計(jì)算機(jī)風(fēng)險(xiǎn)評估報(bào)告

名稱

完成時(shí)間

試運(yùn)行時(shí)間

一、風(fēng)險(xiǎn)評估項(xiàng)目概況

二、風(fēng)險(xiǎn)評估活動概述

2.1

風(fēng)險(xiǎn)評估工作組織管理

公司本次風(fēng)險(xiǎn)評估工作成員：

組長：

主任：

成員：

工作原則：依據(jù)綜合審計(jì)日志和信息安全策略準(zhǔn)則，在風(fēng)險(xiǎn)評估過程中把最

真實(shí)的數(shù)據(jù)和結(jié)果反映出來，并及時(shí)調(diào)整信息的安全保密策略，及時(shí)補(bǔ)充完善技

術(shù)與管理措施，使計(jì)算機(jī)保持與等級要求相一致的安全保護(hù)水平。

2.2

風(fēng)險(xiǎn)評估工作過程

此次評估階段和具體工作內(nèi)容包括

第一階段：資產(chǎn)識別與分析

第二階段：威脅識別與分析

第三階段：脆弱性識別與分析

第四階段：綜合分析與評價(jià)

第五階段：整改意見

2.3

依據(jù)的技術(shù)標(biāo)準(zhǔn)及相關(guān)法規(guī)文件

本次風(fēng)險(xiǎn)評估依據(jù)公司保密安全策略和綜合審計(jì)報(bào)告等文件

三、評估對象

此次風(fēng)險(xiǎn)評估對象包括公司所有計(jì)算機(jī)，其擔(dān)任的主要任務(wù)是信息的產(chǎn)生、

1

種類

描述

軟硬件故障

由于設(shè)備硬件故障、系統(tǒng)本身或軟件

Bug

導(dǎo)致對業(yè)務(wù)高效

穩(wěn)定運(yùn)行的影響

物理環(huán)境威脅

斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、

洪災(zāi)、火災(zāi)、地震等環(huán)境問題和自然災(zāi)害

無作為或操作失誤

由于應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或無意地執(zhí)行了錯(cuò)

誤的操作，對系統(tǒng)造成影響

管理不到位

安全管理無法落實(shí)，不到位，造成安全管理不規(guī)范，或者

管理混亂，從而破壞信息系統(tǒng)正常有序運(yùn)行

惡意代碼和病毒

具有自我復(fù)制、自我傳播能力，對信息系統(tǒng)構(gòu)成破壞的程

序代碼

越權(quán)或?yàn)E用

通過采用一些措施，超越自己的權(quán)限訪問了本來無權(quán)訪問

序號

編號

名稱

密級

1

計(jì)算機(jī)

2

計(jì)算機(jī)

3

計(jì)算機(jī)

4

中間機(jī)

傳輸、與最終流向。

四、資產(chǎn)識別與分析

4.1

資產(chǎn)類型與賦值

4.1.1

資產(chǎn)類型

按照評估對象的構(gòu)成，分類描述評估對象的資產(chǎn)構(gòu)成。詳細(xì)的資產(chǎn)分類與賦

值，以附件形式附在評估報(bào)告后面，見附件

3《資產(chǎn)類型與賦值表》。

4.1.2

資產(chǎn)賦值

資產(chǎn)賦值表

五、威脅識別與分析

2

種類

威脅出現(xiàn)頻率

軟硬件故障

低

物理環(huán)境威脅

很低

無作為或操作失誤

低

管理不到位

低

惡意代碼和病毒

低

越權(quán)或?yàn)E用

低

物理攻擊

低

泄密

低

篡改

低

抵賴

低

的資源；或者濫用自己的職權(quán)，做出破壞信息系統(tǒng)的行為

物理攻擊

物理接觸、物理破壞、盜竊

泄密

泄漏，信息泄漏給他人

篡改

非法修改信息，破壞信息的完整性

抵賴

不承認(rèn)收到的信息和所作的操作和交易

5.1

威脅數(shù)據(jù)采集

5.2

威脅賦值

見《威脅賦值表》。

六、脆弱性識別與分析

按照檢測對象、檢測結(jié)果、脆弱性分析分別描述以下各方面的脆弱性檢測結(jié)

