还剩32页未读,继续阅读
本资源只提供10页预览,全部文档请下载后查看!喜欢就下载吧,查找使用更方便
文本内容:
xx有限公司记录编号005信息系统安全风险评估报告创建日期2015年8月16日文档密级更改记录时间更改内容更改人 项目名称XXX风险评估报告被评估公司单位XXX有限公司参与评估部门XXXX委员会
一、风险评估项目概述
1.1工程项目概况
1.
1.1建设项目基本信息风险评估版本201X年8日5日更新的资产清单及评估项目完成时间201X年8月5日项目试运行时间2015年1-6月
1.2风险评估实施单位基本情况评估单位名称XXX有限公司
二、风险评估活动概述
2.1风险评估工作__管理描述本次风险评估工作的__体系(含评估人员构成)、工作原则和采取的保密措施
2.2风险评估工作过程本次评估供耗时2天,采取抽样的的方式结合现场的评估,涉及了公司所有部门及所有的产品,已经包括了位于____位置的相关产品
2.3依据的技术标准及相关法规文件本次评估依据的法律法规条款有序号法律、法规及其他要求名称颁布时间实施时间颁布部门1全国人大__会关于维护互联网安全的决定
2000.
12.
282000.
12.28全国人大__会2中华人民___计算机信息系统安全保护条例
1994.
02.
181994.
02.18___第147号令3中华人民___计算机___络国际联__理暂行规定
1996.
02.
011996.
02.01___第195号令4中华人民___计算机软件保护条例
2001.
12.
202002.
01.01___第339号令5中华人民______络传播权保护条例
2006.
05.
102006.
07.01___第468号令6中华人民___计算机___络国际联__理暂行规定实施办法
1998.
03.
061998.
03.06___信息化工作__小组7计算机___络国际联网安全保护管理办法
1997.
12.
161997.
12.30公安部第33号令8计算机信息系统安全专用产品检测和销售许可证管理办法
1997.
06.
281997.
12.12公安部第32号令9计算机病毒防治管理办法
2000.
03.
302000.
04.26公安部第51号令10恶意软件定义2007.
06.272007.
06.27中国互联网协会11__恶意软件自律公约2007.
06.272007.
06.27中国互联网协会12计算机信息系统保密管理暂行规定
1998.
2.
261998.
02.26国家保密局13计算机信息系统国际联网保密管理规定
2000.
01.
012000.
01.01国家保密局14软件产品管理办法
2000.
10.
082000.
10.08中华人民___工业和信息化部15互联网等信息系统网络传播视听节目管理办法
2004.
06.
152004.
10.11国家广播电影电视总局16互联网电子公告服务管理规定
2000.
10.
082000.
10.08_____17信息系统工程监理工程师资格管理办法2003年颁布
2003.
03.26_____18信息系统工程监理单位资质管理办法
2003.
03.
262003.
04.01_____19电子认证服务管理办法
2009.
02.
042009.
03.31_____20____《国家电子信息产业__和产业园认定管理办法(试行)》___
2008.
03.
042008.
03.04中华人民________21计算机软件著作权登记收费项目和标准
1992.
03.
161992.
04.01机电部计算机软件登记办公室22中国互联网络域名管理办法
2004.
11.
052004.
12.20_____23中华人民___专利法
2010.
01.
092010.
02.01全国人民____常务委员24中华人民___技术合同法
1987.
06.
231987.
06.23___科学技术部25关于电子专利申请的规定
2010.
08.
272010.
10.01国家知识产权局26中华人民___著作权法
2010.
02.
262010.
02.26全国人大__会27中华人民___著作权法实施条例
2002.
08.
022002.
9.15___第359号令28科学技术保密规定
1995.
01.
061995.
01.06国家科委、国家保密局29互联网安全保护技术措施规定
2005.
12.
132006.
03.01公安部发布30中华人民___认证认可条例
2003.
09.
032003.
11.1___第390号令31中华人民___保守国家秘密法
2010.
04.
292010.
10.01全国人大__会32中华人民_______法
1993.
02.
221993.
02.22全国人大__会33中华人民___商用__管理条例
1999.
10.
071999.
10.07___第273号令34消防监督检查规定
2009.
4.
302009.
5.1公安部第107号35仓库防火安全管理规则
1990.
03.
221994.
04.10中华人民___公安部令第6号36地质灾害防治条例
2003.
11.
242004.
03.01___394号37《电力安全生产监管办法》
2004.
03.
092004.
03.09国家电力监管委员会第2号38中华人民___劳动法
2007.
