最新XX信息系统安全系统风险分析报告与评估报告材料实用模板(公开).doc
《最新XX信息系统安全系统风险分析报告与评估报告材料实用模板(公开).doc》由会员分享,可在线阅读,更多相关《最新XX信息系统安全系统风险分析报告与评估报告材料实用模板(公开).doc(26页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、Four short words sum up what has lifted most successful individuals above the crowd: a little bit more.-author-dateXX信息系统安全系统风险分析报告与评估报告材料实用模板(公开)内部说明文字:大致内容如此,根据具体情况增删XXXX信息系统安全风险评估报告二一五年七月-目 录1评估工作概述31.1评估目标31.2评估组织31.3评估对象31.3.1业务职能与组织结构31.3.2系统定级61.3.3物理环境61.3.4网络结构91.3.5安全保密措施121.3.6重要XX部门、部位13
2、2评估依据和标准133评估方案144资产识别154.1资产重要性等级定义154.2资产分类164.2.1服务器情况列表164.2.2交换机情况列表194.2.3用户终端和XX单机194.2.4特种设备204.2.5软件平台204.2.6安全保密设备204.2.7应用系统情况列表284.2.8试运行应用系统情况列表295威胁识别305.1威胁分类305.2威胁赋值316脆弱性识别336.1脆弱性识别内容336.2脆弱性赋值336.3脆弱性专向检测346.3.1病毒木马专项检查346.3.2网络扫描专项测试347风险分析448风险统计489评估结论4810整改建议481 评估工作概述2015年7月
3、7-9日,由XX部门组织相关人员对XX信息系统进行了安全风险评估。本报告的评估结论仅针对xx厂XX信息系统本次安全风险评估时的状况。1.1评估目标本次评估工作依据有关信息安全技术与管理标准,对xx厂XX信息系统及由其处理、传输和存储的信息的安全属性进行评估,分析该XX信息系统内的服务器、网络设备、用户终端及支撑平台等资产在日常运行、管理过程中面临的威胁、存在的脆弱性以及由此带来的安全风险,为将安全风险控制在可接受的水平,最大限度地保障该XX信息系统的信息安全保密提供指导依据。1.2评估组织本次风险评估由XX信息系统管理领导小组负责组织。由xx部门现场开展本次评估工作,XX业务部门相关人员进行配
4、合。1.3评估对象1.3.1业务职能与组织结构Xx1.3.2系统定级Xx厂XX信息系统经xx批准同意,按照所处理XX信息的最高密级定为机密级,采用增强保护要求进行保护。1.3.3物理环境XX1.3.4网络结构图1 、组织机构图图2周边物理环境图3 、网络拓扑结构图1.3.5安全保密措施XX厂XX信息系统配备了防火墙、网络入侵检测系统、漏洞扫描系统、主机监控与审计系统、XX计算机及移动存储介质保密管理系统(“三合一”系统)、中孚信息消除工具、打印安全监控与审计系统、安全邮件、网间文件交换系统、防计算机病毒软件、线路传导干扰器、一级电磁干扰器、红黑电源滤波隔离插座等安全保密产品。身份鉴别口令认证,
5、复杂度,密码长度等符合要求否?XX便携式计算机、XX单机和XX数据中转单机采用用户名与口令相结合的方式进行身份鉴别。1.3.6重要XX部门、部位XX厂XX信息系统保密要害部门为2个,保密要害部位为5个,具体情况如下表所示。序号名称位置所属部门部位性质防护措施监控门控红外报警2 评估依据和标准 武器装备科研生产单位三级保密资格评分标准3 评估方案本次风险评估采用文档审阅、人员问询、脆弱性扫描和现场查验等风险评估方法。(1)文档审阅:了解XX信息系统的基本情况、2015年上半年发生的变化,问题项的整改情况,确定后续查验的重点。审阅的文档材料主要包括:安全审计报告与审计报告、例行检查记录、工作和审批
6、记录。(2)人员问询:对XX信息系统管理人员和部分用户(包括行政管理人员和技术人员)进行了问询,评估XX信息系统的管理者和使用者对自身保密职责的知悉情况,以及理解相关制度和标准并落实到日常工作中的情况。(3)脆弱性扫描:通过使用中科网威网络漏洞扫描系统对XX厂XX信息系统进行脆弱性扫描,收集服务器、用户终端、网络设备和数据库的安全漏洞。(4)现场查验:评估规章制度的建设和执行情况;评估部分服务器、用户终端、网络设备、应用系统和安全保密设备的安全保密防护情况;评估系统的物理安全和电磁泄漏发射防护情况。4 资产识别资产是对组织具有价值的信息或资源。机密性、完整性和可用性是评价资产的三个安全属性。风
