信息安全风险评估报告.docxVIP

目 录 威胁识别与分析 3 关键资产安全需求 3 关键资产威胁概要 5 威胁描述汇总 12 威胁赋值 13 脆弱性识别与分析 16 常规脆弱性描述 16 管理脆弱性 16 网络脆弱性 16 系统脆弱性 16 应用脆弱性 16 数据处理和存储脆弱性 16 运行维护脆弱性 16 灾备与应急响应脆弱性 16 物理脆弱性 16 脆弱性专项检查 16 木马病毒专项检查 16 服务器漏洞扫描专项检测 16 安全设备漏洞扫描专项检测 26 脆弱性综合列表 27 风险分析 32 关键资产的风险计算结果 32 关键资产的风险等级 36 风险等级列表 36 风险等级统计 37 基于脆弱性的风险排名 37 风险结果分析 38 综合分析与评价 39 综合风险评价 39 风险控制角度需要解决的问题 39 整改意见 41 威胁识别与分析 关键资产安全需求 资产 重要资 重要性程度 资产重要性 安全需求 类别 产名称 （重要等级） 说明 可用性-系统可用性是必需的，价值非常高；保证各项系统数据正常传输到磁盘阵列。 完整性-完整性价值非常关键，除管理员外其他任何用户不能修改数据。 光纤交换机  保证xxxx 系统数据正常 非常重要（5） 传输到磁盘  保密性-包含组织的重要秘密，泄露将会造成严重损害。 完整性-完整性价值非常关键，除管理员外其他任何用户不能修改数据。 Brocade 阵列的设 300 备。 磁盘阵 存储 列 xxxx 系统数非常重要（5） 据存储设 设备 HP EVA 备。 4400 UPS 电源 保密性-包含组织的重要秘密，泄露将会造成严重损害。 保密性-包含组织的重要秘密，泄露将会造成严重损害。 保密性-包含组织的重要秘密，泄露将会造成严重损害。 保密性-包含组织的重要秘密，泄露将会造成严重损害。 可用性-系统可用性是必需的，价值非常 高；保证xxxx系统数据存储功能持续正常运行。 完整性-完整性价值非常关键，除管理员外其他任何用户不能修改数据。 保密性-包含组织的重要秘密，泄露将会造成严重损害。 可用性-系统可用性价值较高；保证xxxx 保障 SANTAK 设备 3C3 EX 30KS  重要（4） 机房电力保 障的重要设备。 系统供电工作正常。 完整性-完整性价值较高；除授权人员外其他任何用户不能修改数据。 资产 重要资 重要性程度 资产重要性  安全需求 类别 产名称 （重要等级） 说明 保密性-包含组织内部可公开的信息，泄露将会造成轻微损害。 完整性-完整性价值较高，除授权人员外其他任何用户不能修改数据。 保密性-包含组织的重要秘密，泄露将会造成严重损害。 金农一期业务系统 备份管理软件 Symante c Backup 内容管理软件 WCM-MUL -V60 网站群版 xxxx 系 数据  4（高） 重要（4） 重要（4） 非常重要  部署在应用服务器上。 xxxx 系统数据备份管理软件。 用户数据采编。 xxxx 系统的 可用性-系统可用性价值较高；保证xxxx 数据正常采集。 完整性-完整性价值较高，除授权人员外其他任何用户不能修改数据。 保密性-包含组织的重要秘密，泄露将会造成严重损害。 可用性-系统可用性价值较高；保证xxxx 系统数据备份管理功能正常运行。 完整性-完整性价值较高，除授权人员外其他任何用户不能修改数据。 保密性-包含组织的重要秘密，泄露将会造成严重损害。 可用性-系统可用性价值较高；保证xxxx 系统数据的采编。 完整性-完整性价值较高，除授权人员外其他任何用户不能修改数据。 保密性-包含组织的重要秘密，泄露将会造成严重损害。 可用性-系统可用性是必需的，价值非常 高；保证xxxx系统的核心数据能够正常读取及使用。 完整性-完整性价值非常关键，除管理员 统数据 （5） 核心数据。 外其他任何用户不能修改数据。 保密性-包含组织的重要秘密，泄露将会造成严重损害。 关键资产威胁概要 威胁是一种客观存在的，对组织及其资产构成潜在破坏的可能性因素，通过对“xxxxxxxxxxxxxxxxxxxx 信息系统”关键资产进行调查，对威胁来源（内部/外部；主观/ 不可抗力等）、威胁方式、发生的可能性等进行分析，如下表所示： 关键资产名称 威胁类型 操作失误（维护错误、操作失误） 关注范围 维护人员操作不当，导致交换机服务异常或中断，导致金农一期系统无法正常使用。 核心交换机  社会工程（社会工程学破解） 物理破坏（断电、消防、盗窃和破坏） 流行的免费下载软件中捆绑流氓软件、免费音乐中包含病毒、网络钓鱼、垃圾电子邮件中包括间谍软件等，引起系统安全问题。 物理断电导致关键设备停止工作，服务中断。火灾隐患威胁系统正常运行。 Quidway S3300 滥用授权（非授权访问网 管理地址未与