公司網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估報(bào)告

公司網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估報(bào)告10/10網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估報(bào)告XXXXX有限公司20XX年X月X日公司網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估報(bào)告全文共11頁，當(dāng)前為第1頁。公司網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估報(bào)告全文共11頁，當(dāng)前為第1頁。目錄TOC\o"1-4"\h\z\u一、概述 41.1工作方法 41.2評估依據(jù) 41.3評估范圍 41.4評估方法 41.5基本信息 5二、資產(chǎn)分析 52.1信息資產(chǎn)識(shí)別概述 52.2信息資產(chǎn)識(shí)別 5三、評估說明 63.1無線網(wǎng)絡(luò)安全檢查項(xiàng)目評估 63.2無線網(wǎng)絡(luò)與系統(tǒng)安全評估 63.3ip管理與補(bǔ)丁管理 63.4防火墻 7四、威脅細(xì)類分析 74.1威脅分析概述 74.2威脅分類 84.3威脅主體 8五、安全加固與優(yōu)化 95.1加固流程 95.2加固措施對照表 10六、評估結(jié)論 11公司網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估報(bào)告全文共11頁，當(dāng)前為第2頁。公司網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估報(bào)告全文共11頁，當(dāng)前為第2頁。一、概述XXXXX有限公司通過自評估的方式對網(wǎng)絡(luò)安全進(jìn)行檢查，發(fā)現(xiàn)系統(tǒng)當(dāng)前面臨的主要安全問題，邊檢查邊整改，確保信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全。1.1工作方法在本次網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評測中將主要采用的評測方法包括：人工評測、工具評測。1.2評估依據(jù)根據(jù)國務(wù)院信息化工作辦公室《關(guān)于對國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)開展安全檢查的通知》（信安通［2006］15號）、國家電力監(jiān)管委員會(huì)《關(guān)于對電力行業(yè)有關(guān)單位重要信息系統(tǒng)開展安全檢查的通知》（辦信息[2006]48號）以及公司文件、檢查方案要求,開展XXXXX有限公司網(wǎng)絡(luò)安全評估。1.3評估范圍此次系統(tǒng)測評的范圍主要針對該業(yè)務(wù)系統(tǒng)所涉及的服務(wù)器、應(yīng)用、數(shù)據(jù)庫、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、終端等資產(chǎn)。主要涉及以下方面：業(yè)務(wù)系統(tǒng)的應(yīng)用環(huán)境；網(wǎng)絡(luò)及其主要基礎(chǔ)設(shè)施，例如路由器、交換機(jī)等；安全保護(hù)措施和設(shè)備，例如防火墻、IDS等；信息安全管理體系。1.4評估方法公司網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估報(bào)告全文共11頁，當(dāng)前為第3頁。采用自評估方法。公司網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估報(bào)告全文共11頁，當(dāng)前為第3頁。1.5基本信息被評估系統(tǒng)名稱業(yè)務(wù)系統(tǒng)負(fù)責(zé)人評估工作配合人員二、資產(chǎn)分析2.1信息資產(chǎn)識(shí)別概述資產(chǎn)被定義為對組織具有價(jià)值的信息或資源，資產(chǎn)識(shí)別的目標(biāo)就是識(shí)別出資產(chǎn)的價(jià)值，風(fēng)險(xiǎn)評估中資產(chǎn)的價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來衡量，而是由資產(chǎn)在其安全屬性——機(jī)密性、完整性和可用性上的達(dá)成程度或者其安全屬性未達(dá)成時(shí)所造成的影響程度來決定的。風(fēng)險(xiǎn)評估是對本司范圍內(nèi)的重要系統(tǒng)、重要網(wǎng)絡(luò)設(shè)備、重要服務(wù)器及其安全屬性受破壞后的影響進(jìn)行識(shí)別，將一旦停止運(yùn)行影響面大的系統(tǒng)、關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備和安全設(shè)備、承載敏感數(shù)據(jù)和業(yè)務(wù)的服務(wù)器進(jìn)行登記匯總。