XX信息系统安全风险分析与评估报告模板(公开).doc

资源描述

说明文字：大致内容如此，根据具体情况增删 XXXX信息系统安全风险评估报告二〇一五年七月目录 1 评估工作概述 3 1.1评估目标 3 1.2评估组织 3 1.3评估对象 3 1.3.1业务职能与组织结构 3 1.3.2系统定级 6 1.3.3物理环境 6 1.3.4网络结构 9 1.3.5安全保密措施 12 1.3.6重要XX部门、部位 13 2 评估依据和标准 13 3 评估方案 14 4 资产识别 15 4.1资产重要性等级定义 15 4.2资产分类 16 4.2.1服务器情况列表 16 4.2.2交换机情况列表 19 4.2.3用户终端和XX单机 19 4.2.4特种设备 20 4.2.5软件平台 20 4.2.6安全保密设备 20 4.2.7应用系统情况列表 28 4.2.8试运行应用系统情况列表 29 5 威胁识别 30 5.1威胁分类 30 5.2威胁赋值 31 6 脆弱性识别 33 6.1脆弱性识别内容 33 6.2脆弱性赋值 33 6.3脆弱性专向检测 34 6.3.1病毒木马专项检查 34 6.3.2网络扫描专项测试 34 7 风险分析 44 8 风险统计 48 9 评估结论 48 10 整改建议 48 1 评估工作概述 2015年7月7-9日，由XX部门组织相关人员对XX信息系统进行了安全风险评估。本报告的评估结论仅针对xx厂XX信息系统本次安全风险评估时的状况。 1.1评估目标本次评估工作依据有关信息安全技术与管理标准，对xx厂XX信息系统及由其处理、传输和存储的信息的安全属性进行评估，分析该XX信息系统内的服务器、网络设备、用户终端及支撑平台等资产在日常运行、管理过程中面临的威胁、存在的脆弱性以及由此带来的安全风险，为将安全风险控制在可接受的水平，最大限度地保障该XX信息系统的信息安全保密提供指导依据。 1.2评估组织本次风险评估由XX信息系统管理领导小组负责组织。由xx部门现场开展本次评估工作，XX业务部门相关人员进行配合。 1.3评估对象 1.3.1业务职能与组织结构 Xx 1.3.2系统定级 Xx厂XX信息系统经xx批准同意，按照所处理XX信息的最高密级定为机密级，采用增强保护要求进行保护。 1.3.3物理环境 XX 1.3.4网络结构图1 、组织机构图图2周边物理环境图 3 、网络拓扑结构图 1.3.5安全保密措施 XX厂XX信息系统配备了防火墙、网络入侵检测系统、漏洞扫描系统、主机监控与审计系统、XX计算机及移动存储介质保密管理系统（“三合一”系统）、中孚信息消除工具、打印安全监控与审计系统、安全邮件、网间文件交换系统、防计算机病毒软件、线路传导干扰器、一级电磁干扰器、红黑电源滤波隔离插座等安全保密产品。身份鉴别口令认证，复杂度，密码长度等符合要求否？ XX便携式计算机、XX单机和XX数据中转单机采用用户名与口令相结合的方式进行身份鉴别。 1.3.6重要XX部门、部位 XX厂XX信息系统保密要害部门为2个，保密要害部位为5个，具体情况如下表所示。序号名称位置所属部门部位性质防护措施监控门控红外报警 2 评估依据和标准 Ø 《武器装备科研生产单位三级保密资格评分标准》 3 评估方案本次风险评估采用文档审阅、人员问询、脆弱性扫描和现场查验等风险评估方法。（1）文档审阅：了解XX信息系统的基本情况、2015年上半年发生的变化，问题项的整改情况，确定后续查验的重点。审阅的文档材料主要包括：安全审计报告与审计报告、例行检查记录、工作和审批记录。（2）人员问询：对XX信息系统管理人员和部分用户（包括行政管理人员和技术人员）进行了问询，评估XX信息系统的管理者和使用者对自身保密职责的知悉情况，以及理解相关制度和标准并落实到日常工作中的情况。