《风险评估综合报告》

文档名称制作部门日期核准日期所属部门备注1 1 1 1 1 1第2章评估方法 12.1.评估模型 2 3 4 5 52.4.2.资料采集及查阅 52.4.3.人工审计 524.4.工具扫描 62.4.5.渗透测试 6第3章评估依据 6 7 7第4章评估对象分析 8 84.2.业务应用 84.3.现有保护措施 8第5章资产识别 8 9 9 6.4.1.技术脆弱性 6.4.2.管理脆弱性 6.7.脆弱性分布统计 17第7章综合风险分析 177.1.风险分析方法 7.2.风险等级划分 7.3.不可接受风险划分 7.4.风险分析结果 19第9章不可接受风险处理措施 2110.1.A资产风险详细计算表 10.2.漏洞扫描报告 22 221此次风险评估，确定的评估范围为OA系统。评估共发现信息安全风险60个，其中极高风险6个，高风险14个，中风险1个，低1第1章评估工作概述第2章评估方法2EQ\*jc3\*hps10\o\al(\s\up3(A),*7#)6aEQ\*jc3\*hps10\o\al(\s\up5(*),*)EQ\*jc3\*hps10\o\al(\s\up5(=),8)性图1评估模型启明星展风险管理关系模型*生A3的风险。有些残存风险来自于安全措施可能不当继续控制，而有些残存风险则是在综合考虑了安全成本与效益后未控失属性，资产的属性是资产4是否香是图3评估流程示意图种战略性的考虑，其结果将受到组织业务战略、业务流>确定风险评估的范围：根据评估范围内信息系统，本次评估选择了XX各部门的协调接口人，由<客户>领导和安全服务厂商的顾问团队共同5集、工具评估，人工审计、文档查阅，渗透测试几种方XX系统技术人员在信息安全方面的需求和建议。6第3章评估依据7号文),提出“要重视信息安全风险评估工作，对网络与信息系统安全的潜3)国务院信息化工作办公室《关于印发<信息安全风险评估试点工作方案>4)由国家网络与信息安全协调小组讨论通过的《关于开展信息安全风险评5)中共中央办公厅国务院办公厅《关于印发2022—2022年国家信息化发展6)为保障十七大，在国家基础信息网络和重要信息系统范围内，全面展开(发改高技(2022)2071号),明确“加强和规范国家电子政务工程建设项1)IS015408信息技术安全评估准则4)ISO/IEC27000信息安全管理体系系列标准812)GB/T20008-2005信息安全技术操作系统安全评估准则13)GB/T20009-2005信息安全技术数据库管理系统安全评估准则14)GB/T20010-2005信息安全技术包过滤防火墙评估准则15)GB/T20011-2005信息安全技术路由器安全评估准则16)等等注：根据具体情况修改第4章评估对象分析第5章资产识别9资产进行了重要性程度赋值。资产识别和赋值结果记录在资产识别表中。表格1重要资产清单(服务器)部门表格2重要资产清单(安全设备)部门表格3重要资产清单(网络设备)部门响程度设定本单位重要资产的判定标准为：资产重要性程度值大于等于2.6据这个标准形成为了系统重要资产清单。项目小组依据《信息安全技术信息安全风险评估规范(GB/T20984-2022)》对于保密性、可用性、完整性的定义及5决定性的影响，如果泄露会造成灾难性的伤害4高包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重伤害3中等组织的普通性秘密，其泄露会使组织的安全和利益受到伤害2低仅能在组织内部或者在组织某一部门内部公开的信息，向外的利益造成轻微伤害1很低5响，对业务冲击重大，并可能造成严重的业务中断，难以弥补4高完整性价值较高，未经授权的修改或者破坏会对组织造成重,较难弥补3中等完整性价值中等，未经授权的修改或者破坏会对组织造成影可以弥补2低完整性价值较低，未经授权的修改或者破坏会对组织造成轻,容易弥补1很低完整性价值非常低，未经授权的修改或者破坏对组织造成的影响可以忽略，对业务冲击表格6可用性赋值表5可用性价值非常高，合法使用者对信息及信息系统的可用度达到4高可用性价值较高，合法使用者对信息及信息系统的可用度达3中等可用性价值中等，合法使用者对信息及信息系统的可用度在正常工作时间达到70%以2低可用性价值较低，合法使用者对信息及信息系统的可用度在以上，或者系统允许中断时间小于60min1很低资产值资产等级54321 5非常重要，其安全属性破坏后可能对组织造4高重要，其安全属性破坏后可能对组织造成比较严3中等比较重要，其安全属性破坏后可能对组织造成中等程度的损失2.6-3.52低不太重要，其安全属性破坏后可能对组织造1很低不重要，其安全属性破坏后对组织造成导很小的损 部门第6章威胁识别由于设备硬件故障、通讯链路中断、系统本身设计或者软件缺陷导致对业务高效稳定运行的影响胁由于应该执行而没有执行相应的操作、或者无意地执行了错误的操作，对网络及相关系统造成影响管理不到位安全管理无法落实、不到位，造成安全管理不规范或者管理混恶意代码和具有自我复制、自我传播能力，对网络及相关系统构成破坏的用通过采用一些措施，超越自己的权限访问了本来无权访问的资源；或者滥用自己的职权，做出破坏网络及相关系统的行黑客攻击技术为利用黑客工具和技术，例如侦察、密码猜测攻击、缓冲区物理接触、物理破坏、盗窃泄密非法修改信息不承认收到的信息和所作的操作或者交易 5威胁浮现的频率很高，在大多数情况下几乎不可常发生过4高威胁浮现的频率较高，在大多数情况下很有可能多次发生过3中等威胁浮现的频率中等，在某种情况下可能会发生或2低威胁浮现的频率较低，普通不太可能发生，也1很低威胁几乎不可能发生，仅可能在非常罕见和a)以往安全事件报告中浮现过的威胁及其c)近一两年来国际组织发布的对于通信行业的威胁及其发生频率统计，以表格15重要资产威胁赋值表(服务器)本次网络安全风险评估项目中，我们对主机、网表格17资产脆弱性识别表(服务器)脆弱性名表格18资产脆弱性识别表(安全设备)脆弱性名表格19资产脆弱性识别表(网络设备)脆弱性名表格20资产脆弱性识别表(应用系统)脆弱性名表格21资产脆弱性识别表(服务器)脆弱性名表格22资产脆弱性识别表(文档)脆弱性名表格23资产脆弱性识别表(人员)脆弱性名5如果被威胁利用，将对资产造成彻底伤害4高如果被威胁利用，将对资产造成重大伤害3中等如果被威胁利用，将对资产造成普通伤害2低如果被威胁利用，将对资产造成较小伤害1极如果被威胁利用，将对资产造成的伤害可以忽略表格25资产脆弱性识别表(服务器)第7章综合风险分析经风险分析小组确定并经项目负责人批准，我91为极高风险，小于91但大于等于61的为高风险，小于61但大于等于31的险值