2024信息安全风险评估报告模板.docx

题信息系统息女全风险评估报告项目名称：XX单位XXX信息系统风险评估委托单位：XX单位评估单位：XXX公司报告时间:2024年3J声明 XXX公司依据相应技术标准和有关法律法规实施信息系统安全风险评估。 本报告中给出的结论仅对被评估系统的当时状况有效，当评估后系统出现任何变更时，涉及到的任何模块（或子系统）都应重新进行评估，本评估结果不再适用。系统被评估时的基本状况将在“被测系统基本情况”中给出。 报告中描述的被测系统存在的安全问题，不限于报告中指出的位置。 在任何情况下，若需引用本报告中的结果或数据都应保持其本来的意义，不得擅自进行增加、修改、伪造或掩盖事实。 为保证系统所属方的利益，本报告仅提供给被测系统所属方，XXX公司不向第三方提供（乙方的上级主管机关除外），并为其保密。被测方不能将此报告或报告中的某一部分拷贝或复制,作为广告宣传材料。本报告结论的有效性建立在用户提供材料的真实性基础上。XX单位电子政务信息系统风险评估项目项目名称XX单位XXX信息系统风险评估测试类别风险评估委托日期2024年3月委托单位XX单位联系人XXX联系电话Ixxxxxxxxxx评估依据信息安全技术信息安全风险评估规范(GB/T20984-2007)信息技术信息安全管理实用规则(GB/T22081-2008)参考依据(不在认可能力范围内)信息系统安全等级保护基本要求(GB/T22239-2008)评估时间2024年3月16日至2024年3月31日评估结论XX单位从当前业务的安全需求出发，对被测的信息系统采取了相应的安全控制措施，经实际安全测试表明，已有的安全措施对保障系统业务的正常运行是有效的且可行的。但被评估信息系统还存在一定的安全风险：一、在物理安全方面存在访问控制管理问题，易引发防盗及物理破坏等风险；二、在网络安全方面存在单点故障风险，另外部分安全设备未采取双因子认证方式登录，存在安全风险；希望对相关问题保持关注，并尽快采取相应的控制措施，以确保系统稳定、安全运行。XXX公司2024年03月31日备注无审核批准编制人编制日期年月曰审核人审核日期年月曰批准人批准日期年月曰1.述11.1.评估综述11. 2.评估范围11.3. 评估目的41. 4.评估依据41.5. 风险评估项目组成员41. 6.评估流程51.7. 报告分发范围72. 评估方法82. 1.访谈82. 2.检查83. 3.测试83.资产重要性识别93.1. 资产分类及调查93. 2.资产赋值及重要资产选取104. 3.关键资产、关键系统单元的确定过程104.威胁性识别124. 1.威胁识别125. 2.威胁严重程度125.脆弱性识别155.1. 脆弱性类型156. 2.脆弱性严重程度赋值表166.风险分析176. 1.风险分析方法177. 2.风险计算177.被测系统描述188. 1.已落实的安全措施188.被测信息系统资产识别208. 1.资产重要性识别结果209. 2.关键信息资产、关键系统单元的确定结果219.被测信息系统威胁性识别结果229. 1.物理、环境威胁列表229. 2.网络威胁列表229. 3.主机/数据威胁列表239. 4.应用威胁列表249. 5.管理威胁列表2510. 6.威胁汇总2611. 被测信息系统脆弱性识别结果2711.1. 技术脆弱性识别结果2710. 2.技术脆弱性汇总3211. 3.管理脆弱性汇总3312. 风险列表3412.1. 技术风险列表3412.2. 管理风险程度列表4213. 评估结论4314. 安全建议441. .1.风险处理方式4413. 2.风险处理建议4413.3.技术安全建议45信息系统项目名称XX单位XXX系统风险评估项目委托单位单位名称XX单位单位地址邮政编码联系人姓名职务/职称所属部门信息中心办公电话移动电话电子邮件评估单位单位名称单位代码通信地址邮政编码联系人姓名职务/职称所属部门办公电话移动电话电子邮件1 .