风险评估分析报告.doc

1、上海ERIC数据系统有限公司记录编号IMSF-005信息安全风险评估报告创立日期4月16日文档密级秘 密更改记录时间更改内容更改人项 目 名 称： 4月16日风险评估报告 被评估公司单位： 上海ERIC数据系统有限公司 参加评估部门：信息安全综合管理委员会 一、风险评估项目概述1.1 工程项目概况1.1.1 建设项目基本信息风险评估版本3日5日更新资产清单及评估项目完毕时间3月5日项目试运营时间2-3月1.2 风险评估实行单位基本状况评估单位名称上海ERIC数据系统有限公司二、风险评估活动概述2.1 风险评估工作组织管理描述本次风险评估工作组织体系（含评估人员构成）、工作原则和采用保密办法。2

2、.2 风险评估工作过程本次评估供耗时2天，采用抽样方式结合现场评估，涉及了公司所有部门及所有产品，已经涉及了位于公司地址位置有关产品。2.3 根据技术原则及有关法规文献本次评估根据法律法规条款有：序号法律、法规及其她规定名称颁布时间实行时间颁布部门1全国人大常委会关于维护互联网安全决定.12.28.12.28全国人大常委会2中华人民共和国计算机信息系统安全保护条例1994.02.181994.02.18国务院第147号令3中华人民共和国计算机信息网络国际联网管理暂行规定1996.02.011996.02.01国务院第195号令4中华人民共和国计算机软件保护条例.12.20.01.01国务院第3

3、39号令5中华人民共和国信息网络传播权保护条例.05.10.07.01国务院第468号令6中华人民共和国计算机信息网络国际联网管理暂行规定实行办法1998.03.061998.03.06国务院信息化工作领导小组7计算机信息网络国际联网安全保护管理办法1997.12.161997.12.30公安部第33号令8计算机信息系统安全专用产品检测和销售允许证管理办法1997.06.281997.12.12公安部第32号令9计算机病毒防治管理办法.03.30.04.26公安部第51号令10恶意软件定义06.2706.27中华人民共和国互联网协会11抵制恶意软件自律公约06.2706.27中华人民共和国互联

4、网协会12计算机信息系统保密管理暂行规定1998.2.261998.02.26国家保密局13计算机信息系统国际联网保密管理规定.01.01.01.01国家保密局14软件产品管理办法.10.08.10.08中华人民共和国工业和信息化部15互联网等信息系统网络传播视听节目管理办法.06.15.10.11国家广播电影电视总局16互联网电子公示服务管理规定.10.08.10.08信息产业部17信息系统工程监理工程师资格管理办法颁布.03.26信息产业部18信息系统工程监理单位资质管理办法.03.26.04.01信息产业部19电子认证服务管理办法.02.04.03.31信息产业部20关于印发国家电子信息

5、产业基地和产业园认定管理办法（试行）告知.03.04.03.04中华人民共和国信息产业部21计算机软件著作权登记收费项目和原则1992.03.161992.04.01机电部计算机软件登记办公室22中华人民共和国互联网络域名管理办法.11.05.12.20信息产业部23中华人民共和国专利法.01.09.02.01全国人民代表大会常务委员24中华人民共和国技术合同法1987.06.231987.06.23国务院科学技术部25关于电子专利申请规定.08.27.10.01国家知识产权局26中华人民共和国著作权法.02.26.02.26全国人大常委会27中华人民共和国著作权法实行条例.08.02.9.1

6、5国务院第359号令28科学技术保密规定1995.01.061995.01.06国家科委、国家保密局29互联网安全保护技术办法规定.12.13.03.01公安部发布30中华人民共和国认证承认条例.09.03.11.1国务院第390号令31中华人民共和国保守国家秘密法.04.29.10.01全国人大常委会32中华人民共和国国家安全法1993.02.221993.02.22全国人大常委会33中华人民共和国商用密码管理条例1999.10.071999.10.07国务院第273号令34消防监督检查规定.4.30.5.1公安部第107号35仓库防火安全管理规则1990.03.221994.04.10中华

