目 录
报告声明 ...................................................................................... 错误!未定义书签。
委托方信息 .................................................................................. 错误!未定义书签。
受托方信息 .................................................................................. 错误!未定义书签。
风险评估报告单 .......................................................................... 错误!未定义书签。
1. 风险评估项目概述 ................................................................ 错误!未定义书签。
1.1. 建设项目基本信息 .......................................................... 错误!未定义书签。
1.2. 风险评估实施单位基本情况 .......................................... 错误!未定义书签。
1.3. 风险评估活动概述 .......................................................... 错误!未定义书签。
1.3.1. 风险评估工作组织过程 ............................................ 错误!未定义书签。
1.3.2. 风险评估技术路线 .................................................... 错误!未定义书签。
1.3.3. 依据的技术标准及相关法规文件 ............................ 错误!未定义书签。
2. 评估对象构成 ........................................................................ 错误!未定义书签。
2.1. 评估对象描述 .................................................................. 错误!未定义书签。
2.2. 网络拓扑结构 .................................................................. 错误!未定义书签。
2.3. 网络边界描述 .................................................................. 错误!未定义书签。
2.4. 业务应用描述 .................................................................. 错误!未定义书签。
2.5. 子系统构成及定级 .......................................................... 错误!未定义书签。
3. 资产调查 ................................................................................ 错误!未定义书签。
3.1. 资产赋值 .......................................................................... 错误!未定义书签。
3.2. 关键资产说明 .................................................................. 错误!未定义书签。
4. 威胁识别与分析 ...................................................................................................... 3
4.1. 关键资产安全需求 ............................................................................................ 3
4.2. 关键资产威胁概要 ............................................................................................ 7
4.3. 威胁描述汇总 .................................................................................................. 20
4.4. 威胁赋值 .......................................................................................................... 22
第 2 页共 94 页
5. 脆弱性识别与分析 ................................................................................................ 25
5.1. 常规脆弱性描述 .............................................................................................. 25
5.1.1. 管理脆弱性 ................................................................................................ 25
5.1.2. 网络脆弱性 ................................................................................................ 25
5.1.3. 系统脆弱性 ................................................................................................ 25
5.1.4. 应用脆弱性 ................................................................................................ 25
5.1.5. 数据处理和存储脆弱性 ............................................................................ 25
5.1.6. 灾备与应急响应脆弱性 ............................................................................ 25
5.1.7. 物理脆弱性 ................................................................................................ 25
5.2. 脆弱性专项检查 .............................................................................................. 25
5.2.1. 木马病毒专项检查 .................................................................................... 25
5.2.2. 服务器漏洞扫描专项检测 ........................................................................ 26
5.2.3. 安全设备漏洞扫描专项检测 .................................................................... 37
5.3. 脆弱性综合列表 .............................................................................................. 40
6. 风险分析 ................................................................................................................ 47
6.1. 关键资产的风险计算结果 .............................................................................. 47
6.2. 关键资产的风险等级 ...................................................................................... 51
6.2.1. 风险等级列表 ............................................................................................ 51
6.2.2. 风险等级统计 ............................................................................................ 52
6.2.3. 基于脆弱性的风险排名 ............................................................................ 52
6.2.4. 风险结果分析 ............................................................................................ 54
7. 综合分析与评价 .................................................................................................... 55
7.1. 综合风险评价 .................................................................................................. 55
7.2. 风险控制角度需要解决的问题 ...................................................................... 56
8. 整改意见 ..............................................
2022-08-02 11:56:24
855KB
1
目 录
1 概述 ................................................................................................................................................. 5
1.1 项目背景 ................................................................................................................................ 5
1.2 工作方法 ................................................................................................................................ 5
1.3 评估范围 ................................................................................................................................ 5
1.4 基本信息 ................................................................................................................................ 5
2 业务系统分析 ................................................................................................................................. 6
2.1 业务系统职能 ........................................................................................................................ 6
2.2 网络拓扑结构 ........................................................................................................................ 6
2.3 边界数据流向 ........................................................................................................................ 6
3 资产分析 ......................................................................................................................................... 6
3.1 信息资产分析 ........................................................................................................................ 6
3.1.1 信息资产识别概述 ............................................................................................................ 6
3.1.2 信息资产识别 .................................................................................................................... 7
4 威胁分析 ......................................................................................................................................... 7
4.1 威胁分析概述 ............................
2021-11-15 12:28:50
224KB
1
本次信息安全风险评估采用定量的方法对资产进行识别,并对资产自身价值、信息类别、保密性、完整性、可用性、法律法规合同及其它要求的符合性方面进行分类赋值,综合考虑资产在自身价值、保密性、完整性、可用性和法律法规合同上的达成程度,在此基础上得出综合结果,根据制定的重要资产评价准则,确定重要资产。
2021-11-11 16:04:55
37KB
1
本次信息安全风险评估采用定量的方法对资产进行识别,并对资产自身价值、信息类别、保密性、完整性、可用性、法律法规合同及其它要求的符合性方面进行分类赋值,综合考虑资产在自身价值、保密性、完整性、可用性和法律法规合同上的达成程度,在此基础上得出综合结果,根据制定的重要资产评价准则,确定重要资产。
2021-10-30 16:34:48
36KB
1