概述1.1. 评估综述2024年3月，受XX单位委托，XXX公司对XX单位电子政务系统进行风险评估。通过评估，在坚持科学、客观、公正原则的基础上，全面了解系统当前的安全状况，分析系统所面临的各种风险，根据评估结果发现系统存在的安全问题，并对严重的问题提出相应的风险控制策略。整个风险评估过程共分三个阶段进行：风险评估准备阶段、现场评估阶段和分析与报告编制阶段。整个评估过程采用的评估方法有用户访谈、系统分析、现场核查、手工验证、安全工具扫描等。通过现场评估，形成一系列的重要资产列表、威胁清单和脆弱性清单。对于资产、威胁、脆弱性三要素进行关联分析，评估各资产面临的安全风险。在明确资产面临的风险后，根据用户的网络需求和安全要求，结合资产风险的大小、存在的脆弱性或面临威胁的实际情况，有针对性地提出能够有效地消除脆弱性和控制威胁的管理或技术方面的整改措施。最后，综合前面各阶段的工作成果，形成信息安全风险评估报告。1.2. 评估范围本次信息系统风险评估的范围包括XX单位信息系统所属网络、安全设备、主机及应用系统。本次风险评估主要包括两个方面的内容：一是技术安全评估，主要包括物理安全、网络安全、主机安全、应用安全和数据安全等五个层面；二是管理安全评估，主要包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理、信息安全方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取、开发和维护、信息安全事件、业务连续性管理.、符合性等方面。 物理和环境对象:序号名称位置用途测试编号1机房办公楼3楼关键设备的物理环境 网络层检测对象:序号名称型号测试编号1核心交换机华三E7500Sdjt-W1.SB-OI2汇聚交换思科2950SDJT-W1.SB-02 网络层安全设备检测对象:序号名称型号测试编号1防火墙天融信NGFW4000Sdjt-AQSB-OI2主机监控与审计系金盾CIS7.0SDJT-AQSB-023入侵防御检测迪普IPS2000-GS-NSDJT-AQSB-034防病毒墙迪普IPS2000-AVSDJT-AQSB-045WEB应用防火墙绿盟WAF-P300ASDJT-AQSB-056流量控制系统迪普UAG3000-GSSDJT-AQSB-06 主机层检测对象:序号名称硬件型号操作系统/软件版本测试编号1门户网站系统服务器HP-G1.460Windowsserver2008SDJT-FWQ-Oi2门户网站数据库HP-G1.460RedhatlinuxSDJT-FWQ-02 应用层检测对象:序号名称部署位置测试编号1门户网站机房Sdjt-YINGY-OI2其他电子政务系统机房SDJT-YINGY-02管理层检测对象:序号文档要求相关文档名称1机构安全方针和政策方面的管理制度XX单位信息安全管理制度汇编2部门设置、岗位设置及工作职责定义方面的管理制度XX单位信息安全管理制度汇编3授权审批、审批流程等方面的管理制度XX单位信息安全管理制度汇编4安全审核和安全检查方面的管理制度XX单位信息安全管理制度汇编5管理制度、操作规程修订、维护方面的管理制度XX单位信息安全管理制度汇编6人员录用、离岗、考核等方面的管理制度xx单位信息安全管理制度汇编7人员安全教育和培训方面的管理制度XX单位信息安全管理制度汇编8第三方人员访问控制方面制度XX单位信息安全管理制度汇编9工程实施过程管理方面的管理制度XX单位信息安全管理制度汇编10产品选型、采购方面管理制度XX单位信息安全管理制度汇编11软件外包开发或自我开发方面的管理制度XX单位信息安全管理制度汇编12测试、验收方面的管理制度XX单位信息安全管理制度汇编13机房安全管理方面的安全制度x单位信息安全管理制度汇编14办公环境安全管理方面的管理制度xx单位信息安全管理制度汇编15资产、设备、介质安全管理方面的管