计算机风险评估分析报告.doc

1、一、风险评定项目概况 名称 完成时间 试运行时间 二、风险评定活动概述 2.1 风险评定工作组织管理 企业此次风险评定工作组员： 组长： 主任： 组员： 工作标准：依据综合审计日志和信息安全策略准则，在风险评定过程中把最真实数据和结果反应出来，并立即调整信息安全保密策略，立即补充完善技术和管理方法，使计算机保持和等级要求相一致安全保护水平。 2.2 风险评定工作过程 此次评定阶段和具体工作内容包含 第一阶段：资产识别和分析 第二阶段：威胁识别和分析 第三阶段：脆弱性识别和分析 第四阶段：综合分析和评价 第五阶段：整改意见 2.3 依据技

2、术标准及相关法规文件 此次风险评定依据企业保密安全策略和综合审计汇报等文件 三、评定对象 此次风险评定对象包含企业全部计算机，其担任关键任务是信息产生、传输、和最终流向。 四、资产识别和分析 4.1 资产类型和赋值 4.1.1资产类型 根据评定对象组成，分类描述评定对象资产组成。具体资产分类和赋值，以附件形式附在评定汇报后面，见附件3《资产类型和赋值表》。 4.1.2资产赋值 资产赋值表 序号 编号 名称 密级 1 计算机 2 计算机 3 计算机 4 中间机 五、威胁识别和分析 种类 描述 软硬件故障

3、　 因为设备硬件故障、系统本身或软件Bug造成对业务高效稳定运行影响 物理环境威胁 　 断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境问题和自然灾难 无作为或操作失误 　 因为应该实施而没有实施对应操作，或无意地实施了错误操作，对系统造成影响 管理不到位 　 安全管理无法落实，不到位，造成安全管理不规范，或管理混乱，从而破坏信息系统正常有序运行 恶意代码和病毒 　 含有自我复制、自我传输能力，对信息系统组成破坏程序代码 越权或滥用 　 经过采取部分方法，超越自己权限访问了原来无权访问资源；或滥用自己职权，做出破坏信息系统行为 物理攻击 　　物理

4、接触、物理破坏、偷窃 泄密 　　泄漏，信息泄漏给她人 篡改 　　非法修改信息，破坏信息完整性 抵赖 　　不认可收到信息和所作操作和交易 5.1 威胁数据采集 种类 威胁出现频率 软硬件故障 低 物理环境威胁 很低 无作为或操作失误 低 管理不到位 低 恶意代码和病毒 低 越权或滥用 低 物理攻击 低 泄密 低 篡改 低 抵赖 低 5.2 威胁赋值 见《威胁赋值表》。 六、脆弱性识别和分析 根据检测对象、检测结果、脆弱性分析分别描述以下各方面脆弱性检测结果和结果分析。 6.1 常规脆弱性描述 6.1.1 管理脆弱性

5、在计算机管理上采取严格管理制度和安全策略，脆弱性赋值为低。 6.1.2系统脆弱性 计算机安装是windows xp sp3系统，经过对其稳定性测试和漏洞扫描并立即安装漏洞补丁，脆弱性赋值为低。 6.1.3应用脆弱性 计算机应用有严格身份判别和软件安全稳定性测试，脆弱性赋值为低。 6.1.4数据处理和存放脆弱性 计算机数据处理和存放采取自动保留和定时备份机制，确保完整性，脆弱性赋值为低。 6.1.5运行维护脆弱性 计算机定时进行软件更新和硬件维护，脆弱性赋值为低。 6.1.7灾备和应急响应脆弱性 依据保密安全策略应急响应策略，定时对应急计划和响应程序进行检验和进行必需演练，确

6、保其一直有效。脆弱性赋值为低。 6.1.8物理脆弱性 依据物理安全策略，划分了安全区域，并进行物理访问控制，进行统计在案。脆弱性赋值为低。 6.2脆弱性专题检测 6.2.1木马病毒专题检验 依据杀毒软件综合杀毒日志和杀毒统计，脆弱性赋值为低。 6.2.2设备安全性专题测试 依据计算机综合审计日志进行分析，脆弱性赋值为低。 6.2.3其它专题检测 经过安装电磁辐射干扰仪，脆弱性赋值为低。 6.3 脆弱性综合列表 见《脆弱性分析赋值表》。 七、综合分析和评价 依据上述风险评定结果，评定企业计算机风险值是很低，期望企业各涉密人员能够继续保持和遵守安全保密策略和行为准册，严格

