xx有限公司記錄編號005信息系統安全風險評估報告創建日期2015年8月16日文檔密級更改記錄時間更改內容更改人項 目 名 稱： XXX風險評估報告 被評估公司單位： XXX有限公司 參與評估部門：XXXX委員會 一、風險評估項目概述1.1 工程項目概況1.1.1 建設項目基本信息風險評估版本201X年8日5日更新的資產清單及評估項目完成時間201X年8月5日項目試運行時間2015年1-6月1.2 風險評估實施單位基本情況評估單位名稱XXX有限公司二、風險評估活動概述2.1 風險評估工作組織管理描述本次風險評估工作的組織體系（含評估人員構成）、工作原則和采取的保密措施。2.2 風險評估工作過程本次評估供耗時2天，采取抽樣的的方式結合現場的評估，涉及了公司所有部門及所有的產品，已經包括了位于公司地址位置的相關產品。2.3 依據的技術標準及相關法規文件本次評估依據的法律法規條款有：序號法律、法規及其他要求名稱頒布時間實施時間頒布部門1全國人大常委會關于維護互聯網安全的決定2000.12.282000.12.28全國人大常委會2中華人民共和國計算機信息系統安全保護條例1994.02.181994.02.18國務院第147號令3中華人民共和國計算機信息網絡國際聯網管理暫行規定1996.02.011996.02.01國務院第195號令4中華人民共和國計算機軟件保護條例2001.12.202002.01.01國務院第339號令5中華人民共和國信息網絡傳播權保護條例2006.05.102006.07.01國務院第468號令6中華人民共和國計算機信息網絡國際聯網管理暫行規定實施辦法1998.03.061998.03.06國務院信息化工作領導小組7計算機信息網絡國際聯網安全保護管理辦法1997.12.161997.12.30公安部第33號令8計算機信息系統安全專用產品檢測和銷售許可證管理辦法1997.06.281997.12.12公安部第32號令9計算機病毒防治管理辦法2000.03.302000.04.26公安部第51號令10惡意軟件定義200706.27200706.27中國互聯網協會11抵制惡意軟件自律公約200706.27200706.27中國互聯網協會12計算機信息系統保密管理暫行規定1998.2.261998.02.26國家保密局13計算機信息系統國際聯網保密管理規定2000.01.012000.01.01國家保密局14軟件產品管理辦法2000.10.082000.10.08中華人民共和國工業和信息化部15互聯網等信息系統網絡傳播視聽節目管理辦法2004.06.152004.10.11國家廣播電影電視總局16互聯網電子公告服務管理規定2000.10.082000.10.08信息產業部17信息系統工程監理工程師資格管理辦法2003年頒布2003.03.26信息產業部18信息系統工程監理單位資質管理辦法2003.03.262003.04.01信息產業部19電子認證服務管理辦法2009.02.042009.03.31信息產業部20關于印發國家電子信息產業基地和產業園認定管理辦法（試行）的通知2008.03.042008.03.04中華人民共和國信息產業部21計算機軟件著作權登記收費項目和標準1992.03.161992.04.01機電部計算機軟件登記辦公室22中國互聯網絡域名管理辦法2004.11.052004.12.20信息產業部23中華人民共和國專利法2010.01.092010.02.01全國人民代表大會常務委員24中華人民共和國技術合同法1987.06.231987.06.23國務院科學技術部25關于電子專利申請的規定2010.08.272010.10.01國家知識產權局26中華人民共和國著作權法2010.02.262010.02.26全國人大常委會27中華人民共和國著作權法實施條例2002.08.022002.9.15國務院第359號令28科學技術保密規定1995.01.061995.01.06國家科委、國家保密局