信息系统安全风险的评估报告

1、xxxx 有限公司有限公司信息系统安全风险评估报告信息系统安全风险评估报告记录编号创建日期文档密级00500520152015 年年 8 8 月月 1616 日日更改记录更改记录时间更改内容更改人项项 目目 名名 称：称： xxx xxx 风险评估报告风险评估报告被评估公司单位：被评估公司单位： xxx xxx 有限公司有限公司参与评估部门：参与评估部门：xxxxxxxx 委员会委员会一、风险评估项目概述一、风险评估项目概述1.11.1 工程项目概况工程项目概况1.1.11.1.1 建设项目基本信息建设项目基本信息风险评估版本风险评估版本201x 年 8 日 5 日更新的资产清单及评估1项目完

2、成时间项目完成时间项目试运行时间项目试运行时间201x 年 8 月 5 日2015 年 1-6 月1.21.2 风险评估实施单位基本情况风险评估实施单位基本情况评估单位名称评估单位名称xxx 有限公司二、风险评估活动概述二、风险评估活动概述2.12.1 风险评估工作组织管理风险评估工作组织管理描述本次风险评估工作的组织体系（含评估人员构成）、工作原则和采取的保密措施。2.22.2 风险评估工作过程风险评估工作过程本次评估供耗时 2 天，采取抽样的的方式结合现场的评估，涉及了公司所有部门及所有的产品，已经包括了位于公司地址位置的相关产品。2.32.3 依据的技术标准及相关法规文件依据的技术标准及

3、相关法规文件本次评估依据的法律法规条款有：序号12345法律、法规及其他要求名称全国人大常委会关于维护互联网安全的决定中华人民共和国计算机信息系统安全保护条例中华人民共和国计算机信息网络国际联网管理暂行规定中华人民共和国计算机软件保护条例中华人民共和国信息网络传播权保护条例中华人民共和国计算机信息网络国际联网管理暂行规定实施办法计算机信息网络国际联网安全颁布时间2000.12.281994.02.181996.02.012001.12.202006.05.10实施时间2000.12.281994.02.181996.02.012002.01.012006.07.01颁布部门全国人大常委会国务院

4、第 147 号令国务院第 195 号令国务院第 339 号令国务院第 468 号令国务院信息化工作领导小组公安部第 33 号令671998.03.061997.12.1621998.03.061997.12.30保护管理办法891011121314计算机信息系统安全专用产品检测和销售许可证管理办法计算机病毒防治管理办法恶意软件定义抵制恶意软件自律公约计算机信息系统保密管理暂行规定计算机信息系统国际联网保密管理规定软件产品管理办法互联网等信息系统网络传播视15听节目管理办法1617181920互联网电子公告服务管理规定信息系统工程监理工程师资格管理办法信息系统工程监理单位资质管理办法电子认证服务

5、管理办法关于印发国家电子信息产业基地和产业园认定管理办法（试行） 的通知计算机软件著作权登记收费项目和标准中国互联网络域名管理办法中华人民共和国专利法中华人民共和国技术合同法关于电子专利申请的规定中华人民共和国著作权法中华人民共和国著作权法实施条例科学技术保密规定互联网安全保护技术措施规定中华人民共和国认证认可条例中华人民共和国保守国家秘密2000.10.082003 年颁布2003.03.262009.02.042008.03.042000.10.082003.03.262003.04.012009.03.312008.03.04信息产业部信息产业部信息产业部信息产业部中华人民共和国信息产业

6、部机电部计算机软件登记办公室1997.06.282000.03.301997.12.122000.04.26公安部第 32 号令公安部第 51 号令中国互联网协会中国互联网协会国家保密局国家保密局中华人民共和国工业和信息化部国家广播电影电视总局200706.27200706.27200706.27200706.271998.2.262000.01.012000.10.081998.02.262000.01.012000.10.082004.06.152004.10.1121222324252627282930311992.03.162004.11.052010.01.091987.06.232

