1、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估報(bào)告XXX有限公司20XX年X月X日目錄一、概述31.1 工作方法31.2 評(píng)估依據(jù)31.3 評(píng)估范圍31.4 評(píng)估方法31.5 基本信息4二、資產(chǎn)分析4.2.1 信息資產(chǎn)識(shí)別概述42.2 信息資產(chǎn)識(shí)別4三、評(píng)估說(shuō)明5.3.1 無(wú)線(xiàn)網(wǎng)絡(luò)安全檢查項(xiàng)目評(píng)估53.2 無(wú)線(xiàn)網(wǎng)絡(luò)與系統(tǒng)安全評(píng)估53.3 ip管理與補(bǔ)丁管理5.3.4 防火墻6四、威脅細(xì)類(lèi)分析64.1 威脅分析概述64.2 威脅分類(lèi)74.3 威脅主體7五、安全加固與優(yōu)化85.1 加固流程85.2 加固措施對(duì)照表9六、評(píng)估結(jié)論10一、概述XXX有限公司通過(guò)自評(píng)估的方式對(duì)網(wǎng)絡(luò)安全進(jìn)行檢查，發(fā)現(xiàn)系統(tǒng)當(dāng)前面臨的主要安全問(wèn)題，邊檢查邊

2、整改，確保信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全。1.1 工作方法在本次網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)測(cè)中將主要采用的評(píng)測(cè)方法包括：人工評(píng)測(cè)、工具評(píng)測(cè)。1.2 評(píng)估依據(jù)根據(jù)國(guó)務(wù)院信息化工作辦公室關(guān)于對(duì)國(guó)家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)開(kāi)展安全檢查的通知（信安通200615號(hào)）、國(guó)家電力監(jiān)管委員會(huì)關(guān)于對(duì)電力行業(yè)有關(guān)單位重要信息系統(tǒng)開(kāi)展安全檢查的通知（辦信息200648號(hào)）以及公司文件、檢查方案要求，開(kāi)展XXX有限公司網(wǎng)絡(luò)安全評(píng)估。1.3 評(píng)估范圍此次系統(tǒng)測(cè)評(píng)的范圍主要針對(duì)該業(yè)務(wù)系統(tǒng)所涉及的服務(wù)器、應(yīng)用、數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、終端等資產(chǎn)。主要涉及以下方面：業(yè)務(wù)系統(tǒng)的應(yīng)用環(huán)境；網(wǎng)絡(luò)及其主要基礎(chǔ)設(shè)施，例如路由器、交換機(jī)等；安

3、全保護(hù)措施和設(shè)備，例如防火墻、IDS等；信息安全管理體系。1.4 評(píng)估方法采用自評(píng)估方法1.5 基本信息被評(píng)估系統(tǒng)名稱(chēng)業(yè)務(wù)系統(tǒng)負(fù)責(zé)人評(píng)估工作配合人員、資產(chǎn)分析2.1 信息資產(chǎn)識(shí)別概述資產(chǎn)被定義為對(duì)組織具有價(jià)值的信息或資源，資產(chǎn)識(shí)別的目標(biāo)就是識(shí)別出資產(chǎn)的價(jià)值，風(fēng)險(xiǎn)評(píng)估中資產(chǎn)的價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來(lái)衡量，而是由資產(chǎn)在其安全屬性一一機(jī)密性、完整性和可用性上的達(dá)成程度或者其安全屬性未達(dá)成時(shí)所造成的影響程度來(lái)決定的。風(fēng)險(xiǎn)評(píng)估是對(duì)本司范圍內(nèi)的重要系統(tǒng)、重要網(wǎng)絡(luò)設(shè)備、重要服務(wù)器及其安全屬性受破壞后的影響進(jìn)行識(shí)別，將一旦停止運(yùn)行影響面大的系統(tǒng)、關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)設(shè)備和安全設(shè)備、承載敏感數(shù)據(jù)和業(yè)務(wù)的服務(wù)器進(jìn)行登記

4、匯總。2.2 信息資產(chǎn)識(shí)別資產(chǎn)分類(lèi)資產(chǎn)組IP地址/名稱(chēng)資產(chǎn)估價(jià)等級(jí)資產(chǎn)型號(hào)具體資產(chǎn)物理資產(chǎn)服務(wù)器網(wǎng)絡(luò)設(shè)備軟件資產(chǎn)操作系統(tǒng)、數(shù)據(jù)庫(kù)和應(yīng)用軟件三、評(píng)估說(shuō)明3.1 無(wú)線(xiàn)網(wǎng)絡(luò)安全檢查項(xiàng)目評(píng)估無(wú)線(xiàn)網(wǎng)絡(luò)信息安全組織機(jī)構(gòu)包括領(lǐng)導(dǎo)機(jī)構(gòu)、工作機(jī)構(gòu)。崗位要求應(yīng)包括：專(zhuān)職網(wǎng)絡(luò)管理人員、專(zhuān)職應(yīng)用系統(tǒng)管理人員和專(zhuān)職系統(tǒng)管理人員；專(zhuān)責(zé)的工作職責(zé)與工作范圍應(yīng)有制度明確進(jìn)行界定；崗位實(shí)行主、副崗備用制度。病毒管理包括計(jì)算機(jī)病毒防治管理制度、定期升級(jí)的安全策略、病毒預(yù)警和報(bào)告機(jī)制、病毒掃描策略（1周內(nèi)至少進(jìn)行一次掃描）。3.2 無(wú)線(xiàn)網(wǎng)絡(luò)與系統(tǒng)安全評(píng)估無(wú)線(xiàn)局域網(wǎng)核心交換設(shè)備、城域網(wǎng)核心路由設(shè)備應(yīng)采取設(shè)備冗余或準(zhǔn)備備用設(shè)備，不允許

