00-信息系统安全风险评估总结报告.doc

信息系统安全风险评估总结报告 文档信息 文档名称 xxxxxx信息系统安全风险评估总结报告 保密级别 商密 文档版本编号 1.0 文档管理编号 XJAIR-PGBG 管理人 xxxxxx信息部 起草人 制作日期 2005/05/26 复审人 评估工作领导小组 风险评估专家咨询小组 复审日期 2005/06/16 扩散范围 xxxxxx风险评估项目组，风险评估专家咨询小组， xxxxxx信息部 文档说明 本文档为xxxxxx信息系统安全风险评估总结报告，包括风险评估概述、风险评估方法、系统特征描述、风险分析和风险控制几个部分。 版权声明 本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属xxxxxx监理公司所有，受到有关产权及版权法保护。任何个人、机构未经xxxxxx监理公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。 前 言 2003年中共中央办公厅、国务院办公厅下发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)，即27号文件，文件指出：“为了进一步提高信息安全保障工作的能力和水平，……要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素，进行相应等级的安全建设和管理。”为加强信息安全保障工作，开展重要行业信息系统的安全风险评估工作指明了方向。 金融、电信和民航一向被认为是我国信息化程度最高的三大行业，也是信息化手段更新最快、对信息技术依赖性最强的行业。安全生产是民航运输业的重中之重，但是由于信息安全保障不足，年7月，某机场的计算机网络系统突然瘫痪，一时间，所有飞机无法起降，大量乘客被困机场，严重影响机场的正常运营，并造成了巨大的损失。而在不久之后，某大型民航机场的信息系统又突然出现问题，所幸几分钟后机场备用系统成功地接替了工作，顺利化险为夷。这些例子说明，当前民航网络和信息安全形势不容乐观，重要的网络和信息系统缺乏必要的安全防范手段，这同样也成为了民航信息化建设的隐患。值得一提的是，和国外相比，信息网络安全在国内的信息系统建设过程中所受到的重视程度往往不够，投资所占的比例明显偏低。也许这正是我国信息系统安全的隐忧所在。目前，银行、电力、铁路、民航、证券、保险、海关、税务列入与国计民生密切相关的大重点行业之中保障。第一部分 概述 4 1.1 风险评估的背景 4 1.2 风险评估项目组 4 1.3 风险评估的目的 6 1.4 风险评估的依据 7 第二部分 风险评估方法 7 2.1 风险评估流程 7 2.2 风险评估的结果文档 9 2.3 风险评估的现场测试 10 2.4 风险评估的分析方法 11 第三部分 系统特征描述 12 3.1 系统定位 12 3.2 网络拓扑结构 12 3.3 现行系统的安全策略 13 3.4 信息资产识别和定义 15 第四部分 风险分析 17 4.1 威胁识别 17 4.2 脆弱性识别 20 4.3 信息安全风险分析 24 第五部分 风险控制 26 5.1 评估结果分析 26 5.2 风险控制建议 27 5.3 风险控制措施实施建议 28 附表1 xxxxxx信息系统安全保护等级符合情况对照表 28 附表2 xxxxxx信息系统安全风险评估技术文档交接单 28 第一部分 概述 1.1 风险评估的背景 xxxxxx是xxxxxx股份公司的成员单位之一，是国有大型航空运输企业开辟有5多条国内航线和条国际航线。现已形成以为中心的枢纽-辐射式营运网。经过 本次风险评估项目由多方共同组建项目组，项目委托单位为xxxxxx，项目组织单位为xxxxxx监理公司，参加单位有xx质量技术监督局、xx大学现代教育中心、中国科学院xx理化所等。 安全评估领导小组组成如下： 分组 姓名 职务/职称 工作单位 工作职责 领导小组 总经理 组长/组织协调 总工 副组长/技术负责 部长 协调管理 副部长 协调管理 主任/教授 应用系统组组长 总监 网络通讯组组长 安全评估小组组成如下： 分组 姓名 职务/职称 工作单位 工作职责 应用系统小组 主任/教授 应用系统组组长 计算机硕士 副组长 主任 副组长 监理工程师 成员 工程师 成员 网络通讯小组 网络总监 组长 副主任 副组长 副主任 成员 高级程序员 流量分析与系统测试 计算机硕士 成员 助理工程师 成员 助理工程师 成员 安全管理小组 副研究员 xxxxxx监理公司 组长 副主任 xxxxxx信息部运行室