理制度XX单位信息安全管理制度汇编16信息分类、表示、发布、使用方面的管理制度xx单位信息安全管理制度汇编17配套设置、软硬件维护方面的管理制度XX单位信息安全管理制度汇编18网络安全管理（网络配置、账号管理等）方面的管理制度XX单位信息安全管理制度汇编19系统安全管理（系统配置、账号管理等）方面的管理制度xx单位信息安全管理制度汇编序号文档要求相关文档名称20系统监控、风险评估、漏洞扫描方面的管理制度UX单位信息安全管理制度汇编21病毒防范方面的管理制度UX单位信息安全管理制度汇编22系统变更控制方面的管理制度XX单位信息安全管理制度汇编23密码管理方面的管理制度XX单位信息安全管理制度汇编24备份和恢复方面的管理制度xx单位信息安全管理制度汇编25安全事件报告和处置方面管理制度xx单位信息安全管理制度汇编26应急响应方法、应急响应计划等方面的文件XX单位信息安全管理制度汇编27其他文档1.3. 评估目的通过本次风险评估，对XX单位电子政务信息系统中主要网络设备和应用主机、数据中心主机房的安全管理和运行维护现状做出细致客观地调研和了解，通过综合分析，找出潜在的安全风险和威胁，提出XX单位电子政务在体系化信息安全管理制度建设及信息系统基础建设、运维管理、安全技术防范等环节的合理化建议，为XX单位制定信息安全管理策略提供数据参考，为XX单位电子政务信息系统的安全运行、整体防御提供技术保障。1.4. 评估依据为保证项目的实施质量和圆满完成本次项目的项目目标，在风险评估项目的设计规划中将遵循以下标准：信息安全技术信息安全风险评估规范(GB/T20984-2007)信息技术信息安全管理实用规则(GB/T22081-2008)参考标准：信息系统安全等级保护基本要求(GB/T22239-2008)1.5. 风险评估项目组成员受XX单位的委托本次信息安全风险评估项目由XX单位与XXX公司共同成立风险评估项目小组。其中项目组成员组成如下：XX单位项目组成员如下： 项目组长： 项目成员：XXX公司项目组成员如下: 项目组长： 项目组成员：1.6. 评估流程整个评估工作的流程如下项目启动会确定目标确定范围组建团队获取支持系统调研物理网络主机应用数据管理制定实施方案目标范围依据方法内容计划XX单位电子政务信息系统信息安全风险评估的过程如下:D风险评估准备工作系统调研03月16日至03月17日，评估项目组在相关部门员工的配合下完成XX单位电子政务信息系统信息安全风险评估项目调研。其中：03月16日，项目组提交了XX单位一WP-ZK-021至039调查表格（以下简称“系统调查表”），细化了调研内容并给出了填写范例。03月16日，评估项目组收集了技术文档，并结合系统调查表反馈结果对目标系统基本情况进行了针对性的访谈。从系统建设人员的角度了解了目标系统的业务流程、关键数据、己有的安全措施以及相关软件系统的情况，并对目标系统中已经部署的主机、网络互联、安全设备以及运行环境，安全管理评估小组则收集了与目标系统相关的安全管理文档。方案编制阶段03月17日，评估项目组完成XX单位电子政务信息系统风险评估项目实施方案，并获得委托方认可。2）现场评估阶段03月26日-27日，评估项目组完成了XX单位电子政务信息系统现场评估工作。其中：03月26日上午，评估项目组与委托方相关人员针对现场评估实施计划进行了沟通，初步确定了主机、网络、应用、管理以及扫描的时间安排。委托方组织评估项目组以及有关配合单位/部门配合人员召开了现场评估协调会，明确了评估时间安排、入场准备和现场工作内容。03月26日下午，评估项目组正式入场开始评估工作，03月27日完成所有现场评估任务。针对不同评估内容，评估项目组进行了安全管理评估、主机安全评估、数据库安全评估、网络安全评估、应用安全评估、漏洞扫描等，现场评估工作。