1111单位:1111系统安全项目信 息 安 全 风 险 评 估 报 告我 们 单 位 名日期报告编写人: 日期 :批准人 :日期 :版本号 :第一版本 日期 第二 版本 日期终板目 录1 概述31.1项目背景31 。2 工作方法31.3评估范围31 。4 基本信息32 业务系统分析42 。1 业务系统职能42.2网络拓扑结构42 。3 边界数据流向43 资产分析53 。1 信息资产分析53.1。1 信息资产识别概述53 。1 。2 信息资产识别54 威胁分析64.1威胁分析概述64.2威胁分类74.3威胁主体74 。4 威胁识别75 脆弱性分析85.1脆弱性分析概述85 。2 技术脆弱性分析95.2。1 网络平台脆弱性分析95 。2 。2 操作系统脆弱性分析95.2.3 脆弱性扫描结果分析95.2。3.1扫描资产列表95 。2 。3.2高危漏洞分析105.2.3.3 系统帐户分析105.2。3 。4 应用帐户分析105.3管理脆弱性分析105 。4 脆弱性识别126 风险分析136.1风险分析概述136.2资产风险分布136 。3 资产风险列表137 系统安全加固建议147.1管理类建议147.2技术类建议147 。2 。1 安全措施147.2.2 网络平台157.2。3 操作系统158 制定及确认169 附录A :脆弱性编号规则1711 概述概述1.11.1 项目背景项目背景为了切实提高各系统的安全保障水平,更好地促进各系统的安全建设工作,提升奥运保障能力,需要增强对于网运中心各系统的安全风险控制,发现系统安全风险并及时纠正.根据网络与信息安全建设规划,为了提高各系统的安全保障和运营水平,现提出系统安全加固与服务项目。1.21.2 工作方法工作方法在本次安全风险评测中将主要采纳的评测方法包括:人工评测;工具评测;调查问卷;顾问访谈。1.31.3 评估范围评估范围此次系统测评的范围主要针对该业务系统所涉及的服务器、应用、数据库、网络设备、安全设备、终端等资产。主要涉及以下方面:1)业务系统的应用环境,;2)网络及其主要基础设施,例如路由器、交换机等;3)安全保护措施和设备,例如防火墙、IDS 等;4)信息安全管理体系(ISMS)1.41.4 基本信息基本信息被评估系统名称xx 系统业务系统负责人评估工作配合人员22 业务系统分析业务系统分析2.12.1 业务系统职能业务系统职能2.22.2 网络拓扑结构网络拓扑结构图表 1 业务系统拓扑结构图2.32.3 边界数据边界数据流向流向编号边界名称边界类型路径系统发起方数据流向现有安全措施1.MDN系统类MDN本 系 统 /对端系统双向系统架构隔离33 资产分析资...
