2024信息安全風(fēng)險評估報告模板

XX單位XXX信息系統(tǒng)信息安全風(fēng)險評估報告項目名稱：XX單位XXX信息系統(tǒng)風(fēng)險評估委托單位：XX單位評估單位：報告時間：2024年3月 聲明XXX公司依據(jù)相應(yīng)技術(shù)標(biāo)準(zhǔn)和有關(guān)法律法規(guī)實施信息系統(tǒng)安全風(fēng)險評估。本報告中給出的結(jié)論僅對被評估系統(tǒng)的當(dāng)時狀況有效，當(dāng)評估后系統(tǒng)出現(xiàn)任何變更時，涉及到的任何模塊（或子系統(tǒng)）都應(yīng)重新進行評估，本評估結(jié)果不再適用。系統(tǒng)被評估時的基本狀況將在“被測系統(tǒng)基本情況”中給出。報告中描述的被測系統(tǒng)存在的安全問題，不限于報告中指出的位置。在任何情況下，若需引用本報告中的結(jié)果或數(shù)據(jù)都應(yīng)保持其本來的意義，不得擅自進行增加、修改、偽造或掩蓋事實。為保證系統(tǒng)所屬方的利益，本報告僅提供給被測系統(tǒng)所屬方，XXX公司不向第三方提供（乙方的上級主管機關(guān)除外），并為其保密。被測方不能將此報告或報告中的某一部分拷貝或復(fù)制，作為廣告宣傳材料。本報告結(jié)論的有效性建立在用戶提供材料的真實性基礎(chǔ)上。XX單位電子政務(wù)信息系統(tǒng)風(fēng)險評估項目項目名稱XX單位XXX信息系統(tǒng)風(fēng)險評估測試類別風(fēng)險評估委托日期2024年3月委托單位XX單位聯(lián)系人XXX聯(lián)系電話1XXXXXXXXXX評估依據(jù)《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》（GB/T20984-2007）《信息技術(shù)信息安全管理實用規(guī)則》（GB/T22081-2008)參考依據(jù)（不在認(rèn)可能力范圍內(nèi)）《信息系統(tǒng)安全等級保護基本要求》（GB/T22239-2008）評估時間2024年3月16日至2024年3月31日評估結(jié)論XX單位從當(dāng)前業(yè)務(wù)的安全需求出發(fā)，對被測的信息系統(tǒng)采取了相應(yīng)的安全控制措施，經(jīng)實際安全測試表明，已有的安全措施對保障系統(tǒng)業(yè)務(wù)的正常運行是有效的且可行的。但被評估信息系統(tǒng)還存在一定的安全風(fēng)險：在物理安全方面存在訪問控制管理問題，易引發(fā)防盜及物理破壞等風(fēng)險；在網(wǎng)絡(luò)安全方面存在單點故障風(fēng)險，另外部分安全設(shè)備未采取雙因子認(rèn)證方式登錄，存在安全風(fēng)險；希望對相關(guān)問題保持關(guān)注，并盡快采取相應(yīng)的控制措施，以確保系統(tǒng)穩(wěn)定、安全運行。XXX公司2024年03月31日備注無審核批準(zhǔn)編制人編制日期年月日審核人審核日期年月日批準(zhǔn)人批準(zhǔn)日期年月日目錄TOC\o"1-2"\h\z\u1. 概述 11.1. 評估綜述 11.2. 評估范圍 11.3. 評估目的 41.4. 評估依據(jù) 41.5. 風(fēng)險評估項目組成員 41.6. 評估流程 51.7. 報告分發(fā)范圍 72. 評估方法 82.1. 訪談 82.2. 檢查 82.3. 測試 83. 資產(chǎn)重要性識別 93.1. 資產(chǎn)分類及調(diào)查 93.2. 資產(chǎn)賦值及重要資產(chǎn)選取 103.3. 關(guān)鍵資產(chǎn)、關(guān)鍵系統(tǒng)單元的確定過程 104. 威脅性識別 124.1. 威脅識別 124.2. 威脅嚴(yán)重程度 125. 脆弱性識別 155.1. 脆弱性類型 155.2. 脆弱性嚴(yán)重程度賦值表 166. 風(fēng)險分析 176.1. 風(fēng)險分析方法 176.2. 風(fēng)險計算 177. 被測系統(tǒng)描述 187.1. 已落實的安全措施 188. 被測信息系統(tǒng)資產(chǎn)識別 208.1. 資產(chǎn)重要性識別結(jié)果 208.2. 關(guān)鍵信息資產(chǎn)、關(guān)鍵系統(tǒng)單元的確定結(jié)果 219. 被測信息系統(tǒng)威脅性識別結(jié)果 239.1. 物理、環(huán)境威脅列表 239.2. 網(wǎng)絡(luò)威脅列表 239.3. 主機/數(shù)據(jù)威脅列表 249.4. 應(yīng)用威脅列表 259.5. 管理威脅列表 269.6. 威脅匯總 2710. 被測信息系統(tǒng)脆弱性識別結(jié)果 2810.1. 技術(shù)脆弱性識別結(jié)果 2810.2. 技術(shù)脆弱性匯總 3410.3. 管理脆弱性匯總 3511. 風(fēng)險列表 3611.1. 技術(shù)風(fēng)險列表 3611.2. 管理風(fēng)險程度列表 4412. 評估結(jié)論 4513. 安全建議 4613.1. 風(fēng)險處理方式 4613.2. 風(fēng)險處理建議 4613.3. 技術(shù)安全建議 47信息系統(tǒng)風(fēng)險評估基本信息表信息系統(tǒng)項目名稱XX單位XXX系統(tǒng)風(fēng)險評估項目委托單位單位名稱XX單位單位地址郵政編碼聯(lián)系人姓名職務(wù)/職稱所屬部門信息中心辦公電話移動電話電子郵件評估單位單位名稱單位代碼通信地址郵政編碼聯(lián)系人姓名職務(wù)/職稱所屬部門辦公電話移動電話電子郵件XX單位門戶網(wǎng)站信息安全風(fēng)險評估報告第8頁/共45頁XX單位電子政務(wù)信息系統(tǒng)風(fēng)險評估【2024版】XX單位電子政務(wù)信息系統(tǒng)風(fēng)險評估【2024版】第7頁/共47頁概述評估綜述2024年3月，受XX單位委托，XXX公司對XX單位電子政務(wù)系統(tǒng)進行風(fēng)險評估。通過評估，在堅持科學(xué)、客觀、公正原則的基礎(chǔ)上，全面了解系統(tǒng)當(dāng)前的安全狀況，分析系統(tǒng)所面臨的各種風(fēng)險，根據(jù)評估結(jié)果發(fā)現(xiàn)系統(tǒng)存在的安全問題，并對嚴(yán)重的問題提出相應(yīng)的風(fēng)險控制策略。整個風(fēng)險評估過程共分三個階段進行：風(fēng)險評估準(zhǔn)備階段、現(xiàn)場評估階段和分析與報告編制階段。整個評估過程采用的評估方法有用戶訪談、系統(tǒng)分析、現(xiàn)場核查、手工驗證、安全工具掃描等。通過現(xiàn)場評估，形成一系列的重要資產(chǎn)列表、威脅清單和脆弱性清單。對于資產(chǎn)、威脅、脆弱性三要素進行關(guān)聯(lián)分析，評估各資產(chǎn)面臨的安全風(fēng)險。在明確資產(chǎn)面臨的風(fēng)險后，根據(jù)用戶的網(wǎng)絡(luò)需求和安全要求，結(jié)合資產(chǎn)風(fēng)險的大小、存在的脆弱性或面臨威脅的實際情況，有針對性地提出能夠有效地消除脆弱性和控制威脅的管理或技術(shù)方面的整改措施。最后，綜合前面各階段的工作成果，形成信息安全風(fēng)險評估報告。評估范圍本次信息系統(tǒng)風(fēng)險評估的范圍包括XX單位信息系統(tǒng)所屬網(wǎng)絡(luò)、安全設(shè)備、主機及應(yīng)用系統(tǒng)。本次風(fēng)險評估主要包括兩個方面的內(nèi)容：一是技術(shù)安全評估，主要包括物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全等五個層面；二是管理安全評估，主要包括安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理、信息安全方針、信息安全組織、資產(chǎn)管理、人力資源安全、物理和環(huán)境安全、通信和操作管理、訪問控制、信息系統(tǒng)獲取、開發(fā)和維護、信息安全事件、業(yè)務(wù)連續(xù)性管理、符合性等方面。