果和結(jié)果分析。

3

6.1

常規(guī)脆弱性描述

6.1.1

管理脆弱性

在計(jì)算機(jī)的管理上采用嚴(yán)格的管理制度和安全策略，脆弱性賦值為低。

6.1.2

系統(tǒng)脆弱性

計(jì)算機(jī)安裝的是

windows

xp

sp3

系統(tǒng)，通過對其穩(wěn)定性測試和漏洞掃描并及時(shí)安裝漏洞補(bǔ)

丁，脆弱性賦值為低。

6.1.3

應(yīng)用脆弱性

計(jì)算機(jī)的應(yīng)用有嚴(yán)格的身份鑒別和軟件的安全穩(wěn)定性測試，脆弱性賦值為低。

6.1.4

數(shù)據(jù)處理和存儲脆弱性

計(jì)算機(jī)的數(shù)據(jù)處理和存儲采用自動保存和定期備份機(jī)制，確保完整性，脆弱性賦值為低。

6.1.5

運(yùn)行維護(hù)脆弱性

計(jì)算機(jī)定期進(jìn)行軟件更新和硬件維護(hù)，脆弱性賦值為低。

6.1.7

災(zāi)備與應(yīng)急響應(yīng)脆弱性

根據(jù)保密安全策略的應(yīng)急響應(yīng)策略，定期對應(yīng)急計(jì)劃和響應(yīng)程序進(jìn)行檢查和進(jìn)行必要

的演練，確保其始終有效。脆弱性賦值為低。

6.1.8

物理脆弱性

根據(jù)物理安全策略，劃分了安全區(qū)域，并進(jìn)行物理訪問控制，進(jìn)行記錄在案。脆弱性賦值

為低。

6.2

脆弱性專項(xiàng)檢測

6.2.1

木馬病毒專項(xiàng)檢查

根據(jù)殺毒軟件的綜合殺毒日志和殺毒記錄，脆弱性賦值為低。

6.2.2

設(shè)備安全性專項(xiàng)測試

根據(jù)計(jì)算機(jī)綜合審計(jì)日志進(jìn)行分析，脆弱性賦值為低。

4

6.2.3

其他專項(xiàng)檢測

通過安裝電磁輻射干擾儀，脆弱性賦值為低。

6.3

脆弱性綜合列表

見《脆弱性分析賦值表》。

七、綜合分析與評價(jià)

根據(jù)上述風(fēng)險(xiǎn)評估結(jié)果，評定公司計(jì)算機(jī)的風(fēng)險(xiǎn)值是很低的，希望公司各涉

密人員能夠繼續(xù)保持和遵守安全保密策略和行為準(zhǔn)冊，嚴(yán)格要求自己。

八、整改意見

根據(jù)評估結(jié)果提出以下幾點(diǎn)整改意見：

1.加強(qiáng)計(jì)算機(jī)管理使用制度的培訓(xùn)。

2.對安全產(chǎn)品的實(shí)施要做到及時(shí)到位。

3.嚴(yán)格按照審批手續(xù)執(zhí)行

5

序號

層面/方面

安全控制/措施

落實(shí)

部分落實(shí)

沒有落實(shí)

不適用

安全管理制度

管理制度

√

制定和發(fā)布

√

評審和修訂

√

安全管理機(jī)構(gòu)

崗位設(shè)置

√

人員配備

√

授權(quán)和審批

√

溝通和合作

√

審核和檢查

√

人員安全管理

人員錄用

√

人員離崗

√

人員考核

√

安全意識教育和培訓(xùn)

√

外部人員訪問管理

√

系統(tǒng)建設(shè)管理

系統(tǒng)定級

√

安全方案設(shè)計(jì)

