信息安全風險評估報告(模板)

1、<p><b>　　安全風險評估報告</b></p><p>　　系統(tǒng)名稱：xxxxxxxxxxx</p><p>　　送檢單位：xxxxxxxxxxxxxxxxxxxx</p><p><b>　　合同編號：</b></p><p>　　評估時間：2011年10月10日~2011年10月

2、25日</p><p><b>　　目 錄</b></p><p>　　報告聲明錯誤!未定義書簽。</p><p>　　委托方信息錯誤!未定義書簽。</p><p>　　受托方信息錯誤!未定義書簽。</p><p>　　風險評估報告單錯誤!未定義書簽。</p><p&

3、gt;　　1.風險評估項目概述錯誤!未定義書簽。</p><p>　　1.1.建設項目基本信息錯誤!未定義書簽。</p><p>　　1.2.風險評估實施單位基本情況錯誤!未定義書簽。</p><p>　　1.3.風險評估活動概述錯誤!未定義書簽。</p><p>　　1.3.1.風險評估工作組織過程錯誤!未定義書簽。&l

4、t;/p><p>　　1.3.2.風險評估技術(shù)路線錯誤!未定義書簽。</p><p>　　1.3.3.依據(jù)的技術(shù)標準及相關(guān)法規(guī)文件錯誤!未定義書簽。</p><p>　　2.評估對象構(gòu)成錯誤!未定義書簽。</p><p>　　2.1.評估對象描述錯誤!未定義書簽。</p><p>　　2.2.網(wǎng)絡拓撲結(jié)構(gòu)

5、錯誤!未定義書簽。</p><p>　　2.3.網(wǎng)絡邊界描述錯誤!未定義書簽。</p><p>　　2.4.業(yè)務應用描述錯誤!未定義書簽。</p><p>　　2.5.子系統(tǒng)構(gòu)成及定級錯誤!未定義書簽。</p><p>　　3.資產(chǎn)調(diào)查錯誤!未定義書簽。</p><p>　　3.1.資產(chǎn)賦值錯誤!

6、未定義書簽。</p><p>　　3.2.關(guān)鍵資產(chǎn)說明錯誤!未定義書簽。</p><p>　　4.威脅識別與分析3</p><p>　　4.1.關(guān)鍵資產(chǎn)安全需求3</p><p>　　4.2.關(guān)鍵資產(chǎn)威脅概要7</p><p>　　4.3.威脅描述匯總20</p><p>　

7、　4.4.威脅賦值22</p><p>　　5.脆弱性識別與分析25</p><p>　　5.1.常規(guī)脆弱性描述25</p><p>　　5.1.1.管理脆弱性25</p><p>　　5.1.2.網(wǎng)絡脆弱性25</p><p>　　5.1.3.系統(tǒng)脆弱性25</p><p&

8、gt;　　5.1.4.應用脆弱性25</p><p>　　5.1.5.數(shù)據(jù)處理和存儲脆弱性25</p><p>　　5.1.6.災備與應急響應脆弱性25</p><p>　　5.1.7.物理脆弱性25</p><p>　　5.2.脆弱性專項檢查25</p><p>　　5.2.1.木馬病毒專項檢查

9、25</p><p>　　5.2.2.服務器漏洞掃描專項檢測26</p><p>　　5.2.3.安全設備漏洞掃描專項檢測37</p><p>　　5.3.脆弱性綜合列表40</p><p>　　6.風險分析47</p><p>　　6.1.關(guān)鍵資產(chǎn)的風險計算結(jié)果47</p><

10、;p>　　6.2.關(guān)鍵資產(chǎn)的風險等級51</p><p>　　6.2.1.風險等級列表51</p><p>　　6.2.2.風險等級統(tǒng)計52</p><p>　　6.2.3.基于脆弱性的風險排名52</p><p>　　6.2.4.風險結(jié)果分析54</p><p>　　7.綜合分析與評價5

11、5</p><p>　　7.1.綜合風險評價55</p><p>　　7.2.風險控制角度需要解決的問題56</p><p>　　8.整改意見57</p><p>　　9.注意事項錯誤!未定義書簽。</p><p><b>　　威脅識別與分析</b></p><

12、p><b>　　關(guān)鍵資產(chǎn)安全需求</b></p><p><b>　　關(guān)鍵資產(chǎn)威脅概要</b></p><p>　　威脅是一種客觀存在的，對組織及其資產(chǎn)構(gòu)成潛在破壞的可能性因素，通過對“xxxxxxxxxxxxxxxxxxxx信息系統(tǒng)”關(guān)鍵資產(chǎn)進行調(diào)查，對威脅來源（內(nèi)部/外部；主觀/不可抗力等）、威脅方式、發(fā)生的可能性等進行分析，如下表所示

