2024信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告模板

XX單位XXX信息系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告項(xiàng)目名稱：XX單位XXX信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估委托單位：XX單位評(píng)估單位：報(bào)告時(shí)間：2024年3月 聲明XXX公司依據(jù)相應(yīng)技術(shù)標(biāo)準(zhǔn)和有關(guān)法律法規(guī)實(shí)施信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估。本報(bào)告中給出的結(jié)論僅對(duì)被評(píng)估系統(tǒng)的當(dāng)時(shí)狀況有效，當(dāng)評(píng)估后系統(tǒng)出現(xiàn)任何變更時(shí)，涉及到的任何模塊（或子系統(tǒng)）都應(yīng)重新進(jìn)行評(píng)估，本評(píng)估結(jié)果不再適用。系統(tǒng)被評(píng)估時(shí)的基本狀況將在“被測(cè)系統(tǒng)基本情況”中給出。報(bào)告中描述的被測(cè)系統(tǒng)存在的安全問題，不限于報(bào)告中指出的位置。在任何情況下，若需引用本報(bào)告中的結(jié)果或數(shù)據(jù)都應(yīng)保持其本來的意義，不得擅自進(jìn)行增加、修改、偽造或掩蓋事實(shí)。為保證系統(tǒng)所屬方的利益，本報(bào)告僅提供給被測(cè)系統(tǒng)所屬方，XXX公司不向第三方提供（乙方的上級(jí)主管機(jī)關(guān)除外），并為其保密。被測(cè)方不能將此報(bào)告或報(bào)告中的某一部分拷貝或復(fù)制，作為廣告宣傳材料。本報(bào)告結(jié)論的有效性建立在用戶提供材料的真實(shí)性基礎(chǔ)上。XX單位電子政務(wù)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估項(xiàng)目項(xiàng)目名稱XX單位XXX信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估測(cè)試類別風(fēng)險(xiǎn)評(píng)估委托日期2024年3月委托單位XX單位聯(lián)系人XXX聯(lián)系電話1XXXXXXXXXX評(píng)估依據(jù)《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007）《信息技術(shù)信息安全管理實(shí)用規(guī)則》（GB/T22081-2008)參考依據(jù)（不在認(rèn)可能力范圍內(nèi)）《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T22239-2008）評(píng)估時(shí)間2024年3月16日至2024年3月31日評(píng)估結(jié)論XX單位從當(dāng)前業(yè)務(wù)的安全需求出發(fā)，對(duì)被測(cè)的信息系統(tǒng)采取了相應(yīng)的安全控制措施，經(jīng)實(shí)際安全測(cè)試表明，已有的安全措施對(duì)保障系統(tǒng)業(yè)務(wù)的正常運(yùn)行是有效的且可行的。但被評(píng)估信息系統(tǒng)還存在一定的安全風(fēng)險(xiǎn)：在物理安全方面存在訪問控制管理問題，易引發(fā)防盜及物理破壞等風(fēng)險(xiǎn)；在網(wǎng)絡(luò)安全方面存在單點(diǎn)故障風(fēng)險(xiǎn)，另外部分安全設(shè)備未采取雙因子認(rèn)證方式登錄，存在安全風(fēng)險(xiǎn)；希望對(duì)相關(guān)問題保持關(guān)注，并盡快采取相應(yīng)的控制措施，以確保系統(tǒng)穩(wěn)定、安全運(yùn)行。XXX公司2024年03月31日備注無審核批準(zhǔn)編制人編制日期年月日審核人審核日期年月日批準(zhǔn)人批準(zhǔn)日期年月日目錄TOC\o"1-2"\h\z\u1. 概述 11.1. 評(píng)估綜述 11.2. 評(píng)估范圍 11.3. 評(píng)估目的 41.4. 評(píng)估依據(jù) 41.5. 風(fēng)險(xiǎn)評(píng)估項(xiàng)目組成員 41.6. 評(píng)估流程 51.7. 報(bào)告分發(fā)范圍 72. 評(píng)估方法 82.1. 訪談 82.2. 檢查 82.3. 測(cè)試 83. 資產(chǎn)重要性識(shí)別 93.1. 資產(chǎn)分類及調(diào)查 93.2. 資產(chǎn)賦值及重要資產(chǎn)選取 103.3. 關(guān)鍵資產(chǎn)、關(guān)鍵系統(tǒng)單元的確定過程 104. 威脅性識(shí)別 124.1. 威脅識(shí)別 124.2. 威脅嚴(yán)重程度 125. 脆弱性識(shí)別 155.1. 脆弱性類型 155.2. 脆弱性嚴(yán)重程度賦值表 166. 風(fēng)險(xiǎn)分析 176.1. 風(fēng)險(xiǎn)分析方法 176.2. 風(fēng)險(xiǎn)計(jì)算 177. 被測(cè)系統(tǒng)描述 187.1. 已落實(shí)的安全措施 188. 被測(cè)信息系統(tǒng)資產(chǎn)識(shí)別 208.1. 資產(chǎn)重要性識(shí)別結(jié)果 208.2. 關(guān)鍵信息資產(chǎn)、關(guān)鍵系統(tǒng)單元的確定結(jié)果 219. 被測(cè)信息系統(tǒng)威脅性識(shí)別結(jié)果 239.1. 物理、環(huán)境威脅列表 239.2. 網(wǎng)絡(luò)威脅列表 239.3. 主機(jī)/數(shù)據(jù)威脅列表 249.4. 應(yīng)用威脅列表 259.5. 管理威脅列表 269.6. 威脅匯總 2710. 被測(cè)信息系統(tǒng)脆弱性識(shí)別結(jié)果 2810.1. 技術(shù)脆弱性識(shí)別結(jié)果 2810.2. 技術(shù)脆弱性匯總 3410.3. 管理脆弱性匯總 3511. 風(fēng)險(xiǎn)列表 3611.1. 技術(shù)風(fēng)險(xiǎn)列表 3611.2. 管理風(fēng)險(xiǎn)程度列表 4412. 評(píng)估結(jié)論 4513. 安全建議 4613.1. 風(fēng)險(xiǎn)處理方式 4613.2. 風(fēng)險(xiǎn)處理建議 4613.3. 技術(shù)安全建議 47信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估基本信息表信息系統(tǒng)項(xiàng)目名稱XX單位XXX系統(tǒng)風(fēng)險(xiǎn)評(píng)估項(xiàng)目委托單位單位名稱XX單位單位地址郵政編碼聯(lián)系人姓名職務(wù)/職稱所屬部門信息中心辦公電話移動(dòng)電話電子郵件評(píng)估單位單位名稱單位代碼通信地址郵政編碼聯(lián)系人姓名職務(wù)/職稱所屬部門辦公電話移動(dòng)電話電子郵件XX單位門戶網(wǎng)站信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告第8頁/共45頁XX單位電子政務(wù)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估【2024版】XX單位電子政務(wù)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估【2024版】第7頁/共47頁概述評(píng)估綜述2024年3月，受XX單位委托，XXX公司對(duì)XX單位電子政務(wù)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估。通過評(píng)估，在堅(jiān)持科學(xué)、客觀、公正原則的基礎(chǔ)上，全面了解系統(tǒng)當(dāng)前的安全狀況，分析系統(tǒng)所面臨的各種風(fēng)險(xiǎn)，根據(jù)評(píng)估結(jié)果發(fā)現(xiàn)系統(tǒng)存在的安全問題，并對(duì)嚴(yán)重的問題提出相應(yīng)的風(fēng)險(xiǎn)控制策略。整個(gè)風(fēng)險(xiǎn)評(píng)估過程共分三個(gè)階段進(jìn)行：風(fēng)險(xiǎn)評(píng)估準(zhǔn)備階段、現(xiàn)場(chǎng)評(píng)估階段和分析與報(bào)告編制階段。整個(gè)評(píng)估過程采用的評(píng)估方法有用戶訪談、系統(tǒng)分析、現(xiàn)場(chǎng)核查、手工驗(yàn)證、安全工具掃描等。通過現(xiàn)場(chǎng)評(píng)估，形成一系列的重要資產(chǎn)列表、威脅清單和脆弱性清單。對(duì)于資產(chǎn)、威脅、脆弱性三要素進(jìn)行關(guān)聯(lián)分析，評(píng)估各資產(chǎn)面臨的安全風(fēng)險(xiǎn)。在明確資產(chǎn)面臨的風(fēng)險(xiǎn)后，根據(jù)用戶的網(wǎng)絡(luò)需求和安全要求，結(jié)合資產(chǎn)風(fēng)險(xiǎn)的大小、存在的脆弱性或面臨威脅的實(shí)際情況，有針對(duì)性地提出能夠有效地消除脆弱性和控制威脅的管理或技術(shù)方面的整改措施。最后，綜合前面各階段的工作成果，形成信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告。