xx信息系統(tǒng)安全系統(tǒng)風(fēng)險(xiǎn)分析報(bào)告與評(píng)估報(bào)告材料實(shí)用模板(公開)

1、<p>　　說明文字：大致內(nèi)容如此，根據(jù)具體情況增刪</p><p>　　XXXX信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估報(bào)告</p><p><b>　　二〇一五年七月</b></p><p><b>　　目 錄</b></p><p>　　1評(píng)估工作概述3</p><p>&l

2、t;b>　　1.1評(píng)估目標(biāo)3</b></p><p><b>　　1.2評(píng)估組織3</b></p><p><b>　　1.3評(píng)估對(duì)象3</b></p><p>　　1.3.1業(yè)務(wù)職能與組織結(jié)構(gòu)3</p><p>　　1.3.2系統(tǒng)定級(jí)6</p><p

3、>　　1.3.3物理環(huán)境6</p><p>　　1.3.4網(wǎng)絡(luò)結(jié)構(gòu)9</p><p>　　1.3.5安全保密措施12</p><p>　　1.3.6重要XX部門、部位13</p><p>　　2評(píng)估依據(jù)和標(biāo)準(zhǔn)13</p><p><b>　　3評(píng)估方案14</b></p

4、><p><b>　　4資產(chǎn)識(shí)別15</b></p><p>　　4.1資產(chǎn)重要性等級(jí)定義15</p><p>　　4.2資產(chǎn)分類16</p><p>　　4.2.1服務(wù)器情況列表16</p><p>　　4.2.2交換機(jī)情況列表19</p><p>　　4.2.3

5、用戶終端和XX單機(jī)19</p><p>　　4.2.4特種設(shè)備20</p><p>　　4.2.5軟件平臺(tái)20</p><p>　　4.2.6安全保密設(shè)備20</p><p>　　4.2.7應(yīng)用系統(tǒng)情況列表28</p><p>　　4.2.8試運(yùn)行應(yīng)用系統(tǒng)情況列表29</p><p>

6、;<b>　　5威脅識(shí)別30</b></p><p>　　5.1威脅分類30</p><p>　　5.2威脅賦值31</p><p>　　6脆弱性識(shí)別33</p><p>　　6.1脆弱性識(shí)別內(nèi)容33</p><p>　　6.2脆弱性賦值33</p><p>

7、;　　6.3脆弱性專向檢測(cè)34</p><p>　　6.3.1病毒木馬專項(xiàng)檢查34</p><p>　　6.3.2網(wǎng)絡(luò)掃描專項(xiàng)測(cè)試34</p><p><b>　　7風(fēng)險(xiǎn)分析44</b></p><p><b>　　8風(fēng)險(xiǎn)統(tǒng)計(jì)48</b></p><p><

8、;b>　　9評(píng)估結(jié)論48</b></p><p>　　10整改建議48</p><p><b>　　評(píng)估工作概述</b></p><p>　　2015年7月7-9日，由XX部門組織相關(guān)人員對(duì)XX信息系統(tǒng)進(jìn)行了安全風(fēng)險(xiǎn)評(píng)估。</p><p>　　本報(bào)告的評(píng)估結(jié)論僅針對(duì)xx廠XX信息系統(tǒng)本次安全風(fēng)險(xiǎn)

9、評(píng)估時(shí)的狀況。</p><p><b>　　1.1評(píng)估目標(biāo)</b></p><p>　　本次評(píng)估工作依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對(duì)xx廠XX信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的安全屬性進(jìn)行評(píng)估，分析該XX信息系統(tǒng)內(nèi)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、用戶終端及支撐平臺(tái)等資產(chǎn)在日常運(yùn)行、管理過程中面臨的威脅、存在的脆弱性以及由此帶來(lái)的安全風(fēng)險(xiǎn)，為將安全風(fēng)險(xiǎn)控制在可接受的水平，最大