公司網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估報(bào)告全文共11頁，當(dāng)前為第4頁。2.2信息資產(chǎn)識(shí)別公司網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估報(bào)告全文共11頁，當(dāng)前為第4頁。資產(chǎn)分類資產(chǎn)組IP地址/名稱資產(chǎn)估價(jià)等級資產(chǎn)型號具體資產(chǎn)硬件資產(chǎn)服務(wù)器網(wǎng)絡(luò)設(shè)備軟件資產(chǎn)操作系統(tǒng)、數(shù)據(jù)庫和應(yīng)用軟件三、評估說明3.1無線網(wǎng)絡(luò)安全檢查項(xiàng)目評估無線網(wǎng)絡(luò)信息安全組織機(jī)構(gòu)包括領(lǐng)導(dǎo)機(jī)構(gòu)、工作機(jī)構(gòu)。崗位要求應(yīng)包括：專職網(wǎng)絡(luò)管理人員、專職應(yīng)用系統(tǒng)管理人員和專職系統(tǒng)管理人員；專責(zé)的工作職責(zé)與工作范圍應(yīng)有制度明確進(jìn)行界定；崗位實(shí)行主、副崗備用制度。病毒管理包括計(jì)算機(jī)病毒防治管理制度、定期升級的安全策略、病毒預(yù)警和報(bào)告機(jī)制、病毒掃描策略（1周內(nèi)至少進(jìn)行一次掃描）。3.2無線網(wǎng)絡(luò)與系統(tǒng)安全評估無線局域網(wǎng)核心交換設(shè)備、城域網(wǎng)核心路由設(shè)備應(yīng)采取設(shè)備冗余或準(zhǔn)備備用設(shè)備，不允許外聯(lián)鏈路繞過防火墻，具有當(dāng)前準(zhǔn)確的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。無線網(wǎng)絡(luò)設(shè)備配置有備份，網(wǎng)絡(luò)關(guān)鍵點(diǎn)設(shè)備采用雙電源，關(guān)閉網(wǎng)絡(luò)設(shè)備HTTP、FTP、TFTP等服務(wù)，SNMP社區(qū)串、本地用戶口令強(qiáng)?。?gt;8字符，數(shù)字、字母混雜）。3.3ip管理與補(bǔ)丁管理公司網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估報(bào)告全文共11頁，當(dāng)前為第5頁。有無線IP地址管理系統(tǒng)，無線IP地址管理有規(guī)劃方案和分配策略，無線IP地址分配有記錄。有補(bǔ)丁管理的手段或補(bǔ)丁管理制度，Windows系統(tǒng)主機(jī)補(bǔ)丁安裝齊全，有補(bǔ)丁安裝的測試記錄。公司網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估報(bào)告全文共11頁，當(dāng)前為第5頁。3.4防火墻無線網(wǎng)絡(luò)中的防火墻位置部署合理，防火墻規(guī)則配置符合安全要求，防火墻規(guī)則配置的建立、更改有規(guī)范申請、審核、審批流程，對防火墻日志進(jìn)行存儲(chǔ)、備份。四、威脅細(xì)類分析4.1威脅分析概述4.1.1外部威脅來自不可控網(wǎng)絡(luò)的外部攻擊，主要指移動(dòng)的CMNET、其它電信運(yùn)營商的Internet互聯(lián)網(wǎng)，以及第三方的攻擊，其中互聯(lián)網(wǎng)的威脅主要是黑客攻擊、蠕蟲病毒等，而第三方的威脅主要是越權(quán)或?yàn)E用、泄密、篡改、惡意代碼或病毒等。4.1.2內(nèi)部威脅主要來自內(nèi)部人員的惡意攻擊、無作為或操作失誤、越權(quán)或?yàn)E用、泄密、篡改等。另外，由于管理不規(guī)范導(dǎo)致各支撐系統(tǒng)之間的終端混用，也帶來病毒泛濫的潛在威脅。對每種威脅發(fā)生的可能性進(jìn)行分析，最終為其賦一個(gè)相對等級值，將根據(jù)經(jīng)驗(yàn)、有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來判斷威脅發(fā)生的頻率或者概率。威脅發(fā)生的可能性受下列因素影響：資產(chǎn)的吸引力；資產(chǎn)轉(zhuǎn)化成報(bào)酬的容易程度；威脅的技術(shù)力量等。公司網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估報(bào)告全文共11頁，當(dāng)前為第6頁。下面是威脅標(biāo)識(shí)對應(yīng)表：公司網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估報(bào)告全文共11頁，當(dāng)前為第6頁。威脅等級可能帶來的威脅可控性發(fā)生頻度高黑客攻擊、惡意代碼和病毒等完全不可控出現(xiàn)的頻率較高（或≥1次/月）；或在大多數(shù)情況下很有可能會(huì)發(fā)生；或可以證實(shí)多次發(fā)生過。中物理攻擊、內(nèi)部人員的操作失誤、惡意代碼和病毒等一定的可控性出現(xiàn)的頻率中等（或>1次/半年）；或在某種情況下可能會(huì)發(fā)生；或被證實(shí)曾經(jīng)發(fā)生過。低內(nèi)部人員的操作失誤、惡意代碼和病毒等較大的可控性出現(xiàn)的頻率較??；或一般不太可能發(fā)生；或沒有被證實(shí)發(fā)生過。