29互聯網安全保護技術措施規定2005.12.132006.03.01公安部發布30中華人民共和國認證認可條例2003.09.032003.11.1國務院第390號令31中華人民共和國保守國家秘密法2010.04.292010.10.01全國人大常委會32中華人民共和國國家安全法1993.02.221993.02.22全國人大常委會33中華人民共和國商用密碼管理條例1999.10.071999.10.07國務院第273號令34消防監督檢查規定2009.4.302009.5.1公安部第107號35倉庫防火安全管理規則1990.03.221994.04.10中華人民共和國公安部令第6號36地質災害防治條例2003.11.242004.03.01國務院34號37電力安全生產監管辦法2004.03.092004.03.09國家電力監管委員會第2號38中華人民共和國勞動法2007.06.292008.1.1華人民共和國主席令第二十八號39失業保險條例1998.12.261999.01.22國務院40失業保險金申領發放2001.10.262001.01.01勞動和社會保障部41中華人民共和國企業勞動爭議處理條例1993.06.111993.08.01國務院2.4 保障與限制條件需要被評估單位提供的文檔、工作條件和配合人員等必要條件，以及可能的限制條件。三、評估對象3.1 評估對象構成與定級3.1.1 網絡結構根據提供的網絡拓撲圖，進行結構化的審核。3.1.2 業務應用本公司涉及的數據中心運營及服務活動。3.1.3 子系統構成及定級 N/A3.2 評估對象等級保護措施按照工程項目安全域劃分和保護等級的定級情況，分別描述不同保護等級保護范圍內的子系統各自所采取的安全保護措施，以及等級保護的測評結果。根據需要，以下子目錄按照子系統重復。3.2.1 XX子系統的等級保護措施根據等級測評結果，XX子系統的等級保護管理措施情況見附表一。根據等級測評結果，XX子系統的等級保護技術措施情況見附表二。四、資產識別與分析4.1 資產類型與賦值4.1.1資產類型按照評估對象的構成，分類描述評估對象的資產構成。詳細的資產分類與賦值，以附件形式附在評估報告后面，見附件3資產類型與賦值表。4.1.2資產賦值填寫資產賦值表。大類詳細分類舉例文檔和數據經營規劃中長期規劃等經營計劃等組織情況組織變更方案等組織機構圖等組織變更通知等組織手冊等規章制度各項規程、業務手冊等人事制度人事方案等人事待遇資料等錄用計劃等離職資料等中期人員計劃等人員構成等人事變動通知等培訓計劃等培訓資料等財務信息預決算（各類投資預決算)等業績（財務報告)等中期財務狀況等資金計劃等成本等財務數據的處理方法（成本計算方法和系統，會計管理審查等經營分析系統，減稅的方法、規程)等營業信息市場調查報告（市場動向，顧客需求，其它本公司動向及對這些情況的分析方法和結果)等商談的內容、合同等報價等客戶名單等營業戰略（有關和其它本公司合作銷售、銷售途徑的確定及變更，對代理商的政策等情報)等退貨和投訴處理（退貨的品名、數量、原因及對投訴的處理方法)等供應商信息等技術信息試驗/分析數據（本公司或者委托其它單位進行的試驗/分析)等研究成果（本公司或者和其它單位合作研究開發的技術成果)等科技發明的內容（專利申請書以及有關的資料/試驗數據)等開發計劃書等新產品開發的體制、組織（新品開發人員的組成，業務分擔，技術人員的配置等)技術協助的有關內容（協作方，協作內容，協作時間等)教育資料等技術備忘錄等軟件信息生產管理系統等技術解析系統等計劃財務系統等設計書等流程等編碼、密碼系統等源程序表等其他訴訟或其他有爭議案件的內容（民事、無形資產、工傷等糾紛內容)本公司基本設施情況（包括動力設施)等董事會資料（新的投資領域、設備投資計劃等)本公司電話簿等本公司安全保衛實施情況及突發事件對策等軟件操作系統Windows、 Linux 等應用軟件/系統開發工具、辦公軟件、網站平臺、 財務系統 等數據庫MS SQL Server、MySQL 