評(píng)估范圍本次信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的范圍包括XX單位信息系統(tǒng)所屬網(wǎng)絡(luò)、安全設(shè)備、主機(jī)及應(yīng)用系統(tǒng)。本次風(fēng)險(xiǎn)評(píng)估主要包括兩個(gè)方面的內(nèi)容：一是技術(shù)安全評(píng)估，主要包括物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全等五個(gè)層面；二是管理安全評(píng)估，主要包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理、信息安全方針、信息安全組織、資產(chǎn)管理、人力資源安全、物理和環(huán)境安全、通信和操作管理、訪問控制、信息系統(tǒng)獲取、開發(fā)和維護(hù)、信息安全事件、業(yè)務(wù)連續(xù)性管理、符合性等方面。物理和環(huán)境對(duì)象：序號(hào)名稱位置用途測(cè)試編號(hào)1機(jī)房辦公樓3樓關(guān)鍵設(shè)備的物理環(huán)境網(wǎng)絡(luò)層檢測(cè)對(duì)象：序號(hào)名稱型號(hào)測(cè)試編號(hào)1核心交換機(jī)華三E7500SDJT-WLSB-012匯聚交換思科2950SDJT-WLSB-02網(wǎng)絡(luò)層安全設(shè)備檢測(cè)對(duì)象：序號(hào)名稱型號(hào)測(cè)試編號(hào)1防火墻天融信NGFW4000SDJT-AQSB-012主機(jī)監(jiān)控與審計(jì)系金盾CIS7.0SDJT-AQSB-023入侵防御檢測(cè)迪普IPS2000-GS-NSDJT-AQSB-034防病毒墻迪普IPS2000-AVSDJT-AQSB-045WEB應(yīng)用防火墻綠盟WAF-P300ASDJT-AQSB-056流量控制系統(tǒng)迪普UAG3000-GSSDJT-AQSB-06主機(jī)層檢測(cè)對(duì)象：序號(hào)名稱硬件型號(hào)操作系統(tǒng)/軟件版本測(cè)試編號(hào)門戶網(wǎng)站系統(tǒng)服務(wù)器HP-GL460Windowsserver2008SDJT-FWQ-01門戶網(wǎng)站數(shù)據(jù)庫HP-GL460RedhatlinuxSDJT-FWQ-02應(yīng)用層檢測(cè)對(duì)象：序號(hào)名稱部署位置測(cè)試編號(hào)門戶網(wǎng)站機(jī)房SDJT-YINGY-01其他電子政務(wù)系統(tǒng)機(jī)房SDJT-YINGY-02管理層檢測(cè)對(duì)象：序號(hào)文檔要求相關(guān)文檔名稱1機(jī)構(gòu)安全方針和政策方面的管理制度《XX單位信息安全管理制度匯編》2部門設(shè)置、崗位設(shè)置及工作職責(zé)定義方面的管理制度《XX單位信息安全管理制度匯編》3授權(quán)審批、審批流程等方面的管理制度《XX單位信息安全管理制度匯編》4安全審核和安全檢查方面的管理制度《XX單位信息安全管理制度匯編》5管理制度、操作規(guī)程修訂、維護(hù)方面的管理制度《XX單位信息安全管理制度匯編》6人員錄用、離崗、考核等方面的管理制度《XX單位信息安全管理制度匯編》7人員安全教育和培訓(xùn)方面的管理制度《XX單位信息安全管理制度匯編》8第三方人員訪問控制方面制度《XX單位信息安全管理制度匯編》9工程實(shí)施過程管理方面的管理制度《XX單位信息安全管理制度匯編》10產(chǎn)品選型、采購方面管理制度《XX單位信息安全管理制度匯編》11軟件外包開發(fā)或自我開發(fā)方面的管理制度《XX單位信息安全管理制度匯編》12測(cè)試、驗(yàn)收方面的管理制度《XX單位信息安全管理制度匯編》13機(jī)房安全管理方面的安全制度《XX單位信息安全管理制度匯編》14辦公環(huán)境安全管理方面的管理制度《XX單位信息安全管理制度匯編》15資產(chǎn)、設(shè)備、介質(zhì)安全管理方面的管理制度《XX單位信息安全管理制度匯編》16信息分類、表示、發(fā)布、使用方面的管理制度《XX單位信息安全管理制度匯編》17配套設(shè)置、軟硬件維護(hù)方面的管理制度《XX單位信息安全管理制度匯編》18網(wǎng)絡(luò)安全管理（網(wǎng)絡(luò)配置、賬號(hào)管理等）方面的管理制度《XX單位信息安全管理制度匯編》19系統(tǒng)安全管理（系統(tǒng)配置、賬號(hào)管理等）方面的管理制度《XX單位信息安全管理制度匯編》20系統(tǒng)監(jiān)控、風(fēng)險(xiǎn)評(píng)估、漏洞掃描方面的管理制度《XX單位信息安全管理制度匯編》21病毒防范方面的管理制度《XX單位信息安全管理制度匯編》22系統(tǒng)變更控制方面的管理制度《XX單位信息安全管理制度匯編》23密碼管理方面的管理制度《XX單位信息安全管理制度匯編》24備份和恢復(fù)方面的管理制度《XX單位信息安全管理制度匯編》25安全事件報(bào)告和處置方面管理制度《XX單位信息安全管理制度匯編》26應(yīng)急響應(yīng)方法、應(yīng)急響應(yīng)計(jì)劃等方面的文件《XX單位信息安全管理制度匯編》27其他文檔評(píng)估目的通過本次風(fēng)險(xiǎn)評(píng)估，對(duì)XX單位電子政務(wù)信息系統(tǒng)中主要網(wǎng)絡(luò)設(shè)備和應(yīng)用主機(jī)、數(shù)據(jù)中心主機(jī)房的安全管理和運(yùn)行維護(hù)現(xiàn)狀做出細(xì)致客觀地調(diào)研和了解，通過綜合分析，找出潛在的安全風(fēng)險(xiǎn)和威脅，提出XX單位電子政務(wù)在體系化信息安全管理制度建設(shè)及信息系統(tǒng)基礎(chǔ)建設(shè)、運(yùn)維管理、安全技術(shù)防范等環(huán)節(jié)的合理化建議，為XX單位制定信息安全管理策略提供數(shù)據(jù)參考，為XX單位電子政務(wù)信息系統(tǒng)的安全運(yùn)行、整體防御提供技術(shù)保障。評(píng)估依據(jù)為保證項(xiàng)目的實(shí)施質(zhì)量和圓滿完成本次項(xiàng)目的項(xiàng)目目標(biāo)，在風(fēng)險(xiǎn)評(píng)估項(xiàng)目的設(shè)計(jì)規(guī)劃中將遵循以下標(biāo)準(zhǔn)：《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007）《信息技術(shù)信息安全管理實(shí)用規(guī)則》（GB/T22081-2008)參考標(biāo)準(zhǔn)：《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T22239-2008）風(fēng)險(xiǎn)評(píng)估項(xiàng)目組成員受XX單位的委托本次信息安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目由XX單位與XXX公司共同成立風(fēng)險(xiǎn)評(píng)估項(xiàng)目小組。其中項(xiàng)目組成員組成如下：XX單位項(xiàng)目組成員如下：項(xiàng)目組長(zhǎng)：項(xiàng)目成員：XXX公司項(xiàng)目組成員如下：項(xiàng)目組長(zhǎng)：項(xiàng)目組成員：評(píng)估流程整個(gè)評(píng)估工作的流程如下XX單位電子政務(wù)信息系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估的過程如下：風(fēng)險(xiǎn)評(píng)估準(zhǔn)備工作系統(tǒng)調(diào)研03月16日至03月17日，評(píng)估項(xiàng)目組在相關(guān)部門員工的配合下完成XX單位電子政務(wù)信息系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估項(xiàng)目調(diào)研。其中：03月16日，項(xiàng)目組提交了《XX單位__WP-ZK-021至039調(diào)查表格》（以下簡(jiǎn)稱“系統(tǒng)調(diào)查表”），細(xì)化了調(diào)研內(nèi)容并給出了填寫范例。03月16日，評(píng)估項(xiàng)目組收集了技術(shù)文檔，并結(jié)合系統(tǒng)調(diào)查表反饋結(jié)果對(duì)目標(biāo)系統(tǒng)基本情況進(jìn)行了針對(duì)性的訪談。從系統(tǒng)建設(shè)人員的角度了解了目標(biāo)系統(tǒng)的業(yè)務(wù)流程、關(guān)鍵數(shù)據(jù)、已有的安全措施以及相關(guān)軟件系統(tǒng)的情況，并對(duì)目標(biāo)系統(tǒng)中已經(jīng)部署的主機(jī)、網(wǎng)絡(luò)互聯(lián)、安全設(shè)備以及運(yùn)行環(huán)境，安全管理評(píng)估小組則收集了與目標(biāo)系統(tǒng)相關(guān)的安全管理文檔。方案編制階段03月17日，評(píng)估項(xiàng)目組完成《XX單位電子政務(wù)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估項(xiàng)目實(shí)施方案》，并獲得委托方認(rèn)可?，F(xiàn)場(chǎng)評(píng)估階段03月26日-27日，評(píng)估項(xiàng)目組完成了XX單位電子政務(wù)信息系統(tǒng)現(xiàn)場(chǎng)評(píng)估工作。其中：03月26日上午，評(píng)估項(xiàng)目組與委托方相關(guān)人員針對(duì)現(xiàn)場(chǎng)評(píng)估實(shí)施計(jì)劃進(jìn)行了溝通，初步確定了主機(jī)、網(wǎng)絡(luò)、應(yīng)用、管理以及掃描的時(shí)間安排。