计算机风险评估报告

计算机风险评估报告PAGE8一、风险评估项目概况名称完成时间试运行时间二、风险评估活动概述2.1风险评估工作组织管理公司本次风险评估工作成员：组长：主任：成员：工作原则：依据综合审计日志和信息安全策略准则，在风险评估过程中把最真实的数据和结果反映出来，并及时调整信息的安全保密策略，及时补充完善技术与管理措施，使计算机保持与等级要求相一致的安全保护水平。2.2风险评估工作过程此次评估阶段和具体工作内容包括第一阶段：资产识别与分析恶意代码和病毒低越权或滥用低物理攻击低泄密低篡改低抵赖低5.2威胁赋值见《威胁赋值表》。六、脆弱性识别与分析按照检测对象、检测结果、脆弱性分析分别描述以下各方面的脆弱性检测结果和结果分析。6.1常规脆弱性描述6.1.1管理脆弱性在计算机的管理上采用严格的管理制度和安全策略，脆弱性赋值为低。6.1.2系统脆弱性计算机安装的是windowsxpsp3系统，通过对其稳定性测试和漏洞扫描并及时安装漏洞补丁，脆弱性赋值为低。6.1.3应用脆弱性计算机的应用有严格的身份鉴别和软件的安全稳定性测试，脆弱性赋值为低。6.1.4数据处理和存储脆弱性计算机的数据处理和存储采用自动保存和定期备份机制，确保完整性，脆弱性赋值为低。6.1.5运行维护脆弱性计算机定期进行软件更新和硬件维护，脆弱性赋值为低。6.1.7灾备与应急响应脆弱性根据保密安全策略的应急响应策略，定期对应急计划和响应程序进行检查和进行必要的演练，确保其始终有效。脆弱性赋值为低。6.1.8物理脆弱性根据物理安全策略，划分了安全区域，并进行物理访问控制，进行记录在案。脆弱性赋值为低。6.2脆弱性专项检测6.2.1木马病毒专项检查根据杀毒软件的综合杀毒日志和杀毒记录，脆弱性赋值为低。6.2.2设备安全性专项测试根据计算机综合审计日志进行分析，脆弱性赋值为低。6.2.3其他专项检测通过安装电磁辐射干扰仪，脆弱性赋值为低。6.3脆弱性综合列表见《脆弱性分析赋值表》。七、综合分析与评价根据上述风险评估结果，评定公司计算机的风险值是很低的，希望公司各涉密人员能够继续保持和遵守安全保密策略和行为准册，严格要求自己。八、整改意见根据评估结果提出以下几点整改意见：1.加强计算机管理使用制度的培训。2.对安全产品的实施要做到及时到位。3.严格按照审批手续执行

附件1：管理措施表序号层面/方面安全控制/措施落实部分落实没有落实不适用安全管理制度管理制度√制定和发布√评审和修订√安全管理机构岗位设置√人员配备√授权和审批√沟通和合作√审核和检查√人员安全管理人员录用√人员离岗√人员考核√安全意识教育和培训√外部人员访问管理√系统建设管理系统定级√安全方案设计√产品采购√自行软件开发√外包软件开发√工程实施√测试验收√系统交付√系统备案√安全服务商选择√系统运维管理环境管理√资产管理√介质管理√设备管理√监控管理和安全管理中心√网络安全管理√系统安全管理√恶意代码防范管理√密码管理√变更管理√备份与恢复管理√安全事件处置√应急预案管理√小计附件2：技术措施表序号层面/方面安全控制/措施落实部分落实没有落实不适用1物理安全物理位置的选择√物理访问控制√防盗窃和防破坏√防雷击√防火√防水和防潮√防静电√温湿度控制√电力供应√电磁防护√主机安全身份鉴别√访问控制√安全审计√剩余信息保护√入侵防范√恶意代码防范√资源控制√应用安全身份鉴别√访问控制√安全审计√剩余信息保护√通信完整性√通信保密性√抗抵赖√软件容错√资源控制√数据安全及备份与恢复数据完整性√数据保密性√备份和恢复√附件3：威胁赋值表资产名称编号威胁总分值威胁等级操作失误滥用授权行为抵赖身份假冒口令攻击密码分析漏洞利用拒绝服务恶意代码窃取数据物理破坏社会工程意外故障通信中断数据受损电源中断灾害管理不到位越权使用1211111121111211111122很低2211111231111211211125很低3211111121111211311124很低4211111111111211111121很低

附件4：脆弱性分析赋值表编号检测项检测子项脆弱性整改建议标识1管理脆弱性检测机构、制度、人员很低加强制度培训安全策略低增加审计事件检测与响应脆弱性低无日常维护低无3系统脆弱性检测操作系统脆弱性低无5数据处理和存储脆弱性数据处理低无数据存储脆弱性低无6运行维护脆弱性安全事件管理中无7灾备与