《信息安全风险评估报告..》.docVIP

1111单位:1111系统安全项目 信息安全风险评估报告 我们单位名 日期 报告编写人: 日期 ： 批准人 ：日期 ： 版本号 ：第一版本 日期 第二 版本 日期 终板 目　录 TOC \o 1-4 \h \z \u 1 概述 3矚慫润厲钐瘗睞枥庑赖賃軔朧碍鳝。 1.1 项目背景 3聞創沟燴鐺險爱氇谴净祸測樅锯鳗。 1.2 工作方法 3残骛楼諍锩瀨濟溆塹籟婭骒東戇鳖。 1.3 评估范围 3酽锕极額閉镇桧猪訣锥顧荭钯詢鳕。 1.4 基本信息 3彈贸摄尔霁毙攬砖卤庑诒尔肤亿鳔。 2 业务系统分析 4謀荞抟箧飆鐸怼类蒋薔點鉍杂篓鳐。 2.1 业务系统职能 4厦礴恳蹒骈時盡继價骚卺癩龔长鳏。 2.2 网络拓扑结构 4茕桢广鳓鯡选块网羈泪镀齐鈞摟鳎。 2.3 边界数据流向 4鹅娅尽損鹌惨歷茏鴛賴縈诘聾諦鳍。 3 资产分析 5籟丛妈羥为贍偾蛏练淨槠挞曉养鳌。 3.1 信息资产分析 5預頌圣鉉儐歲龈讶骅籴買闥龅绌鳆。 3.1.1 信息资产识别概述 5渗釤呛俨匀谔鱉调硯錦鋇絨钞陉鳅。 3.1.2 信息资产识别 5铙誅卧泻噦圣骋贶頂廡缝勵罴楓鳄。 4 威胁分析 6擁締凤袜备訊顎轮烂蔷報赢无貽鳃。 4.1 威胁分析概述 6贓熱俣阃歲匱阊邺镓騷鯛汉鼉匮鲻。 4.2 威胁分类 7坛摶乡囂忏蒌鍥铃氈淚跻馱釣缋鲸。 4.3 威胁主体 7蜡變黲癟報伥铉锚鈰赘籜葦繯颓鲷。 4.4 威胁识别 7買鲷鴯譖昙膚遙闫撷凄届嬌擻歿鲶。 5 脆弱性分析 8綾镝鯛駕櫬鹕踪韦辚糴飙钪麦蹣鲵。 5.1 脆弱性分析概述 8驅踬髏彦浃绥譎饴憂锦諑琼针咙鲲。 5.2 技术脆弱性分析 9猫虿驢绘燈鮒诛髅貺庑献鵬缩职鲱。 5.2.1 网络平台脆弱性分析 9锹籁饗迳琐筆襖鸥娅薔嗚訝摈馍鲰。 5.2.2 操作系统脆弱性分析 9構氽頑黉碩饨荠龈话骛門戲鷯瀏鲮。 5.2.3 脆弱性扫描结果分析 9輒峄陽檉簖疖網儂號泶蛴镧釃邊鲫。 扫描资产列表 9尧侧閆繭絳闕绚勵蜆贅瀝纰縭垦鲩。 高危漏洞分析 10识饒鎂錕缢灩筧嚌俨淒侬减攙苏鲨。 系统帐户分析 10凍鈹鋨劳臘锴痫婦胫籴铍賄鹗骥鲧。 应用帐户分析 10恥諤銪灭萦欢煬鞏鹜錦聰櫻郐燈鲦。 5.3 管理脆弱性分析 10鯊腎鑰诎褳鉀沩懼統庫摇饬缗釷鲤。 5.4 脆弱性识别 12硕癘鄴颃诌攆檸攜驤蔹鸶胶据实鲣。 6 风险分析 13阌擻輳嬪諫迁择楨秘騖輛埙鵜蔹鲢。 6.1 风险分析概述 13氬嚕躑竄贸恳彈瀘颔澩纷釓鄧鳌鲡。 6.2 资产风险分布 13釷鹆資贏車贖孙滅獅赘慶獷緞瑋鲟。 6.3 资产风险列表 13怂阐譜鯪迳導嘯畫長凉馴鸨撟鉍鲞。 7 系统安全加固建议 14谚辞調担鈧谄动禪泻類谨觋鸾帧鲜。 7.1 管理类建议 14嘰觐詿缧铴嗫偽純铪锩癱恳迹见鲛。 7.2 技术类建议 14熒绐譏钲鏌觶鷹緇機库圆鍰缄鹗鲚。 7.2.1 安全措施 14鶼渍螻偉阅劍鲰腎邏蘞阕簣择睜鲔。 7.2.2 网络平台 15纣忧蔣氳頑莶驅藥悯骛覲僨鴛鋅鲒。 7.2.3 操作系统 15颖刍莖蛺饽亿顿裊赔泷涨负這恻鲑。 8 制定及确认 16濫驂膽閉驟羥闈詔寢賻減栖綜诉鲐。 9 附录A：脆弱性编号规则 17銚銻縵哜鳗鸿锓謎諏涼鏗穎報嚴鲍。 概述 项目背景 为了切实提高各系统的安全保障水平，更好地促进各系统的安全建设工作，提升奥运保障能力，需要增强对于网运中心各系统的安全风险控制，发现系统安全风险并及时纠正。根据网络与信息安全建设规划，为了提高各系统的安全保障和运营水平，现提出系统安全加固与服务项目。挤貼綬电麥结鈺贖哓类芈罷鸨竇鲋。 工作方法 在本次安全风险评测中将主要采用的评测方法包括： ?人工评测； ?工具评测； ?调查问卷； ?顾问访谈。 评估范围 此次系统测评的范围主要针对该业务系统所涉及的服务器、应用、数据库、网络设备、安全设备、终端等资产。 主要涉及以下方面： 业务系统的应用环境，； 网络及其主要基础设施，例如路由器、交换机等； 安全保护措施和设备，例如防火墙、IDS等； 信息安全管理体系（ISMS） 基本信息 被评估系统名称 xx系统 业务系统负责人 评估工作配合人员 业务系统分析 业务系统职能 网络拓扑结构 图表 SEQ 图表 \* ARABIC 1业务系统拓扑结构图 边界数据流向 编号 边界名称 边界类型 路径系统 发起方 数据流向 现有安全措施 MDN 系统类 MDN 本系统/对端系统 双向 系统架构隔离 资产分析 信息资产分析 信息资产识别概述 资产是风险评估