7、要求自己。 八、整改意见 依据评定结果提出以下几点整改意见： 1.加强计算机管理使用制度培训。 2.对安全产品实施要做到立即到位。 3.严格根据审批手续实施 附件1：管理方法表 序号 层面/方面 安全控制/方法 落实 部分落实 没有落实 不适用 安全管理制度 管理制度 √ 制订和公布 √ 评审和修订 √ 安全管理机构 岗位设置 √ 人员配置 √ 授权和审批 √ 沟通和合作 √ 审核和检验 √

8、 人员安全管理 人员录用 √ 人员离岗 √ 人员考评 √ 安全意识教育和培训 √ 外部人员访问管理 √ 系统建设管理 系统定级 √ 安全方案设计 √ 产品采购 √ 自行软件开发 √ 外包软件开发 √ 工程实施 √ 测试验收 √ 系统交付 √ 系统立案 √ 安全服务商选择 √ 系统运维管理

9、 环境管理 √ 资产管理 √ 介质管理 √ 设备管理 √ 监控管理和安全管理中心 √ 网络安全管理 √ 系统安全管理 √ 恶意代码防范管理 √ 密码管理 √ 变更管理 √ 备份和恢复管理 √ 安全事件处理 √ 应急预案管理 √ 小计 附件2：技术方法表 序号 层面/方面 安全控制/方法 落实 部分落实

10、没有落实 不适用 1 物理安全 物理位置选择 √ 物理访问控制 √ 防偷窃和防破坏 √ 防雷击 √ 防火 √ 防水和防潮 √ 防静电 √ 温湿度控制 √ 电力供给 √ 电磁防护 √ 主机安全 身份判别 √ 访问控制 √ 安全审计 √ 剩下信息保护 √ 入侵防范 √ 恶意代码防范 √

11、 资源控制 √ 应用安全 身份判别 √ 访问控制 √ 安全审计 √ 剩下信息保护 √ 通信完整性 √ 通信保密性 √ 抗抵赖 √ 软件容错 √ 资源控制 √ 数据安全及备份和恢复 数据完整性 √ 数据保密性 √ 备份和恢复 √ 附件3：威胁赋值表 资产名称 编号 威胁 总分值 威胁等级 操作失误 滥用

12、授权 行为抵赖 身份假冒 口令攻击 密码分析 漏洞利用 拒绝服务 恶意代码 窃取数据 物理破坏 社会工程 意外故障 通信中止 数据受损 电源中止 灾难 管理不到位 越权使用 1 2 1 1 1 1 1 1 2 1 1 1 1 2 1 1 1 1 1 1 22 很低 2 2 1 1 1 1 1 2 3 1 1 1 1 2 1 1 2 1 1 1 25 很低 3 2 1 1 1 1 1 1 2 1 1 1 1 2 1 1 3 1

13、 1 1 24 很低 4 2 1 1 1 1 1 1 1 1 1 1 1 2 1 1 1 1 1 1 21 很低 附件4：脆弱性分析赋值表 编号 检测项 检测子项 脆弱性 整改提议 标识 1 管理脆弱性检测 机构、制度、人员 很低 加强制度培训 V1 安全策略 低 增加审计事件 V2 检测和响应脆弱性 低 无 V3 日常维护 低 无 V4 3 系统脆弱性检测 操作系统脆弱性 低 无 V5 5 数据处理和存放脆弱性 数据处理 低 无 V6 数据存放脆弱性 低 无 V7 6 运行维护脆弱性 安全事件管理 中 无 V8 7 灾备和应急响应脆弱性 数据备份 中 备份周期时间降低 V9 应急预案及演练 低 无 V10 8 物理脆弱性检测 环境脆弱性 低 无 V11 设备脆弱性 低 无 V12 存放介质脆弱性 低 无 V13 9 木马病毒检测 远程控制木马 低 无 V14 恶意插件 低 无 V15 13 其它检测 电磁辐射干扰仪 低 无 V16