风险评估报告模板.doc

XXXXXXXXXXXXXXXXXXXXXXXXXX 项目项目 风险评估报告风险评估报告 中科正阳信息安全技术有限公司中科正阳信息安全技术有限公司 2008 年年 11 月月 17 日日 第 2 页 共 23 页 声声 明明 xxxxxxxxxxxxxxxxxxxxxx 以下简称工程中心 依据相应技术标准和有 关法律法规实施信息系统风险评估 本报告中给出的结论仅对被评估系统的当时状况有效 当评估后系统出 现任何变更时 涉及到的任何模块 或子系统 都应重新进行评估 本 评估结果不再适用 报告中描述的被测系统存在的安全问题 不限于报告中指出的位置 在任何情况下 若需引用本报告中的结果或数据都应保持其本来的意义 不得擅自进行增加 修改 伪造或掩盖事实 为保证系统所属方的利益 本报告仅提供给被测系统所属方 工程中心 不向第三方提供 并为其保密 被测方不能将此报告或报告中的某一部 分拷贝或复制 作为广告宣传材料 本报告结论的有效性建立在用户提供材料的真实性基础上 第 3 页 共 23 页 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx 风险评估报告风险评估报告 系统名称XXXX 单位 YYYY 系统 测试类别风险评估委托日期 20XX 年 XX 月 委托单位 联 系 人联系电话 评估依据 信息系统安全等级保护基本要求 党政机关信息系统风险评估规范 DB11 T 171 2002 参考依据 不在认可能 力范围内 北京市 电子政务信息安全保障技术框架 信息安全技术 信息安全风险评估规范 GB T 20984 2007 信息技术 信息安全管理实用规则 GB T 19716 2005 ISO IEC 17799 2000 信息系统安全风险评估实施指南 评估时间20XX年XX月XX日 至 20XX年XX 月 XX日 评估结论 工程中心 20XX年 XX 月 XX 日 备 注无 批准人 质量审核 技术审核 年 月 日 年 月 日 年 月 日 第 4 页 共 23 页 目目 录录 1 评估基本情况 6 1 1 委托单位信息 6 1 2 评估单位信息 6 2 评估目的 6 3 评估依据 6 4 评估范围 7 5 体系结构分析 7 5 1 技术体系结构分析 8 5 1 1 网络边界安全分析 8 5 1 2 已有安全措施有效性分析 8 5 1 3 主机体系结构 服务器操作系统和数据库 终端 8 5 1 4 防病毒体系结构 8 5 1 5 应用系统体系结构 8 5 2 管理体系结构分析 8 6 资产分析 9 6 1 物理资产分析 11 6 2 设备资产分析 11 6 3 主机资产分析 11 6 4 人员资产分析 12 7 脆弱性分析 12 7 1 技术脆弱性分析 12 7 1 1 物理脆弱性分析 13 7 1 2 设备脆弱性分析 13 7 1 3 主机脆弱性分析 14 7 2 管理脆弱性分析 14 7 2 1 安全管理机构脆弱性分析 14 7 2 2 安全管理制度脆弱性分析 14 7 2 3 人员安全管理脆弱性分析 14 7 2 4 系统建设管理脆弱性分析 14 7 2 5 系统运维管理脆弱性分析 14 8 威胁分析 15 8 1 威胁分析概述 15 第 5 页 共 23 页 8 2 威胁来源 15 8 3 威胁种类 16 9 风险分析 18 9 1 风险分析概述 18 9 2 风险列表 19 10 安全建议 综合评估 21 第 6 页 共 23 页 1 1 评估基本情况评估基本情况 1 1 1 1 委托单位信息委托单位信息 1 2 1 2 评估单位信息评估单位信息 单位名称工程中心 地址 北京市海淀区中关村大街 19 号新中关大厦 B 座北翼 16 层 邮编 100080 联系人王俊丰 E mailwangjf 电话 010 82486161传真 