7、人民共和国公安部令第6号36地质灾害防治条例.11.24.03.01国务院34号37电力安全生产监管办法.03.09.03.09国家电力监管委员会第2号38中华人民共和国劳动法.06.29.1.1华人民共和国主席令第二十八号39失业保险条例1998.12.261999.01.22国务院40失业保险金申领发放.10.26.01.01劳动和社会保障部41中华人民共和国公司劳动争议解决条例1993.06.111993.08.01国务院2.4 保障与限制条件需要被评估单位提供文档、工作条件和配合人员等必要条件，以及也许限制条件。三、评估对象3.1 评估对象构成与定级3.1.1 网络构造依照提供网络拓扑

8、图，进行构造化审核。3.1.2 业务应用我司涉及数据中心运营及服务活动。3.1.3 子系统构成及定级 N/A3.2 评估对象级别保护办法按照工程项目安全域划分和保护级别定级状况，分别描述不同保护级别保护范畴内子系统各自所采用安全保护办法，以及级别保护测评成果。依照需要，如下子目录按照子系统重复。3.2.1 XX子系统级别保护办法依照级别测评成果，XX子系统级别保护管理办法状况见附表一。依照级别测评成果，XX子系统级别保护技术办法状况见附表二。四、资产辨认与分析4.1 资产类型与赋值4.1.1资产类型按照评估对象构成，分类描述评估对象资产构成。详细资产分类与赋值，以附件形式附在评估报告背面，见附

9、件3资产类型与赋值表。4.1.2资产赋值填写资产赋值表。大类详细分类举例文档和数据经营规划中长期规划等经营筹划等组织状况组织变更方案等组织机构图等组织变更告知等组织手册等规章制度各项规程、业务手册等人事制度人事方案等人事待遇资料等录取筹划等离职资料等中期人员筹划等人员构成等人事变动告知等培训筹划等培训资料等财务信息预决算（各类投资预决算)等业绩（财务报告)等中期财务状况等资金筹划等成本等财务数据解决办法（成本计算办法和系统，会计管理审查等经营分析系统，减税办法、规程)等营业信息市场调查报告（市场动向，顾客需求，其他我司动向及对这些状况分析办法和成果)等商谈内容、合同等报价等客户名单等营业战略（

10、关于和其他我司合伙销售、销售途径拟定及变更，对代理商政策等情报)等退货和投诉解决（退货品名、数量、因素及对投诉解决办法)等供应商信息等技术信息实验/分析数据（我司或者委托其他单位进行试验/分析)等研究成果（我司或者和其他单位合伙研究开发技术成果)等科技创造内容（专利申请书以及关于资料/实验数据)等开发筹划书等新产品开发体制、组织（新品开发人员构成，业务分担，技术人员配备等)技术协助关于内容（协作方，协作内容，协作时间等)教诲资料等技术备忘录等软件信息生产管理系统等技术解析系统等筹划财务系统等设计书等流程等编码、密码系统等源程序表等其她诉讼或其她有争议案件内容（民事、无形资产、工伤等纠纷内容)我

11、司基本设施状况（涉及动力设施)等董事会资料（新投资领域、设备投资筹划等)我司电话簿等我司安全保卫实行状况及突发事件对策等软件操作系统Windows、Linux 等应用软件/系统开发工具、办公软件、网站平台、财务系统 等数据库MS SQL Server、MySQL 等硬件设备通讯工具传真等传播线路光纤、双绞线等存储媒体磁带、光盘、软盘、U 盘等存储设备光盘刻录机、磁带机等文印设备打印机、复印机、扫描仪服务器PC Server、小型机等桌面终端PC、工作站等网络通信设备路由器、互换机、集线器、无线路由器等网络安全设备防火墙、防水墙、IPS 等支撑设施UPS、机房空调、发电机等人力资源高层管理人员高

12、层管理人员 我司总/副总经理、总监等中层管理人员部门经理技术管理人员项目经理、项目组长、安全工程师普通技术人员软件工程师、程序员、测试工程师、界面工程师等IT 服务人员系统管理员、网络管理员、维护工程师其他人事、行政、财务等人员服务通信ADSL、光纤等房租办公房屋租用托管服务器托管、虚拟主机、邮箱托管法律外聘律师、法律顾问供电照明电、动力电审计财务审计6.2. 资产赋值判断准则对资产赋值不但要考虑资产经济价值，更重要是要考虑资产安全状况对于系统或组织重要性，由资产在其三个安全属性上达到限度决定。资产赋值过程也就是对资产在机密性、完整性和可用性上达到限度进行分析，并在此基本上得出综合成果过程。达