7、010.08.272010.02.262002.08.021995.01.062005.12.132003.09.032010.04.2931992.04.012004.12.202010.02.011987.06.232010.10.012010.02.262002.9.151995.01.062006.03.012003.11.12010.10.01信息产业部全国人民代表大会常务委员国务院科学技术部国家知识产权局全国人大常委会国务院第 359 号令国家科委、国家保密局公安部发布国务院第 390 号令全国人大常委会法32333435363738394041中华人民共和国国家安全法中华人民共和

8、国商用密码管理条例消防监督检查规定仓库防火安全管理规则地质灾害防治条例电力安全生产监管办法中华人民共和国劳动法失业保险条例失业保险金申领发放中华人民共和国企业劳动争议处理条例1993.02.221999.10.072009.4.301990.03.222003.11.242004.03.092007.06.291998.12.262001.10.261993.06.111993.02.221999.10.072009.5.11994.04.10令第 6 号2004.03.012004.03.092008.1.11999.01.222001.01.011993.08.01国务院 34 号国家电力

9、监管委员会第 2号华人民共和国主席令第二十八号全国人大常委会国务院第 273 号令公安部第 107 号中华人民共和国公安部国务院劳动和社会保障部国务院2.42.4 保障与限制条件保障与限制条件需要被评估单位提供的文档、 工作条件和配合人员等必要条件，以及可能的限制条件。三、评估对象三、评估对象3.13.1 评估对象构成与定级评估对象构成与定级3.1.13.1.1 网络结构网络结构根据提供的网络拓扑图，进行结构化的审核。3.1.23.1.2 业务应用业务应用本公司涉及的数据中心运营及服务活动。3.1.33.1.3 子系统构成及定级子系统构成及定级 n/a43.23.2 评估对象等级保护措施评估对

10、象等级保护措施按照工程项目安全域划分和保护等级的定级情况， 分别描述不同保护等级保护范围内的子系统各自所采取的安全保护措施，以及等级保护的测评结果。根据需要，以下子目录按照子系统重复。3.2.13.2.1 xxxx 子系统的等级保护措施子系统的等级保护措施根据等级测评结果，xx 子系统的等级保护管理措施情况见附表一。根据等级测评结果，xx 子系统的等级保护技术措施情况见附表二。四、资产识别与分析四、资产识别与分析4.14.1 资产类型与赋值资产类型与赋值4.1.14.1.1 资产类型资产类型按照评估对象的构成， 分类描述评估对象的资产构成。详细的资产分类与赋值，以附件形式附在评估报告后面，见附

11、件 3资产类型与赋值表。4.1.24.1.2 资产赋值资产赋值填写资产赋值表。大类大类详细分类详细分类举例举例文档和数据经营规划中长期规划等经营计划等组织变更方案等组织机构图等组织变更通知等组织手册等各项规程、业务手册等人事制度人事方案等人事待遇资料等录用计划等离职资料等中期人员计划等5组织情况规章制度人员构成等人事变动通知等培训计划等培训资料等财务信息预决算（各类投资预决算)等业绩（财务报告)等中期财务状况等资金计划等成本等财务数据的处理方法（成本计算方法和系统，会计管理审查等经营分析系统，减税的方法、规程)等市场调查报告 （市场动向， 顾客需求，其它本公司动向及对这些情况的分析方法和结果)

12、等商谈的内容、合同等报价等客户名单等营业战略（有关和其它本公司合作销售、销售途径的确定及变更，对代理商的政策等情报)等退货和投诉处理 （退货的品名、 数量、原因及对投诉的处理方法)等供应商信息等试验/分析数据（本公司或者委托其它单位进行的试验/分析)等研究成果（本公司或者和其它单位合作研究开发的技术成果)等科技发明的内容（专利申请书以及有关的资料/试验数据)等开发计划书等新产品开发的体制、组织（新品开发人员的组成，业务分担，技术人员的配置等)技术协助的有关内容（协作方，协作内容，协作时间等)教育资料等技术备忘录等6营业信息技术信息软件信息生产管理系统等技术解析系统等计划财务系统等设计书等流程等

