計(jì)算機(jī)風(fēng)險(xiǎn)評(píng)估報(bào)告

計(jì)算機(jī)風(fēng)險(xiǎn)評(píng)估報(bào)告PAGE8一、風(fēng)險(xiǎn)評(píng)估項(xiàng)目概況名稱完成時(shí)間試運(yùn)行時(shí)間二、風(fēng)險(xiǎn)評(píng)估活動(dòng)概述2.1風(fēng)險(xiǎn)評(píng)估工作組織管理公司本次風(fēng)險(xiǎn)評(píng)估工作成員：組長(zhǎng)：主任：成員：工作原則：依據(jù)綜合審計(jì)日志和信息安全策略準(zhǔn)則，在風(fēng)險(xiǎn)評(píng)估過(guò)程中把最真實(shí)的數(shù)據(jù)和結(jié)果反映出來(lái)，并及時(shí)調(diào)整信息的安全保密策略，及時(shí)補(bǔ)充完善技術(shù)與管理措施，使計(jì)算機(jī)保持與等級(jí)要求相一致的安全保護(hù)水平。2.2風(fēng)險(xiǎn)評(píng)估工作過(guò)程此次評(píng)估階段和具體工作內(nèi)容包括第一階段：資產(chǎn)識(shí)別與分析惡意代碼和病毒低越權(quán)或?yàn)E用低物理攻擊低泄密低篡改低抵賴低5.2威脅賦值見(jiàn)《威脅賦值表》。六、脆弱性識(shí)別與分析按照檢測(cè)對(duì)象、檢測(cè)結(jié)果、脆弱性分析分別描述以下各方面的脆弱性檢測(cè)結(jié)果和結(jié)果分析。6.1常規(guī)脆弱性描述6.1.1管理脆弱性在計(jì)算機(jī)的管理上采用嚴(yán)格的管理制度和安全策略，脆弱性賦值為低。6.1.2系統(tǒng)脆弱性計(jì)算機(jī)安裝的是windowsxpsp3系統(tǒng)，通過(guò)對(duì)其穩(wěn)定性測(cè)試和漏洞掃描并及時(shí)安裝漏洞補(bǔ)丁，脆弱性賦值為低。6.1.3應(yīng)用脆弱性計(jì)算機(jī)的應(yīng)用有嚴(yán)格的身份鑒別和軟件的安全穩(wěn)定性測(cè)試，脆弱性賦值為低。6.1.4數(shù)據(jù)處理和存儲(chǔ)脆弱性計(jì)算機(jī)的數(shù)據(jù)處理和存儲(chǔ)采用自動(dòng)保存和定期備份機(jī)制，確保完整性，脆弱性賦值為低。6.1.5運(yùn)行維護(hù)脆弱性計(jì)算機(jī)定期進(jìn)行軟件更新和硬件維護(hù)，脆弱性賦值為低。6.1.7災(zāi)備與應(yīng)急響應(yīng)脆弱性根據(jù)保密安全策略的應(yīng)急響應(yīng)策略，定期對(duì)應(yīng)急計(jì)劃和響應(yīng)程序進(jìn)行檢查和進(jìn)行必要的演練，確保其始終有效。脆弱性賦值為低。6.1.8物理脆弱性根據(jù)物理安全策略，劃分了安全區(qū)域，并進(jìn)行物理訪問(wèn)控制，進(jìn)行記錄在案。脆弱性賦值為低。6.2脆弱性專項(xiàng)檢測(cè)6.2.1木馬病毒專項(xiàng)檢查根據(jù)殺毒軟件的綜合殺毒日志和殺毒記錄，脆弱性賦值為低。6.2.2設(shè)備安全性專項(xiàng)測(cè)試根據(jù)計(jì)算機(jī)綜合審計(jì)日志進(jìn)行分析，脆弱性賦值為低。6.2.3其他專項(xiàng)檢測(cè)通過(guò)安裝電磁輻射干擾儀，脆弱性賦值為低。6.3脆弱性綜合列表見(jiàn)《脆弱性分析賦值表》。七、綜合分析與評(píng)價(jià)根據(jù)上述風(fēng)險(xiǎn)評(píng)估結(jié)果，評(píng)定公司計(jì)算機(jī)的風(fēng)險(xiǎn)值是很低的，希望公司各涉密人員能夠繼續(xù)保持和遵守安全保密策略和行為準(zhǔn)冊(cè)，嚴(yán)格要求自己。八、整改意見(jiàn)根據(jù)評(píng)估結(jié)果提出以下幾點(diǎn)整改意見(jiàn)：1.加強(qiáng)計(jì)算機(jī)管理使用制度的培訓(xùn)。2.對(duì)安全產(chǎn)品的實(shí)施要做到及時(shí)到位。3.嚴(yán)格按照審批手續(xù)執(zhí)行

