信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告(模板)

1、<p><b>　　安全風(fēng)險(xiǎn)評(píng)估報(bào)告</b></p><p>　　系統(tǒng)名稱：xxxxxxxxxxx</p><p>　　送檢單位：xxxxxxxxxxxxxxxxxxxx</p><p><b>　　合同編號(hào)：</b></p><p>　　評(píng)估時(shí)間：2011年10月10日~2011年10月

2、25日</p><p><b>　　目 錄</b></p><p>　　報(bào)告聲明錯(cuò)誤!未定義書簽。</p><p>　　委托方信息錯(cuò)誤!未定義書簽。</p><p>　　受托方信息錯(cuò)誤!未定義書簽。</p><p>　　風(fēng)險(xiǎn)評(píng)估報(bào)告單錯(cuò)誤!未定義書簽。</p><p&

3、gt;　　1.風(fēng)險(xiǎn)評(píng)估項(xiàng)目概述錯(cuò)誤!未定義書簽。</p><p>　　1.1.建設(shè)項(xiàng)目基本信息錯(cuò)誤!未定義書簽。</p><p>　　1.2.風(fēng)險(xiǎn)評(píng)估實(shí)施單位基本情況錯(cuò)誤!未定義書簽。</p><p>　　1.3.風(fēng)險(xiǎn)評(píng)估活動(dòng)概述錯(cuò)誤!未定義書簽。</p><p>　　1.3.1.風(fēng)險(xiǎn)評(píng)估工作組織過程錯(cuò)誤!未定義書簽。&l

4、t;/p><p>　　1.3.2.風(fēng)險(xiǎn)評(píng)估技術(shù)路線錯(cuò)誤!未定義書簽。</p><p>　　1.3.3.依據(jù)的技術(shù)標(biāo)準(zhǔn)及相關(guān)法規(guī)文件錯(cuò)誤!未定義書簽。</p><p>　　2.評(píng)估對(duì)象構(gòu)成錯(cuò)誤!未定義書簽。</p><p>　　2.1.評(píng)估對(duì)象描述錯(cuò)誤!未定義書簽。</p><p>　　2.2.網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

5、錯(cuò)誤!未定義書簽。</p><p>　　2.3.網(wǎng)絡(luò)邊界描述錯(cuò)誤!未定義書簽。</p><p>　　2.4.業(yè)務(wù)應(yīng)用描述錯(cuò)誤!未定義書簽。</p><p>　　2.5.子系統(tǒng)構(gòu)成及定級(jí)錯(cuò)誤!未定義書簽。</p><p>　　3.資產(chǎn)調(diào)查錯(cuò)誤!未定義書簽。</p><p>　　3.1.資產(chǎn)賦值錯(cuò)誤!

6、未定義書簽。</p><p>　　3.2.關(guān)鍵資產(chǎn)說明錯(cuò)誤!未定義書簽。</p><p>　　4.威脅識(shí)別與分析3</p><p>　　4.1.關(guān)鍵資產(chǎn)安全需求3</p><p>　　4.2.關(guān)鍵資產(chǎn)威脅概要7</p><p>　　4.3.威脅描述匯總20</p><p>　

7、　4.4.威脅賦值22</p><p>　　5.脆弱性識(shí)別與分析25</p><p>　　5.1.常規(guī)脆弱性描述25</p><p>　　5.1.1.管理脆弱性25</p><p>　　5.1.2.網(wǎng)絡(luò)脆弱性25</p><p>　　5.1.3.系統(tǒng)脆弱性25</p><p&

8、gt;　　5.1.4.應(yīng)用脆弱性25</p><p>　　5.1.5.數(shù)據(jù)處理和存儲(chǔ)脆弱性25</p><p>　　5.1.6.災(zāi)備與應(yīng)急響應(yīng)脆弱性25</p><p>　　5.1.7.物理脆弱性25</p><p>　　5.2.脆弱性專項(xiàng)檢查25</p><p>　　5.2.1.木馬病毒專項(xiàng)檢查

9、25</p><p>　　5.2.2.服務(wù)器漏洞掃描專項(xiàng)檢測(cè)26</p><p>　　5.2.3.安全設(shè)備漏洞掃描專項(xiàng)檢測(cè)37</p><p>　　5.3.脆弱性綜合列表40</p><p>　　6.風(fēng)險(xiǎn)分析47</p><p>　　6.1.關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)計(jì)算結(jié)果47</p><