在现场评估活动中，评估项目组依据作业指导书访谈了4名安全管理相关人员，查看和分析了40余份安全管理类文档，核查了1个应用系统，2台主机系统(WINDOWSSERvER08、Redhat),2台网络设备、5台网络安全设备，获取了完整的评估结果记录。3)分析与报告编制阶段03月27日至03月31日，评估项目组完成了评估结果记录的整理、分析和报告编制工作。在该阶段中，评估人员首先整理和汇总前期获得的评估结果记录，并对其进行了符合性判断和整体分析，找出了XX单位电子政务信息系统存在的主要安全风险;其次,针对发现的安全问题提出了安全整改建议；最后编制完成评估报告。1.7. 报告分发范围本报告一正二副，其中提交XX单位正本、副本各一本，一份副本由XXX公司留存。2 .评估方法根据信息安全技术信息安全风险评估规范(GB/T20984-2007)等要求，结合XX单位电子政务信息系统建设实际，经双方商定，本次评估的主要方法是通过现场调查、系统分析、手工验证、安全工具扫描(IBM_APPSCAN、绿盟RSAS远程安全评估系统)进行信息资产重要性识别、威胁性识别、脆弱性识别，按照信息安全技术信息安全风险评估规范(GB/T20984-2007)风险计算原理对评估对象进行风险赋值，确定不可接受风险的具体范围。2.1. 访谈访谈是评估人员通过与信息系统有关人员(个人/群体)进行交流、讨论等活动，获取证据以证明信息系统安全保护措施是否有效的一种方法。2.2. 检查检查是指评估人员通过对评估对象进行观察、查验、分析等活动，获取证据以证明信息系统安全保护措施是否有效的一种方法，具体检查方法包括文档核查、实地察看、配置检查三种方式。2.3. 测试测试是指评估人员通过对评估对象按照预定的方法/工具使其产生特定的响应等活动，查看、分析响应输出结果，获取证据以证明信息系统安全保护措施是否有效的一种方法。3 .资产重要性识别资产作为信息系统价值的体现，既是系统保护的目标，也是风险评估的对象。在风险评估工作中，风险的所有重要因素都紧紧围绕着资产为中心，威胁、脆弱性以及风险都是针对资产而客观存在的。3.1. 资产分类及调查根据资产的表现形式，将资产分为数据、软件、硬件、文档、服务、人员等类型。资产分类列表分类示例数据存储在信息介质上的各种数据资料，包括源代码、安装介质、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等。软件系统运行的系统软件：操作系统、语言包、工具软件、各种库等；运行的应用软件：外部购买的应用软件和开发的应用软件等。硬件系统网络设备：路由器、网关、交换机等：计算机设备：服务器、工作站、台式计算机、移动计算机等；存储设备：磁带机、磁盘阵列等；移动存储设备：磁带、光盘、软盘、U盘、移动硬盘等；传输线路：光纤、双绞线等；安全保障设备：防火墙、入侵检测系统、身份验证系统等；其它电子设备：打印机、复印机、扫描仪、传真机等。服务办公服务：为提高效率而开发的管理信息系统（MIS）,它包括各种内部配置管理、文件流转管理等服务；网络服务：各种网络设备、设施提供的网络连接服务；信息服务：对外依赖该系统开展服务而取得业务收入的服务。文档纸质的各种文件、传真、电报、财务报告、发展计划等。环境和基础设施系统运行环境和保障设备：动力保障设备（UPS、变电设备等）、空调设备、保险柜、文件柜、门禁系统、消防设施等。人员掌握重要信息和核心业务的人员（如主机维护主管、网络维护主管、应用项目经理及网络研发人员等），内部普通用户，外来人员及其他人员。其它企业形象，客户关系，维保，第三方服务等。3.2.资产赋值及重要资产选取为保证风险评估工作的进度要求和质量要求，不可能对所有资产做全面分析,评估成员根据业务重要性只选取其中的重要资产进行分析。首先，通过资产的保密性、完整性和可用性三个方面的程度分别确定；然后按照一定的算法计算该资产的总体赋值。资产的赋值采用定性的相对等级的方式。资产价值的等级分为五级,从1到5由低到高分别代表五个级别的资产相对价值，等级越大，资产越重要。