13、编码、密码系统等源程序表等诉讼或其他有争议案件的内容（民事、无形资产、工伤等纠纷内容)本公司基本设施情况（包括动力设施)等董事会资料（新的投资领域、设备投资计划等)本公司电话簿等本公司安全保卫实施情况及突发事件对策等windows、 linux 等开发工具、 办公软件、 网站平台、 财务系统 等ms sql server、mysql 等传真等光纤、双绞线等磁带、光盘、软盘、u 盘等光盘刻录机、磁带机等打印机、复印机、扫描仪pc server、小型机等pc、工作站等路由器、交换机、集线器、无线路由器等防火墙、防水墙、ips 等ups、机房空调、发电机等高层管理人员 本公司总/副总经理、总监等部门

14、经理项目经理、项目组长、安全工程师软件工程师、程序员、测试工程师、界面工程师等系统管理员、网络管理员、维护工程师7其他软件操作系统应用软件/系统数据库硬件设备通讯工具传输线路存储媒体存储设备文印设备服务器桌面终端网络通信设备网络安全设备支撑设施人力资源高层管理人员中层管理人员技术管理人员普通技术人员it 服务人员其它服务通信房租托管法律供电审计人事、行政、财务等人员adsl、光纤等办公房屋租用服务器托管、虚拟主机、邮箱托管外聘律师、法律顾问照明电、动力电财务审计6.2.6.2. 资产赋值判断准则资产赋值判断准则对资产的赋值不仅要考虑资产的经济价值， 更重要的是要考虑资产的安全状况对于系统或组织

15、的重要性，由资产在其三个安全属性上的达成程度决定。资产赋值的过程也就是对资产在机密性、完整性和可用性上的达成程度进行分析，并在此基础上得出综合结果的过程。 达成程度可由安全属性缺失时造成的影响来表示， 这种影响可能造成某些资产的损害以至危及信息系统， 还可能导致经济效益、市场份额、组织形象的损失。6.2.1.6.2.1. 机密性赋值机密性赋值根据资产在机密性上的不同要求，将其分为三个不同的等级，分别对应资产在机密性上应达成的不同程度或者机密性缺失时对整个组织的影响。赋值3标识高定 义包含组织最重要的秘密，关系未来发展的前途命运，对根本利益有着决定性的影响， 如果泄露会造成灾难性的损害， 例如直

16、接损失超过100万人民币，或重大项目（合同）失败，或失去重要客户，或关键业务中断3天。组织的一般性秘密，其泄露会使组织的安全和利益受到损害，例如直接损失超过10 万人民币，或项目（合同）失败，或失去客户，或关键业务中断超过 1 天。可在社会、组织内部或在组织某一部门内部公开的信息，向外扩散有可能对组织的利益造成轻微损害或不造成伤害。2中1低6.2.2.6.2.2. 完整性赋值完整性赋值8根据资产在完整性上的不同要求，将其分为三个不同的等级，分别对应资产在完整性上缺失时对整个组织的影响。赋值3标识高定 义完整性价值非常关键，未经授权的修改或破坏会对组织造成重大的或无法接受的影响， 对业务冲击重大

17、， 并可能造成严重的业务中断，并且难以弥补。例如直接损失超过100 万人民币，或重大项目（合同）失败，或失去重要客户。完整性价值中等，未经授权的修改或破坏会对组织造成影响，对业务冲击明显，但可以弥补。例如直接损失超过 10 万人民币，或项目（合同）失败，或失去客户。完整性价值较低，未经授权的修改或破坏会对组织造成轻微影响，甚至可以忽略，对业务冲击轻微，容易弥补。2中1低6.2.3.6.2.3. 可用性赋值可用性赋值根据资产在可用性上的不同要求，将其分为三个不同的等级，分别对应资产在可用性上的达成的不同程度。赋值3标识高定 义可用性价值非常高， 合法使用者对资产的可用度达到年度90%以上，或系统

