欢迎来到天天文库
浏览记录
ID:42340416
大小:145.50 KB
页数:39页
时间:2019-09-13
《信息安全风险评估报告材料》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、实用标准文档目录1.威胁识别与分析21.1.关键资产安全需求21.2.关键资产威胁概要31.3.威胁描述汇总91.4.威胁赋值102.脆弱性识别与分析122.1.常规脆弱性描述122.1.1.管理脆弱性122.1.2.网络脆弱性122.1.3.系统脆弱性122.1.4.应用脆弱性122.1.5.数据处理和存储脆弱性122.1.6.运行维护脆弱性122.1.7.灾备与应急响应脆弱性122.1.8.物理脆弱性122.2.脆弱性专项检查122.2.1.木马病毒专项检查122.2.2.服务器漏洞扫描专项检测122.2.3.安全设备漏洞扫描专项检测192.3.脆弱性综
2、合列表213.风险分析253.1.关键资产的风险计算结果253.2.关键资产的风险等级273.2.1.风险等级列表273.2.2.风险等级统计283.2.3.基于脆弱性的风险排名283.2.4.风险结果分析29文案大全实用标准文档文案大全实用标准文档4.综合分析与评价304.1.综合风险评价304.2.风险控制角度需要解决的问题305.整改意见31文案大全实用标准文档文案大全实用标准文档1.威胁识别与分析1.1.关键资产安全需求资产类别重要资产名称重要性程度(重要等级)资产重要性说明安全需求光纤交换机Brocade300非常重要(5)保证xxxx系统数据正常
3、传输到磁盘阵列的设备。可用性-系统可用性是必需的,价值非常高;保证各项系统数据正常传输到磁盘阵列。完整性-完整性价值非常关键,除管理员外其他任何用户不能修改数据。保密性-包含组织的重要秘密,泄露将会造成严重损害。完整性-完整性价值非常关键,除管理员外其他任何用户不能修改数据。保密性-包含组织的重要秘密,泄露将会造成严重损害。保密性-包含组织的重要秘密,泄露将会造成严重损害。保密性-包含组织的重要秘密,泄露将会造成严重损害。保密性-包含组织的重要秘密,泄露将会造成严重损害。存储设备磁盘阵列HPEVA4400非常重要(5)xxxx系统数据存储设备。可用性-系统可
4、用性是必需的,价值非常高;保证xxxx系统数据存储功能持续正常运行。完整性-完整性价值非常关键,除管理员外其他任何用户不能修改数据。保密性-包含组织的重要秘密,泄露将会造成严重损害。保障设备UPS电源SANTAK3C3EX30KS重要(4)机房电力保障的重要设备。可用性-系统可用性价值较高;保证xxxx系统供电工作正常。完整性-完整性价值较高;除授权人员外其他任何用户不能修改数据。保密性-包含组织内部可公开的信息,泄露将会造成轻微损害。完整性-完整性价值较高,除授权人员外其他任何用户不能修改数据。文案大全实用标准文档保密性-包含组织的重要秘密,泄露将会造成严
5、重损害。金农一期业务系统4(高)部署在应用服务器上。可用性-系统可用性价值较高;保证xxxx数据正常采集。完整性-完整性价值较高,除授权人员外其他任何用户不能修改数据。保密性-包含组织的重要秘密,泄露将会造成严重损害。备份管理软件SymantecBackup重要(4)xxxx系统数据备份管理软件。可用性-系统可用性价值较高;保证xxxx系统数据备份管理功能正常运行。完整性-完整性价值较高,除授权人员外其他任何用户不能修改数据。保密性-包含组织的重要秘密,泄露将会造成严重损害。内容管理软件WCM-MUL-V60网站群版重要(4)用户数据采编。可用性-系统可用性
6、价值较高;保证xxxx系统数据的采编。完整性-完整性价值较高,除授权人员外其他任何用户不能修改数据。保密性-包含组织的重要秘密,泄露将会造成严重损害。数据xxxx系统数据非常重要(5)xxxx系统的核心数据。可用性-系统可用性是必需的,价值非常高;保证xxxx系统的核心数据能够正常读取及使用。完整性-完整性价值非常关键,除管理员外其他任何用户不能修改数据。保密性-包含组织的重要秘密,泄露将会造成严重损害。1.1.关键资产威胁概要威胁是一种客观存在的,对组织及其资产构成潜在破坏的可能性因素,通过对“xxxxxxxxxxxxxxxxxxxx信息系统”关键资产进行
7、调查,对威胁来源(内部/外部;主观/不可抗力等)、威胁方式、发生的可能性等进行分析,如下表所示:关键资产名称威胁类型关注范围文案大全实用标准文档核心交换机QuidwayS3300Series操作失误(维护错误、操作失误)维护人员操作不当,导致交换机服务异常或中断,导致金农一期系统无法正常使用。社会工程(社会工程学破解)流行的免费下载软件中捆绑流氓软件、免费音乐中包含病毒、网络钓鱼、垃圾电子邮件中包括间谍软件等,引起系统安全问题。物理破坏(断电、消防、盗窃和破坏)物理断电导致关键设备停止工作,服务中断。火灾隐患威胁系统正常运行。滥用授权(非授权访问网络资源、滥
8、用权限非正常修改系统配置或数据)管理地址未与特定主机
此文档下载收益归作者所有