信息安全风险评估报告47031.docx

目录 TOC \o 1-5 \h \z 威胁识别与分析 3 关键资产安全需求 3 关键资产威胁概要 5 威胁描述汇总 12 威胁赋值 13 脆弱性识别与分析 16 常规脆弱性描述 16 管理脆弱性 16 网络脆弱性 16 系统脆弱性 16 应用脆弱性 16 数据处理和存储脆弱性 16 运行维护脆弱性 16 灾备与应急响应脆弱性 16 物理脆弱性 16 脆弱性专项检查 16 木马病毒专项检查 16 服务器漏洞扫描专项检测 16 安全设备漏洞扫描专项检测 27 脆弱性综合列表 29 风险分析 34 关键资产的风险计算结果 34 关键资产的风险等级 37 \o Current Document 风险等级列表 37 \o Current Document 风险等级统计 38 基于脆弱性的风险排名 39 \o Current Document 风险结果分析 39 综合分析与评价 41 综合风险评价 41 风险控制角度需要解决的问题 41 整改意见 43 1.威胁识别与分析 关键资产安全需求 资产 类别 重要资 产名称 重要性程度 （重要等级） 资产重要性 说明 安全需求 光纤交 换机 Brocade 300 非常重要（5） 保证xxxx系 统数据正常 传输到磁盘 阵列的设 备。 可用性-系统可用性是必需的，价值非常 高；保证各项系统数据正常传输到磁盘阵 列。 完整性-完整性价值非常关键， 除管理员外 其他任何用户不能修改数据。 保密性-包含组织的重要秘密， 泄露将会造 成严重损害。 完整性-完整性价值非常关键， 除管理员外 其他任何用户不能修改数据。 保密性-包含组织的重要秘密， 泄露将会造 成严重损害。 保密性-包含组织的重要秘密， 泄露将会造 成严重损害。 保密性-包含组织的重要秘密， 泄露将会造 成严重损害。 保密性-包含组织的重要秘密， 泄露将会造 成严重损害。 存储 设备 磁盘阵 列 HP EVA 4400 非常重要（5） xxxx系统数 据存储设 备。 可用性-系统可用性是必需的，价值非常 高；保证xxxx系统数据存储功能持续正常 运行。 完整性-完整性价值非常关键， 除管理员外 其他任何用户不能修改数据。 保密性-包含组织的重要秘密， 泄露将会造 成严重损害。 保障 设备 UPS电源 SANTAK 3C3 EX 30KS 重要（4） 机房电力保 障的重要设 备。 可用性-系统可用性价值较咼；保证 xxxx 系统供电工作正常。 完整性-完整性价值较高；除授权人员外其 他任何用户不能修改数据。  资产 类别 重要资 产名称 重要性程度 （重要等级） 资产重要性 说明 安全需求 保密性-包含组织内部可公开的信息， 泄露 将会造成轻微损害。 完整性-完整性价值较高，除授权人员外其 他任何用户不能修改数据。 保密性-包含组织的重要秘密， 泄露将会造 成严重损害。 金农一 期业务 系统 4 （高） 部署在应用 服务器上。 可用性-系统可用性价值较咼；保证 xxxx 数据正常采集。 完整性-完整性价值较高，除授权人员外其 他任何用户不能修改数据。 保密性-包含组织的重要秘密， 泄露将会造 成严重损害。 备份管 理软件 Syma nte c Backup 重要（4） xxxx系统数 据备份管理 软件。 可用性-系统可用性价值较咼；保证 xxxx 系统数据备份管理功能正常运行。 完整性-完整性价值较高，除授权人员外其 他任何用户不能修改数据。 保密性-包含组织的重要秘密， 泄露将会造 成严重损害。 内容管 理软件 WCM-MUL -V60 网站群 版 重要（4） 用户数据采 编。 可用性-系统可用性价值较咼；保证 xxxx 系统数据的采编。 完整性-完整性价值较高，除授权人员外其 他任何用户不能修改数据。 保密性-包含组织的重要秘密， 泄露将会造 成严重损害。 数据 xxxx 系 统数据 非常重要 （5） xxxx系统的 核心数据。 可用性-系统可用性是必需的，价值非常 高；保证xxxx系统的核心数据能够正常读 取及使用。 完整性-完整性价值非常关键， 除管理员外 其他任何用户不能修改数据。 保密性-包含组织的重要秘密， 泄露将会造 成严重损害。  关键资产威胁概要 威胁是一种客观存在的，对组织及其资产构成潜在破坏的可能性因素，通过对 “xxxxxxxxxxxxxxxxxxxx 信息系统”关键资产进行调查，对威胁来源（内部 /外部；主观/ 不可抗力等）、威胁方式、发生的可能性等进行分析，如下表所示： 关键资产名称 威胁类型 关注范围 核心交换机 Quidway S3300 Series 操作失误（维