某公司信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告

中石化石勘院信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告中石化石勘院信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告（版本號(hào)：V1.0）北京子輝恒信科技有限公司2012年11月

文檔信息項(xiàng)目名稱中石化石勘院信息安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目合同編號(hào)FXPG-20121106項(xiàng)目經(jīng)理魏益民項(xiàng)目階段風(fēng)險(xiǎn)評(píng)估處置版本V1.0受控狀態(tài)受控?cái)M制閆曉楠日期2012.11批準(zhǔn)魏益民日期2012.11生效日期2012.11文件版本信息日期版本描述作者2012.11V1.0信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告閆曉楠版權(quán)說明本文件中出現(xiàn)的任何文字?jǐn)⑹?、文檔格式、插圖、照片、方法、過程等內(nèi)容，除另有特別注明，均為保密信息。任何個(gè)人、機(jī)構(gòu)未經(jīng)中石化石勘院書面授權(quán)許可，不得復(fù)制、引用或傳播本文件的任何片斷，無論通過電子形式或非電子形式。

目錄一、前言 51.1背景和目的 51.2評(píng)估范圍 5二、 風(fēng)險(xiǎn)評(píng)估綜述 52.1 風(fēng)險(xiǎn)評(píng)估概念 52.2 風(fēng)險(xiǎn)評(píng)估目的和意義 52.3 風(fēng)險(xiǎn)評(píng)估相關(guān)術(shù)語 62.4 風(fēng)險(xiǎn)評(píng)估依據(jù) 62.5 信息安全風(fēng)險(xiǎn)等級(jí) 7三、 風(fēng)險(xiǎn)評(píng)估概述 73.1 風(fēng)險(xiǎn)評(píng)估過程 73.2 評(píng)估步驟 83.3 風(fēng)險(xiǎn)評(píng)估使用工具 9四、 資產(chǎn)識(shí)別與分析 104.1資產(chǎn)概述 104.1.1資產(chǎn)類型 104.1.2資產(chǎn)賦值 114.2中石化石勘院資產(chǎn)賦值表 13五、 威脅識(shí)別與分析 135.1 威脅概述 135.2 威脅識(shí)別 15六、 脆弱性識(shí)別與分析 156.1 脆弱性分類 156.2 脆弱性賦值 166.3 脆弱性情況總述 16七、 現(xiàn)有安全控制措施有效性分析 177.1 現(xiàn)有安全控制措施識(shí)別內(nèi)容 177.2 現(xiàn)有安全控制措施確認(rèn) 17八、 風(fēng)險(xiǎn)分析 198.1 風(fēng)險(xiǎn)計(jì)算方法 198.2 風(fēng)險(xiǎn)可接受標(biāo)準(zhǔn) 19九、 殘余風(fēng)險(xiǎn)處置 19十、 風(fēng)險(xiǎn)分析結(jié)果及處置方案 2010.1 風(fēng)險(xiǎn)分析結(jié)果匯總 2010.2 主要風(fēng)險(xiǎn)列表及建議 2010.2.1 CRM系統(tǒng) 2010.2.2 業(yè)務(wù)支撐系統(tǒng) 2210.2.3 OA系統(tǒng) 23十一、 總結(jié) 25

一、前言1.1背景和目的中國(guó)石化石油勘探開發(fā)研究院(下稱“中石化石勘院”）作為一個(gè)大型的網(wǎng)絡(luò)系統(tǒng)，隨著業(yè)務(wù)數(shù)量的增多和網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大，系統(tǒng)的安全事件也日益增多，沒有準(zhǔn)確及時(shí)的風(fēng)險(xiǎn)評(píng)估，將無法對(duì)信息安全的狀況做出準(zhǔn)確的判斷。為有力保障中石化石勘院信息系統(tǒng)安全、可靠、有序、高效地運(yùn)行，特進(jìn)行本次信息安全風(fēng)險(xiǎn)評(píng)估工作。本次評(píng)估項(xiàng)目共包括中石化石勘院的CRM系統(tǒng)、業(yè)務(wù)支撐系統(tǒng)和OA系統(tǒng)，本風(fēng)險(xiǎn)評(píng)估報(bào)告，詳細(xì)描述了中石化石勘院相關(guān)系統(tǒng)面臨的安全風(fēng)險(xiǎn)狀況。本次安全風(fēng)險(xiǎn)評(píng)估分析可以幫助中石化石勘院了解相關(guān)系統(tǒng)當(dāng)前信息資產(chǎn)的實(shí)際安全狀況，明確信息資產(chǎn)的價(jià)值、面臨的威脅和風(fēng)險(xiǎn)，以便進(jìn)一步掌握當(dāng)前面臨的安全風(fēng)險(xiǎn)和安全狀況，明晰安全目標(biāo)和現(xiàn)實(shí)狀況之間的距離，并進(jìn)行正確的決策：同時(shí)可以發(fā)現(xiàn)系統(tǒng)中比較迫切的網(wǎng)絡(luò)安全需求，為下階段的需求分析提供客觀準(zhǔn)確的數(shù)據(jù)。1.2評(píng)估范圍本次評(píng)估主要針對(duì)中石化石勘院CRM系統(tǒng)、業(yè)務(wù)支撐系統(tǒng)和OA系統(tǒng)的關(guān)鍵信息資產(chǎn)、網(wǎng)絡(luò)狀況以及相應(yīng)的管理/策略/人員等各個(gè)方面進(jìn)行了安全評(píng)估。信息安全風(fēng)險(xiǎn)評(píng)估內(nèi)容包括資產(chǎn)的識(shí)別與賦值、威脅的識(shí)別與賦值、脆弱性的識(shí)別與賦值、現(xiàn)有安全控制措施的識(shí)別與確認(rèn)，整體風(fēng)險(xiǎn)的評(píng)估，最終形成本報(bào)告。風(fēng)險(xiǎn)評(píng)估綜述風(fēng)險(xiǎn)評(píng)估概念信息安全風(fēng)險(xiǎn)評(píng)估是參照風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)和管理規(guī)范，對(duì)信息系統(tǒng)的資產(chǎn)價(jià)值、潛在威脅、薄弱環(huán)節(jié)、已采取的防護(hù)措施等進(jìn)行分析，從而判斷安全事件發(fā)生的概率以及可能造成的損失，提出風(fēng)險(xiǎn)管理措施的過程。風(fēng)險(xiǎn)評(píng)估目的和意義信息安全風(fēng)險(xiǎn)評(píng)估是信息安全保障體系建立過程中的重要的評(píng)價(jià)方法和決策機(jī)制，沒有準(zhǔn)確及時(shí)的風(fēng)險(xiǎn)評(píng)估，將無法對(duì)其信息安全的狀況做出準(zhǔn)確的判斷。為有力保障中石化石勘院信息系統(tǒng)安全、可靠、有序、高效地運(yùn)行，特進(jìn)行本次信息安全風(fēng)險(xiǎn)評(píng)估工作。風(fēng)險(xiǎn)評(píng)估相關(guān)術(shù)語信息安全風(fēng)險(xiǎn)評(píng)估informationsecurityriskassessment依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)的過程。