010 82486355 URLHttp 参与本次评估小组成员有 组长 监督员 组员 2 2 评估目的评估目的 XXXX 年 XX 月 受 XXXX 单位委托 工程中心对 XXXX 信息系统进行风险评 估 通过评估 在坚持科学 客观 公正原则的基础上 全面 完整地了解当 前系统的安全状况 分析系统所面临的各种风险 根据评估结果发现系统存在 的安全问题 并对严重的问题提出相应的风险控制策略 主要工作任务包括 系统调研 方案编写 现场检测 资产分析 威胁分 析 脆弱性分析和风险分析 3 3 评估依据评估依据 单位名称 委托项目名称 单位地址 邮政编码传真 联系人联系电话 联系人 E MAIL 第 7 页 共 23 页 本次评估依据的政策文件本次评估依据的政策文件 国家信息化领导小组关于加强信息安全保障工作的意见 中办发 2003 27 号 北京市公共服务网络与信息系统安全管理规定 2006 北京市政府令 第 163 号 北京市 关于落实的实施计划 2004 3 号 本次评估所依据的标准规范本次评估所依据的标准规范 信息系统安全等级保护基本要求 党政机关信息系统风险评估规范 DB11 T 171 2002 本次评估所参考的标准规范本次评估所参考的标准规范 北京市 电子政务信息安全保障技术框架 信息安全技术 信息安全风险评估规范 GB T 20984 2007 信息技术 信息安全管理实用规则 GB T 19716 2005 ISO IEC 17799 2000 信息系统安全风险评估实施指南 其他参考资料其他参考资料 1 XXXXX 安全方案 2 XXXXXXXXXX 3 其它有关技术规范和用户需求 4 4 评估范围评估范围 本次评估由工程中心承担主导工作 XXX 单位协调配合 经双方协商决定 选择 XXXX 信息系统作为本次风险评估的应用系统 评估范围包括两个方面的内 容 一是技术风险评估 二是管理风险评估 其中技术风险评估主要包括物理 安全 网络安全 主机安全 应用安全和数据安全等五个层面 管理风险评估 包括安全管理制度 安全管理机构 人员安全管理 系统建设管理和系统运维 管理等五个方面 或按照 27001 十一类展开描述 本次评估工作包括体系结构 分析 资产分析 威胁分析 脆弱性分析 已有安全措施分析和风险分析 第 8 页 共 23 页 5 5 体系结构分析体系结构分析 体系结构分析是通过对 XXXX 单位提交的 YYYY 系统的设计方案 安全解决 方案和现场安全管理调查问卷表进行静态分析 对该系统在安全技术和安全管 理方面达到安全性给出一个静态分析结论 安全技术主要涉及到用户提供的安 全体系相关的设计和建设方案历史数据 系统安全方针 安全体系结构 安全 设计实现 产品选型 工程实施等内容 安全管理方面主要涉及到安全策略 组织的安全 资产分类和控制 人员安全 物理和环境的安全 通信和操作管 理 访问控制 系统开发和维护 业务连续性管理 符合性 通过对以上数据 综合分析得出如下分析结论 5 1 5 1 技术体系结构分析技术体系结构分析 5 1 1 5 1 1 网络边界安全分析网络边界安全分析 粘贴网络拓扑图 网络结构分析 5 1 2 5 1 2 已有安全措施有效性分析已有安全措施有效性分析 列出已有的安全措施 并对安全措施的有效性进行分析 分析内容包括安 全措施保护的资产范围 能削弱或减少的威胁等 5 1 3 5 1 3 主机体系结构 服务器操作系统和数据库 终端 主机体系结构 服务器操作系统和数据库 终端 对主机系统的硬件环境 软件环境进行描述和分析 5 1 4 5 1 4 防病毒体系结构防病毒体系结构 描述并分析被评估单位的防病毒体系部署情况 5 1 5 5 1 5 应用系统体系结构应用系统体系结构 第 9 页 共 23 页 对评估范围内每个重要应用系统分析其业务流 数据流 并绘制流程图 5 2 