網(wǎng)絡(luò)安全風(fēng)險評價報告_第1頁
網(wǎng)絡(luò)安全風(fēng)險評價報告_第2頁
網(wǎng)絡(luò)安全風(fēng)險評價報告_第3頁
網(wǎng)絡(luò)安全風(fēng)險評價報告_第4頁
網(wǎng)絡(luò)安全風(fēng)險評價報告_第5頁
免費預(yù)覽已結(jié)束,剩余7頁可下載查看

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、網(wǎng)絡(luò)安全風(fēng)險評估報告XXX有限公司20XX年X月X日目錄一、概述31.1 工作方法31.2 評估依據(jù)31.3 評估范圍31.4 評估方法31.5 基本信息4二、資產(chǎn)分析4.2.1 信息資產(chǎn)識別概述42.2 信息資產(chǎn)識別4三、評估說明5.3.1 無線網(wǎng)絡(luò)安全檢查項目評估53.2 無線網(wǎng)絡(luò)與系統(tǒng)安全評估53.3 ip管理與補丁管理5.3.4 防火墻6四、威脅細類分析64.1 威脅分析概述64.2 威脅分類74.3 威脅主體7五、安全加固與優(yōu)化85.1 加固流程85.2 加固措施對照表9六、評估結(jié)論10一、概述XXX有限公司通過自評估的方式對網(wǎng)絡(luò)安全進行檢查,發(fā)現(xiàn)系統(tǒng)當前面臨的主要安全問題,邊檢查邊

2、整改,確保信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全。1.1 工作方法在本次網(wǎng)絡(luò)安全風(fēng)險評測中將主要采用的評測方法包括:人工評測、工具評測。1.2 評估依據(jù)根據(jù)國務(wù)院信息化工作辦公室關(guān)于對國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)開展安全檢查的通知(信安通200615號)、國家電力監(jiān)管委員會關(guān)于對電力行業(yè)有關(guān)單位重要信息系統(tǒng)開展安全檢查的通知(辦信息200648號)以及公司文件、檢查方案要求,開展XXX有限公司網(wǎng)絡(luò)安全評估。1.3 評估范圍此次系統(tǒng)測評的范圍主要針對該業(yè)務(wù)系統(tǒng)所涉及的服務(wù)器、應(yīng)用、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、終端等資產(chǎn)。主要涉及以下方面:業(yè)務(wù)系統(tǒng)的應(yīng)用環(huán)境;網(wǎng)絡(luò)及其主要基礎(chǔ)設(shè)施,例如路由器、交換機等;安

3、全保護措施和設(shè)備,例如防火墻、IDS等;信息安全管理體系。1.4 評估方法采用自評估方法1.5 基本信息被評估系統(tǒng)名稱業(yè)務(wù)系統(tǒng)負責(zé)人評估工作配合人員、資產(chǎn)分析2.1 信息資產(chǎn)識別概述資產(chǎn)被定義為對組織具有價值的信息或資源,資產(chǎn)識別的目標就是識別出資產(chǎn)的價值,風(fēng)險評估中資產(chǎn)的價值不是以資產(chǎn)的經(jīng)濟價值來衡量,而是由資產(chǎn)在其安全屬性一一機密性、完整性和可用性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。風(fēng)險評估是對本司范圍內(nèi)的重要系統(tǒng)、重要網(wǎng)絡(luò)設(shè)備、重要服務(wù)器及其安全屬性受破壞后的影響進行識別,將一旦停止運行影響面大的系統(tǒng)、關(guān)鍵網(wǎng)絡(luò)節(jié)點設(shè)備和安全設(shè)備、承載敏感數(shù)據(jù)和業(yè)務(wù)的服務(wù)器進行登記