根据资产赋值结果，我们选取资产赋值大于等于3的资产作为重要资产，并主要围绕重要资产展开后续实施步骤。资产重要性量化值表等级标识定义5很高机密性：该资产涉及组织的核心机密，一旦泄漏会对组织造成极大损害。完整性：该资产完整性破坏会对组织造成极大损害。可用性：该资产对于服务的连续性要求以及业务对该资产的依赖程度极大。4高机密性：该资产涉及组织的高机密，一旦泄漏会对组织造成很大损害。完整性：该资产完整性破坏会对组织造成很大损害。可用性：该资产对于服务的连续性要求以及业务对该资产的依赖程度很大。3中等机密性：该资产涉及组织的较高机密，旦泄漏会对组织造成较大损害。完整性：该资产完整性破坏会对组织造成较大损害。可用性：该资产对于服务的连续性要求以及业务对该资产的依赖程度较大。2低机密性：该资产涉及组织的普通机密，一旦泄漏对组织不会造成太大损害。完整性：该资产完整性破坏不会对组织造成太大损害。可用性：该资产对于服务的连续性要求以及业务对该资产的依赖程度不高。1很低机密性：该资产不涉及组织机密，一旦泄漏不会对组织造成损害。完整性：该资产完整性破坏不会对组织造成损害。可用性：该资产没有服务的连续性要求，其他业务对该资产没有依赖性。3 .3.关键资产、关键系统单元的确定过程在风险评估整个过程中，关键资产是信息系统所承载业务数据和该业务所提供的服务，支撑关键资产的核心部分定义为支撑设备，如数据库服务器、应用服务器等。信息系统的基础设施如支撑设备、交换机、防火墙等我们称之为系统单元，在它们上安装的操作系统、数据库、应用软件等，我们称之为系统组件。通过业务流程的分析划分系统单元，并将对业务开展起关键作用的系统单元定义为关键系统单元。在系统单元、系统组件均可作为核查测试的测试对象。如图:信息系统分析关健资产物理赍产支夕设备I关键业务1人力责渊物理位网美谈业务流程I关键业务2大铺业务流对2HIJIW分所一丁女小需求I-J1.ll¾l产"，_支小IS备m美健系统中兀系统单元作为提供系统服务、网络服务、数据服务的实体，既包括相关设备的物理实体，也包括在其上运行的系统软件、公共应用平台软件和专用软件。系统单元编号规则为：单位简称+资产类型+序号，其中：单位简称：SDJT代表XX单位。资产类型：FWQ代表服务器；W1.SB代表网络设备；JF代表中心数据机房；YINGY代表应用系统。4 .威胁性识别威胁是指可能对资产或组织造成损害事故的潜在原因。作为风险评估的重要因素,威胁是一个客观存在的事物,无论对于多么安全的信息系统,它都存在。4.1. 威胁识别威胁的主要来源列表来源描述环境因素断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外事故等环境危害或自然灾害，以及软件、硬件、数据、通讯线路等方面的故障人为因素恶意人员不满的或有预谋的内部人员对信息系统进行恶意破坏；采用自主或内外勾结的方式盗窃机密信息或进行篡改，获取利益外部人员利用信息系统的脆弱性，对网络或系统的保密性、完整性和可用性进行破坏，以获取利益或炫耀能力非恶意人员内部人员由于缺乏责任心，或者由于不关心或不专注，或者没有遵循规章制度和操作流程而导致故障或信息损坏；内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故隙或被攻击4. 2.威胁严重程度威胁严重程度由威胁发生可能性与破坏程度两方面因素综合确定。