风险评估分析报告.doc

《风险评估分析报告.doc》由会员分享，可在线阅读，更多相关《风险评估分析报告.doc（30页珍藏版）》请在咨信网上搜索。

上海ERIC数据系统有限公司 记录编号 IMSF-005 信息安全风险评估报告 创立日期 4月16日 文档密级 秘 密 更改记录 时间 更改内容 更改人 　 　 　 　 　 　 项 目 名 称： 4月16日风险评估报告 被评估公司单位： 上海ERIC数据系统有限公司 参加评估部门：信息安全综合管理委员会 一、风险评估项目概述 1.1 工程项目概况 1.1.1 建设项目基本信息 风险评估版本 3日5日更新资产清单及评估 项目完毕时间 3月5日 项目试运营时间 2-3月 1.2 风险评估实行单位基本状况 评估单位名称 上海ERIC数据系统有限公司 二、风险评估活动概述 2.1 风险评估工作组织管理 描述本次风险评估工作组织体系（含评估人员构成）、工作原则和采用保密办法。 2.2 风险评估工作过程 本次评估供耗时2天，采用抽样方式结合现场评估，涉及了公司所有部门及所有产品，已经涉及了位于公司地址位置有关产品。 2.3 根据技术原则及有关法规文献 本次评估根据法律法规条款有： 序号 法律、法规及其她规定名称 颁布时间 实行时间 颁布部门 1 全国人大常委会关于维护互联网安全决定 .12.28 .12.28 全国人大常委会 2 中华人民共和国计算机信息系统安全保护条例 1994.02.18 1994.02.18 国务院第147号令 3 中华人民共和国计算机信息网络国际联网管理暂行规定 1996.02.01 1996.02.01 国务院第195号令 4 中华人民共和国计算机软件保护条例 .12.20 .01.01 国务院第339号令 5 中华人民共和国信息网络传播权保护条例 .05.10 .07.01 国务院第468号令 6 中华人民共和国计算机信息网络国际联网管理暂行规定实行办法 1998.03.06 1998.03.06 国务院信息化工作领导小组 7 计算机信息网络国际联网安全保护管理办法 1997.12.16 1997.12.30 公安部第33号令 8 计算机信息系统安全专用产品检测和销售允许证管理办法 1997.06.28 1997.12.12 公安部第32号令 9 计算机病毒防治管理办法 .03.30 .04.26 公安部第51号令 10 恶意软件定义 ．06.27 ．06.27 中华人民共和国互联网协会 11 抵制恶意软件自律公约 ．06.27 ．06.27 中华人民共和国互联网协会 12 计算机信息系统保密管理暂行规定 1998.2.26 1998.02.26 国家保密局 13 计算机信息系统国际联网保密管理规定 .01.01 .01.01 国家保密局 14 软件产品管理办法 .10.08 .10.08 中华人民共和国工业和信息化部 15 互联网等信息系统网络传播视听节目管理办法 .06.15 .10.11 国家广播电影电视总局 16 互联网电子公示服务管理规定 .10.08 .10.08 信息产业部 17 信息系统工程监理工程师资格管理办法 颁布 .03.26 信息产业部 18 信息系统工程监理单位资质管理办法 .03.26 .04.01 信息产业部 19 电子认证服务管理办法 .02.04 .03.31 信息产业部 20 关于印发《国家电子信息产业基地和产业园认定管理办法（试行）》告知 .03.04 .03.04 中华人民共和国信息产业部 21 计算机软件著作权登记收费项目和原则 1992.03.16 1992.04.01 机电部计算机软件登记办公室 22 中华人民共和国互联网络域名管理办法 .11.05 .12.20 信息产业部 23 中华人民共和国专利法 .01.09 .02.01 全国人民代表大会常务委员 24 中华人民共和国技术合同法 1987.06.23 1987.06.23 国务院科学技术部 25 关于电子专利申请规定 .08.27 .10.01 国家知识产权局 26 中华人民共和国著作权法 .02.26 .02.26 全国人大常委会 27 中华人民共和国著作权法实行条例 .08.02 .9.15 国务院第359号令 28 科学技术保密规定 1995.01.06 1995.01.06 国家科委、国家保密局 29 互联网安全保护技术办法规定 .12.13 .03.01 公安部发布 30 中华人民共和国认证承认条例 .09.03 .11.1 国务院第390号令 31 中华人民共和国保守国家秘密法 .04.29 .10.01 全国人大常委会 32 中华人民共和国国家安全法 1993.02.22 1993.02.22 全国人大常委会 33 中华人民共和国商用密码管理条例 1999.10.07 1999.10.07 国务院第273号令 34 消防监督检查规定 .4.30 .5.1 公安部第107号 35 仓库防火安全管理规则 1990.03.22 1994.04.10 中华人民共和国公安部令第6号 36 地质灾害防治条例 .11.24 .03.01 国务院3９4号 37 《电力安全生产监管办法》 .03.09 .03.09 国家电力监管委员会第2号 38 中华人民共和国劳动法 .06.29 .1.1 华人民共和国主席令第二十八号 39 失业保险条例 1998.12.26 1999.01.22 国务院 40 失业保险金申领发放 .10.26 .01.01 劳动和社会保障部 41 中华人民共和国公司劳动争议解决条例 1993.06.11 1993.08.01 国务院 2.4 保障与限制条件 需要被评估单位提供文档、工作条件和配合人员等必要条件，以及也许限制条件。 三、评估对象 3.1 评估对象构成与定级 3.1.1 网络构造 依照提供网络拓扑图，进行构造化审核。 3.1.2 业务应用 我司涉及数据中心运营及服务活动。 3.1.3 子系统构成及定级 N/A 3.2 评估对象级别保护办法 按照工程项目安全域划分和保护级别定级状况，分别描述不同保护级别保护范畴内子系统各自所采用安全保护办法，以及级别保护测评成果。 依照需要，如下子目录按照子系统重复。 3.2.1 XX子系统级别保护办法 依照级别测评成果，XX子系统级别保护管理办法状况见附表一。 依照级别测评成果，XX子系统级别保护技术办法状况见附表二。 四、资产辨认与分析 4.1 资产类型与赋值 4.1.1资产类型 按照评估对象构成，分类描述评估对象资产构成。详细资产分类与赋值，以附件形式附在评估报告背面，见附件3《资产类型与赋值表》。 4.1.2资产赋值 填写《资产赋值表》。 大类 详细分类 举例 文档和数据 经营规划 中长期规划等 经营筹划等 组织状况 组织变更方案等 组织机构图等 组织变更告知等 组织手册等 规章制度 各项规程、业务手册等 人事制度 人事方案等 人事待遇资料等 录取筹划等 离职资料等 中期人员筹划等 人员构成等 人事变动告知等 培训筹划等 培训资料等 财务信息 预决算（各类投资预决算)等 业绩（财务报告)等 中期财务状况等 资金筹划等 成本等 财务数据解决办法（成本计算办法和系统，会计管理审查等经营分析系统，减税办法、规程)等 营业信息 市场调查报告（市场动向，顾客需求，其他我司动 向及对这些状况分析办法和成果)等 商谈内容、合同等 报价等 客户名单等 营业战略（关于和其他我司合伙销售、销售途径 拟定及变更，对代理商政策等情报)等 退货和投诉解决（退货品名、数量、因素及对投诉 解决办法)等 供应商信息等 技术信息 