xx信息系統(tǒng)安全系統(tǒng)風(fēng)險分析報告與評估報告材料實用模板(公開)

1、<p>　　說明文字：大致內(nèi)容如此，根據(jù)具體情況增刪</p><p>　　XXXX信息系統(tǒng)安全風(fēng)險評估報告</p><p><b>　　二〇一五年七月</b></p><p><b>　　目 錄</b></p><p>　　1評估工作概述3</p><p>&l

2、t;b>　　1.1評估目標(biāo)3</b></p><p><b>　　1.2評估組織3</b></p><p><b>　　1.3評估對象3</b></p><p>　　1.3.1業(yè)務(wù)職能與組織結(jié)構(gòu)3</p><p>　　1.3.2系統(tǒng)定級6</p><p

3、>　　1.3.3物理環(huán)境6</p><p>　　1.3.4網(wǎng)絡(luò)結(jié)構(gòu)9</p><p>　　1.3.5安全保密措施12</p><p>　　1.3.6重要XX部門、部位13</p><p>　　2評估依據(jù)和標(biāo)準(zhǔn)13</p><p><b>　　3評估方案14</b></p

4、><p><b>　　4資產(chǎn)識別15</b></p><p>　　4.1資產(chǎn)重要性等級定義15</p><p>　　4.2資產(chǎn)分類16</p><p>　　4.2.1服務(wù)器情況列表16</p><p>　　4.2.2交換機情況列表19</p><p>　　4.2.3

5、用戶終端和XX單機19</p><p>　　4.2.4特種設(shè)備20</p><p>　　4.2.5軟件平臺20</p><p>　　4.2.6安全保密設(shè)備20</p><p>　　4.2.7應(yīng)用系統(tǒng)情況列表28</p><p>　　4.2.8試運行應(yīng)用系統(tǒng)情況列表29</p><p>

6、;<b>　　5威脅識別30</b></p><p>　　5.1威脅分類30</p><p>　　5.2威脅賦值31</p><p>　　6脆弱性識別33</p><p>　　6.1脆弱性識別內(nèi)容33</p><p>　　6.2脆弱性賦值33</p><p>

7、;　　6.3脆弱性專向檢測34</p><p>　　6.3.1病毒木馬專項檢查34</p><p>　　6.3.2網(wǎng)絡(luò)掃描專項測試34</p><p><b>　　7風(fēng)險分析44</b></p><p><b>　　8風(fēng)險統(tǒng)計48</b></p><p><

8、;b>　　9評估結(jié)論48</b></p><p>　　10整改建議48</p><p><b>　　評估工作概述</b></p><p>　　2015年7月7-9日，由XX部門組織相關(guān)人員對XX信息系統(tǒng)進行了安全風(fēng)險評估。</p><p>　　本報告的評估結(jié)論僅針對xx廠XX信息系統(tǒng)本次安全風(fēng)險

9、評估時的狀況。</p><p><b>　　1.1評估目標(biāo)</b></p><p>　　本次評估工作依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對xx廠XX信息系統(tǒng)及由其處理、傳輸和存儲的信息的安全屬性進行評估，分析該XX信息系統(tǒng)內(nèi)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、用戶終端及支撐平臺等資產(chǎn)在日常運行、管理過程中面臨的威脅、存在的脆弱性以及由此帶來的安全風(fēng)險，為將安全風(fēng)險控制在可接受的水平，最大

10、限度地保障該XX信息系統(tǒng)的信息安全保密提供指導(dǎo)依據(jù)。</p><p><b>　　1.2評估組織</b></p><p>　　本次風(fēng)險評估由XX信息系統(tǒng)管理領(lǐng)導(dǎo)小組負責(zé)組織。由xx部門現(xiàn)場開展本次評估工作，XX業(yè)務(wù)部門相關(guān)人員進行配合。</p><p><b>　　1.3評估對象</b></p><p&

11、gt;　　1.3.1業(yè)務(wù)職能與組織結(jié)構(gòu)</p><p><b>　　Xx</b></p><p><b>　　1.3.2系統(tǒng)定級</b></p><p>　　Xx廠XX信息系統(tǒng)經(jīng)xx批準(zhǔn)同意，按照所處理XX信息的最高密級定為機密級，采用增強保護要求進行保護。</p><p><b>　　1