威胁发生可能性量化值列表等级标识定义5很高出现的频率很高（或21次/周）；或在大多数情况下几乎不可避免；或可以证实经常发生过4高出现的频率较高（或21次/月）；或在大多数情况下很有可能会发生；或可以证实多次发生过3中等出现的频率中等（或1次/半年）；或在某种情况下可能会发生；或被证实曾经发生过2低出现的频率较小；或般不太可能发生；或没有被证实发生过1很低威胁几乎不可能发生；仅可能在非常罕见和例外的情况下发生按照信息系统风险评估数据采集规范-威胁列表的描述，评估成员将威胁种类划分为以下11种类型，并依次编号(TT11)O威胁种类及严重程度量化赋值列表编号威胁种类描述威胁子类规生能生常发可性规坏度常破程威胁量化值Tl物理环境影响对信息系统正常运行造成影响的物理环境问题和自然灾害断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等低低1T2软硬件故障对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断、系统本身或软件缺陷等问题设备硬件故障、传输设备故障、存储媒体故障、系统软件故隙、应用软件故障、数据库软件故障、开发环境故障等低高3T3为作作操误无或失应该执行而没有执行相应的操作，或无意执行了错误的操作维护错误、操作失误等低中2T4恶意代码故意在计算机系统上执行恶意任务的程序代码病毒、特洛伊木马、蠕虫、陷门、间谍软件、窃听软件等中高4T5越权或滥用通过采用一些措施，超越自己的权限访问了本来无权访问的资源，或者滥用自己的权限，做出破坏信息系统的行为非授权访问网络资源、非授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄露秘密信息等高高5T6物理攻击通过物理的接触造成对软件、硬件、数据的破坏物理接触、物理破坏、盗窃等低高3T7网络攻击利用工具和技术通过网络对信息系统进行攻击和入侵网络探测和信息采集、漏洞探测、嗅探(账号、口令、权限等)、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏等高高5T8泄密信息泄露给不应了解的他人内部信息泄露、外部信息泄露等高高5T9篡改非法修改信息，破坏信息的完整性使系统的安全性降低或信息不可用篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息等高高5TlO抵赖不承认收到的信息和所作的操作和交易原发抵赖、接收抵赖、第三方抵赖等低中2编号威胁种类描述威胁子类规生能生常发可性规坏度常破程威胁量化值Tll管理不到位安全管理无法落实或不到位，从而破坏信息系统正常有序运行管理制度和策略不完善、管理规程缺失、职责不明确、监督控管机制不健全等高中4上面的量化分析是针对信息系统全局进行考虑，在风险分析的时候，需要考虑针对每项资产所采取的安全防护措施，适当地降低威胁值:F面是通过防护措施后各威胁可能降低的威胁值，威胁值不能为负数，最低可为0：安全措施威胁降低值安装防火墙网络攻击12泄密01越权或滥用12篡改01安装杀毒软件恶意代码12网络攻击12安装门禁系统泄密01物理破坏01安装机房监控系统越权或滥用01篡改01存在涵盖相关条目的部分管理制度管理不到位02使用OA下发文件内容管理不到位025.脆弱性识别资产本身存在脆弱性，如果没有被相应的威胁利用，单纯的脆弱性本身不会对资产造成损害。而且如果系统足够强健，严重的威胁也不会导致安全事件发生,并造成损失。即威胁总是要利用资产的脆弱性才可能造成危害。资产的脆弱性具有隐蔽性，有些脆弱性只有在一定条件和环境下才能显现，这是脆弱性识别中最为困难的部分。不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个脆弱性。脆弱性识别是风险评估中最重要的一个环节。脆弱性识别可以以资产为核心，针对每一项需要保护的资产，识别可能被威胁利用的弱点，并对脆弱性的严重程度进行评估；也可以从物理、网络、系统、应用等层次进行识别，然后与资产、威胁对应起来。脆弱性识别的依据可以是国际或国家安全标准，也可以是行业规范、应用流程的安全要求。对应用在不同环境中的相同的弱点，其脆弱性严重程度是不同的，评估者应从组织安全策略的角度考虑、判断资产的脆弱性及其严重程度。信息系统所采用的协议、应用流程的完备与否、与其他网络的互联等也应考虑在内。