5、外聯(lián)鏈路繞過(guò)防火墻，具有當(dāng)前準(zhǔn)確的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)圖。無(wú)線(xiàn)網(wǎng)絡(luò)設(shè)備配置有備份，網(wǎng)絡(luò)關(guān)鍵點(diǎn)設(shè)備采用雙電源，關(guān)閉網(wǎng)絡(luò)設(shè)備HTTP、FTP、TFTP等服務(wù)，SNMP社區(qū)串、本地用戶(hù)口令強(qiáng)健（8字符，數(shù)字、字母混雜）。3.3 ip管理與補(bǔ)丁管理有無(wú)線(xiàn)ip地址管理系統(tǒng)，無(wú)線(xiàn)ip地址管理有規(guī)劃方案和分配策略，無(wú)線(xiàn)ip地址分配有記錄。有補(bǔ)丁管理的手段或補(bǔ)丁管理制度，Windows系統(tǒng)主機(jī)補(bǔ)丁安裝齊全，有補(bǔ)丁安裝的測(cè)試記錄。3.4 防火墻無(wú)線(xiàn)網(wǎng)絡(luò)中的防火墻位置部署合理，防火墻規(guī)則配置符合安全要求，防火墻規(guī)則配置的建立、更改有規(guī)范申請(qǐng)、審核、審批流程，對(duì)防火墻日志進(jìn)行存儲(chǔ)、備份。四、威脅細(xì)類(lèi)分析4.1 威脅分析概述

6、4.1.1 外部威脅來(lái)自不可控網(wǎng)絡(luò)的外部攻擊，主要指移動(dòng)的CMNET、其它電信運(yùn)營(yíng)商的Internet互聯(lián)網(wǎng)，以及第三方的攻擊，其中互聯(lián)網(wǎng)的威脅主要是黑客攻擊、蠕蟲(chóng)病毒等，而第三方的威脅主要是越權(quán)或?yàn)E用、泄密、篡改、惡意代碼或病毒等。4.1.2 內(nèi)部威脅主要來(lái)自?xún)?nèi)部人員的惡意攻擊、無(wú)作為或操作失誤、越權(quán)或?yàn)E用、泄密、篡改等。另外，由于管理不規(guī)范導(dǎo)致各支撐系統(tǒng)之間的終端混用，也帶來(lái)病毒泛濫的潛在威脅。對(duì)每種威脅發(fā)生的可能性進(jìn)行分析，最終為其賦一個(gè)相對(duì)等級(jí)值，將根據(jù)經(jīng)驗(yàn)、有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來(lái)判斷威脅發(fā)生的頻率或者概率。威脅發(fā)生的可能性受下列因素影響：資產(chǎn)的吸引力；資產(chǎn)轉(zhuǎn)化成報(bào)酬的容易程度；威脅的技術(shù)力

7、量等。卜面是威脅標(biāo)識(shí)對(duì)應(yīng)表:威脅等級(jí)可能帶來(lái)的威脅可控性發(fā)生頻度高黑客攻擊、惡意代碼和病毒等完全不可控出現(xiàn)的頻率較局（或A1次/月）；或在大多數(shù)情況下很有可能會(huì)發(fā)生；或可以證實(shí)多次發(fā)生過(guò)。中物理攻擊、內(nèi)部人員的操作失一定的可控性出現(xiàn)的頻率中等（或1次/誤、惡意代碼和病毒等半年）；或在某種情況下可能會(huì)發(fā)生；或被證實(shí)曾經(jīng)發(fā)生過(guò)。低內(nèi)部人員的操作失誤、惡意代碼和病毒等較大的可控性出現(xiàn)的頻率較?。换蛞话悴惶赡馨l(fā)生；或沒(méi)有被證實(shí)發(fā)生過(guò)。4.2 威脅分類(lèi)卜面是針對(duì)威脅分類(lèi)對(duì)威脅途徑的描述，其中不包括物理威脅：威脅種類(lèi)威脅途徑操作錯(cuò)誤合法用戶(hù)工作失誤或疏忽的可能性濫用授權(quán)合法用戶(hù)利用自己的權(quán)限故意或非故意

