00_信息系统安全风险评估总结报告.doc

WORD格式下载可编辑 专业资料 整理分享 信息系统安全风险评估总结报告 文档信息 文档名称 xxxxxx信息系统安全风险评估总结报告 保密级别 商密 文档版本编号 1.0 文档管理编号 XJAIR-PGBG 管理人 xxxxxx信息部 起草人 制作日期 200 复审人 评估工作领导小组 风险评估专家咨询小组 复审日期 2005/06/ 扩散范围 xxxxxx风险评估项目组，风险评估专家咨询小组， xxxxxx信息部 文档说明 本文档为xxxxxx信息系统安全风险评估总结报告，包括风险评估概述、风险评估方法、系统特征描述、风险分析和风险控制几个部分。 版权声明 本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属xxxxxx监理公司所有，受到有关产权及版权法保护。任何个人、机构未经xxxxxx监理公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。 前 言 2003年中共中央办公厅、国务院办公厅下发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)，即27号文件，文件指出：“为了进一步提高信息安全保障工作的能力和水平，……要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素，进行相应等级的安全建设和管理。”为加强信息安全保障工作，开展重要行业信息系统的安全风险评估工作指明了方向。 金融、电信和民航一向被认为是我国信息化程度最高的三大行业，也是信息化手段更新最快、对信息技术依赖性最强的行业。安全生产是民航运输业的重中之重，但是由于信息安全保障不足，2003年7月，某机场的计算机网络系统突然瘫痪，一时间，所有飞机无法起降，大量乘客被困机场，严重影响机场的正常运营，并造成了巨大的损失。而在不久之后，某大型民航机场的信息系统又突然出现问题，所幸几分钟后机场备用系统成功地接替了工作，顺利化险为夷。这些例子说明，当前民航网络和信息安全形势不容乐观，重要的网络和信息系统缺乏必要的安全防范手段，这同样也成为了民航信息化建设的隐患。值得一提的是，和国外相比，信息网络安全在国内的信息系统建设过程中所受到的重视程度往往不够，投资所占的比例明显偏低。也许这正是我国信息系统安全的隐忧所在。目前，银行、电力、铁路、民航、证券、保险、海关、税务已经被列入与国计民生密切相关的八大重点行业之中，其信息安全保障工作受到国信办的高度重视。 xxxxxx致力于信息系统建设近十年，期间信息系统经历了多次的升级改造，同时在信息系统的建设过程中，航空公司也经历了重大的机构调整，实行了机场、民航管理局和航空公司的分离，成立了xxxxxx集团xx分公司，并形成了xxxxxx独立的网络系统。在信息系统建设形成一定规模、网络系统经过重大调整的情况下，xxxxxx部适时提出了进行“信息系统安全风险评估”这一具有前瞻性、建设性的要求，请第三方机构对信息系统的安全管理、网络通讯、应用系统进行全面的安全风险评估。 本报告是整个评估工作的总结性报告，综合分析了xxxxxx系统的特征、面临的安全威胁、系统存在的脆弱性以及威胁利用脆弱性可能对系统造成的风险，描述了针对脆弱性提出的信息安全风险控制建议。评估过程及详细的测试分析内容分别体现在本报告的附件-01到附件-18。 目 录 TOC \o 1-2 \h \z \u HYPERLINK \l _Toc107289677 第一部分 概述 PAGEREF _Toc107289677 \h 4 HYPERLINK \l _Toc107289678 1.1 风险评估的背景 PAGEREF _Toc107289678 \h 4 HYPERLINK \l _Toc107289679 1.2 风险评估项目组 PAGEREF _Toc107289679 \h 4 HYPERLINK \l _Toc107289680 1.3 风险评估的目的 PAGEREF _Toc107289680 \h 6 HYPERLINK \l _Toc107289681 1.4 风险评估的依据 PAGEREF _Toc107289681 \h 7 HYPERLINK \l _Toc107289682 第二部分 风险评估方法 PAGEREF _Toc107289682 \h 7 HYPERLINK \l _Toc107289683 2.1 风险评估流程 PAGEREF _Toc107289683 \h 7 HYPERLINK \l _Toc107289684 2.2 风险评估的结果文档