信息项目安全风险评估评价评估评价报表方案.doc
《信息项目安全风险评估评价评估评价报表方案.doc》由会员分享,可在线阅读,更多相关《信息项目安全风险评估评价评估评价报表方案.doc(17页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、|1111 单位:1111 系统安全项目信息安全风险评估报告我们单位名日期|报告编写人: 日期 :批准人 :日期 :版本号 :第一版本 日期 第二 版本 日期终板|目 录1 概述 .31.1 项目背景 .31.2 工作方法 .31.3 评估范围 .31.4 基本信息 .32 业务系统分析 .42.1 业务系统职能 .42.2 网络拓扑结构 .42.3 边界数据流向 .43 资产分析 .53.1 信息资产分析 .53.1.1 信息资产识别概述 .53.1.2 信息资产识别 .54 威胁分析 .64.1 威胁分析概述 .64.2 威胁分类 .74.3 威胁主体 .74.4 威胁识别 .75 脆弱性
2、分析 .85.1 脆弱性分析概述 .85.2 技术脆弱性分析 .95.2.1 网络平台脆弱性分析 .95.2.2 操作系统脆弱性分析 .95.2.3 脆弱性扫描结果分析 .95.2.3.1 扫描资产列表 .95.2.3.2 高危漏洞分析 .105.2.3.3 系统帐户分析 .105.2.3.4 应用帐户分析 .105.3 管理脆弱性分析 .10|5.4 脆弱性识别 .126 风险分析 .136.1 风险分析概述 .136.2 资产风险分布 .136.3 资产风险列表 .137 系统安全加固建议 .147.1 管理类建议 .147.2 技术类建议 .147.2.1 安全措施 .147.2.2 网
3、络平台 .157.2.3 操作系统 .158 制定及确认 .169 附录 A:脆弱性编号规则 .17|1 概述概述1.1 项目背景项目背景为了切实提高各系统的安全保障水平,更好地促进各系统的安全建设工作,提升奥运保障能力,需要增强对于网运中心各系统的安全风险控制,发现系统安全风险并及时纠正。根据网络与信息安全建设规划,为了提高各系统的安全保障和运营水平,现提出系统安全加固与服务项目。1.2 工作方法工作方法在本次安全风险评测中将主要采用的评测方法包括: 人工评测; 工具评测; 调查问卷; 顾问访谈。1.3 评估范围评估范围此次系统测评的范围主要针对该业务系统所涉及的服务器、应用、数据库、网络设
4、备、安全设备、终端等资产。主要涉及以下方面:1) 业务系统的应用环境, ;2) 网络及其主要基础设施,例如路由器、交换机等;3) 安全保护措施和设备,例如防火墙、IDS 等;4) 信息安全管理体系(ISMS)1.4 基本信息基本信息被评估系统名称 xx 系统业务系统负责人评估工作配合人员|2 业务系统分析业务系统分析2.1 业务系统业务系统 职能职能2.2 网络拓扑结构网络拓扑结构图表 1 业务系统拓扑结构图2.3 边界数据流向边界数据流向编号 边界名称 边界类型 路径系统 发起方 数据流向 现有安全措施1. MDN 系统类 MDN 本系统/对端系统 双向 系统架构隔离3 资产分析资产分析3.
5、1 信息资产分析信息资产分析3.1.1 信息资产识别概述信息资产识别概述资产是风险评估的最终评估对象。在一个全面的风险评估中,风险的所有重要因素都紧紧围绕着资产为中心,威胁、脆弱性以及风险都是针对资产而客观存在的。威胁利用资产自身的脆弱性使得安全事件的发生成为可能,从而形成了风险。这些安全事件一旦发生,将对资产甚至是整个系统都将造成一定的影响。资产被定义为对组织具有价值的信息或资源,资产识别的目标就是识别出资产的价值,风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在其安全属性机密性、完整性和可用性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。资产估价等级 赋值高 3中
6、 2低 1|3.1.2 信息资产识别信息资产识别资产组资产分类组号 资产编号 具体资产IP 地址/名称资产估价等级H001 sun ultra60 中H002 sun ultra60 中H003 sun ultra60 高服务器 1.H004 sun ultra60 高N001 华为 3680E 中N002 华为 3680E 中物理资产 网络设备 2.N003 华为 S2016 中H001 Solaris 高H002 Solaris 高H003 Solaris 高3.H004 Solaris 高软件资产操作系统、数据库和应用软件4. D001 Sybase 高4 威胁分析威胁分析4.1 威胁分
7、析概述威胁分析概述威胁是指可能对资产或组织造成损害事故的潜在原因。作为风险评估的重要因素,威胁是一个客观存在的事物,无论对于多么安全的信息系统都存在。威胁可能源于对系统直接或间接的攻击,例如信息泄漏、篡改、删除等,在机密性、完整性或可用性等方面造成损害;威胁也可能源于偶发的、或蓄意的事件。按照威胁产生的来源,可以分为外部威胁和内部威胁:(1)外部威胁:来自不可控网络的外部攻击,主要指移动的 CMNET、其它电信运营商的 Internet 互联网,以及第三方的攻击,其中互联网的威胁主要是黑客攻击、蠕虫病毒等,而第三方的威胁主要是越权或滥用、泄密、篡改、恶意代码或病毒等。(2)内部威胁:主要来自内
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息 项目 安全 风险 评估 评价 报表 方案
限制150内