信息安全风险评估报告(31页).doc

1、目目录录1.威胁识别与分析威胁识别与分析.21.1.关键资产安全需求.21.2.关键资产威胁概要.31.3.威胁描述汇总.91.4.威胁赋值.102.脆弱性识别与分析脆弱性识别与分析.122.1.常规脆弱性描述.122.1.1.管理脆弱性.122.1.2.网络脆弱性.122.1.3.系统脆弱性.122.1.4.应用脆弱性.122.1.5.数据处理和存储脆弱性.122.1.6.运行维护脆弱性.122.1.7.灾备与应急响应脆弱性.122.1.8.物理脆弱性.122.2.脆弱性专项检查.122.2.1.木马病毒专项检查.122.2.2.服务器漏洞扫描专项检测.122.2.3.安全设备漏洞扫描专项检

2、测.192.3.脆弱性综合列表.213.风险分析风险分析.253.1.关键资产的风险计算结果.253.2.关键资产的风险等级.273.2.1.风险等级列表.273.2.2.风险等级统计.283.2.3.基于脆弱性的风险排名.283.2.4.风险结果分析.294.综合分析与评价综合分析与评价.304.1.综合风险评价.304.2.风险控制角度需要解决的问题.305.整改意见整改意见.311.1.威胁识别与分析威胁识别与分析1.1.1.1.关键资产安全需求关键资产安全需求资产资产类别类别重要资重要资产名称产名称重要性程度重要性程度（重要等级（重要等级）资产重要性资产重要性说明说明安全需求安全需求光

3、纤交换机Brocade300非常重要（5）保证 xxxx 系统数据正常传输到磁盘阵 列 的 设备。可用性-系统可用性是必需的，价值非常高；保证各项系统数据正常传输到磁盘阵列。完整性-完整性价值非常关键，除管理员外其他任何用户不能修改数据。保密性-包含组织的重要秘密，泄露将会造成严重损害。完整性-完整性价值非常关键，除管理员外其他任何用户不能修改数据。保密性-包含组织的重要秘密，泄露将会造成严重损害。保密性-包含组织的重要秘密，泄露将会造成严重损害。保密性-包含组织的重要秘密，泄露将会造成严重损害。保密性-包含组织的重要秘密，泄露将会造成严重损害。存储设备磁盘阵列HP EVA4400非常重要（5

4、）xxxx 系统数据 存 储 设备。可用性-系统可用性是必需的，价值非常高；保证 xxxx 系统数据存储功能持续正常运行。完整性-完整性价值非常关键，除管理员外其他任何用户不能修改数据。保密性-包含组织的重要秘密，泄露将会造成严重损害。保障设备UPS 电源SANTAK3C3 EX30KS重要（4）机房电力保障的重要设备。可用性-系统可用性价值较高；保证 xxxx系统供电工作正常。完整性-完整性价值较高；除授权人员外其他任何用户不能修改数据。保密性-包含组织内部可公开的信息，泄露将会造成轻微损害。完整性-完整性价值较高，除授权人员外其他任何用户不能修改数据。保密性-包含组织的重要秘密，泄露将会造

5、成严重损害。金农一期业务4（高）部署在应用服务器上。可用性-系统可用性价值较高；保证 xxxx数据正常采集。资产资产类别类别重要资重要资产名称产名称重要性程度重要性程度（重要等级（重要等级）资产重要性资产重要性说明说明安全需求安全需求系统完整性-完整性价值较高，除授权人员外其他任何用户不能修改数据。保密性-包含组织的重要秘密，泄露将会造成严重损害。备份管理软件Symantec Backup重要（4）xxxx 系统数据备份管理软件。可用性-系统可用性价值较高；保证 xxxx系统数据备份管理功能正常运行。完整性-完整性价值较高，除授权人员外其他任何用户不能修改数据。保密性-包含组织的重要秘密，泄露

6、将会造成严重损害。内容管理软件WCM-MUL-V60网站群版重要（4）用户数据采编。可用性-系统可用性价值较高；保证 xxxx系统数据的采编。完整性-完整性价值较高，除授权人员外其他任何用户不能修改数据。保密性-包含组织的重要秘密，泄露将会造成严重损害。数据xxxx 系统数据非常重要（5）xxxx 系统的核心数据。可用性-系统可用性是必需的，价值非常高；保证 xxxx 系统的核心数据能够正常读取及使用。完整性-完整性价值非常关键，除管理员外其他任何用户不能修改数据。保密性-包含组织的重要秘密，泄露将会造成严重损害。1.2.1.2.关键资产威胁概要关键资产威胁概要威胁是一种客观存在的，对组织及其资产构成潜在破坏的可能性因素，通过对“xxxxxxxxxxxxxxxxxxxx 信息系统”关键资产进行调查，对威胁来源（内部/外部；主观/不可抗力等）、威胁方式、发生的可能性等进行分析，如下表所示：关键资产名称关键资产名称威胁类型威胁类型关注范围关注范围核心交换机Quidway S3300Series操作失误（维护错误、操作失误）维护人员操作不当，导致交换机服务异常或中断，导致金农一期系统无法正常