资源描述
一、风险评估项目概况
名称
完成时间
试运行时间
二、风险评估活动概述
2.1 风险评估工作组织管理
公司本次风险评估工作成员:
组长:
主任:
成员:
工作原则:依据综合审计日志和信息安全策略准则,在风险评估过程中把最真实的数据和结果反映出来,并及时调整信息的安全保密策略,及时补充完善技术与管理措施,使计算机保持与等级要求相一致的安全保护水平。
2.2 风险评估工作过程
此次评估阶段和具体工作内容包括
第一阶段:资产识别与分析
第二阶段:威胁识别与分析
第三阶段:脆弱性识别与分析
第四阶段:综合分析与评价
第五阶段:整改意见
2.3 依据的技术标准及相关法规文件
本次风险评估依据公司保密安全策略和综合审计报告等文件
三、评估对象
此次风险评估对象包括公司所有计算机,其担任的主要任务是信息的产生、传输、与最终流向。
四、资产识别与分析
4.1 资产类型与赋值
4.1.1资产类型
按照评估对象的构成,分类描述评估对象的资产构成。详细的资产分类与赋值,以附件形式附在评估报告后面,见附件3《资产类型与赋值表》。
4.1.2资产赋值
资产赋值表
序号
编号
名称
密级
1
计算机
2
计算机
3
计算机
4
中间机
五、威胁识别与分析
种类
描述
软硬件故障
由于设备硬件故障、系统本身或软件Bug导致对业务高效稳定运行的影响
物理环境威胁
断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境问题和自然灾害
无作为或操作失误
由于应该执行而没有执行相应的操作,或无意地执行了错误的操作,对系统造成影响
管理不到位
安全管理无法落实,不到位,造成安全管理不规范,或者管理混乱,从而破坏信息系统正常有序运行
恶意代码和病毒
具有自我复制、自我传播能力,对信息系统构成破坏的程序代码
越权或滥用
通过采用一些措施,超越自己的权限访问了本来无权访问的资源;或者滥用自己的职权,做出破坏信息系统的行为
物理攻击
物理接触、物理破坏、盗窃
泄密
泄漏,信息泄漏给他人
篡改
非法修改信息,破坏信息的完整性
抵赖
不承认收到的信息和所作的操作和交易
5.1 威胁数据采集
种类
威胁出现频率
软硬件故障
低
物理环境威胁
很低
无作为或操作失误
低
管理不到位
低
恶意代码和病毒
低
越权或滥用
低
物理攻击
低
泄密
低
篡改
低
抵赖
低
5.2 威胁赋值
见《威胁赋值表》。
六、脆弱性识别与分析
按照检测对象、检测结果、脆弱性分析分别描述以下各方面的脆弱性检测结果和结果分析。
6.1 常规脆弱性描述
6.1.1 管理脆弱性
在计算机的管理上采用严格的管理制度和安全策略,脆弱性赋值为低。
6.1.2系统脆弱性
计算机安装的是windows xp sp3系统,通过对其稳定性测试和漏洞扫描并及时安装漏洞补丁,脆弱性赋值为低。
6.1.3应用脆弱性
计算机的应用有严格的身份鉴别和软件的安全稳定性测试,脆弱性赋值为低。
6.1.4数据处理和存储脆弱性
计算机的数据处理和存储采用自动保存和定期备份机制,确保完整性,脆弱性赋值为低。
6.1.5运行维护脆弱性
计算机定期进行软件更新和硬件维护,脆弱性赋值为低。
6.1.7灾备与应急响应脆弱性
根据保密安全策略的应急响应策略,定期对应急计划和响应程序进行检查和进行必要的演练,确保其始终有效。脆弱性赋值为低。
6.1.8物理脆弱性
根据物理安全策略,划分了安全区域,并进行物理访问控制,进行记录在案。脆弱性赋值为低。
6.2脆弱性专项检测
6.2.1木马病毒专项检查
根据杀毒软件的综合杀毒日志和杀毒记录,脆弱性赋值为低。
6.2.2设备安全性专项测试
根据计算机综合审计日志进行分析,脆弱性赋值为低。
6.2.3其他专项检测
通过安装电磁辐射干扰仪,脆弱性赋值为低。