13、：</p><p><b>　　威脅描述匯總</b></p><p><b>　　威脅賦值</b></p><p><b>　　脆弱性識別與分析</b></p><p><b>　　常規(guī)脆弱性描述</b></p><p><b

14、>　　管理脆弱性</b></p><p><b>　　….。</b></p><p><b>　　網(wǎng)絡脆弱性</b></p><p><b>　　….。</b></p><p><b>　　系統(tǒng)脆弱性</b></p><

15、;p><b>　　….。</b></p><p><b>　　應用脆弱性</b></p><p><b>　　…..</b></p><p>　　數(shù)據(jù)處理和存儲脆弱性</p><p><b>　　…..</b></p><p>

16、;<b>　　運行維護脆弱性</b></p><p><b>　　….</b></p><p>　　災備與應急響應脆弱性</p><p><b>　　…</b></p><p><b>　　物理脆弱性</b></p><p><

17、;b>　　…。</b></p><p><b>　　脆弱性專項檢查</b></p><p><b>　　木馬病毒專項檢查</b></p><p>　　信息系統(tǒng)配置異常流量監(jiān)控系統(tǒng)、入侵防護、入侵檢測、防病毒網(wǎng)關(guān)，均通過聯(lián)網(wǎng)升級；</p><p>　　系統(tǒng)安裝瑞星殺毒軟件，程序版本號

18、23.00.48.42，升級設置為“即時升級”，殺毒引擎級別設置為中。</p><p>　　服務器漏洞掃描專項檢測</p><p><b>　　主機掃描統(tǒng)計列表</b></p><p><b>　　漏洞統(tǒng)計</b></p><p><b>　　服務統(tǒng)計</b></p>

19、;<p><b>　　漏洞掃描詳細列表</b></p><p>　　● SNMP使用默認團體名</p><p>　　● Apache Tomcat Transfer-Encoding頭處理拒絕服務和信息泄露漏洞</p><p>　　● SNMP不能通知management stations</p><p>

20、　　● SNMP泄露Wins用戶名</p><p>　　● SNMP服務正在運行</p><p>　　● SNMP代理泄露網(wǎng)絡接口的信息</p><p>　　● SNMP提供遠程監(jiān)控信息</p><p>　　● SNMP提供遠程路由信息</p><p><b>　　● SSH信息獲取</b><

21、;/p><p>　　● ICMP時間戳獲取</p><p>　　● WWW Web 服務器版本檢查</p><p>　　● 遠程主機運行MSSQL服務</p><p>　　● 匿名IPC$連接檢查</p><p>　　● Apache Tomcat設計錯誤漏洞</p><p>　　● 遠程主機正在運

22、行終端服務</p><p>　　● Apache Tomcat "MemoryUserDatabase"信息泄露漏洞</p><p>　　● 可以通過NetBios獲取操作系統(tǒng)信息</p><p>　　● 通過SNMP獲得系統(tǒng)TCP端口列表</p><p>　　● 通過SNMP獲得系統(tǒng)UDP端口列表</p>

23、<p>　　● 通過SNMP獲得系統(tǒng)進程列表</p><p>　　● 通過SNMP獲得系統(tǒng)服務列表</p><p>　　● 通過SNMP獲得系統(tǒng)信息</p><p>　　● 通過SNMP獲得系統(tǒng)安裝軟件列表</p><p>　　● 通過SNMP獲得系統(tǒng)存儲設備列表</p><p>　　● ssh_檢測類型和版

24、本</p><p>　　● ssh_協(xié)議版本</p><p>　　● 遠程SSH服務器允許使用低版本SSH協(xié)議</p><p>　　● 遠程主機HTTP/WWW服務正在運行</p><p>　　安全設備漏洞掃描專項檢測</p><p><b>　　主機掃描統(tǒng)計列表</b></p>&

25、lt;p><b>　　漏洞統(tǒng)計</b></p><p><b>　　服務統(tǒng)計</b></p><p><b>　　漏洞掃描詳細列表</b></p><p>　　● ICMP時間戳獲取</p><p><b>　　脆弱性綜合列表</b></p&g

26、t;<p><b>　　風險分析</b></p><p>　　關(guān)鍵資產(chǎn)的風險計算結(jié)果</p><p>　　根據(jù)《GB/T 20984-2007 信息安全技術(shù) 信息安全風險評估規(guī)范》要求，通過選取關(guān)鍵資產(chǎn)的資產(chǎn)賦值、威脅賦值、脆弱性賦值，采用乘法計算風險值，得到了如下風險結(jié)果：</p><p><b>　　關(guān)鍵資產(chǎn)的風險等