10、限度地保障該XX信息系統(tǒng)的信息安全保密提供指導(dǎo)依據(jù)。</p><p><b>　　1.2評(píng)估組織</b></p><p>　　本次風(fēng)險(xiǎn)評(píng)估由XX信息系統(tǒng)管理領(lǐng)導(dǎo)小組負(fù)責(zé)組織。由xx部門現(xiàn)場(chǎng)開展本次評(píng)估工作，XX業(yè)務(wù)部門相關(guān)人員進(jìn)行配合。</p><p><b>　　1.3評(píng)估對(duì)象</b></p><p&

11、gt;　　1.3.1業(yè)務(wù)職能與組織結(jié)構(gòu)</p><p><b>　　Xx</b></p><p><b>　　1.3.2系統(tǒng)定級(jí)</b></p><p>　　Xx廠XX信息系統(tǒng)經(jīng)xx批準(zhǔn)同意，按照所處理XX信息的最高密級(jí)定為機(jī)密級(jí)，采用增強(qiáng)保護(hù)要求進(jìn)行保護(hù)。</p><p><b>　　1

12、.3.3物理環(huán)境</b></p><p><b>　　XX</b></p><p><b>　　1.3.4網(wǎng)絡(luò)結(jié)構(gòu)</b></p><p><b>　　圖1 、組織機(jī)構(gòu)圖</b></p><p><b>　　圖2周邊物理環(huán)境圖</b></

13、p><p>　　3 、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖</p><p>　　1.3.5安全保密措施</p><p>　　XX廠XX信息系統(tǒng)配備了防火墻、網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)、漏洞掃描系統(tǒng)、主機(jī)監(jiān)控與審計(jì)系統(tǒng)、XX計(jì)算機(jī)及移動(dòng)存儲(chǔ)介質(zhì)保密管理系統(tǒng)（“三合一”系統(tǒng)）、中孚信息消除工具、打印安全監(jiān)控與審計(jì)系統(tǒng)、安全郵件、網(wǎng)間文件交換系統(tǒng)、防計(jì)算機(jī)病毒軟件、線路傳導(dǎo)干擾器、一級(jí)電磁干擾器、紅黑電源濾

14、波隔離插座等安全保密產(chǎn)品。</p><p><b>　　身份鑒別</b></p><p>　　口令認(rèn)證，復(fù)雜度，密碼長(zhǎng)度等符合要求否？</p><p>　　XX便攜式計(jì)算機(jī)、XX單機(jī)和XX數(shù)據(jù)中轉(zhuǎn)單機(jī)采用用戶名與口令相結(jié)合的方式進(jìn)行身份鑒別。</p><p>　　1.3.6重要XX部門、部位</p><

15、;p>　　XX廠XX信息系統(tǒng)保密要害部門為2個(gè)，保密要害部位為5個(gè)，具體情況如下表所示。</p><p><b>　　評(píng)估依據(jù)和標(biāo)準(zhǔn)</b></p><p>　　《武器裝備科研生產(chǎn)單位三級(jí)保密資格評(píng)分標(biāo)準(zhǔn)》</p><p><b>　　評(píng)估方案</b></p><p>　　本次風(fēng)險(xiǎn)評(píng)估采用文檔

16、審閱、人員問詢、脆弱性掃描和現(xiàn)場(chǎng)查驗(yàn)等風(fēng)險(xiǎn)評(píng)估方法。</p><p>　　（1）文檔審閱：了解XX信息系統(tǒng)的基本情況、2015年上半年發(fā)生的變化，問題項(xiàng)的整改情況，確定后續(xù)查驗(yàn)的重點(diǎn)。審閱的文檔材料主要包括：安全審計(jì)報(bào)告與審計(jì)報(bào)告、例行檢查記錄、工作和審批記錄。</p><p>　?。?）人員問詢：對(duì)XX信息系統(tǒng)管理人員和部分用戶（包括行政管理人員和技術(shù)人員）進(jìn)行了問詢，評(píng)估XX信息系統(tǒng)的

