XX证券综合APP信息系统风险评估综合报告.doc

PAGE PAGE 29 XXXXX综合APP信息系统 风险评估综合报告 XXX信息技术服务有限责任公司 2019年3月 文档信息 文档名称 XXXXX综合APP信息系统风险评估综合报告 文档管理编号 保密级别 内部 文档版本编号 1.0 制作人 制作日期 2019-03-15 复审人 复审日期 2019-03-28 扩散范围 XXXXX股份有限公司、XXX信息技术服务有限责任公司 扩散批准人 适用范围 本文为XXXXX综合APP信息系统风险评估综合报告，适用于了解XXXXX了解综合APP系统当前的信息安全现状，明确采取何种有效措施，降低威胁事件发生的可能性，或者减小威胁事件造成的影响，从而将风险降低到可接受的水平，并为今后的工作作参考。 版权信息 本文的版权属于XXX信息技术服务有限责任公司，未经许可，任何个人和团体不得转载、粘贴或发布本文，也不得部分的转载、粘贴或发布本文，更不得更改本文的部分词汇进行转贴。 未经许可不得拷贝，影印。 目录 TOC \o 1-3 \h \z \u 文档信息 1 适用范围 1 版权信息 1 目录 2 1 概述 3 1.1 评估范围 3 1.2 目标 4 1.3 评估成果 5 2 风险评估方法及内容 5 2.1 风险评估方法 5 2.2 风险评估内容 6 3 资产评估 6 3.1 资产评估概述 6 3.2 资产评估结果 9 3.2.1 硬件资产分析 9 3.2.2 软件资产分析 11 3.2.3 管理资产分析 11 3.2.4 人员资产分析 12 3.2.5 服务资产分析 13 4 威胁评估 14 4.1 威胁评估概述 14 4.2 威胁识别 14 4.3 威胁分析 15 4.3.1 人员威胁分析 17 4.3.2 环境威胁分析 18 4.4 威胁评估总结 19 5 脆弱性评估 20 5.1 脆弱性评估概述 20 5.2 脆弱性分析 21 6 已有安全措施有效性分析 29 7 综合风险评估分析 30 7.1 综合风险评估方法 30 7.2 综合风险评估分析 31 概述 XXXXX随着多年来信息化程度的不断提高，对信息系统的依赖程度也不断增加，网上信息的价值也逐渐增大，随之而来的信息安全问题也日渐凸现，为充分了解当前安全现状，掌握信息系统的安全风险状况，XXXXX信息技术部组织了本次风险评估项目，并委托XXX信息技术服务有限责任公司（简称XXX信息）对其信息系统进行风险评估。 评估范围 根据XXXXX综合APP信息系统的建设情况XXX信息与XXXXX经过协商，确定此次风险评估的范围为综合APP信息系统北京节点及此系统所依托的物理环境、网络环境、主机操作系统和数据库系统，以及安全管理情况。 综合APP信息系统北京节点设备位于XX机房5层，整体网络拓扑图如下所示： 综合APP信息系统中间件及数据库详细拓扑如下所示： 目标 此次风险评估的目的是：分析XXXXX综合APP信息系统及其所依托的网络的安全状况，全面了解和掌握该系统面临的信息安全威胁和风险，为信息系统的使用管理部门开展信息安全建设提供依据，为确立安全策略、制定安全规划、开展安全建设提供决策建议。 评估成果 本次评估所提交的文档有： 《XXXXX综合APP信息系统风险评估综合报告》 《XXXXX综合APP信息系统漏洞扫描报告》 《XXXXX综合APP信息系统渗透测试报告》 《XXXXX综合APP信息系统风险控制规划》 风险评估方法及内容 风险评估方法 XXX信息参考GBT 20984、GBT 22239、ISO27001等标准和指南采用最新的方法进行风险分析，表述出威胁源采用何种威胁方法，利用了系统的何种脆弱性，对哪一类资产，产生了什么样的影响，当前采取了何种安全措施进行防护，其有效性如何，描述残余风险状况，并描述采取何种对策来防范威胁，减少脆弱性。下图为风险评估模型及方法： 资产的评估主要是对资产进行相对估价，而其估价准则就是依赖于对其影响的分析，主要从保密性、完整性、可用性三方面的安全属性进行影响分析，从资产的相对价值中体现了威胁的严重程度；威胁评估是对资产所受威胁发生可能性的评估；脆弱性的评估是对资产脆弱程度的评估，安全风险评估就是通过综合分析评估后的资产信息、威胁信息、脆弱性信息，最终生成风险信息。 风险评估内容 本次风险评估工作共分为4个阶段：即准备阶段、识别阶段、分析阶段、规划验收阶段。 准备阶段：主要完成项目组织、项目实施方案确定、组织培训、项目启动的工作。 识别阶段：主要完成大量的现场识别工作，主要有资产识别、威胁识别、脆弱