物理和環(huán)境對象：序號名稱位置用途測試編號1機房辦公樓3樓關(guān)鍵設(shè)備的物理環(huán)境網(wǎng)絡(luò)層檢測對象：序號名稱型號測試編號1核心交換機華三E7500SDJT-WLSB-012匯聚交換思科2950SDJT-WLSB-02網(wǎng)絡(luò)層安全設(shè)備檢測對象：序號名稱型號測試編號1防火墻天融信NGFW4000SDJT-AQSB-012主機監(jiān)控與審計系金盾CIS7.0SDJT-AQSB-023入侵防御檢測迪普IPS2000-GS-NSDJT-AQSB-034防病毒墻迪普IPS2000-AVSDJT-AQSB-045WEB應(yīng)用防火墻綠盟WAF-P300ASDJT-AQSB-056流量控制系統(tǒng)迪普UAG3000-GSSDJT-AQSB-06主機層檢測對象：序號名稱硬件型號操作系統(tǒng)/軟件版本測試編號門戶網(wǎng)站系統(tǒng)服務(wù)器HP-GL460Windowsserver2008SDJT-FWQ-01門戶網(wǎng)站數(shù)據(jù)庫HP-GL460RedhatlinuxSDJT-FWQ-02應(yīng)用層檢測對象：序號名稱部署位置測試編號門戶網(wǎng)站機房SDJT-YINGY-01其他電子政務(wù)系統(tǒng)機房SDJT-YINGY-02管理層檢測對象：序號文檔要求相關(guān)文檔名稱1機構(gòu)安全方針和政策方面的管理制度《XX單位信息安全管理制度匯編》2部門設(shè)置、崗位設(shè)置及工作職責(zé)定義方面的管理制度《XX單位信息安全管理制度匯編》3授權(quán)審批、審批流程等方面的管理制度《XX單位信息安全管理制度匯編》4安全審核和安全檢查方面的管理制度《XX單位信息安全管理制度匯編》5管理制度、操作規(guī)程修訂、維護方面的管理制度《XX單位信息安全管理制度匯編》6人員錄用、離崗、考核等方面的管理制度《XX單位信息安全管理制度匯編》7人員安全教育和培訓(xùn)方面的管理制度《XX單位信息安全管理制度匯編》8第三方人員訪問控制方面制度《XX單位信息安全管理制度匯編》9工程實施過程管理方面的管理制度《XX單位信息安全管理制度匯編》10產(chǎn)品選型、采購方面管理制度《XX單位信息安全管理制度匯編》11軟件外包開發(fā)或自我開發(fā)方面的管理制度《XX單位信息安全管理制度匯編》12測試、驗收方面的管理制度《XX單位信息安全管理制度匯編》13機房安全管理方面的安全制度《XX單位信息安全管理制度匯編》14辦公環(huán)境安全管理方面的管理制度《XX單位信息安全管理制度匯編》15資產(chǎn)、設(shè)備、介質(zhì)安全管理方面的管理制度《XX單位信息安全管理制度匯編》16信息分類、表示、發(fā)布、使用方面的管理制度《XX單位信息安全管理制度匯編》17配套設(shè)置、軟硬件維護方面的管理制度《XX單位信息安全管理制度匯編》18網(wǎng)絡(luò)安全管理（網(wǎng)絡(luò)配置、賬號管理等）方面的管理制度《XX單位信息安全管理制度匯編》19系統(tǒng)安全管理（系統(tǒng)配置、賬號管理等）方面的管理制度《XX單位信息安全管理制度匯編》20系統(tǒng)監(jiān)控、風(fēng)險評估、漏洞掃描方面的管理制度《XX單位信息安全管理制度匯編》21病毒防范方面的管理制度《XX單位信息安全管理制度匯編》22系統(tǒng)變更控制方面的管理制度《XX單位信息安全管理制度匯編》23密碼管理方面的管理制度《XX單位信息安全管理制度匯編》24備份和恢復(fù)方面的管理制度《XX單位信息安全管理制度匯編》25安全事件報告和處置方面管理制度《XX單位信息安全管理制度匯編》26應(yīng)急響應(yīng)方法、應(yīng)急響應(yīng)計劃等方面的文件《XX單位信息安全管理制度匯編》27其他文檔評估目的通過本次風(fēng)險評估，對XX單位電子政務(wù)信息系統(tǒng)中主要網(wǎng)絡(luò)設(shè)備和應(yīng)用主機、數(shù)據(jù)中心主機房的安全管理和運行維護現(xiàn)狀做出細(xì)致客觀地調(diào)研和了解，通過綜合分析，找出潛在的安全風(fēng)險和威脅，提出XX單位電子政務(wù)在體系化信息安全管理制度建設(shè)及信息系統(tǒng)基礎(chǔ)建設(shè)、運維管理、安全技術(shù)防范等環(huán)節(jié)的合理化建議，為XX單位制定信息安全管理策略提供數(shù)據(jù)參考，為XX單位電子政務(wù)信息系統(tǒng)的安全運行、整體防御提供技術(shù)保障。評估依據(jù)為保證項目的實施質(zhì)量和圓滿完成本次項目的項目目標(biāo)，在風(fēng)險評估項目的設(shè)計規(guī)劃中將遵循以下標(biāo)準(zhǔn)：《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》（GB/T20984-2007）《信息技術(shù)信息安全管理實用規(guī)則》（GB/T22081-2008)參考標(biāo)準(zhǔn)：《信息系統(tǒng)安全等級保護基本要求》（GB/T22239-2008）風(fēng)險評估項目組成員受XX單位的委托本次信息安全風(fēng)險評估項目由XX單位與XXX公司共同成立風(fēng)險評估項目小組。其中項目組成員組成如下：XX單位項目組成員如下：項目組長：項目成員：XXX公司項目組成員如下：項目組長：項目組成員：評估流程整個評估工作的流程如下XX單位電子政務(wù)信息系統(tǒng)信息安全風(fēng)險評估的過程如下：風(fēng)險評估準(zhǔn)備工作系統(tǒng)調(diào)研03月16日至03月17日，評估項目組在相關(guān)部門員工的配合下完成XX單位電子政務(wù)信息系統(tǒng)信息安全風(fēng)險評估項目調(diào)研。其中：03月16日，項目組提交了《XX單位__WP-ZK-021至039調(diào)查表格》（以下簡稱“系統(tǒng)調(diào)查表”），細(xì)化了調(diào)研內(nèi)容并給出了填寫范例。03月16日，評估項目組收集了技術(shù)文檔，并結(jié)合系統(tǒng)調(diào)查表反饋結(jié)果對目標(biāo)系統(tǒng)基本情況進行了針對性的訪談。從系統(tǒng)建設(shè)人員的角度了解了目標(biāo)系統(tǒng)的業(yè)務(wù)流程、關(guān)鍵數(shù)據(jù)、已有的安全措施以及相關(guān)軟件系統(tǒng)的情況，并對目標(biāo)系統(tǒng)中已經(jīng)部署的主機、網(wǎng)絡(luò)互聯(lián)、安全設(shè)備以及運行環(huán)境，安全管理評估小組則收集了與目標(biāo)系統(tǒng)相關(guān)的安全管理文檔。方案編制階段03月17日，評估項目組完成《XX單位電子政務(wù)信息系統(tǒng)風(fēng)險評估項目實施方案》，并獲得委托方認(rèn)可。現(xiàn)場評估階段03月26日-27日，評估項目組完成了XX單位電子政務(wù)信息系統(tǒng)現(xiàn)場評估工作。其中：03月26日上午，評估項目組與委托方相關(guān)人員針對現(xiàn)場評估實施計劃進行了溝通，初步確定了主機、網(wǎng)絡(luò)、應(yīng)用、管理以及掃描的時間安排。委托方組織評估項目組以及有關(guān)配合單位/部門配合人員召開了現(xiàn)場評估協(xié)調(diào)會，明確了評估時間安排、入場準(zhǔn)備和現(xiàn)場工作內(nèi)容。03月26日下午，評估項目組正式入場開始評估工作，03月27日完成所有現(xiàn)場評估任務(wù)。針對不同評估內(nèi)容，評估項目組進行了安全管理評估、主機安全評估、數(shù)據(jù)庫安全評估、網(wǎng)絡(luò)安全評估、應(yīng)用安全評估、漏洞掃描等，現(xiàn)場評估工作。在現(xiàn)場評估活動中，評估項目組依據(jù)作業(yè)指導(dǎo)書訪談了4名安全管理相關(guān)人員，查看和分析了40余份安全管理類文檔，核查了1個應(yīng)用系統(tǒng)，2臺主機系統(tǒng)（WINDOWSSERVER08、Redhat）、2臺網(wǎng)絡(luò)設(shè)備、5臺網(wǎng)絡(luò)安全設(shè)備，獲取了完整的評估結(jié)果記錄。