13、到限度可由安全属性缺失时导致影响来表达，这种影响也许导致某些资产损害以至危及信息系统，还也许导致经济效益、市场份额、组织形象损失。6.2.1. 机密性赋值依照资产在机密性上不同规定，将其分为三个不同级别，分别相应资产在机密性上应达到不同限度或者机密性缺失时对整个组织影响。赋值标记定 义3高包括组织最重要秘密，关系将来发展前程命运，对主线利益有着决定性影响，如果泄露会导致劫难性损害，例如直接损失超过100 万人民币，或重大项目（合同）失败，或失去重要客户，或核心业务中断3天。2中组织普通性秘密，其泄露会使组织安全和利益受到损害，例如直接损失超过10 万人民币，或项目（合同）失败，或失去客户，或核

14、心业务中断超过1 天。1低可在社会、组织内部或在组织某一部门内部公开信息，向外扩散有可能对组织利益导致轻微损害或不导致伤害。6.2.2. 完整性赋值依照资产在完整性上不同规定，将其分为三个不同级别，分别相应资产在完整性上缺失时对整个组织影响。赋值标记定 义3高完整性价值非常核心，未经授权修改或破坏会对组织导致重大或无法接受影响，对业务冲击重大，并也许导致严重业务中断，并且难以弥补。例如直接损失超过100 万人民币，或重大项目（合同）失败，或失去重要客户。2中完整性价值中档，未经授权修改或破坏会对组织导致影响，对业务冲击明显，但可以弥补。例如直接损失超过10 万人民币，或项目（合同）失败，或失去

15、客户。1低完整性价值较低，未经授权修改或破坏会对组织导致轻微影响，甚至可以忽视，对业务冲击轻微，容易弥补。6.2.3. 可用性赋值依照资产在可用性上不同规定，将其分为三个不同级别，分别相应资产在可用性上达到不同限度。赋值标记定 义3高可用性价值非常高，合法使用者对资产可用度达到年度90%以上，或系统不容许中断。2中可用性价值中档，合法使用者对资产可用度在正常工作时间达到50%以上，或系统容许中断时间不大于8 工作时。1低可用性价值较低或可被忽视，合法使用者对资产可用度在正常工作时间达到50%如下，或系统容许中断时间不大于24 工作时。6.2.4. 资产重要性级别资产价值（V） 机密性价值（C）

16、完整性价值（I）可用性价值（A）资产级别：级别价值分类资产总价值1低3 42中5 73高8 94.2 重要资产清单及阐明在分析被评估系统资产基本上，列出对评估单位十分重要资产，作为风险评估重点对象，并以清单形式列出如下：重要资产列表序号资产编号子系统名称应用资产重要限度权重其她阐明1.F001各类公司证件其她高2.F002财务账务文献其她高3.F004发票其她高4.F006用友通财务软件备份数据其她高5.ATSH10-007Pernod Ricard业务持续服务合同客户合同高6.ATSH-11/001/10-007天选备份软件维护服务合同供应商合同高7.ATSH10-008VantAsia业务

17、持续服务合同客户合同高8.ATSH11-001NAB业务持续服务合同客户合同高9.HW-009服务器(运作技术部)服务器高10.HW-022精密空调(运作技术部)精密空调高11.HW-023UPS(运作技术部)UPS高12.HW-024PPDC(运作技术部)PPDC高13.HW-026AVAYA(运作技术部)通讯设备高14.HW-027Switch(运作技术部)网络设备高15.HW-028Router(运作技术部)网络设备高16.HW-029Fire wall(运作技术部)网络设备高17.HW-030DVR(运作技术部)监控设备高18.HW-031客户数据（硬盘）硬盘高19.HW-032柴油发

