信息安全风险评估报告(模板).pdf

SC ISTEC/STC JLMB- QP19-08 安全风险评估报告 系统名称：xxxxxxxxxxx 送检单位： xxxxxxxxxxxxxxxxxxxx 合同编号： 评估时间：2011年10月10 日~2011年10月25 日 目 录 报告声明错误！未定义书签。 委托方信息错误！未定义书签。 受托方信息错误！未定义书签。 风险评估报告单错误！未定义书签。 1. 风险评估项目概述错误！未定义书签。 1.1.建设项目基本信息错误！未定义书签。 1.2.风险评估实施单位基本情况错误！未定义书签。 1.3.风险评估活动概述错误！未定义书签。 1.3.1.风险评估工作组织过程错误！未定义书签。 1.3.2.风险评估技术路线错误！未定义书签。 1.3.3.依据的技术标准及相关法规文件错误！未定义书签。 2. 评估对象构成错误！未定义书签。 2.1.评估对象描述错误！未定义书签。 2.2.网络拓扑结构错误！未定义书签。 2.3.网络边界描述错误！未定义书签。 2.4.业务应用描述错误！未定义书签。 2.5.子系统构成及定级错误！未定义书签。 3. 资产调查错误！未定义书签。 3.1.资产赋值错误！未定义书签。 3.2.关键资产说明错误！未定义书签。 4. 威胁识别与分析3 4.1.关键资产安全需求3 4.2.关键资产威胁概要7 4.3.威胁描述汇总20 4.4.威胁赋值22 第 1 页 共94页 5. 脆弱性识别与分析25 5.1.常规脆弱性描述25 5.1.1.管理脆弱性25 5.1.2.网络脆弱性25 5.1.3.系统脆弱性25 5.1.4.应用脆弱性25 5.1.5.数据处理和存储脆弱性25 5.1.6.灾备与应急响应脆弱性25 5.1.7.物理脆弱性25 5.2.脆弱性专项检查25 5.2.1.木马病毒专项检查25 5.2.2.服务器漏洞扫描专项检测26 5.2.3.安全设备漏洞扫描专项检测37 5.3.脆弱性综合列表40 6. 风险分析47 6.1.关键资产的风险计算结果47 6.2.关键资产的风险等级51 6.2.1.风险等级列表51 6.2.2.风险等级统计52 6.2.3.基于脆弱性的风险排名52 6.2.4.风险结果分析54 7. 综合分析与评价55 7.1.综合风险评价55 7.2.风险控制角度需要解决的问题56 8. 整改意见57 9. 注意事项错误！未定义书签。 第 2 页 共94页 1. 威胁识别与分析 1.1. 关键资产安全需求 重要性程度 资产 资产重要性 重要资产名称 （重要等 安全需求 类别 说明 级） 可用性-系统可用性是 必需的，价值非常高； 保证各项系统数据正 常传输到磁盘阵列。