10、;p>　　6.2.關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)等級(jí)51</p><p>　　6.2.1.風(fēng)險(xiǎn)等級(jí)列表51</p><p>　　6.2.2.風(fēng)險(xiǎn)等級(jí)統(tǒng)計(jì)52</p><p>　　6.2.3.基于脆弱性的風(fēng)險(xiǎn)排名52</p><p>　　6.2.4.風(fēng)險(xiǎn)結(jié)果分析54</p><p>　　7.綜合分析與評(píng)價(jià)5

11、5</p><p>　　7.1.綜合風(fēng)險(xiǎn)評(píng)價(jià)55</p><p>　　7.2.風(fēng)險(xiǎn)控制角度需要解決的問題56</p><p>　　8.整改意見57</p><p>　　9.注意事項(xiàng)錯(cuò)誤!未定義書簽。</p><p><b>　　威脅識(shí)別與分析</b></p><

12、p><b>　　關(guān)鍵資產(chǎn)安全需求</b></p><p><b>　　關(guān)鍵資產(chǎn)威脅概要</b></p><p>　　威脅是一種客觀存在的，對(duì)組織及其資產(chǎn)構(gòu)成潛在破壞的可能性因素，通過對(duì)“xxxxxxxxxxxxxxxxxxxx信息系統(tǒng)”關(guān)鍵資產(chǎn)進(jìn)行調(diào)查，對(duì)威脅來源（內(nèi)部/外部；主觀/不可抗力等）、威脅方式、發(fā)生的可能性等進(jìn)行分析，如下表所示

13、：</p><p><b>　　威脅描述匯總</b></p><p><b>　　威脅賦值</b></p><p><b>　　脆弱性識(shí)別與分析</b></p><p><b>　　常規(guī)脆弱性描述</b></p><p><b

14、>　　管理脆弱性</b></p><p><b>　　….。</b></p><p><b>　　網(wǎng)絡(luò)脆弱性</b></p><p><b>　　….。</b></p><p><b>　　系統(tǒng)脆弱性</b></p><

15、;p><b>　　….。</b></p><p><b>　　應(yīng)用脆弱性</b></p><p><b>　　…..</b></p><p>　　數(shù)據(jù)處理和存儲(chǔ)脆弱性</p><p><b>　　…..</b></p><p>

16、;<b>　　運(yùn)行維護(hù)脆弱性</b></p><p><b>　　….</b></p><p>　　災(zāi)備與應(yīng)急響應(yīng)脆弱性</p><p><b>　　…</b></p><p><b>　　物理脆弱性</b></p><p><

17、;b>　　…。</b></p><p><b>　　脆弱性專項(xiàng)檢查</b></p><p><b>　　木馬病毒專項(xiàng)檢查</b></p><p>　　信息系統(tǒng)配置異常流量監(jiān)控系統(tǒng)、入侵防護(hù)、入侵檢測(cè)、防病毒網(wǎng)關(guān)，均通過聯(lián)網(wǎng)升級(jí)；</p><p>　　系統(tǒng)安裝瑞星殺毒軟件，程序版本號(hào)

18、23.00.48.42，升級(jí)設(shè)置為“即時(shí)升級(jí)”，殺毒引擎級(jí)別設(shè)置為中。</p><p>　　服務(wù)器漏洞掃描專項(xiàng)檢測(cè)</p><p><b>　　主機(jī)掃描統(tǒng)計(jì)列表</b></p><p><b>　　漏洞統(tǒng)計(jì)</b></p><p><b>　　服務(wù)統(tǒng)計(jì)</b></p>

19、;<p><b>　　漏洞掃描詳細(xì)列表</b></p><p>　　● SNMP使用默認(rèn)團(tuán)體名</p><p>　　● Apache Tomcat Transfer-Encoding頭處理拒絕服務(wù)和信息泄露漏洞</p><p>　　● SNMP不能通知management stations</p><p>

20、　　● SNMP泄露Wins用戶名</p><p>　　● SNMP服務(wù)正在運(yùn)行</p><p>　　● SNMP代理泄露網(wǎng)絡(luò)接口的信息</p><p>　　● SNMP提供遠(yuǎn)程監(jiān)控信息</p><p>　　● SNMP提供遠(yuǎn)程路由信息</p><p><b>　　● SSH信息獲取</b><

21、;/p><p>　　● ICMP時(shí)間戳獲取</p><p>　　● WWW Web 服務(wù)器版本檢查</p><p>　　● 遠(yuǎn)程主機(jī)運(yùn)行MSSQL服務(wù)</p><p>　　● 匿名IPC$連接檢查</p><p>　　● Apache Tomcat設(shè)計(jì)錯(cuò)誤漏洞</p><p>　　● 遠(yuǎn)程主機(jī)正在運(yùn)