06.
292008.
1.1华人民_____令第__八号39失业保险条例
1998.
12.
261999.
01.22___40失业保险金申领发放
2001.
10.
262001.
01.01劳动和社会保障部41中华人民___企业劳动争议处理条例
1993.
06.
111993.
08.01___
2.4保障与限制条件需要被评估单位提供的文档、工作条件和配合人员等必要条件,以及可能的限制条件
三、评估对象
3.1评估对象构成与定级
3.
1.1网络结构根据提供的网络拓扑图,进行结构化的审核
3.
1.2业务应用本公司涉及的数据中心运营及服务活动
3.
1.3子系统构成及定级N/A
3.2评估对象等级保护措施按照工程项目安全域划分和保护等级的定级情况,分别描述不同保护等级保护范围内的子系统各自所采取的安全保护措施,以及等级保护的测评结果根据需要,以下子目录按照子系统重复
3.
2.1XX子系统的等级保护措施根据等级测评结果,XX子系统的等级保护管理措施情况见附表一根据等级测评结果,XX子系统的等级保护技术措施情况见附表
二四、资产识别与分析
4.1资产类型与赋值
4.
1.1资产类型按照评估对象的构成,分类描述评估对象的资产构成详细的资产分类与赋值,以附件形式附在评估报告后面,见附件3《资产类型与赋值表》
4.
1.2资产赋值填写《资产赋值表》大类详细分类举例文档和数据经营规划中__规划等经营计划等__情况__变更方案等__机构图等__变更通知等__手册等规章制度各项规程、业务手册等人事制度人事方案等人事待遇资料等录用计划等离职资料等中期人员计划等人员构成等____通知等培训计划等培训资料等财务信息预决算(各类投资预决算等业绩(财务报告等中期财务状况等资金计划等成本等财务数据的处理方法(成本计算方法和系统,会计管理审查等经营分析系统,减税的方法、规程等营业信息市场调查报告(市场动向,顾客需求,其它本公司动向及对这些情况的分析方法和结果等商谈的内容、合同等报价等客户__等营业战略(有关和其它本公司合作销售、销售途径的确定及变更,对代理商的政策等情报等退货和投诉处理(退货的品名、数量、原因及对投诉的处理方法等供应商信息等技术信息试验/分析数据(本公司或者委托其它单位进行的试验/分析等研究成果(本公司或者和其它单位合作研究__的技术成果等科技发明的内容(专利申请书以及有关的资料/试验数据等__计划书等新产品__的体制、__(新品__人员的组成,业务分担,技术人员的配置等技术协助的有关内容(协作方,协作内容,协作时间等教育资料等技术___等软件信息生产管理系统等技术解析系统等计划财务系统等设计书等流程等编码、__系统等源程序表等其他诉讼或其他有争议案件的内容(民事、无形资产、工伤等纠纷内容本公司基本设施情况(包括动力设施等董事会资料(新的投资领域、设备投资计划等本____簿等本公司安全保卫实施情况及突发__对策等软件操作系统Windows、Linux等应用软件/系统__工具、办公软件、__平台、财务系统等数据库MSSQLServer、MySQL等硬件设备通讯工具传真等传输线路光纤、双绞线等存储媒体磁带、光盘、软盘、U盘等存储设备光盘刻录机、磁带机等文印设备打印机、复印机、扫描仪服务器PCServer、小型机等桌面终端PC、工作站等网络通信设备路由器、交换机、集线器、无线路由器等网络安全设备防火墙、防水墙、IPS等支撑设施UPS、机房空调、发电机等人力资源高层管理人员高层管理人员本公司总/副总经理、总监等中层管理人员部门经理技术管理人员项目经理、项目组长、安全工程师普通技术人员软件工程师、程序员、测试工程师、界面工程师等IT服务人员系统___、网络___、维护工程师其它人事、行政、财务等人员服务通信ADSL、光纤等房租办公房屋租用托管服务器托管、虚拟主机、邮箱托管法律外聘律师、法律顾问供电照明电、动力电审计财务审计
6.
2.资产赋值判断准则对资产的赋值不仅要考虑资产的经济价值,更重要的是要考虑资产的安全状况对于系统或__的重要性,由资产在其三个安全属性上的达成程度决定资产赋值的过程也就是对资产在机密性、完整性和可用性上的达成程度进行分析,并在此基础上得出综合结果的过程达成程度可由安全属性缺失时造成的影响来表示,这种影响可能造成某些资产的损害以至危及信息系统,还可能导致经济效益、市场份额、__形象的损失
6.
