资源描述
一、风险评定项目概况
名称
完成时间
试运行时间
二、风险评定活动概述
2.1 风险评定工作组织管理
企业此次风险评定工作组员:
组长:
主任:
组员:
工作标准:依据综合审计日志和信息安全策略准则,在风险评定过程中把最真实数据和结果反应出来,并立即调整信息安全保密策略,立即补充完善技术和管理方法,使计算机保持和等级要求相一致安全保护水平。
2.2 风险评定工作过程
此次评定阶段和具体工作内容包含
第一阶段:资产识别和分析
第二阶段:威胁识别和分析
第三阶段:脆弱性识别和分析
第四阶段:综合分析和评价
第五阶段:整改意见
2.3 依据技术标准及相关法规文件
此次风险评定依据企业保密安全策略和综合审计汇报等文件
三、评定对象
此次风险评定对象包含企业全部计算机,其担任关键任务是信息产生、传输、和最终流向。
四、资产识别和分析
4.1 资产类型和赋值
4.1.1资产类型
根据评定对象组成,分类描述评定对象资产组成。具体资产分类和赋值,以附件形式附在评定汇报后面,见附件3《资产类型和赋值表》。
4.1.2资产赋值
资产赋值表
序号
编号
名称
密级
1
计算机
2
计算机
3
计算机
4
中间机
五、威胁识别和分析
种类
描述
软硬件故障
因为设备硬件故障、系统本身或软件Bug造成对业务高效稳定运行影响
物理环境威胁
断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境问题和自然灾难
无作为或操作失误
因为应该实施而没有实施对应操作,或无意地实施了错误操作,对系统造成影响
管理不到位
安全管理无法落实,不到位,造成安全管理不规范,或管理混乱,从而破坏信息系统正常有序运行
恶意代码和病毒
含有自我复制、自我传输能力,对信息系统组成破坏程序代码
越权或滥用
经过采取部分方法,超越自己权限访问了原来无权访问资源;或滥用自己职权,做出破坏信息系统行为
物理攻击
物理接触、物理破坏、偷窃
泄密
泄漏,信息泄漏给她人
篡改
非法修改信息,破坏信息完整性
抵赖
不认可收到信息和所作操作和交易
5.1 威胁数据采集
种类
威胁出现频率
软硬件故障
低
物理环境威胁
很低
无作为或操作失误
低
管理不到位
低
恶意代码和病毒
低
越权或滥用
低
物理攻击
低
泄密
低
篡改
低
抵赖
低
5.2 威胁赋值
见《威胁赋值表》。
六、脆弱性识别和分析
根据检测对象、检测结果、脆弱性分析分别描述以下各方面脆弱性检测结果和结果分析。
6.1 常规脆弱性描述
6.1.1 管理脆弱性
在计算机管理上采取严格管理制度和安全策略,脆弱性赋值为低。
6.1.2系统脆弱性
计算机安装是windows xp sp3系统,经过对其稳定性测试和漏洞扫描并立即安装漏洞补丁,脆弱性赋值为低。
6.1.3应用脆弱性
计算机应用有严格身份判别和软件安全稳定性测试,脆弱性赋值为低。
6.1.4数据处理和存放脆弱性
计算机数据处理和存放采取自动保留和定时备份机制,确保完整性,脆弱性赋值为低。
6.1.5运行维护脆弱性
计算机定时进行软件更新和硬件维护,脆弱性赋值为低。
6.1.7灾备和应急响应脆弱性
依据保密安全策略应急响应策略,定时对应急计划和响应程序进行检验和进行必需演练,确保其一直有效。脆弱性赋值为低。
6.1.8物理脆弱性
依据物理安全策略,划分了安全区域,并进行物理访问控制,进行统计在案。脆弱性赋值为低。
6.2脆弱性专题检测
6.2.1木马病毒专题检验
依据杀毒软件综合杀毒日志和杀毒统计,脆弱性赋值为低。
6.2.2设备安全性专题测试
依据计算机综合审计日志进行分析,脆弱性赋值为低。
6.2.3其它专题检测
经过安装电磁辐射干扰仪,脆弱性赋值为低。