7、险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此,必须对XX厂XX信息系统内的资产进行识别。4.1资产重要性等级定义资产的重要性等级依据资产在保密性、完整性和可用性上的赋值等级综合评定后得出。本次评估将XX厂XX信息系统内的资产划分为五级,级别越高表示资产越重要。不同等级的资产重要性的综合描述如下表所示。等级标识描述5很高非常重要,其安全属性破坏后可能对组织造成非常严重的损
8、失4高重要,其安全属性破坏后可能对组织造成比较严重的损失3中等比较重要,其安全属性破坏后可能对组织造成中等程度的损失2低不太重要,其安全属性破坏后可能对组织造成较低的损失1很低不重要,其安全属性破坏后可能对组织造成很小的损失,甚至忽略不计4.2资产分类根据XX厂资产的表现形式,首先将资产分为服务器、交换机、用户终端(含网络打印机)和XX单机(含XX笔记本电脑)、特种设备、软件平台、安全保密设备和应用系统七个大类。然后,根据4.1节的定义,对不同资产的重要性等级进行赋值。4.2.1服务器情况列表序号类型品牌型号用途IP地址IP地址类型资产重要性等级1.服务器2.服务器3.服务器4.5.6.7.8
9、.9.10.11.12.13.14.15.16.17.18.19.20.21.22.23.24.4.2.2交换机情况列表序号类型交换机型号数量用途资产重要性等级1 1交换机2 2交换机3 3交换机4交换机4.2.3用户终端和XX单机序号类型厂家、型号数量用途资产重要性等级1 1用户终端22 2中间转换机33 3XX笔记本电脑34.2.4特种设备序号类型厂家、型号数量用途资产重要性等级1 1数控机床22 4考勤设备14.2.5软件平台序号软件名称厂家、版本运行该软件的设备用途安装位置资产重要性等级12 3Windows 2003 Server3Windows 2008 Server4 6SQL
10、Server数据库5 7Oracle数据库6OSCAR数据库4.2.6安全保密设备序号设备名称厂家和型号用途安装位置和数量策略设置证书1防火墙2防病毒软件3防病毒软件4防病毒软件5入侵检测系统6漏洞扫描系统7USB移动存储介质使用管理系统8主机监控与审计9微机视频信息保护系统10红黑电源隔离插座11线路传导干扰器4.2.7应用系统情况列表序号系统名称密级安装位置用途用户范围访问权限设置情况资产重要性等级1 1OA系统523454.2.8试运行应用系统情况列表序号系统名称密级安装位置用途用户范围访问权限设置情况资产重要性等级1 152 253 324 5352645 威胁识别5.1威胁分类威胁是
11、可能导致对系统或组织危害的不希望事故的潜在起因。威胁可以通过威胁主体、资源、动机和途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。威胁作用形式可以是对信息系统直接或间接的攻击,在保密性、完整性和可用性等方面造成损害;也可能是偶发的或蓄意的事件。下表为本次评估可能涉及到的威胁分类。种类描述威胁子类软硬件故障对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断、系统本身或软件缺陷等问题设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障等物理环境影响对信息系统正常运行造成影响的物理环境问题和自然灾害断电、静电、灰尘、潮湿、温度、鼠蚁虫
12、害、电磁干扰、洪灾、火灾、地震等无作为或操作失误应该执行而没有执行相应的操作,或无意执行了错误的操作维护错误、操作失误等管理不到位安全管理无法落实或不到位,从而破坏信息系统正常有序运行管理制度和策略不完善、管理流程缺失、职责不明确、监督控管机制不健全等恶意代码故意在计算机系统上执行恶意任务的程序代码病毒、木马、蠕虫、恶意程序、间谍软件、窃听软件等越权或滥用通过采用一些措施,超越自己的权限访问了本来无权访问的资源,或者滥用自己的权限,做出破坏信息系统的行为非授权访问网络资源、非授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄漏XX信息等网络攻击利用工具和技术通过网络对信息系统进行攻
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 最新 XX 信息系统安全 系统 风险 分析 报告 评估 材料 实用 模板 公开
限制150内