12、.3.3物理環(huán)境</b></p><p><b>　　XX</b></p><p><b>　　1.3.4網(wǎng)絡(luò)結(jié)構(gòu)</b></p><p><b>　　圖1 、組織機構(gòu)圖</b></p><p><b>　　圖2周邊物理環(huán)境圖</b></

13、p><p>　　3 、網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖</p><p>　　1.3.5安全保密措施</p><p>　　XX廠XX信息系統(tǒng)配備了防火墻、網(wǎng)絡(luò)入侵檢測系統(tǒng)、漏洞掃描系統(tǒng)、主機監(jiān)控與審計系統(tǒng)、XX計算機及移動存儲介質(zhì)保密管理系統(tǒng)（“三合一”系統(tǒng)）、中孚信息消除工具、打印安全監(jiān)控與審計系統(tǒng)、安全郵件、網(wǎng)間文件交換系統(tǒng)、防計算機病毒軟件、線路傳導(dǎo)干擾器、一級電磁干擾器、紅黑電源濾

14、波隔離插座等安全保密產(chǎn)品。</p><p><b>　　身份鑒別</b></p><p>　　口令認證，復(fù)雜度，密碼長度等符合要求否？</p><p>　　XX便攜式計算機、XX單機和XX數(shù)據(jù)中轉(zhuǎn)單機采用用戶名與口令相結(jié)合的方式進行身份鑒別。</p><p>　　1.3.6重要XX部門、部位</p><

15、;p>　　XX廠XX信息系統(tǒng)保密要害部門為2個，保密要害部位為5個，具體情況如下表所示。</p><p><b>　　評估依據(jù)和標(biāo)準(zhǔn)</b></p><p>　　《武器裝備科研生產(chǎn)單位三級保密資格評分標(biāo)準(zhǔn)》</p><p><b>　　評估方案</b></p><p>　　本次風(fēng)險評估采用文檔

16、審閱、人員問詢、脆弱性掃描和現(xiàn)場查驗等風(fēng)險評估方法。</p><p>　?。?）文檔審閱：了解XX信息系統(tǒng)的基本情況、2015年上半年發(fā)生的變化，問題項的整改情況，確定后續(xù)查驗的重點。審閱的文檔材料主要包括：安全審計報告與審計報告、例行檢查記錄、工作和審批記錄。</p><p>　?。?）人員問詢：對XX信息系統(tǒng)管理人員和部分用戶（包括行政管理人員和技術(shù)人員）進行了問詢，評估XX信息系統(tǒng)的

17、管理者和使用者對自身保密職責(zé)的知悉情況，以及理解相關(guān)制度和標(biāo)準(zhǔn)并落實到日常工作中的情況。</p><p>　?。?）脆弱性掃描：通過使用中科網(wǎng)威網(wǎng)絡(luò)漏洞掃描系統(tǒng)對XX廠XX信息系統(tǒng)進行脆弱性掃描，收集服務(wù)器、用戶終端、網(wǎng)絡(luò)設(shè)備和數(shù)據(jù)庫的安全漏洞。</p><p>　　（4）現(xiàn)場查驗：評估規(guī)章制度的建設(shè)和執(zhí)行情況；評估部分服務(wù)器、用戶終端、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)和安全保密設(shè)備的安全保密防護情況；

18、評估系統(tǒng)的物理安全和電磁泄漏發(fā)射防護情況。</p><p><b>　　資產(chǎn)識別</b></p><p>　　資產(chǎn)是對組織具有價值的信息或資源。機密性、完整性和可用性是評價資產(chǎn)的三個安全屬性。風(fēng)險評估中資產(chǎn)的價值不是以資產(chǎn)的經(jīng)濟價值來衡量，而是由資產(chǎn)在這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。安全屬性達成程度的不同將使資產(chǎn)具有不同的價值

