02 案例分享2 信息安全风险评估报告(模板)

1、安全风险评估报告系统名称：xxxxxxxxxxx送检单位：xxxxxxxxxxxxxxxxxxxx合同编号：评估时间：2011年10月10日2011年10月25日目 录报告声明3委托方信息4受托方信息4风险评估报告单51.风险评估项目概述71.1.建设项目基本信息71.2.风险评估实施单位基本情况71.3.风险评估活动概述71.3.1.风险评估工作组织过程71.3.2.风险评估技术路线91.3.3.依据的技术标准及相关法规文件92.评估对象构成112.1.评估对象描述112.2.网络拓扑结构112.3.网络边界描述122.4.业务应用描述122.5.子系统构成及定级133.资产调查143.1.资产赋值143.2.关键资产说明174.威胁识别与分析214.1.关键资产安全需求214.2.关键资产威胁概要304.3.威胁描述汇总434.4.威胁赋值565.脆弱性识别与分析585.1.常规脆弱性描述585.1.1.管理脆弱性585.1.2.网络脆弱性585.1.3.系统脆弱性585.1.4.应用脆弱性595.1.5.数据处理和存储脆弱性595.1.6.灾备与应急响应脆弱性595.1.7.物理

2、脆弱性605.2.脆弱性专项检查605.2.1.木马病毒专项检查605.2.2.服务器漏洞扫描专项检测605.2.3.安全设备漏洞扫描专项检测735.3.脆弱性综合列表756.风险分析826.1.关键资产的风险计算结果826.2.关键资产的风险等级866.2.1.风险等级列表866.2.2.风险等级统计876.2.3.基于脆弱性的风险排名876.2.4.风险结果分析897.综合分析与评价917.1.综合风险评价917.2.风险控制角度需要解决的问题928.整改意见939.注意事项94第57页共94页1. 威胁识别与分析1.1. 关键资产安全需求资产类别重要资产名称重要性程度（重要等级）资产重要性说明安全需求光纤交换机Brocade 300非常重要（5）保证xxxx系统数据正常传输到磁盘阵列的设备。可用性-系统可用性是必需的，价值非常高；保证各项系统数据正常传输到磁盘阵列。完整性-完整性价值非常关键，除管理员外其他任何用户不能修改数据。保密性-包含组织的重要秘密，泄露将会造成严重损害。完整性-完整性价值非常关键，除管理员外其他任何用户不能修改数据。保密性-包含组织的重要秘密，泄露将会造成

3、严重损害。保密性-包含组织的重要秘密，泄露将会造成严重损害。保密性-包含组织的重要秘密，泄露将会造成严重损害。保密性-包含组织的重要秘密，泄露将会造成严重损害。存储设备磁盘阵列 HP EVA4400非常重要（5）xxxx系统数据存储设备。可用性-系统可用性是必需的，价值非常高；保证xxxx系统数据存储功能持续正常运行。完整性-完整性价值非常关键，除管理员外其他任何用户不能修改数据。保密性-包含组织的重要秘密，泄露将会造成严重损害。保障设备UPS电源SANTAK 3C3 EX 30KS重要（4）机房电力保障的重要设备。可用性-系统可用性价值较高；保证xxxx系统供电工作正常。完整性-完整性价值较高；除授权人员外其他任何用户不能修改数据。保密性-包含组织内部可公开的信息，泄露将会造成轻微损害。完整性-完整性价值较高，除授权人员外其他任何用户不能修改数据。保密性-包含组织的重要秘密，泄露将会造成严重损害。金农一期业务系统4（高）部署在应用服务器上。可用性-系统可用性价值较高；保证xxxx数据正常采集。完整性-完整性价值较高，除授权人员外其他任何用户不能修改数据。保密性-包含组织的重要秘密，泄