5 2 管理体系结构分析管理体系结构分析 对被评估单位的信息安全管理体系进行描述 如最高信息安全部门 以及 系统管理 安全管理等岗位设置 绘制安全管理组织架构图 第 10 页 共 23 页 6 6 资产分析资产分析 xxxxxxxxxxxxxxxxxxxxxx首先对评估范围内的资产进行识别 在准确完整 识别资产的基础上对资产进行重要性分析并赋值 对于资产的识别将采用自顶 向下 以有形资产为依托 无形资产附于有形资产之上的方法 即根据确定的 重要应用系统识别关联的主机 设备等 对于资产的分析则采用自底向上的方 法 即从体系底层开始分析 首先分析基础设施 如物理安全 然后再分析网 络设备 安全设备 一直到应用系统 对于资产的赋值 不仅要考虑资产本身的价值 更重要的是考虑资产的安 全属性缺失对组织造成的影响 资产赋值过程也就是对资产在完整性 保密性 可用性上的达成程度进行分析 并根据被评估组织的业务情况确定综合值 也 就是资产的重要性 我们首先分别对各项资产的保密性 完整性 可用性进行 分析 期间我们将参考GB T20984推荐的评价尺度进行CIA赋值 然后根据业务 关联性 从CIA赋值中选择对业务影响最大的一个赋值做为资产最终的重要性赋 值 以下是CIA以及重要性赋值的评价尺度 保密性赋值 赋值标识定义 5 极高包含组织最重要的秘密 关系未来发展的前途命运 对组织 根本利益有着决定性影响 如果泄漏会造成灾难性的损害 4 高包含组织的重要秘密 其泄露会使组织的安全和利益遭受严 重损害 3 中等包含组织的一般性秘密 其泄露会使组织的安全和利益受到 损害 2 低包含仅能在组织内部或在组织某一部门内部公开的信息 向 外扩散有可能对组织的利益造成损害 1 可忽略包含可对社会公开的信息 公用的信息处理设备和系统资源 等 完整性赋值 第 11 页 共 23 页 赋值标识定义 5 极高完整性价值非常关键 未经授权的修改或破坏会对组织造成 重大的或无法接受的影响 对业务冲击重大 并可能造成严 重的业务中断 难以弥补 4 高完整性价值较高 未经授权的修改或破坏会对组织造成重大 影响 对业务冲击严重 比较难以弥补 3 中等完整性价值中等 未经授权的修改或破坏会对组织造成影响 对业务冲击明显 但可以弥补 2 低完整性价值较低 未经授权的修改或破坏会对组织造成轻微 影响 可以忍受 对业务冲击轻微 容易弥补 1 可忽略 完整性价值非常低 未经授权的修改或破坏对组织 造成的影响可以忽略 对业务冲击可以忽略 可用性赋值 赋值标识定义 5 极高可用性价值非常高 合法使用者对信息及信息系统的可用度 达到年度 99 9 以上 4 高可用性价值较高 合法使用者对信息及信息系统的可用度达 到每天 90 以上 3 中等可用性价值中等 合法使用者对信息及信息系统的可用度在 正常工作时间达到 70 以上 2 低可用性价值较低 合法使用者对信息及信息系统的可用度在 正常工作时间达到 25 以上 1 可忽略可用性价值可以忽略 合法使用者对信息及信息系统的可用 度在正常工作时间低于 25 重要性赋值 等级标识定义 5 很高非常重要 其安全属性破坏后可能对组织造成非常严重的损失 4 高重要 其安全属性破坏后可能对组织造成比较严重的损失 第 12 页 共 23 页 3 中比较重要 其安全属性破坏后可能对组织造成中等程度的损失 2 低不太重要 其安全属性破坏后可能对组织造成较低的损失 1 很低不重要 其安全属性破坏后对组织造成导很小的损失 甚至忽略不计 6 1 6 1 物理资产分析物理资产分析 物理层的资产主要包括机房 资产 CIA 赋值重要性 保密性 完整性 机房1 可用性 6 2 6 2 设备资产分析设备资产分析 设备资产包括业务系统赖以运行的网络设备以及保障信息安全的安全设备 如路由器 交换机 防火墙等 资产 CIA 赋值重要性 保密性 完整性 设备1 