（3）脆弱性扫描：通过使用中科网威网络漏洞扫描系统对XX厂XX信息系统进行脆弱性扫描，收集服务器、用户终端、网络设备和数据库的安全漏洞。（4）现场查验：评估规章制度的建设和执行情况；评估部分服务器、用户终端、网络设备、应用系统和安全保密设备的安全保密防护情况；评估系统的物理安全和电磁泄漏发射防护情况。 4 资产识别资产是对组织具有价值的信息或资源。机密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此，必须对XX厂XX信息系统内的资产进行识别。 4.1资产重要性等级定义资产的重要性等级依据资产在保密性、完整性和可用性上的赋值等级综合评定后得出。本次评估将XX厂XX信息系统内的资产划分为五级，级别越高表示资产越重要。不同等级的资产重要性的综合描述如下表所示。等级标识描述 5 很高非常重要，其安全属性破坏后可能对组织造成非常严重的损失 4 高重要，其安全属性破坏后可能对组织造成比较严重的损失 3 中等比较重要，其安全属性破坏后可能对组织造成中等程度的损失 2 低不太重要，其安全属性破坏后可能对组织造成较低的损失 1 很低不重要，其安全属性破坏后可能对组织造成很小的损失，甚至忽略不计 4.2资产分类根据XX厂资产的表现形式，首先将资产分为服务器、交换机、用户终端（含网络打印机）和XX单机（含XX笔记本电脑）、特种设备、软件平台、安全保密设备和应用系统七个大类。然后，根据4.1节的定义，对不同资产的重要性等级进行赋值。 4.2.1服务器情况列表序号类型品牌型号用途 IP地址 IP地址类型资产重要性等级 1. 服务器 2. 服务器 3. 服务器 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. 23. 24. 4.2.2交换机情况列表序号类型交换机型号数量用途资产重要性等级 1 1 交换机 2 2 交换机 3 3 交换机 4 交换机 4.2.3用户终端和XX单机序号类型厂家、型号数量用途资产重要性等级 1 1 用户终端 2 2 2 中间转换机 3 3 3 XX笔记本电脑 3 4.2.4特种设备序号类型厂家、型号数量用途资产重要性等级 1 1 数控机床 2 2 4 考勤设备 1 4.2.5软件平台序号软件名称厂家、版本运行该软件的设备用途安装位置资产重要性等级 1 —— 2 3 Windows 2003 Server —— 3 Windows 2008 Server —— 4 6 SQL Server数据库 —— 5 7 Oracle数据库 —— 6 OSCAR数据库 —— 4.2.6安全保密设备序号设备名称厂家和型号用途安装位置和数量策略设置证书 1 防火墙 2 防病毒软件 3 防病毒软件 4 防病毒软件 5 入侵检测系统 6 漏洞扫描系统 7 USB移动存储介质使用管理系统 8 主机监控与审计 9 微机视频信息保护系统 10 红黑电源隔离插座 11 线路传导干扰器 4.2.7应用系统情况列表序号系统名称密级安装位置用途用户范围访问权限设置情况资产重要性等级 1 1 OA系统 5 2 3 4 5 4.2.8试运行应用系统情况列表序号系统名称密级安装位置用途用户范围访问权限设置情况资产重要性等级 1 1 5 2 2 5 3 3 2 4 5 3 5 2 6 4 5 威胁识别 5.1威胁分类威胁是可能导致对系统或组织危害的不希望事故的潜在起因。威胁可以通过威胁主体、资源、动机和途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。威胁作用形式可以是对信息系统直接或间接的攻击，在保密性、完整性和可用性等方面造成损害；也可能是偶发的或蓄意的事件。