2014账户远程核准影像管理系统风险评估报告.docVIP

人民币银行结算账户核准影像管理系统 风险评估报告 项 目 名 称：人民币银行结算账户核准影像管理系统 风险评估单位： 2008年8 月28日  目 录 1、风险评估项目概述 1 1.1 工程项目概况 1 1.1.1 建设项目基本信息 1 1.1.2 建设单位基本信息 1 1.1.3承建单位基本信息 2 1.2 风险评估实施单位基本情况 2 2、风险评估活动概述 4 2.1 风险评估工作组织管理 4 2.2 风险评估工作过程 5 2.3 依据的技术标准及相关法规文件 6 2.4 保障与限制条件 7 3、评估对象 8 3.1 评估对象构成与定级 8 3.1.1 网络结构 8 3.1.2 业务应用 9 3.2 评估对象等级保护措施 10 4、资产识别与分析 12 4.1 资产类型与赋值 12 4.2 关键资产说明 12 5、威胁识别与分析 13 6、脆弱性识别与分析 16 7、风险分析 16 7.1 关键资产的风险计算结果 16 7.2 关键资产的风险等级 16 7.2.1 风险等级列表 16 7.2.2 风险等级统计 17 7.2.3 基于脆弱性的风险排名 17 7.2.4 风险结果分析 18 8、综合分析与评价 18 9、整改意见 20 附件1：管理措施表 21 附件2：技术措施表 23 附件3：资产类型与赋值表 25 附件4：脆弱性赋值表 27  1、风险评估项目概述 1.1 工程项目概况 1.1.1 建设项目基本信息 工程项目名称 人民币银行结算账户远程核准影像管理系统 工程项目批复的建设内容 非涉密信息系统部分的建设内容 在不改变现有账户管理系统操作流程的前提下，通过对纸质开户资料进行扫描、传输、审核、比对、存贮、查阅和管理，实现远程核准银行结算账户和账户资料档案影像化管理。 相应的信息安全保护系统建设内容 以WIN2003 Server做为服务器平台；数据库使用MYSQL网络数据库；以人行省会中支网间互联平台为基础；与人民币银行结算账户管理系统共享客户端硬件资源。 项目完成时间 2011年8月3日 项目试运行时间 2011年8月8日 1.1.2 建设单位基本信息 工程建设牵头部门 部门名称 中国人民银行 工程责任人 通信地址 联系电话 电子邮件 工程建设参与部门 部门名称 工程责任人 通信地址 联系电话 电子邮件 工程建设参与部门 部门名称 工程责任人 通信地址 联系电话 电子邮件 1.1.3承建单位基本信息 单位名称 单位性质 法人代表 通信地址 联系电话 电子邮件 1.2 风险评估实施单位基本情况 评估单位名称 法人代表 通信地址 联系电话 电子邮件 二、风险评估活动概述 2.1 风险评估工作组织管理 1．建立评估领导小组 领导小组的工作职责是：在中支计算机信息安全工作领导小组的领导下，确定评估的范围和目的、组织结构和任务分工，并对最终评估结果进行评审。信息安全评估领导小组人员组成及分工如下： 办公室的主要职责是：编写评估方案，组织宣传培训，围绕关键业务威胁、风险的技术分析，评估各阶段的具体实施工作，及时向领导小组反馈问题，提交最终评估报告。 2、原则 （1）必威体育官网网址原则 在风险评估过程中，将严格遵循必威体育官网网址原则，对评估过程中涉及到的任何信息未允许不向其他任何第三方泄露。 （2）互动原则 在整个风险评估过程中，将强调员工的互动参与，进而更好地进行风险评估工作。 （3）最小影响原则 风险评估工作应尽可能小地影响系统和网络的正常运行，不能对业务的正常运行产生明显的影响，如无法避免，则应做出说明。 （4）规范性原则 信息安全风险评估的实施必须依照规范的操作流程进行，对操作过程和结果要有相应的记录。 （5）质量保障原则 在整个风险评估过程中，将特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行，并由评估领导小组从中监督，控制项目的进度和质量。 2.2 风险评估工作过程 本次评估的重点范围是：制度建设和管理情况、设备和人员的单点运行风险、冗余备份设备与数据的可用性、设备运行的可靠性、运行监控和安全审计系统的有效性、安全防护设施的有效性、系统配置的合理性与安全性。 检查评估的具体内容： 1、管理脆弱性。检查制度、操作规程、岗位设置与职责分工、执行监督等。 2、技术脆弱性。检查通信网络的线路、设备备份有效性，网络设备配置参数、子网划分以及子网间访问控制措施的合理性与安全性；检查机房基础设施的安全性，有效性；检查生产系统资源冗余度，进行业务系统压力测试；对服务器进行健