18、不允许中断。2中可用性价值中等，合法使用者对资产的可用度在正常工作时间达到50%以上，或系统允许中断时间小于8 工作时。1低可用性价值较低或可被忽略，合法使用者对资产的可用度在正常工作时间达到 50%以下，或系统允许中断时间小于24 工作时。6.2.4.6.2.4. 资产重要性等级资产重要性等级资产价值（v） 机密性价值（c）完整性价值（i）可用性价值（a）资产等级：等级123价值分类资产总价值低中高3 45 78 994.24.2 重要资产清单及说明重要资产清单及说明在分析被评估系统的资产基础上， 列出对评估单位十分重要的资产，作为风险评估的重点对象，并以清单形式列出如下：重要资产列表重要资

19、产列表序序号号资产编号资产编号f001f001f002f002f004f004f006f006atsh10-007atsh10-007atsh-11/001/10-007atsh-11/001/10-007atsh10-008atsh10-008atsh11-001atsh11-001hw-009hw-009子系统名称子系统名称各类公司证件各类公司证件财务账务文件财务账务文件发票发票用友通财务软件备份数据用友通财务软件备份数据pernod ricardpernod ricard 业务持续服务合同业务持续服务合同天选备份软件维护服务合同天选备份软件维护服务合同vantasiavantasia 业

20、务持续服务合同业务持续服务合同nabnab 业务持续服务合同业务持续服务合同服务器服务器( (运作技术部运作技术部) )精密空调精密空调( (运作技术部运作技术部) )ups(ups(运作技术部运作技术部) )ppdc(ppdc(运作技术部运作技术部) )avaya(avaya(运作技术部运作技术部) )switch(switch(运作技术部运作技术部) )router(router(运作技术部运作技术部) )fire wall(fire wall(运作技术部运作技术部) )dvr(dvr(运作技术部运作技术部) )客户数据（硬盘）客户数据（硬盘）柴油发电机组柴油发电机组应用应用其他其他其他其

21、他其他其他其他其他资产重资产重要程度要程度权重权重高高高高高高高高其其他他说说明明1.1.2.2.3.3.4.4.5.5.6.6.7.7.8.8.9.9.客户合同客户合同高高供应商合供应商合同同高高客户合同客户合同高高客户合同客户合同高高服务器服务器高高10.10.hw-022hw-02211.11.hw-023hw-02312.12.hw-024hw-02413.13.hw-026hw-02614.14.hw-027hw-02715.15.hw-028hw-02816.16.hw-029hw-02917.17.hw-030hw-03018.18.hw-031hw-03119.19.hw-03

22、2hw-032精密空调精密空调高高upsupsppdcppdc高高高高通讯设备通讯设备高高网络设备网络设备高高网络设备网络设备高高网络设备网络设备高高监控设备监控设备高高硬盘硬盘柴油发电柴油发电机机财务软件财务软件单机单机财务软件财务软件单机单机财务软件财务软件单机单机高高高高20.20.f001f001etaxetax 网上报税系统网上报税系统高高21.21.f002f002用友通财务软件用友通财务软件高高22.22.f003f00323.23.a-02-25-03-201106-004a-02-25-03-201106-00424.24.a-02-25-03-201106-005a-02-

23、25-03-201106-00525.25.h0001h0001发票打印软件发票打印软件cowincowin 监控系统监控系统general_pss_v4.01.0.r.091112general_pss_v4.01.0.r.091112梁文略梁文略高高监控系统监控系统高高监控系统监控系统高高高层管理高层管理人员人员高层管理高层管理人员人员高高26.26.s0002s0002杨英杨英高高1027.27.s0001s000128.28.s0006s000629.29.s0003s0003李海宁李海宁赵红赵红张光辉张光辉中层管理中层管理人员人员高高销售人员销售人员高高中层管理中层管理人员人员iti

24、t 服务服务人员人员itit 服务服务人员人员itit 服务服务人员人员其它其它其它其它高高30.30.s0004s0004刘子明刘子明高高31.31.s0005s0005胡捷胡捷高高32.32.s0008s000833.33.s0007s000734.34.s0026s002635.35.server02server0236.36.server03server03张力张力唐海英唐海英刘影刘影网络通信网络通信供电供电高高高高高高中国联通中国联通高高物管物管- - 德德必创意必创意物管物管- - 德德必创意必创意高高37.37.server04server04房屋房屋高高五、威胁识别与分析五、威

