风险评估

深圳市某某局2008年信息安全风险评估报告深圳市某某局二〇〇八年八月六日目录风险评估结论..........................................................................................I1评估工作概述.....................................................................................11.1评估范围.....................................................................................11.2评估组织.....................................................................................22评估依据和标准.................................................................................33资产识别............................................................................................53.1资产识别内容和方法...................................................................53.2重要资产的确定及三性赋值.......................................................84威胁识别..........................................................................................115脆弱性识别......................................................................................155.1脆弱性识别内容及方法.............................................................155.2脆弱性识别结果........................................................................156综合风险分析...................................................................................196.1风险分析方法...........................................................................196.2风险等级划分...........................................................................196.3不可接受风险划分....................................................................206.4风险分析结果..........................................................................207风险统计..........................................................................................268不可接受风险处理计划....................................................................28深圳市信息安全测评中心-I-风险评估结论此次风险评估，我局确定的评估范围为OA系统。评估共发现信息安全风险60个，其中极高风险6个，高风险14个，中风险1个，低风险20个，极低风险19个；经分析，确定60个风险中，40个为可以接受，20个为不可接受。为消除不可接受的风险，相应的处理计划如下：1）OA数据库服务器、应用服务器、内网管理及病毒服务器将及时升级系统补丁并强制用户口令强度和更改频率，降低风险；2）OA应用服务器应启用帐户锁定策略，防止非授权访问；3）防火墙及主要的网络设备将启用日志功能，规避抗抵赖的风险，同时还将尽快建立操作规程，规范操作过程；4）主要的网络设备将建立访问控制策略，规避非授权访问的风险；5）业务系统的关键网络数据在进行传输时将采取适当的保密措施并进行完整性校验；6）核心机房的物理访问控制将建立来访人员登记制度。评估单位深圳市某某局（公章）批准人某某某2008年信息安全风险评估报告范本深圳市信息安全测评中心-1-1评估工作概述我局于2008年6月2日至8月6日开展了信息安全风险自评估工作，本次风险评估工作主要依托信息中心的技术人员开展，行政办公室、财务室、业务一处、业务二处、秘书处参与了该项工作。1.1评估范围1.1.1评估范围概述本次评估范围为我局的OA系统。该系统是一个基于B/S架构的办公自动化系统，系统建设目标是将传统手工，纸面，封闭的运作方式转换成自动、电子、开放的方式，提高行政管理及相关业务的工作质量和效率，并为全面信息化建设做好准备工作。使用该系统的部门包括行政办公室、财务室、业务一处、业务二处、秘书处、信息中心,日常用户数为120人；管理该系统的部门主要为秘书处、信息中心，其中秘书处主要负责系统的业务管理，信息中心主要负责系统的技术保障。