实验/分析数据（我司或者委托其他单位进行试 验/分析)等 研究成果（我司或者和其他单位合伙研究开发 技术成果)等 科技创造内容（专利申请书以及关于资料/实验数 据)等 开发筹划书等 新产品开发体制、组织（新品开发人员构成，业务 分担，技术人员配备等) 技术协助关于内容（协作方，协作内容，协作时间等) 教诲资料等 技术备忘录等 软件信息 生产管理系统等 技术解析系统等 筹划财务系统等 设计书等 流程等 编码、密码系统等 源程序表等 其她 诉讼或其她有争议案件内容（民事、无形资产、工伤 等纠纷内容) 我司基本设施状况（涉及动力设施)等 董事会资料（新投资领域、设备投资筹划等) 我司电话簿等 我司安全保卫实行状况及突发事件对策等 软件 操作系统 Windows、Linux 等 应用软件/系统 开发工具、办公软件、网站平台、财务系统 等 数据库 MS SQL Server、MySQL 等 硬件设备 通讯工具 传真等 传播线路 光纤、双绞线等 存储媒体 磁带、光盘、软盘、U 盘等 存储设备 光盘刻录机、磁带机等 文印设备 打印机、复印机、扫描仪 服务器 PC Server、小型机等 桌面终端 PC、工作站等 网络通信设备 路由器、互换机、集线器、无线路由器等 网络安全设备 防火墙、防水墙、IPS 等 支撑设施 UPS、机房空调、发电机等 人力资源 高层管理人员 高层管理人员 我司总/副总经理、总监等 中层管理人员 部门经理 技术管理人员 项目经理、项目组长、安全工程师 普通技术人员 软件工程师、程序员、测试工程师、界面工程师等 IT 服务人员 系统管理员、网络管理员、维护工程师 其他 人事、行政、财务等人员 服务 通信 ADSL、光纤等 房租 办公房屋租用 托管 服务器托管、虚拟主机、邮箱托管 法律 外聘律师、法律顾问 供电 照明电、动力电 审计 财务审计 6.2. 资产赋值判断准则 对资产赋值不但要考虑资产经济价值，更重要是要考虑资产安全状况对于系统或组织重要性，由资产在其三个安全属性上达到限度决定。 资产赋值过程也就是对资产在机密性、完整性和可用性上达到限度进行分析，并在 此基本上得出综合成果过程。达到限度可由安全属性缺失时导致影响来表达，这种影响 也许导致某些资产损害以至危及信息系统，还也许导致经济效益、市场份额、组织形象 损失。 6.2.1. 机密性赋值 依照资产在机密性上不同规定，将其分为三个不同级别，分别相应资产在机密性上 应达到不同限度或者机密性缺失时对整个组织影响。 赋值 标记 定 义 3 高 包括组织最重要秘密，关系将来发展前程命运，对主线利益有着决 定性影响，如果泄露会导致劫难性损害，例如直接损失超过100 万 人民币，或重大项目（合同）失败，或失去重要客户，或核心业务中断3 天。 2 中 组织普通性秘密，其泄露会使组织安全和利益受到损害，例如直接 损失超过10 万人民币，或项目（合同）失败，或失去客户，或核心业务 中断超过1 天。 1 低 可在社会、组织内部或在组织某一部门内部公开信息，向外扩散有可 能对组织利益导致轻微损害或不导致伤害。 6.2.2. 完整性赋值 依照资产在完整性上不同规定，将其分为三个不同级别，分别相应资产在完整性上 缺失时对整个组织影响。 赋值 标记 定 义 3 高 完整性价值非常核心，未经授权修改或破坏会对组织导致重大或无法接受影响，对业务冲击重大，并也许导致严重业务中断，并且难以弥补。例如直接损失超过100 万人民币，或重大项目（合同）失败，或失去重要客户。 2 中 完整性价值中档，未经授权修改或破坏会对组织导致影响，对业务冲击明显，但可以弥补。例如直接损失超过10 万人民币，或项目（合同）失败，或失去客户。 1 低 完整性价值较低，未经授权修改或破坏会对组织导致轻微影响，甚至可以忽视，对业务冲击轻微，容易弥补。 