它要評(píng)估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來判斷安全事件一旦發(fā)生對(duì)組織造成的影響。信息系統(tǒng)informationsystem由計(jì)算機(jī)及其相關(guān)的和配套的設(shè)備、設(shè)施(含網(wǎng)絡(luò))構(gòu)成的，按照一定的應(yīng)用目標(biāo)和規(guī)則對(duì)信息進(jìn)行采集、加工、存儲(chǔ)、傳輸、檢索等處理的人機(jī)系統(tǒng)。典型的信息系統(tǒng)由三部分組成：硬件系統(tǒng)（計(jì)算機(jī)硬件系統(tǒng)和網(wǎng)絡(luò)硬件系統(tǒng)）；系統(tǒng)軟件（計(jì)算機(jī)系統(tǒng)軟件和網(wǎng)絡(luò)系統(tǒng)軟件）；應(yīng)用軟件（包括由其處理、存儲(chǔ)的信息）。信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)提供者informationsecurityriskassessmentSeriviceProvlder具備一定的風(fēng)險(xiǎn)評(píng)估能力，按照合同或協(xié)議，為信息系統(tǒng)所有者提供信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)的組織。資產(chǎn)asset對(duì)組織具有價(jià)值的信息或資源，是安全策略保護(hù)的對(duì)象。威脅threat可能導(dǎo)致對(duì)系統(tǒng)或組織危害的不希望事故潛在起因。脆弱性vulnerability可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié)。殘余風(fēng)險(xiǎn)residualrisk采取了安全措施后，信息系統(tǒng)仍然可能存在的風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估依據(jù)主要依據(jù)：《信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南》（國(guó)家標(biāo)準(zhǔn)報(bào)批稿）《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)）《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007）《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》（中辦發(fā)[2003]27號(hào)）1994年國(guó)務(wù)院頒布的《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》單位依據(jù)：《中石化石勘院信息安全管理要求》《中石化石勘院信息系統(tǒng)安全管理制度》信息安全風(fēng)險(xiǎn)等級(jí)根據(jù)《信息網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南》，由風(fēng)險(xiǎn)后果等級(jí)和風(fēng)險(xiǎn)概率矩陣將風(fēng)險(xiǎn)劃分為5個(gè)等級(jí)。等級(jí)越大，風(fēng)險(xiǎn)越高。如下表所示：風(fēng)險(xiǎn)等級(jí)的劃分風(fēng)險(xiǎn)后果等級(jí)風(fēng)險(xiǎn)概率很低低中等高災(zāi)難性必然發(fā)生中等高極高極高極高非?？赡苤械雀吒邩O高極高有可能低中等高高極高不太可能低低中等高極高不可能低低低中等高風(fēng)險(xiǎn)評(píng)估概述風(fēng)險(xiǎn)評(píng)估過程信息安全風(fēng)險(xiǎn)評(píng)估可分為評(píng)估準(zhǔn)備、風(fēng)險(xiǎn)識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)處置四個(gè)關(guān)鍵階段。風(fēng)險(xiǎn)評(píng)估實(shí)施流程如下圖所示：

風(fēng)險(xiǎn)評(píng)估實(shí)施流程評(píng)估步驟風(fēng)險(xiǎn)評(píng)估步驟風(fēng)險(xiǎn)評(píng)估項(xiàng)目描述備注1、信息安全風(fēng)險(xiǎn)評(píng)估知識(shí)培訓(xùn)網(wǎng)絡(luò)信息安全典型案例培訓(xùn)目的是為了讓中石化石勘院項(xiàng)目組成員對(duì)網(wǎng)絡(luò)安全有個(gè)清晰的認(rèn)識(shí)，從而在評(píng)估前就引起其重視，方便后面工作的開展。網(wǎng)絡(luò)安全評(píng)估流程培訓(xùn)目的是為了讓中石化石勘院相關(guān)人員能了解我們的工作流程，配合我們的工作。2、資產(chǎn)識(shí)別收集信息完成《資產(chǎn)信息登記表》訪談、問卷調(diào)查3、威脅識(shí)別對(duì)物理安全進(jìn)行評(píng)估參照《物理安全規(guī)范表》訪談、查看相關(guān)文檔實(shí)地考察對(duì)人員安全管理進(jìn)行評(píng)估參照《人員安全管理規(guī)范表》訪談人事部門相關(guān)人員4、脆弱性識(shí)別（完成網(wǎng)絡(luò)安全、應(yīng)用安全、主機(jī)安全規(guī)范表）整體網(wǎng)絡(luò)安全信息Xscan-gui進(jìn)行全網(wǎng)安全掃描，獲得全網(wǎng)的安全統(tǒng)計(jì)使用網(wǎng)絡(luò)版殺毒軟件對(duì)全網(wǎng)絡(luò)的操作系統(tǒng)漏洞情況進(jìn)行掃描統(tǒng)計(jì)使用工具共享資源掃描整個(gè)網(wǎng)絡(luò)，同時(shí)演示暴露在內(nèi)網(wǎng)中的敏感信息應(yīng)用服務(wù)Nessus對(duì)服務(wù)器系統(tǒng)進(jìn)行安全掃描使用自動(dòng)化評(píng)估腳本對(duì)服務(wù)器安全信息進(jìn)行收集根據(jù)checklist對(duì)服務(wù)器進(jìn)行本地安全檢查使用密碼強(qiáng)度測(cè)試工具請(qǐng)求客戶網(wǎng)管進(jìn)行密碼強(qiáng)度測(cè)試網(wǎng)絡(luò)設(shè)備Nessus對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行安全掃描使用密碼強(qiáng)度測(cè)試工具請(qǐng)求客戶網(wǎng)管進(jìn)行密碼強(qiáng)度測(cè)試根據(jù)checklist對(duì)網(wǎng)絡(luò)設(shè)備進(jìn)行本地安全檢查5、安全管理評(píng)估網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析分析冗余、負(fù)載均衡功能數(shù)據(jù)安全調(diào)查《數(shù)據(jù)安全規(guī)范表》管理機(jī)構(gòu)評(píng)估《安全管理機(jī)構(gòu)規(guī)范表》訪談相關(guān)領(lǐng)導(dǎo)安全管理制度《安全管理制度規(guī)范表》文件審核問卷調(diào)查系統(tǒng)建設(shè)管理《系統(tǒng)建設(shè)管理規(guī)范表》訪談網(wǎng)絡(luò)管理員文件審核系統(tǒng)運(yùn)維管理《系統(tǒng)運(yùn)維管理規(guī)范表》訪談部門領(lǐng