1.1.2系统主要功能构成该系统主要功能包括：1)各部门协同办公系统，主要功能包括非涉密电子公文交换、公文流转、通知公告、资料交换、事务呈签等日常办公功能。2)综合资料管理系统，实现文档的一体化管理，各种类型的信息按分类和分级管理，提供完善的查询检索功能。3)若干辅助办公系统，主要包括请示报告处理系统、简易发文系统、短信、电子邮件、局领导日程安排、个人日程安排等。2008年信息安全风险评估报告范本深圳市信息安全测评中心-2-1.1.3网络拓扑1.1.4评估边界此次评估的范围为上述拓扑图中框内部分，框外部分不属于本次评估范围。拓扑图中隔离网闸内接口、华为交换机内接口为评估边界。1.2评估组织我局专门成立了自评估工作小组负责开展本次评估工作，自评估工作小组组长（最高管理者代表）由张三（分管信息中心的副局长）担任，评估项目负责人有赵二（信息中心总工）担任，工作小组下设资产识别小组、脆弱性识别小组、威胁识别小组、风险分析小组和应急响应小组风，人员组成情况如下：2008年信息安全风险评估报告范本深圳市信息安全测评中心-3-组名小组组长成员资产识别小组张三ABCD脆弱性识别小组李四EFGH威胁识别小组王五ECDV风险分析小组刘六ACGH应急响应小组陈三BDCSF2评估依据和标准（各单位根据本单位评估情况选择使用相关的标准及文件）1)国家信息化领导小组《关于加强信息安全保障工作的意见》（中办发〔2003〕27号）2)国家网络与信息安全协调小组《关于开展信息安全风险评估工作的意见》（国信办〔2006〕5号）3)深圳市关于开展信息安全风险评估工作的实施意见（深科信〔2006〕268号）4)信息安全技术信息安全风险评估规范（GB/T20984-2007）5)信息技术安全技术信息技术安全性评估准则（GB/T18336-2001）6)电子计算机场地通用规范（GB/T2887-2000）7)计算机场地安全要求（GB9361-1989）8)信息技术安全技术信息技术安全性评估准则（GB/T18336-2001）9)信息技术信息技术安全管理指南（GB/T19715.1-2005）10)信息技术信息安全管理实用规则（GB/T19716-2005）11)信息安全技术操作系统安全评估准则（GB/T20008-2005）2008年信息安全风险评估报告范本深圳市信息安全测评中心-4-12)信息安全技术数据库管理系统安全评估准则（GB/T20009-2005）13)信息安全技术包过滤防火墙评估准则（GB/T20010-2005）14)信息安全技术路由器安全评估准则（GB/T20011-2005）15)信息安全技术信息系统安全管理要求（GB/T20269-2006）16)信息安全技术网络基础安全技术要求（GB/T20270-2006）17)信息安全技术信息系统通用安全技术要求（GB/T20271-2006）18)信息安全技术操作系统安全技术要求（GB/T20272-2006）19)信息安全技术数据库管理系统安全技术要求（GB/T20273-2006）20)信息安全技术网络和终端设备隔离部件测试评价方法（GB/T20277-2006）21)信息安全技术网络和终端设备隔离部件安全技术要求（GB/T20279-2006）22)信息安全技术防火墙技术要求和测试评价方法（GB/T20281-2006）23)信息安全技术信息系统安全工程管理要求（GB/T20282-2006）24)信息安全技术路由器安全技术要求（GB/T18018-2007）25)信息安全技术信息系统安全审计产品技术要求和评价方法（GB/T20945-2007）26)信息技术安全技术信息安全事件管理指南（GB/Z20985-2007）27)信息安全技术信息安全事件分类分级指南（GB/Z20986-2007）28)信息安全技术服务器安全技术要求（GB/T21028-2007）29)信息安全技术网络交换机安全技术要求（GB/T21050-2007）30)信息技术——信息安全管理实施细则（ISO/IEC17799:2000）31)信息技术——信息安全管理实施规范（ISO/IEC27001:2005）32)深圳市信息安全风险评估实施指南33)各种检查机构运作的一般规则（ISO-IEC17020-2004）2008年信息安全风险评估报告范本深圳市信息安全测评中心-5-3资产识别3.1资产识别内容和方法资产识别小组召集行政办公室、财务室、业务一处、业务二处等OA系统的使用部门以及系统管理部门秘书处、信息中心的主要工作人员对评估范围内的资产进行了逐项分析，比对财务资产清单，结合系统运行现状，识别出评估范围内的信息资产，形成了资产识别表；参考《资产重要性程度判断准则》为每个资产进行了重要性程度赋值。资产识别和赋值结果记录在资产识别表中。表格3-1硬件资产识别表资产识别表－－硬件资产序号资产名称资产编号责任人应用描述重要性程度备注部门1OA数据库服务器S001张三OA服务器45IBMP650信息中心;2内网提醒服务器S002张三内网提醒服务器10IBMX366信息中心;3视频服务器S003张三视频服务器10联想信息中心;4病毒服务器S004张三病毒服务器40联想信息中心;5OA服应用务器S005张三OA服务器40ibmx365信息中心;6核心路由6509-1S006张三核心路由45信息中心;2008年信息安全风险评估报告范本深圳市信息安全测评中心-6-7核心路由6509-2G007张三核心路由45信息中心;8思科3745G008张三交换机45信息中心;9思科2950G009张三楼层交换机25各楼层交换机信息中心;10防火墙F001张三连接各分部30信息中心;11磁盘阵列D002张三统一的磁盘阵列45信息中心;12磁带机D001张三统一的磁带机45信息中心;表格3-2文档和数据资产识别表资产识别表－－文档和数据序号资产名称责任人应用描述存储形式备份形式重要性程度备注部门1OA相关技术资料张三oa资料纸版、电子版电子备份30信息中心;表格3-3人力资产识别表资产识别表－－人力资源序号岗位岗位描述