6.2.3. 可用性赋值 依照资产在可用性上不同规定，将其分为三个不同级别，分别相应资产在可用性上 达到不同限度。 赋值 标记 定 义 3 高 可用性价值非常高，合法使用者对资产可用度达到年度90%以上，或系统不容许中断。 2 中 可用性价值中档，合法使用者对资产可用度在正常工作时间达到50%以上，或系统容许中断时间不大于8 工作时。 1 低 可用性价值较低或可被忽视，合法使用者对资产可用度在正常工作时间达到50%如下，或系统容许中断时间不大于24 工作时。 6.2.4. 资产重要性级别 资产价值（V）＝ 机密性价值（C）＋完整性价值（I）＋可用性价值（A） 资产级别： 级别 价值分类 资产总价值 1 低 3 ～ 4 2 中 5 ～ 7 3 高 8 ～ 9 4.2 重要资产清单及阐明 在分析被评估系统资产基本上，列出对评估单位十分重要资产，作为风险评估重点对象，并以清单形式列出如下： 重要资产列表 序号 资产编号 子系统名称 应用 资产重要限度权重 其她阐明 1. F001 各类公司证件 其她 高 2. F002 财务账务文献 其她 高 3. F004 发票 其她 高 4. F006 用友通财务软件备份数据 其她 高 5. ATSH10-007 Pernod Ricard业务持续服务合同 客户合同 高 6. ATSH-11/001/10-007 天选备份软件维护服务合同 供应商合同 高 7. ATSH10-008 VantAsia业务持续服务合同 客户合同 高 8. ATSH11-001 NAB业务持续服务合同 客户合同 高 9. HW-009 服务器(运作技术部) 服务器 高 10. HW-022 精密空调(运作技术部) 精密空调 高 11. HW-023 UPS(运作技术部) UPS 高 12. HW-024 PPDC(运作技术部) PPDC 高 13. HW-026 AVAYA(运作技术部) 通讯设备 高 14. HW-027 Switch(运作技术部) 网络设备 高 15. HW-028 Router(运作技术部) 网络设备 高 16. HW-029 Fire wall(运作技术部) 网络设备 高 17. HW-030 DVR(运作技术部) 监控设备 高 18. HW-031 客户数据（硬盘） 硬盘 高 19. HW-032 柴油发电机组 柴油发电机 高 20. F001 etax网上报税系统 财务软件－单机 高 21. F002 用友通财务软件 财务软件－单机 高 22. F003 发票打印软件 财务软件－单机 高 23. A-02-25-03-06-004 Cowin 监控系统 监控系统 高 24. A-02-25-03-06-005 General_PSS_V4.01.0.R.091112 监控系统 高 25. H0001 梁文略 高层管理人员 高 26. S0002 杨英 高层管理人员 高 27. S0001 李海宁 中层管理人员 高 28. S0006 赵红 销售人员 高 29. S0003 张光辉 中层管理人员 高 30. S0004 刘子明 IT 服务人员 高 31. S0005 胡捷 IT 服务人员 高 32. S0008 张力 IT 服务人员 高 33. S0007 唐海英 其他 高 34. S0026 刘影 其他 高 35. server02 网络通信 中华人民共和国联通 高 36. server03 供电 物管- 德必创意 高 37. server04 房屋 物管- 德必创意 高 五、威胁辨认与分析 对威胁来源（内部/外部；主观/不可抗力等）、威胁方式、发生也许性，威胁主体能力水平等进行列表分析。