4.2威脅分類下面是針對威脅分類對威脅途徑的描述，其中不包括物理威脅：威脅種類威脅途徑操作錯(cuò)誤合法用戶工作失誤或疏忽的可能性濫用授權(quán)合法用戶利用自己的權(quán)限故意或非故意破壞系統(tǒng)的可能性行為抵賴合法用戶對自己操作行為否認(rèn)的可能性身份假冒非法用戶冒充合法用戶進(jìn)行操作的可能性密碼分析非法用戶對系統(tǒng)密碼分析的可能性安全漏洞非法用戶利用系統(tǒng)漏洞侵入系統(tǒng)的可能性拒絕服務(wù)非法用戶利用拒絕服務(wù)手段攻擊系統(tǒng)的可能性惡意代碼病毒、特洛伊木馬、蠕蟲、邏輯炸彈等感染的可能性竊聽數(shù)據(jù)非法用戶通過竊聽等手段盜取重要數(shù)據(jù)的可能性社會(huì)工程非法用戶利用社交等手段獲取重要信息的可能性意外故障系統(tǒng)的組件發(fā)生意外故障的可能性通信中斷數(shù)據(jù)通信傳輸過程中發(fā)生意外中斷的可能性4.3威脅主體公司網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估報(bào)告全文共11頁，當(dāng)前為第8頁。公司網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估報(bào)告全文共11頁，當(dāng)前為第7頁。下面對威脅來源從威脅主體的角度進(jìn)行了威脅等級分析：公司網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估報(bào)告全文共11頁，當(dāng)前為第8頁。公司網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估報(bào)告全文共11頁，當(dāng)前為第7頁。威脅主體面臨的威脅系統(tǒng)合法用戶（系統(tǒng)管理員和其他授權(quán)用戶）操作錯(cuò)誤濫用授權(quán)行為抵賴系統(tǒng)非法用戶（權(quán)限較低用戶和外部攻擊者）身份假冒密碼分析安全漏洞拒絕服務(wù)惡意代碼竊聽數(shù)據(jù)社會(huì)工程系統(tǒng)組件意外故障通信中斷五、安全加固與優(yōu)化5.1加固流程常規(guī)安全修復(fù)和加固服務(wù)主要依據(jù)以下流程：公司網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估報(bào)告全文共11頁，當(dāng)前為第9頁。5.2加固措施對照表公司網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估報(bào)告全文共11頁，當(dāng)前為第9頁。項(xiàng)目可能的影響和方式等級安全加固措施備注資產(chǎn)評估資產(chǎn)信息泄露高合同、協(xié)議、規(guī)章、制度、法律、法規(guī)安全管理評估安全管理信息泄露高合同、協(xié)議、規(guī)章、制度、法律、法規(guī)應(yīng)急安全評估系統(tǒng)切換測試導(dǎo)致部分業(yè)務(wù)中斷、部分?jǐn)?shù)據(jù)遺失高做好系統(tǒng)備份和恢復(fù)措施；通知相關(guān)業(yè)務(wù)人員在相應(yīng)時(shí)間段注意保護(hù)數(shù)據(jù)，并檢查提交的數(shù)據(jù)是否在測試后完整可選網(wǎng)絡(luò)威脅收集網(wǎng)絡(luò)流量低控制中心與探測引擎直接連接。不占用網(wǎng)絡(luò)流量網(wǎng)絡(luò)/安全設(shè)備評估誤操作引起設(shè)備崩潰或數(shù)據(jù)丟失、損壞高規(guī)范審計(jì)流程；嚴(yán)格選擇審計(jì)人員；用戶進(jìn)行全程監(jiān)控；制定可能的恢復(fù)計(jì)劃。網(wǎng)絡(luò)/安全設(shè)備資源占有低避開業(yè)務(wù)高峰；控制掃描策略（線程數(shù)量、強(qiáng)度）漏洞掃描網(wǎng)絡(luò)流量低避開業(yè)務(wù)高峰；控制掃描策略（線程數(shù)量、強(qiáng)度）主機(jī)資源占用低避開業(yè)務(wù)高峰；控制掃描策略（線程數(shù)量、強(qiáng)度）控制臺(tái)審計(jì)誤操作引起設(shè)備崩潰或數(shù)據(jù)丟失、損壞高規(guī)范審計(jì)流程；嚴(yán)格選擇審計(jì)人員；用戶進(jìn)行全程監(jiān)控；制定可能的恢復(fù)計(jì)劃。網(wǎng)絡(luò)流量和主機(jī)資源占用低做好系統(tǒng)備份和恢復(fù)措施應(yīng)用平臺(tái)產(chǎn)生非法數(shù)據(jù)，只是系統(tǒng)不能正常工作中做好系統(tǒng)備份和恢復(fù)措施異常輸入（畸形數(shù)據(jù)、極限測試）導(dǎo)致系統(tǒng)崩潰高做好系統(tǒng)備份和恢復(fù)措施六、評估結(jié)論公司網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估報(bào)告全文共11頁，當(dāng)前為第10頁。公司依據(jù)國家、地方、行業(yè)相關(guān)安全法規(guī)、規(guī)范及標(biāo)準(zhǔn)，運(yùn)用安全系統(tǒng)工程的理論及方法，對項(xiàng)目建設(shè)內(nèi)容及安全管理，全面進(jìn)行了現(xiàn)場查驗(yàn)、查證及