脆弱性识别时的数据应来自于资产的所有者、使用者，以及相关业务领域和软硬件方面的专业人员等。脆弱性识别所采用的方法主要有：问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。5.1. 脆弱性类型脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题，管理脆弱性又分为技术管理和组织管理两方面。技术管理与具体技术活动相关，组织管理与管理环境相关。脆弱性分类表类型识别对象识别内容技术脆弱性物理环境从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别网络结构从网络结构设计、边界保护、外部访问控制策略、内部类型识别对象识别内容访问控制策略、网络设备安全配置等方面进行识别系统软件从补丁安装、物理保护、用户账号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别应用系统从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护方面识别管理脆弱性技术管理从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、.业务连续性等方面进行识别组织管理从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别5. 2.脆弱性严重程度赋值表脆弱性的严重程度以其被利用后对资产的危害程度进行赋值。脆弱性严重程度的等级分为五级，从1到5由低到高分别代表五个级别的资产相对价值，等级越大，资产越重要。等级标识定义5很高如果被威胁利用，将对资产造成完全损害。4高如果被威胁利用，将对资产造成重大损害。3中等如果被威胁利用，将对资产造成一般损害。2低如果被威胁利用，将对资产造成较小损害。1很低如果被威胁利用，将对资产造成的损害可以忽略。根据脆弱性严重程度赋值结果，我们选取脆弱性严重程度赋值大于等于3的资产作为评估依据，并主要围绕重要资产展开后续实施步骤。6. 风险分析6.1. 风险分析方法本次风险分析主要采用自顶向下和自底向上分析、定性分析与定量分析相结合的分析方法。首先自顶向下识别关键资产、关键系统单元，然后自底向上采用定性、定量相结合的方法进行风险分析。6 .2.风险计算在完成了资产识别、威胁识别、脆弱性识别，以及对已有安全措施确认后，将采用适当的方法与工具确定威胁利用导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度，判断安全事件造成的损失对组织的影响，即安全风险。本标准给出了风险计算原理，以下面的范式形式化加以说明：风险值=丽*#而其中，A表示资产价值；T表示威胁发生频率；V表示脆弱性严重程度。风险值的最终计算成果四舍五入取整后得到最终风险值将风险值映射到五个等级的风险如表所示:风险值1-56-1011-1516-2021-25风险等级12345风险级别极低低中高极高7 .被测系统描述XX单位机房位于办公大楼3层,存放信息系统设备，机房出入口安装门禁系统，机房电源采用双路供电，并安装备用电源，采用机房专用空调，安装防静电地板，机房内安装视频监控系统和消防报警系统。XX单位电子政务信息系统网络共划分3个区域，分别是外联区，DMZ区，安全监管区。网络传输依托国际互联网，网络硬件由交换机、防病毒墙、主机监控与审计系统、IPS、防火墙、WEB防火墙等设备和相关安全设施构成。7.1. 已落实的安全措施XX单位在信息系统安全建设和管理方面做了大量工作，制定了系列管理制度，明确了各自岗位职责，由信息中心统一制定的XX单位信息安全管理制度汇编基本涵盖了物理安全、主机安全、网络安全、应用安全、数据安全管理内容，为XX单位电子政务信息系统安全运营提供了根本保障。