分析與報告編制階段03月27日至03月31日，評估項目組完成了評估結(jié)果記錄的整理、分析和報告編制工作。在該階段中，評估人員首先整理和匯總前期獲得的評估結(jié)果記錄，并對其進行了符合性判斷和整體分析，找出了XX單位電子政務(wù)信息系統(tǒng)存在的主要安全風(fēng)險；其次，針對發(fā)現(xiàn)的安全問題提出了安全整改建議；最后編制完成評估報告。報告分發(fā)范圍本報告一正二副，其中提交XX單位正本、副本各一本，一份副本由XXX公司留存。評估方法根據(jù)《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》（GB/T20984-2007）等要求，結(jié)合XX單位電子政務(wù)信息系統(tǒng)建設(shè)實際，經(jīng)雙方商定，本次評估的主要方法是通過現(xiàn)場調(diào)查、系統(tǒng)分析、手工驗證、安全工具掃描（IBM_APPSCAN、綠盟RSAS遠(yuǎn)程安全評估系統(tǒng)）進行信息資產(chǎn)重要性識別、威脅性識別、脆弱性識別，按照《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》（GB/T20984-2007）風(fēng)險計算原理對評估對象進行風(fēng)險賦值，確定不可接受風(fēng)險的具體范圍。訪談訪談是評估人員通過與信息系統(tǒng)有關(guān)人員（個人/群體）進行交流、討論等活動，獲取證據(jù)以證明信息系統(tǒng)安全保護措施是否有效的一種方法。檢查檢查是指評估人員通過對評估對象進行觀察、查驗、分析等活動，獲取證據(jù)以證明信息系統(tǒng)安全保護措施是否有效的一種方法，具體檢查方法包括文檔核查、實地察看、配置檢查三種方式。測試測試是指評估人員通過對評估對象按照預(yù)定的方法/工具使其產(chǎn)生特定的響應(yīng)等活動，查看、分析響應(yīng)輸出結(jié)果，獲取證據(jù)以證明信息系統(tǒng)安全保護措施是否有效的一種方法。資產(chǎn)重要性識別資產(chǎn)作為信息系統(tǒng)價值的體現(xiàn)，既是系統(tǒng)保護的目標(biāo)，也是風(fēng)險評估的對象。在風(fēng)險評估工作中，風(fēng)險的所有重要因素都緊緊圍繞著資產(chǎn)為中心，威脅、脆弱性以及風(fēng)險都是針對資產(chǎn)而客觀存在的。資產(chǎn)分類及調(diào)查根據(jù)資產(chǎn)的表現(xiàn)形式，將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務(wù)、人員等類型。資產(chǎn)分類列表分類示例數(shù)據(jù)存儲在信息介質(zhì)上的各種數(shù)據(jù)資料，包括源代碼、安裝介質(zhì)、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、運行管理規(guī)程、計劃、報告、用戶手冊等。軟件系統(tǒng)運行的系統(tǒng)軟件：操作系統(tǒng)、語言包、工具軟件、各種庫等；運行的應(yīng)用軟件：外部購買的應(yīng)用軟件和開發(fā)的應(yīng)用軟件等。硬件系統(tǒng)網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機等；計算機設(shè)備：服務(wù)器、工作站、臺式計算機、移動計算機等；存儲設(shè)備：磁帶機、磁盤陣列等；移動存儲設(shè)備：磁帶、光盤、軟盤、U盤、移動硬盤等；傳輸線路：光纖、雙絞線等；安全保障設(shè)備：防火墻、入侵檢測系統(tǒng)、身份驗證系統(tǒng)等；其它電子設(shè)備：打印機、復(fù)印機、掃描儀、傳真機等。服務(wù)辦公服務(wù)：為提高效率而開發(fā)的管理信息系統(tǒng)（MIS），它包括各種內(nèi)部配置管理、文件流轉(zhuǎn)管理等服務(wù)；網(wǎng)絡(luò)服務(wù)：各種網(wǎng)絡(luò)設(shè)備、設(shè)施提供的網(wǎng)絡(luò)連接服務(wù)；信息服務(wù)：對外依賴該系統(tǒng)開展服務(wù)而取得業(yè)務(wù)收入的服務(wù)。文檔紙質(zhì)的各種文件、傳真、電報、財務(wù)報告、發(fā)展計劃等。環(huán)境和基礎(chǔ)設(shè)施系統(tǒng)運行環(huán)境和保障設(shè)備：動力保障設(shè)備（UPS、變電設(shè)備等）、空調(diào)設(shè)備、保險柜、文件柜、門禁系統(tǒng)、消防設(shè)施等。人員掌握重要信息和核心業(yè)務(wù)的人員（如主機維護主管、網(wǎng)絡(luò)維護主管、應(yīng)用項目經(jīng)理及網(wǎng)絡(luò)研發(fā)人員等），內(nèi)部普通用戶,外來人員及其他人員。其它企業(yè)形象，客戶關(guān)系，維保，第三方服務(wù)等。資產(chǎn)賦值及重要資產(chǎn)選取為保證風(fēng)險評估工作的進度要求和質(zhì)量要求，不可能對所有資產(chǎn)做全面分析，評估成員根據(jù)業(yè)務(wù)重要性只選取其中的重要資產(chǎn)進行分析。首先，通過資產(chǎn)的保密性、完整性和可用性三個方面的程度分別確定；然后按照一定的算法計算該資產(chǎn)的總體賦值。資產(chǎn)的賦值采用定性的相對等級的方式。資產(chǎn)價值的等級分為五級，從1到5由低到高分別代表五個級別的資產(chǎn)相對價值，等級越大，資產(chǎn)越重要。根據(jù)資產(chǎn)賦值結(jié)果，我們選取資產(chǎn)賦值大于等于3的資產(chǎn)作為重要資產(chǎn)，并主要圍繞重要資產(chǎn)展開后續(xù)實施步驟。資產(chǎn)重要性量化值表等級標(biāo)識定義5很高機密性：該資產(chǎn)涉及組織的核心機密，一旦泄漏會對組織造成極大損害。完整性：該資產(chǎn)完整性破壞會對組織造成極大損害?？捎眯裕涸撡Y產(chǎn)對于服務(wù)的連續(xù)性要求以及業(yè)務(wù)對該資產(chǎn)的依賴程度極大。4高機密性：該資產(chǎn)涉及組織的高機密，一旦泄漏會對組織造成很大損害。完整性：該資產(chǎn)完整性破壞會對組織造成很大損害?？捎眯裕涸撡Y產(chǎn)對于服務(wù)的連續(xù)性要求以及業(yè)務(wù)對該資產(chǎn)的依賴程度很大。3中等機密性：該資產(chǎn)涉及組織的較高機密，一旦泄漏會對組織造成較大損害。完整性：該資產(chǎn)完整性破壞會對組織造成較大損害?？捎眯裕涸撡Y產(chǎn)對于服務(wù)的連續(xù)性要求以及業(yè)務(wù)對該資產(chǎn)的依賴程度較大。2低機密性：該資產(chǎn)涉及組織的普通機密，一旦泄漏對組織不會造成太大損害。完整性：該資產(chǎn)完整性破壞不會對組織造成太大損害?？捎眯裕涸撡Y產(chǎn)對于服務(wù)的連續(xù)性要求以及業(yè)務(wù)對該資產(chǎn)的依賴程度不高。1很低機密性：該資產(chǎn)不涉及組織機密，一旦泄漏不會對組織造成損害。完整性：該資產(chǎn)完整性破壞不會對組織造成損害?？捎眯裕涸撡Y產(chǎn)沒有服務(wù)的連續(xù)性要求，其他業(yè)務(wù)對該資產(chǎn)沒有依賴性。關(guān)鍵資產(chǎn)、關(guān)鍵系統(tǒng)單元的確定過程在風(fēng)險評估整個過程中，關(guān)鍵資產(chǎn)是信息系統(tǒng)所承載業(yè)務(wù)數(shù)據(jù)和該業(yè)務(wù)所提供的服務(wù)，支撐關(guān)鍵資產(chǎn)的核心部分定義為支撐設(shè)備，如數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器等。信息系統(tǒng)的基礎(chǔ)設(shè)施如支撐設(shè)備、交換機、防火墻等我們稱之為系統(tǒng)單元，在它們上安裝的操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用軟件等，我們稱之為系統(tǒng)組件。