版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)
文檔簡介
名稱
完成時間
試運行時間
一、風(fēng)險評估項目概況
二、風(fēng)險評估活動概述
2.1
風(fēng)險評估工作組織管理
公司本次風(fēng)險評估工作成員:
組長:
主任:
成員:
工作原則:依據(jù)綜合審計日志和信息安全策略準(zhǔn)則,在風(fēng)險評估過程中把最
真實的數(shù)據(jù)和結(jié)果反映出來,并及時調(diào)整信息的安全保密策略,及時補(bǔ)充完善技
術(shù)與管理措施,使計算機(jī)保持與等級要求相一致的安全保護(hù)水平。
2.2
風(fēng)險評估工作過程
此次評估階段和具體工作內(nèi)容包括
第一階段:資產(chǎn)識別與分析
第二階段:威脅識別與分析
第三階段:脆弱性識別與分析
第四階段:綜合分析與評價
第五階段:整改意見
2.3
依據(jù)的技術(shù)標(biāo)準(zhǔn)及相關(guān)法規(guī)文件
本次風(fēng)險評估依據(jù)公司保密安全策略和綜合審計報告等文件
三、評估對象
此次風(fēng)險評估對象包括公司所有計算機(jī),其擔(dān)任的主要任務(wù)是信息的產(chǎn)生、
1
種類
描述
軟硬件故障
由于設(shè)備硬件故障、系統(tǒng)本身或軟件
Bug
導(dǎo)致對業(yè)務(wù)高效
穩(wěn)定運行的影響
物理環(huán)境威脅
斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、
洪災(zāi)、火災(zāi)、地震等環(huán)境問題和自然災(zāi)害
無作為或操作失誤
由于應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作,或無意地執(zhí)行了錯
誤的操作,對系統(tǒng)造成影響
管理不到位
安全管理無法落實,不到位,造成安全管理不規(guī)范,或者
管理混亂,從而破壞信息系統(tǒng)正常有序運行
惡意代碼和病毒
具有自我復(fù)制、自我傳播能力,對信息系統(tǒng)構(gòu)成破壞的程
序代碼
越權(quán)或濫用
通過采用一些措施,超越自己的權(quán)限訪問了本來無權(quán)訪問
序號
編號
名稱
密級
1
計算機(jī)
2
計算機(jī)
3
計算機(jī)
4
中間機(jī)
傳輸、與最終流向。
四、資產(chǎn)識別與分析
4.1
資產(chǎn)類型與賦值
4.1.1
資產(chǎn)類型
按照評估對象的構(gòu)成,分類描述評估對象的資產(chǎn)構(gòu)成。詳細(xì)的資產(chǎn)分類與賦
值,以附件形式附在評估報告后面,見附件
3《資產(chǎn)類型與賦值表》。
4.1.2
資產(chǎn)賦值
資產(chǎn)賦值表
五、威脅識別與分析
2
種類
威脅出現(xiàn)頻率
軟硬件故障
低
物理環(huán)境威脅
很低
無作為或操作失誤
低
管理不到位
低
惡意代碼和病毒
低
越權(quán)或濫用
低
物理攻擊
低
泄密
低
篡改
低
抵賴
低
的資源;或者濫用自己的職權(quán),做出破壞信息系統(tǒng)的行為
物理攻擊
物理接觸、物理破壞、盜竊
泄密
泄漏,信息泄漏給他人
篡改
非法修改信息,破壞信息的完整性
抵賴
不承認(rèn)收到的信息和所作的操作和交易
5.1
威脅數(shù)據(jù)采集
5.2
威脅賦值
見《威脅賦值表》。
六、脆弱性識別與分析
按照檢測對象、檢測結(jié)果、脆弱性分析分別描述以下各方面的脆弱性檢測結(jié)
果和結(jié)果分析。
3
6.1
常規(guī)脆弱性描述
6.1.1
管理脆弱性
在計算機(jī)的管理上采用嚴(yán)格的管理制度和安全策略,脆弱性賦值為低。
6.1.2
系統(tǒng)脆弱性