访问控制方面：XX单位对网络进行了划分，外联区域部署了防火墙，并设置了严格的安全访问控制策略。身份认证方面：XX单位所有设备需要使用用户名密码方式登录，并且关闭服务器远程连接的模式，且用户名密码由专人管理。安全审计方面：机房安装门禁与视频监控系统，有效记录了机房人员出入和对服务器的本地操作。恶意代码防范方面：XX单位统一部署卡巴斯基网络版杀毒软件，并且通过本地防病毒升级服务器对各终端病毒库升级，使病毒库保持最新，防病毒策略统一管理，统一配置。8 .被测信息系统资产识别8.1. 资产重要性识别结果XX单位召集各信息系统管理人员分别对被测信息系统的资产重要性给予了说明，我公司评估人员根据调查情况，依据双方商定的评估方法，对被测信息系统信息资产的重要性进行了赋值如下：物理和环境:序号名称位置用途测试编号资产赋值1机房办公楼3楼关键设备的物理环境SDJT-JF-Ol5网络层:序号名称型号测试编号资产赋值1核心交换机华三E7500Sdjt-W1.SB-OI22汇聚交换思科2950SDJT-W1.SB-0223防火墙天融信NGFW4000Sdjt-AQSB-OI44主机监控与审计系金盾CIS7.0SDJT-AQSB-0225入侵防御检测迪普IPS2000-GS-NSDJT-AQSB-0336防病毒墙迪普IPS2000-AVSDJT-AQSB-0437WEB应用防火墙绿盟WF-P300ASDJT-QSB-0548流量控制系统迪普UAG3000-GSSDJT-AQSB-064主机层:序号名称硬件型号操作系统/软件版本测试编号资产赋值1门户网站系统服务器HP-G1.460Windowsserver2008SDJT-EWQ-Oi52门户网站数据库HP-G1.460RedhatlinuxSDJT-FWQ-025应用层:序号名称测试编号资产赋值1门户网站Sdjt-YINGY-OI52其他电子政务系统SDJT-YINGY-0228. 2.关键信息资产、关键系统单元的确定结果根据XX单位与现场评估人员共同确认，在本次风险评估范围内，承载关键信息资产的系统单元相关信息如下表:关键系统单元编号单元名称型号IP地址重要性SDJT-JF-Ol机房无5Sdjt-AQSB-OI防火墙天融信NGFW40004SDJT-AQSB-03入侵防御检测迪普IPS2000-GS-N3SDJT-AQSB-04防病毒墙迪普IPS2000-AV3SDJT-AQSB-05WEB应用防火墙绿盟WAF-P30OA4SDJT-AQSB-06流量控制系统迪普UAG3000-GS4SDJT-FWq-OI门户网站系统服务器HP-G1.4605SDJT-FWQ-02门户网站数据库HP-G1.4605SdjT-YINGY-OI门户网站无5SDJT-YINGY-02其他电子政务系统无29.被测信息系统威胁性识别结果通过评估人员对于物理环境、网络架构、安全设备部署以及业务方式等内容的综合分析，确定XX单位电子政务信息系统安全威胁发生的可能性的具体量化值如下表所示：9.1. 物理、环境威胁列表序号关键系统单元资产名称（测试对象编号）威胁描述威胁编号已有安全措施赋值T1机房SDJT-JF-Ol未对机房内的重要信息系统进行划分区域管理，造成对重要信息系统的威胁Tll管理不到位无3通过检查、分析，共发现物理环境威胁1个是管理不到位（1个），其中赋值为3的威胁为1个。9. 2.网络威胁列表序号键统元关系单资产名称（测试对象编号）威胁描述威胁编号有全施己安措赋值T1网络全局1.主要路径存在单点故障T2软硬件故障无32防火墙Sdjt-AQSB-OI1.仅使用用户名密码登录，没有采用两种以上组合的鉴别技术登陆。面临网络攻击风险T5：越权或滥用T7：网络攻击无33入侵防御检测SDJT-AQSB-031.仅使用用户名密码登录，没有采用两种以上组合的鉴别技术登陆。T5：越权或滥用T7：网络攻击无34防病毒墙SDJT-AQSB-0