17、管理者和使用者對(duì)自身保密職責(zé)的知悉情況，以及理解相關(guān)制度和標(biāo)準(zhǔn)并落實(shí)到日常工作中的情況。</p><p>　?。?）脆弱性掃描：通過使用中科網(wǎng)威網(wǎng)絡(luò)漏洞掃描系統(tǒng)對(duì)XX廠XX信息系統(tǒng)進(jìn)行脆弱性掃描，收集服務(wù)器、用戶終端、網(wǎng)絡(luò)設(shè)備和數(shù)據(jù)庫(kù)的安全漏洞。</p><p>　　（4）現(xiàn)場(chǎng)查驗(yàn)：評(píng)估規(guī)章制度的建設(shè)和執(zhí)行情況；評(píng)估部分服務(wù)器、用戶終端、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)和安全保密設(shè)備的安全保密防護(hù)情況；

18、評(píng)估系統(tǒng)的物理安全和電磁泄漏發(fā)射防護(hù)情況。</p><p><b>　　資產(chǎn)識(shí)別</b></p><p>　　資產(chǎn)是對(duì)組織具有價(jià)值的信息或資源。機(jī)密性、完整性和可用性是評(píng)價(jià)資產(chǎn)的三個(gè)安全屬性。風(fēng)險(xiǎn)評(píng)估中資產(chǎn)的價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來(lái)衡量，而是由資產(chǎn)在這三個(gè)安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時(shí)所造成的影響程度來(lái)決定的。安全屬性達(dá)成程度的不同將使資產(chǎn)具有不同的價(jià)值

19、，而資產(chǎn)面臨的威脅、存在的脆弱性、以及已采用的安全措施都將對(duì)資產(chǎn)安全屬性的達(dá)成程度產(chǎn)生影響。為此，必須對(duì)XX廠XX信息系統(tǒng)內(nèi)的資產(chǎn)進(jìn)行識(shí)別。</p><p>　　4.1資產(chǎn)重要性等級(jí)定義</p><p>　　資產(chǎn)的重要性等級(jí)依據(jù)資產(chǎn)在保密性、完整性和可用性上的賦值等級(jí)綜合評(píng)定后得出。本次評(píng)估將XX廠XX信息系統(tǒng)內(nèi)的資產(chǎn)劃分為五級(jí)，級(jí)別越高表示資產(chǎn)越重要。不同等級(jí)的資產(chǎn)重要性的綜合描述如下表

20、所示。</p><p><b>　　4.2資產(chǎn)分類</b></p><p>　　根據(jù)XX廠資產(chǎn)的表現(xiàn)形式，首先將資產(chǎn)分為服務(wù)器、交換機(jī)、用戶終端（含網(wǎng)絡(luò)打印機(jī)）和XX單機(jī)（含XX筆記本電腦）、特種設(shè)備、軟件平臺(tái)、安全保密設(shè)備和應(yīng)用系統(tǒng)七個(gè)大類。然后，根據(jù)4.1節(jié)的定義，對(duì)不同資產(chǎn)的重要性等級(jí)進(jìn)行賦值。</p><p>　　4.2.1服務(wù)器情況列

21、表</p><p>　　4.2.2交換機(jī)情況列表</p><p>　　4.2.3用戶終端和XX單機(jī)</p><p><b>　　4.2.4特種設(shè)備</b></p><p><b>　　4.2.5軟件平臺(tái)</b></p><p>　　4.2.6安全保密設(shè)備</p>

22、<p>　　4.2.7應(yīng)用系統(tǒng)情況列表</p><p>　　4.2.8試運(yùn)行應(yīng)用系統(tǒng)情況列表</p><p><b>　　威脅識(shí)別</b></p><p><b>　　5.1威脅分類</b></p><p>　　威脅是可能導(dǎo)致對(duì)系統(tǒng)或組織危害的不希望事故的潛在起因。威脅可以通過威脅主體、

23、資源、動(dòng)機(jī)和途徑等多種屬性來(lái)描述。造成威脅的因素可分為人為因素和環(huán)境因素。威脅作用形式可以是對(duì)信息系統(tǒng)直接或間接的攻擊，在保密性、完整性和可用性等方面造成損害；也可能是偶發(fā)的或蓄意的事件。下表為本次評(píng)估可能涉及到的威脅分類。</p><p><b>　　5.2威脅賦值</b></p><p>　　判斷威脅出現(xiàn)的頻率是威脅賦值的重要內(nèi)容。本次評(píng)估綜合考慮了以下三個(gè)方面，