通過業(yè)務(wù)流程的分析劃分系統(tǒng)單元，并將對業(yè)務(wù)開展起關(guān)鍵作用的系統(tǒng)單元定義為關(guān)鍵系統(tǒng)單元。在系統(tǒng)單元、系統(tǒng)組件均可作為核查測試的測試對象。如圖：系統(tǒng)單元作為提供系統(tǒng)服務(wù)、網(wǎng)絡(luò)服務(wù)、數(shù)據(jù)服務(wù)的實體，既包括相關(guān)設(shè)備的物理實體，也包括在其上運行的系統(tǒng)軟件、公共應(yīng)用平臺軟件和專用軟件。系統(tǒng)單元編號規(guī)則為：單位簡稱+資產(chǎn)類型+序號，其中：單位簡稱：SDJT代表XX單位。資產(chǎn)類型：FWQ代表服務(wù)器；WLSB代表網(wǎng)絡(luò)設(shè)備；JF代表中心數(shù)據(jù)機房；YINGY代表應(yīng)用系統(tǒng)。威脅性識別威脅是指可能對資產(chǎn)或組織造成損害事故的潛在原因。作為風(fēng)險評估的重要因素，威脅是一個客觀存在的事物，無論對于多么安全的信息系統(tǒng)，它都存在。威脅識別威脅的主要來源列表來源描述環(huán)境因素斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震、意外事故等環(huán)境危害或自然災(zāi)害，以及軟件、硬件、數(shù)據(jù)、通訊線路等方面的故障人為因素惡意人員不滿的或有預(yù)謀的內(nèi)部人員對信息系統(tǒng)進行惡意破壞；采用自主或內(nèi)外勾結(jié)的方式盜竊機密信息或進行篡改，獲取利益外部人員利用信息系統(tǒng)的脆弱性，對網(wǎng)絡(luò)或系統(tǒng)的保密性、完整性和可用性進行破壞，以獲取利益或炫耀能力非惡意人員內(nèi)部人員由于缺乏責(zé)任心，或者由于不關(guān)心或不專注，或者沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或信息損壞；內(nèi)部人員由于缺乏培訓(xùn)、專業(yè)技能不足、不具備崗位技能要求而導(dǎo)致信息系統(tǒng)故障或被攻擊威脅嚴(yán)重程度威脅嚴(yán)重程度由威脅發(fā)生可能性與破壞程度兩方面因素綜合確定。威脅發(fā)生可能性量化值列表等級標(biāo)識定義5很高出現(xiàn)的頻率很高（或≥1次/周）；或在大多數(shù)情況下幾乎不可避免；或可以證實經(jīng)常發(fā)生過4高出現(xiàn)的頻率較高（或≥1次/月）；或在大多數(shù)情況下很有可能會發(fā)生；或可以證實多次發(fā)生過3中等出現(xiàn)的頻率中等（或>1次/半年）；或在某種情況下可能會發(fā)生；或被證實曾經(jīng)發(fā)生過2低出現(xiàn)的頻率較??；或一般不太可能發(fā)生；或沒有被證實發(fā)生過1很低威脅幾乎不可能發(fā)生；僅可能在非常罕見和例外的情況下發(fā)生按照信息系統(tǒng)風(fēng)險評估數(shù)據(jù)采集規(guī)范-威脅列表的描述，評估成員將威脅種類劃分為以下11種類型，并依次編號（T1~T11）。威脅種類及嚴(yán)重程度量化賦值列表編號威脅種類描述威脅子類常規(guī)發(fā)生可能性常規(guī)破壞程度威脅量化值T1物理環(huán)境影響對信息系統(tǒng)正常運行造成影響的物理環(huán)境問題和自然災(zāi)害斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震等低低1T2軟硬件故障對業(yè)務(wù)實施或系統(tǒng)運行產(chǎn)生影響的設(shè)備硬件故障、通訊鏈路中斷、系統(tǒng)本身或軟件缺陷等問題設(shè)備硬件故障、傳輸設(shè)備故障、存儲媒體故障、系統(tǒng)軟件故障、應(yīng)用軟件故障、數(shù)據(jù)庫軟件故障、開發(fā)環(huán)境故障等低高3T3無作為或操作失誤應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或無意執(zhí)行了錯誤的操作維護錯誤、操作失誤等低中2T4惡意代碼故意在計算機系統(tǒng)上執(zhí)行惡意任務(wù)的程序代碼病毒、特洛伊木馬、蠕蟲、陷門、間諜軟件、竊聽軟件等中高4T5越權(quán)或濫用通過采用一些措施，超越自己的權(quán)限訪問了本來無權(quán)訪問的資源，或者濫用自己的權(quán)限，做出破壞信息系統(tǒng)的行為非授權(quán)訪問網(wǎng)絡(luò)資源、非授權(quán)訪問系統(tǒng)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)、濫用權(quán)限泄露秘密信息等高高5T6物理攻擊通過物理的接觸造成對軟件、硬件、數(shù)據(jù)的破壞物理接觸、物理破壞、盜竊等低高3T7網(wǎng)絡(luò)攻擊利用工具和技術(shù)通過網(wǎng)絡(luò)對信息系統(tǒng)進行攻擊和入侵網(wǎng)絡(luò)探測和信息采集、漏洞探測、嗅探（賬號、口令、權(quán)限等）、用戶身份偽造和欺騙、用戶或業(yè)務(wù)數(shù)據(jù)的竊取和破壞、系統(tǒng)運行的控制和破壞等高高5T8泄密信息泄露給不應(yīng)了解的他人內(nèi)部信息泄露、外部信息泄露等高高5T9篡改非法修改信息，破壞信息的完整性使系統(tǒng)的安全性降低或信息不可用篡改網(wǎng)絡(luò)配置信息、篡改系統(tǒng)配置信息、篡改安全配置信息、篡改用戶身份信息或業(yè)務(wù)數(shù)據(jù)信息等高高5T10抵賴不承認(rèn)收到的信息和所作的操作和交易原發(fā)抵賴、接收抵賴、第三方抵賴等低中2T11管理不到位安全管理無法落實或不到位，從而破壞信息系統(tǒng)正常有序運行管理制度和策略不完善、管理規(guī)程缺失、職責(zé)不明確、監(jiān)督控管機制不健全等高中4上面的量化分析是針對信息系統(tǒng)全局進行考慮，在風(fēng)險分析的時候，需要考慮針對每項資產(chǎn)所采取的安全防護措施，適當(dāng)?shù)亟档屯{值：下面是通過防護措施后各威脅可能降低的威脅值，威脅值不能為負(fù)數(shù)，最低可為0：安全措施威脅降低值安裝防火墻網(wǎng)絡(luò)攻擊1～2泄密0～1越權(quán)或濫用1～2篡改0～1安裝殺毒軟件惡意代碼1～2網(wǎng)絡(luò)攻擊1～2安裝門禁系統(tǒng)泄密0～1物理破壞0～1安裝機房監(jiān)控系統(tǒng)越權(quán)或濫用0～1篡改0～1存在涵蓋相關(guān)條目的部分管理制度管理不到位0～2使用OA下發(fā)文件內(nèi)容管理不到位0～2脆弱性識別資產(chǎn)本身存在脆弱性，如果沒有被相應(yīng)的威脅利用，單純的脆弱性本身不會對資產(chǎn)造成損害。而且如果系統(tǒng)足夠強健，嚴(yán)重的威脅也不會導(dǎo)致安全事件發(fā)生，并造成損失。即威脅總是要利用資產(chǎn)的脆弱性才可能造成危害。資產(chǎn)的脆弱性具有隱蔽性，有些脆弱性只有在一定條件和環(huán)境下才能顯現(xiàn)，這是脆弱性識別中最為困難的部分。不正確的、起不到應(yīng)有作用的或沒有正確實施的安全措施本身就可能是一個脆弱性。脆弱性識別是風(fēng)險評估中最重要的一個環(huán)節(jié)。脆弱性識別可以以資產(chǎn)為核心，針對每一項需要保護的資產(chǎn),識別可能被威脅利用的弱點，并對脆弱性的嚴(yán)重程度進行評估；也可以從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進行識別，然后與資產(chǎn)、威脅對應(yīng)起來。脆弱性識別的依據(jù)可以是國際或國家安全標(biāo)準(zhǔn)，也可以是行業(yè)規(guī)范、應(yīng)用流程的安全要求。對應(yīng)用在不同環(huán)境中的相同的弱點，其脆弱性嚴(yán)重程度是不同的，評估者應(yīng)從組織安全策略的角度考慮、判斷資產(chǎn)的脆弱性及其嚴(yán)重程度。信息系統(tǒng)所采用的協(xié)議、應(yīng)用流程的完備與否、與其他網(wǎng)絡(luò)的互聯(lián)等也應(yīng)考慮在內(nèi)。