19、，而資產(chǎn)面臨的威脅、存在的脆弱性、以及已采用的安全措施都將對資產(chǎn)安全屬性的達成程度產(chǎn)生影響。為此，必須對XX廠XX信息系統(tǒng)內(nèi)的資產(chǎn)進行識別。</p><p>　　4.1資產(chǎn)重要性等級定義</p><p>　　資產(chǎn)的重要性等級依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級綜合評定后得出。本次評估將XX廠XX信息系統(tǒng)內(nèi)的資產(chǎn)劃分為五級，級別越高表示資產(chǎn)越重要。不同等級的資產(chǎn)重要性的綜合描述如下表

20、所示。</p><p><b>　　4.2資產(chǎn)分類</b></p><p>　　根據(jù)XX廠資產(chǎn)的表現(xiàn)形式，首先將資產(chǎn)分為服務(wù)器、交換機、用戶終端（含網(wǎng)絡(luò)打印機）和XX單機（含XX筆記本電腦）、特種設(shè)備、軟件平臺、安全保密設(shè)備和應(yīng)用系統(tǒng)七個大類。然后，根據(jù)4.1節(jié)的定義，對不同資產(chǎn)的重要性等級進行賦值。</p><p>　　4.2.1服務(wù)器情況列

21、表</p><p>　　4.2.2交換機情況列表</p><p>　　4.2.3用戶終端和XX單機</p><p><b>　　4.2.4特種設(shè)備</b></p><p><b>　　4.2.5軟件平臺</b></p><p>　　4.2.6安全保密設(shè)備</p>

22、<p>　　4.2.7應(yīng)用系統(tǒng)情況列表</p><p>　　4.2.8試運行應(yīng)用系統(tǒng)情況列表</p><p><b>　　威脅識別</b></p><p><b>　　5.1威脅分類</b></p><p>　　威脅是可能導(dǎo)致對系統(tǒng)或組織危害的不希望事故的潛在起因。威脅可以通過威脅主體、

23、資源、動機和途徑等多種屬性來描述。造成威脅的因素可分為人為因素和環(huán)境因素。威脅作用形式可以是對信息系統(tǒng)直接或間接的攻擊，在保密性、完整性和可用性等方面造成損害；也可能是偶發(fā)的或蓄意的事件。下表為本次評估可能涉及到的威脅分類。</p><p><b>　　5.2威脅賦值</b></p><p>　　判斷威脅出現(xiàn)的頻率是威脅賦值的重要內(nèi)容。本次評估綜合考慮了以下三個方面，

24、以形成在評估環(huán)境中各種威脅出現(xiàn)的頻率。</p><p>　　以往《月度運行報告》中出現(xiàn)過的威脅及其頻率；</p><p>　　實際環(huán)境中通過檢測工具以及各種日志發(fā)現(xiàn)的威脅及其頻率；</p><p>　　這里對威脅出現(xiàn)的頻率進行等級化處理，不同等級分別代表威脅出現(xiàn)的頻率的高低。等級數(shù)值越大，威脅出現(xiàn)的頻率越高。</p><p><b>

25、;　　脆弱性識別</b></p><p>　　6.1脆弱性識別內(nèi)容</p><p>　　脆弱性是可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)，即脆弱性是資產(chǎn)本身存在的，如果沒有被相應(yīng)的威脅利用，單純的脆弱性本身不會對資產(chǎn)造成損害。而且如果系統(tǒng)足夠強健，嚴(yán)重的威脅也不會導(dǎo)致安全事件的發(fā)生，并造成損失。威脅總是要利用資產(chǎn)的脆弱性才可能造成危害。</p><p>

26、;　　本次評估以XX為標(biāo)準(zhǔn)，從技術(shù)和管理兩個方面對XX廠XX信息系統(tǒng)內(nèi)的資產(chǎn)對象進行脆弱性識別。脆弱性按照標(biāo)準(zhǔn)中的測評項進行分類。</p><p><b>　　6.2脆弱性賦值</b></p><p>　　這里根據(jù)脆弱性對資產(chǎn)的暴露程度、技術(shù)實現(xiàn)的難易程度、流行程度等，采用等級方式對已識別的脆弱性的嚴(yán)重程度進行賦值。</p><p>　　脆弱性