24、以形成在評(píng)估環(huán)境中各種威脅出現(xiàn)的頻率。</p><p>　　以往《月度運(yùn)行報(bào)告》中出現(xiàn)過的威脅及其頻率；</p><p>　　實(shí)際環(huán)境中通過檢測(cè)工具以及各種日志發(fā)現(xiàn)的威脅及其頻率；</p><p>　　這里對(duì)威脅出現(xiàn)的頻率進(jìn)行等級(jí)化處理，不同等級(jí)分別代表威脅出現(xiàn)的頻率的高低。等級(jí)數(shù)值越大，威脅出現(xiàn)的頻率越高。</p><p><b>

25、;　　脆弱性識(shí)別</b></p><p>　　6.1脆弱性識(shí)別內(nèi)容</p><p>　　脆弱性是可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)，即脆弱性是資產(chǎn)本身存在的，如果沒有被相應(yīng)的威脅利用，單純的脆弱性本身不會(huì)對(duì)資產(chǎn)造成損害。而且如果系統(tǒng)足夠強(qiáng)健，嚴(yán)重的威脅也不會(huì)導(dǎo)致安全事件的發(fā)生，并造成損失。威脅總是要利用資產(chǎn)的脆弱性才可能造成危害。</p><p>

26、;　　本次評(píng)估以XX為標(biāo)準(zhǔn)，從技術(shù)和管理兩個(gè)方面對(duì)XX廠XX信息系統(tǒng)內(nèi)的資產(chǎn)對(duì)象進(jìn)行脆弱性識(shí)別。脆弱性按照標(biāo)準(zhǔn)中的測(cè)評(píng)項(xiàng)進(jìn)行分類。</p><p><b>　　6.2脆弱性賦值</b></p><p>　　這里根據(jù)脆弱性對(duì)資產(chǎn)的暴露程度、技術(shù)實(shí)現(xiàn)的難易程度、流行程度等，采用等級(jí)方式對(duì)已識(shí)別的脆弱性的嚴(yán)重程度進(jìn)行賦值。</p><p>　　脆弱性

27、賦值是以等級(jí)進(jìn)行劃分的，不同的等級(jí)代表資產(chǎn)脆弱性嚴(yán)重程度的高低。等級(jí)數(shù)值越大，脆弱性嚴(yán)重程度越高。</p><p>　　6.3脆弱性專向檢測(cè)</p><p>　　6.3.1病毒木馬專項(xiàng)檢查</p><p>　　通過查看瑞星管理控制臺(tái)，了解系統(tǒng)內(nèi)病毒木馬爆發(fā)的情況。其中，2015年5月和6月的爆發(fā)情況如下表所示。</p><p>　　6.3.2

28、網(wǎng)絡(luò)掃描專項(xiàng)測(cè)試</p><p>　　使用中科網(wǎng)威漏洞掃描系統(tǒng)，對(duì)XX廠XX信息系統(tǒng)內(nèi)的服務(wù)器、用戶終端、網(wǎng)絡(luò)設(shè)備進(jìn)行遠(yuǎn)程安全評(píng)估。</p><p><b>　　服務(wù)器掃描結(jié)果</b></p><p>　　服務(wù)器區(qū)網(wǎng)段共掃描主機(jī)27臺(tái)，其中高度危險(xiǎn)主機(jī)14臺(tái)，七臺(tái)存有緊急漏洞，比較危險(xiǎn)主機(jī)13臺(tái)，比較安全主機(jī)0臺(tái)，非常安全主機(jī)0臺(tái)。</p

29、><p>　　本次遠(yuǎn)程評(píng)估共掃描到的前五漏洞，如下表所示。</p><p><b>　　用戶終端掃描結(jié)果</b></p><p>　　用戶終端和部分設(shè)備共掃描了主機(jī)數(shù)567臺(tái)，其中高度危險(xiǎn)主機(jī)5臺(tái)，比較安全主機(jī)562臺(tái)，部分結(jié)果見下表。</p><p>　　本次掃描到的前五漏洞，如下表所示。</p><p