下表为本次评估可能涉及到的威胁分类。种类描述威胁子类软硬件故障对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断、系统本身或软件缺陷等问题设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障等物理环境影响对信息系统正常运行造成影响的物理环境问题和自然灾害断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等无作为或操作失误应该执行而没有执行相应的操作，或无意执行了错误的操作维护错误、操作失误等管理不到位安全管理无法落实或不到位，从而破坏信息系统正常有序运行管理制度和策略不完善、管理流程缺失、职责不明确、监督控管机制不健全等恶意代码故意在计算机系统上执行恶意任务的程序代码病毒、木马、蠕虫、恶意程序、间谍软件、窃听软件等越权或滥用通过采用一些措施，超越自己的权限访问了本来无权访问的资源，或者滥用自己的权限，做出破坏信息系统的行为非授权访问网络资源、非授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄漏XX信息等网络攻击利用工具和技术通过网络对信息系统进行攻击和入侵网络探测和信息采集、漏洞探测、嗅探（账号、口令、权限等）、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏等物理攻击通过物理接触造成对软件、硬件和数据的破坏物理接触、物理破坏、盗窃等泄密信息泄露给不应了解的他人内部信息泄漏、外部信息泄漏等篡改非法修改信息，破坏信息的完整性使系统的安全性降低或信息不可用篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息等抵赖不承认受到的信息和所作的操作和交易原发抵赖、接收抵赖、第三方抵赖等 5.2威胁赋值判断威胁出现的频率是威胁赋值的重要内容。本次评估综合考虑了以下三个方面，以形成在评估环境中各种威胁出现的频率。 Ø 以往《月度运行报告》中出现过的威胁及其频率； Ø 实际环境中通过检测工具以及各种日志发现的威胁及其频率；这里对威胁出现的频率进行等级化处理，不同等级分别代表威胁出现的频率的高低。等级数值越大，威胁出现的频率越高。等级标识定义 5 很高出现的频率很高(≧1次/周)；或在大多数情况下几乎不可避免；或可以证实经常发生 4 高出现的频率较高(≧1次/月)；或在大多数情况下很有可能发生；或可以证实多次发生过 3 中等出现的频率中等(≧1次/半年)；或在某种情况下可能会发生；或被证实曾经发生过 2 低出现的频率较低；或一般不太可能发生；或没有被证实发生过 1 很低威胁几乎不可能发生；仅可能在非常罕见和例外的情况下发生 6 脆弱性识别 6.1脆弱性识别内容脆弱性是可能被威胁所利用的资产或若干资产的薄弱环节，即脆弱性是资产本身存在的，如果没有被相应的威胁利用，单纯的脆弱性本身不会对资产造成损害。而且如果系统足够强健，严重的威胁也不会导致安全事件的发生，并造成损失。威胁总是要利用资产的脆弱性才可能造成危害。本次评估以XX为标准，从技术和管理两个方面对XX厂XX信息系统内的资产对象进行脆弱性识别。脆弱性按照标准中的测评项进行分类。 6.2脆弱性赋值这里根据脆弱性对资产的暴露程度、技术实现的难易程度、流行程度等，采用等级方式对已识别的脆弱性的严重程度进行赋值。脆弱性赋值是以等级进行划分的，不同的等级代表资产脆弱性严重程度的高低。等级数值越大，脆弱性严重程度越高。