脆弱性識別時的數(shù)據(jù)應(yīng)來自于資產(chǎn)的所有者、使用者，以及相關(guān)業(yè)務(wù)領(lǐng)域和軟硬件方面的專業(yè)人員等。脆弱性識別所采用的方法主要有：問卷調(diào)查、工具檢測、人工核查、文檔查閱、滲透性測試等。脆弱性類型脆弱性識別主要從技術(shù)和管理兩個方面進行，技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個層面的安全問題，管理脆弱性又分為技術(shù)管理和組織管理兩方面。技術(shù)管理與具體技術(shù)活動相關(guān)，組織管理與管理環(huán)境相關(guān)。脆弱性分類表類型識別對象識別內(nèi)容技術(shù)脆弱性物理環(huán)境從機房場地、機房防火、機房供配電、機房防靜電、機房接地與防雷、電磁防護、通信線路的保護、機房區(qū)域防護、機房設(shè)備管理等方面進行識別網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計、邊界保護、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進行識別系統(tǒng)軟件從補丁安裝、物理保護、用戶賬號、口令策略、資源共享、事件審計、訪問控制、新系統(tǒng)配置、注冊表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進行識別應(yīng)用系統(tǒng)從審計機制、審計存儲、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機制、密碼保護方面識別管理脆弱性技術(shù)管理從物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護、業(yè)務(wù)連續(xù)性等方面進行識別組織管理從安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性等方面進行識別脆弱性嚴(yán)重程度賦值表脆弱性的嚴(yán)重程度以其被利用后對資產(chǎn)的危害程度進行賦值。脆弱性嚴(yán)重程度的等級分為五級，從1到5由低到高分別代表五個級別的資產(chǎn)相對價值，等級越大，資產(chǎn)越重要。等級標(biāo)識定義5很高如果被威脅利用，將對資產(chǎn)造成完全損害。4高如果被威脅利用，將對資產(chǎn)造成重大損害。3中等如果被威脅利用，將對資產(chǎn)造成一般損害。2低如果被威脅利用，將對資產(chǎn)造成較小損害。1很低如果被威脅利用，將對資產(chǎn)造成的損害可以忽略。根據(jù)脆弱性嚴(yán)重程度賦值結(jié)果，我們選取脆弱性嚴(yán)重程度賦值大于等于3的資產(chǎn)作為評估依據(jù)，并主要圍繞重要資產(chǎn)展開后續(xù)實施步驟。風(fēng)險分析風(fēng)險分析方法本次風(fēng)險分析主要采用自頂向下和自底向上分析、定性分析與定量分析相結(jié)合的分析方法。首先自頂向下識別關(guān)鍵資產(chǎn)、關(guān)鍵系統(tǒng)單元，然后自底向上采用定性、定量相結(jié)合的方法進行風(fēng)險分析。風(fēng)險計算在完成了資產(chǎn)識別、威脅識別、脆弱性識別，以及對已有安全措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用導(dǎo)致安全事件發(fā)生的可能性。綜合安全事件所作用的資產(chǎn)價值及脆弱性的嚴(yán)重程度，判斷安全事件造成的損失對組織的影響，即安全風(fēng)險。本標(biāo)準(zhǔn)給出了風(fēng)險計算原理，以下面的范式形式化加以說明：風(fēng)險值=EQ\R(,T*V)*EQ\R(,A*V)其中，A表示資產(chǎn)價值；T表示威脅發(fā)生頻率；V表示脆弱性嚴(yán)重程度。風(fēng)險值的最終計算成果四舍五入取整后得到最終風(fēng)險值將風(fēng)險值映射到五個等級的風(fēng)險如表所示：風(fēng)險值1-56-1011-1516-2021-25風(fēng)險等級12345風(fēng)險級別極低低中高極高被測系統(tǒng)描述XX單位機房位于辦公大樓3層,存放信息系統(tǒng)設(shè)備，機房出入口安裝門禁系統(tǒng)，機房電源采用雙路供電，并安裝備用電源，采用機房專用空調(diào)，安裝防靜電地板，機房內(nèi)安裝視頻監(jiān)控系統(tǒng)和消防報警系統(tǒng)。XX單位電子政務(wù)信息系統(tǒng)網(wǎng)絡(luò)共劃分3個區(qū)域，分別是外聯(lián)區(qū)，DMZ區(qū)，安全監(jiān)管區(qū)。網(wǎng)絡(luò)傳輸依托國際互聯(lián)網(wǎng)，網(wǎng)絡(luò)硬件由交換機、防病毒墻、主機監(jiān)控與審計系統(tǒng)、IPS、防火墻、WEB防火墻等設(shè)備和相關(guān)安全設(shè)施構(gòu)成。XX單位電子政務(wù)信息系統(tǒng)網(wǎng)絡(luò)的總體結(jié)構(gòu)圖如下圖所示：已落實的安全措施XX單位在信息系統(tǒng)安全建設(shè)和管理方面做了大量工作，制定了系列管理制度，明確了各自崗位職責(zé)，由信息中心統(tǒng)一制定的《XX單位信息安全管理制度匯編》基本涵蓋了物理安全、主機安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全管理內(nèi)容，為XX單位電子政務(wù)信息系統(tǒng)安全運營提供了根本保障。訪問控制方面：XX單位對網(wǎng)絡(luò)進行了劃分，外聯(lián)區(qū)域部署了防火墻，并設(shè)置了嚴(yán)格的安全訪問控制策略。身份認(rèn)證方面：XX單位所有設(shè)備需要使用用戶名密碼方式登錄，并且關(guān)閉服務(wù)器遠(yuǎn)程連接的模式，且用戶名密碼由專人管理。安全審計方面：機房安裝門禁與視頻監(jiān)控系統(tǒng)，有效記錄了機房人員出入和對服務(wù)器的本地操作。惡意代碼防范方面：XX單位統(tǒng)一部署卡巴斯基網(wǎng)絡(luò)版殺毒軟件，并且通過本地防病毒升級服務(wù)器對各終端病毒庫升級，使病毒庫保持最新，防病毒策略統(tǒng)一管理，統(tǒng)一配置。被測信息系統(tǒng)資產(chǎn)識別資產(chǎn)重要性識別結(jié)果XX單位召集各信息系統(tǒng)管理人員分別對被測信息系統(tǒng)的資產(chǎn)重要性給予了說明，我公司評估人員根據(jù)調(diào)查情況，依據(jù)雙方商定的評估方法，對被測信息系統(tǒng)信息資產(chǎn)的重要性進行了賦值如下：物理和環(huán)境：序號名稱位置用途測試編號資產(chǎn)賦值1機房辦公樓3樓關(guān)鍵設(shè)備的物理環(huán)境SDJT-JF-015網(wǎng)絡(luò)層：序號名稱型號測試編號資產(chǎn)賦值1核心交換機華三E7500SDJT-WLSB-0122匯聚交換思科2950SDJT-WLSB-0223防火墻天融信NGFW4000SDJT-AQSB-0144主機監(jiān)控與審計系金盾CIS7.0SDJT-AQSB-0225入侵防御檢測迪普IPS2000-GS-NSDJT-AQSB-0336防病毒墻迪普IPS2000-AVSDJT-AQSB-0437WEB應(yīng)用防火墻綠盟WAF-P300ASDJT-AQSB-0548流量控制系統(tǒng)迪普UAG3000-GSSDJT-AQSB-064主機層：序號名稱硬件型號操作系統(tǒng)/軟件版本測試編號資產(chǎn)賦值1門戶網(wǎng)站系統(tǒng)服務(wù)器HP-GL460Windowsserver2008SDJT-FWQ-0152門戶網(wǎng)站數(shù)據(jù)庫HP-GL460RedhatlinuxSDJT-FWQ-025應(yīng)用層：序號名稱測試編號資產(chǎn)賦值1門戶網(wǎng)站SDJT-YINGY-0152其他電子政務(wù)系統(tǒng)SDJT-YINGY-022關(guān)鍵信息資產(chǎn)、關(guān)鍵系統(