委托方組織評(píng)估項(xiàng)目組以及有關(guān)配合單位/部門配合人員召開了現(xiàn)場(chǎng)評(píng)估協(xié)調(diào)會(huì)，明確了評(píng)估時(shí)間安排、入場(chǎng)準(zhǔn)備和現(xiàn)場(chǎng)工作內(nèi)容。03月26日下午，評(píng)估項(xiàng)目組正式入場(chǎng)開始評(píng)估工作，03月27日完成所有現(xiàn)場(chǎng)評(píng)估任務(wù)。針對(duì)不同評(píng)估內(nèi)容，評(píng)估項(xiàng)目組進(jìn)行了安全管理評(píng)估、主機(jī)安全評(píng)估、數(shù)據(jù)庫安全評(píng)估、網(wǎng)絡(luò)安全評(píng)估、應(yīng)用安全評(píng)估、漏洞掃描等，現(xiàn)場(chǎng)評(píng)估工作。在現(xiàn)場(chǎng)評(píng)估活動(dòng)中，評(píng)估項(xiàng)目組依據(jù)作業(yè)指導(dǎo)書訪談了4名安全管理相關(guān)人員，查看和分析了40余份安全管理類文檔，核查了1個(gè)應(yīng)用系統(tǒng)，2臺(tái)主機(jī)系統(tǒng)（WINDOWSSERVER08、Redhat）、2臺(tái)網(wǎng)絡(luò)設(shè)備、5臺(tái)網(wǎng)絡(luò)安全設(shè)備，獲取了完整的評(píng)估結(jié)果記錄。分析與報(bào)告編制階段03月27日至03月31日，評(píng)估項(xiàng)目組完成了評(píng)估結(jié)果記錄的整理、分析和報(bào)告編制工作。在該階段中，評(píng)估人員首先整理和匯總前期獲得的評(píng)估結(jié)果記錄，并對(duì)其進(jìn)行了符合性判斷和整體分析，找出了XX單位電子政務(wù)信息系統(tǒng)存在的主要安全風(fēng)險(xiǎn)；其次，針對(duì)發(fā)現(xiàn)的安全問題提出了安全整改建議；最后編制完成評(píng)估報(bào)告。報(bào)告分發(fā)范圍本報(bào)告一正二副，其中提交XX單位正本、副本各一本，一份副本由XXX公司留存。評(píng)估方法根據(jù)《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007）等要求，結(jié)合XX單位電子政務(wù)信息系統(tǒng)建設(shè)實(shí)際，經(jīng)雙方商定，本次評(píng)估的主要方法是通過現(xiàn)場(chǎng)調(diào)查、系統(tǒng)分析、手工驗(yàn)證、安全工具掃描（IBM_APPSCAN、綠盟RSAS遠(yuǎn)程安全評(píng)估系統(tǒng)）進(jìn)行信息資產(chǎn)重要性識(shí)別、威脅性識(shí)別、脆弱性識(shí)別，按照《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007）風(fēng)險(xiǎn)計(jì)算原理對(duì)評(píng)估對(duì)象進(jìn)行風(fēng)險(xiǎn)賦值，確定不可接受風(fēng)險(xiǎn)的具體范圍。訪談訪談是評(píng)估人員通過與信息系統(tǒng)有關(guān)人員（個(gè)人/群體）進(jìn)行交流、討論等活動(dòng)，獲取證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否有效的一種方法。檢查檢查是指評(píng)估人員通過對(duì)評(píng)估對(duì)象進(jìn)行觀察、查驗(yàn)、分析等活動(dòng)，獲取證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否有效的一種方法，具體檢查方法包括文檔核查、實(shí)地察看、配置檢查三種方式。測(cè)試測(cè)試是指評(píng)估人員通過對(duì)評(píng)估對(duì)象按照預(yù)定的方法/工具使其產(chǎn)生特定的響應(yīng)等活動(dòng)，查看、分析響應(yīng)輸出結(jié)果，獲取證據(jù)以證明信息系統(tǒng)安全保護(hù)措施是否有效的一種方法。資產(chǎn)重要性識(shí)別資產(chǎn)作為信息系統(tǒng)價(jià)值的體現(xiàn)，既是系統(tǒng)保護(hù)的目標(biāo)，也是風(fēng)險(xiǎn)評(píng)估的對(duì)象。在風(fēng)險(xiǎn)評(píng)估工作中，風(fēng)險(xiǎn)的所有重要因素都緊緊圍繞著資產(chǎn)為中心，威脅、脆弱性以及風(fēng)險(xiǎn)都是針對(duì)資產(chǎn)而客觀存在的。資產(chǎn)分類及調(diào)查根據(jù)資產(chǎn)的表現(xiàn)形式，將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務(wù)、人員等類型。資產(chǎn)分類列表分類示例數(shù)據(jù)存儲(chǔ)在信息介質(zhì)上的各種數(shù)據(jù)資料，包括源代碼、安裝介質(zhì)、數(shù)據(jù)庫數(shù)據(jù)、系統(tǒng)文檔、運(yùn)行管理規(guī)程、計(jì)劃、報(bào)告、用戶手冊(cè)等。軟件系統(tǒng)運(yùn)行的系統(tǒng)軟件：操作系統(tǒng)、語言包、工具軟件、各種庫等；運(yùn)行的應(yīng)用軟件：外部購買的應(yīng)用軟件和開發(fā)的應(yīng)用軟件等。硬件系統(tǒng)網(wǎng)絡(luò)設(shè)備：路由器、網(wǎng)關(guān)、交換機(jī)等；計(jì)算機(jī)設(shè)備：服務(wù)器、工作站、臺(tái)式計(jì)算機(jī)、移動(dòng)計(jì)算機(jī)等；存儲(chǔ)設(shè)備：磁帶機(jī)、磁盤陣列等；移動(dòng)存儲(chǔ)設(shè)備：磁帶、光盤、軟盤、U盤、移動(dòng)硬盤等；傳輸線路：光纖、雙絞線等；安全保障設(shè)備：防火墻、入侵檢測(cè)系統(tǒng)、身份驗(yàn)證系統(tǒng)等；其它電子設(shè)備：打印機(jī)、復(fù)印機(jī)、掃描儀、傳真機(jī)等。服務(wù)辦公服務(wù)：為提高效率而開發(fā)的管理信息系統(tǒng)（MIS），它包括各種內(nèi)部配置管理、文件流轉(zhuǎn)管理等服務(wù)；網(wǎng)絡(luò)服務(wù)：各種網(wǎng)絡(luò)設(shè)備、設(shè)施提供的網(wǎng)絡(luò)連接服務(wù)；信息服務(wù)：對(duì)外依賴該系統(tǒng)開展服務(wù)而取得業(yè)務(wù)收入的服務(wù)。文檔紙質(zhì)的各種文件、傳真、電報(bào)、財(cái)務(wù)報(bào)告、發(fā)展計(jì)劃等。環(huán)境和基礎(chǔ)設(shè)施系統(tǒng)運(yùn)行環(huán)境和保障設(shè)備：動(dòng)力保障設(shè)備（UPS、變電設(shè)備等）、空調(diào)設(shè)備、保險(xiǎn)柜、文件柜、門禁系統(tǒng)、消防設(shè)施等。人員掌握重要信息和核心業(yè)務(wù)的人員（如主機(jī)維護(hù)主管、網(wǎng)絡(luò)維護(hù)主管、應(yīng)用項(xiàng)目經(jīng)理及網(wǎng)絡(luò)研發(fā)人員等），內(nèi)部普通用戶,外來人員及其他人員。其它企業(yè)形象，客戶關(guān)系，維保，第三方服務(wù)等。資產(chǎn)賦值及重要資產(chǎn)選取為保證風(fēng)險(xiǎn)評(píng)估工作的進(jìn)度要求和質(zhì)量要求，不可能對(duì)所有資產(chǎn)做全面分析，評(píng)估成員根據(jù)業(yè)務(wù)重要性只選取其中的重要資產(chǎn)進(jìn)行分析。首先，通過資產(chǎn)的保密性、完整性和可用性三個(gè)方面的程度分別確定；然后按照一定的算法計(jì)算該資產(chǎn)的總體賦值。資產(chǎn)的賦值采用定性的相對(duì)等級(jí)的方式。資產(chǎn)價(jià)值的等級(jí)分為五級(jí)，從1到5由低到高分別代表五個(gè)級(jí)別的資產(chǎn)相對(duì)價(jià)值，等級(jí)越大，資產(chǎn)越重要。根據(jù)資產(chǎn)賦值結(jié)果，我們選取資產(chǎn)賦值大于等于3的資產(chǎn)作為重要資產(chǎn)，并主要圍繞重要資產(chǎn)展開后續(xù)實(shí)施步驟。資產(chǎn)重要性量化值表等級(jí)標(biāo)識(shí)定義5很高機(jī)密性：該資產(chǎn)涉及組織的核心機(jī)密，一旦泄漏會(huì)對(duì)組織造成極大損害。完整性：該資產(chǎn)完整性破壞會(huì)對(duì)組織造成極大損害?？捎眯裕涸撡Y產(chǎn)對(duì)于服務(wù)的連續(xù)性要求以及業(yè)務(wù)對(duì)該資產(chǎn)的依賴程度極大。4高機(jī)密性：該資產(chǎn)涉及組織的高機(jī)密，一旦泄漏會(huì)對(duì)組織造成很大損害。完整性：該資產(chǎn)完整性破壞會(huì)對(duì)組織造成很大損害?？捎眯裕涸撡Y產(chǎn)對(duì)于服務(wù)的連續(xù)性要求以及業(yè)務(wù)對(duì)該資產(chǎn)的依賴程度很大。3中等機(jī)密性：該資產(chǎn)涉及組織的較高機(jī)密，一旦泄漏會(huì)對(duì)組織造成較大損害。完整性：該資產(chǎn)完整性破壞會(huì)對(duì)組織造成較大損害?？捎眯裕涸撡Y產(chǎn)對(duì)于服務(wù)的連續(xù)性要求以及業(yè)務(wù)對(duì)該資產(chǎn)的依賴程度較大。