可用性 保密性 完整性 设备2 可用性 6 3 6 3 主机资产分析主机资产分析 主机资产包括运行其上的操作系统 数据库系统和应用系统 对操作系统 数据库系统和应用系统分别赋值 然后取其中较高的赋值做为主机资产的赋值 资产 CIA 赋值重要性主机重要性 第 13 页 共 23 页 保密性 2 完整性 3 操作系统 可用性 4 4 保密性 3 完整性 2 数据库系统 可用性 5 5 保密性 2 完整性 4 主机1 应用系统 可用性 1 2 4 6 4 6 4 人员资产分析人员资产分析 人员资产主要是与信息系统安全和信息安全相关的管理人员 技术人员和 使用人员 人员赋值可以根据由组织直接进行赋值 人员资产人员类型资产重要性 张三系统管理员 3 7 7 脆弱性分析脆弱性分析 对于评估范围内的每一项资产 要找出每一种威胁所能利用的脆弱性 并 对脆弱性的严重程度进行评估 脆弱性分析将从技术 管理两个方面进行 其 中在技术方面主要是通过远程和本地两种方式进行漏洞扫描 人工检查 功能 测试 渗透测试等方式进行评估 以保证脆弱性分析的全面性和有效性 管理 脆弱性分析方面主要是按照 BS 7799 的安全管理要求 或等级保护基本要求 对现有的安全管理制度的制定和执行情况进行检查 发现其中的管理漏洞和不 足 7 1 7 1 技术脆弱性分析技术脆弱性分析 技术脆弱性主要通过漏洞扫描 人工检查 渗透测试等方法进行识别 在 对技术脆弱性进行完全识别的基础上 根据脆弱性一旦被威胁利用 对资产以 第 14 页 共 23 页 及组织产生的负面影响对脆弱性进行赋值 同时 由于安全措施能够削弱和减 少脆弱性 所以在赋值时要充分已有的安全措施 技术脆弱性严重程度都是相对的 并不能认为脆弱性程度低的问题就不用 去解决 但脆弱性程度高的问题则肯定需要加以解决 从实际的等级安全要求 上 无论脆弱性等级高低 都应该得到改进 参考国家标准 GB T20984 对脆弱性严重程度划分为五个级别 等级数值 越大 脆弱性严重程度越高 以下为参考评价尺度 等级标识定义 5 很高如果被威胁利用 将对资产造成完全损害 4 高如果被威胁利用 将对资产造成重大损害 3 中如果被威胁利用 将对资产造成一般损害 2 低如果被威胁利用 将对资产造成较小损害 1 很低如果被威胁利用 将对资产造成的损害可以忽略 7 1 1 7 1 1 物理脆弱性分析物理脆弱性分析 经过现场对 XXXX 单位 YYYY 系统的物理环境部分进行安全检查 发现 XXXX 单位 YYYY 系统较为严重的脆弱性问题有 赋值为 3 以上的 资产脆弱性描述脆弱性严重程度 没有静电消除装置 3 机房 1 温度控制装置不灵敏 2 7 1 2 7 1 2 设备脆弱性分析设备脆弱性分析 通过对XXXX单位YYYY网络设备 安全设备进行扫描和人工检查等 我们可 以清楚地看出系统在网络层面中均存在着或多或少的脆弱性 其中最应引起我 们重视的脆弱性及其原因分析如下 赋值为3以上的 第 15 页 共 23 页 资产脆弱性描述脆弱性严重程度 弱口令 3 设备 1 版本低 2 7 1 3 7 1 3 主机脆弱性分析主机脆弱性分析 通过对XXXX单位重要主机进行漏洞扫描 人工检查 渗透测试等 我们可 以清楚地看出系统在主机层面中均存在着或多或少的脆弱性 其中最应引起我 们重视的脆弱性及其原因分析如下 赋值为3以上的 资产脆弱性描述脆弱性严重程度 未及时打补丁 3 主机 1 共享端口开放 2 7 2 7 2 管理脆弱性分析管理脆弱性分析 对 XXXX 单位在管理上的漏洞和不足 我们将参考 BS7799 或等级保护 的相关内容 通过对被评估单位管理制度检查 安全策略落实情况进行访谈和 了解 以找出问题并加以分析 7 2 1 7 2 1 安全管理机构脆弱性分析安全管理机构脆弱性分析 根据等级保护相应级别的管理要求 识别并分析重大管理漏洞 