4、露将会造成严重损害。备份管理软件Symantec Backup重要（4）xxxx系统数据备份管理软件。可用性-系统可用性价值较高；保证xxxx系统数据备份管理功能正常运行。完整性-完整性价值较高，除授权人员外其他任何用户不能修改数据。保密性-包含组织的重要秘密，泄露将会造成严重损害。内容管理软件WCM-MUL-V60网站群版重要（4）用户数据采编。可用性-系统可用性价值较高；保证xxxx系统数据的采编。完整性-完整性价值较高，除授权人员外其他任何用户不能修改数据。保密性-包含组织的重要秘密，泄露将会造成严重损害。数据xxxx系统数据非常重要（5）xxxx系统的核心数据。可用性-系统可用性是必需的，价值非常高；保证xxxx系统的核心数据能够正常读取及使用。完整性-完整性价值非常关键，除管理员外其他任何用户不能修改数据。保密性-包含组织的重要秘密，泄露将会造成严重损害。1.2. 关键资产威胁概要威胁是一种客观存在的，对组织及其资产构成潜在破坏的可能性因素，通过对“xxxxxxxxxxxxxxxxxxxx信息系统”关键资产进行调查，对威胁来源（内部/外部；主观/不可抗力等）、威胁方式、发生的

5、可能性等进行分析，如下表所示：关键资产名称威胁类型关注范围核心交换机Quidway S3300 Series操作失误（维护错误、操作失误）维护人员操作不当，导致交换机服务异常或中断，导致金农一期系统无法正常使用。社会工程（社会工程学破解）流行的免费下载软件中捆绑流氓软件、免费音乐中包含病毒、网络钓鱼、垃圾电子邮件中包括间谍软件等，引起系统安全问题。物理破坏（断电、消防、盗窃和破坏）物理断电导致关键设备停止工作，服务中断。火灾隐患威胁系统正常运行。滥用授权（非授权访问网络资源、滥用权限非正常修改系统配置或数据）管理地址未与特定主机进行绑定，可导致非授权人员访问核心交换机，修改系统配置或数据，造成网络中断。意外故障（设备硬件故障、传输设备故障）硬件故障、传输设备故障，可能导致整个中心机房网络中断，造成业务应用无法正常运行。管理不到位（管理制度和策略不完善、管理规程遗失、职责不明确、监督控管机制不健全） 安全管理制度不完善，策略执行无序，造成安全监管漏洞和缺失。光纤交换机Brocade 300操作失误（维护错误、操作失误）维护人员操作不当，导致交换机服务异常或中断，导致金农一期数据无法正常保

6、存到磁盘阵列。物理破坏（断电、消防、盗窃和破坏）物理断电导致关键设备停止工作，服务中断。火灾隐患威胁系统正常运行。滥用授权（非授权访问网络资源、滥用权限非正常修改系统配置或数据）管理地址未与特定主机进行绑定，可导致非授权人员访问光纤交换机，修改系统配置或数据，造成数据存储任务失败。意外故障（设备硬件故障、传输设备故障）硬件故障、传输设备故障，可能导致磁盘阵列无法连接到网络，造成数据存储失败。管理不到位（管理制度和策略不完善、管理规程遗失、职责不明确、监督控管机制不健全） 安全管理制度不完善，策略执行无序，造成安全监管漏洞和缺失。电信接入交换机Quidway S3300 Series操作失误（维护错误、操作失误）维护人员操作不当，导致交换机服务异常或中断，导致金农一期系统无法通过互联网访问。物理破坏（断电、消防、盗窃和破坏）物理断电导致关键设备停止工作，服务中断。火灾隐患威胁系统正常运行。滥用授权（非授权访问网络资源、滥用权限非正常修改系统配置或数据）管理地址未与特定主机进行绑定，可导致非授权人员访问电信接入交换机，修改系统配置或数据，造成网络中断。意外故障（设备硬件故障、传输设备故障）