2低機(jī)密性：該資產(chǎn)涉及組織的普通機(jī)密，一旦泄漏對(duì)組織不會(huì)造成太大損害。完整性：該資產(chǎn)完整性破壞不會(huì)對(duì)組織造成太大損害?？捎眯裕涸撡Y產(chǎn)對(duì)于服務(wù)的連續(xù)性要求以及業(yè)務(wù)對(duì)該資產(chǎn)的依賴程度不高。1很低機(jī)密性：該資產(chǎn)不涉及組織機(jī)密，一旦泄漏不會(huì)對(duì)組織造成損害。完整性：該資產(chǎn)完整性破壞不會(huì)對(duì)組織造成損害?？捎眯裕涸撡Y產(chǎn)沒有服務(wù)的連續(xù)性要求，其他業(yè)務(wù)對(duì)該資產(chǎn)沒有依賴性。關(guān)鍵資產(chǎn)、關(guān)鍵系統(tǒng)單元的確定過程在風(fēng)險(xiǎn)評(píng)估整個(gè)過程中，關(guān)鍵資產(chǎn)是信息系統(tǒng)所承載業(yè)務(wù)數(shù)據(jù)和該業(yè)務(wù)所提供的服務(wù)，支撐關(guān)鍵資產(chǎn)的核心部分定義為支撐設(shè)備，如數(shù)據(jù)庫服務(wù)器、應(yīng)用服務(wù)器等。信息系統(tǒng)的基礎(chǔ)設(shè)施如支撐設(shè)備、交換機(jī)、防火墻等我們稱之為系統(tǒng)單元，在它們上安裝的操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用軟件等，我們稱之為系統(tǒng)組件。通過業(yè)務(wù)流程的分析劃分系統(tǒng)單元，并將對(duì)業(yè)務(wù)開展起關(guān)鍵作用的系統(tǒng)單元定義為關(guān)鍵系統(tǒng)單元。在系統(tǒng)單元、系統(tǒng)組件均可作為核查測(cè)試的測(cè)試對(duì)象。如圖：系統(tǒng)單元作為提供系統(tǒng)服務(wù)、網(wǎng)絡(luò)服務(wù)、數(shù)據(jù)服務(wù)的實(shí)體，既包括相關(guān)設(shè)備的物理實(shí)體，也包括在其上運(yùn)行的系統(tǒng)軟件、公共應(yīng)用平臺(tái)軟件和專用軟件。系統(tǒng)單元編號(hào)規(guī)則為：?jiǎn)挝缓?jiǎn)稱+資產(chǎn)類型+序號(hào)，其中：?jiǎn)挝缓?jiǎn)稱：SDJT代表XX單位。資產(chǎn)類型：FWQ代表服務(wù)器；WLSB代表網(wǎng)絡(luò)設(shè)備；JF代表中心數(shù)據(jù)機(jī)房；YINGY代表應(yīng)用系統(tǒng)。威脅性識(shí)別威脅是指可能對(duì)資產(chǎn)或組織造成損害事故的潛在原因。作為風(fēng)險(xiǎn)評(píng)估的重要因素，威脅是一個(gè)客觀存在的事物，無論對(duì)于多么安全的信息系統(tǒng)，它都存在。威脅識(shí)別威脅的主要來源列表來源描述環(huán)境因素?cái)嚯?、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震、意外事故等環(huán)境危害或自然災(zāi)害，以及軟件、硬件、數(shù)據(jù)、通訊線路等方面的故障人為因素惡意人員不滿的或有預(yù)謀的內(nèi)部人員對(duì)信息系統(tǒng)進(jìn)行惡意破壞；采用自主或內(nèi)外勾結(jié)的方式盜竊機(jī)密信息或進(jìn)行篡改，獲取利益外部人員利用信息系統(tǒng)的脆弱性，對(duì)網(wǎng)絡(luò)或系統(tǒng)的保密性、完整性和可用性進(jìn)行破壞，以獲取利益或炫耀能力非惡意人員內(nèi)部人員由于缺乏責(zé)任心，或者由于不關(guān)心或不專注，或者沒有遵循規(guī)章制度和操作流程而導(dǎo)致故障或信息損壞；內(nèi)部人員由于缺乏培訓(xùn)、專業(yè)技能不足、不具備崗位技能要求而導(dǎo)致信息系統(tǒng)故障或被攻擊威脅嚴(yán)重程度威脅嚴(yán)重程度由威脅發(fā)生可能性與破壞程度兩方面因素綜合確定。威脅發(fā)生可能性量化值列表等級(jí)標(biāo)識(shí)定義5很高出現(xiàn)的頻率很高（或≥1次/周）；或在大多數(shù)情況下幾乎不可避免；或可以證實(shí)經(jīng)常發(fā)生過4高出現(xiàn)的頻率較高（或≥1次/月）；或在大多數(shù)情況下很有可能會(huì)發(fā)生；或可以證實(shí)多次發(fā)生過3中等出現(xiàn)的頻率中等（或>1次/半年）；或在某種情況下可能會(huì)發(fā)生；或被證實(shí)曾經(jīng)發(fā)生過2低出現(xiàn)的頻率較?。换蛞话悴惶赡馨l(fā)生；或沒有被證實(shí)發(fā)生過1很低威脅幾乎不可能發(fā)生；僅可能在非常罕見和例外的情況下發(fā)生按照信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估數(shù)據(jù)采集規(guī)范-威脅列表的描述，評(píng)估成員將威脅種類劃分為以下11種類型，并依次編號(hào)（T1~T11）。威脅種類及嚴(yán)重程度量化賦值列表編號(hào)威脅種類描述威脅子類常規(guī)發(fā)生可能性常規(guī)破壞程度威脅量化值T1物理環(huán)境影響對(duì)信息系統(tǒng)正常運(yùn)行造成影響的物理環(huán)境問題和自然災(zāi)害斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災(zāi)、火災(zāi)、地震等低低1T2軟硬件故障對(duì)業(yè)務(wù)實(shí)施或系統(tǒng)運(yùn)行產(chǎn)生影響的設(shè)備硬件故障、通訊鏈路中斷、系統(tǒng)本身或軟件缺陷等問題設(shè)備硬件故障、傳輸設(shè)備故障、存儲(chǔ)媒體故障、系統(tǒng)軟件故障、應(yīng)用軟件故障、數(shù)據(jù)庫軟件故障、開發(fā)環(huán)境故障等低高3T3無作為或操作失誤應(yīng)該執(zhí)行而沒有執(zhí)行相應(yīng)的操作，或無意執(zhí)行了錯(cuò)誤的操作維護(hù)錯(cuò)誤、操作失誤等低中2T4惡意代碼故意在計(jì)算機(jī)系統(tǒng)上執(zhí)行惡意任務(wù)的程序代碼病毒、特洛伊木馬、蠕蟲、陷門、間諜軟件、竊聽軟件等中高4T5越權(quán)或?yàn)E用通過采用一些措施，超越自己的權(quán)限訪問了本來無權(quán)訪問的資源，或者濫用自己的權(quán)限，做出破壞信息系統(tǒng)的行為非授權(quán)訪問網(wǎng)絡(luò)資源、非授權(quán)訪問系統(tǒng)資源、濫用權(quán)限非正常修改系統(tǒng)配置或數(shù)據(jù)、濫用權(quán)限泄露秘密信息等高高5T6物理攻擊通過物理的接觸造成對(duì)軟件、硬件、數(shù)據(jù)的破壞物理接觸、物理破壞、盜竊等低高3T7網(wǎng)絡(luò)攻擊利用工具和技術(shù)通過網(wǎng)絡(luò)對(duì)信息系統(tǒng)進(jìn)行攻擊和入侵網(wǎng)絡(luò)探測(cè)和信息采集、漏洞探測(cè)、嗅探（賬號(hào)、口令、權(quán)限等）、用戶身份偽造和欺騙、用戶或業(yè)務(wù)數(shù)據(jù)的竊取和破壞、系統(tǒng)運(yùn)行的控制和破壞等高高5T8泄密信息泄露給不應(yīng)了解的他人內(nèi)部信息泄露、外部信息泄露等高高5T9篡改非法修改信息，破壞信息的完整性使系統(tǒng)的安全性降低或信息不可用篡改網(wǎng)絡(luò)配置信息、篡改系統(tǒng)配置信息、篡改安全配置信息、篡改用戶身份信息或業(yè)務(wù)數(shù)據(jù)信息等高高5T10抵賴不承認(rèn)收到的信息和所作的操作和交易原發(fā)抵賴、接收抵賴、第三方抵賴等低中2T11管理不到位安全管理無法落實(shí)或不到位，從而破壞信息系統(tǒng)正常有序運(yùn)行管理制度和策略不完善、管理規(guī)程缺失、職責(zé)不明確、監(jiān)督控管機(jī)制不健全等高中4上面的量化分析是針對(duì)信息系統(tǒng)全局進(jìn)行考慮，在風(fēng)險(xiǎn)分析的時(shí)候，需要考慮針對(duì)每項(xiàng)資產(chǎn)所采取的安全防護(hù)措施，適當(dāng)?shù)亟档屯{值：下面是通過防護(hù)措施后各威脅可能降低的威脅值，威脅值不能為負(fù)數(shù)，最低可為0：安全措施威脅降低值安裝防火墻網(wǎng)絡(luò)攻擊1～2泄密0～1越權(quán)或?yàn)E用1～2篡改0～1安裝殺毒軟件惡意代碼1～2網(wǎng)絡(luò)攻擊1～2安裝門禁系統(tǒng)泄密0～1物理破壞0～1安裝機(jī)房監(jiān)控系統(tǒng)越權(quán)或?yàn)E用0～1篡改0～1存在涵蓋相關(guān)條目的部分管理制度管理不到位0～2使用OA下發(fā)文件內(nèi)容管理不到位0～2脆弱性識(shí)別資產(chǎn)本身存在脆弱性，如果沒有被相應(yīng)的威脅利用，單純的脆弱性本身不會(huì)對(duì)資產(chǎn)造成損害。而且如果系統(tǒng)足夠強(qiáng)健，嚴(yán)重的威脅也不會(huì)導(dǎo)致安全事件發(fā)生，并造成損失。即威脅總是要利用資產(chǎn)的脆弱性才可能造成危害。資產(chǎn)的脆弱性具有隱蔽性，有些脆弱性只有在一定條件和環(huán)境下才能顯現(xiàn)，這是脆弱性識(shí)別中最為困難的部分。不正確的、起不到應(yīng)有作用的或沒有正確實(shí)施的安全措施本身就可能是一個(gè)脆弱性。脆弱性識(shí)別是風(fēng)險(xiǎn)評(píng)估中最重要的一個(gè)環(huán)節(jié)。