)導(dǎo)、網(wǎng)管實(shí)地考察6、滲透測(cè)試滲透測(cè)試參考有關(guān)滲透測(cè)試方案簽署有關(guān)授權(quán)協(xié)議滲透測(cè)試報(bào)告《中石化石勘院系統(tǒng)滲透測(cè)試報(bào)告》7、數(shù)據(jù)整理、風(fēng)險(xiǎn)評(píng)估報(bào)告以及加固建議資產(chǎn)風(fēng)險(xiǎn)《風(fēng)險(xiǎn)評(píng)估報(bào)告》信息系統(tǒng)安全《風(fēng)險(xiǎn)評(píng)估報(bào)告》領(lǐng)導(dǎo)參閱版和技術(shù)人員參閱版整改建議《風(fēng)險(xiǎn)整改建議》根據(jù)checklis進(jìn)行加固風(fēng)險(xiǎn)評(píng)估使用工具序號(hào)名稱功能描述版本用途1數(shù)據(jù)庫安全掃描系統(tǒng)可掃描Qracle、SqlServer、SybaseV2.0數(shù)據(jù)庫漏洞掃描2ISS網(wǎng)絡(luò)掃描器可掃描各類操作系統(tǒng)和應(yīng)用系統(tǒng)V1.0網(wǎng)絡(luò)、主機(jī)漏洞掃描3天鏡脆弱性掃描系統(tǒng)可掃描各類操作系統(tǒng)和應(yīng)用系統(tǒng)V6.0網(wǎng)絡(luò)、主機(jī)漏洞掃描4極光遠(yuǎn)程安全評(píng)估系統(tǒng)可掃描各類操作系統(tǒng)和應(yīng)用系統(tǒng)V5.0網(wǎng)絡(luò)、主機(jī)漏洞掃描5網(wǎng)絡(luò)綜合協(xié)議分析儀OptiView網(wǎng)絡(luò)透視與協(xié)議分析，網(wǎng)絡(luò)性能測(cè)評(píng)V1.110網(wǎng)絡(luò)流量監(jiān)控6網(wǎng)絡(luò)系統(tǒng)管理,HPOpenView自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)拓?fù)鋱D、網(wǎng)絡(luò)性能與故障管理V2.0繪制網(wǎng)絡(luò)拓?fù)鋱D資產(chǎn)識(shí)別與分析在資產(chǎn)識(shí)別過程中，通過資料收集、問卷調(diào)查、訪談的方式現(xiàn)場(chǎng)確認(rèn)和收集了中石化石勘院相關(guān)系統(tǒng)的所有網(wǎng)絡(luò)及服務(wù)器資產(chǎn)信息。4.1資產(chǎn)概述4.1.1資產(chǎn)類型資產(chǎn)是使用單位直接賦予了價(jià)值因而需要保護(hù)的東西，它可能是以多種形式存在，有無形的、有有形的，有硬件、有軟件，有文檔、代碼，也有服務(wù)、企業(yè)形象等。每一類資產(chǎn)存在的弱點(diǎn)、面臨的威脅、需要進(jìn)行的保護(hù)和安全控制都各不相同。機(jī)密性、完整性和可用性是評(píng)價(jià)信息資產(chǎn)的三個(gè)安全屬性。風(fēng)險(xiǎn)評(píng)估中資產(chǎn)的價(jià)值不僅僅以資產(chǎn)的經(jīng)濟(jì)價(jià)值來衡量，而且由資產(chǎn)在這三個(gè)安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時(shí)所造成的影響程度來決定。安全屬性達(dá)成程度的不同將使資產(chǎn)具有不同的價(jià)值，而資產(chǎn)面臨的威脅、存在的脆弱性以及已采用的安全措施都將對(duì)資產(chǎn)安全屬性的達(dá)成程度產(chǎn)生影響。為此，有必要對(duì)組織中的資產(chǎn)進(jìn)行識(shí)別。對(duì)信息系統(tǒng)及相關(guān)的資產(chǎn)恰當(dāng)?shù)姆诸悾沁M(jìn)行風(fēng)險(xiǎn)評(píng)估下一步工作的基礎(chǔ)。依據(jù)資產(chǎn)的屬性，分為如下類型：類別示例數(shù)據(jù)保存在信息媒介上的各種數(shù)據(jù)資料，包括源代碼、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、運(yùn)行管理規(guī)程、計(jì)劃、報(bào)告、用戶手冊(cè)等軟件系統(tǒng)軟件：操作系統(tǒng)、語句包、工具軟件、各種庫等應(yīng)用軟件：外部購買的應(yīng)用軟件，外包開發(fā)的應(yīng)用軟件等源程序：各種共享源代碼、自行或合作開發(fā)的各種代碼等硬件網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機(jī)等計(jì)算機(jī)設(shè)備：大型機(jī)、小型機(jī)、服務(wù)器、工作站、臺(tái)式計(jì)算機(jī)、移動(dòng)計(jì)算機(jī)等存儲(chǔ)設(shè)備：磁帶機(jī)、磁盤陣列、磁帶、光盤、軟盤、移動(dòng)硬盤等傳輸線路：光纖、雙絞線等保障設(shè)備：動(dòng)力保障設(shè)備（UPS、變電設(shè)備等）、空調(diào)、保險(xiǎn)柜、文件柜、門禁、消防設(shè)施等安全保障設(shè)備：防火墻、防病毒網(wǎng)關(guān)、入侵檢測(cè)系統(tǒng)、身份驗(yàn)證等其他：打印機(jī)、復(fù)印機(jī)、掃描儀、傳真機(jī)等服務(wù)辦公服務(wù)：為提高效率而開發(fā)的管理信息系統(tǒng)（MIS），包括各種內(nèi)部配置管理、文件流轉(zhuǎn)管理等服務(wù)網(wǎng)絡(luò)服務(wù)：各種網(wǎng)絡(luò)設(shè)備、設(shè)施提供的網(wǎng)絡(luò)連接服務(wù)信息服務(wù)：對(duì)外依賴該系統(tǒng)開展的各類服務(wù)文檔紙質(zhì)的各種文件，如傳真、電報(bào)、財(cái)務(wù)報(bào)告、發(fā)展計(jì)劃等人員掌握重要信息和核心業(yè)務(wù)的人員，如主機(jī)維護(hù)主管、網(wǎng)絡(luò)維護(hù)主管及應(yīng)用項(xiàng)目經(jīng)理等其它企業(yè)形象，客戶關(guān)系等4.1.2資產(chǎn)賦值資產(chǎn)估價(jià)的過程也就是對(duì)資產(chǎn)保密性、完整性和可用性的影響進(jìn)行分析的過程。資產(chǎn)安全屬性的不同通常也意味著安全控制、保護(hù)功能需求的不同。通過考察資產(chǎn)的保密性、完整性和可用性，并對(duì)其進(jìn)行賦值，從而反映出資產(chǎn)的價(jià)值。資產(chǎn)的最終賦值由子輝恒信和中石化石勘院共同確定。保密性賦值根據(jù)資產(chǎn)在保密性上的不同要求，將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在機(jī)密性上達(dá)成的不同程度或者機(jī)密性缺失時(shí)對(duì)整個(gè)組織的影響。資產(chǎn)機(jī)密性賦值表賦值標(biāo)識(shí)定義5很高包含組織最重要的秘密，關(guān)系未來發(fā)展的前途命運(yùn)，對(duì)組織根本利益有著決定性的影響，如果泄露會(huì)造成災(zāi)難性的損害4高包含組織的重要秘密，其泄露會(huì)使組織的安全和利益遭受嚴(yán)重?fù)p害3中等組織的一般性秘密，其泄露會(huì)使組織的安全和利益受到損害2低僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息，向外擴(kuò)散有可能對(duì)組織的利益造成輕微損害1很低可對(duì)社會(huì)公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等完整性賦值根據(jù)資產(chǎn)在完整性上的不同要求，將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在完整性上缺失時(shí)對(duì)整個(gè)組織的影響。