計算機(jī)安裝的是
windows
xp
sp3
系統(tǒng),通過對其穩(wěn)定性測試和漏洞掃描并及時安裝漏洞補(bǔ)
丁,脆弱性賦值為低。
6.1.3
應(yīng)用脆弱性
計算機(jī)的應(yīng)用有嚴(yán)格的身份鑒別和軟件的安全穩(wěn)定性測試,脆弱性賦值為低。
6.1.4
數(shù)據(jù)處理和存儲脆弱性
計算機(jī)的數(shù)據(jù)處理和存儲采用自動保存和定期備份機(jī)制,確保完整性,脆弱性賦值為低。
6.1.5
運行維護(hù)脆弱性
計算機(jī)定期進(jìn)行軟件更新和硬件維護(hù),脆弱性賦值為低。
6.1.7
災(zāi)備與應(yīng)急響應(yīng)脆弱性
根據(jù)保密安全策略的應(yīng)急響應(yīng)策略,定期對應(yīng)急計劃和響應(yīng)程序進(jìn)行檢查和進(jìn)行必要
的演練,確保其始終有效。脆弱性賦值為低。
6.1.8
物理脆弱性
根據(jù)物理安全策略,劃分了安全區(qū)域,并進(jìn)行物理訪問控制,進(jìn)行記錄在案。脆弱性賦值
為低。
6.2
脆弱性專項檢測
6.2.1
木馬病毒專項檢查
根據(jù)殺毒軟件的綜合殺毒日志和殺毒記錄,脆弱性賦值為低。
6.2.2
設(shè)備安全性專項測試
根據(jù)計算機(jī)綜合審計日志進(jìn)行分析,脆弱性賦值為低。
4
6.2.3
其他專項檢測
通過安裝電磁輻射干擾儀,脆弱性賦值為低。
6.3
脆弱性綜合列表
見《脆弱性分析賦值表》。
七、綜合分析與評價
根據(jù)上述風(fēng)險評估結(jié)果,評定公司計算機(jī)的風(fēng)險值是很低的,希望公司各涉
密人員能夠繼續(xù)保持和遵守安全保密策略和行為準(zhǔn)冊,嚴(yán)格要求自己。
八、整改意見
根據(jù)評估結(jié)果提出以下幾點整改意見:
1.加強(qiáng)計算機(jī)管理使用制度的培訓(xùn)。
2.對安全產(chǎn)品的實施要做到及時到位。
3.嚴(yán)格按照審批手續(xù)執(zhí)行
5
序號
層面/方面
安全控制/措施
落實
部分落實
沒有落實
不適用
安全管理制度
管理制度
√
制定和發(fā)布
√
評審和修訂
√
安全管理機(jī)構(gòu)
崗位設(shè)置
√
人員配備
√
授權(quán)和審批
√
溝通和合作
√
審核和檢查
√
人員安全管理
人員錄用
√
人員離崗
√
人員考核
√
安全意識教育和培訓(xùn)
√
外部人員訪問管理
√
系統(tǒng)建設(shè)管理
系統(tǒng)定級
√
安全方案設(shè)計
√
產(chǎn)品采購
√
自行軟件開發(fā)
√
外包軟件開發(fā)
√
工程實施
√
測試驗收
√
系統(tǒng)交付
√
系統(tǒng)備案
√
安全服務(wù)商選擇
√
附件
1:管理措施表
6
序號
層面/方面
安全控制/措施
落實
部分落實
沒有落實
不適用
系統(tǒng)運維管理
環(huán)境管理
√
資產(chǎn)管理
√
介質(zhì)管理
√
設(shè)備管理
√
監(jiān)控管理和安全管理中心
√
網(wǎng)絡(luò)安全管理
√
系統(tǒng)安全管理
√
惡意代碼防范管理
√
密碼管理
√
變更管理
√
備份與恢復(fù)管理
√
安全事件處置
√
應(yīng)急預(yù)案管理
√
小計
序
號
層面/方面
安全控制/措施
落實
部分落實
沒有落實
不適用
1
物理安全
物理位置的選擇
√
物理訪問控制
√
防盜竊和防破壞
√
防雷擊
√
防火
√
防水和防潮
√
防靜電
√
溫濕度控制
√
電力供應(yīng)
√
電磁防護(hù)
√
附件
2:技術(shù)措施表
7
主機(jī)安全
身份鑒別
√
訪問控制
√
安全審計
√
剩余信息保護(hù)
√
入侵防范
√
惡意代碼防范
√
資源控制
√
應(yīng)用安全
身份鑒別