tǒng)單元的確定結(jié)果根據(jù)XX單位與現(xiàn)場評估人員共同確認(rèn)，在本次風(fēng)險評估范圍內(nèi)，承載關(guān)鍵信息資產(chǎn)的系統(tǒng)單元相關(guān)信息如下表：關(guān)鍵系統(tǒng)單元編號單元名稱型號IP地址重要性SDJT-JF-01機房無5SDJT-AQSB-01防火墻天融信NGFW40004SDJT-AQSB-03入侵防御檢測迪普IPS2000-GS-N3SDJT-AQSB-04防病毒墻迪普IPS2000-AV3SDJT-AQSB-05WEB應(yīng)用防火墻綠盟WAF-P300A4SDJT-AQSB-06流量控制系統(tǒng)迪普UAG3000-GS4SDJT-FWQ-01門戶網(wǎng)站系統(tǒng)服務(wù)器HP-GL4605SDJT-FWQ-02門戶網(wǎng)站數(shù)據(jù)庫HP-GL4605SDJT-YINGY-01門戶網(wǎng)站無5SDJT-YINGY-02其他電子政務(wù)系統(tǒng)無2被測信息系統(tǒng)威脅性識別結(jié)果通過評估人員對于物理環(huán)境、網(wǎng)絡(luò)架構(gòu)、安全設(shè)備部署以及業(yè)務(wù)方式等內(nèi)容的綜合分析，確定XX單位電子政務(wù)信息系統(tǒng)安全威脅發(fā)生的可能性的具體量化值如下表所示：物理、環(huán)境威脅列表序號關(guān)鍵系統(tǒng)單元資產(chǎn)名稱

（測試對象編號）威脅描述威脅編號已有安全措施賦值T1機房SDJT-JF-01未對機房內(nèi)的重要信息系統(tǒng)進行劃分區(qū)域管理，造成對重要信息系統(tǒng)的威脅T11管理不到位無3通過檢查、分析，共發(fā)現(xiàn)物理環(huán)境威脅1個是管理不到位（1個），其中賦值為3的威脅為1個。網(wǎng)絡(luò)威脅列表序號關(guān)鍵系統(tǒng)單元資產(chǎn)名稱(測試對象編號)威脅描述威脅編號已有安全措施賦值T網(wǎng)絡(luò)全局1.主要路徑存在單點故障T2軟硬件故障無3防火墻SDJT-AQSB-011.僅使用用戶名密碼登錄，沒有采用兩種以上組合的鑒別技術(shù)登陸。面臨網(wǎng)絡(luò)攻擊風(fēng)險T5：越權(quán)或濫用T7：網(wǎng)絡(luò)攻擊無3入侵防御檢測SDJT-AQSB-031.僅使用用戶名密碼登錄，沒有采用兩種以上組合的鑒別技術(shù)登陸。T5：越權(quán)或濫用T7：網(wǎng)絡(luò)攻擊無3防病毒墻SDJT-AQSB-041.僅使用用戶名密碼登錄，沒有采用兩種以上組合的鑒別技術(shù)登陸。T5：越權(quán)或濫用T7：網(wǎng)絡(luò)攻擊無3WEB應(yīng)用防火墻SDJT-AQSB-051.僅使用用戶名密碼登錄，沒有采用兩種以上組合的鑒別技術(shù)登陸。面臨網(wǎng)絡(luò)攻擊風(fēng)險T5：越權(quán)或濫用T7：網(wǎng)絡(luò)攻擊無3流量控制系統(tǒng)SDJT-AQSB-061.僅使用用戶名密碼登錄路由器，沒有采用兩種以上組合的鑒別技術(shù)登陸。T5：越權(quán)或濫用T7：網(wǎng)絡(luò)攻擊無3通過檢查、分析，共發(fā)現(xiàn)威脅11個，主要威脅包括：網(wǎng)絡(luò)攻擊(5個)、越權(quán)或濫用(5個)、軟硬件故障（1個）等威脅，其中賦值為3的威脅6個。主機/數(shù)據(jù)威脅列表序號關(guān)鍵系統(tǒng)單元資產(chǎn)名稱（測試對象編號）威脅描述威脅編號已有安全措施賦值T1門戶網(wǎng)站應(yīng)用服務(wù)器SDJT-FWQ-011.非法登錄未限制，失敗處理功能未啟用T5：越權(quán)或濫用T9：篡改禁止遠(yuǎn)程登錄維護12.密碼復(fù)雜度未設(shè)置，口令不定期更換即未啟用賬戶密碼策略，容易發(fā)生密碼被破解造成非授權(quán)訪問系統(tǒng)資源、篡改系統(tǒng)配置信息、篡改安全配置信息、篡改用戶身份信息或業(yè)務(wù)數(shù)據(jù)信息等。T5：越權(quán)或濫用T9：篡改禁止遠(yuǎn)程登錄維護13.僅使用用戶名密碼登錄服務(wù)器，沒有采用兩種以上組合的鑒別技術(shù)登陸，容易發(fā)生密碼被破解造成非授權(quán)訪問系統(tǒng)資源、篡改系統(tǒng)配置信息、篡改安全配置信息、篡改用戶身份信息或業(yè)務(wù)數(shù)據(jù)信息等。T5：越權(quán)或濫用T9：篡改禁止遠(yuǎn)程登錄維護14.默認(rèn)Administrator賬號用戶名未進行重命名容易發(fā)生密碼被破解造成非授權(quán)訪問系統(tǒng)資源。T5：越權(quán)或濫用T9：篡改禁止遠(yuǎn)程登錄維護12門戶網(wǎng)站數(shù)據(jù)庫服務(wù)器SDJT-FWQ-021.非法登錄未限制，失敗處理功能未啟用T5：越權(quán)或濫用T9：篡改禁止遠(yuǎn)程登錄維護12.密碼復(fù)雜度未設(shè)置，口令不定期更換即未啟用賬戶密碼策略，容易發(fā)生密碼被破解造成非授權(quán)訪問系統(tǒng)資源、篡改系統(tǒng)配置信息、篡改安全配置信息、篡改用戶身份信息或業(yè)務(wù)數(shù)據(jù)信息等。T5：越權(quán)或濫用T9：篡改禁止遠(yuǎn)程登錄維護13.僅使用用戶名密碼登錄服務(wù)器，沒有采用兩種以上組合的鑒別技術(shù)登陸，容易發(fā)生密碼被破解造成非授權(quán)訪問系統(tǒng)資源、篡改系統(tǒng)配置信息、篡改安全配置信息、篡改用戶身份信息或業(yè)務(wù)數(shù)據(jù)信息等。T5：越權(quán)或濫用T9：篡改禁止遠(yuǎn)程登錄維護14.Oracle由于版本較低，存在多個高危險漏洞，易被利用T4：惡意代碼T5：越權(quán)或濫用T7：網(wǎng)絡(luò)攻擊T9：篡改在防火墻中進行嚴(yán)格的訪問控制策略23其他主機1.面臨互聯(lián)網(wǎng)的安全威脅4：惡意代碼T5：越權(quán)或濫用T7：網(wǎng)絡(luò)攻擊T9：篡改在防火墻中進行嚴(yán)格的訪問控制策略32.面臨辦公區(qū)的安全威脅T5：越權(quán)或濫用T7：網(wǎng)絡(luò)攻擊在防火墻中進行嚴(yán)格的訪問控制策略1通過檢查、分析，共發(fā)現(xiàn)主機/數(shù)據(jù)威脅23個，主要包括：越權(quán)或濫用（9個）、篡改（9個）、網(wǎng)絡(luò)攻擊（3個）、惡意代碼（2個），其中賦值為賦值為3的威脅為4個，賦值為2的威脅為4個，賦值為1的威脅16個。應(yīng)用威脅列表序號關(guān)鍵系統(tǒng)單元資產(chǎn)名稱（測試對象編號）威脅描述威脅編號已有安全措施賦值T1門戶網(wǎng)站SDJT-YINGY-011.明文通信，未采用密碼技術(shù)對通信過程中的數(shù)據(jù)進行保護，未提供通信過程中完整性的保護措施，可能造成非法修改信息，破壞信息的完整性使系統(tǒng)的安全性降低或信息不可用。T5：越權(quán)或濫用T7：網(wǎng)絡(luò)攻擊T8：泄密T9：篡改無42.未限制單一用戶使用應(yīng)用系統(tǒng)資源的范圍，容易引起濫用系統(tǒng)資源。T7：網(wǎng)絡(luò)攻擊有網(wǎng)絡(luò)流量限制12其他電子政務(wù)系統(tǒng)SDJT-YINGY-021.面臨互聯(lián)網(wǎng)的安全威脅T4：惡意代碼T5：越權(quán)或濫用T7：網(wǎng)絡(luò)攻擊T9：篡改部署WAF進行防護3通過檢查、分析，共發(fā)現(xiàn)應(yīng)用威脅9個,主要威脅有網(wǎng)絡(luò)攻擊（3個）、越權(quán)或濫用（2個）、篡改（2個）、泄密（1個）及惡意代碼（1個），其中應(yīng)用系統(tǒng)賦值為5的威脅0個，賦值為4的4個，賦值為3的威脅4個，賦值為2的威脅0個，賦值為1的威脅1個。管理威脅列表在管理方面具有較好的體系，未發(fā)現(xiàn)威脅威脅匯總共發(fā)現(xiàn)威脅44個，其中賦值為5的威脅0個，賦值為4的4個，賦值為3的威脅15個，賦值為2的威脅4個，賦值為1的17個。