7 2 2 7 2 2 安全管理制度脆弱性分析安全管理制度脆弱性分析 根据等级保护相应级别的管理要求 识别并分析重大管理漏洞 7 2 3 7 2 3 人员安全管理脆弱性分析人员安全管理脆弱性分析 根据等级保护相应级别的管理要求 识别并分析重大管理漏洞 第 16 页 共 23 页 7 2 4 7 2 4 系统建设管理脆弱性分析系统建设管理脆弱性分析 根据等级保护相应级别的管理要求 识别并分析重大管理漏洞 7 2 5 7 2 5 系统运维管理脆弱性分析系统运维管理脆弱性分析 根据等级保护相应级别的管理要求 识别并分析重大管理漏洞 8 8 威胁分析威胁分析 8 1 8 1 威胁分析概述威胁分析概述 本次威胁分析是对 XXXX 单位 YYYY 系统进行的 威胁分析包括的具体内容 有 威胁主体 威胁途径 威胁种类 8 2 8 2 威胁来源威胁来源 XXXX 单位 YYYY 系统是基于 Internet 体系结构建立 网络业务系统大都采 用 TCP IP 作为主要的网络通讯协议 其自身提供了各种各样的接口以供使用和 维护 然而 这些接口同样可能向威胁主体提供了攻击的途径 来源来源描述描述 环境因素断电 静电 灰尘 潮湿 温度 鼠蚁虫害 电磁干扰 洪灾 火灾 地震 意外事故等环境危害或自然灾害 以 及软件 硬件 数据 通讯线路等方面的故障 恶意 人员 不满的或有预谋的内部人员对信息系统进行恶意破坏 采 用自主或内外勾结的方式盗窃机密信息或进行篡改 获取 利益 外部人员利用信息系统的脆弱性 对网络或系统的保密性 完整性和可用性进行破坏 以获取利益或炫耀能力 人为因 素 非恶 意人 内部人员由于缺乏责任心 或者由于不关心或不专注 或 者没有遵循规章制度和操作流程而导致故障或信息损坏 第 17 页 共 23 页 员内部人员由于缺乏培训 专业技能不足 不具备岗位技能 要求而导致信息系统故障或被攻击 威胁分析是指经过调查和分析 初步得出 威胁的种类 威胁的主体 威 胁产生的来源地点与场所 人员 机房 设备等 威胁发生的途径 威胁频 度与系统所在的环境以及威胁的分布有一定的关系 最后得出初步的威胁分析 结果 威胁严重程度由威胁发生可能性与破坏程度两方面因素综合确定 其量化 值见下表 等级标识定义 5 很高 出现的频率很高 或 1 次 周 或在大多数情况下几乎不 可避免 或可以证实经常发生过 4 高 出现的频率较高 或 1 次 月 或在大多数情况下很有可 能会发生 或可以证实多次发生过 3 中等 出现的频率中等 或 1 次 半年 或在某种情况下可能会 发生 或被证实曾经发生过 2 低 出现的频率较小 或一般不太可能发生 或没有被证实发生 过 1 很低 威胁几乎不可能发生 仅可能在非常罕见和例外的情况下发 生 8 3 8 3 威胁种类威胁种类 按照信息系统风险评估数据采集规范 威胁列表的描述 我们将威胁种类划 分为以下几种类型 并依次编号 T1 T11 对于 XXXX 信息系统 通过评估中心技术人员对于环境 网络架构 安全设 备部署以及业务方式等内容的综合分析 确定威胁发生的可能性 的具体量化 值如下表所示 第 18 页 共 23 页 编编 号号 威胁威胁 种类种类 描述描述威胁子类威胁子类 常规常规 发生发生 可能可能 性性 常规常规 破坏破坏 程度程度 威威 胁胁 量量 化化 值值 T1 物理 环境 影响 对信息系统正常运行 造成影响的物理环境 问题和自然灾害 断电 静电 灰尘 潮湿 温度 鼠蚁虫 害 电磁干扰 洪灾 火灾 地震等 低高 3 T2 软硬 件故 障 对业务实施或系统运 行产生影响的设备硬 件故障 通讯链路中 断 系统本身或软件 缺陷等问题 设备硬件故障 传输 设备故障 存储媒体 故障 系统软件故障 应用软件故障 数据 库软件故障 开发环 境故障等 高高 5 T3 无作 为或 操作 失误 应该执行而没有执行 