1111 单位:1111 系统安全项目信息安全风险评估报告我们单位名日期日期日期报告编写人:日期批准人:日期:版本号:第一版本第二版本终板目录1 概述 51.1 项目背景 51.2 工作方法 51.3 评估范围 51.4 基本信息 52 业务系统分析 62.1 业务系统职能 62.2 网络拓扑结构 62.3 边界数据流向 63 资产分析 63.1 信息资产分析 63.1.1 信息资产识别概述 63.1.2 信息资产识别 74 威胁分析 74.1 威胁分析概述 74.2 威胁分类 84.3 威胁主体 84.4 威胁识别 95 脆弱性分析 95.1 脆弱性分析概述 95.2 技术脆弱性分析 105.2.1 网络平台脆弱性分析 105.2.2 操作系统脆弱性分析 105.2.3 脆弱性扫描结果分析 115.2.3.1 扫描资产列表 115.2.3.2 高危漏洞分析 115.2.3.3 系统帐户分析 115.2.3.4 应用帐户分析 115.3 管理脆弱性分析 125.4 脆弱性识别 136 风险分析 146.1 风险分析概述 146.2 资产风险分布 146.3 资产风险列表 157 系统安全加固建议 157.1 管理类建议 157.2 技术类建议 157.2.1 安全措施 157.2.2 网络平台 167.2.3 操作系统 168 制定及确认错误!未定义书签。9 附录 A:脆弱性编号规则 181 概述1.1 项目背景为了切实提高各系统的安全保障水平,更好地促进各系统的安全建设工作,提升奥运保障能力,需要增强对于网运中心各系统的安全风险控制,发现系统安全风险并及时纠正。根据网络与信息安全建设规划,为了提高各系统的安全保障和运营水平,现提出系统安全加固与服务项目。1・2 工作方法在本次安全风险评测中将主要采用的评测方法包括:•人工评测;•工具评测;•调查问卷;•顾问访谈。1.3 评估范围此次系统测评的范围主要针对该业务系统所涉及的服务器、应用、数据库、网络设备、安全设备、终端等资产。主要涉及以下方面:1)业务系统的应用环境,;2)网络及其主要基础设施,例如路由器、交换机等;3)安全保护措施和设备,例如防火墙、IDS 等;4)信息安全管理体系(ISMS)1.4 基本信息被评估系统名称XX 系统业务系统负责人评估工作配合人员2 业务系统分析2.1 业务系统职能2.2 网络拓扑结构图表 1 业务系统拓扑结构图2.3 边界数据流向编号边界名称边界类型 路径系统发起方数据流向现有安全措施1.MDN系统类MDN本系统/对端系统双向系统架构隔离3 资产分析3.1 信息资产分析3.1.1 信息资产识别概述资产是风险评估的最终评估对象。在一个全面的风险...