18、电机组柴油发电机高20.F001etax网上报税系统财务软件单机高21.F002用友通财务软件财务软件单机高22.F003发票打印软件财务软件单机高23.A-02-25-03-06-004Cowin 监控系统监控系统高24.A-02-25-03-06-005General_PSS_V4.01.0.R.091112监控系统高25.H0001梁文略高层管理人员高26.S0002杨英高层管理人员高27.S0001李海宁中层管理人员高28.S0006赵红销售人员高29.S0003张光辉中层管理人员高30.S0004刘子明IT 服务人员高31.S0005胡捷IT 服务人员高32.S0008张力IT 服务

19、人员高33.S0007唐海英其他高34.S0026刘影其他高35.server02网络通信中华人民共和国联通高36.server03供电物管- 德必创意高37.server04房屋物管- 德必创意高五、威胁辨认与分析对威胁来源（内部/外部；主观/不可抗力等）、威胁方式、发生也许性，威胁主体能力水平等进行列表分析。下面是典型威胁范本：编号威胁硬件和设施软件和系统文档和数据人力资源服务1故障2废弃3服务失效/中断4恶意软件5抵赖6通信监听7操作失误8未经授权更改9未经授权访问，使用或复制10被运用传送敏感信息11盗窃12供电故障13恶意破坏14电子存储媒体故障15违背知识产权有关法律、法规16温度

20、、湿度、灰尘超限17静电18黑客袭击19容量超载20系统管理员权限滥用21密钥泄露、篡改22密钥滥用23个体伤害（车祸、疾病等）24不公正待遇25社会工程26人为劫难：瘟疫、火灾、爆炸、恐怖袭击等27自然劫难：地震、洪水、台风、雷击等28服务供应商泄密5.1 威胁数据采集5.2 威胁描述与分析根据威胁赋值表，对资产进行威胁源和威胁行为分析。5.2.1 威胁源分析填写威胁源分析表。5.2.2 威胁行为分析填写威胁行为分析表。5.2.3 威胁能量分析5.3 威胁赋值威胁发生也许性级别对照表级别说 明发生也许性1低非级别2 与级别3 定义2中每半年至少发生一次但不及级别33高每月至少发生两次阐明：判

21、断威胁浮现频率是威胁辨认重要工作，评估者应依照经验和（或）关于记录数据来进行判断。在风险评估过程中，还需要综合考虑如下三个方面，以形成在某种评估环境中各种威胁浮现频率：1) 以往安全事件报告中浮现过威胁及其频率记录；2) 实际环境中通过检测工具以及各种日记发现威胁及其频率记录；3) 近一两年来国际组织发布对于整个社会或特定行业威胁及其频率记录，以及发布威胁预警。六、脆弱性辨认与分析按照检测对象、检测成果、脆弱性分析分别描述如下各方面脆弱性检测成果和成果分析。6.1 常规脆弱性描述编号大类编号小类及阐明1环境和基本设施1.1物理保护缺少：建筑物、门、窗等1.2物理访问控制不充分或不仔细1.3电力

22、供应不稳1.4处在易受到威胁场合，例如洪水、地震1.5缺少防火、防雷等保护性办法2硬件2.1缺少周期性设备更新方案2.2易受电压变化影响2.3易受到温度、湿度、灰尘和污垢影响2.4易受到电磁辐射2.5媒体介质缺少维护或错误安装2.6缺少有效配备变更控制2.7缺少设施安全控制机制2.8不当维护2.9不当处置3软件3.1不清晰、不完整开发规格阐明书3.2没有、或不完备软件测试3.3复杂顾客界面3.4缺少标示和授权机制，例如顾客授权3.5缺少审核踪迹3.6众所周知软件缺陷，易受病毒等袭击3.7密码表未受到保护3.8密码强度太弱3.9访问权限错误配备3.10未经控制下载和使用软件3.11离开工作常所未

23、注销（锁屏）3.12缺少有效变更控制3.13文档缺少3.14缺少备份3.15处置或重用没有对的擦除内容存储介质3.16缺少加解密使用方略3.17缺少密钥管理3.18缺少身份鉴别机制3.19缺少补丁管理机制3.20安装、使用盗版软件3.21缺少使用监控3.22未经授权复制或传播软件（允许）3.23缺少（文献）共享安全方略3.24缺少服务/端口安全方略3.25缺少病毒库升级管理机制3.26不受控发布公共信息4网络与通信4.1通信线路缺少保护4.2电缆连接不牢固4.3对发送和接受方缺少辨认与验证4.4明文传播口令4.5发送与接受消息时缺少证据4.6拨号线路4.7未保护敏感信息传播4.8网络管理不恰当