25、胁识别与分析对威胁来源（内部/外部；主观/不可抗力等）、威胁方式、发生的可能性，威胁主体的能力水平等进行列表分析。下面是典型的威胁范本：编号威胁123456789101112131415故障废弃服务失效/中断恶意软件抵赖通信监听操作失误未经授权更改未经授权访问，使用或复制盗窃供电故障恶意破坏电子存储媒体故障违背知识产权相关法硬件和设施软件和系统文档和数据人力资源服务被利用传送敏感信息11律、法规1617181920212223242526温度、湿度、灰尘超限静电黑客攻击容量超载密钥泄露、篡改密钥滥用个体伤害（车祸、疾病等）不公正待遇社会工程人为灾难：瘟疫、火灾、爆炸、恐怖袭击等自然灾难：地震、

26、洪水、台风、雷击等服务供应商泄密系统管理员权限滥用27285.15.1 威胁数据采集威胁数据采集5.25.2 威胁描述与分析威胁描述与分析依据威胁赋值表，对资产进行威胁源和威胁行为分析。5.2.15.2.1 威胁源分析威胁源分析填写威胁源分析表 。5.2.25.2.2 威胁行为分析威胁行为分析填写威胁行为分析表 。5.2.35.2.3 威胁能量分析威胁能量分析5.35.3 威胁赋值威胁赋值威胁发生可能性等级对照表威胁发生可能性等级对照表12等级123说 明低中高发生可能性非等级 2 与等级 3 的定义每半年至少发生一次但不及等级3每月至少发生两次说明：判断威胁出现的频率是威胁识别的重要工作，

27、评估者应根据经验和（或）有关的统计数据来进行判断。在风险评估过程中，还需要综合考虑以下三个方面， 以形成在某种评估环境中各种威胁出现的频率：1) 以往安全事件报告中出现过的威胁及其频率的统计；2) 实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计；3) 近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计，以及发布的威胁预警。六、脆弱性识别与分析六、脆弱性识别与分析按照检测对象、检测结果、脆弱性分析检测对象、检测结果、脆弱性分析 分别描述以下各方面的脆弱性检测结果和结果分析。6.16.1 常规脆弱性描述常规脆弱性描述编号1大类环境和基础设施编号1.11.21.31.41.

28、52硬件2.12.22.32.42.52.62.72.82.93软件3.13.23.313小类及说明物理保护的缺乏：建筑物、门、窗等物理访问控制不充分或不仔细电力供应不稳处于易受到威胁的场所，例如洪水、地震缺乏防火、防雷等保护性措施缺乏周期性的设备更新方案易受电压变化影响易受到温度、湿度、灰尘和污垢影响易受到电磁辐射媒体介质缺乏维护或错误安装缺乏有效的配置变更控制缺乏设施安全控制机制不当维护不当处置不清晰、不完整的开发规格说明书没有、或不完备的软件测试复杂的用户界面3.43.53.63.73.83.93.103.113.123.133.143.153.163.173.183.193.203.2

29、13.223.233.243.253.264网络与通信4.14.24.34.44.54.64.74.84.94.104.115文档5.15.25.35.46人员6.16.26.3缺乏标示和授权机制，例如用户授权缺乏审核踪迹众所周知的软件缺陷，易受病毒等攻击密码表未受到保护密码强度太弱访问权限的错误配置未经控制的下载和使用软件离开工作常所未注销（锁屏）缺乏有效的变更控制文档缺乏缺乏备份处置或重用没有正确的擦除内容的存储介质缺乏加解密使用策略缺乏密钥管理缺乏身份鉴别机制缺乏补丁管理机制安装、使用盗版软件缺乏使用监控未经授权复制或传播软件（许可）缺乏（文件）共享安全策略缺乏服务/端口安全策略缺乏病毒