4、匯總。2.2 信息資產(chǎn)識別資產(chǎn)分類資產(chǎn)組IP地址/名稱資產(chǎn)估價等級資產(chǎn)型號具體資產(chǎn)物理資產(chǎn)服務(wù)器網(wǎng)絡(luò)設(shè)備軟件資產(chǎn)操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用軟件三、評估說明3.1 無線網(wǎng)絡(luò)安全檢查項目評估無線網(wǎng)絡(luò)信息安全組織機構(gòu)包括領(lǐng)導(dǎo)機構(gòu)、工作機構(gòu)。崗位要求應(yīng)包括:專職網(wǎng)絡(luò)管理人員、專職應(yīng)用系統(tǒng)管理人員和專職系統(tǒng)管理人員;專責(zé)的工作職責(zé)與工作范圍應(yīng)有制度明確進行界定;崗位實行主、副崗備用制度。病毒管理包括計算機病毒防治管理制度、定期升級的安全策略、病毒預(yù)警和報告機制、病毒掃描策略(1周內(nèi)至少進行一次掃描)。3.2 無線網(wǎng)絡(luò)與系統(tǒng)安全評估無線局域網(wǎng)核心交換設(shè)備、城域網(wǎng)核心路由設(shè)備應(yīng)采取設(shè)備冗余或準備備用設(shè)備,不允許

5、外聯(lián)鏈路繞過防火墻,具有當前準確的網(wǎng)絡(luò)拓撲結(jié)構(gòu)圖。無線網(wǎng)絡(luò)設(shè)備配置有備份,網(wǎng)絡(luò)關(guān)鍵點設(shè)備采用雙電源,關(guān)閉網(wǎng)絡(luò)設(shè)備HTTP、FTP、TFTP等服務(wù),SNMP社區(qū)串、本地用戶口令強健(8字符,數(shù)字、字母混雜)。3.3 ip管理與補丁管理有無線ip地址管理系統(tǒng),無線ip地址管理有規(guī)劃方案和分配策略,無線ip地址分配有記錄。有補丁管理的手段或補丁管理制度,Windows系統(tǒng)主機補丁安裝齊全,有補丁安裝的測試記錄。3.4 防火墻無線網(wǎng)絡(luò)中的防火墻位置部署合理,防火墻規(guī)則配置符合安全要求,防火墻規(guī)則配置的建立、更改有規(guī)范申請、審核、審批流程,對防火墻日志進行存儲、備份。四、威脅細類分析4.1 威脅分析概述

6、4.1.1 外部威脅來自不可控網(wǎng)絡(luò)的外部攻擊,主要指移動的CMNET、其它電信運營商的Internet互聯(lián)網(wǎng),以及第三方的攻擊,其中互聯(lián)網(wǎng)的威脅主要是黑客攻擊、蠕蟲病毒等,而第三方的威脅主要是越權(quán)或濫用、泄密、篡改、惡意代碼或病毒等。4.1.2 內(nèi)部威脅主要來自內(nèi)部人員的惡意攻擊、無作為或操作失誤、越權(quán)或濫用、泄密、篡改等。另外,由于管理不規(guī)范導(dǎo)致各支撐系統(tǒng)之間的終端混用,也帶來病毒泛濫的潛在威脅。對每種威脅發(fā)生的可能性進行分析,最終為其賦一個相對等級值,將根據(jù)經(jīng)驗、有關(guān)的統(tǒng)計數(shù)據(jù)來判斷威脅發(fā)生的頻率或者概率。威脅發(fā)生的可能性受下列因素影響:資產(chǎn)的吸引力;資產(chǎn)轉(zhuǎn)化成報酬的容易程度;威脅的技術(shù)力

7、量等。卜面是威脅標識對應(yīng)表:威脅等級可能帶來的威脅可控性發(fā)生頻度高黑客攻擊、惡意代碼和病毒等完全不可控出現(xiàn)的頻率較局(或A1次/月);或在大多數(shù)情況下很有可能會發(fā)生;或可以證實多次發(fā)生過。中物理攻擊、內(nèi)部人員的操作失一定的可控性出現(xiàn)的頻率中等(或1次/誤、惡意代碼和病毒等半年);或在某種情況下可能會發(fā)生;或被證實曾經(jīng)發(fā)生過。低內(nèi)部人員的操作失誤、惡意代碼和病毒等較大的可控性出現(xiàn)的頻率較??;或一般不太可能發(fā)生;或沒有被證實發(fā)生過。4.2 威脅分類卜面是針對威脅分類對威脅途徑的描述,其中不包括物理威脅:威脅種類威脅途徑操作錯誤合法用戶工作失誤或疏忽的可能性濫用授權(quán)合法用戶利用自己的權(quán)限故意或非故意