脆弱性識(shí)別可以以資產(chǎn)為核心，針對(duì)每一項(xiàng)需要保護(hù)的資產(chǎn),識(shí)別可能被威脅利用的弱點(diǎn)，并對(duì)脆弱性的嚴(yán)重程度進(jìn)行評(píng)估；也可以從物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進(jìn)行識(shí)別，然后與資產(chǎn)、威脅對(duì)應(yīng)起來。脆弱性識(shí)別的依據(jù)可以是國(guó)際或國(guó)家安全標(biāo)準(zhǔn)，也可以是行業(yè)規(guī)范、應(yīng)用流程的安全要求。對(duì)應(yīng)用在不同環(huán)境中的相同的弱點(diǎn)，其脆弱性嚴(yán)重程度是不同的，評(píng)估者應(yīng)從組織安全策略的角度考慮、判斷資產(chǎn)的脆弱性及其嚴(yán)重程度。信息系統(tǒng)所采用的協(xié)議、應(yīng)用流程的完備與否、與其他網(wǎng)絡(luò)的互聯(lián)等也應(yīng)考慮在內(nèi)。脆弱性識(shí)別時(shí)的數(shù)據(jù)應(yīng)來自于資產(chǎn)的所有者、使用者，以及相關(guān)業(yè)務(wù)領(lǐng)域和軟硬件方面的專業(yè)人員等。脆弱性識(shí)別所采用的方法主要有：?jiǎn)柧碚{(diào)查、工具檢測(cè)、人工核查、文檔查閱、滲透性測(cè)試等。脆弱性類型脆弱性識(shí)別主要從技術(shù)和管理兩個(gè)方面進(jìn)行，技術(shù)脆弱性涉及物理層、網(wǎng)絡(luò)層、系統(tǒng)層、應(yīng)用層等各個(gè)層面的安全問題，管理脆弱性又分為技術(shù)管理和組織管理兩方面。技術(shù)管理與具體技術(shù)活動(dòng)相關(guān)，組織管理與管理環(huán)境相關(guān)。脆弱性分類表類型識(shí)別對(duì)象識(shí)別內(nèi)容技術(shù)脆弱性物理環(huán)境從機(jī)房場(chǎng)地、機(jī)房防火、機(jī)房供配電、機(jī)房防靜電、機(jī)房接地與防雷、電磁防護(hù)、通信線路的保護(hù)、機(jī)房區(qū)域防護(hù)、機(jī)房設(shè)備管理等方面進(jìn)行識(shí)別網(wǎng)絡(luò)結(jié)構(gòu)從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)、邊界保護(hù)、外部訪問控制策略、內(nèi)部訪問控制策略、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識(shí)別系統(tǒng)軟件從補(bǔ)丁安裝、物理保護(hù)、用戶賬號(hào)、口令策略、資源共享、事件審計(jì)、訪問控制、新系統(tǒng)配置、注冊(cè)表加固、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)行識(shí)別應(yīng)用系統(tǒng)從審計(jì)機(jī)制、審計(jì)存儲(chǔ)、訪問控制策略、數(shù)據(jù)完整性、通信、鑒別機(jī)制、密碼保護(hù)方面識(shí)別管理脆弱性技術(shù)管理從物理和環(huán)境安全、通信與操作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、業(yè)務(wù)連續(xù)性等方面進(jìn)行識(shí)別組織管理從安全策略、組織安全、資產(chǎn)分類與控制、人員安全、符合性等方面進(jìn)行識(shí)別脆弱性嚴(yán)重程度賦值表脆弱性的嚴(yán)重程度以其被利用后對(duì)資產(chǎn)的危害程度進(jìn)行賦值。脆弱性嚴(yán)重程度的等級(jí)分為五級(jí)，從1到5由低到高分別代表五個(gè)級(jí)別的資產(chǎn)相對(duì)價(jià)值，等級(jí)越大，資產(chǎn)越重要。等級(jí)標(biāo)識(shí)定義5很高如果被威脅利用，將對(duì)資產(chǎn)造成完全損害。4高如果被威脅利用，將對(duì)資產(chǎn)造成重大損害。3中等如果被威脅利用，將對(duì)資產(chǎn)造成一般損害。2低如果被威脅利用，將對(duì)資產(chǎn)造成較小損害。1很低如果被威脅利用，將對(duì)資產(chǎn)造成的損害可以忽略。根據(jù)脆弱性嚴(yán)重程度賦值結(jié)果，我們選取脆弱性嚴(yán)重程度賦值大于等于3的資產(chǎn)作為評(píng)估依據(jù)，并主要圍繞重要資產(chǎn)展開后續(xù)實(shí)施步驟。風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析方法本次風(fēng)險(xiǎn)分析主要采用自頂向下和自底向上分析、定性分析與定量分析相結(jié)合的分析方法。首先自頂向下識(shí)別關(guān)鍵資產(chǎn)、關(guān)鍵系統(tǒng)單元，然后自底向上采用定性、定量相結(jié)合的方法進(jìn)行風(fēng)險(xiǎn)分析。風(fēng)險(xiǎn)計(jì)算在完成了資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別，以及對(duì)已有安全措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ㄅc工具確定威脅利用導(dǎo)致安全事件發(fā)生的可能性。綜合安全事件所作用的資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度，判斷安全事件造成的損失對(duì)組織的影響，即安全風(fēng)險(xiǎn)。本標(biāo)準(zhǔn)給出了風(fēng)險(xiǎn)計(jì)算原理，以下面的范式形式化加以說明：風(fēng)險(xiǎn)值=EQ\R(,T*V)*EQ\R(,A*V)其中，A表示資產(chǎn)價(jià)值；T表示威脅發(fā)生頻率；V表示脆弱性嚴(yán)重程度。風(fēng)險(xiǎn)值的最終計(jì)算成果四舍五入取整后得到最終風(fēng)險(xiǎn)值將風(fēng)險(xiǎn)值映射到五個(gè)等級(jí)的風(fēng)險(xiǎn)如表所示：風(fēng)險(xiǎn)值1-56-1011-1516-2021-25風(fēng)險(xiǎn)等級(jí)12345風(fēng)險(xiǎn)級(jí)別極低低中高極高被測(cè)系統(tǒng)描述XX單位機(jī)房位于辦公大樓3層,存放信息系統(tǒng)設(shè)備，機(jī)房出入口安裝門禁系統(tǒng)，機(jī)房電源采用雙路供電，并安裝備用電源，采用機(jī)房專用空調(diào)，安裝防靜電地板，機(jī)房?jī)?nèi)安裝視頻監(jiān)控系統(tǒng)和消防報(bào)警系統(tǒng)。XX單位電子政務(wù)信息系統(tǒng)網(wǎng)絡(luò)共劃分3個(gè)區(qū)域，分別是外聯(lián)區(qū)，DMZ區(qū)，安全監(jiān)管區(qū)。網(wǎng)絡(luò)傳輸依托國(guó)際互聯(lián)網(wǎng)，網(wǎng)絡(luò)硬件由交換機(jī)、防病毒墻、主機(jī)監(jiān)控與審計(jì)系統(tǒng)、IPS、防火墻、WEB防火墻等設(shè)備和相關(guān)安全設(shè)施構(gòu)成。XX單位電子政務(wù)信息系統(tǒng)網(wǎng)絡(luò)的總體結(jié)構(gòu)圖如下圖所示：已落實(shí)的安全措施XX單位在信息系統(tǒng)安全建設(shè)和管理方面做了大量工作，制定了系列管理制度，明確了各自崗位職責(zé)，由信息中心統(tǒng)一制定的《XX單位信息安全管理制度匯編》基本涵蓋了物理安全、主機(jī)安全、網(wǎng)絡(luò)安全、應(yīng)用安全、數(shù)據(jù)安全管理內(nèi)容，為XX單位電子政務(wù)信息系統(tǒng)安全運(yùn)營(yíng)提供了根本保障。訪問控制方面：XX單位對(duì)網(wǎng)絡(luò)進(jìn)行了劃分，外聯(lián)區(qū)域部署了防火墻，并設(shè)置了嚴(yán)格的安全訪問控制策略。身份認(rèn)證方面：XX單位所有設(shè)備需要使用用戶名密碼方式登錄，并且關(guān)閉服務(wù)器遠(yuǎn)程連接的模式，且用戶名密碼由專人管理。安全審計(jì)方面：機(jī)房安裝門禁與視頻監(jiān)控系統(tǒng)，有效記錄了機(jī)房人員出入和對(duì)服務(wù)器的本地操作。惡意代碼防范方面：XX單位統(tǒng)一部署卡巴斯基網(wǎng)絡(luò)版殺毒軟件，并且通過本地防病毒升級(jí)服務(wù)器對(duì)各終端病毒庫升級(jí)，使病毒庫保持最新，防病毒策略統(tǒng)一管理，統(tǒng)一配置。