目 录
报告声明 ...................................................................................... 错误!未定义书签。
委托方信息 .................................................................................. 错误!未定义书签。
受托方信息 .................................................................................. 错误!未定义书签。
风险评估报告单 .......................................................................... 错误!未定义书签。
1. 风险评估项目概述 ................................................................ 错误!未定义书签。
1.1. 建设项目基本信息 .......................................................... 错误!未定义书签。
1.2. 风险评估实施单位基本情况 .......................................... 错误!未定义书签。
1.3. 风险评估活动概述 .......................................................... 错误!未定义书签。
1.3.1. 风险评估工作组织过程 ............................................ 错误!未定义书签。
1.3.2. 风险评估技术路线 .................................................... 错误!未定义书签。
1.3.3. 依据的技术标准及相关法规文件 ............................ 错误!未定义书签。
2. 评估对象构成 ........................................................................ 错误!未定义书签。
2.1. 评估对象描述 .................................................................. 错误!未定义书签。
2.2. 网络拓扑结构 .................................................................. 错误!未定义书签。
2.3. 网络边界描述 .................................................................. 错误!未定义书签。
2.4. 业务应用描述 .................................................................. 错误!未定义书签。
2.5. 子系统构成及定级 .......................................................... 错误!未定义书签。
3. 资产调查 ................................................................................ 错误!未定义书签。
3.1. 资产赋值 .......................................................................... 错误!未定义书签。
3.2. 关键资产说明 .................................................................. 错误!未定义书签。
4. 威胁识别与分析 ...................................................................................................... 3
4.1. 关键资产安全需求 ............................................................................................ 3
4.2. 关键资产威胁概要 ............................................................................................ 7
4.3. 威胁描述汇总 .................................................................................................. 20
4.4. 威胁赋值 .......................................................................................................... 22
第 2 页共 94 页
5. 脆弱性识别与分析 ................................................................................................ 25
5.1. 常规脆弱性描述 .............................................................................................. 25
5.1.1. 管理脆弱性 ................................................................................................ 25
5.1.2. 网络脆弱性 ................................................................................................ 25
5.1.3. 系统脆弱性 ................................................................................................ 25
5.1.4. 应用脆弱性 ................................................................................................ 25
5.1.5. 数据处理和存储脆弱性 ............................................................................ 25
5.1.6. 灾备与应急响应脆弱性 ............................................................................ 25
5.1.7. 物理脆弱性 ................................................................................................ 25
5.2. 脆弱性专项检查 .............................................................................................. 25
5.2.1. 木马病毒专项检查 .................................................................................... 25
5.2.2. 服务器漏洞扫描专项检测 ........................................................................ 26
5.2.3. 安全设备漏洞扫描专项检测 .................................................................... 37
5.3. 脆弱性综合列表 .............................................................................................. 40
6. 风险分析 ................................................................................................................ 47
6.1. 关键资产的风险计算结果 .............................................................................. 47
6.2. 关键资产的风险等级 ...................................................................................... 51
6.2.1. 风险等级列表 ............................................................................................ 51
6.2.2. 风险等级统计 ............................................................................................ 52
6.2.3. 基于脆弱性的风险排名 ............................................................................ 52
6.2.4. 风险结果分析 ............................................................................................ 54
7. 综合分析与评价 .................................................................................................... 55
7.1. 综合风险评价 .................................................................................................. 55
7.2. 风险控制角度需要解决的问题 ...................................................................... 56
8. 整改意见 ..............................................
2022-08-02 11:56:24
855KB
1
专题资料(2021-2022年)AIR3兼容HTML5及AIR程序更新与调用本地类库方案的评估报告.docx
2022-07-19 12:01:29
1.23MB
1
CONTENTS;;评估依据范围与方法;;3、评估方法;评估方案;2、制定评估工作计划;;4、建立评估文档;评估项目;梳理网络拓扑结构图,确定工控网络边界。
检查工业控制网与企业内部网及互联网之间的边界安全防护情况,严格禁止没有防护的工业控制网络直接与互联网连接。
必须通过工业防火墙、网闸等防护设备对工业控制网络进行逻辑隔离。检查过程中要对工业防火墙、网闸等防护设备进行登记,包括品牌、型号,生产日期,最近维护时间。
由企业技术人员操作调取重点部位工业防火墙等关键设备日志进行分析,形成分析报告。;重点是对重要工程师站、数据库、服务器等核心工业控制软件所在区域采取访问控制、视频监控、专人值守等物理安全防护措施。
是否拆除或者封闭工业主机上不必要的USB、光驱、无线等接口。若确需使用,是否通过主机外设安全管理技术手段实施严格访问控制。是否登记备案。;严格禁止工业控制系统面向互联网开通HTTP、FTP、Telnet等高风险通用网服务。
用数据单向访问控制等策略进行安全加固,对访问时限进行控制。
采用加标锁定策略。只授权特定网络用户通过指定端口、IP地址并限制其访问权限、访问时间、访问内容等,禁
2022-07-12 13:00:22
991KB
PAGE 2
网络安全评估报告设计与编写
课程级别
信息安全专业工业互联网安全方向。
实验概述
此实验主要内容是基于设计一个针对某电力监控系统的网络安全评估报告,实现巩固网络安全评估方法,掌握编写网络安全评估报告的方法的目的
实验目标
巩固网络安全评估方法
掌握编写网络安全评估报告的方法
预备知识
网络安全评估基本方法
建议课时数
4个课时
实验环境准备
实验时硬件环境:12核CPU、16G内存、1T硬盘
需要能够支持系统连接网络的网络环境
Microsoft Word 2019
实验步骤
任务一 采集评估基本信息
评估项目概述
该网络安全评估报告将用于进行对某电力监控系统的安全评估过程
填写安全评估基本信息表
委托单位信息
评估单位信息
评估小组
组长
组员
监督员
编制人
编制日期
审核人
审核日期
批准人
批准日期
任务二 制定评估方案
被评估系统情况
1.1系统业务情况
要求:分析被评估系统的主要功能以及适用场景等。
案例:该变电站监控系统是应用电力自动化技术、计算机技术和信息传输技术,集保护、监测、控制、通信等多功能于一体的系统,适用于35kV及以下电压等级的城网、农网变电站
2022-07-09 12:03:54
35KB