30、><b>　　風(fēng)險(xiǎn)分析</b></p><p><b>　　風(fēng)險(xiǎn)統(tǒng)計(jì)</b></p><p>　　XX廠XX信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估共識(shí)別出安全風(fēng)險(xiǎn)13個(gè)，其中：高風(fēng)險(xiǎn)2個(gè)，中高風(fēng)險(xiǎn)1個(gè)，中等風(fēng)險(xiǎn)3個(gè)，中低風(fēng)險(xiǎn)3個(gè)，低風(fēng)險(xiǎn)4個(gè)。</p><p><b>　　評(píng)估結(jié)論</b></p>&

31、lt;p>　　經(jīng)過各方面的評(píng)估XX廠XX信息系統(tǒng)基本上是安全的，基本符合分級(jí)保護(hù)國(guó)家保密標(biāo)準(zhǔn)的要求。但依然存在部分風(fēng)險(xiǎn)，需從組織、管理和技術(shù)等多方面進(jìn)行補(bǔ)充和完善，并加強(qiáng)教育培訓(xùn)，提高人員意識(shí)和相關(guān)技能，規(guī)范其行為，從根本上確保信息安全。</p><p><b>　　整改建議</b></p><p>　　個(gè)別用戶終端視頻干擾儀、紅黑電源濾波隔離插座使用不符合要求

32、。</p><p><b>　　問題描述：</b></p><p>　　個(gè)別用戶終端與黑設(shè)備（非XX計(jì)算機(jī)、飲水機(jī)等）共用紅黑電源濾波隔離插座，存在電磁泄漏的風(fēng)險(xiǎn)。</p><p><b>　　整改建議：</b></p><p>　　對(duì)問題部門提出警告，加強(qiáng)對(duì)紅黑電源濾波隔離插座使用的監(jiān)管力度。&l

33、t;/p><p>　　個(gè)別XX單機(jī)對(duì)窗擺放，且未采用其他防護(hù)措施</p><p><b>　　問題描述</b></p><p>　　保密要害部門中的個(gè)別XX單機(jī)對(duì)窗擺放，且未采用其他防護(hù)措施（如拉窗簾），存在顯示輸出內(nèi)容被非授權(quán)獲取的風(fēng)險(xiǎn)。</p><p><b>　　整改建議</b></p>

34、;<p>　　對(duì)窗和對(duì)玻璃墻擺放的用戶終端加裝防護(hù)措施，并加強(qiáng)教育培訓(xùn)，提高人員保密意識(shí)。</p><p>　　部分服務(wù)器應(yīng)用程序、數(shù)據(jù)庫(kù)補(bǔ)丁程序未安裝完全，存在高風(fēng)險(xiǎn)漏洞</p><p><b>　　問題描述</b></p><p>　　XX等服務(wù)器的ORACLE數(shù)據(jù)庫(kù)補(bǔ)丁程序未安裝完全，存在高風(fēng)險(xiǎn)漏洞；</p>

35、<p><b>　　整改建議</b></p><p><b>　　及時(shí)安裝補(bǔ)丁程序；</b></p><p>　　加強(qiáng)服務(wù)器的安全配置。</p><p>　　部分服務(wù)器未安裝主機(jī)監(jiān)控與審計(jì)系統(tǒng)和“三合一”系統(tǒng)</p><p><b>　　問題描述</b></p&

36、gt;<p>　　部分服務(wù)器未安裝主機(jī)監(jiān)控與審計(jì)系統(tǒng)和XX計(jì)算機(jī)及移動(dòng)存儲(chǔ)介質(zhì)保密管理系統(tǒng)</p><p><b>　　整改建議</b></p><p>　　安裝主機(jī)監(jiān)控與審計(jì)系統(tǒng)和XX計(jì)算機(jī)及移動(dòng)存儲(chǔ)介質(zhì)保密管理系統(tǒng)</p><p>　　對(duì)不能安裝主機(jī)監(jiān)控與審計(jì)系統(tǒng)和XX計(jì)算機(jī)及移動(dòng)存儲(chǔ)介質(zhì)保密管理系統(tǒng)的服務(wù)器應(yīng)有測(cè)試報(bào)告，說明