2.
1.机密性赋值根据资产在机密性上的不同要求,将其分为三个不同的等级,分别对应资产在机密性上应达成的不同程度或者机密性缺失时对整个__的影响赋值标识定义3高包含__最重要的秘密,关系未来发展的前途命运,对根本利益有着决定性的影响,如果泄露会造成灾难性的损害,例如直接损失超过100万人民币,或重大项目(合同)失败,或失去重要客户,或关键业务中断3天2中__的一般性秘密,其泄露会使__的安全和利益受到损害,例如直接损失超过10万人民币,或项目(合同)失败,或失去客户,或关键业务中断超过1天1低可在社会、__内部或在__某一部门内部公开的信息,向外扩散有可能对__的利益造成轻微损害或不造成伤害
6.
2.
2.完整性赋值根据资产在完整性上的不同要求,将其分为三个不同的等级,分别对应资产在完整性上缺失时对整个__的影响赋值标识定义3高完整性价值非常关键,未经授权的修改或破坏会对__造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,并且难以弥补例如直接损失超过100万人民币,或重大项目(合同)失败,或失去重要客户2中完整性价值中等,未经授权的修改或破坏会对__造成影响,对业务冲击明显,但可以弥补例如直接损失超过10万人民币,或项目(合同)失败,或失去客户1低完整性价值较低,未经授权的修改或破坏会对__造成轻微影响,甚至可以忽略,对业务冲击轻微,容易弥补
6.
2.
3.可用性赋值根据资产在可用性上的不同要求,将其分为三个不同的等级,分别对应资产在可用性上的达成的不同程度赋值标识定义3高可用性价值非常高,合法使用者对资产的可用度达到年度90%以上,或系统不允许中断2中可用性价值中等,合法使用者对资产的可用度在正常工作时间达到50%以上,或系统允许中断时间小于8工作时1低可用性价值较低或可被忽略,合法使用者对资产的可用度在正常工作时间达到50%以下,或系统允许中断时间小于24工作时
6.
2.
4.资产重要性等级资产价值(V)=机密性价值(C)+完整性价值(I)+可用性价值(A)资产等级等级价值分类资产总价值1低3~42中5~73高8~
94.2重要资产清单及说明在分析被评估系统的资产基础上,列出对评估单位十分重要的资产,作为风险评估的重点对象,并以清单形式列出如下重要资产列表序号资产编号子系统名称应用资产重要程度权重其他说明F001各类公司证件其他高F002财务账务文件其他高F004__其他高F006用友通财务软件备份数据其他高ATSH10-007PernodRicard业务持续服务合同客户合同高ATSH-11/001/10-007天选备份软件维护服务合同供应商合同高ATSH10-008VantAsia业务持续服务合同客户合同高ATSH11-001NAB业务持续服务合同客户合同高HW-009服务器运作技术部服务器高HW-022精密空调运作技术部精密空调高HW-023UPS运作技术部UPS高HW-024PPDC运作技术部PPDC高HW-026__AYA运作技术部通讯设备高HW-027Switch运作技术部网络设备高HW-028Router运作技术部网络设备高HW-029Firewall运作技术部网络设备高HW-030DVR运作技术部监控设备高HW-031客户数据(硬盘)硬盘高HW-032柴油发电机组柴油发电机高F001etax网上报税系统财务软件-单机高F002用友通财务软件财务软件-单机高F003__打印软件财务软件-单机高A-02-25-03-201106-004Cowin监控系统监控系统高A-02-25-03-201106-005General_PSS_V
4.
01.
0.R.091112监控系统高H0001梁文略高层管理人员高S0002杨英高层管理人员高S0001李海宁中层管理人员高S0006赵红销售人员高S0003张光辉中层管理人员高S0004刘子明IT服务人员高S0005胡捷IT服务人员高S0008张力IT服务人员高S0007唐海英其它高S0026刘影其它高server02网络通信中国__高server03供电物管-德必创意高server04房屋物管-德必创意高
五、威胁识别与分析对威胁来源(内部/外部;主观/不可抗力等)、威胁方式、发生的可能性,威胁主体的能力水平等进行列表分析下面是典型的威胁范本编号威胁硬件和设施软件和系统文档和数据人力资源服务1故障★★2废弃★★★3服务失效/中断★4恶意软件★5抵赖★6通信监听★7操作失误★★8未经授权更改★★★9未经授权访问,使用或__★★★10被利用传送敏感信息★★11盗窃★★★12供电故障★★13恶意破坏★★★14电子存储媒体故障★★15违背知识产权相关法律、法规★★16温度、湿度、灰尘超限★17静电★18黑客攻击★★19容量超载★★★20系统___权限滥用★★21密钥泄露、篡改★★22密钥滥用★23个体伤害(车祸、疾病等)★24不公正待遇★25社会工程★26人为灾难瘟疫、火灾、__、恐怖袭击等★★★★27自然灾难地震、洪水、台风、雷击等★★★★28服务供应商泄密★
5.1威胁数据采集
5.2威胁描述与分析依据《威胁赋值表》,对资产进行威胁源和威胁行为分析
5.
