計算機(jī)風(fēng)險評估報告

計算機(jī)風(fēng)險評估報告PAGE8一、風(fēng)險評估項目概況名稱完成時間試運(yùn)行時間二、風(fēng)險評估活動概述2.1風(fēng)險評估工作組織管理公司本次風(fēng)險評估工作成員：組長：主任：成員：工作原則：依據(jù)綜合審計日志和信息安全策略準(zhǔn)則，在風(fēng)險評估過程中把最真實的數(shù)據(jù)和結(jié)果反映出來，并及時調(diào)整信息的安全保密策略，及時補(bǔ)充完善技術(shù)與管理措施，使計算機(jī)保持與等級要求相一致的安全保護(hù)水平。2.2風(fēng)險評估工作過程此次評估階段和具體工作內(nèi)容包括第一階段：資產(chǎn)識別與分析惡意代碼和病毒低越權(quán)或濫用低物理攻擊低泄密低篡改低抵賴低5.2威脅賦值見《威脅賦值表》。六、脆弱性識別與分析按照檢測對象、檢測結(jié)果、脆弱性分析分別描述以下各方面的脆弱性檢測結(jié)果和結(jié)果分析。6.1常規(guī)脆弱性描述6.1.1管理脆弱性在計算機(jī)的管理上采用嚴(yán)格的管理制度和安全策略，脆弱性賦值為低。6.1.2系統(tǒng)脆弱性計算機(jī)安裝的是windowsxpsp3系統(tǒng)，通過對其穩(wěn)定性測試和漏洞掃描并及時安裝漏洞補(bǔ)丁，脆弱性賦值為低。6.1.3應(yīng)用脆弱性計算機(jī)的應(yīng)用有嚴(yán)格的身份鑒別和軟件的安全穩(wěn)定性測試，脆弱性賦值為低。6.1.4數(shù)據(jù)處理和存儲脆弱性計算機(jī)的數(shù)據(jù)處理和存儲采用自動保存和定期備份機(jī)制，確保完整性，脆弱性賦值為低。6.1.5運(yùn)行維護(hù)脆弱性計算機(jī)定期進(jìn)行軟件更新和硬件維護(hù)，脆弱性賦值為低。6.1.7災(zāi)備與應(yīng)急響應(yīng)脆弱性根據(jù)保密安全策略的應(yīng)急響應(yīng)策略，定期對應(yīng)急計劃和響應(yīng)程序進(jìn)行檢查和進(jìn)行必要的演練，確保其始終有效。脆弱性賦值為低。6.1.8物理脆弱性根據(jù)物理安全策略，劃分了安全區(qū)域，并進(jìn)行物理訪問控制，進(jìn)行記錄在案。脆弱性賦值為低。6.2脆弱性專項檢測6.2.1木馬病毒專項檢查根據(jù)殺毒軟件的綜合殺毒日志和殺毒記錄，脆弱性賦值為低。6.2.2設(shè)備安全性專項測試根據(jù)計算機(jī)綜合審計日志進(jìn)行分析，脆弱性賦值為低。6.2.3其他專項檢測通過安裝電磁輻射干擾儀，脆弱性賦值為低。6.3脆弱性綜合列表見《脆弱性分析賦值表》。七、綜合分析與評價根據(jù)上述風(fēng)險評估結(jié)果，評定公司計算機(jī)的風(fēng)險值是很低的，希望公司各涉密人員能夠繼續(xù)保持和遵守安全保密策略和行為準(zhǔn)冊，嚴(yán)格要求自己。八、整改意見根據(jù)評估結(jié)果提出以下幾點整改意見：1.加強(qiáng)計算機(jī)管理使用制度的培訓(xùn)。2.對安全產(chǎn)品的實施要做到及時到位。3.嚴(yán)格按照審批手續(xù)執(zhí)行

附件1：管理措施表序號層面/方面安全控制/措施落實部分落實沒有落實不適用安全管理制度管理制度√制定和發(fā)布√評審和修訂√安全管理機(jī)構(gòu)崗位設(shè)置√人員配備√授權(quán)和審批√溝通和合作√審核和檢查√人員安全管理人員錄用√人員離崗√人員考核√安全意識教育和培訓(xùn)√外部人員訪問管理√系統(tǒng)建設(shè)管理系統(tǒng)定級√安全方案設(shè)計√產(chǎn)品采購√自行軟件開發(fā)√外包軟件開發(fā)√工程實施√測試驗收√系統(tǒng)交付√系統(tǒng)備案√安全服務(wù)商選擇√系統(tǒng)運(yùn)維管理環(huán)境管理√資產(chǎn)管理√介質(zhì)管理√設(shè)備管理√監(jiān)控管理和安全管理中心√網(wǎng)絡(luò)安全管理√系統(tǒng)安全管理√惡意代碼防范管理√密碼管理√變更管理√備份與恢復(fù)管理√安全事件處置√應(yīng)急預(yù)案管理√小計附件2：技術(shù)措施表序號層面/方面安全控制/措施落實部分落實沒有落實不適用1物理安全物理位置的選擇√物理訪問控制√防盜竊和防破壞√防雷擊√防火√防水和防潮√防靜電√溫濕度控制√電力供應(yīng)√電磁防護(hù)√主機(jī)安全身份鑒別√訪問控制√安全審計√剩余信息保護(hù)√入侵防范√惡意代碼防范√資源控制√應(yīng)用安全身份鑒別√訪問控制√安全審計√剩余信息保護(hù)√通信完整性√通信保密性√抗抵賴√軟件容錯√資源控制√數(shù)據(jù)安全及備份與恢復(fù)數(shù)據(jù)完整性√數(shù)據(jù)保密性√備份和恢復(fù)√附件3：威脅賦值表資產(chǎn)名稱編號威脅總分值威脅等級操作失誤濫用授權(quán)行為抵賴身份假冒口令攻擊密碼分析漏洞利用拒絕服務(wù)惡意代碼竊取數(shù)據(jù)物理破壞社會工程意外故障通信中斷數(shù)據(jù)受損電源中斷災(zāi)害管理不到位越權(quán)使用1211111121111211111122很低2211111231111211211125很低3211111121111211311124很低4211111111111211111121很低

附件4：脆弱性分析賦值表編號檢測項檢測子項脆弱性整改建議標(biāo)識1管理脆弱性檢測機(jī)構(gòu)、制度、人員很低加強(qiáng)制度培訓(xùn)安全策略低增加審計事件檢測與響應(yīng)脆弱性低無日常維護(hù)低無3系統(tǒng)脆弱性檢測操作系統(tǒng)脆弱性低無5數(shù)據(jù)處理和存儲脆弱性數(shù)據(jù)處理低無數(shù)據(jù)存儲脆弱性低無6運(yùn)行維護(hù)脆弱性安全事件管理中無7災(zāi)備與