等硬件設備通訊工具傳真等傳輸線路光纖、雙絞線等存儲媒體磁帶、光盤、軟盤、U 盤等存儲設備光盤刻錄機、磁帶機等文印設備打印機、復印機、掃描儀服務器PC Server、小型機等桌面終端PC、工作站等網絡通信設備路由器、交換機、集線器、無線路由器等網絡安全設備防火墻、防水墻、IPS 等支撐設施UPS、機房空調、發電機等人力資源高層管理人員高層管理人員 本公司總/副總經理、總監等中層管理人員部門經理技術管理人員項目經理、項目組長、安全工程師普通技術人員軟件工程師、程序員、測試工程師、界面工程師等IT 服務人員系統管理員、網絡管理員、維護工程師其它人事、行政、財務等人員服務通信ADSL、光纖等房租辦公房屋租用托管服務器托管、虛擬主機、郵箱托管法律外聘律師、法律顧問供電照明電、動力電審計財務審計6.2. 資產賦值判斷準則對資產的賦值不僅要考慮資產的經濟價值，更重要的是要考慮資產的安全狀況對于系統或組織的重要性，由資產在其三個安全屬性上的達成程度決定。資產賦值的過程也就是對資產在機密性、完整性和可用性上的達成程度進行分析，并在此基礎上得出綜合結果的過程。達成程度可由安全屬性缺失時造成的影響來表示，這種影響可能造成某些資產的損害以至危及信息系統，還可能導致經濟效益、市場份額、組織形象的損失。6.2.1. 機密性賦值根據資產在機密性上的不同要求，將其分為三個不同的等級，分別對應資產在機密性上應達成的不同程度或者機密性缺失時對整個組織的影響。賦值標識定 義3高包含組織最重要的秘密，關系未來發展的前途命運，對根本利益有著決定性的影響，如果泄露會造成災難性的損害，例如直接損失超過100 萬人民幣，或重大項目（合同）失敗，或失去重要客戶，或關鍵業務中斷3天。2中組織的一般性秘密，其泄露會使組織的安全和利益受到損害，例如直接損失超過10 萬人民幣，或項目（合同）失敗，或失去客戶，或關鍵業務中斷超過1 天。1低可在社會、組織內部或在組織某一部門內部公開的信息，向外擴散有可能對組織的利益造成輕微損害或不造成傷害。6.2.2. 完整性賦值根據資產在完整性上的不同要求，將其分為三個不同的等級，分別對應資產在完整性上缺失時對整個組織的影響。賦值標識定 義3高完整性價值非常關鍵，未經授權的修改或破壞會對組織造成重大的或無法接受的影響，對業務沖擊重大，并可能造成嚴重的業務中斷，并且難以彌補。例如直接損失超過100 萬人民幣，或重大項目（合同）失敗，或失去重要客戶。2中完整性價值中等，未經授權的修改或破壞會對組織造成影響，對業務沖擊明顯，但可以彌補。例如直接損失超過10 萬人民幣，或項目（合同）失敗，或失去客戶。1低完整性價值較低，未經授權的修改或破壞會對組織造成輕微影響，甚至可以忽略，對業務沖擊輕微，容易彌補。6.2.3. 可用性賦值根據資產在可用性上的不同要求，將其分為三個不同的等級，分別對應資產在可用性上的達成的不同程度。賦值標識定 義3高可用性價值非常高，合法使用者對資產的可用度達到年度90%以上，或系統不允許中斷。2中可用性價值中等，合法使用者對資產的可用度在正常工作時間達到50%以上，或系統允許中斷時間小于8 工作時。1低可用性價值較低或可被忽略，合法使用者對資產的可用度在正常工作時間達到50%以下，或系統允許中斷時間小于24 工作時。6.2.4. 資產重要性等級資產價值（V） 機密性價值（C）完整性價值（I）可用性價值（A）資產等級：等級價值分類資產總價值1低3 42中5 73高8 94.2 重要資產清單及說明在分析被評估系統的資產基礎上，列出對評估單位十分重要的資產，作為風險評估的重點對象，并以清單形式列出如下：重要資產列表序號資產編號子系統名稱應用資產重要程度權重其他說明1.F001各類公司證件其他高2.F002財務賬務文件其他高3.F004發票其他高4.F006用友通財務軟件備份數據其他高5.ATSH10-007Pernod