22、行終端服務(wù)</p><p>　　● Apache Tomcat "MemoryUserDatabase"信息泄露漏洞</p><p>　　● 可以通過NetBios獲取操作系統(tǒng)信息</p><p>　　● 通過SNMP獲得系統(tǒng)TCP端口列表</p><p>　　● 通過SNMP獲得系統(tǒng)UDP端口列表</p>

23、<p>　　● 通過SNMP獲得系統(tǒng)進(jìn)程列表</p><p>　　● 通過SNMP獲得系統(tǒng)服務(wù)列表</p><p>　　● 通過SNMP獲得系統(tǒng)信息</p><p>　　● 通過SNMP獲得系統(tǒng)安裝軟件列表</p><p>　　● 通過SNMP獲得系統(tǒng)存儲(chǔ)設(shè)備列表</p><p>　　● ssh_檢測(cè)類型和版

24、本</p><p>　　● ssh_協(xié)議版本</p><p>　　● 遠(yuǎn)程SSH服務(wù)器允許使用低版本SSH協(xié)議</p><p>　　● 遠(yuǎn)程主機(jī)HTTP/WWW服務(wù)正在運(yùn)行</p><p>　　安全設(shè)備漏洞掃描專項(xiàng)檢測(cè)</p><p><b>　　主機(jī)掃描統(tǒng)計(jì)列表</b></p>&

25、lt;p><b>　　漏洞統(tǒng)計(jì)</b></p><p><b>　　服務(wù)統(tǒng)計(jì)</b></p><p><b>　　漏洞掃描詳細(xì)列表</b></p><p>　　● ICMP時(shí)間戳獲取</p><p><b>　　脆弱性綜合列表</b></p&g

26、t;<p><b>　　風(fēng)險(xiǎn)分析</b></p><p>　　關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)計(jì)算結(jié)果</p><p>　　根據(jù)《GB/T 20984-2007 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》要求，通過選取關(guān)鍵資產(chǎn)的資產(chǎn)賦值、威脅賦值、脆弱性賦值，采用乘法計(jì)算風(fēng)險(xiǎn)值，得到了如下風(fēng)險(xiǎn)結(jié)果：</p><p><b>　　關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)等

27、級(jí)</b></p><p><b>　　風(fēng)險(xiǎn)等級(jí)列表</b></p><p><b>　　風(fēng)險(xiǎn)等級(jí)統(tǒng)計(jì)</b></p><p>　　基于脆弱性的風(fēng)險(xiǎn)排名</p><p><b>　　風(fēng)險(xiǎn)結(jié)果分析</b></p><p>　　從安全風(fēng)險(xiǎn)狀態(tài)來看

28、，關(guān)鍵資產(chǎn)存在著從低級(jí)風(fēng)險(xiǎn)到高風(fēng)險(xiǎn)等級(jí)別的風(fēng)險(xiǎn)。</p><p>　　高風(fēng)險(xiǎn)作用的關(guān)鍵資產(chǎn)</p><p><b>　　….。</b></p><p>　　中風(fēng)險(xiǎn)作用的關(guān)鍵資產(chǎn)</p><p><b>　　….。</b></p><p>　　低中風(fēng)險(xiǎn)作用的關(guān)鍵資產(chǎn)</p

29、><p><b>　　…。</b></p><p><b>　　綜合分析與評(píng)價(jià)</b></p><p><b>　　綜合風(fēng)險(xiǎn)評(píng)價(jià)</b></p><p>　　從信息系統(tǒng)安全風(fēng)險(xiǎn)狀態(tài)來看，關(guān)鍵資產(chǎn)存在著從低級(jí)、中級(jí)到高級(jí)等不同級(jí)別的風(fēng)險(xiǎn)，風(fēng)險(xiǎn)評(píng)價(jià)如下：</p><

30、p>　　各關(guān)鍵資產(chǎn)存在高風(fēng)險(xiǎn)：(不可接受的風(fēng)險(xiǎn))</p><p>　　重要服務(wù)器存在較高級(jí)別的安全漏洞，存在漏洞利用的風(fēng)險(xiǎn)；</p><p>　　未定期開展全系統(tǒng)的病毒、木馬查殺跟蹤工作，存在惡意代碼的風(fēng)險(xiǎn)；</p><p>　　UPS電源目前只為弱電供電，重要服務(wù)器、網(wǎng)絡(luò)設(shè)備均未被覆蓋，存在電力供應(yīng)的風(fēng)險(xiǎn)。</p><p>　　各關(guān)鍵

