风险评估报告模板(工具版）.docxVIP

XXX

网络安全风险评估报告

XXXXXX科技股份有限公司

20XX年XX月

PAGE2

PAGE

PAGE0

文档信息

文档名称

XXX安全风险评估报告

保密级别

商业秘密

文档版本号

V1.0

制作人

XXXXXX网络安全服务团队

制作日期

2020-XX-XX

扩散范围

限XXXXXX科技股份有限公司项目组、XXX

文档说明

本次安全风险评估活动是由XXX授权，由XXXXXX科技股份有限公司（以下简称“XXXXXX”）对XXX的信息系统进行安全评估。根据评估结果提交技术报告，为XXX相关系统的安全状况做出安全评估及提供加固建议，报告仅限于“XXXXXX”、XXX内部人员传阅。

本报告结论的有效性建立在被评估单位提供相关证据的真实性基础之上。本报告中给出的评估结论仅对被评估的信息系统当时的安全状态有效，当信息系统发生涉及到的系统构成组件（或子系统）变更时本报告不再适用。

目录

TOC\o1-6\h\u1.概述 1

1.1.风险评估结果概述 1

1.2.参照标准 2

1.3.网络拓扑 3

1.4.服务团队 3

2.评估结果综述 4

2.1.资产漏洞风险 4

2.2.资产综合风险 4

2.3.业务系统风险 5

2.4.资产风险详情 7

3.资产梳理结果 7

3.1.资产概览 7

3.2.资产与部门分布 7

3.2.1.资产与业务系统分布 8

3.2.2.资产价值分布 8

3.2.3.操作系统分布 8

3.2.4.数据库系统 8

3.2.5.中间件 8

3.3.资产潜在风险端口 8

4.资产脆弱性分析 9

4.1.TOP10系统漏洞 9

4.2.系统漏洞类型分布 10

4.3.资产漏洞详情 10

4.3.1.资产漏洞详情-口令爆破 10

4.3.2.资产漏洞详情-系统漏洞 10

4.3.3.资产漏洞详情-WEB漏洞 10

4.3.4.资产漏洞详情-基线核查 11

5.威胁评估 11

5.1.常规威胁 11

5.2.潜伏威胁 11

6.风险处置建议 12

7.附件 12

8.术语及定义 12

8.1.术语 12

8.2.资产价值 13

8.3.漏洞等级 13

8.4.资产风险矩阵 14

PAGE2

PAGE2

概述

XXXXXX科技股份有限公司（以下简称“XXXXXX”）针对XXX信息系统现状开展安全评估工作，通过本次评估工作对XXX信息资产的安全状态进行检测，明确了XXX信息资产的存在的风险、防护能力及潜伏威胁等安全现状，为系统加固及持续加强网络与信息安全建设提供依据、指引方向。完整的评估过程包括资产梳理-脆弱性检测-风险分析-处置建议-评估报告；本次评估基于统一的威胁场景分析，即所有系统面临的安全威胁基本是一致的。

风险评估结果概述

本次安全评估范围涉及X台主机/设备，最终发现存在较高安全风险的主机有X台，其中极高安全风险的主机X台、高安全风险的主机X台，中风险的主机X台，高风险以上主机占整体主机数量的0.0%。其中X个等级保护系统存在0台高风险主机。

图1.1风险级别统计

图1.2风险类型统计

参照标准

本次评估参照的安全标准包括：

《中华人民共和国网络安全法》

《国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见》（国信办[2006]5号）

《信息安全技术信息安全风险评估规范》（GB/T20984-2007）

《信息安全技术信息安全风险评估实施指南》（GB/T31509-2015）

《信息安全技术信息安全事件分类分级指南》（GB/Z20986-2007）

《计算机场地通用规范》（GB/T2887-2011）

《信息技术安全技术信息安全控制实践指南》（GB/T22081-2016）

《信息技术安全技术信息安全风险管理》（GB/T31722-2015）

《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2019）

《信息安全技术网络基础安全技术要求》（GB/T20270-2006）

《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）

《信息安全技术网络安全等级保护测评要求》（GB/T28448-2019）

《信息技术安全技术信息安全管理体系要求》（ISO/IEC27001:2013）

《信息技术安全技术信息安全风险管理》（ISO/IEC27005:2018）

《信息技术安全评估准则》