27、賦值是以等級進行劃分的，不同的等級代表資產(chǎn)脆弱性嚴(yán)重程度的高低。等級數(shù)值越大，脆弱性嚴(yán)重程度越高。</p><p>　　6.3脆弱性專向檢測</p><p>　　6.3.1病毒木馬專項檢查</p><p>　　通過查看瑞星管理控制臺，了解系統(tǒng)內(nèi)病毒木馬爆發(fā)的情況。其中，2015年5月和6月的爆發(fā)情況如下表所示。</p><p>　　6.3.2

28、網(wǎng)絡(luò)掃描專項測試</p><p>　　使用中科網(wǎng)威漏洞掃描系統(tǒng)，對XX廠XX信息系統(tǒng)內(nèi)的服務(wù)器、用戶終端、網(wǎng)絡(luò)設(shè)備進行遠程安全評估。</p><p><b>　　服務(wù)器掃描結(jié)果</b></p><p>　　服務(wù)器區(qū)網(wǎng)段共掃描主機27臺，其中高度危險主機14臺，七臺存有緊急漏洞，比較危險主機13臺，比較安全主機0臺，非常安全主機0臺。</p

29、><p>　　本次遠程評估共掃描到的前五漏洞，如下表所示。</p><p><b>　　用戶終端掃描結(jié)果</b></p><p>　　用戶終端和部分設(shè)備共掃描了主機數(shù)567臺，其中高度危險主機5臺，比較安全主機562臺，部分結(jié)果見下表。</p><p>　　本次掃描到的前五漏洞，如下表所示。</p><p

30、><b>　　風(fēng)險分析</b></p><p><b>　　風(fēng)險統(tǒng)計</b></p><p>　　XX廠XX信息系統(tǒng)安全風(fēng)險評估共識別出安全風(fēng)險13個，其中：高風(fēng)險2個，中高風(fēng)險1個，中等風(fēng)險3個，中低風(fēng)險3個，低風(fēng)險4個。</p><p><b>　　評估結(jié)論</b></p>&

31、lt;p>　　經(jīng)過各方面的評估XX廠XX信息系統(tǒng)基本上是安全的，基本符合分級保護國家保密標(biāo)準(zhǔn)的要求。但依然存在部分風(fēng)險，需從組織、管理和技術(shù)等多方面進行補充和完善，并加強教育培訓(xùn)，提高人員意識和相關(guān)技能，規(guī)范其行為，從根本上確保信息安全。</p><p><b>　　整改建議</b></p><p>　　個別用戶終端視頻干擾儀、紅黑電源濾波隔離插座使用不符合要求

32、。</p><p><b>　　問題描述：</b></p><p>　　個別用戶終端與黑設(shè)備（非XX計算機、飲水機等）共用紅黑電源濾波隔離插座，存在電磁泄漏的風(fēng)險。</p><p><b>　　整改建議：</b></p><p>　　對問題部門提出警告，加強對紅黑電源濾波隔離插座使用的監(jiān)管力度。&l

33、t;/p><p>　　個別XX單機對窗擺放，且未采用其他防護措施</p><p><b>　　問題描述</b></p><p>　　保密要害部門中的個別XX單機對窗擺放，且未采用其他防護措施（如拉窗簾），存在顯示輸出內(nèi)容被非授權(quán)獲取的風(fēng)險。</p><p><b>　　整改建議</b></p>

34、;<p>　　對窗和對玻璃墻擺放的用戶終端加裝防護措施，并加強教育培訓(xùn)，提高人員保密意識。</p><p>　　部分服務(wù)器應(yīng)用程序、數(shù)據(jù)庫補丁程序未安裝完全，存在高風(fēng)險漏洞</p><p><b>　　問題描述</b></p><p>　　XX等服務(wù)器的ORACLE數(shù)據(jù)庫補丁程序未安裝完全，存在高風(fēng)險漏洞；</p>

