計(jì)算機(jī)風(fēng)險(xiǎn)評(píng)估報(bào)告精編版

1、一、風(fēng)險(xiǎn)評(píng)估項(xiàng)目概況名稱完成時(shí)間試運(yùn)行時(shí)間二、風(fēng)險(xiǎn)評(píng)估活動(dòng)概述2.1 風(fēng)險(xiǎn)評(píng)估工作組織管理公司本次風(fēng)險(xiǎn)評(píng)估工作成員：組長(zhǎng)：主任：成員：工作原則：依據(jù)綜合審計(jì)日志和信息安全策略準(zhǔn)則， 在風(fēng)險(xiǎn)評(píng)估過程中把最真實(shí)的數(shù)據(jù)和結(jié)果反映出來， 并及時(shí)調(diào)整信息的安全保密策略， 及時(shí)補(bǔ)充完善技術(shù)與管理措施，使計(jì)算機(jī)保持與等級(jí)要求相一致的安全保護(hù)水平。2.2 風(fēng)險(xiǎn)評(píng)估工作過程此次評(píng)估階段和具體工作內(nèi)容包括第一階段：資產(chǎn)識(shí)別與分析第二階段：威脅識(shí)別與分析第三階段：脆弱性識(shí)別與分析第四階段：綜合分析與評(píng)價(jià)第五階段：整改意見2.3 依據(jù)的技術(shù)標(biāo)準(zhǔn)及相關(guān)法規(guī)文件本次風(fēng)險(xiǎn)評(píng)估依據(jù)公司保密安全策略和綜合審計(jì)報(bào)告等文件三、評(píng)估

2、對(duì)象此次風(fēng)險(xiǎn)評(píng)估對(duì)象包括公司所有計(jì)算機(jī)，其擔(dān)任的主要任務(wù)是信息的產(chǎn)生、1傳輸、與最終流向。四、資產(chǎn)識(shí)別與分析4.1 資產(chǎn)類型與賦值資產(chǎn)類型按照評(píng)估對(duì)象的構(gòu)成， 分類描述評(píng)估對(duì)象的資產(chǎn)構(gòu)成。 詳細(xì)的資產(chǎn)分類與賦值，以附件形式附在評(píng)估報(bào)告后面，見附件 3資產(chǎn)類型與賦值表。資產(chǎn)賦值資產(chǎn)賦值表序號(hào)編號(hào)名稱密級(jí)1計(jì)算機(jī)2計(jì)算機(jī)3計(jì)算機(jī)4中間機(jī)五、威脅識(shí)別與分析種類描述由于設(shè)備硬件故障、系統(tǒng)本身或軟件Bug 導(dǎo)致對(duì)業(yè)務(wù)高效軟硬件故障穩(wěn)定運(yùn)行的影響斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、物理環(huán)境威脅洪災(zāi)、火災(zāi)、地震等環(huán)境問題和自然災(zāi)害由于應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或無意地執(zhí)行了錯(cuò)無作為或操作失

3、誤誤的操作，對(duì)系統(tǒng)造成影響安全管理無法落實(shí)，不到位，造成安全管理不規(guī)范，或者管理不到位管理混亂，從而破壞信息系統(tǒng)正常有序運(yùn)行具有自我復(fù)制、自我傳播能力，對(duì)信息系統(tǒng)構(gòu)成破壞的程惡意代碼和病毒序代碼越權(quán)或?yàn)E用通過采用一些措施，超越自己的權(quán)限訪問了本來無權(quán)訪問2的資源；或者濫用自己的職權(quán)，做出破壞信息系統(tǒng)的行為物理攻擊物理接觸、物理破壞、盜竊泄密泄漏，信息泄漏給他人篡改非法修改信息，破壞信息的完整性抵賴不承認(rèn)收到的信息和所作的操作和交易5.1 威脅數(shù)據(jù)采集種類威脅出現(xiàn)頻率軟硬件故障低物理環(huán)境威脅很低無作為或操作失誤低管理不到位低惡意代碼和病毒低越權(quán)或?yàn)E用低物理攻擊低泄密低篡改低抵賴低5.2 威脅賦值

4、見威脅賦值表。六、脆弱性識(shí)別與分析按照檢測(cè)對(duì)象、檢測(cè)結(jié)果、脆弱性分析分別描述以下各方面的脆弱性檢測(cè)結(jié)果和結(jié)果分析。36.1 常規(guī)脆弱性描述管理脆弱性在計(jì)算機(jī)的管理上采用嚴(yán)格的管理制度和安全策略，脆弱性賦值為低。系統(tǒng)脆弱性計(jì)算機(jī)安裝的是 windows xp sp3 系統(tǒng)，通過對(duì)其穩(wěn)定性測(cè)試和漏洞掃描并及時(shí)安裝漏洞補(bǔ)丁，脆弱性賦值為低。應(yīng)用脆弱性計(jì)算機(jī)的應(yīng)用有嚴(yán)格的身份鑒別和軟件的安全穩(wěn)定性測(cè)試，脆弱性賦值為低。數(shù)據(jù)處理和存儲(chǔ)脆弱性計(jì)算機(jī)的數(shù)據(jù)處理和存儲(chǔ)采用自動(dòng)保存和定期備份機(jī)制，確保完整性，脆弱性賦值為低。運(yùn)行維護(hù)脆弱性計(jì)算機(jī)定期進(jìn)行軟件更新和硬件維護(hù)，脆弱性賦值為低。災(zāi)備與應(yīng)急響應(yīng)脆弱性根據(jù)