資產(chǎn)完整性賦值表賦值標(biāo)識(shí)定義5很高完整性價(jià)值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大的或無法接受的影響，對(duì)業(yè)務(wù)沖擊重大，并可能造成嚴(yán)重的業(yè)務(wù)中斷，難以彌補(bǔ)。4高完整性價(jià)值較高，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大影響，對(duì)業(yè)務(wù)沖擊嚴(yán)重，較難彌補(bǔ)。3中等完整性價(jià)值中等，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成影響，對(duì)業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)。2低完整性價(jià)值較低，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成輕微影響，對(duì)業(yè)務(wù)沖擊輕微，容易彌補(bǔ)。1很低完整性價(jià)值非常低，未經(jīng)授權(quán)的修改或破壞對(duì)組織造成的影響可以忽略，對(duì)業(yè)務(wù)沖擊可以忽略?？捎眯再x值根據(jù)資產(chǎn)在可用性上的不同要求，將其分為五個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在可用性上應(yīng)達(dá)成的不同程度。資產(chǎn)可用性賦值表賦值標(biāo)識(shí)定義5很高可用性價(jià)值非常高，合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到年度99.9%以上，或系統(tǒng)不允許中斷。4高可用性價(jià)值較高，合法使用者對(duì)信息及信息系統(tǒng)的可用度達(dá)到每天90%以上，或系統(tǒng)允許中斷時(shí)間小于10分鐘。3中等可用性價(jià)值中等，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到70%以上，或系統(tǒng)允許中斷時(shí)間小于30分鐘。2低可用性價(jià)值較低，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間達(dá)到25%以上，或系統(tǒng)允許中斷時(shí)間小于60分鐘。1很低可用性價(jià)值可以忽略，合法使用者對(duì)信息及信息系統(tǒng)的可用度在正常工作時(shí)間低于25%。資產(chǎn)重要性等級(jí)依據(jù)保密性、完整性和可用性上的賦值等級(jí)，可以評(píng)定出資產(chǎn)重要性的等級(jí)。根據(jù)最終賦值將資產(chǎn)劃分為五級(jí)，級(jí)別越高表示資產(chǎn)越重要，確定重要資產(chǎn)的范圍，并主要圍繞重要資產(chǎn)進(jìn)行下一步的風(fēng)險(xiǎn)評(píng)估。資產(chǎn)等級(jí)及含義描述等級(jí)標(biāo)識(shí)描述5很高非常重要，其安全屬性破壞后可能對(duì)組織造成非常嚴(yán)重的損失。4高重要，其安全屬性破壞后可能對(duì)組織造成比較嚴(yán)重的損失。3中比較重要，其安全屬性破壞后可能對(duì)組織造成中等程度的損失。2低不太重要，其安全屬性破壞后可能對(duì)組織造成較低的損失。1很低不重要，其安全屬性破壞后對(duì)組織造成導(dǎo)很小的損失，甚至忽略不計(jì)。4.2中石化石勘院資產(chǎn)賦值表本次評(píng)估的系統(tǒng)包括CRM系統(tǒng)、業(yè)務(wù)支撐系統(tǒng)、OA系統(tǒng)。從資產(chǎn)的角度來看，本次參與評(píng)估的設(shè)備包括交換機(jī)、路由器、應(yīng)用服務(wù)器、PC等九大類，賦值情況如下：資產(chǎn)賦值表資產(chǎn)編號(hào)資產(chǎn)類型保密性完整性可用性資產(chǎn)值A(chǔ)-01交換機(jī)1111A-02路由器3333A-03防火墻3333A-04防病毒網(wǎng)關(guān)3333A-05上網(wǎng)行為管理3333A-06數(shù)據(jù)服務(wù)器4444A-07應(yīng)用服務(wù)器2554A-08PC2222A-其它其它2222資產(chǎn)值=保密性值*完整性值*可用性值/3中石化石勘院信息資產(chǎn)識(shí)別的詳細(xì)結(jié)果，見《中石化石勘院風(fēng)險(xiǎn)評(píng)估資產(chǎn)清單》。威脅識(shí)別與分析威脅概述安全威脅是一種對(duì)機(jī)構(gòu)及其資產(chǎn)構(gòu)成潛在破壞的可能性因素或者事件。無論對(duì)于多么安全的信息系統(tǒng)，安全威脅是一個(gè)客觀存在的事物，它是風(fēng)險(xiǎn)評(píng)估的重要因素之一。威脅與脆弱性不相同，脆弱性是信息系統(tǒng)自身存在的安全問題，而威脅是通過各種手段，利用信息系統(tǒng)自身脆弱性，對(duì)信息系統(tǒng)產(chǎn)生影響。脆弱性在信息系統(tǒng)中是固定的，而威脅在信息系統(tǒng)中會(huì)根據(jù)網(wǎng)絡(luò)環(huán)境不同、用戶來源不同、用戶使用習(xí)慣不同、管理制度執(zhí)行情況不同而發(fā)生變化。威脅分析的目的就是需要找出這個(gè)可變的因素，分析識(shí)別出這些可變因素可能造成的影響，控制和管理這些動(dòng)態(tài)的因素，最終降低信息系統(tǒng)存在的風(fēng)險(xiǎn)。對(duì)安全威脅進(jìn)行分類的方式有多種多樣，參照國(guó)際通行做法和子輝恒信專家經(jīng)驗(yàn)，本項(xiàng)目中我們將采用下述的安全威脅列表。種類描述威脅子類軟硬件故障由于設(shè)備硬件故障、通訊鏈路中斷、系統(tǒng)本身或軟件缺陷造成對(duì)業(yè)務(wù)實(shí)施、系統(tǒng)穩(wěn)定運(yùn)行的影響。設(shè)備硬件故障、傳輸設(shè)備故障、存儲(chǔ)媒體故障、系統(tǒng)軟件故障、應(yīng)用軟件故障、數(shù)據(jù)庫軟件故障、開發(fā)環(huán)境故障。物理環(huán)境影響斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震等環(huán)境問題或自然災(zāi)害。無作為或操作失誤由于應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或無意地執(zhí)行了錯(cuò)誤的操作，對(duì)系統(tǒng)造成的影響。維護(hù)錯(cuò)誤、操作失誤管理不到位安全管理無法落實(shí)，不到位，造成安全管理不規(guī)范，或者管理混亂，從而破壞信息系統(tǒng)正常有序運(yùn)行。惡意代碼和病毒具有自我復(fù)制、自我傳播能力，對(duì)信息系統(tǒng)構(gòu)成破壞的程序代碼。惡意代碼、木馬后門、網(wǎng)絡(luò)病毒、間諜軟件、竊聽軟件越權(quán)或?yàn)E用通過采用一些措施，超越自己的權(quán)限訪問了本來無權(quán)訪問的資源，或者濫用自己的職權(quán)，做出破壞信息系統(tǒng)的行為。