附件1：管理措施表序號(hào)層面/方面安全控制/措施落實(shí)部分落實(shí)沒(méi)有落實(shí)不適用安全管理制度管理制度√制定和發(fā)布√評(píng)審和修訂√安全管理機(jī)構(gòu)崗位設(shè)置√人員配備√授權(quán)和審批√溝通和合作√審核和檢查√人員安全管理人員錄用√人員離崗√人員考核√安全意識(shí)教育和培訓(xùn)√外部人員訪問(wèn)管理√系統(tǒng)建設(shè)管理系統(tǒng)定級(jí)√安全方案設(shè)計(jì)√產(chǎn)品采購(gòu)√自行軟件開(kāi)發(fā)√外包軟件開(kāi)發(fā)√工程實(shí)施√測(cè)試驗(yàn)收√系統(tǒng)交付√系統(tǒng)備案√安全服務(wù)商選擇√系統(tǒng)運(yùn)維管理環(huán)境管理√資產(chǎn)管理√介質(zhì)管理√設(shè)備管理√監(jiān)控管理和安全管理中心√網(wǎng)絡(luò)安全管理√系統(tǒng)安全管理√惡意代碼防范管理√密碼管理√變更管理√備份與恢復(fù)管理√安全事件處置√應(yīng)急預(yù)案管理√小計(jì)附件2：技術(shù)措施表序號(hào)層面/方面安全控制/措施落實(shí)部分落實(shí)沒(méi)有落實(shí)不適用1物理安全物理位置的選擇√物理訪問(wèn)控制√防盜竊和防破壞√防雷擊√防火√防水和防潮√防靜電√溫濕度控制√電力供應(yīng)√電磁防護(hù)√主機(jī)安全身份鑒別√訪問(wèn)控制√安全審計(jì)√剩余信息保護(hù)√入侵防范√惡意代碼防范√資源控制√應(yīng)用安全身份鑒別√訪問(wèn)控制√安全審計(jì)√剩余信息保護(hù)√通信完整性√通信保密性√抗抵賴√軟件容錯(cuò)√資源控制√數(shù)據(jù)安全及備份與恢復(fù)數(shù)據(jù)完整性√數(shù)據(jù)保密性√備份和恢復(fù)√附件3：威脅賦值表資產(chǎn)名稱編號(hào)威脅總分值威脅等級(jí)操作失誤濫用授權(quán)行為抵賴身份假冒口令攻擊密碼分析漏洞利用拒絕服務(wù)惡意代碼竊取數(shù)據(jù)物理破壞社會(huì)工程意外故障通信中斷數(shù)據(jù)受損電源中斷災(zāi)害管理不到位越權(quán)使用1211111121111211111122很低2211111231111211211125很低3211111121111211311124很低4211111111111211111121很低

附件4：脆弱性分析賦值表編號(hào)檢測(cè)項(xiàng)檢測(cè)子項(xiàng)脆弱性整改建議標(biāo)識(shí)1管理脆弱性檢測(cè)機(jī)構(gòu)、制度、人員很低加強(qiáng)制度培訓(xùn)安全策略低增加審計(jì)事件檢測(cè)與響應(yīng)脆弱性低無(wú)日常維護(hù)低無(wú)3系統(tǒng)脆弱性檢測(cè)操作系統(tǒng)脆弱性低無(wú)5數(shù)據(jù)處理和存儲(chǔ)脆弱性數(shù)據(jù)處理低無(wú)數(shù)據(jù)存儲(chǔ)脆弱性低無(wú)6運(yùn)行維護(hù)脆弱性安全事件管理中無(wú)7災(zāi)備與