在發(fā)現(xiàn)威脅44個，其面臨的主要威脅有越權(quán)或濫用（16個）、篡改（11個）、網(wǎng)絡(luò)攻擊（11個）、惡意代碼（3個）、其他（3個）XX單位電子政務(wù)信息系統(tǒng)風(fēng)險評估【2024版】XX單位電子政務(wù)信息系統(tǒng)風(fēng)險評估【2024版】第33頁/共45頁被測信息系統(tǒng)脆弱性識別結(jié)果評估人員根據(jù)調(diào)查情況，依據(jù)雙方商定的評估方法，對被測信息系統(tǒng)脆弱性進行了測試，并得出以下統(tǒng)計結(jié)果。技術(shù)脆弱性識別結(jié)果 技術(shù)脆弱性主要包括物理環(huán)境、網(wǎng)絡(luò)設(shè)備、主機/數(shù)據(jù)和應(yīng)用方面的脆弱性描述。物理環(huán)境脆弱性結(jié)果經(jīng)過現(xiàn)場評估人員對XX單位機房的物理環(huán)境部分進行訪談和安全檢查，發(fā)現(xiàn)的脆弱性問題列表：檢測對象脆弱性名稱脆弱性等級機房未對機房劃分區(qū)域進行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前未設(shè)置交付或安裝等過度區(qū)域。3通過檢查、分析，共發(fā)現(xiàn)物理環(huán)境脆弱性1個，其中賦值為3的脆弱性1個。網(wǎng)絡(luò)系統(tǒng)脆弱性結(jié)果經(jīng)過現(xiàn)場評估人員對XX單位電子政務(wù)信息系統(tǒng)主要網(wǎng)絡(luò)設(shè)備進行安全檢查和測試，發(fā)現(xiàn)較為嚴(yán)重的脆弱性問題列表：檢測對象脆弱性名稱脆弱性等級網(wǎng)絡(luò)全局網(wǎng)絡(luò)存在較多的單點故障點，影響外網(wǎng)網(wǎng)站應(yīng)用的可用性3天融信防火墻未對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進行身份鑒別；2迪普IPS未對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進行身份鑒別；2迪普防毒墻主要網(wǎng)絡(luò)設(shè)備未對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進行身份鑒別；2綠盟WAF未對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進行身份鑒別；2迪普流量控制系統(tǒng)未對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進行身份鑒別；2通過檢查、分析，共發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)脆弱性6個，其中網(wǎng)絡(luò)系統(tǒng)賦值為3的脆弱性1個，賦值為2的脆弱性5個。主機/數(shù)據(jù)脆弱性結(jié)果經(jīng)過現(xiàn)場評估人員對XX單位電子政務(wù)信息系統(tǒng)關(guān)鍵主機進行安全檢查和測試，發(fā)現(xiàn)較為嚴(yán)重的脆弱性問題列表：檢測對象脆弱性名稱脆弱性等級門戶網(wǎng)站應(yīng)用服務(wù)器操作系統(tǒng)管理用戶身份鑒別信息未具有不易被冒用的特點，口令未有復(fù)雜度要求并定期更換；3未啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；2未采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進行身份鑒別。2門戶網(wǎng)站數(shù)據(jù)庫服務(wù)器數(shù)據(jù)庫管理用戶身份鑒別信息未具有不易被冒用的特點，口令未有復(fù)雜度要求并定期更換；3未采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進行身份鑒別。2安全審計：審計范圍未覆蓋到服務(wù)器上的每個數(shù)據(jù)庫用戶；審計內(nèi)容未包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；審計記錄未包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等；未能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；；未保護審計進程，避免受到未預(yù)期的中斷；未保護審計記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。3安全漏洞：Oracle2007年1月更新修復(fù)多個安全漏洞Oracle2007年4月更新修復(fù)多個安全漏洞Oracle2007年7月更新修復(fù)多個安全漏洞Oracle2007年10月更新修復(fù)多個安全漏洞Oracle2008年1月更新修復(fù)多個安全漏洞Oracle2008年7月更新修復(fù)多個安全漏洞Oracle2009年4月緊急補丁更新修復(fù)多個漏洞Oracle2009年7月更新修復(fù)多個安全漏洞Oracle2010年1月更新修復(fù)多個安全漏洞Oracle2010年4月緊急補丁更新修復(fù)多個漏洞Oracle2012年4月更新修復(fù)多個安全漏洞Oracle2012年7月更新修復(fù)多個安全漏洞ICMP時間戳檢測MicrosoftRDP服務(wù)器私鑰信息泄露漏洞CompaqWBEM服務(wù)器檢測5區(qū)域內(nèi)的不安全節(jié)點XXXXXX均存在高風(fēng)險安全漏洞5通過檢查、分析，共發(fā)現(xiàn)主機系統(tǒng)脆弱點17個，其中主機/數(shù)據(jù)脆弱性賦值為2的3個，賦值為3的3個，賦值為4的0個，賦值為5的11個。應(yīng)用系統(tǒng)脆弱性結(jié)果經(jīng)過現(xiàn)場評估人員對XX單位電子政務(wù)信息系統(tǒng)關(guān)鍵應(yīng)用系統(tǒng)進行安全檢查和測試，發(fā)現(xiàn)的脆弱性問題列表：檢測對象脆弱性名稱脆弱性等級門戶網(wǎng)站應(yīng)用系統(tǒng)未保證無法單獨中斷審計進程，無法刪除、修改或覆蓋審計記錄。2未采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。1在通信雙方建立連接之前，未利用密碼技術(shù)進行會話初始化驗證。1未對通信過程中的整個報文或會話過程進行加密。1未能夠?qū)δ繕?biāo)系統(tǒng)的最大并發(fā)會話連接數(shù)進行限制。25554544433542543534244通過檢查、分析，共發(fā)現(xiàn)應(yīng)用系統(tǒng)脆弱性27個，其中應(yīng)用系統(tǒng)脆弱性賦值為5的7個，賦值為4的9個，賦值為3的4個,賦值為2的4個,賦值為1的3個。技術(shù)脆弱性匯總在對本次規(guī)定范圍內(nèi)的評估對象技術(shù)脆弱性測試中，共發(fā)現(xiàn)了脆弱點51個，其中賦值為5的脆弱性問題為18個；賦值為4的脆弱性問題為9個；賦值為3的為9個；賦值為2的脆弱性問題為12個；賦值為1的為3個。結(jié)果統(tǒng)計圖如下：管理脆弱性匯總管理脆弱性主要圍繞管理制度、管理機構(gòu)、人員管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理五個方面進行，對安全方針、信息安全組織、資產(chǎn)管理、人力資源安全、物理和環(huán)境安全、通信和操作管理、訪問控制、信息系統(tǒng)獲取、開發(fā)和維護、信息安全事件、業(yè)務(wù)連續(xù)性管理、符合性進行脆弱性識別。信息安全管理脆弱性結(jié)果經(jīng)過現(xiàn)場評估人員對XX單位電子政務(wù)信息系統(tǒng)進行安全檢查和測試，未發(fā)現(xiàn)管理脆弱點。第24頁共229頁XX單位電子政務(wù)信息系統(tǒng)風(fēng)險評估【2024版】第40頁/共45頁風(fēng)險列表通過關(guān)鍵系統(tǒng)單元相關(guān)的安全威脅、脆弱性、安全措施（包括技術(shù)、管理措施和物理的保護措施）得出以下風(fēng)險列表:技術(shù)風(fēng)險列表物理環(huán)境風(fēng)險程度列表注：A表示資產(chǎn)價值；T表示威脅發(fā)生頻率；V表示脆弱性嚴(yán)重程度；序號關(guān)鍵系統(tǒng)單元資產(chǎn)名稱

