信息项目安全风险评价评估报告

信息项目安全风险评价评估报告

ID:23698344

大小:423.50 KB

页数:17页

时间:2018-11-09

信息项目安全风险评价评估报告_第1页
信息项目安全风险评价评估报告_第2页
信息项目安全风险评价评估报告_第3页
信息项目安全风险评价评估报告_第4页
信息项目安全风险评价评估报告_第5页
资源描述:

《信息项目安全风险评价评估报告》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、

2、1111单位:1111系统安全项目信息安全风险评估报告我们单位名日期

3、报告编写人:日期:批准人:日期:版本号:第一版本日期第二版本日期终板

4、目 录1概述31.1项目背景31.2工作方法31.3评估范围31.4基本信息32业务系统分析42.1业务系统职能42.2网络拓扑结构42.3边界数据流向43资产分析53.1信息资产分析53.1.1信息资产识别概述53.1.2信息资产识别54威胁分析64.1威胁分析概述64.2威胁分类74.3威胁主体74.4威胁识别75脆弱性分析85.1脆弱性分析概述85.2技术脆弱性分析95.2.1网络平台脆弱性分析95.2.2操作系统脆弱性分析95.2.3脆弱性扫描

5、结果分析95.2.3.1扫描资产列表95.2.3.2高危漏洞分析105.2.3.3系统帐户分析105.2.3.4应用帐户分析105.3管理脆弱性分析10

6、5.4脆弱性识别126风险分析136.1风险分析概述136.2资产风险分布136.3资产风险列表137系统安全加固建议147.1管理类建议147.2技术类建议147.2.1安全措施147.2.2网络平台157.2.3操作系统158制定及确认169附录A:脆弱性编号规则17

7、1概述1.1项目背景为了切实提高各系统的安全保障水平,更好地促进各系统的安全建设工作,提升奥运保障能力,需要增强对于网运中心各系统的安全风险控制,发现系统安全风险并及时纠

8、正。根据网络与信息安全建设规划,为了提高各系统的安全保障和运营水平,现提出系统安全加固与服务项目。1.2工作方法在本次安全风险评测中将主要采用的评测方法包括:lØ人工评测;lØ工具评测;lØ调查问卷;lØ顾问访谈。1.3评估范围此次系统测评的范围主要针对该业务系统所涉及的服务器、应用、数据库、网络设备、安全设备、终端等资产。主要涉及以下方面:1)业务系统的应用环境,;2)网络及其主要基础设施,例如路由器、交换机等;3)安全保护措施和设备,例如防火墙、IDS等;4)信息安全管理体系(ISMS)1.4基本信息被评估系统名称xx系统业务系统负责人评估工作配合人员

9、1业务系统分析1.1业务系统职能1

10、.2网络拓扑结构图表1业务系统拓扑结构图1.3边界数据流向编号边界名称边界类型路径系统发起方数据流向现有安全措施1.MDN系统类MDN本系统/对端系统双向系统架构隔离2资产分析2.1信息资产分析2.1.1信息资产识别概述资产是风险评估的最终评估对象。在一个全面的风险评估中,风险的所有重要因素都紧紧围绕着资产为中心,威胁、脆弱性以及风险都是针对资产而客观存在的。威胁利用资产自身的脆弱性使得安全事件的发生成为可能,从而形成了风险。这些安全事件一旦发生,将对资产甚至是整个系统都将造成一定的影响。资产被定义为对组织具有价值的信息或资源,资产识别的目标就是识别出资产的价值,风险评估中资产的价值不是以资

11、产的经济价值来衡量,而是由资产在其安全属性——机密性、完整性和可用性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。资产估价等级赋值高3中2低1

12、1.1.1信息资产识别资产分类资产组IP地址/名称资产估价等级组号资产编号具体资产物理资产服务器1.H001sunultra60中H002sunultra60中H003sunultra60高H004sunultra60高网络设备2.N001华为3680E中N002华为3680E中N003华为S2016中软件资产操作系统、数据库和应用软件3.H001Solaris高H002Solaris高H003Solaris高H004Solaris高4

13、.D001Sybase高2威胁分析2.1威胁分析概述威胁是指可能对资产或组织造成损害事故的潜在原因。作为风险评估的重要因素,威胁是一个客观存在的事物,无论对于多么安全的信息系统都存在。威胁可能源于对系统直接或间接的攻击,例如信息泄漏、篡改、删除等,在机密性、完整性或可用性等方面造成损害;威胁也可能源于偶发的、或蓄意的事件。按照威胁产生的来源,可以分为外部威胁和内部威胁:(1)外部威胁:来自不可控网络的外部攻击,主要指移动的CMNET、其它电信运营商的Internet互联网,以及第三方的攻击,其中互联网的威胁主要是黑客攻击、蠕虫病毒等,而第三方的威胁主要是越权或滥用、泄密、篡改、恶意代码或病毒

14、等。(2)内部威胁:主要来自内部人员的恶意攻击、无作为或操作失误、越权或滥用、泄密、篡改等。另外,由于管理不规范导致各支撑系统之间的终端混用,也带来病毒泛滥的潜在威胁。对每种威胁发生的可能性进行分析,最终为其赋一个相对等级值,将根据经验、有关的统计数据来判断威胁发生的频率或者概率。威胁发生的可能性受下列因素影响:1)资产的吸引力;

15、1)资产转化成报酬的容易程度;2)威胁的技术力量;3)脆弱性被利用的难易程度。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。