8、破壞系統(tǒng)的可能性行為抵賴(lài)合法用戶(hù)對(duì)自己操作行為否認(rèn)的可能性身份假冒非法用戶(hù)冒充合法用戶(hù)進(jìn)行操作的可能性密碼分析非法用戶(hù)對(duì)系統(tǒng)密碼分析的可能性安全漏洞非法用戶(hù)利用系統(tǒng)漏洞侵入系統(tǒng)的可能性拒絕服務(wù)非法用戶(hù)利用拒絕服務(wù)手段攻擊系統(tǒng)的可能性惡意代碼病毒、特洛伊木馬、蠕蟲(chóng)、邏輯炸彈等感染的可能性竊聽(tīng)數(shù)據(jù)非法用戶(hù)通過(guò)竊聽(tīng)等手段盜取重要數(shù)據(jù)的可能性社會(huì)工程非法用戶(hù)利用社交等手段獲取重要信息的可能性意外故障系統(tǒng)的組件發(fā)生意外故障的可能性通信中斷數(shù)據(jù)通信傳輸過(guò)程中發(fā)生意外中斷的可能性4.3 威脅主體卜面對(duì)威脅來(lái)源從威脅主體的角度進(jìn)行了威脅等級(jí)分析:威脅主體面臨的威脅系統(tǒng)合法用戶(hù)（系統(tǒng)管理員和其他授權(quán)用戶(hù)）操作錯(cuò)

9、誤濫用授權(quán)行為抵賴(lài)系統(tǒng)非法用戶(hù)（權(quán)限較低用戶(hù)和外部攻擊者）身份假冒密碼分析安全漏洞拒絕服務(wù)惡意代碼竊聽(tīng)數(shù)據(jù)社會(huì)工程友徐夕目M意外故障系就組件通信中斷簽字驗(yàn)收5.2加固措施對(duì)照表項(xiàng)目可能的影響和方式等級(jí)安全加固措施備注資產(chǎn)評(píng)估資產(chǎn)信息泄露高合同、協(xié)議、規(guī)章、制度、法律、法規(guī)安全管理評(píng)估安全管理信息泄露高合同、協(xié)議、規(guī)章、制度、法律、法規(guī)應(yīng)急安全評(píng)估系統(tǒng)切換測(cè)試導(dǎo)致部分業(yè)務(wù)中斷、部分?jǐn)?shù)據(jù)遺失高做好系統(tǒng)備份和恢復(fù)措施；通知相關(guān)業(yè)務(wù)人員在相應(yīng)時(shí)間段注意保護(hù)數(shù)據(jù)，并檢查提交的數(shù)據(jù)是否在測(cè)試后完整可選網(wǎng)絡(luò)威脅收集網(wǎng)絡(luò)流里低控制中心與探測(cè)引擎直接連接。不占用網(wǎng)絡(luò)流里網(wǎng)絡(luò)/安全設(shè)備評(píng)估誤操作引起設(shè)備崩潰或數(shù)據(jù)

10、丟失、損壞高規(guī)范審計(jì)流程；嚴(yán)格選擇審計(jì)人員；用戶(hù)進(jìn)行全程監(jiān)控；制定可能的恢復(fù)計(jì)劃。網(wǎng)絡(luò)/安全設(shè)備資源占有低避開(kāi)業(yè)務(wù)高峰；控制掃描策略（線(xiàn)程數(shù)量、強(qiáng)度）漏洞掃描網(wǎng)絡(luò)流里低避開(kāi)業(yè)務(wù)高峰；控制掃描策略（線(xiàn)程數(shù)量、強(qiáng)度）主機(jī)資源占用低避開(kāi)業(yè)務(wù)高峰；控制掃描策略（線(xiàn)程數(shù)量、強(qiáng)度）控制臺(tái)審計(jì)誤操作引起設(shè)備崩潰或數(shù)據(jù)丟失、損壞高規(guī)范審計(jì)流程；嚴(yán)格選擇審計(jì)人員；用戶(hù)進(jìn)行全程監(jiān)控；制定可能的恢復(fù)計(jì)劃。網(wǎng)絡(luò)流量和主機(jī)資源占用低做好系統(tǒng)備份和恢復(fù)措施應(yīng)用平臺(tái)產(chǎn)生非法數(shù)據(jù)，只是系統(tǒng)/、能正常工作中做好系統(tǒng)備份和恢復(fù)措施異常輸入（畸形數(shù)據(jù)、極限測(cè)試）導(dǎo)致系統(tǒng)崩潰高做好系統(tǒng)備份和恢復(fù)措施六、評(píng)估結(jié)論公司依據(jù)國(guó)家、地方、行業(yè)相關(guān)安全法規(guī)、規(guī)范及標(biāo)準(zhǔn)，運(yùn)用安全系統(tǒng)工程的理論及方法，對(duì)項(xiàng)目建設(shè)內(nèi)容及安全管理，全面進(jìn)行了現(xiàn)場(chǎng)查驗(yàn)、查證及綜合性安全評(píng)價(jià)，總的來(lái)