被測(cè)信息系統(tǒng)資產(chǎn)識(shí)別資產(chǎn)重要性識(shí)別結(jié)果XX單位召集各信息系統(tǒng)管理人員分別對(duì)被測(cè)信息系統(tǒng)的資產(chǎn)重要性給予了說明，我公司評(píng)估人員根據(jù)調(diào)查情況，依據(jù)雙方商定的評(píng)估方法，對(duì)被測(cè)信息系統(tǒng)信息資產(chǎn)的重要性進(jìn)行了賦值如下：物理和環(huán)境：序號(hào)名稱位置用途測(cè)試編號(hào)資產(chǎn)賦值1機(jī)房辦公樓3樓關(guān)鍵設(shè)備的物理環(huán)境SDJT-JF-015網(wǎng)絡(luò)層：序號(hào)名稱型號(hào)測(cè)試編號(hào)資產(chǎn)賦值1核心交換機(jī)華三E7500SDJT-WLSB-0122匯聚交換思科2950SDJT-WLSB-0223防火墻天融信NGFW4000SDJT-AQSB-0144主機(jī)監(jiān)控與審計(jì)系金盾CIS7.0SDJT-AQSB-0225入侵防御檢測(cè)迪普IPS2000-GS-NSDJT-AQSB-0336防病毒墻迪普IPS2000-AVSDJT-AQSB-0437WEB應(yīng)用防火墻綠盟WAF-P300ASDJT-AQSB-0548流量控制系統(tǒng)迪普UAG3000-GSSDJT-AQSB-064主機(jī)層：序號(hào)名稱硬件型號(hào)操作系統(tǒng)/軟件版本測(cè)試編號(hào)資產(chǎn)賦值1門戶網(wǎng)站系統(tǒng)服務(wù)器HP-GL460Windowsserver2008SDJT-FWQ-0152門戶網(wǎng)站數(shù)據(jù)庫HP-GL460RedhatlinuxSDJT-FWQ-025應(yīng)用層：序號(hào)名稱測(cè)試編號(hào)資產(chǎn)賦值1門戶網(wǎng)站SDJT-YINGY-0152其他電子政務(wù)系統(tǒng)SDJT-YINGY-022關(guān)鍵信息資產(chǎn)、關(guān)鍵系統(tǒng)單元的確定結(jié)果根據(jù)XX單位與現(xiàn)場(chǎng)評(píng)估人員共同確認(rèn)，在本次風(fēng)險(xiǎn)評(píng)估范圍內(nèi)，承載關(guān)鍵信息資產(chǎn)的系統(tǒng)單元相關(guān)信息如下表：關(guān)鍵系統(tǒng)單元編號(hào)單元名稱型號(hào)IP地址重要性SDJT-JF-01機(jī)房無5SDJT-AQSB-01防火墻天融信NGFW40004SDJT-AQSB-03入侵防御檢測(cè)迪普IPS2000-GS-N3SDJT-AQSB-04防病毒墻迪普IPS2000-AV3SDJT-AQSB-05WEB應(yīng)用防火墻綠盟WAF-P300A4SDJT-AQSB-06流量控制系統(tǒng)迪普UAG3000-GS4SDJT-FWQ-01門戶網(wǎng)站系統(tǒng)服務(wù)器HP-GL4605SDJT-FWQ-02門戶網(wǎng)站數(shù)據(jù)庫HP-GL4605SDJT-YINGY-01門戶網(wǎng)站無5SDJT-YINGY-02其他電子政務(wù)系統(tǒng)無2被測(cè)信息系統(tǒng)威脅性識(shí)別結(jié)果通過評(píng)估人員對(duì)于物理環(huán)境、網(wǎng)絡(luò)架構(gòu)、安全設(shè)備部署以及業(yè)務(wù)方式等內(nèi)容的綜合分析，確定XX單位電子政務(wù)信息系統(tǒng)安全威脅發(fā)生的可能性的具體量化值如下表所示：物理、環(huán)境威脅列表序號(hào)關(guān)鍵系統(tǒng)單元資產(chǎn)名稱

（測(cè)試對(duì)象編號(hào)）威脅描述威脅編號(hào)已有安全措施賦值T1機(jī)房SDJT-JF-01未對(duì)機(jī)房?jī)?nèi)的重要信息系統(tǒng)進(jìn)行劃分區(qū)域管理，造成對(duì)重要信息系統(tǒng)的威脅T11管理不到位無3通過檢查、分析，共發(fā)現(xiàn)物理環(huán)境威脅1個(gè)是管理不到位（1個(gè)），其中賦值為3的威脅為1個(gè)。網(wǎng)絡(luò)威脅列表序號(hào)關(guān)鍵系統(tǒng)單元資產(chǎn)名稱(測(cè)試對(duì)象編號(hào))威脅描述威脅編號(hào)已有安全措施賦值T網(wǎng)絡(luò)全局1.主要路徑存在單點(diǎn)故障T2軟硬件故障無3防火墻SDJT-AQSB-011.僅使用用戶名密碼登錄，沒有采用兩種以上組合的鑒別技術(shù)登陸。面臨網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)T5：越權(quán)或?yàn)E用T7：網(wǎng)絡(luò)攻擊無3入侵防御檢測(cè)SDJT-AQSB-031.僅使用用戶名密碼登錄，沒有采用兩種以上組合的鑒別技術(shù)登陸。T5：越權(quán)或?yàn)E用T7：網(wǎng)絡(luò)攻擊無3防病毒墻SDJT-AQSB-041.僅使用用戶名密碼登錄，沒有采用兩種以上組合的鑒別技術(shù)登陸。T5：越權(quán)或?yàn)E用T7：網(wǎng)絡(luò)攻擊無3WEB應(yīng)用防火墻SDJT-AQSB-051.僅使用用戶名密碼登錄，沒有采用兩種以上組合的鑒別技術(shù)登陸。面臨網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)T5：越權(quán)或?yàn)E用T7：網(wǎng)絡(luò)攻擊無3流量控制系統(tǒng)SDJT-AQSB-061.僅使用用戶名密碼登錄路由器，沒有采用兩種以上組合的鑒別技術(shù)登陸。T5：越權(quán)或?yàn)E用T7：網(wǎng)絡(luò)攻擊無3通過檢查、分析，共發(fā)現(xiàn)威脅11個(gè)，主要威脅包括：網(wǎng)絡(luò)攻擊(5個(gè))、越權(quán)或?yàn)E用(5個(gè))、軟硬件故障（1個(gè)）等威脅，其中賦值為3的威脅6個(gè)。主機(jī)/數(shù)據(jù)威脅列表序號(hào)關(guān)鍵系統(tǒng)單元資產(chǎn)名稱（測(cè)試對(duì)象編號(hào)）威脅描述威脅編號(hào)已有安全措施賦值T1門戶網(wǎng)站應(yīng)用服務(wù)器SDJT-FWQ-011.非法登錄未限制，失敗處理功能未啟用T5：越權(quán)或?yàn)E用T9：篡改禁止遠(yuǎn)程登錄維護(hù)12.密碼復(fù)雜度未設(shè)置，口令不定期更換即未啟用賬戶密碼策略，容易發(fā)生密碼被破解造成非授權(quán)訪問系統(tǒng)資源、篡改系統(tǒng)配置信息、篡改安全配置信息、篡改用戶身份信息或業(yè)務(wù)數(shù)據(jù)信息等。T5：越權(quán)或?yàn)E用T9：篡改禁止遠(yuǎn)程登錄維護(hù)13.僅使用用戶名密碼登錄服務(wù)器，沒有采用兩種以上組合的鑒別技術(shù)登陸，容易發(fā)生密碼被破解造成非授權(quán)訪問系統(tǒng)資源、篡改系統(tǒng)配置信息、篡改安全配置信息、篡改用戶身份信息或業(yè)務(wù)數(shù)據(jù)信息等。T5：越權(quán)或?yàn)E用T9：篡改禁止遠(yuǎn)程登錄維護(hù)14.默認(rèn)Administrator賬號(hào)用戶名未進(jìn)行重命名容易發(fā)生密碼被破解造成非授權(quán)訪問系統(tǒng)資源。T5：越權(quán)或?yàn)E用T9：篡改禁止遠(yuǎn)程登錄維護(hù)12門戶網(wǎng)站數(shù)據(jù)庫服務(wù)器SDJT-FWQ-021.非法登錄未限制，失敗處理功能未啟用T5：越權(quán)或?yàn)E用T9：篡改禁止遠(yuǎn)程登錄維護(hù)12.密碼復(fù)雜度未設(shè)置，口令不定期更換即未啟用賬戶密碼策略，容易發(fā)生密碼被破解造成非授權(quán)訪問系統(tǒng)資源、篡改系統(tǒng)配置信息、篡改安全配置信息、篡改用戶身份信息或業(yè)務(wù)數(shù)據(jù)信息等。T5：越權(quán)或?yàn)E用T9：篡改禁止遠(yuǎn)程登錄維護(hù)13.僅使用用戶名密碼登錄服務(wù)器，沒有采用兩種以上組合的鑒別技術(shù)登陸，容易發(fā)生密碼被破解造成非授權(quán)訪問系統(tǒng)資源、篡改系統(tǒng)配置信息、篡改安全配置信息、篡改用戶身份信息或業(yè)務(wù)數(shù)據(jù)信息等。T5：越權(quán)或?yàn)E用T9：篡改禁止遠(yuǎn)程登錄維護(hù)14.Oracle由于版本較低，存在多個(gè)高危險(xiǎn)漏洞，易被利用T4：惡意代碼T5：越權(quán)或?yàn)E用T7：網(wǎng)絡(luò)攻擊T9：篡改在防火墻中進(jìn)行嚴(yán)格的訪問控制策略23其他主機(jī)1.面臨互聯(lián)網(wǎng)的安全威脅4：惡意代碼T5：越權(quán)或?yàn)E用T7：網(wǎng)絡(luò)攻擊T9：篡改在防火墻中進(jìn)行嚴(yán)格的訪問控制策略32.面臨辦公區(qū)的安全威脅T5：越權(quán)或?yàn)E用T7：網(wǎng)絡(luò)攻擊在防火墻中進(jìn)行嚴(yán)格的訪問控制策略1通過檢查、分析，共發(fā)現(xiàn)主機(jī)/數(shù)據(jù)威脅23個(gè)，主要包括：越權(quán)或?yàn)E用（9個(gè)）、篡改（9個(gè)）、網(wǎng)絡(luò)攻擊（3個(gè)）、惡意代碼（2個(gè)），其中賦值為賦值為3的威脅為4個(gè)，賦值為2的威脅為4個(gè)，賦值為1的威脅16個(gè)。應(yīng)用威脅列表序號(hào)關(guān)鍵系統(tǒng)單元資產(chǎn)名稱（測(cè)試對(duì)象編號(hào)）威脅描述威脅編號(hào)已有安全措施賦值T1門戶網(wǎng)站SDJT-YINGY-011.明文通信，未采用密碼技術(shù)對(duì)通信過程中的數(shù)據(jù)進(jìn)行保護(hù)，未提供通信過程中完整性的保護(hù)措施，可能造成非法修改信息，破壞信息的完整性使系統(tǒng)的安全性降低或信息不可用。T5：越權(quán)或?yàn)E用T7：網(wǎng)絡(luò)攻擊T8：泄密T9：篡改無42.未限制單一用戶使用應(yīng)用系統(tǒng)資源的范圍，容易引起濫用系統(tǒng)資源。T7：網(wǎng)絡(luò)攻擊有網(wǎng)絡(luò)流量限制12其他電子政務(wù)系統(tǒng)SDJT-YINGY-021.面臨互聯(lián)網(wǎng)的安全威脅T4：惡意代碼T5：越權(quán)或?yàn)E用T7：網(wǎng)絡(luò)攻擊T9：篡改部署WAF進(jìn)行防護(hù)3通過檢查、分析，共發(fā)現(xiàn)應(yīng)用威脅9個(gè),主要威脅有網(wǎng)絡(luò)攻擊（3個(gè)）、越權(quán)或?yàn)E用（2個(gè)）、篡改（2個(gè)）、泄密（1個(gè)）及惡意代碼（1個(gè)），其中應(yīng)用系統(tǒng)賦值為5的威脅0個(gè)，賦值為4的4個(gè)，賦值為3的威脅4個(gè)，賦值為2的威脅0個(gè)，賦值為1的威脅1個(gè)。