5、保密安全策略的應(yīng)急響應(yīng)策略，定期對(duì)應(yīng)急計(jì)劃和響應(yīng)程序進(jìn)行檢查和進(jìn)行必要的演練，確保其始終有效。脆弱性賦值為低。物理脆弱性根據(jù)物理安全策略， 劃分了安全區(qū)域，并進(jìn)行物理訪問控制， 進(jìn)行記錄在案。脆弱性賦值為低。6.2 脆弱性專項(xiàng)檢測(cè)木馬病毒專項(xiàng)檢查根據(jù)殺毒軟件的綜合殺毒日志和殺毒記錄，脆弱性賦值為低。設(shè)備安全性專項(xiàng)測(cè)試根據(jù)計(jì)算機(jī)綜合審計(jì)日志進(jìn)行分析，脆弱性賦值為低。4其他專項(xiàng)檢測(cè)通過安裝電磁輻射干擾儀，脆弱性賦值為低。6.3 脆弱性綜合列表見脆弱性分析賦值表 。七、綜合分析與評(píng)價(jià)根據(jù)上述風(fēng)險(xiǎn)評(píng)估結(jié)果， 評(píng)定公司計(jì)算機(jī)的風(fēng)險(xiǎn)值是很低的，希望公司各涉密人員能夠繼續(xù)保持和遵守安全保密策略和行為準(zhǔn)冊(cè)，嚴(yán)

6、格要求自己。八、整改意見根據(jù)評(píng)估結(jié)果提出以下幾點(diǎn)整改意見：1.加強(qiáng)計(jì)算機(jī)管理使用制度的培訓(xùn)。2.對(duì)安全產(chǎn)品的實(shí)施要做到及時(shí)到位。3.嚴(yán)格按照審批手續(xù)執(zhí)行5附件 1：管理措施表序號(hào)層面 /方面安全管理制度安全管理機(jī)構(gòu)人員安全管理系統(tǒng)建設(shè)管理安全控制 /措施管理制度制定和發(fā)布評(píng)審和修訂崗位設(shè)置人員配備授權(quán)和審批溝通和合作審核和檢查人員錄用人員離崗人員考核安全意識(shí)教育和培訓(xùn)外部人員訪問管理系統(tǒng)定級(jí)安全方案設(shè)計(jì)產(chǎn)品采購自行軟件開發(fā)外包軟件開發(fā)工程實(shí)施落實(shí)部分落實(shí)沒有落實(shí)不適用測(cè)試驗(yàn)收系統(tǒng)交付系統(tǒng)備案安全服務(wù)商選擇6序號(hào)層面 /方面安全控制 /措施落實(shí)部分落實(shí)沒有落實(shí)不適用環(huán)境管理資產(chǎn)管理介質(zhì)管理設(shè)備管

7、理監(jiān)控管理和安全管理中心網(wǎng)絡(luò)安全管理系統(tǒng)運(yùn)維管理系統(tǒng)安全管理惡意代碼防范管理密碼管理變更管理備份與恢復(fù)管理安全事件處置應(yīng)急預(yù)案管理小計(jì)附件 2：技術(shù)措施表序?qū)用?/方面安全控制 /措施落實(shí)部分落實(shí)沒有落實(shí)不適用號(hào)1物理位置的選擇物理訪問控制防盜竊和防破壞防雷擊防火物理安全防水和防潮防靜電溫濕度控制電力供應(yīng)電磁防護(hù)7身份鑒別訪問控制安全審計(jì)主機(jī)安全剩余信息保護(hù)入侵防范惡意代碼防范資源控制身份鑒別訪問控制安全審計(jì)剩余信息保護(hù)應(yīng)用安全通信完整性通信保密性抗抵賴軟件容錯(cuò)資源控制數(shù)據(jù)完整性數(shù)據(jù)安全及備數(shù)據(jù)保密性份與恢復(fù)備份和恢復(fù)8附件 3：威脅賦值表資威脅產(chǎn)編操濫行身口密漏拒惡竊物社意通數(shù)電作用為份令碼

8、洞絕意取理會(huì)外信據(jù)源名號(hào)失授抵假攻分利服代數(shù)破工故中受中稱誤權(quán)賴冒擊析用務(wù)碼據(jù)壞程障斷損斷管越總威理脅災(zāi)權(quán)分不等害使值到級(jí)用位1211111121111211111122很低2211111231111211211125很低3211111121111211311124很低4211111111111211111121很低9附件 4：脆弱性分析賦值表編檢測(cè)項(xiàng)號(hào)管理脆弱1性檢測(cè)系統(tǒng)脆弱3性檢測(cè)數(shù)據(jù)處理5 和存儲(chǔ)脆弱性運(yùn)行維護(hù)6脆弱性災(zāi)備與應(yīng)7 急響應(yīng)脆弱性物理脆弱8性檢測(cè)木馬病毒9檢測(cè)13 其他檢測(cè)檢測(cè)子項(xiàng)脆弱性機(jī)構(gòu)、制度、人員很低安全策略低檢測(cè)與響應(yīng)脆弱性低日常維護(hù)低操作系統(tǒng)脆弱性低數(shù)據(jù)處理低數(shù)據(jù)存儲(chǔ)脆弱性低安全事件管理中數(shù)據(jù)備份中應(yīng)