8、破壞系統(tǒng)的可能性行為抵賴合法用戶對自己操作行為否認的可能性身份假冒非法用戶冒充合法用戶進行操作的可能性密碼分析非法用戶對系統(tǒng)密碼分析的可能性安全漏洞非法用戶利用系統(tǒng)漏洞侵入系統(tǒng)的可能性拒絕服務(wù)非法用戶利用拒絕服務(wù)手段攻擊系統(tǒng)的可能性惡意代碼病毒、特洛伊木馬、蠕蟲、邏輯炸彈等感染的可能性竊聽數(shù)據(jù)非法用戶通過竊聽等手段盜取重要數(shù)據(jù)的可能性社會工程非法用戶利用社交等手段獲取重要信息的可能性意外故障系統(tǒng)的組件發(fā)生意外故障的可能性通信中斷數(shù)據(jù)通信傳輸過程中發(fā)生意外中斷的可能性4.3 威脅主體卜面對威脅來源從威脅主體的角度進行了威脅等級分析:威脅主體面臨的威脅系統(tǒng)合法用戶(系統(tǒng)管理員和其他授權(quán)用戶)操作錯

9、誤濫用授權(quán)行為抵賴系統(tǒng)非法用戶(權(quán)限較低用戶和外部攻擊者)身份假冒密碼分析安全漏洞拒絕服務(wù)惡意代碼竊聽數(shù)據(jù)社會工程友徐夕目M意外故障系就組件通信中斷簽字驗收5.2加固措施對照表項目可能的影響和方式等級安全加固措施備注資產(chǎn)評估資產(chǎn)信息泄露高合同、協(xié)議、規(guī)章、制度、法律、法規(guī)安全管理評估安全管理信息泄露高合同、協(xié)議、規(guī)章、制度、法律、法規(guī)應(yīng)急安全評估系統(tǒng)切換測試導(dǎo)致部分業(yè)務(wù)中斷、部分數(shù)據(jù)遺失高做好系統(tǒng)備份和恢復(fù)措施;通知相關(guān)業(yè)務(wù)人員在相應(yīng)時間段注意保護數(shù)據(jù),并檢查提交的數(shù)據(jù)是否在測試后完整可選網(wǎng)絡(luò)威脅收集網(wǎng)絡(luò)流里低控制中心與探測引擎直接連接。不占用網(wǎng)絡(luò)流里網(wǎng)絡(luò)/安全設(shè)備評估誤操作引起設(shè)備崩潰或數(shù)據(jù)

10、丟失、損壞高規(guī)范審計流程;嚴格選擇審計人員;用戶進行全程監(jiān)控;制定可能的恢復(fù)計劃。網(wǎng)絡(luò)/安全設(shè)備資源占有低避開業(yè)務(wù)高峰;控制掃描策略(線程數(shù)量、強度)漏洞掃描網(wǎng)絡(luò)流里低避開業(yè)務(wù)高峰;控制掃描策略(線程數(shù)量、強度)主機資源占用低避開業(yè)務(wù)高峰;控制掃描策略(線程數(shù)量、強度)控制臺審計誤操作引起設(shè)備崩潰或數(shù)據(jù)丟失、損壞高規(guī)范審計流程;嚴格選擇審計人員;用戶進行全程監(jiān)控;制定可能的恢復(fù)計劃。網(wǎng)絡(luò)流量和主機資源占用低做好系統(tǒng)備份和恢復(fù)措施應(yīng)用平臺產(chǎn)生非法數(shù)據(jù),只是系統(tǒng)/、能正常工作中做好系統(tǒng)備份和恢復(fù)措施異常輸入(畸形數(shù)據(jù)、極限測試)導(dǎo)致系統(tǒng)崩潰高做好系統(tǒng)備份和恢復(fù)措施六、評估結(jié)論公司依據(jù)國家、地方、行業(yè)相關(guān)安全法規(guī)、規(guī)范及標準,運用安全系統(tǒng)工程的理論及方法,對項目建設(shè)內(nèi)容及安全管理,全面進行了現(xiàn)場查驗、查證及綜合性安全評價,總的來

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論