文档介绍:1111单位:1111系统安全项目
信息安全风险评估报告
我们单位名
日期
报告编写人: 日期 :
批准人 :日期 :
版本号 :第一版本 日期
第二 版本 日期
终板
目 录
1ﻩ概述ﻩ3
3
2ﻩ业务系统分析ﻩ4
4
2.2ﻩ网络拓扑结构 4
2.3ﻩ边界数据流向ﻩ4
3 资产分析ﻩ5
3.1 信息资产分析ﻩ5
4ﻩ威胁分析ﻩ6
7
威胁识别ﻩ7
5ﻩ脆弱性分析ﻩ8
9
5. 9
.2ﻩ操作系统脆弱性分析ﻩ9
5.
9
5. 高危漏洞分析ﻩ10
5.2.
应用帐户分析ﻩ10
5.3 管理脆弱性分析ﻩ10
脆弱性识别ﻩ12
6 风险分析ﻩ13
风险分析概述 13
6.2ﻩ资产风险分布ﻩ13
7ﻩ系统安全加固建议ﻩ14
14
7.2ﻩ技术类建议ﻩ14
.1 安全措施ﻩ14
15
操作系统ﻩ15
8ﻩ制定及确认ﻩ16
9ﻩ附录A:脆弱性编号规则ﻩ17
概述
项目背景
为了切实提高各系统的安全保障水平,更好地促进各系统的安全建设工作,提升奥运保障能力,需要增强对于网运中心各系统的安全风险控制,发现系统安全风险并及时纠正。根据网络与信息安全建设规划,为了提高各系统的安全保障和运营水平,现提出系统安全加固与服务项目。
工作方法
在本次安全风险评测中将主要采用的评测方法包括:
Ø人工评测;
Ø工具评测;
Ø调查问卷;
Ø顾问访谈。
评估范围
此次系统测评的范围主要针对该业务系统所涉及的服务器、应用、数据库、网络设备、安全设备、终端等资产。
主要涉及以下方面:
业务系统的应用环境,;
网络及其主要基础设施,例如路由器、交换机等;
安全保护措施和设备,例如防火墙、IDS等;
信息安全管理体系(ISMS)
基本信息
被评估系统名称
xx系统
业务系统负责人
评估工作配合人员
业务系统分析
业务系统职能
网络拓扑结构
图表 1业务系统拓扑结构图
边界数据流向
编号
边界名称
边界类型
路径系统
发起方
数据流向
现有安全措施
MDN
系统类
MDN
本系统/对端系统
双向
系统架构隔离
资产分析
信息资产分析
信息资产识别概述
资产是风险评估的最终评估对象。在一个全面的风险评估中,风险的所有重要因素都紧紧围绕着资产为中心,威胁、脆弱性以及风险都是针对资产而客观存在的。威胁利用资产自身的脆弱性使得安全事件的发生成为可能,从而形成了风险。这些安全事件一旦发生,将对资产甚至是整个系统都将造成一定的影响。
资产被定义为对组织具有价值的信息或资源,资产识别的目标就是识别出资产的价值,风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在其安全属性——机密性、完整性和可用性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。
资产估价等级
赋值
高
3
中
2
低
1
信息资产识别
资产分类
资产组
IP地址/名称
资产估价等级
组号
资产编号
具体资产
物理资产
服务器
H001
sun ultra60
中
H002
sun ultra60
中
H003
sun ultra60
高
H004
sun ultra60
高
网络设备
N001
华为3680E
中
N002
华为3680E
中
N003
华为S2016
中
软件资产
操作系统、数据库和应用软件
H001
Solaris
高
H002
Solaris
高
H003
Solaris
高
H004
Solaris
高
D001
Sybase
高
威胁