6.3 脆弱性综合列表
见《脆弱性分析赋值表》。
七、综合分析和评价
依据上述风险评定结果,评定企业计算机风险值是很低,期望企业各涉密人员能够继续保持和遵守安全保密策略和行为准册,严格要求自己。
八、整改意见
依据评定结果提出以下几点整改意见:
1.加强计算机管理使用制度培训。
2.对安全产品实施要做到立即到位。
3.严格根据审批手续实施
附件1:管理方法表
序号
层面/方面
安全控制/方法
落实
部分落实
没有落实
不适用
安全管理制度
管理制度
√
制订和公布
√
评审和修订
√
安全管理机构
岗位设置
√
人员配置
√
授权和审批
√
沟通和合作
√
审核和检验
√
人员安全管理
人员录用
√
人员离岗
√
人员考评
√
安全意识教育和培训
√
外部人员访问管理
√
系统建设管理
系统定级
√
安全方案设计
√
产品采购
√
自行软件开发
√
外包软件开发
√
工程实施
√
测试验收
√
系统交付
√
系统立案
√
安全服务商选择
√
系统运维管理
环境管理
√
资产管理
√
介质管理
√
设备管理
√
监控管理和安全管理中心
√
网络安全管理
√
系统安全管理
√
恶意代码防范管理
√
密码管理
√
变更管理
√
备份和恢复管理
√
安全事件处理
√
应急预案管理
√
小计
附件2:技术方法表
序号
层面/方面
安全控制/方法
落实
部分落实
没有落实
不适用
1
物理安全
物理位置选择
√
物理访问控制
√
防偷窃和防破坏
√
防雷击
√
防火
√
防水和防潮
√
防静电
√
温湿度控制
√
电力供给
√
电磁防护
√
主机安全
身份判别
√
访问控制
√
安全审计
√
剩下信息保护
√
入侵防范
√
恶意代码防范
√
资源控制
√
应用安全
身份判别
√
访问控制
√
安全审计
√
剩下信息保护
√
通信完整性
√
通信保密性
√
抗抵赖
√
软件容错
√
资源控制
√
数据安全及备份和恢复
数据完整性
√
数据保密性
√
备份和恢复
√
附件3:威胁赋值表
资产名称
编号
威胁
总分值
威胁等级
操作失误
滥用授权
行为抵赖
身份假冒
口令攻击
密码分析
漏洞利用
拒绝服务
恶意代码
窃取数据
物理破坏
社会工程
意外故障
通信中止
数据受损
电源中止
灾难
管理不到位
越权使用
1
2
1
1
1
1
1
1
2
1
1
1
1
2
1
1
1
1
1
1
22
很低
2
2
1
1
1
1
1
2
3
1
1
1
1
2
1
1
2
1
1
1
25
很低
3
2
1
1
1
1
1
1
2
1
1
1
1
2
1
1
3
1
1
1
24
很低
4
2
1
1
1
1
1
1
1
1
1
1
1
2
1
1
1
1
1
1
21
很低
附件4:脆弱性分析赋值表
编号
检测项
检测子项
脆弱性
整改提议
标识
1
管理脆弱性检测
机构、制度、人员
很低
加强制度培训
V1
安全策略
低
增加审计事件
V2
检测和响应脆弱性
低
无
V3
日常维护
低
无
V4
3
系统脆弱性检测
操作系统脆弱性
低
无
V5
5
数据处理和存放脆弱性
数据处理
低
无
V6
数据存放脆弱性
低
无
V7
6
运行维护脆弱性
安全事件管理
中
无
V8
7
灾备和应急响应脆弱性
数据备份
中
备份周期时间降低
V9
应急预案及演练
低
无
V10
8
物理脆弱性检测
环境脆弱性
低
无
V11
设备脆弱性
低
无
V12
存放介质脆弱性
低
无
V13
9
木马病毒检测
远程控制木马
低
无
V14
恶意插件
低
无
V15
13
其它检测
电磁辐射干扰仪
低
无
V16
展开阅读全文
浙ICP备2021020529号-1 | 浙B2-20240490 
