说明文字:大致内容如此,根据具体
情况增删
XXXX信息系统安全风险评估报告
二〇一五年七月
第 2 页 共 22 页
目 录
1
评估工作概述 ........................................................................................................................... 4 1.1评估目标 ............................................................................................................................. 4 1.2评估组织 ............................................................................................................................. 4 1.3评估对象 ............................................................................................................................. 4 1.3.1业务职能与组织结构 .............................................................................................. 4
1.3.2系统定级 .................................................................................................................. 4 1.3.3物理环境 .................................................................................................................. 5 1.3.4网络结构 .................................................................................................................. 5 1.3.5安全保密措施 .......................................................................................................... 5 1.3.6重要XX部门、部位 .............................................................................................. 5 评估依据和标准 ....................................................................................................................... 6 评估方案 ................................................................................................................................... 6 资产识别 ................................................................................................................................... 7 4.1资产重要性等级定义 ......................................................................................................... 7 4.2资产分类 ............................................................................................................................. 8 4.2.1服务器情况列表 ...................................................................................................... 8
4.2.2交换机情况列表 ...................................................................................................... 9 4.2.3用户终端和XX单机 .............................................................................................. 9 4.2.4特种设备 .................................................................................................................. 9 4.2.5软件平台 .................................................................................................................. 9 4.2.6安全保密设备 ........................................................................................................ 10 4.2.7应用系统情况列表 ................................................................................................ 10 4.2.8试运行应用系统情况列表 .................................................................................... 11 威胁识别 ................................................................................................................................. 11 5.1威胁分类 ........................................................................................................................... 11 5.2威胁赋值 ........................................................................................................................... 12 6
脆弱性识别 ............................................................................................................................. 13 6.1脆弱性识别内容 ............................................................................................................... 13 6.2脆弱性赋值 ....................................................................................................................... 13 6.3脆弱性专向检测 ............................................................................................................... 14 6.3.1病毒木马专项检查 ................................................................................................ 14
6.3.2网络扫描专项测试 ................................................................................................ 14
7 风险分析 ................................................................................................................................. 17 8 风险统计 ................................................................................................................................. 18 9 评估结论 ................................................................................................................................. 18 10 整改建议 ......................................................................................................................... 18
2 3 4
5
第 3 页 共 22 页
1 评估工作概述
2015年7月7-9日,由XX部门组织相关人员对XX信息系统进行了安全风险评估。
本报告的评估结论仅针对xx厂XX信息系统本次安全风险评估时的状况。 1.1评估目标
本次评估工作依据有关信息安全技术与管理标准,对xx厂XX信息系统及由其处理、传输和存储的信息的安全属性进行评估,分析该XX信息系统内的服务器、网络设备、用户终端及支撑平台等资产在日常运行、管理过程中面临的威胁、存在的脆弱性以及由此带来的安全风险,为将安全风险控制在可接受的水平,最大限度地保障该XX信息系统的信息安全保密提供指导依据。 1.2评估组织
本次风险评估由XX信息系统管理领导小组负责组织。由xx部门现场开展本次评估工作,XX业务部门相关人员进行配合。 1.3评估对象
1.3.1业务职能与组织结构
Xx 1.3.2系统定级
Xx厂XX信息系统经xx批准同意,按照所处理XX信息的最高密级定为机密级,采用增强保护要求进行保护。
第 4 页 共 22 页
1.3.3物理环境
XX 1.3.4网络结构
图1 、组织机构图 图2周边物理环境图
3 、网络拓扑结构图
1.3.5安全保密措施
XX厂XX信息系统配备了防火墙、网络入侵检测系统、漏洞扫描系统、主机监控与审计系统、XX计算机及移动存储介质保密管理系统(“三合一”系统)、中孚信息消除工具、打印安全监控与审计系统、安全邮件、网间文件交换系统、防计算机病毒软件、线路传导干扰器、一级电磁干扰器、红黑电源滤波隔离插座等安全保密产品。
身份鉴别
口令认证,复杂度,密码长度等符合要求否?
XX便携式计算机、XX单机和XX数据中转单机采用用户名与口令相结合的方式进行身份鉴别。 1.3.6重要XX部门、部位
XX厂XX信息系统保密要害部门为2个,保密要害部位为5个,具体情况如下表所示。
防护措施 序号 名称 位置 所属部门 部位性质 监控 门控 红外报警 第 5 页 共 22 页