37、原因。</p><p>　　部分XX用戶終端存在病毒、木馬</p><p><b>　　問題描述</b></p><p>　　部分XX用戶終端存在病毒、木馬，其中2015年5月1日至31日期間，用戶終端感染病毒、木馬事件報(bào)告10次，4臺(tái)終端；2015年6月1日至30日期間，用戶終端感染病毒、木馬事件報(bào)告5次，3臺(tái)；病毒、木馬可導(dǎo)致系統(tǒng)、網(wǎng)絡(luò)癱瘓

38、，竊取用戶數(shù)據(jù)。</p><p><b>　　整改建議</b></p><p>　　加強(qiáng)針對(duì)病毒、木馬來(lái)源的分析；</p><p>　　加強(qiáng)數(shù)據(jù)的輸入管理和病毒查殺工作。</p><p>　　部分用戶終端和網(wǎng)絡(luò)打印機(jī)操作系統(tǒng)、應(yīng)用程序、數(shù)據(jù)庫(kù)補(bǔ)丁未安裝完全，有高風(fēng)險(xiǎn)漏洞；個(gè)別用戶終端開放多余服務(wù)</p>&

39、lt;p><b>　　問題描述</b></p><p>　　部分用戶終端和網(wǎng)絡(luò)打印機(jī)操作系統(tǒng)、應(yīng)用程序、數(shù)據(jù)庫(kù)補(bǔ)丁未安裝完全，有高風(fēng)險(xiǎn)漏洞；個(gè)別用戶終端開放多余服務(wù)，攻擊者可利用系統(tǒng)漏洞和多余服務(wù)入侵、控制用戶終端，獲取重要信息。</p><p><b>　　整改建議</b></p><p><b>　　及

40、時(shí)安裝補(bǔ)丁程序；</b></p><p>　　加強(qiáng)用戶終端的安全配置。</p><p>　　存在打印機(jī)輸出不受控制的風(fēng)險(xiǎn)</p><p><b>　　問題描述</b></p><p>　　部分用戶未按文件密級(jí)進(jìn)行打印輸出，存在高密低打現(xiàn)象存在輸出文件失控的風(fēng)險(xiǎn)；部分打印機(jī)與安裝部門屬同一地址段，存在非審批打

41、印的風(fēng)險(xiǎn)。</p><p><b>　　整改建議</b></p><p>　　加大對(duì)用戶終端相關(guān)責(zé)任人和審批人的保密責(zé)任教育培訓(xùn)，及時(shí)通報(bào)整改。</p><p>　　將打印機(jī)和打印讀卡器同一布置在專用VLAN并通過防火墻進(jìn)行嚴(yán)格的訪問控制。</p><p>　　存在安全郵件輸出不受控制的風(fēng)險(xiǎn)</p><

42、;p><b>　　問題描述</b></p><p>　　部分用戶未按郵件附件密級(jí)進(jìn)行發(fā)送，郵件附件文件名密級(jí)與郵件密級(jí)不符，存在輸出文件失控的風(fēng)險(xiǎn)</p><p><b>　　整改建議</b></p><p>　　加大對(duì)用戶終端相關(guān)責(zé)任人和審批人的保密責(zé)任教育培訓(xùn)，及時(shí)通報(bào)整改。</p><p&g

43、t;　　部分交換機(jī)管理口令明文存儲(chǔ)和傳輸（中風(fēng)險(xiǎn)）</p><p><b>　　問題描述</b></p><p>　　部分交換機(jī)采用WEB遠(yuǎn)程管理，口令明文傳輸；部分交換機(jī)采用SNMP方式管理（包括核心交換機(jī)），口令明文存儲(chǔ)和傳輸，存在通過網(wǎng)絡(luò)數(shù)據(jù)監(jiān)聽，獲取交換機(jī)口令，進(jìn)而獲取交換機(jī)的控制權(quán)，篡改網(wǎng)絡(luò)配置信息的風(fēng)險(xiǎn)。</p><p><b