网络安全风险评估报告.docxVIP

网络安全风险

评估报告

XXX有限公司

20XX年X月X日

TOC\o1-5\h\z\oCurrentDocument一、概述3...

\oCurrentDocument1.1工作方法3

\oCurrentDocument1.2评估依据3

\oCurrentDocument1.3评估范围3

\oCurrentDocument1.4评估方法3

\oCurrentDocument1.5基本信息4

\oCurrentDocument二、资产分析4

\oCurrentDocument2.1信息资产识别概述4...

\oCurrentDocument2.2信息资产识别4

\oCurrentDocument三、评估说明5

\oCurrentDocument3.1无线网络安全检查项目评估5...

\oCurrentDocument3.2无线网络与系统安全评估5

\oCurrentDocument3.3ip管理与补丁管理5.

\oCurrentDocument3.4防火墙6

四、威胁细类分析6...

\oCurrentDocument4.1威胁分析概述6...

\oCurrentDocument4.2威胁分类7

\oCurrentDocument4.3威胁主体7

\oCurrentDocument五、安全加固与优化8...

\oCurrentDocument5.1加固流程8

\oCurrentDocument5.2加固措施对照表9...

\oCurrentDocument六、评估结论10

一、概述

XXX有限公司通过自评估的方式对网络安全进行检查，发现系统当前面临的主要安

全问题，边检查边整改，确保信息网络和重要信息系统的安全。

1.1工作方法

在本次网络安全风险评测中将主要采用的评测方法包括：人工评测、工具评测。

1.2评估依据

根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》（信安通[2006]15号）、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》（办信息[2006]48号）以及公司文件、检查方案要求，开展XXX有限公司网络安全评估。

1.3评估范围

此次系统测评的范围主要针对该业务系统所涉及的服务器、应用、数据库、网络设备、安全设备、终端等资产。

主要涉及以下方面：

?业务系统的应用环境；

?网络及其主要基础设施，例如路由器、交换机等；

?安全保护措施和设备，例如防火墙、IDS等；

?信息安全管理体系。

1.4评估方法

采用自评估方法。

1.5基本信息

被评估系统名称

业务系统负责人

评估工作配合人员

二、资产分析

信息资产识别概述

资产被定义为对组织具有价值的信息或资源，资产识别的目标就是识别出资产的价值，风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产在其安全属性——机密性、完整性和可用性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。

风险评估是对本司范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别，将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总。

信息资产识别

资产分类

资产组

IP地址/名称

资产估价

等级

资产型号

具体资产

物理资产

服务器

网络设备

软件资产

操作系统、数据库和应用软件

三、评估说明

3.1无线网络安全检查项目评估

无线网络信息安全组织机构包括领导机构、工作机构。岗位要求应包括：专职网络管理人员、专职应用系统管理人员和专职系统管理人员；专责的工作职责与工作范围应有制度明确进行界定；岗位实行主、副岗备用制度。病毒管理包括计算机病毒防治管理制度、定期升级的安全策略、病毒预警和报告机制、病毒扫描策略（1周内至少进行一次扫描）。

3.2无线网络与系统安全评估

无线局域网核心交换设备、城域网核心路由设备应采取设备冗余或准备备用设备，不允许外联链路绕过防火墙，具有当前准确的网络拓扑结构图。无线网络设备配置有备份，网络关键点设备采用双电源，关闭网络设备HTTP、FTP、TFTP等服务，SNMP社区串、本地用户口令强健（＞8字符，数字、字母混杂）。

ip管理与补丁管理

有无线ip地址管理系统，无线ip地址管理有规划方案和分配策略，无线ip地址分配有记录。有补丁管理的手段或补丁管理制度，Windows系统主机补丁安装齐全，有补

丁安装的测试记录。

3.4防火墙

无线网络中的防火墙位置部署合理，防火墙规则配置符合安全要求，防火墙规则配

置的建立、