管理威脅列表在管理方面具有較好的體系，未發(fā)現(xiàn)威脅威脅匯總共發(fā)現(xiàn)威脅44個(gè)，其中賦值為5的威脅0個(gè)，賦值為4的4個(gè)，賦值為3的威脅15個(gè)，賦值為2的威脅4個(gè)，賦值為1的17個(gè)。在發(fā)現(xiàn)威脅44個(gè)，其面臨的主要威脅有越權(quán)或?yàn)E用（16個(gè)）、篡改（11個(gè)）、網(wǎng)絡(luò)攻擊（11個(gè)）、惡意代碼（3個(gè)）、其他（3個(gè)）XX單位電子政務(wù)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估【2024版】XX單位電子政務(wù)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估【2024版】第33頁/共45頁被測(cè)信息系統(tǒng)脆弱性識(shí)別結(jié)果評(píng)估人員根據(jù)調(diào)查情況，依據(jù)雙方商定的評(píng)估方法，對(duì)被測(cè)信息系統(tǒng)脆弱性進(jìn)行了測(cè)試，并得出以下統(tǒng)計(jì)結(jié)果。技術(shù)脆弱性識(shí)別結(jié)果 技術(shù)脆弱性主要包括物理環(huán)境、網(wǎng)絡(luò)設(shè)備、主機(jī)/數(shù)據(jù)和應(yīng)用方面的脆弱性描述。物理環(huán)境脆弱性結(jié)果經(jīng)過現(xiàn)場(chǎng)評(píng)估人員對(duì)XX單位機(jī)房的物理環(huán)境部分進(jìn)行訪談和安全檢查，發(fā)現(xiàn)的脆弱性問題列表：檢測(cè)對(duì)象脆弱性名稱脆弱性等級(jí)機(jī)房未對(duì)機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前未設(shè)置交付或安裝等過度區(qū)域。3通過檢查、分析，共發(fā)現(xiàn)物理環(huán)境脆弱性1個(gè)，其中賦值為3的脆弱性1個(gè)。網(wǎng)絡(luò)系統(tǒng)脆弱性結(jié)果經(jīng)過現(xiàn)場(chǎng)評(píng)估人員對(duì)XX單位電子政務(wù)信息系統(tǒng)主要網(wǎng)絡(luò)設(shè)備進(jìn)行安全檢查和測(cè)試，發(fā)現(xiàn)較為嚴(yán)重的脆弱性問題列表：檢測(cè)對(duì)象脆弱性名稱脆弱性等級(jí)網(wǎng)絡(luò)全局網(wǎng)絡(luò)存在較多的單點(diǎn)故障點(diǎn)，影響外網(wǎng)網(wǎng)站應(yīng)用的可用性3天融信防火墻未對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別；2迪普IPS未對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別；2迪普防毒墻主要網(wǎng)絡(luò)設(shè)備未對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別；2綠盟WAF未對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別；2迪普流量控制系統(tǒng)未對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別；2通過檢查、分析，共發(fā)現(xiàn)網(wǎng)絡(luò)系統(tǒng)脆弱性6個(gè)，其中網(wǎng)絡(luò)系統(tǒng)賦值為3的脆弱性1個(gè)，賦值為2的脆弱性5個(gè)。主機(jī)/數(shù)據(jù)脆弱性結(jié)果經(jīng)過現(xiàn)場(chǎng)評(píng)估人員對(duì)XX單位電子政務(wù)信息系統(tǒng)關(guān)鍵主機(jī)進(jìn)行安全檢查和測(cè)試，發(fā)現(xiàn)較為嚴(yán)重的脆弱性問題列表：檢測(cè)對(duì)象脆弱性名稱脆弱性等級(jí)門戶網(wǎng)站應(yīng)用服務(wù)器操作系統(tǒng)管理用戶身份鑒別信息未具有不易被冒用的特點(diǎn)，口令未有復(fù)雜度要求并定期更換；3未啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；2未采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)行身份鑒別。2門戶網(wǎng)站數(shù)據(jù)庫服務(wù)器數(shù)據(jù)庫管理用戶身份鑒別信息未具有不易被冒用的特點(diǎn)，口令未有復(fù)雜度要求并定期更換；3未采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)行身份鑒別。2安全審計(jì)：審計(jì)范圍未覆蓋到服務(wù)器上的每個(gè)數(shù)據(jù)庫用戶；審計(jì)內(nèi)容未包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；審計(jì)記錄未包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等；未能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；；未保護(hù)審計(jì)進(jìn)程，避免受到未預(yù)期的中斷；未保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。3安全漏洞：Oracle2007年1月更新修復(fù)多個(gè)安全漏洞Oracle2007年4月更新修復(fù)多個(gè)安全漏洞Oracle2007年7月更新修復(fù)多個(gè)安全漏洞Oracle2007年10月更新修復(fù)多個(gè)安全漏洞Oracle2008年1月更新修復(fù)多個(gè)安全漏洞Oracle2008年7月更新修復(fù)多個(gè)安全漏洞Oracle2009年4月緊急補(bǔ)丁更新修復(fù)多個(gè)漏洞Oracle2009年7月更新修復(fù)多個(gè)安全漏洞Oracle2010年1月更新修復(fù)多個(gè)安全漏洞Oracle2010年4月緊急補(bǔ)丁更新修復(fù)多個(gè)漏洞Oracle2012年4月更新修復(fù)多個(gè)安全漏洞Oracle2012年7月更新修復(fù)多個(gè)安全漏洞ICMP時(shí)間戳檢測(cè)MicrosoftRDP服務(wù)器私鑰信息泄露漏洞CompaqWBEM服務(wù)器檢測(cè)5區(qū)域內(nèi)的不安全節(jié)點(diǎn)XXXXXX均存在高風(fēng)險(xiǎn)安全漏洞5通過檢查、分析，共發(fā)現(xiàn)主機(jī)系統(tǒng)脆弱點(diǎn)17個(gè)，其中主機(jī)/數(shù)據(jù)脆弱性賦值為2的3個(gè)，賦值為3的3個(gè)，賦值為4的0個(gè)，賦值為5的11個(gè)。應(yīng)用系統(tǒng)脆弱性結(jié)果經(jīng)過現(xiàn)場(chǎng)評(píng)估人員對(duì)XX單位電子政務(wù)信息系統(tǒng)關(guān)鍵應(yīng)用系統(tǒng)進(jìn)行安全檢查和測(cè)試，發(fā)現(xiàn)的脆弱性問題列表：檢測(cè)對(duì)象脆弱性名稱脆弱性等級(jí)門戶網(wǎng)站應(yīng)用系統(tǒng)未保證無法單獨(dú)中斷審計(jì)進(jìn)程，無法刪除、修改或覆蓋審計(jì)記錄。2未采用密碼技術(shù)保證通信過程中數(shù)據(jù)的完整性。1在通信雙方建立連接之前，未利用密碼技術(shù)進(jìn)行會(huì)話初始化驗(yàn)證。1未對(duì)通信過程中的整個(gè)報(bào)文或會(huì)話過程進(jìn)行加密。1未能夠?qū)δ繕?biāo)系統(tǒng)的最大并發(fā)會(huì)話連接數(shù)進(jìn)行限制。25554544433542543534244通過檢查、分析，共發(fā)現(xiàn)應(yīng)用系統(tǒng)脆弱性27個(gè)，其中應(yīng)用系統(tǒng)脆弱性賦值為5的7個(gè)，賦值為4的9個(gè)，賦值為3的4個(gè),賦值為2的4個(gè),賦值為1的3個(gè)。技術(shù)脆弱性匯總在對(duì)本次規(guī)定范圍內(nèi)的評(píng)估對(duì)象技術(shù)脆弱性測(cè)試中，共發(fā)現(xiàn)了脆弱點(diǎn)51個(gè)，其中賦值為5的脆弱性問題為18個(gè)；賦值為4的脆弱性問題為9個(gè)；賦值為3的為9個(gè)；賦值為2的脆弱性問題為12個(gè)；賦值為1的為3個(gè)。結(jié)果統(tǒng)計(jì)圖如下：管理脆弱性匯總管理脆弱性主要圍繞管理制度、管理機(jī)構(gòu)、人員管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理五個(gè)方面進(jìn)行，對(duì)安全方針、信息安全組織、資產(chǎn)管理、人力資源安全、物理和環(huán)境安全、通信和操作管理、訪問控制、信息系統(tǒng)獲取、開發(fā)和維護(hù)、信息安全事件、業(yè)務(wù)連續(xù)性管理、符合性進(jìn)行脆弱性識(shí)別。信息安全管理脆弱性結(jié)果經(jīng)過現(xiàn)場(chǎng)評(píng)估人員對(duì)XX單位電子政務(wù)信息系統(tǒng)進(jìn)行安全檢查和測(cè)試，未發(fā)現(xiàn)管理脆弱點(diǎn)。第24頁共229頁XX單位電子政務(wù)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估【2024版】第40頁/共45頁風(fēng)險(xiǎn)列表通過關(guān)鍵系統(tǒng)單元相關(guān)的安全威脅、脆弱性、安全措施（包括技術(shù)、管理措施和物理的保護(hù)措施）得出以下風(fēng)險(xiǎn)列表:技術(shù)風(fēng)險(xiǎn)列表物理環(huán)境風(fēng)險(xiǎn)程度列表注：A表示資產(chǎn)價(jià)值；T表示威脅發(fā)生頻率；V表示脆弱性嚴(yán)重程度；序號(hào)關(guān)鍵系統(tǒng)單元資產(chǎn)名稱