未授權(quán)訪問網(wǎng)絡(luò)資源、未授權(quán)訪問系統(tǒng)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)、濫用權(quán)限泄露秘密信息網(wǎng)絡(luò)攻擊利用工具和技術(shù)，如偵察、密碼破譯、安裝后門、嗅探、偽造和欺騙、拒絕服務(wù)等手段，對(duì)信息系統(tǒng)進(jìn)行攻擊和入侵。網(wǎng)絡(luò)探測(cè)和信息采集、漏洞探測(cè)、嗅探（賬戶、口令、權(quán)限等）、用戶身份偽造和欺騙、用戶或業(yè)務(wù)數(shù)據(jù)的竊取和破壞、系統(tǒng)運(yùn)行的控制和破壞物理攻擊通過物理的接觸造成對(duì)軟件、硬件、數(shù)據(jù)的破壞。物理接觸、物理破壞、盜竊泄密信息泄露給不應(yīng)了解的他人。內(nèi)部信息泄露、外部信息泄露篡改非法修改信息，破壞信息的完整性使系統(tǒng)的安全性降低或信息不可用。篡改網(wǎng)絡(luò)配置信息、篡改系統(tǒng)配置信息、篡改安全配置信息、篡改用戶身份信息或業(yè)務(wù)數(shù)據(jù)信息抵賴不承認(rèn)收到的信息和所作的操作和交易。原發(fā)抵賴、接收抵賴、第三方抵賴威脅嚴(yán)重程度由威脅發(fā)生可能性與破壞程度兩方面因素綜合確定，其量化值見下表：等級(jí)標(biāo)識(shí)定義5很高出現(xiàn)的頻率很高（或≥1次/周）；或在大多數(shù)情況下幾乎不可避免；或可以證實(shí)經(jīng)常發(fā)生過。4高出現(xiàn)的頻率較高（或≥1次/月）；或在大多數(shù)情況下很有可能會(huì)發(fā)生；或可以證實(shí)多次發(fā)生過。3中出現(xiàn)的頻率中等（或>1次/半年）；或在某種情況下可能會(huì)發(fā)生；或被證實(shí)曾經(jīng)發(fā)生過。2低出現(xiàn)的頻率較?。换蛞话悴惶赡馨l(fā)生；或沒有被證實(shí)發(fā)生過。1很低威脅幾乎不可能發(fā)生，僅可能在非常罕見和例外的情況下發(fā)生。威脅識(shí)別具體識(shí)別出的威脅，請(qǐng)參考本文檔的第八部分。脆弱性識(shí)別與分析脆弱性也稱為弱點(diǎn)，它和資產(chǎn)緊密相連，脆弱性只是一種客觀存在的條件或環(huán)境，本身不會(huì)造成損失，但是當(dāng)它被威脅利用時(shí)會(huì)造成資產(chǎn)損失或者損毀。對(duì)脆弱性進(jìn)行評(píng)估，是安全風(fēng)險(xiǎn)評(píng)估中重要的內(nèi)容，通過脆弱性評(píng)估能夠幫助使用者掌握信息系統(tǒng)的脆弱性，為控制信息系統(tǒng)自身的脆弱性提供依據(jù)，在很大程度的減少了信息系統(tǒng)安全事件的發(fā)生。脆弱性評(píng)估，在技術(shù)方面主要是通過系統(tǒng)掃描、對(duì)網(wǎng)絡(luò)設(shè)備和主機(jī)等進(jìn)行人工抽查，以保證技術(shù)脆弱性評(píng)估的全面性和有效性；管理脆弱性評(píng)估方面按照ISO27002：2005等標(biāo)準(zhǔn)的安全管理要求對(duì)現(xiàn)有的安全管理制度及其執(zhí)行情況進(jìn)行檢查，發(fā)現(xiàn)其中的管理漏洞和不足。脆弱性分類脆弱性分類類型識(shí)別對(duì)象識(shí)別內(nèi)容技術(shù)脆弱性網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、邊界保護(hù)、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識(shí)別系統(tǒng)軟件從補(bǔ)丁安裝、物理保護(hù)、用戶帳號(hào)、口令策略、資源共享、事件審計(jì)、訪問控制、新系統(tǒng)配置、注冊(cè)表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)行識(shí)別應(yīng)用中間件從協(xié)議安全、交易完整性、數(shù)據(jù)的完整性、可用性和保密性等方面進(jìn)行識(shí)別應(yīng)用系統(tǒng)從審計(jì)機(jī)制、審計(jì)存儲(chǔ)、訪問控制策略、數(shù)據(jù)的完整性、可用性和保密性、通信、鑒別機(jī)制、密碼保護(hù)等方面進(jìn)行識(shí)別管理脆弱性技術(shù)管理從物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、應(yīng)用服務(wù)等方面進(jìn)行識(shí)別組織管理安全策略、組織機(jī)構(gòu)、規(guī)章制度、人員管理等方面進(jìn)行識(shí)別信息內(nèi)容管理從待發(fā)布信息的審核機(jī)制、已發(fā)布信息的巡查處置等識(shí)別脆弱性賦值參照國(guó)際通行做法和子輝恒信專家經(jīng)驗(yàn)，將資產(chǎn)存在的弱點(diǎn)分為5個(gè)等級(jí)，分別是很低、低、中等、很高、高，并且從低到高分別賦值1到5。脆弱性賦值脆弱性等級(jí)描述脆弱性賦值很低保護(hù)對(duì)象弱點(diǎn)很不明顯，對(duì)威脅吸引力很小1低保護(hù)對(duì)象弱點(diǎn)不明顯，對(duì)威脅吸引力小2中等保護(hù)對(duì)象弱點(diǎn)比較明顯，對(duì)威脅吸引力較小3高保護(hù)對(duì)象弱點(diǎn)明顯，對(duì)威脅吸引力大4很高保護(hù)對(duì)象弱點(diǎn)非常明顯，對(duì)威脅吸引力非常大5脆弱性情況總述本次被評(píng)估的資產(chǎn)發(fā)現(xiàn)的脆弱性數(shù)量較多，在這種分布中，中風(fēng)險(xiǎn)和低風(fēng)險(xiǎn)脆弱性數(shù)量居多，高風(fēng)險(xiǎn)脆弱性數(shù)量相對(duì)很少，呈現(xiàn)典型的金字塔形狀。具體數(shù)量請(qǐng)參見下圖和下表：脆弱性嚴(yán)重程度脆弱性分布數(shù)量高338中562低896這種脆弱性數(shù)量分布情況說明了中石化石勘院當(dāng)前安全脆弱性具有以下的特征：中石化石勘院已經(jīng)采取了一些有效的手段和技術(shù)措施，消除了部分高、中級(jí)別安全脆弱性；大多數(shù)的安全脆弱性屬于低安全級(jí)別脆弱性，因此不會(huì)在短期內(nèi)對(duì)當(dāng)前的系統(tǒng)構(gòu)成嚴(yán)重的安全威脅；目前網(wǎng)絡(luò)中仍有相當(dāng)數(shù)量的高等級(jí)安全風(fēng)險(xiǎn)沒有被消除，這說明目前對(duì)信息系統(tǒng)的安全脆弱性發(fā)掘和處理仍舊存在不全面和不徹底的方面，對(duì)高風(fēng)險(xiǎn)的安全脆弱性，缺少發(fā)掘和處理的手段；現(xiàn)有安全控制措施有效性分析在識(shí)別資產(chǎn)脆弱性的同時(shí)，還應(yīng)當(dāng)識(shí)別并詳細(xì)分析已有或已規(guī)劃的安全措施，并評(píng)價(jià)這些安全措施針的有效性。本次評(píng)估針對(duì)安全控制措施有效性，從技術(shù)措施和系統(tǒng)統(tǒng)現(xiàn)有管理制度兩方面進(jìn)行分析?，F(xiàn)有安全控制措施識(shí)別內(nèi)容技術(shù)措施方面：識(shí)別已采取的技術(shù)安全控制措施，并對(duì)控制措施有效性進(jìn)行核查。