2.1威胁源分析填写《威胁源分析表》
5.
2.2威胁行为分析填写《威胁行为分析表》
5.
2.3威胁能量分析
5.3威胁赋值威胁发生可能性等级对照表等级说明发生可能性1低非等级2与等级3的定义2中每半年至少发生一次但不及等级33高每月至少发生两次说明判断威胁出现的频率是威胁识别的重要工作,评估者应根据经验和(或)有关的统计数据来进行判断在风险评估过程中,还需要综合考虑以下三个方面,以形成在某种评估环境中各种威胁出现的频率1以往安全__报告中出现过的威胁及其频率的统计;2实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计;3近一两年来国际__发布的对于整个社会或特定行业的威胁及其频率统计,以及发布的威胁预警
六、脆弱性识别与分析按照检测对象、检测结果、脆弱性分析分别描述以下各方面的脆弱性检测结果和结果分析
6.1常规脆弱性描述编号大类编号小类及说明1环境和基础设施
1.1物理保护的缺乏建筑物、门、窗等
1.2物理访问控制不充分或不仔细
1.3电力供应不稳
1.4处于易受到威胁的场所,例如洪水、地震
1.5缺乏防火、防雷等保护性措施2硬件
2.1缺乏周期性的设备更新方案
2.2易受电压变化影响
2.3易受到温度、湿度、灰尘和污垢影响
2.4易受到电磁辐射
2.5媒体介质缺乏维护或错误__
2.6缺乏有效的配置变更控制
2.7缺乏设施安全控制机制
2.8不当维护
2.9不当处置3软件
3.1不清晰、不完整的__规格说明书
3.2没有、或不完备的软件测试
3.3复杂的用户界面
3.4缺乏标示和授权机制,例如用户授权
3.5缺乏审核踪迹
3.6众所周知的软件缺陷,易受病毒等攻击
3.7__表未受到保护
3.8__强度太弱
3.9访问权限的错误配置
3.10未经控制的下载和使用软件
3.11离开工作常所未注销(锁屏)
3.12缺乏有效的变更控制
3.13文档缺乏
3.14缺乏备份
3.15处置或重用没有正确的擦除内容的存储介质
3.16缺乏加解密使用策略
3.17缺乏密钥管理
3.18缺乏身份鉴别机制
3.19缺乏补丁管理机制
3.20__、使用盗版软件
3.21缺乏使用监控
3.22未经授权__或传播软件(许可)
3.23缺乏(文件)共享安全策略
3.24缺乏服务/端口安全策略
3.25缺乏病毒库升级管理机制
3.26不受控发布公共信息4网络与通信
4.1通信线路缺乏保护
4.2电缆连接不牢固
4.3对发送和接收方缺乏识别与验证
4.4明文传输口令
4.5发送与接受消息时缺少证据
4.6拨号线路
4.7未保护的敏感信息传输
4.8网络管理不恰当
4.9未受保护的公网连接
4.10缺乏身份鉴别机制
4.11未配置或错误配置访问权限5文档
5.1存放缺乏保护
5.2不受控访问或__
5.3随意处置
5.4缺乏备份机制6人员
6.1员工缺编
6.2安全训练不完备
6.3缺乏安全意识
6.4缺乏控制机制
6.5缺乏员工关怀/申诉政策
6.6不完备的招聘/离职程序
6.7道德缺失7服务与一般应用弱点
7.1单点故障
7.2服务故障响应不及时
7.3负载过高
7.4缺乏安全控制机制
7.5缺乏应急机制
6.3脆弱性综合列表威胁发生可能性等级对照表等级说明发生可能性1低非等级2与等级3的定义2中每半年至少发生一次但不及等级33高每月至少发生两次说明判断威胁出现的频率是威胁识别的重要工作,评估者应根据经验和(或)有关的统计数据来进行判断在风险评估过程中,还需要综合考虑以下三个方面,以形成在某种评估环境中各种威胁出现的频率1以往安全__报告中出现过的威胁及其频率的统计;2实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计;3近一两年来国际__发布的对于整个社会或特定行业的威胁及其频率统计,以及发布的威胁预警
七、风险分析
7.1关键资产的风险计算结果信息安全风险矩阵计算表威胁发生可能性低1中2高3影响程度等级低1中2高3低1中2高3低1中2高3资产价值1123246369224648126121833696121891827说明在完成了资产识别、威胁识别、弱点识别,以及对已有安全措施确认后,将采用适当的方法确定威胁利用弱点导致安全__发生的可能性,考虑安全__一旦发生其所作用的资产的重要性及弱点的严重程度判断安全__造成的损失对__的影响,即安全风险风险计算的方式如下,风险值=弱点被利用可能性等级X威胁利用弱点影响程度等级X资产价值信息安全风险接受准则等级划分标准说明A级18及以上不可接受的风险,必须采取控制措施B级6-12有条件接受的风险(需经评估小组评审,判断是否可以接受的风险C级1-4不需要评审即可接受的风险
7.