等级标识定义 5 很高如果被威胁利用，将对资产造成完全损害 4 高如果被威胁利用，将对资产造成重大损害 3 中等如果被威胁利用，将对资产造成一般损害 2 低如果被威胁利用，将对资产造成较小损害 1 很低如果被威胁利用，将对资产造成的损害可以忽略 6.3脆弱性专向检测 6.3.1病毒木马专项检查通过查看瑞星管理控制台，了解系统内病毒木马爆发的情况。其中，2015年5月和6月的爆发情况如下表所示。时间段感染次数（次）受感染主机数（台） 2015年5月 2689 119 2015年6月 2674 117 6.3.2网络扫描专项测试使用中科网威漏洞扫描系统，对XX厂XX信息系统内的服务器、用户终端、网络设备进行远程安全评估。 Ø 服务器扫描结果服务器区网段共扫描主机27台，其中高度危险主机14台，七台存有紧急漏洞，比较危险主机13台，比较安全主机0台，非常安全主机0台。 IP地址操作系统所在域漏洞数高危数危险等级危险值本次远程评估共扫描到的前五漏洞，如下表所示。编号漏洞名称危险等级出现次数 1 Microsoft IIS WebDAV 远程认证绕过漏洞紧急 3 2 Oracle tnslsnr 未设置口令高级 4 3 ICMP 时间戳检测中级 24 4 DCE 服务器列举低级 23 5 开放的 tcp 端口检测信息 27 Ø 用户终端扫描结果用户终端和部分设备共扫描了主机数567台，其中高度危险主机5台，比较安全主机562台，部分结果见下表。 IP地址操作系统所在域漏洞数高危数危险等级危险值本次扫描到的前五漏洞，如下表所示。编号漏洞名称危险等级出现次数 1 Microsoft Windows SMB 存在多个漏洞允许远程执行代码紧急 2 2 MySQL 5.x 未指明的缓冲区溢出漏洞高级 2 3 PHP 存在多个缓冲区溢出漏洞高级 1 4 Oracle MySQL 'TEMPORARY InnoDB' 数据表拒绝服务漏洞中级 2 5 MySQL 存在多个漏洞中级 2 7 风险分析序号资产对象脆弱性类型脆弱性描述威胁风险标识 1 电源隔离防护装置电磁泄漏发射防护个别用户终端与黑设备共用红黑电源滤波隔离插座，部分XX网络线路与技防、电话线路间隔距离不足存在电磁泄漏的风险中等 2 高 3 中高 4 服务器操作系统安全、数据库安全部分XX服务器应用程序、数据库补丁程序未安装完全，存在高风险漏洞黑客可利用系统漏洞入侵、控制服务器，获取重要信息高 5 设备安全、介质安全、安全审计、设备数据接口、违规外联监控部分服务器未安装主机监控与审计系统、移动存储介质使用管理系统和违规外联监控系统服务器管理员可非授权使用设备数据接口、未注册介质、非法外部连接高 6 用户终端（含网络打印机）计算机病毒与恶意代码防护部分XX用户终端存在病毒、木马事件报告病毒、木马可导致系统、网络瘫痪，窃取用户数据中低 7 操作系统安全、数据库安全部分用户终端和网络打印机操作系统、应用程序、数据库补丁未安装完全，有高风险漏洞；个别用户终端开放多余服务攻击者可利用系统漏洞入侵、控制用户终端，获取重要信息中等 8 防火墙日志服务器日志审计日志服务器运行不稳定，日志不全无法查看防火墙日志，无法进行审计中等 9 打印机输出控制部分用户未按文件密级进行打印输出，存在高密低打现象存在输出文件失控的风险中等 10 打印机输出控制部分打印机与安装部门属同一地址段，且开放SNMP服务存在非审批打印的风险中等 11 中等 12 XX笔记本电脑设备数据接口 XX笔记本电脑无法审计打印和光盘刻录事件存在非授权导出XX信息的风险中低 13 显示输出保密要害部门中的个别XX单机对窗摆放，且未采用其他防护措施（如拉窗帘），不能防止显示输出内容被非授权获取存在显示输出内容被非授权获取的风险低 14 中等 8 风险统计 XX厂XX信息系统安全风险评估共识别出安全风险13个，其中：高风险2个，中高风险1个，中等风险3个，中低风险3个，低风险4个。 