將有效的安全控制措施繼續(xù)保持，并進(jìn)行優(yōu)化，以避免不必要的工作和費(fèi)用，防止控制措施的重復(fù)實(shí)施。對(duì)于那些確認(rèn)為不適當(dāng)?shù)目刂茟?yīng)取消，或者用更合適的控制代替。核查內(nèi)容包括：防火墻、IDS、交換機(jī)等網(wǎng)絡(luò)設(shè)備的安全配置檢查操作系統(tǒng)、數(shù)據(jù)庫安全功能檢查；應(yīng)用軟件安全功能驗(yàn)證等系統(tǒng)現(xiàn)有管理制度方面包括兩部分的分析：安全產(chǎn)品統(tǒng)一管理分析，避免安全盲區(qū)的產(chǎn)生；安全管理制度規(guī)范和安全意識(shí)的分析。風(fēng)險(xiǎn)評(píng)估小組應(yīng)對(duì)已采取的控制措施進(jìn)行識(shí)別并對(duì)控制措施的有效性進(jìn)行確認(rèn)，將有效的安全控制措施繼續(xù)保持，以避免不必要的工作和費(fèi)用，防止控制措施的重復(fù)實(shí)施。對(duì)于那些確認(rèn)為不適當(dāng)?shù)目刂茟?yīng)核查是否應(yīng)被取消，或者用更合適的控制代替。安全措施分類包含的內(nèi)容管理性對(duì)系統(tǒng)的開發(fā)、維護(hù)和使用實(shí)施管理的措施，包括安全策略、程序管理、風(fēng)險(xiǎn)管理、安全保障、系統(tǒng)生命周期管理等。操作性用來保護(hù)系統(tǒng)和應(yīng)用操作的流程和機(jī)制，包括人員職責(zé)、應(yīng)急響應(yīng)、事件處理、意識(shí)培訓(xùn)、系統(tǒng)支持和操作、物理和環(huán)境安全等。技術(shù)性身份識(shí)別與認(rèn)證、邏輯訪問控制、日志審計(jì)、加密等?，F(xiàn)有安全控制措施確認(rèn)已有安全措施確認(rèn)管理措施類型已有安全措施名稱詳細(xì)說明有效性分析管理措施總體結(jié)構(gòu)網(wǎng)絡(luò)系統(tǒng)網(wǎng)絡(luò)總體設(shè)計(jì)合理，結(jié)構(gòu)清晰對(duì)將來的網(wǎng)絡(luò)安全解決方案的設(shè)計(jì)和實(shí)施提供了較好的基礎(chǔ)，但在安全方面還存在諸多不安全因素物理、環(huán)境安全中石化石勘院網(wǎng)絡(luò)在物理和環(huán)境安全、安全組織、系統(tǒng)訪問控制和系統(tǒng)開發(fā)與維護(hù)方面很好安全策略、資產(chǎn)分類和控制方面一般建立相關(guān)管理制度在管理制度方面做了很多的工作但部分相關(guān)制度和策略不夠完善，需要參照國(guó)際公認(rèn)的安全標(biāo)準(zhǔn)將安全管理系統(tǒng)化、整體化，從而完善管理手段、提高管理效果。相關(guān)管理部門已成立相關(guān)管理部門有專門的部門針對(duì)于設(shè)備硬件和軟件系統(tǒng)進(jìn)行管理，還需要加強(qiáng)溝通協(xié)作。技術(shù)措施網(wǎng)絡(luò)風(fēng)險(xiǎn)措施1、系統(tǒng)補(bǔ)丁已有專業(yè)部門更新；2、已設(shè)置系統(tǒng)登錄口令3、已設(shè)置訪問控制權(quán)限4、有相關(guān)的日志服務(wù)器管理1、系統(tǒng)補(bǔ)丁的修復(fù)較不及時(shí)，建議由專門人員，定期管理。2、口令不夠復(fù)雜。容易破解。3、有一些端口或者協(xié)議未禁止。4、有日志記錄，但是未有專門人員分析。主機(jī)風(fēng)險(xiǎn)措施1、已建立審計(jì)日志；2、管理服務(wù)器已具備入侵檢測(cè)能力；3、服務(wù)器已安裝病毒軟件4、服務(wù)器已有相應(yīng)的口令5、安全漏洞有專門部門進(jìn)行修補(bǔ)1、可以查看到相關(guān)的審計(jì)日志，但分析瀏覽機(jī)制還不健全。2、建議加強(qiáng)3、加強(qiáng)病毒庫的管理4、建議增強(qiáng)服務(wù)器口令的復(fù)雜性5、安全漏洞的修補(bǔ)較不及時(shí)，建議由專門人員，定期管理。數(shù)據(jù)庫和發(fā)布系統(tǒng)風(fēng)險(xiǎn)措施1、數(shù)據(jù)庫已有管理口令；2、已根據(jù)系統(tǒng)帳號(hào)的不同用戶，創(chuàng)建不同的profile。1、建議增強(qiáng)服務(wù)器口令的復(fù)雜性以及定期更換；2、使用權(quán)限不夠細(xì)化；應(yīng)用系統(tǒng)風(fēng)險(xiǎn)措施1、應(yīng)用系統(tǒng)已建立驗(yàn)證機(jī)制2、有專門的人員管理應(yīng)用系統(tǒng)；3、已具備日志功能1、建議加強(qiáng)驗(yàn)證碼難度；2、建議分權(quán)管理應(yīng)用系統(tǒng)3、加強(qiáng)日志分類和分析風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)計(jì)算方法風(fēng)險(xiǎn)值=資產(chǎn)值×威脅值×脆弱性值風(fēng)險(xiǎn)可接受標(biāo)準(zhǔn)依據(jù)風(fēng)險(xiǎn)計(jì)算方法：風(fēng)險(xiǎn)值=資產(chǎn)值×威脅值×脆弱性值，確定風(fēng)險(xiǎn)值分?jǐn)?shù)后，劃分風(fēng)險(xiǎn)等級(jí)。劃分標(biāo)準(zhǔn)如下：高風(fēng)險(xiǎn)等級(jí)的確定：風(fēng)險(xiǎn)值分?jǐn)?shù)65-125分，顏色：紅色區(qū)域。中風(fēng)險(xiǎn)等級(jí)的確定：風(fēng)險(xiǎn)值分?jǐn)?shù)32-64分，顏色：黃色區(qū)域。低風(fēng)險(xiǎn)等級(jí)的確定：風(fēng)險(xiǎn)值分?jǐn)?shù)1-31分，顏色：黃色區(qū)域。風(fēng)險(xiǎn)等級(jí)決定風(fēng)險(xiǎn)的可接受標(biāo)準(zhǔn)和必要的風(fēng)險(xiǎn)處理行為，僅當(dāng)風(fēng)險(xiǎn)等級(jí)為低的風(fēng)險(xiǎn)才可被接受，下表為風(fēng)險(xiǎn)等級(jí)與之對(duì)應(yīng)的必要風(fēng)險(xiǎn)處理行動(dòng)。風(fēng)險(xiǎn)可接受標(biāo)準(zhǔn)等級(jí)分?jǐn)?shù)顏色區(qū)域可接受標(biāo)準(zhǔn)低1-31綠色區(qū)域可接受的風(fēng)險(xiǎn)等級(jí)，落在此區(qū)域的風(fēng)險(xiǎn)可不必采取任何糾正預(yù)防措施或控制措施。中32-64黃色區(qū)域待處理的風(fēng)險(xiǎn)等級(jí)，落在此區(qū)域的風(fēng)險(xiǎn)是否處理需要依據(jù)：在限定時(shí)間內(nèi)，企業(yè)能提供的資源是否滿足處理此風(fēng)險(xiǎn)所需要的資源；或者處理此風(fēng)險(xiǎn)的代價(jià)不大于此風(fēng)險(xiǎn)發(fā)生后帶來的損失。若落在此區(qū)域的風(fēng)險(xiǎn)可接受或受資源的限制無法處理，必須要將其提交給管理層批準(zhǔn)。高65-125紅色區(qū)域無法接受的風(fēng)險(xiǎn)等級(jí)，落在此區(qū)域的風(fēng)險(xiǎn)必須要在限定的時(shí)間采取措施控制來減輕或降低此區(qū)域的風(fēng)險(xiǎn)。