Ricard業務持續服務合同客戶合同高6.ATSH-11/001/10-007天選備份軟件維護服務合同供應商合同高7.ATSH10-008VantAsia業務持續服務合同客戶合同高8.ATSH11-001NAB業務持續服務合同客戶合同高9.HW-009服務器(運作技術部)服務器高10.HW-022精密空調(運作技術部)精密空調高11.HW-023UPS(運作技術部)UPS高12.HW-024PPDC(運作技術部)PPDC高13.HW-026AVAYA(運作技術部)通訊設備高14.HW-027Switch(運作技術部)網絡設備高15.HW-028Router(運作技術部)網絡設備高16.HW-029Fire wall(運作技術部)網絡設備高17.HW-030DVR(運作技術部)監控設備高18.HW-031客戶數據（硬盤）硬盤高19.HW-032柴油發電機組柴油發電機高20.F001etax網上報稅系統財務軟件單機高21.F002用友通財務軟件財務軟件單機高22.F003發票打印軟件財務軟件單機高23.A-02-25-03-201106-004Cowin 監控系統監控系統高24.A-02-25-03-201106-005General_PSS_V4.01.0.R.091112監控系統高25.H0001梁文略高層管理人員高26.S0002楊英高層管理人員高27.S0001李海寧中層管理人員高28.S0006趙紅銷售人員高29.S0003張光輝中層管理人員高30.S0004劉子明IT 服務人員高31.S0005胡捷IT 服務人員高32.S0008張力IT 服務人員高33.S0007唐海英其它高34.S0026劉影其它高35.server02網絡通信中國聯通高36.server03供電物管- 德必創意高37.server04房屋物管- 德必創意高五、威脅識別與分析對威脅來源（內部/外部；主觀/不可抗力等）、威脅方式、發生的可能性，威脅主體的能力水平等進行列表分析。下面是典型的威脅范本：編號威脅硬件和設施軟件和系統文檔和數據人力資源服務1故障2廢棄3服務失效/中斷4惡意軟件5抵賴6通信監聽7操作失誤8未經授權更改9未經授權訪問，使用或復制10被利用傳送敏感信息11盜竊12供電故障13惡意破壞14電子存儲媒體故障15違背知識產權相關法律、法規16溫度、濕度、灰塵超限17靜電18黑客攻擊19容量超載20系統管理員權限濫用21密鑰泄露、篡改22密鑰濫用23個體傷害（車禍、疾病等）24不公正待遇25社會工程26人為災難：瘟疫、火災、爆炸、恐怖襲擊等27自然災難：地震、洪水、臺風、雷擊等28服務供應商泄密5.1 威脅數據采集5.2 威脅描述與分析依據威脅賦值表，對資產進行威脅源和威脅行為分析。5.2.1 威脅源分析填寫威脅源分析表。5.2.2 威脅行為分析填寫威脅行為分析表。5.2.3 威脅能量分析5.3 威脅賦值威脅發生可能性等級對照表等級說 明發生可能性1低非等級2 與等級3 的定義2中每半年至少發生一次但不及等級33高每月至少發生兩次說明：判斷威脅出現的頻率是威脅識別的重要工作，評估者應根據經驗和（或）有關的統計數據來進行判斷。在風險評估過程中，還需要綜合考慮以下三個方面，以形成在某種評估環境中各種威脅出現的頻率：1) 以往安全事件報告中出現過的威脅及其頻率的統計；2) 實際環境中通過檢測工具以及各種日志發現的威脅及其頻率的統計；3) 近一兩年來國際組織發布的對于整個社會或特定行業的威脅及其頻率統計，以及發布的威脅預警。六、脆弱性識別與分析按照檢測對象、檢測結果、脆弱性分析分別描述以下各方面的脆弱性檢測結果和結果分析。