（測試對象編號）脆弱性描述威脅已有安全措施威脅發(fā)生率脆弱性程度資產(chǎn)價值風(fēng)險值EQ\R(,T*V)*EQ\R(,A*V)風(fēng)險等級TVA1機房SDJT-JF-01未對機房劃分區(qū)域進行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前未設(shè)置交付或安裝等過度區(qū)域。T11管理不到位無335123物理環(huán)境風(fēng)險程度匯總通過檢查、分析，共發(fā)現(xiàn)物理環(huán)境風(fēng)險1項，其中物理環(huán)境中風(fēng)險1項。網(wǎng)絡(luò)設(shè)備風(fēng)險程度列表注：A表示資產(chǎn)價值；T表示威脅發(fā)生頻率；V表示脆弱性嚴(yán)重程度；序號關(guān)鍵系統(tǒng)單元資產(chǎn)名稱

（測試對象編號）脆弱性描述威脅已有安全措施威脅發(fā)生率脆弱性程度資產(chǎn)價值風(fēng)險值EQ\R(,T*V)*EQ\R(,A*V)風(fēng)險等級TVA1網(wǎng)絡(luò)全局網(wǎng)絡(luò)存在較多的單點故障點，影響門戶網(wǎng)站應(yīng)用的可用性T2軟硬件故障無4451942天融信防火墻SDJT-AQSB-01未對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進行身份鑒別；T7：網(wǎng)絡(luò)攻擊無3341023迪普IPSSDJT-AQSB-03未對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進行身份鑒別；T5：越權(quán)或濫用T7：網(wǎng)絡(luò)攻擊無323624迪普防毒墻SDJT-AQSB-04主要網(wǎng)絡(luò)設(shè)備未對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進行身份鑒別；T5：越權(quán)或濫用T7：網(wǎng)絡(luò)攻擊無323625綠盟WAFSDJT-AQSB-05未對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進行身份鑒別；T7：網(wǎng)絡(luò)攻擊無324726迪普流量控制系統(tǒng)SDJT-AQSB-06未對同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進行身份鑒別；T5：越權(quán)或濫用T7：網(wǎng)絡(luò)攻擊無32472網(wǎng)絡(luò)設(shè)備風(fēng)險程度匯總通過檢查、分析，共發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境風(fēng)險6項，其中高風(fēng)險項1項，低風(fēng)險項5項。主機/數(shù)據(jù)風(fēng)險程度列表注：A表示資產(chǎn)價值；T表示威脅發(fā)生頻率；V表示脆弱性嚴(yán)重程度；序號關(guān)鍵系統(tǒng)單元資產(chǎn)名稱（測試對象編號）脆弱性描述威脅編號已有安全措施威脅發(fā)生率脆弱性程度資產(chǎn)價值風(fēng)險值EQ\R(,T*V)*EQ\R(,A*V)風(fēng)險等級TVA1門戶網(wǎng)站應(yīng)用服務(wù)器SDJT-FWQ-01操作系統(tǒng)管理用戶身份鑒別信息未具有不易被冒用的特點，口令未有復(fù)雜度要求并定期更換；T5：越權(quán)或濫用T9：篡改禁止遠(yuǎn)程登錄維護13572未啟用登錄失敗處理功能，可采取結(jié)束會話、限制非法登錄次數(shù)和自動退出等措施；T5：越權(quán)或濫用T9：篡改禁止遠(yuǎn)程登錄維護12541未采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進行身份鑒別。T5：越權(quán)或濫用T9：篡改禁止遠(yuǎn)程登錄維護125412門戶網(wǎng)站數(shù)據(jù)庫服務(wù)器SDJT-FWQ-02數(shù)據(jù)庫管理用戶身份鑒別信息未具有不易被冒用的特點，口令未有復(fù)雜度要求并定期更換；T5：越權(quán)或濫用T9：篡改禁止遠(yuǎn)程登錄維護13572未采用兩種或兩種以上組合的鑒別技術(shù)對管理用戶進行身份鑒別。T5：越權(quán)或濫用T9：篡改禁止遠(yuǎn)程登錄維護12541安全審計：審計范圍未覆蓋到服務(wù)器上的每個數(shù)據(jù)庫用戶；審計內(nèi)容未包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；審計記錄未包括事件的日期、時間、類型、主體標(biāo)識、客體標(biāo)識和結(jié)果等；未能夠根據(jù)記錄數(shù)據(jù)進行分析，并生成審計報表；；未保護審計進程，避免受到未預(yù)期的中斷；未保護審計記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。T10：抵賴無335123安全漏洞：Oracle2007年1月更新修復(fù)多個安全漏洞Oracle2007年4月更新修復(fù)多個安全漏洞Oracle2007年7月更新修復(fù)多個安全漏洞Oracle2007年10月更新修復(fù)多個安全漏洞Oracle2008年1月更新修復(fù)多個安全漏洞Oracle2008年7月更新修復(fù)多個安全漏洞Oracle2009年4月緊急補丁更新修復(fù)多個漏洞Oracle2009年7月更新修復(fù)多個安全漏洞Oracle2010年1月更新修復(fù)多個安全漏洞Oracle2010年4月緊急補丁更新修復(fù)多個漏洞Oracle2012年4月更新修復(fù)多個安全漏洞Oracle2012年7月更新修復(fù)多個安全漏洞ICMP時間戳檢測MicrosoftRDP服務(wù)器私鑰信息泄露漏洞CompaqWBEM服務(wù)器檢測T4：惡意代碼T5：越權(quán)或濫用T7：網(wǎng)絡(luò)攻擊T9：篡改在防火墻中進行嚴(yán)格的訪問控制策略2551643不安全節(jié)點192.168.6.1、192.168.6.15、192.168.6.103、192.168.6.11、192.168.6.2、192.168.6.26、192.168.6.10、192.168.6.101、192.168.6.109、192.168.6.105等均存在高風(fēng)險安全漏洞T7：網(wǎng)絡(luò)攻擊在防火墻中進行嚴(yán)格的訪問控制策略352123主機/數(shù)據(jù)風(fēng)險程度匯總通過檢查、分析，共發(fā)現(xiàn)主機安全風(fēng)險17項，其中高風(fēng)險項1項，中風(fēng)險項11項，低風(fēng)險項2項、極低風(fēng)險項3項。 XXXX系統(tǒng)安全測評報告（BJTEC-20XX-XXXX/XX）第24頁共229頁XX單位電子政務(wù)信息系統(tǒng)風(fēng)險評估報告【2024版】第42頁/共45頁應(yīng)用系統(tǒng)風(fēng)險程度列表注：A表示資產(chǎn)價值；T表示威脅發(fā)生頻率；V表示脆弱性嚴(yán)重程度；序號關(guān)鍵系統(tǒng)單元資產(chǎn)名稱（測試對象編號）脆弱性描述威脅已有安全措施威脅發(fā)生率脆弱性程度資產(chǎn)價值風(fēng)險值風(fēng)險值EQ\R(,T*V)*EQ\R(,A*V)資產(chǎn)等級TVA1門戶網(wǎng)站SDJT-YINGY-011.審計策略只覆蓋系統(tǒng)內(nèi)的管理員用戶不能及時分析發(fā)現(xiàn)惡意行為和誤操作。審計記錄數(shù)據(jù)只能查看不能導(dǎo)出或生成報表T10：抵賴無32