9 评估结论经过各方面的评估XX厂XX信息系统基本上是安全的，基本符合分级保护国家保密标准的要求。但依然存在部分风险，需从组织、管理和技术等多方面进行补充和完善，并加强教育培训，提高人员意识和相关技能，规范其行为，从根本上确保信息安全。 10 整改建议（1）个别用户终端视频干扰仪、红黑电源滤波隔离插座使用不符合要求。问题描述：个别用户终端与黑设备（非XX计算机、饮水机等）共用红黑电源滤波隔离插座，存在电磁泄漏的风险。整改建议：对问题部门提出警告，加强对红黑电源滤波隔离插座使用的监管力度。（2）个别XX单机对窗摆放，且未采用其他防护措施 ² 问题描述保密要害部门中的个别XX单机对窗摆放，且未采用其他防护措施（如拉窗帘），存在显示输出内容被非授权获取的风险。 ² 整改建议 Ø 对窗和对玻璃墙摆放的用户终端加装防护措施，并加强教育培训，提高人员保密意识。（3）部分服务器应用程序、数据库补丁程序未安装完全，存在高风险漏洞 ² 问题描述 XX等服务器的ORACLE数据库补丁程序未安装完全，存在高风险漏洞； ² 整改建议 Ø 及时安装补丁程序； Ø 加强服务器的安全配置。（4）部分服务器未安装主机监控与审计系统和“三合一”系统 ² 问题描述部分服务器未安装主机监控与审计系统和XX计算机及移动存储介质保密管理系统 ² 整改建议 Ø 安装主机监控与审计系统和XX计算机及移动存储介质保密管理系统 Ø 对不能安装主机监控与审计系统和XX计算机及移动存储介质保密管理系统的服务器应有测试报告，说明原因。（5）部分XX用户终端存在病毒、木马 ² 问题描述部分XX用户终端存在病毒、木马，其中2015年5月1日至31日期间，用户终端感染病毒、木马事件报告10次，4台终端；2015年6月1日至30日期间，用户终端感染病毒、木马事件报告5次，3台；病毒、木马可导致系统、网络瘫痪，窃取用户数据。 ² 整改建议 Ø 加强针对病毒、木马来源的分析； Ø 加强数据的输入管理和病毒查杀工作。（6）部分用户终端和网络打印机操作系统、应用程序、数据库补丁未安装完全，有高风险漏洞；个别用户终端开放多余服务 ² 问题描述部分用户终端和网络打印机操作系统、应用程序、数据库补丁未安装完全，有高风险漏洞；个别用户终端开放多余服务，攻击者可利用系统漏洞和多余服务入侵、控制用户终端，获取重要信息。 ² 整改建议 Ø 及时安装补丁程序； Ø 加强用户终端的安全配置。（7）存在打印机输出不受控制的风险 ² 问题描述部分用户未按文件密级进行打印输出，存在高密低打现象存在输出文件失控的风险；部分打印机与安装部门属同一地址段，存在非审批打印的风险。 ² 整改建议 Ø 加大对用户终端相关责任人和审批人的保密责任教育培训，及时通报整改。 Ø 将打印机和打印读卡器同一布置在专用VLAN并通过防火墙进行严格的访问控制。（8）存在安全邮件输出不受控制的风险 ² 问题描述部分用户未按邮件附件密级进行发送，邮件附件文件名密级与邮件密级不符，存在输出文件失控的风险 ² 整改建议 Ø 加大对用户终端相关责任人和审批人的保密责任教育培训，及时通报整改。（9）部分交换机管理口令明文存储和传输（中风险） ² 问题描述部分交换机采用WEB远程管理，口令明文传输；部分交换机采用SNMP方式管理（包括核心交换机），口令明文存储和传输，存在通过网络数据监听，获取交换机口令，进而获取交换机的控制权，篡改网络配置信息的风险。 ² 整改建议 Ø 完善交换机的安全配置； Ø 采用符合安全保密要求的登录管理方式（如SSH登录），保证网络设备口令传输安全。 Ø 换掉不符合要求的桌面交换机。

展开阅读全文