2.4风险结果分析等级数量说明A级18不可接受的风险,必须采取控制措施B级186有条件接受的风险(需经评估小组评审,判断是否可以接受的风险C级17不需要评审即可接受的风险
八、综合分析与评价通过综合的评估,公司现有的风险评估的结果是适宜的、充分的、有效的
九、整改意见
1.加强各部门对风险处理技巧的培训
2.对A级风险公司的处理需对各部门进行公示
3.对A级和B级风险采取适当的控制措施,编写入公司的三级文件进行控制附件1管理措施表序号层面/方面安全控制/措施落实部分落实没有落实不适用安全管理制度管理制度√制定和发布√评审和修订√安全管理机构岗位设置√人员配备√授权和审批√沟通和合作√审核和检查√人员安全管理人员录用√人员离岗√人员考核√安全意识教育和培训√外部人员访问管理√系统建设管理系统定级√安全方案设计√产品采购√自行软件__√外包软件__√工程实施√测试验收√系统交付√系统备案√安全服务商选择√系统运维管理环境管理√资产管理√介质管理√设备管理√监控管理和安全管理中心√网络安全管理√系统安全管理√恶意代码防范管理√__管理√变更管理√备份与恢复管理√安全__处置√应急预案管理√小计附件2技术措施表序号层面/方面安全控制/措施落实部分落实没有落实不适用1物理安全物理位置的选择√物理访问控制√防盗窃和防破坏√防雷击√防火√防水和防潮√防静电√温湿度控制√电力供应√电磁防护√网络安全网络结构安全√网络访问控制√网络安全审计√边界完整性检查√网络入侵防范√恶意代码防范√网络设备防护√主机安全身份鉴别√访问控制√安全审计√剩余信息保护√入侵防范√恶意代码防范√资源控制√应用安全身份鉴别√访问控制√安全审计√剩余信息保护√通信完整性√通信保密性√抗抵赖√软件容错√资源控制√数据安全及备份与恢复数据完整性√数据保密性√备份和恢复√附件3资产类型与赋值表针对每一个系统或子系统,单独建表类别项目子项资产编号资产名称资产权重赋值说明附件4威胁赋值表资产名称编号威胁总分值威胁等级操作失误滥用授权行为抵赖身份假冒口令攻击__分析漏洞利用拒绝服务恶意代码窃取数据物理破坏社会工程意外故障通信中断数据受损电源中断灾害管理不到位越权使用附件5脆弱性分析赋值表编号检测项检测子项脆弱性作用对象赋值潜在影响整改建议标识1管理脆弱性检测机构、制度、人员安全策略检测与响应脆弱性日常维护……2网络脆弱性检测网络拓扑及结构脆弱性网络设备脆弱性网络安全设备脆弱性……3系统脆弱性检测操作系统脆弱性数据库脆弱性……4应用脆弱性检测网络服务脆弱性……5数据处理和存储脆弱性数据处理数据存储脆弱性……6运行维护脆弱性安全__管理……7灾备与应急响应脆弱性数据备份应急预案及演练……8物理脆弱性检测环境脆弱性设备脆弱性存储介质脆弱性…………9木马病毒检测远程控制木马恶意插件……10渗透与攻击性检测现场渗透测试办公区生产区服务区跨地区远程渗透测试11关键设备安全性专项检测关键设备一关键设备二……12设备采购和维保服务设备采购环节维护环节……13其他检测……。