27、級</b></p><p><b>　　風險等級列表</b></p><p><b>　　風險等級統(tǒng)計</b></p><p>　　基于脆弱性的風險排名</p><p><b>　　風險結(jié)果分析</b></p><p>　　從安全風險狀態(tài)來看

28、，關(guān)鍵資產(chǎn)存在著從低級風險到高風險等級別的風險。</p><p>　　高風險作用的關(guān)鍵資產(chǎn)</p><p><b>　　….。</b></p><p>　　中風險作用的關(guān)鍵資產(chǎn)</p><p><b>　　….。</b></p><p>　　低中風險作用的關(guān)鍵資產(chǎn)</p

29、><p><b>　　…。</b></p><p><b>　　綜合分析與評價</b></p><p><b>　　綜合風險評價</b></p><p>　　從信息系統(tǒng)安全風險狀態(tài)來看，關(guān)鍵資產(chǎn)存在著從低級、中級到高級等不同級別的風險，風險評價如下：</p><

30、p>　　各關(guān)鍵資產(chǎn)存在高風險：(不可接受的風險)</p><p>　　重要服務器存在較高級別的安全漏洞，存在漏洞利用的風險；</p><p>　　未定期開展全系統(tǒng)的病毒、木馬查殺跟蹤工作，存在惡意代碼的風險；</p><p>　　UPS電源目前只為弱電供電，重要服務器、網(wǎng)絡設備均未被覆蓋，存在電力供應的風險。</p><p>　　各關(guān)鍵

31、資產(chǎn)存在中級風險：（跟蹤、降低和控制風險）</p><p>　　部分服務器由于存在中、低風險的安全漏洞，存在漏洞利用的風險；</p><p>　　各服務器未針對定期進行的病毒、木馬查殺形成工作記錄和分析報告，存在惡意代碼的風險；</p><p>　　機房中煙感、溫感只處于通電狀態(tài)，未啟用，存在物理安全風險；</p><p>　　目前由外包公司

32、定期對安全設備進行定期回訪，但整個金農(nóng)一期系統(tǒng)未開展全面、系統(tǒng)的安全運行巡檢工作，出現(xiàn)故障或異常后可能無法及時發(fā)現(xiàn)進行解決，存在巡檢缺位的風險；</p><p>　　目前安全管理制度不夠全面，需要進一步的補充、完善和細化，信息安全管理職責和分工還不夠明確，未定期開展信息安全人員培訓工作；</p><p>　　系統(tǒng)運維方面未定期開展漏洞檢測、跟蹤和修補，無相關(guān)制度規(guī)定和工作記錄，密碼的管理和

33、保存存在不足，并未定期進行修改；</p><p>　　應急預案內(nèi)容需要進一步完善和細化，未定期開展應急演練、培訓，并形成記錄。</p><p>　　各關(guān)鍵資產(chǎn)存在低風險：</p><p>　　未開展軟件系統(tǒng)的安全運行巡檢工作，出現(xiàn)故障或異常后可能無法及時發(fā)現(xiàn)進行解決，存在巡檢缺位和系統(tǒng)故障的風險；</p><p>　　目前安全管理制度不夠全面

34、，需要進一步的補充、完善和細化，未形成全面的管理記錄；</p><p>　　系統(tǒng)運維方面未定期開展漏洞檢測、跟蹤和修補，無相關(guān)制度規(guī)定和工作記錄，密碼的管理和保存存在不足，并未定期進行修改；</p><p>　　應急恢復流程、應急恢復操作規(guī)范和工作分工仍需細化。</p><p>　　風險控制角度需要解決的問題</p><p>　　重要服務器漏

35、洞修補和安全加固：未定期開展系統(tǒng)漏洞檢測、跟蹤和修補工作，解決重要服務器安全漏洞問題，并進行記錄備案，消除安全隱患；</p><p>　　重要網(wǎng)絡設備和安全防護設備的安全配置加固：未限制重要設備的管理地址，未綁定重要設備和主機的IP和MAC地址防止非法接入和地址欺騙</p><p>　　系統(tǒng)安全運維問題：系統(tǒng)漏洞管理制度不夠完善，未定期開展系統(tǒng)安全漏洞檢測；</p><

36、p>　　災備與應急響應問題：未制定系統(tǒng)備份恢復機制和流程，系統(tǒng)應急預案需進一步完善，未定期開展應急演練、培訓，保障系統(tǒng)故障發(fā)生時能夠有效恢復；</p><p>　　物理安全問題：需解決物理環(huán)境中出現(xiàn)的安全隱患，完善機房物理環(huán)境建設；</p><p>　　管理安全問題：未明確安全管理職責，需完善安全管理制度，計劃、落實安全意識與技能培訓。</p><p><