（測(cè)試對(duì)象編號(hào)）脆弱性描述威脅已有安全措施威脅發(fā)生率脆弱性程度資產(chǎn)價(jià)值風(fēng)險(xiǎn)值EQ\R(,T*V)*EQ\R(,A*V)風(fēng)險(xiǎn)等級(jí)TVA1機(jī)房SDJT-JF-01未對(duì)機(jī)房劃分區(qū)域進(jìn)行管理，區(qū)域和區(qū)域之間設(shè)置物理隔離裝置，在重要區(qū)域前未設(shè)置交付或安裝等過度區(qū)域。T11管理不到位無335123物理環(huán)境風(fēng)險(xiǎn)程度匯總通過檢查、分析，共發(fā)現(xiàn)物理環(huán)境風(fēng)險(xiǎn)1項(xiàng)，其中物理環(huán)境中風(fēng)險(xiǎn)1項(xiàng)。網(wǎng)絡(luò)設(shè)備風(fēng)險(xiǎn)程度列表注：A表示資產(chǎn)價(jià)值；T表示威脅發(fā)生頻率；V表示脆弱性嚴(yán)重程度；序號(hào)關(guān)鍵系統(tǒng)單元資產(chǎn)名稱

（測(cè)試對(duì)象編號(hào)）脆弱性描述威脅已有安全措施威脅發(fā)生率脆弱性程度資產(chǎn)價(jià)值風(fēng)險(xiǎn)值EQ\R(,T*V)*EQ\R(,A*V)風(fēng)險(xiǎn)等級(jí)TVA1網(wǎng)絡(luò)全局網(wǎng)絡(luò)存在較多的單點(diǎn)故障點(diǎn)，影響門戶網(wǎng)站應(yīng)用的可用性T2軟硬件故障無4451942天融信防火墻SDJT-AQSB-01未對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別；T7：網(wǎng)絡(luò)攻擊無3341023迪普IPSSDJT-AQSB-03未對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別；T5：越權(quán)或?yàn)E用T7：網(wǎng)絡(luò)攻擊無323624迪普防毒墻SDJT-AQSB-04主要網(wǎng)絡(luò)設(shè)備未對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別；T5：越權(quán)或?yàn)E用T7：網(wǎng)絡(luò)攻擊無323625綠盟WAFSDJT-AQSB-05未對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別；T7：網(wǎng)絡(luò)攻擊無324726迪普流量控制系統(tǒng)SDJT-AQSB-06未對(duì)同一用戶選擇兩種或兩種以上組合的鑒別技術(shù)來進(jìn)行身份鑒別；T5：越權(quán)或?yàn)E用T7：網(wǎng)絡(luò)攻擊無32472網(wǎng)絡(luò)設(shè)備風(fēng)險(xiǎn)程度匯總通過檢查、分析，共發(fā)現(xiàn)網(wǎng)絡(luò)環(huán)境風(fēng)險(xiǎn)6項(xiàng)，其中高風(fēng)險(xiǎn)項(xiàng)1項(xiàng)，低風(fēng)險(xiǎn)項(xiàng)5項(xiàng)。主機(jī)/數(shù)據(jù)風(fēng)險(xiǎn)程度列表注：A表示資產(chǎn)價(jià)值；T表示威脅發(fā)生頻率；V表示脆弱性嚴(yán)重程度；序號(hào)關(guān)鍵系統(tǒng)單元資產(chǎn)名稱（測(cè)試對(duì)象編號(hào)）脆弱性描述威脅編號(hào)已有安全措施威脅發(fā)生率脆弱性程度資產(chǎn)價(jià)值風(fēng)險(xiǎn)值EQ\R(,T*V)*EQ\R(,A*V)風(fēng)險(xiǎn)等級(jí)TVA1門戶網(wǎng)站應(yīng)用服務(wù)器SDJT-FWQ-01操作系統(tǒng)管理用戶身份鑒別信息未具有不易被冒用的特點(diǎn)，口令未有復(fù)雜度要求并定期更換；T5：越權(quán)或?yàn)E用T9：篡改禁止遠(yuǎn)程登錄維護(hù)13572未啟用登錄失敗處理功能，可采取結(jié)束會(huì)話、限制非法登錄次數(shù)和自動(dòng)退出等措施；T5：越權(quán)或?yàn)E用T9：篡改禁止遠(yuǎn)程登錄維護(hù)12541未采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)行身份鑒別。T5：越權(quán)或?yàn)E用T9：篡改禁止遠(yuǎn)程登錄維護(hù)125412門戶網(wǎng)站數(shù)據(jù)庫服務(wù)器SDJT-FWQ-02數(shù)據(jù)庫管理用戶身份鑒別信息未具有不易被冒用的特點(diǎn)，口令未有復(fù)雜度要求并定期更換；T5：越權(quán)或?yàn)E用T9：篡改禁止遠(yuǎn)程登錄維護(hù)13572未采用兩種或兩種以上組合的鑒別技術(shù)對(duì)管理用戶進(jìn)行身份鑒別。T5：越權(quán)或?yàn)E用T9：篡改禁止遠(yuǎn)程登錄維護(hù)12541安全審計(jì)：審計(jì)范圍未覆蓋到服務(wù)器上的每個(gè)數(shù)據(jù)庫用戶；審計(jì)內(nèi)容未包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用等系統(tǒng)內(nèi)重要的安全相關(guān)事件；審計(jì)記錄未包括事件的日期、時(shí)間、類型、主體標(biāo)識(shí)、客體標(biāo)識(shí)和結(jié)果等；未能夠根據(jù)記錄數(shù)據(jù)進(jìn)行分析，并生成審計(jì)報(bào)表；；未保護(hù)審計(jì)進(jìn)程，避免受到未預(yù)期的中斷；未保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等。T10：抵賴無335123安全漏洞：Oracle2007年1月更新修復(fù)多個(gè)安全漏洞Oracle2007年4月更新修復(fù)多個(gè)安全漏洞Oracle2007年7月更新修復(fù)多個(gè)安全漏洞Oracle2007年10月更新修復(fù)多個(gè)安全漏洞Oracle2008年1月更新修復(fù)多個(gè)安全漏洞Oracle2008年7月更新修復(fù)多個(gè)安全漏洞Oracle2009年4月緊急補(bǔ)丁更新修復(fù)多個(gè)漏洞Oracle2009年7月更新修復(fù)多個(gè)安全漏洞Oracle2010年1月更新修復(fù)多個(gè)安全漏洞Oracle2010年4月緊急補(bǔ)丁更新修復(fù)多個(gè)漏洞Oracle2012年4月更新修復(fù)多個(gè)安全漏洞Oracle2012年7月更新修復(fù)多個(gè)安全漏洞ICMP時(shí)間戳檢測(cè)MicrosoftRDP服務(wù)器私鑰信息泄露漏洞CompaqWBEM服務(wù)器檢測(cè)T4：惡意代碼T5：越權(quán)或?yàn)E用T7：網(wǎng)絡(luò)攻擊T9：篡改在防火墻中進(jìn)行嚴(yán)格的訪問控制策略2551643不安全節(jié)點(diǎn)192.168.6.1、192.168.6.15、192.168.6.103、192.168.6.11、192.168.6.2、192.168.6.26、192.168.6.10、192.168.6.101、192.168.6.109、192.168.6.105等均存在高風(fēng)險(xiǎn)安全漏洞T7：網(wǎng)絡(luò)攻擊在防火墻中進(jìn)行嚴(yán)格的訪問控制策略352123主機(jī)/數(shù)據(jù)風(fēng)險(xiǎn)程度匯總通過檢查、分析，共發(fā)現(xiàn)主機(jī)安全風(fēng)險(xiǎn)17項(xiàng)，其中高風(fēng)險(xiǎn)項(xiàng)1項(xiàng)，中風(fēng)險(xiǎn)項(xiàng)11項(xiàng)，低風(fēng)險(xiǎn)項(xiàng)2項(xiàng)、極低風(fēng)險(xiǎn)項(xiàng)3項(xiàng)。 XXXX系統(tǒng)安全測(cè)評(píng)報(bào)告（BJTEC-20XX-XXXX/XX）第24頁共229頁XX單位電子政務(wù)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估報(bào)告【2024版】第42頁/共45頁應(yīng)用系統(tǒng)風(fēng)險(xiǎn)程度列表注：A表示資產(chǎn)價(jià)值；T表示威脅發(fā)生頻率；V表示脆弱性嚴(yán)重程度；序號(hào)關(guān)鍵系統(tǒng)單元資產(chǎn)名稱（測(cè)試對(duì)象編號(hào)）脆弱性描述威脅已有安全措施威脅發(fā)生率脆弱性程度資產(chǎn)價(jià)值風(fēng)險(xiǎn)值風(fēng)險(xiǎn)值EQ\R(,T*V)*EQ\R(,A*V)資產(chǎn)等級(jí)TVA1門戶網(wǎng)站SDJT-YINGY-011.審計(jì)策略只覆蓋系統(tǒng)內(nèi)的管理員用戶不能及時(shí)分析發(fā)現(xiàn)惡意行為和誤操作。審計(jì)記錄數(shù)據(jù)只能查看不能導(dǎo)出或生成報(bào)表T10：抵賴無32