利用 漏洞破坏系统) 非法入侵者利用漏洞侵入 系统篡改或破坏, 可能导致 数据不可用或完整性丢失。 系统漏洞导致信息丢失、 信 息破坏、系统破坏,服务不 可用。 恶意代码(病毒、木马、间谍 软件、窃听软件) 系统可能受到病毒、木马、 间谍软件、窃听软件的影 响。 第 11 页 共 94 页 关键资产名称威胁类型关注范围 物理破坏(断电、消防、盗窃 和破坏) 物理断电导致关键设备停 止工作,服务中断。 火灾隐患威胁系统正常运 行。 意外故障(设备硬件故障) 硬件及系统故障导致系统 不可用,服务中

17、断。 管理不到位(管理制度和策略 不完善、管理规程遗失、职责 不明确、监督控管机制不健 全) 安全管理制度不完善, 策略 执行无序,造成安全监管漏 洞和缺失。 数据库备份服务器 漏洞利用(利用漏洞窃取信 息、利用漏洞破坏信息、利用 漏洞破坏系统) 非法入侵者利用漏洞侵入 系统篡改或破坏, 可能导致 备份数据不可用或完整性 丢失。 恶意代码(病毒、木马、间谍 软件、窃听软件) 系统可能受到病毒、木马、 间谍软件、窃听软件的影 响。 物理破坏(断电、消防、盗窃 和破坏) 物理断电导致关键设备停 止工作,数据备份服务中 断。 火灾隐患威胁系统正常运 行。 意外故障(设备硬件故障) 服务器系统本身软硬

18、件故 障导致数据备份不可用。 管理不到位(管理制度和策略 不完善、管理规程遗失、职责 不明确、监督控管机制不健 全) 安全管理制度不完善, 策略 执行无序,造成安全监管漏 洞和缺失。 第 12 页 共 94 页 关键资产名称威胁类型关注范围 业务应用服务器 漏洞利用(利用漏洞窃取信 息、利用漏洞破坏信息、利用 漏洞破坏系统) 非法入侵者利用漏洞侵入 系统篡改或破坏, 可能导致 系统业务中断。 入侵者利用系统漏洞攻击 系统,导致服务中断。 恶意代码(病毒、木马、间谍 软件、窃听软件) 系统可能受到病毒、木马、 间谍软件、窃听软件的影 响。 物理破坏(断电、消防、盗窃 和破坏) 物理断电导致关键设

19、备停 止工作,服务中断。 火灾隐患威胁系统正常运 行。 意外故障(设备硬件故障、应 用软件故障) 硬件及系统故障导致系统 不可用,服务中断。 应用软件故障导致服务中 断。 管理不到位(管理制度和策略 不完善、管理规程遗失、职责 不明确、监督控管机制不健 全) 安全管理制度不完善, 策略 执行无序,造成安全监管漏 洞和缺失。 部级下发服务器 漏洞利用(利用漏洞窃取信 息、利用漏洞破坏信息、利用 漏洞破坏系统) 非法入侵者利用漏洞侵入 系统篡改或破坏, 可能导致 下发数据丢失。 入侵者利用系统漏洞攻击 系统,导致部级数据无法接 收。 恶意代码(病毒、木马、间谍 软件、窃听软件) 系统可能受到病毒、

20、木马、 间谍软件、窃听软件的影 第 13 页 共 94 页 关键资产名称威胁类型关注范围 响。 物理破坏(断电、消防、盗窃 和破坏) 物理断电导致关键设备停 止工作,部级数据无法接 收。 火灾隐患威胁系统正常运 行。 意外故障(设备硬件故障、应 用软件故障) 硬件及系统故障导致系统 不可用,部级数据无法接 收。 应用软件故障导致部级数 据无法接收。 管理不到位(管理制度和策略 不完善、管理规程遗失、职责 不明确、监督控管机制不健 全) 安全管理制度不完善, 策略 执行无序,造成安全监管漏 洞和缺失。 数据采集前置机 漏洞利用(利用漏洞窃取信 息、利用漏洞破坏信息、利用 漏洞破坏系统) 非法入侵

21、者利用漏洞侵入 系统篡改或破坏, 可能导致 数据不可用或完整性丢失。 系统来宾帐号密码为空, 具 有一定安全风险。 恶意代码(病毒、木马、间谍 软件、窃听软件) 系统可能受到病毒、木马、 间谍软件、窃听软件的影 响。 物理破坏(断电、消防、盗窃 和破坏) 物理断电导致关键设备停 止工作,服务中断。 火灾隐患威胁系统正常运 行。 意外故障(设备硬件故障、应硬件及系统故障导致系统 第 14 页 共 94 页 关键资产名称威胁类型关注范围 用软件故障)不可用,服务中断。 应用软件故障导致服务不 可用。 管理不到位(管理制度和策略 不完善、管理规程遗失、职责 不明确、监督控管机制不健 全) 安全管理制

22、度不完善, 策略 执行无序,造成安全监管漏 洞和缺失。 应用支撑平台 服务器 漏洞利用(利用漏洞窃取信 息、利用漏洞破坏信息、利用 漏洞破坏系统) 非法入侵者利用漏洞侵入 系统篡改或破坏, 可能导致 数据不可用或完整性丢失。 入侵者利用系统漏洞攻击 系统,导致服务中断。 恶意代码(病毒、木马、间谍 软件、窃听软件) 系统可能受到病毒、木马、 间谍软件、窃听软件的影 响。 物理破坏(断电、消防、盗窃 和破坏) 物理断电导致关键设备停 止工作,服务中断。 火灾隐患威胁系统正常运 行。 意外故障(设备硬件故障、应 用软件故障) 硬件及系统故障导致系统 不可用,服务中断。 应用软件故障导致服务中 断。 管理不到位(管理制度和策略 不完善、管理规程遗失、职责 不明确、监督控管机制不健 全) 安全管理制度不完善, 策略 执行无序,造成安全监管漏 洞和缺失。 管理不到位(管理制度和策略安全管理制度不完善, 策略

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 其他


经营许可证编号:宁ICP备18001539号-1