31、資產(chǎn)存在中級(jí)風(fēng)險(xiǎn)：（跟蹤、降低和控制風(fēng)險(xiǎn)）</p><p>　　部分服務(wù)器由于存在中、低風(fēng)險(xiǎn)的安全漏洞，存在漏洞利用的風(fēng)險(xiǎn)；</p><p>　　各服務(wù)器未針對(duì)定期進(jìn)行的病毒、木馬查殺形成工作記錄和分析報(bào)告，存在惡意代碼的風(fēng)險(xiǎn)；</p><p>　　機(jī)房中煙感、溫感只處于通電狀態(tài)，未啟用，存在物理安全風(fēng)險(xiǎn)；</p><p>　　目前由外包公司

32、定期對(duì)安全設(shè)備進(jìn)行定期回訪，但整個(gè)金農(nóng)一期系統(tǒng)未開展全面、系統(tǒng)的安全運(yùn)行巡檢工作，出現(xiàn)故障或異常后可能無法及時(shí)發(fā)現(xiàn)進(jìn)行解決，存在巡檢缺位的風(fēng)險(xiǎn)；</p><p>　　目前安全管理制度不夠全面，需要進(jìn)一步的補(bǔ)充、完善和細(xì)化，信息安全管理職責(zé)和分工還不夠明確，未定期開展信息安全人員培訓(xùn)工作；</p><p>　　系統(tǒng)運(yùn)維方面未定期開展漏洞檢測(cè)、跟蹤和修補(bǔ)，無相關(guān)制度規(guī)定和工作記錄，密碼的管理和

33、保存存在不足，并未定期進(jìn)行修改；</p><p>　　應(yīng)急預(yù)案內(nèi)容需要進(jìn)一步完善和細(xì)化，未定期開展應(yīng)急演練、培訓(xùn)，并形成記錄。</p><p>　　各關(guān)鍵資產(chǎn)存在低風(fēng)險(xiǎn)：</p><p>　　未開展軟件系統(tǒng)的安全運(yùn)行巡檢工作，出現(xiàn)故障或異常后可能無法及時(shí)發(fā)現(xiàn)進(jìn)行解決，存在巡檢缺位和系統(tǒng)故障的風(fēng)險(xiǎn)；</p><p>　　目前安全管理制度不夠全面

34、，需要進(jìn)一步的補(bǔ)充、完善和細(xì)化，未形成全面的管理記錄；</p><p>　　系統(tǒng)運(yùn)維方面未定期開展漏洞檢測(cè)、跟蹤和修補(bǔ)，無相關(guān)制度規(guī)定和工作記錄，密碼的管理和保存存在不足，并未定期進(jìn)行修改；</p><p>　　應(yīng)急恢復(fù)流程、應(yīng)急恢復(fù)操作規(guī)范和工作分工仍需細(xì)化。</p><p>　　風(fēng)險(xiǎn)控制角度需要解決的問題</p><p>　　重要服務(wù)器漏

35、洞修補(bǔ)和安全加固：未定期開展系統(tǒng)漏洞檢測(cè)、跟蹤和修補(bǔ)工作，解決重要服務(wù)器安全漏洞問題，并進(jìn)行記錄備案，消除安全隱患；</p><p>　　重要網(wǎng)絡(luò)設(shè)備和安全防護(hù)設(shè)備的安全配置加固：未限制重要設(shè)備的管理地址，未綁定重要設(shè)備和主機(jī)的IP和MAC地址防止非法接入和地址欺騙</p><p>　　系統(tǒng)安全運(yùn)維問題：系統(tǒng)漏洞管理制度不夠完善，未定期開展系統(tǒng)安全漏洞檢測(cè)；</p><

36、p>　　災(zāi)備與應(yīng)急響應(yīng)問題：未制定系統(tǒng)備份恢復(fù)機(jī)制和流程，系統(tǒng)應(yīng)急預(yù)案需進(jìn)一步完善，未定期開展應(yīng)急演練、培訓(xùn)，保障系統(tǒng)故障發(fā)生時(shí)能夠有效恢復(fù)；</p><p>　　物理安全問題：需解決物理環(huán)境中出現(xiàn)的安全隱患，完善機(jī)房物理環(huán)境建設(shè)；</p><p>　　管理安全問題：未明確安全管理職責(zé)，需完善安全管理制度，計(jì)劃、落實(shí)安全意識(shí)與技能培訓(xùn)。</p><p><