30、库升级管理机制不受控发布公共信息通信线路缺乏保护电缆连接不牢固对发送和接收方缺乏识别与验证明文传输口令发送与接受消息时缺少证据拨号线路未保护的敏感信息传输网络管理不恰当未受保护的公网连接缺乏身份鉴别机制未配置或错误配置访问权限存放缺乏保护不受控访问或复制随意处置缺乏备份机制员工缺编安全训练不完备缺乏安全意识146.46.56.66.77服务与一般应用弱点7.17.27.37.47.5缺乏控制机制缺乏员工关怀/申诉政策不完备的招聘/离职程序道德缺失单点故障服务故障响应不及时负载过高缺乏安全控制机制缺乏应急机制6.36.3 脆弱性综合列表脆弱性综合列表威胁发生可能性等级对照表威胁发生可能性等级对照

31、表等级123说 明低中高发生可能性非等级 2 与等级 3 的定义每半年至少发生一次但不及等级3每月至少发生两次说明：判断威胁出现的频率是威胁识别的重要工作， 评估者应根据经验和（或）有关的统计数据来进行判断。在风险评估过程中，还需要综合考虑以下三个方面， 以形成在某种评估环境中各种威胁出现的频率：1) 以往安全事件报告中出现过的威胁及其频率的统计；2) 实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计；3) 近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计，以及发布的威胁预警。七、风险分析七、风险分析7.17.1 关键资产的风险计算结果关键资产的风险计算结果信息安全风

32、险矩阵计算表信息安全风险矩阵计算表威胁发生可能性低 1影响程度等级中 2高 3低1中2高3低1中2高3低1中2高315资产价值1231232463692464812612183696121891827说明：在完成了资产识别、威胁识别、弱点识别，以及对已有安全措施确认后，将采用适当的方法确定威胁利用弱点导致安全事件发生的可能性， 考虑安全事件一旦发生其所作用的资产的重要性及弱点的严重程度判断安全事件造成的损失对组织的影响， 即安全风险。 风险计算的方式如下，风险值 弱点被利用可能性等级x 威胁利用弱点影响程度等级x 资产价值信息安全风险接受准则信息安全风险接受准则等级a 级b 级c 级划分标准1

33、8 及以上6-121-4说明不可接受的风险，必须采取控制措施有条件接受的风险（需经评估小组评审，判断是否可以接受的风险)不需要评审即可接受的风险7.2.47.2.4 风险结果分析风险结果分析等级a 级b 级c 级数量1818617说明不可接受的风险，必须采取控制措施有条件接受的风险（需经评估小组评审，判断是否可以接受的风险)不需要评审即可接受的风险八、综合分析与评价八、综合分析与评价通过综合的评估，公司现有的风险评估的结果是适宜的、充分的、有效的。九、整改意见九、整改意见1. 加强各部门对风险处理技巧的培训。2. 对 a 级风险公司的处理需对各部门进行公示。3. 对 a 级和 b 级风险采取适

34、当的控制措施，编写入公司的三级文件进行控制。16附件附件 1 1：管理措施表：管理措施表序号序号系统建设管理系统建设管理安全管理机构安全管理机构安全管理制度安全管理制度层面层面/ /方面方面安全控制安全控制/ /措施措施管理制度制定和发布评审和修订岗位设置人员配备授权和审批沟通和合作审核和检查人员录用人员离岗人员安全管理人员安全管理人员考核安全意识教育和培训外部人员访问管理系统定级安全方案设计产品采购自行软件开发落实落实部分落实部分落实没有落实没有落实不适用不适用17序号序号层面层面/ /方面方面安全控制安全控制/ /措施措施外包软件开发工程实施测试验收系统交付系统备案安全服务商选择环境管理资产管理介质管理设备管理监控管理和安全管理中心网络安全管理系统安全管理恶意代码防范管理密码管理变更管理备份与恢复管理安全事件处置应急预案管理落实落实部分落实部分落实没有落实没有落实不适用不适用系统运维管理系统运维管理小计18附件附