7、设备硬件故障、传输设备故障，可能导致所有终端的网络传输中断，影响各办公室用户接入网络。管理不到位（管理制度和策略不完善、管理规程遗失、职责不明确、监督控管机制不健全） 安全管理制度不完善，策略执行无序，造成安全监管漏洞和缺失。电信出口路由器操作失误（维护错误、操作失误）维护人员操作不当，导致出口路由器服务异常或中断，影响地市州访问金农一期系统。物理破坏（断电、消防、盗窃和破坏）物理断电导致关键设备停止工作，服务中断。火灾隐患威胁系统正常运行。滥用授权（非授权访问网络资源、滥用权限非正常修改系统配置或数据）管理地址未与特定主机进行绑定，可导致非授权人员访问电信出口路由器，修改系统配置或数据，造成互联网通信线路中断。意外故障（设备硬件故障、传输设备故障）设备硬件故障、传输设备故障，可能导致所有终端的网络无法接入互联网。管理不到位（管理制度和策略不完善、管理规程遗失、职责不明确、监督控管机制不健全） 安全管理制度不完善，策略执行无序，造成安全监管漏洞和缺失。数据库服务器漏洞利用（利用漏洞窃取信息、利用漏洞破坏信息、利用漏洞破坏系统）非法入侵者利用漏洞侵入系统篡改或破坏，可能导致数据不可用或完

8、整性丢失。系统漏洞导致信息丢失、信息破坏、系统破坏，服务不可用。恶意代码（病毒、木马、间谍软件、窃听软件）系统可能受到病毒、木马、间谍软件、窃听软件的影响。物理破坏（断电、消防、盗窃和破坏）物理断电导致关键设备停止工作，服务中断。火灾隐患威胁系统正常运行。意外故障（设备硬件故障）硬件及系统故障导致系统不可用，服务中断。管理不到位（管理制度和策略不完善、管理规程遗失、职责不明确、监督控管机制不健全） 安全管理制度不完善，策略执行无序，造成安全监管漏洞和缺失。数据库备份服务器漏洞利用（利用漏洞窃取信息、利用漏洞破坏信息、利用漏洞破坏系统）非法入侵者利用漏洞侵入系统篡改或破坏，可能导致备份数据不可用或完整性丢失。恶意代码（病毒、木马、间谍软件、窃听软件）系统可能受到病毒、木马、间谍软件、窃听软件的影响。物理破坏（断电、消防、盗窃和破坏）物理断电导致关键设备停止工作，数据备份服务中断。火灾隐患威胁系统正常运行。意外故障（设备硬件故障）服务器系统本身软硬件故障导致数据备份不可用。管理不到位（管理制度和策略不完善、管理规程遗失、职责不明确、监督控管机制不健全）安全管理制度不完善，策略执行无序，造成安全监管漏洞和缺失。业务应用服务器漏洞利用（利用漏洞窃取信息、利用漏洞破坏信息、利用漏洞破坏系统）非法入侵者利用漏洞侵入系统篡改或破坏，可能导致系统业务中断。入侵者利用系统漏洞攻击系统，导致服务中断。恶意代码（病毒、木马、间谍软件、窃听软件）系统可能受到病毒、木马、间谍软件、窃听软件的影响。物理破坏（断电、消防、盗窃和破坏）物理断电导致关键设备停止工作，服务中断。火灾隐患威胁系统正常运行。意外故障（设备硬件故障、应用软件故障）硬件及系统故障导致系统不可用，服务中断。应用软件故障导致服务中断。管理不到位（管理制度和策略不完善、管理规程遗失、职责不明确、监督控管机制不健全） 安全管理制度不完善，策略执行无序，造成安全监管漏洞和缺失。部级下发服务器漏洞利用（利用漏洞窃取信息、利用漏洞破坏信息、利用漏洞破坏系统）非法入侵者利用漏洞侵入系统篡改或破坏，可能导致下发数据丢失。入侵者利用系统漏洞攻击系统，导致部级数据无法接收。恶意

《02 案例分享2 信息安全风险评估报告(模板)》由会员jiups****uk12分享，可在线阅读，更多相关《02 案例分享2 信息安全风险评估报告(模板)》请在金锄头文库上搜索。