6.1 常規脆弱性描述編號大類編號小類及說明1環境和基礎設施1.1物理保護的缺乏：建筑物、門、窗等1.2物理訪問控制不充分或不仔細1.3電力供應不穩1.4處于易受到威脅的場所，例如洪水、地震1.5缺乏防火、防雷等保護性措施2硬件2.1缺乏周期性的設備更新方案2.2易受電壓變化影響2.3易受到溫度、濕度、灰塵和污垢影響2.4易受到電磁輻射2.5媒體介質缺乏維護或錯誤安裝2.6缺乏有效的配置變更控制2.7缺乏設施安全控制機制2.8不當維護2.9不當處置3軟件3.1不清晰、不完整的開發規格說明書3.2沒有、或不完備的軟件測試3.3復雜的用戶界面3.4缺乏標示和授權機制，例如用戶授權3.5缺乏審核蹤跡3.6眾所周知的軟件缺陷，易受病毒等攻擊3.7密碼表未受到保護3.8密碼強度太弱3.9訪問權限的錯誤配置3.10未經控制的下載和使用軟件3.11離開工作常所未注銷（鎖屏）3.12缺乏有效的變更控制3.13文檔缺乏3.14缺乏備份3.15處置或重用沒有正確的擦除內容的存儲介質3.16缺乏加解密使用策略3.17缺乏密鑰管理3.18缺乏身份鑒別機制3.19缺乏補丁管理機制3.20安裝、使用盜版軟件3.21缺乏使用監控3.22未經授權復制或傳播軟件（許可）3.23缺乏（文件）共享安全策略3.24缺乏服務/端口安全策略3.25缺乏病毒庫升級管理機制3.26不受控發布公共信息4網絡與通信4.1通信線路缺乏保護4.2電纜連接不牢固4.3對發送和接收方缺乏識別與驗證4.4明文傳輸口令4.5發送與接受消息時缺少證據4.6撥號線路4.7未保護的敏感信息傳輸4.8網絡管理不恰當4.9未受保護的公網連接4.10缺乏身份鑒別機制4.11未配置或錯誤配置訪問權限5文檔5.1存放缺乏保護5.2不受控訪問或復制5.3隨意處置5.4缺乏備份機制6人員6.1員工缺編6.2安全訓練不完備6.3缺乏安全意識6.4缺乏控制機制6.5缺乏員工關懷/申訴政策6.6不完備的招聘/離職程序6.7道德缺失7服務與一般應用弱點7.1單點故障7.2服務故障響應不及時7.3負載過高7.4缺乏安全控制機制7.5缺乏應急機制6.3 脆弱性綜合列表威脅發生可能性等級對照表等級說 明發生可能性1低非等級2 與等級3 的定義2中每半年至少發生一次但不及等級33高每月至少發生兩次說明：判斷威脅出現的頻率是威脅識別的重要工作，評估者應根據經驗和（或）有關的統計數據來進行判斷。在風險評估過程中，還需要綜合考慮以下三個方面，以形成在某種評估環境中各種威脅出現的頻率：1) 以往安全事件報告中出現過的威脅及其頻率的統計；2) 實際環境中通過檢測工具以及各種日志發現的威脅及其頻率的統計；3) 近一兩年來國際組織發布的對于整個社會或特定行業的威脅及其頻率統計，以及發布的威脅預警。七、風險分析7.1 關鍵資產的風險計算結果信息安全風險矩陣計算表威脅發生可能性低1中2高3影響程度等級低1中2高3低1中2高3低1中2高3資產價值1123246369224648126121833696121891827說明：在完成了資產識別、威脅識別、弱點識別，以及對已有安全措施確認后，將采用適當的方法確定威脅利用弱點導致安全事件發生的可能性，考慮安全事件一旦發生其所作用的資產的重要性及弱點的嚴重程度判斷安全事件造成的損失對組織的影響，即安全風險。風險計算的方式如下，風險值 弱點被利用可能性等級X 威脅利用弱點影響程度等級X 資產價值信息安全風險接受準則等級劃分標準說明A級18及以上不可接受的風險，必須采取控制措施B級6-12有條件接受的風險（需經評估小組評審，判斷是否可以接受的風險)C級1-4不需要評審即可接受的風險7.2.4 風險結果分析等級數量說明A級18不可接受的風險，必須采取控制措施B級186有條件接受的風險（需經評估小組評審，判斷是否可以接受的風險)C級17不需要評審即可接受的風險八、綜合分析與評價通過綜合的評估，公司現有的風險評估的結果是適宜的、充分的、有效的。九、整改意見1. 加強各部門對風險處理技巧的培訓。2. 對A級風險公司的處理需對各部門進行公示。3. 對A級和B級風險采取適當的控制措施，編寫入公司的三級文件進行控制。 附件1：管理措施表序號層面/方面安全控制/措施落實部分落實沒有落實不適用安全管理制度管理制度制定和發布評審和修訂安全管理機構崗位設置人員配備授權和審批溝通和合作審核和檢查人員安全管理 人員錄用人員離崗人員考核安全意識教育和培訓外部人員訪問管理系統建設管理系統定級安全方案設計產品采購自行軟件開發外包軟件開發