√

產(chǎn)品采購

√

自行軟件開發(fā)

√

外包軟件開發(fā)

√

工程實(shí)施

√

測試驗(yàn)收

√

系統(tǒng)交付

√

系統(tǒng)備案

√

安全服務(wù)商選擇

√

附件

1：管理措施表

6

序號

層面/方面

安全控制/措施

落實(shí)

部分落實(shí)

沒有落實(shí)

不適用

系統(tǒng)運(yùn)維管理

環(huán)境管理

√

資產(chǎn)管理

√

介質(zhì)管理

√

設(shè)備管理

√

監(jiān)控管理和安全管理中心

√

網(wǎng)絡(luò)安全管理

√

系統(tǒng)安全管理

√

惡意代碼防范管理

√

密碼管理

√

變更管理

√

備份與恢復(fù)管理

√

安全事件處置

√

應(yīng)急預(yù)案管理

√

小計(jì)

序

號

層面/方面

安全控制/措施

落實(shí)

部分落實(shí)

沒有落實(shí)

不適用

1

物理安全

物理位置的選擇

√

物理訪問控制

√

防盜竊和防破壞

√

防雷擊

√

防火

√

防水和防潮

√

防靜電

√

溫濕度控制

√

電力供應(yīng)

√

電磁防護(hù)

√

附件

2：技術(shù)措施表

7

主機(jī)安全

身份鑒別

√

訪問控制

√

安全審計(jì)

√

剩余信息保護(hù)

√

入侵防范

√

惡意代碼防范

√

資源控制

√

應(yīng)用安全

身份鑒別

√

訪問控制

√

安全審計(jì)

√

剩余信息保護(hù)

√

通信完整性

√

通信保密性

√

抗抵賴

√

軟件容錯(cuò)

√

資源控制

√

數(shù)據(jù)安全及備

份與恢復(fù)

數(shù)據(jù)完整性

√

數(shù)據(jù)保密性

√

備份和恢復(fù)

√

8

資

產(chǎn)

名

稱

編

號

威脅

總

分

值

威脅

等級

操

作

失

誤

濫

用

授

權(quán)

行

為

抵

賴

身

份

假

冒

口

令

攻

擊

密

碼

分

析

漏

洞

利

用

拒

絕

服

務(wù)

惡

意

代

碼

竊

取

數(shù)

據(jù)

物

理

破

壞

社

會

工

程

意

外

故

障

通

信

中

斷

數(shù)

據(jù)

受

損

電

源

中

斷

災(zāi)

害

管

理

不

到

位

越

權(quán)

使

用

1

2

1

1

1

1

1

1

2

1

1

1

1

2

1

1

1

1

1

1

22

很低

2

2

1

1

1

1

1

2

3

1

1

1

1

2

1

1

2

1

1

1

25

很低

3

2

1

1

1

1

1

1

2

1

1

1

1

2

1

1

3

1

1

1

24

很低

4

2

1

1

1

1

1

1

1

1

1

1

1

2

1

1

1

1

1

1

21

很低

附件

3：威脅賦值表

編

號

檢測項(xiàng)

檢測子項(xiàng)

脆弱性

整改建議

標(biāo)識

1

管理脆弱

性檢測

機(jī)構(gòu)、制度、人員

很低

加強(qiáng)制度培訓(xùn)

V1

安全策略

低

增加審計(jì)事件

V2

檢測與響應(yīng)脆弱性

低

無

V3

日常維護(hù)

低

無

V4

3

系統(tǒng)脆弱

性檢測

操作系統(tǒng)脆弱性

低

無

V5

5

數(shù)據(jù)處理

和存儲脆

弱性

數(shù)據(jù)處理

低

無

V6

數(shù)據(jù)存儲脆弱性

低

無

V7

6

運(yùn)行維護(hù)

脆弱性

安全事件管理

中

無

V8

7

災(zāi)備與應(yīng)

急響應(yīng)脆

弱