网络安全风险
评估报告
XXX有限公司
20XXXX
一、概述3...
1.1工作方法3
1.2评估依据3
1.3评估范围3
1.4评估方法3
1.5基本信息4
二、资产分析4
2.1信息资产识别概述4...
2.2信息资产识别4
三、评估说明5
3.1无线网络安全检查项目评估5...
3.2无线网络与系统安全评估5
3.3ip管理与补丁管理5.
3.4防火墙6
四、威胁细类分析6...
4.1威胁分析概述6...
4.2威胁分类7
4.3威胁主体7
五、安全加固与优化8...
5.1加固流程8
5.2加固措施对照表9...
六、评估结论10
一、概述
XXX有限公司通过自评估的方式对网络安全进行检查,发现系统当前面临的主要安
全问题,边检查边整改,确保信息网络和重要信息系统的安全。
1.1工作方法未识别的网络
在本次网络安全风险评测中将主要采用的评测方法包括:人工评测、工具评测。
1.2评估依据
根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》(信安通[2006]15号)、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》(办信息[2006]48号)以及公司文件、检查方案要求,开展XXX有限公司网络安全评估。
1.3评估范围
此次系统测评的范围主要针对该业务系统所涉及的服务器、应用、数据库、网络设备、安全设备、终端等资产。
主要涉及以下方面:
业务系统的应用环境;
网络及其主要基础设施,例如路由器、交换机等;
安全保护措施和设备,例如防火墙、IDS等;
信息安全管理体系。
1.4评估方法
采用自评估方法。
1.5基本信息
被评估系统名称
业务系统负责人
评估工作配合人员
二、资产分析
2.1信息资产识别概述
资产被定义为对组织具有价值的信息或资源,资产识别的目标就是识别出资产的价值,风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在其安全属性——机密性
、完整性和可用性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。
风险评估是对本司范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别,将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总。
2.2信息资产识别
资产分类
资产组
IP地址/名称
资产估价
等级
资产型号
具体资产
物理资产
服务器
网络设备
软件资产
操作系统、数据库和应用软件
三、评估说明
3.1无线网络安全检查项目评估
无线网络信息安全组织机构包括领导机构、工作机构。岗位要求应包括:专职网络管理人员、专职应用系统管理人员和专职系统管理人员;专责的工作职责与工作范围应有制度明确进行界定;岗位实行主、副岗备用制度。病毒管理包括计算机病毒防治管理制度、定期升级的安全策略、病毒预警和报告机制、病毒扫描策略(1周内至少进行一次扫描)。
3.2无线网络与系统安全评估
无线局域网核心交换设备、城域网核心路由设备应采取设备冗余或准备备用设备,不允许外联链路绕过防火墙,具有当前准确的网络拓扑结构图。无线网络设备配置有备份,网络关键点设备采用双电源,关闭网络设备HTTPFTPTFTP等服务,SNMP社区串、本地用户口令强健>8字符,数字、字母混杂)。
3.3ip管理与补丁管理
有无线ip地址管理系统,无线ip地址管理有规划方案和分配策略,无线ip地址分配有记录。有补丁管理的手段或补丁管理制度,Windows系统主机补丁安装齐全,有补
丁安装的测试记录。
3.4防火墙
无线网络中的防火墙位置部署合理,防火墙规则配置符合安全要求,防火墙规则配
置的建立、更改有规范申请、审核、审批流程,对防火墙日志进行存储、备份。
4.1威胁分析概述
4.1.1外部威胁
来自不可控网络的外咅0攻击,主要指移动的CMNET、其它电信运营商的Internet互联网,以及第三方的攻击,其中互联网的威胁主要是黑客攻击、蠕虫病毒等,而第三方的威胁主要是越权或滥用、泄密、篡改、恶意代码或病毒等。
4.1.2内部威胁
主要来自内咅人员的恶意攻击、无作为或操作失误、越权或滥用、泄密、篡改等。另外,由于管理不规范导致各支撑系统之间的终端混用,也带来病毒泛滥的潜在威胁。
对每种威胁发生的可能性进行分析,最终为其赋一个相对等级值,将根据经验、有关的统计数据来判断威胁发生的频率或者概率。威胁发生的可能性受下列因素影响:
资产的吸引力;
资产转化成报酬的容易程度;
威胁的技术力量等。
面是威胁标识对应表:
威胁等级
可能带来的威胁
可控性
发生频度
黑客攻击、恶意代码和病毒等
完全不可控
出现的频率较高(或n1次/月);或在大多数情况下很有可能会发生;或可以证实多次发生过。
物理攻击、内部人员的操作失
一定的可控性
出现的频率中等(或〉1次/
误、恶意代码和病毒等
半年);或在某种情况下可能会发生;或被证实曾经发生过。
内部人员的操作失误、恶意代码和病毒等
较大的可控性
出现的频率较小;或般不太可能发生;或没有被证实发生过。