24、4.9未受保护公网连接4.10缺少身份鉴别机制4.11未配备或错误配备访问权限5文档5.1存储缺少保护5.2不受控访问或复制5.3随意处置5.4缺少备份机制6人员6.1员工缺编6.2安全训练不完备6.3缺少安全意识6.4缺少控制机制6.5缺少员工关怀/申诉政策6.6不完备招聘/离职程序6.7道德缺失7服务与普通应用弱点7.1单点故障7.2服务故障响应不及时7.3负载过高7.4缺少安全控制机制7.5缺少应急机制6.3 脆弱性综合列表威胁发生也许性级别对照表级别说 明发生也许性1低非级别2 与级别3 定义2中每半年至少发生一次但不及级别33高每月至少发生两次阐明：判断威胁浮现频率是威胁辨认重要工作

25、，评估者应依照经验和（或）关于记录数据来进行判断。在风险评估过程中，还需要综合考虑如下三个方面，以形成在某种评估环境中各种威胁浮现频率：1) 以往安全事件报告中浮现过威胁及其频率记录；2) 实际环境中通过检测工具以及各种日记发现威胁及其频率记录；3) 近一两年来国际组织发布对于整个社会或特定行业威胁及其频率记录，以及发布威胁预警。七、风险分析7.1 核心资产风险计算成果信息安全风险矩阵计算表威胁发生也许性低1中2高3影响限度级别低1中2高3低1中2高3低1中2高3资产价值1123246369224648126121833696121891827阐明：在完毕了资产辨认、威胁辨认、弱点辨认，以及对

26、已有安全办法确认后，将采用恰当办法拟定威胁运用弱点导致安全事件发生也许性，考虑安全事件一旦发生其所作用资产重要性及弱点严重限度判断安全事件导致损失对组织影响，即安全风险。风险计算方式如下，风险值 弱点被运用也许性级别X 威胁运用弱点影响限度级别X 资产价值信息安全风险接受准则级别划分原则阐明A级18及以上不可接受风险，必要采用控制办法B级6-12有条件接受风险（需经评估小组评审，判断与否可以接受风险)C级1-4不需要评审即可接受风险7.2.4 风险成果分析级别数量阐明A级18不可接受风险，必要采用控制办法B级186有条件接受风险（需经评估小组评审，判断与否可以接受风险)C级17不需要评审即可接

27、受风险八、综合分析与评价通过综合评估，公司既有风险评估成果是适当、充分、有效。九、整治意见1. 加强各部门对风险解决技巧培训。2. 对A级风险公司解决需对各部门进行公示。3. 对A级和B级风险采用恰当控制办法，编写入公司三级文献进行控制。 附件1：管理办法表序号层面/方面安全控制/办法贯彻某些贯彻没有贯彻不合用安全管理制度管理制度制定和发布评审和修订安全管理机构岗位设立人员配备授权和审批沟通和合伙审核和检查人员安全管理 人员录取人员离岗人员考核安全意识教诲和培训外部人员访问管理系统建设管理系统定级安全方案设计产品采购自行软件开发外包软件开发工程实行测实验收系统交付系统备案安全服务商选取系统运维

28、管理环境管理资产管理介质管理设备管理监控管理和安全管理中心网络安全管理系统安全管理恶意代码防范管理密码管理变更管理备份与恢复管理安全事件处置应急预案管理小计附件2：技术办法表序号层面/方面安全控制/办法贯彻某些贯彻没有贯彻不合用1物理安全物理位置选取物理访问控制防盗窃和防破坏防雷击防火防水和防潮防静电温湿度控制电力供应电磁防护网络安全网络构造安全网络访问控制网络安全审计边界完整性检查网络入侵防范恶意代码防范网络设备防护主机安全身份鉴别访问控制安全审计剩余信息保护入侵防范恶意代码防范资源控制应用安全身份鉴别访问控制安全审计剩余信息保护通信完整性通信保密性抗抵赖软件容错资源控制数据安全及备份与恢复数据完整性数据保密性备份和恢复