殘余風(fēng)險(xiǎn)處置殘余風(fēng)險(xiǎn)是指在實(shí)現(xiàn)了新的或增強(qiáng)的安全控制后還剩下的\o"風(fēng)險(xiǎn)"風(fēng)險(xiǎn)。對(duì)于不可接受范圍內(nèi)的風(fēng)險(xiǎn)，應(yīng)在選擇了適當(dāng)?shù)目刂拼胧┖螅瑢?duì)殘余風(fēng)險(xiǎn)進(jìn)行評(píng)價(jià)，判定風(fēng)險(xiǎn)是否已經(jīng)降低到可接受的水平，為風(fēng)險(xiǎn)管理提供輸入。殘余風(fēng)險(xiǎn)的評(píng)價(jià)可以依據(jù)本標(biāo)準(zhǔn)進(jìn)行，考慮選擇的控制措施和已有的控制措施對(duì)于威脅發(fā)生的可能性的降低。某些風(fēng)險(xiǎn)可能在選擇了適當(dāng)?shù)目刂拼胧┖笕蕴幱诓豢山邮艿娘L(fēng)險(xiǎn)范圍內(nèi)，應(yīng)通過信息系統(tǒng)所有者依據(jù)風(fēng)險(xiǎn)接受的原則，考慮是否接受此類風(fēng)險(xiǎn)或增加控制措施。為確保所選擇控制措施的有效性，必要時(shí)可進(jìn)行再評(píng)估，以判斷實(shí)施控制措施后的殘余風(fēng)險(xiǎn)是否是可被接受的。在本階段結(jié)束后子輝恒信公司風(fēng)險(xiǎn)評(píng)估小組將向信息系統(tǒng)所有者提供如下：《重要資產(chǎn)清單》《信息識(shí)別清單》《信息安全風(fēng)險(xiǎn)評(píng)估表》《信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告》《信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃》《殘余風(fēng)險(xiǎn)報(bào)告》《風(fēng)險(xiǎn)評(píng)估報(bào)告》以由均需要由信息系統(tǒng)所有者進(jìn)行書面確認(rèn)。風(fēng)險(xiǎn)分析結(jié)果及處置方案風(fēng)險(xiǎn)分析結(jié)果匯總實(shí)施范圍內(nèi)所有信息資產(chǎn)所面臨的風(fēng)險(xiǎn)共783項(xiàng)，所有風(fēng)險(xiǎn)在各系統(tǒng)的數(shù)量及所占比例如下面所示：部門高風(fēng)險(xiǎn)中風(fēng)險(xiǎn)低風(fēng)險(xiǎn)總計(jì)CRM系統(tǒng)228113146業(yè)務(wù)支撐系統(tǒng)222245270OA系統(tǒng)330336367總計(jì)780694783主要風(fēng)險(xiǎn)列表及建議CRM系統(tǒng)CRM系統(tǒng)風(fēng)險(xiǎn)分析及建議資產(chǎn)名稱風(fēng)險(xiǎn)描述風(fēng)險(xiǎn)風(fēng)險(xiǎn)等級(jí)處置措施建議CRM系統(tǒng)資產(chǎn)組因“沒有禁止使用未授權(quán)軟件，未授權(quán)軟件中綁有木馬、病毒”，當(dāng)發(fā)生“惡意代碼攻擊”時(shí)，可能導(dǎo)致“機(jī)密信息丟失”76.0高風(fēng)險(xiǎn)1.建立標(biāo)準(zhǔn)軟件清單。2.清除非授權(quán)軟件。CRM系統(tǒng)資產(chǎn)組因“USB口未禁用，可以連接移動(dòng)存儲(chǔ)設(shè)備”，當(dāng)發(fā)生“非授權(quán)訪問/使用”時(shí)，可能導(dǎo)致“機(jī)密信息丟失或泄露”76.0高風(fēng)險(xiǎn)1.禁用所有不必要的USB端口。2.對(duì)使用的USB存儲(chǔ)進(jìn)行統(tǒng)一的管理。外包人員PC因“外部人員離職、轉(zhuǎn)崗流程機(jī)制不完善”，當(dāng)發(fā)生“非授權(quán)訪問/使用”時(shí)，可能導(dǎo)致“機(jī)密信息泄露、或被篡改”48.0中風(fēng)險(xiǎn)建立外部人員離職、轉(zhuǎn)崗控制機(jī)制。CRM辦公PC因“人員安全意識(shí)薄弱，人員離開終端時(shí)，沒有鎖屏”，當(dāng)發(fā)生“非授權(quán)訪問/使用”時(shí)，可能導(dǎo)致“機(jī)密信息丟失”45.6中風(fēng)險(xiǎn)進(jìn)一步加強(qiáng)安全意識(shí)教育。CRM系統(tǒng)資產(chǎn)組因“防病毒軟件的版本沒有統(tǒng)一，終端防病毒能力強(qiáng)弱不同”，當(dāng)發(fā)生“惡意代碼攻擊”時(shí)，可能導(dǎo)致“病毒入侵，部分防毒能力弱的終端無法使用，工作受影響”45.6中風(fēng)險(xiǎn)對(duì)所有終端的防病毒軟件進(jìn)行統(tǒng)一檢查，統(tǒng)一安裝公司制定的殺毒軟件。CRM系統(tǒng)資產(chǎn)組因“缺乏軟件的版權(quán)管理”，當(dāng)發(fā)生“外部懲罰”時(shí)，可能導(dǎo)致“由于缺乏對(duì)軟件版權(quán)的管理可能導(dǎo)致由于版權(quán)問題面臨外部組織的懲罰，從而導(dǎo)致業(yè)務(wù)中斷或名譽(yù)受損?！?5.6中風(fēng)險(xiǎn)1.對(duì)所有使用的軟件的授權(quán)進(jìn)行清點(diǎn)，建立標(biāo)準(zhǔn)軟件清單。

2.清除非授權(quán)軟件。CRM系統(tǒng)資產(chǎn)組因“未設(shè)定信息安全員崗位”，當(dāng)發(fā)生“組織安全策略需要向部門推行”時(shí)，可能導(dǎo)致“安全政策無法落地”44.4中風(fēng)險(xiǎn)設(shè)置信息安全協(xié)調(diào)員。內(nèi)部人員PC因“缺乏足夠的工作相關(guān)培訓(xùn)、缺乏足夠的安全宣導(dǎo)和意識(shí)培訓(xùn)”，當(dāng)發(fā)生“操作失誤、錯(cuò)誤”時(shí)，可能導(dǎo)致“發(fā)生安全事件”44.4中風(fēng)險(xiǎn)進(jìn)一步加強(qiáng)安全意識(shí)教育。內(nèi)部人員PC因“安全意識(shí)不足或未嚴(yán)格執(zhí)行相關(guān)安全規(guī)定”，當(dāng)發(fā)生“擅自使用非授權(quán)軟件”時(shí)，可能導(dǎo)致“發(fā)生安全事件”44.4中風(fēng)險(xiǎn)1.建立標(biāo)準(zhǔn)軟件清單，清除非授權(quán)軟件。

2.進(jìn)一步加強(qiáng)安全意識(shí)培訓(xùn)。CRM系統(tǒng)資產(chǎn)組因“員工辦公桌面擺放重要資料”，當(dāng)發(fā)生“人員故意或非故意行為”時(shí)，可能導(dǎo)致“信息丟失或泄密”38.4中風(fēng)險(xiǎn)進(jìn)一步加強(qiáng)安全意識(shí)教育。CRM系統(tǒng)資產(chǎn)組因“使用后沒有及時(shí)鎖進(jìn)柜子”，當(dāng)發(fā)生“非授權(quán)訪問/使用”時(shí)，可能導(dǎo)致“信息泄密”37.8中風(fēng)險(xiǎn)進(jìn)一步加強(qiáng)安全意識(shí)教育。外包人員因“安全意識(shí)不足或未嚴(yán)格執(zhí)行相關(guān)安全規(guī)定”，當(dāng)發(fā)生“無意識(shí)使用有危害程序”時(shí)，可能導(dǎo)致“發(fā)生安全事件”36.0中風(fēng)險(xiǎn)1.建立標(biāo)準(zhǔn)軟件清單，清除非授權(quán)軟件。

