信息安全风险评估方案报告(20201111091543).docx

Word Word格式 1111单位:1111系统安全项目 信息安全风险评估报告 我们单位名 日期 报告编写人：日期： 批准人：日期： 日期日期 日期 日期 第二版本 终板 TOC \o 1-5 \h \z \o Current Document 概述 5 \o Current Document 项目背景 5 \o Current Document 工作方法 5 \o Current Document 评估范围 5 \o Current Document 基本信息 6 \o Current Document 业务系统分析 6 2.1 业务系统职能 2.1 业务系统职能 6 22 网络拓扑结构 6 边界数据流向 6 TOC \o 1-5 \h \z \o Current Document 资产分析 7 信息资产分析 7. 信息资产识别概述 7 信息资产识别 7 \o Current Document 威胁分析 8 威胁分析概述 8 \o Current Document 威胁分类 10 \o Current Document 威胁主体 11 \o Current Document 威胁识别 11 \o Current Document 脆弱性分析 12 \o Current Document 脆弱性分析概述 12 \o Current Document 技术脆弱性分析 13 \o Current Document 网络平台脆弱性分析 13 \o Current Document 操作系统脆弱性分析 14 \o Current Document 脆弱性扫描结果分析 14 \o Current Document 扫描资产列表 14 \o Current Document 高危漏洞分析 15 \o Current Document 系统帐户分析 15 应用帐户分析 16 \o Current Document 管理脆弱性分析 16 \o Current Document 脆弱性识别 19 \o Current Document 风险分析 20 \o Current Document 风险分析概述 20 \o Current Document 资产风险分布 21 \o Current Document 资产风险列表 21 \o Current Document 系统安全加固建议 22 \o Current Document 管理类建议 22 \o Current Document 技术类建议 23 \o Current Document 安全措施 23 \o Current Document 网络平台 23 \o Current Document 操作系统 24 制定及确认 错误！未定义书签。 26附录A :脆弱性编号规则 26 1概述 1.1项目背景 为了切实提高各系统的安全保障水平 ，更好地促进各系统的安全建设工 作，提升奥运保障能力，需要增强对于网运中心各系统的安全风险控制 ，发现 系统安全风险并及时纠正。根据网络与信息安全建设规划，为了提高各系统的 安全保障和运营水平，现提出系统安全加固与服务项目。 1.2工作方法 在本次安全风险评测中将主要采用的评测方法包括 ： 人工评测； 工具评测； 调查问卷； 顾问访谈。 1.3评估范围 此次系统测评的范围主要针对该业务系统所涉及的服务器 、应用、数据 库、网络设备、安全设备、终端等资产。 主要涉及以下方面： 1） 业务系统的应用环境，； 2） 网络及其主要基础设施，例如路由器、交换机等； 3）安全保护措施和设备,例如防火墙、IDS等; 4）信息安全管理体系（ISMS） 1.4基本信息 被评估系统名称 XX系统 业务系统负责人 评估工作配合人员 2业务系统分析 2.1业务系统职能 2.2网络拓扑结构 图表1业务系统拓扑结构图 2.3边界数据流向 编 号 边界名称 边界类型 路径系统 发起方 数据流向 现有安全措施 1. MDN 系统类 MDN 本系统/ 对端系统 双向 系统架构隔离 3资产分析 3.1信息资产分析 3.1.1信息资产识别概述 资产是风险评估的最终评估对象。在一个全面的风险评估中，风险的所有 重要因素都紧紧围绕着资产为中心，威胁、脆弱性以及风险都是针对资产而客 观存在的。威胁利用资产自身的脆弱性使得安全事件的发生成为可能 ，从而形 成了风险。这些安全事件一旦发生，将对资产甚至是整个系统都将造成一定的 影响。 资产被定义为对组织具有价值的信息或资源 ，资产识别的目标就是识别出 资产的价值，