35、<p><b>　　整改建議</b></p><p><b>　　及時安裝補丁程序；</b></p><p>　　加強服務(wù)器的安全配置。</p><p>　　部分服務(wù)器未安裝主機監(jiān)控與審計系統(tǒng)和“三合一”系統(tǒng)</p><p><b>　　問題描述</b></p&

36、gt;<p>　　部分服務(wù)器未安裝主機監(jiān)控與審計系統(tǒng)和XX計算機及移動存儲介質(zhì)保密管理系統(tǒng)</p><p><b>　　整改建議</b></p><p>　　安裝主機監(jiān)控與審計系統(tǒng)和XX計算機及移動存儲介質(zhì)保密管理系統(tǒng)</p><p>　　對不能安裝主機監(jiān)控與審計系統(tǒng)和XX計算機及移動存儲介質(zhì)保密管理系統(tǒng)的服務(wù)器應(yīng)有測試報告，說明

37、原因。</p><p>　　部分XX用戶終端存在病毒、木馬</p><p><b>　　問題描述</b></p><p>　　部分XX用戶終端存在病毒、木馬，其中2015年5月1日至31日期間，用戶終端感染病毒、木馬事件報告10次，4臺終端；2015年6月1日至30日期間，用戶終端感染病毒、木馬事件報告5次，3臺；病毒、木馬可導(dǎo)致系統(tǒng)、網(wǎng)絡(luò)癱瘓

38、，竊取用戶數(shù)據(jù)。</p><p><b>　　整改建議</b></p><p>　　加強針對病毒、木馬來源的分析；</p><p>　　加強數(shù)據(jù)的輸入管理和病毒查殺工作。</p><p>　　部分用戶終端和網(wǎng)絡(luò)打印機操作系統(tǒng)、應(yīng)用程序、數(shù)據(jù)庫補丁未安裝完全，有高風(fēng)險漏洞；個別用戶終端開放多余服務(wù)</p>&

39、lt;p><b>　　問題描述</b></p><p>　　部分用戶終端和網(wǎng)絡(luò)打印機操作系統(tǒng)、應(yīng)用程序、數(shù)據(jù)庫補丁未安裝完全，有高風(fēng)險漏洞；個別用戶終端開放多余服務(wù)，攻擊者可利用系統(tǒng)漏洞和多余服務(wù)入侵、控制用戶終端，獲取重要信息。</p><p><b>　　整改建議</b></p><p><b>　　及

40、時安裝補丁程序；</b></p><p>　　加強用戶終端的安全配置。</p><p>　　存在打印機輸出不受控制的風(fēng)險</p><p><b>　　問題描述</b></p><p>　　部分用戶未按文件密級進行打印輸出，存在高密低打現(xiàn)象存在輸出文件失控的風(fēng)險；部分打印機與安裝部門屬同一地址段，存在非審批打

41、印的風(fēng)險。</p><p><b>　　整改建議</b></p><p>　　加大對用戶終端相關(guān)責(zé)任人和審批人的保密責(zé)任教育培訓(xùn)，及時通報整改。</p><p>　　將打印機和打印讀卡器同一布置在專用VLAN并通過防火墻進行嚴(yán)格的訪問控制。</p><p>　　存在安全郵件輸出不受控制的風(fēng)險</p><

42、;p><b>　　問題描述</b></p><p>　　部分用戶未按郵件附件密級進行發(fā)送，郵件附件文件名密級與郵件密級不符，存在輸出文件失控的風(fēng)險</p><p><b>　　整改建議</b></p><p>　　加大對用戶終端相關(guān)責(zé)任人和審批人的保密責(zé)任教育培訓(xùn)，及時通報整改。</p><p&g

43、t;　　部分交換機管理口令明文存儲和傳輸（中風(fēng)險）</p><p><b>　　問題描述</b></p><p>　　部分交換機采用WEB遠程管理，口令明文傳輸；部分交換機采用SNMP方式管理（包括核心交換機），口令明文存儲和傳輸，存在通過網(wǎng)絡(luò)數(shù)據(jù)監(jiān)聽，獲取交換機口令，進而獲取交換機的控制權(quán)，篡改網(wǎng)絡(luò)配置信息的風(fēng)險。</p><p><b