6.3 脆弱性综合列表
见《脆弱性分析赋值表》。
七、综合分析与评价
根据上述风险评估结果,评定公司计算机的风险值是很低的,希望公司各涉密人员能够继续保持和遵守安全保密策略和行为准册,严格要求自己。
八、整改意见
根据评估结果提出以下几点整改意见:
1.加强计算机管理使用制度的培训。
2.对安全产品的实施要做到及时到位。
3.严格按照审批手续执行
附件1:管理措施表
序号
层面/方面
安全控制/措施
落实
部分落实
没有落实
不适用
安全管理制度
管理制度
√
制定和发布
√
评审和修订
√
安全管理机构
岗位设置
√
人员配备
√
授权和审批
√
沟通和合作
√
审核和检查
√
人员安全管理
人员录用
√
人员离岗
√
人员考核
√
安全意识教育和培训
√
外部人员访问管理
√
系统建设管理
系统定级
√
安全方案设计
√
产品采购
√
自行软件开发
√
外包软件开发
√
工程实施
√
测试验收
√
系统交付
√
系统备案
√
安全服务商选择
√
系统运维管理
环境管理
√
资产管理
√
介质管理
√
设备管理
√
监控管理和安全管理中心
√
网络安全管理
√
系统安全管理
√
恶意代码防范管理
√
密码管理
√
变更管理
√
备份与恢复管理
√
安全事件处置
√
应急预案管理
√
小计
附件2:技术措施表
序号
层面/方面
安全控制/措施
落实
部分落实
没有落实
不适用
1
物理安全
物理位置的选择
√
物理访问控制
√
防盗窃和防破坏
√
防雷击
√
防火
√
防水和防潮
√
防静电
√
温湿度控制
√
电力供应
√
电磁防护
√
主机安全
身份鉴别
√
访问控制
√
安全审计
√
剩余信息保护
√
入侵防范
√
恶意代码防范
√
资源控制
√
应用安全
身份鉴别
√
访问控制
√
安全审计
√
剩余信息保护
√
通信完整性
√
通信保密性
√
抗抵赖
√
软件容错
√
资源控制
√
数据安全及备份与恢复
数据完整性
√
数据保密性
√
备份和恢复
√
8
附件3:威胁赋值表
资产名称
编号
威胁
总分值
威胁等级
操作失误
滥用授权
行为抵赖
身份假冒
口令攻击
密码分析
漏洞利用
拒绝服务
恶意代码
窃取数据
物理破坏
社会工程
意外故障
通信中断
数据受损
电源中断
灾害
管理不到位
越权使用
1
2
1
1
1
1
1
1
2
1
1
1
1
2
1
1
1
1
1
1
22
很低
2
2
1
1
1
1
1
2
3
1
1
1
1
2
1
1
2
1
1
1
25
很低
3
2
1
1
1
1
1
1
2
1
1
1
1
2
1
1
3
1
1
1
24
很低
4
2
1
1
1
1
1
1
1
1
1
1
1
2
1
1
1
1
1
1
21
很低
附件4:脆弱性分析赋值表
编号
检测项
检测子项
脆弱性
整改建议
标识
1
管理脆弱性检测
机构、制度、人员
很低
加强制度培训
V1
安全策略
低
增加审计事件
V2
检测与响应脆弱性
低
无
V3
日常维护
低
无
V4
3
系统脆弱性检测
操作系统脆弱性
低
无
V5
5
数据处理和存储脆弱性
数据处理
低
无
V6
数据存储脆弱性
低
无
V7
6
运行维护脆弱性
安全事件管理
中
无
V8
7
灾备与应急响应脆弱性
数据备份
中
备份周期时间降低
V9
应急预案及演练
低
无
V10
8
物理脆弱性检测
环境脆弱性
低
无
V11
设备脆弱性
低
无
V12
存储介质脆弱性
低
无
V13
9
木马病毒检测
远程控制木马
低
无
V14
恶意插件
低
无
V15
13
其他检测
电磁辐射干扰仪
低
无
V16
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