2.進(jìn)一步加強(qiáng)安全意識(shí)培訓(xùn)。CRM系統(tǒng)資產(chǎn)組因“終端訪問控制缺陷（存在多余帳戶、弱口令等）”，當(dāng)發(fā)生“非授權(quán)邏輯訪問或使用”時(shí)，可能導(dǎo)致“主機(jī)中存儲(chǔ)的信息泄漏或被篡改”34.2中風(fēng)險(xiǎn)進(jìn)一步加強(qiáng)對(duì)多余帳號(hào)、弱口令及權(quán)限的清查，并且及時(shí)糾正發(fā)現(xiàn)問題。內(nèi)部人員因“信息安全意識(shí)較弱”，當(dāng)發(fā)生“人員故意行為或非故意行為”時(shí)，可能導(dǎo)致“信息泄密或未授權(quán)訪問”33.3中風(fēng)險(xiǎn)進(jìn)一步加強(qiáng)安全意識(shí)教育。CRM系統(tǒng)資產(chǎn)組因“使用后沒有及時(shí)鎖進(jìn)柜子”，當(dāng)發(fā)生“非授權(quán)訪問/使用”時(shí)，可能導(dǎo)致“信息泄密”33.3中風(fēng)險(xiǎn)進(jìn)一步加強(qiáng)安全意識(shí)教育。業(yè)務(wù)支撐系統(tǒng)業(yè)務(wù)支撐系統(tǒng)風(fēng)險(xiǎn)分析及建議資產(chǎn)名稱風(fēng)險(xiǎn)描述風(fēng)險(xiǎn)風(fēng)險(xiǎn)等級(jí)處置措施建議業(yè)務(wù)系統(tǒng)資產(chǎn)組因“USB口未禁用，可以連接移動(dòng)存儲(chǔ)設(shè)備”，當(dāng)發(fā)生“非授權(quán)訪問/使用”時(shí)，可能導(dǎo)致“機(jī)密信息丟失或泄露”80.0高風(fēng)險(xiǎn)1.禁用所有不必要的USB端口。2.對(duì)使用的USB存儲(chǔ)進(jìn)行統(tǒng)一的管理。業(yè)務(wù)系統(tǒng)資產(chǎn)組因“沒有禁止使用未授權(quán)軟件，未授權(quán)軟件中綁有木馬、病毒”，當(dāng)發(fā)生“惡意代碼攻擊”時(shí)，可能導(dǎo)致“機(jī)密信息丟失”64.0高風(fēng)險(xiǎn)進(jìn)一步加強(qiáng)安全意識(shí)教育。內(nèi)部人員因“安全意識(shí)不足或未嚴(yán)格執(zhí)行相關(guān)安全規(guī)定”，當(dāng)發(fā)生“擅自使用非授權(quán)軟件”時(shí)，可能導(dǎo)致“發(fā)生安全事件”50.4中風(fēng)險(xiǎn)建立外部人員離職、轉(zhuǎn)崗控制機(jī)制。內(nèi)部人員因“未設(shè)定信息安全員崗位”，當(dāng)發(fā)生“組織安全策略需要向部門推行”時(shí)，可能導(dǎo)致“安全政策無法落地”50.4中風(fēng)險(xiǎn)設(shè)置信息安全協(xié)調(diào)員。內(nèi)部人員因“缺乏足夠的工作相關(guān)培訓(xùn)、缺乏足夠的安全宣導(dǎo)和意識(shí)培訓(xùn)”，當(dāng)發(fā)生“操作失誤、錯(cuò)誤”時(shí)，可能導(dǎo)致“發(fā)生安全事件”50.4中風(fēng)險(xiǎn)進(jìn)一步加強(qiáng)安全意識(shí)教育。業(yè)務(wù)系統(tǒng)資產(chǎn)組因“防病毒軟件的版本沒有統(tǒng)一，終端防病毒能力強(qiáng)弱不同”，當(dāng)發(fā)生“惡意代碼攻擊”時(shí)，可能導(dǎo)致“病毒入侵，部分防毒能力弱的終端無法使用，工作受影響”48.0中風(fēng)險(xiǎn)對(duì)所有終端的防病毒軟件進(jìn)行統(tǒng)一檢查，統(tǒng)一安裝公司制定的殺毒軟件。業(yè)務(wù)系統(tǒng)資產(chǎn)組因“人員安全意識(shí)薄弱，人員離開終端時(shí)，沒有鎖屏”，當(dāng)發(fā)生“非授權(quán)訪問/使用”時(shí)，可能導(dǎo)致“機(jī)密信息丟失”48.0中風(fēng)險(xiǎn)進(jìn)一步加強(qiáng)安全意識(shí)教育。業(yè)務(wù)系統(tǒng)資產(chǎn)組因“安全意識(shí)不足或未嚴(yán)格執(zhí)行相關(guān)安全規(guī)定”，當(dāng)發(fā)生“無意識(shí)使用有危害程序”時(shí)，可能導(dǎo)致“發(fā)生安全事件”48.0中風(fēng)險(xiǎn)1.建立標(biāo)準(zhǔn)軟件清單，清除非授權(quán)軟件。

2.進(jìn)一步加強(qiáng)安全意識(shí)培訓(xùn)。外部人員因“安全意識(shí)不足或未嚴(yán)格執(zhí)行相關(guān)安全規(guī)定”，當(dāng)發(fā)生“無意識(shí)使用有危害程序”時(shí)，可能導(dǎo)致“發(fā)生安全事件”44.4中風(fēng)險(xiǎn)1.建立標(biāo)準(zhǔn)軟件清單，清除非授權(quán)軟件。

2.進(jìn)一步加強(qiáng)安全意識(shí)培訓(xùn)。外部人員因“外部人員離職、轉(zhuǎn)崗流程機(jī)制不完善”，當(dāng)發(fā)生“非授權(quán)訪問/使用”時(shí)，可能導(dǎo)致“機(jī)密信息泄露、或被篡改”59.2中風(fēng)險(xiǎn)建立外部人員離職、轉(zhuǎn)崗控制機(jī)制。業(yè)務(wù)系統(tǒng)資產(chǎn)組因“訪問控制缺陷（存在多余帳戶、弱口令、帳戶權(quán)限過大等）”，當(dāng)發(fā)生“非授權(quán)邏輯訪問或使用”時(shí)，可能導(dǎo)致“敏感信息外泄或高權(quán)限的錯(cuò)誤操作引起中斷”39.6中風(fēng)險(xiǎn)進(jìn)一步加強(qiáng)對(duì)多余帳號(hào)、弱口令及權(quán)限的清查，并且及時(shí)糾正發(fā)現(xiàn)問題。文件服務(wù)器系統(tǒng)因“訪問控制缺陷（存在多余帳戶、弱口令、帳戶權(quán)限過大等）”，當(dāng)發(fā)生“非授權(quán)邏輯訪問或使用”時(shí)，可能導(dǎo)致“敏感信息外泄或高權(quán)限的錯(cuò)誤操作引起中斷”39.6中風(fēng)險(xiǎn)進(jìn)一步加強(qiáng)對(duì)多余帳號(hào)、弱口令及權(quán)限的清查，并且及時(shí)糾正發(fā)現(xiàn)問題。OA系統(tǒng)資產(chǎn)組因“備份介質(zhì)缺少適合的保護(hù)措施”，當(dāng)發(fā)生“盜竊、遺失”時(shí)，可能導(dǎo)致“備份存儲(chǔ)介質(zhì)缺乏有效保護(hù)，損壞后介質(zhì)內(nèi)數(shù)據(jù)不可用”39.6中風(fēng)險(xiǎn)進(jìn)一步加強(qiáng)對(duì)多余帳號(hào)、弱口令及權(quán)限的清查，并且及時(shí)糾正發(fā)現(xiàn)問題。OA系統(tǒng)OA系統(tǒng)風(fēng)險(xiǎn)分析及建議資產(chǎn)名稱風(fēng)險(xiǎn)描述風(fēng)險(xiǎn)風(fēng)險(xiǎn)等級(jí)處置措施建議OA系統(tǒng)資產(chǎn)組因“USB口未禁用，可以連接移動(dòng)存儲(chǔ)設(shè)備”，當(dāng)發(fā)生“非授權(quán)訪問/使用”時(shí)，可能導(dǎo)致“機(jī)密信息丟失或泄露”94.0高風(fēng)險(xiǎn)1.禁用所有不必要的USB端口。

2.對(duì)使用的USB存儲(chǔ)進(jìn)行統(tǒng)一的管理。OA系統(tǒng)資產(chǎn)組因“沒有禁止使用未授權(quán)