√
訪問控制
√
安全審計
√
剩余信息保護(hù)
√
通信完整性
√
通信保密性
√
抗抵賴
√
軟件容錯
√
資源控制
√
數(shù)據(jù)安全及備
份與恢復(fù)
數(shù)據(jù)完整性
√
數(shù)據(jù)保密性
√
備份和恢復(fù)
√
8
資
產(chǎn)
名
稱
編
號
威脅
總
分
值
威脅
等級
操
作
失
誤
濫
用
授
權(quán)
行
為
抵
賴
身
份
假
冒
口
令
攻
擊
密
碼
分
析
漏
洞
利
用
拒
絕
服
務(wù)
惡
意
代
碼
竊
取
數(shù)
據(jù)
物
理
破
壞
社
會
工
程
意
外
故
障
通
信
中
斷
數(shù)
據(jù)
受
損
電
源
中
斷
災(zāi)
害
管
理
不
到
位
越
權(quán)
使
用
1
2
1
1
1
1
1
1
2
1
1
1
1
2
1
1
1
1
1
1
22
很低
2
2
1
1
1
1
1
2
3
1
1
1
1
2
1
1
2
1
1
1
25
很低
3
2
1
1
1
1
1
1
2
1
1
1
1
2
1
1
3
1
1
1
24
很低
4
2
1
1
1
1
1
1
1
1
1
1
1
2
1
1
1
1
1
1
21
很低
附件
3:威脅賦值表
編
號
檢測項
檢測子項
脆弱性
整改建議
標(biāo)識
1
管理脆弱
性檢測
機(jī)構(gòu)、制度、人員
很低
加強(qiáng)制度培訓(xùn)
V1
安全策略
低
增加審計事件
V2
檢測與響應(yīng)脆弱性
低
無
V3
日常維護(hù)
低
無
V4
3
系統(tǒng)脆弱
性檢測
操作系統(tǒng)脆弱性
低
無
V5
5
數(shù)據(jù)處理
和存儲脆
弱性
數(shù)據(jù)處理
低
無
V6
數(shù)據(jù)存儲脆弱性
低
無
V7
6
運行維護(hù)
脆弱性
安全事件管理
中
無
V8
7
災(zāi)備與應(yīng)
急響應(yīng)脆
弱
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 2025屆廣東省茂名省際名校高考英語一模試卷含解析
- 河北省三河市第三中學(xué)2025屆高三第四次模擬考試數(shù)學(xué)試卷含解析
- 安徽省阜陽市成效中學(xué)2025屆高三壓軸卷英語試卷含解析
- 甘肅省定西市通渭縣第二中學(xué)2025屆高三考前熱身語文試卷含解析
- 2025屆全國大聯(lián)考高三第一次調(diào)研測試英語試卷含解析
- 《solidworks 機(jī)械設(shè)計實例教程》 課件 任務(wù)9.2 發(fā)動機(jī)裝配體的設(shè)計
- 山東省棲霞市2025屆高三下學(xué)期聯(lián)合考試語文試題含解析
- 重慶第十一中學(xué)2025屆高考語文五模試卷含解析
- 2025屆青海省大通回族土族自治縣第一中學(xué)高考臨考沖刺英語試卷含解析
- 2025屆山東省夏津縣第一中學(xué)高考數(shù)學(xué)四模試卷含解析
- 粉藍(lán)色簡約卡通三好學(xué)生競選
- 2024商丘師范學(xué)院教師招聘考試筆試試題
- 2024年安全員C證考試題庫及解析(1000題)
- 基于人工智能的工程設(shè)計優(yōu)化
- 奇異的仿生學(xué)智慧樹知到期末考試答案章節(jié)答案2024年吉林大學(xué)
- 市場營銷學(xué)智慧樹知到期末考試答案章節(jié)答案2024年宜賓學(xué)院
- 醫(yī)療大數(shù)據(jù)與人工智能技術(shù)融合發(fā)展
- 公安民警矛盾糾紛調(diào)解培訓(xùn)
- 土力學(xué)實驗智慧樹知到期末考試答案2024年
- MOOC 介入放射學(xué)-東南大學(xué) 中國大學(xué)慕課答案
- 醇基燃料培訓(xùn)課件
評論
0/150
提交評論