相应的操作 或无意 执行了错误的操作 维护错误 操作失误 等 中中 3 T4 恶意 代码 故意在计算机系统上 执行恶意任务的程序 代码 病毒 特洛伊木马 蠕虫 陷门 间谍软 件 窃听软件等 高高 5 T5 越权 或滥 用 通过采用一些措施 超越自己的权限访问 了本来无权访问的资 源 或者滥用自己的 权限 做出破坏信息 系统的行为 非授权访问网络资源 非授权访问系统资源 滥用权限非正常修改 系统配置或数据 滥 用权限泄露秘密信息 等 中高 4 T6 物理 攻击 通过物理的接触造成 对软件 硬件 数据 的破坏 物理接触 物理破坏 盗窃等 低中 2 T7 网络 攻击 利用工具和技术通过 网络对信息系统进行 攻击和入侵 网络探测和信息采集 漏洞探测 嗅探 帐 号 口令 权限等 用户身份伪造和欺骗 用户或业务数据的窃 取和破坏 系统运行 的控制和破坏等 高高 5 T8 泄密信息泄露给不应了解内部信息泄露 外部低中 2 第 19 页 共 23 页 的他人信息泄露等 T9 篡改 非法修改信息 破坏 信息的完整性使系统 的安全性降低或信息 不可用 篡改网络配置信息 篡改系统配置信息 篡改安全配置信息 篡改用户身份信息或 业务数据信息等 低高 3 T10 抵赖 不承认收到的信息和 所作的操作和交易 原发抵赖 接收抵赖 第三方抵赖等 低低 1 T11 管理 不到 位 安全管理无法落实或 不到位 从而破坏信 息系统正常有序运行 管理制度和策略不完 善 管理规程缺失 职责不明确 监督控 管机制不健全等 高中 4 上面的量化分析是针对 XXX 信息系统全局进行考虑 在风险分析的时候 需要考虑针对每项资产所采取的安全防护措施或 适当地降低威胁值 9 9 风险分析风险分析 9 1 9 1 风险分析概述风险分析概述 xxxxxxxxxxxxxxxxxxxxxx的风险分析主要采用自顶向下和自底向上分析 定性分析与定量分析相结合的分析方法 首先自顶向下识别关键资产 然后自 底向上采用定性 定量相结合的方法进行风险分析 形成一个分层次的树形分 析体系 在信息系统风险评估实践中 我们经常面临着这样一个难以解决的问题 一方面信息系统风险评估是以业务为核心的 而在威胁 脆弱性数据的收集阶 段尤其是技术核查测试过程 我们大部分的处理对象又是信息系统的基础设施 如何能够使两方面的工作在一开始就能很好的结合在一起 在风险评估整个过 程中始终贯彻 以业务为核心 的理念呢 xxxxxxxxxxxxxxxxxxxxxx采用 通 过业务来确定关键资产 的方法很好地解决了这个问题 同时也与工程中心测 评与服务实验室原有的技术评估体系实现了统一 首先我们认为关键资产是信 息系统所承载业务数据和该业务所提供的服务 既关键资产应是数据和服务 而不应是信息系统的组成单元 如服务器 交换机 防火墙等 这是我们所做 的信息系统风险评估与其他单位最大的区别 第 20 页 共 23 页 在现场核查测试结束后 我们将对得到的脆弱性 威胁数据进行风险分析 我们认为在复杂的信息系统风险评估过程中 不能将定性分析和定量分析两种 方法简单的割裂开来 而是应该将这两种方法融合起来 采用综合的评估方法 在信息系统风险分析过程中 定性分析是灵魂 是形成概念 观点 作出判断 得出结论所必须依靠的 定量分析则是手段 是定性分析的基础和前提 定性 分析应建立在定量分析的基础上才能揭示客观事物的内在规律 是为作出判断 和得出结论 风险分析的输出中 风险列表是其中一个重要成果 风险列表的内容包括 关键资产 以及相关脆弱性 安全措施 风险程度等内容 通过综合分析这些关键资产相关的安全威胁 脆弱性 安全措施 包括技 术 管理措施和物理的保护措施 三个方面的因素来确定 我们在风险分析中主要使用相乘法进行计算 首先由资产价值和脆弱性严 重程度决定安全事件一旦发生以后对组织产生的影响 即由资产价值赋值与相 关脆弱性