下面是典型威胁范本： 编号 威胁 硬件和设施 软件和系统 文档和数据 人力资源 服务 1 故障 ★ ★ 2 废弃 ★ ★ ★ 3 服务失效/中断 ★ 4 恶意软件 ★ 5 抵赖 ★ 6 通信监听 ★ 7 操作失误 ★ ★ 8 未经授权更改 ★ ★ ★ 9 未经授权访问，使用或复制 ★ ★ ★ 10 被运用传送敏感信息 ★ ★ 11 盗窃 ★ ★ ★ 12 供电故障 ★ ★ 13 恶意破坏 ★ ★ ★ 14 电子存储媒体故障 ★ ★ 15 违背知识产权有关法律、法规 ★ ★ 16 温度、湿度、灰尘超限 ★ 17 静电 ★ 18 黑客袭击 ★ ★ 19 容量超载 ★ ★ ★ 20 系统管理员权限滥用 ★ ★ 21 密钥泄露、篡改 ★ ★ 22 密钥滥用 ★ 23 个体伤害（车祸、疾病等） ★ 24 不公正待遇 ★ 25 社会工程 ★ 26 人为劫难：瘟疫、火灾、爆炸、恐 怖袭击等 ★ ★ ★ ★ 27 自然劫难：地震、洪水、台风、雷 击等 ★ ★ ★ ★ 28 服务供应商泄密 ★ 5.1 威胁数据采集 5.2 威胁描述与分析 根据《威胁赋值表》，对资产进行威胁源和威胁行为分析。 5.2.1 威胁源分析 填写《威胁源分析表》。 5.2.2 威胁行为分析 填写《威胁行为分析表》。 5.2.3 威胁能量分析 5.3 威胁赋值 威胁发生也许性级别对照表 级别 说 明 发生也许性 1 低 非级别2 与级别3 定义 2 中 每半年至少发生一次但不及级别3 3 高 每月至少发生两次 阐明： 判断威胁浮现频率是威胁辨认重要工作，评估者应依照经验和（或）关于记录数据来进行判断。在风险评估过程中，还需要综合考虑如下三个方面，以形成在某种评估环境中各种威胁浮现频率： 1) 以往安全事件报告中浮现过威胁及其频率记录； 2) 实际环境中通过检测工具以及各种日记发现威胁及其频率记录； 3) 近一两年来国际组织发布对于整个社会或特定行业威胁及其频率记录，以及发布威胁预警。 六、脆弱性辨认与分析 按照检测对象、检测成果、脆弱性分析分别描述如下各方面脆弱性检测成果和成果分析。 6.1 常规脆弱性描述 编号 大类 编号 小类及阐明 1 环境和基本设施 1.1 物理保护缺少：建筑物、门、窗等 1.2 物理访问控制不充分或不仔细 1.3 电力供应不稳 1.4 处在易受到威胁场合，例如洪水、地震 1.5 缺少防火、防雷等保护性办法 2 硬件 2.1 缺少周期性设备更新方案 2.2 易受电压变化影响 2.3 易受到温度、湿度、灰尘和污垢影响 2.4 易受到电磁辐射 2.5 媒体介质缺少维护或错误安装 2.6 缺少有效配备变更控制 2.7 缺少设施安全控制机制 2.8 不当维护 2.9 不当处置 3 软件 3.1 不清晰、不完整开发规格阐明书 3.2 没有、或不完备软件测试 3.3 复杂顾客界面 3.4 缺少标示和授权机制，例如顾客授权 3.5 缺少审核踪迹 3.6 众所周知软件缺陷，易受病毒等袭击 3.7 密码表未受到保护 3.8 密码强度太弱 3.9 访问权限错误配备 3.10 未经控制下载和使用软件 3.11 离开工作常所未注销（锁屏） 3.12 缺少有效变更控制 3.13 文档缺少 3.14 缺少备份 3.15 处置或重用没有对的擦除内容存储介质 3.16 缺少加解密使用方略 3.17 缺少密钥管理 3.18 缺少身份鉴别机制 3.19 缺少补丁管理机制 3.20 安装、使用盗版软件 3.21 缺少使用监控 3.22 未经授权复制或传播软件（允许） 3.23 缺少（文献）共享安全方略 3.24 缺少服务/端口安全方略 3.25 缺少病毒库升级管理机制 3.26 不受控发布公共信息 4 网络与通信 4.1 通信线路缺少保护 4.2 电缆连接不牢固 4.3 对发送和接受方缺少辨认与验证 4.4 明文传播口令 4.5 发送与接受消息时缺少证据 4.6 拨号线路 4.7 未保护敏感信息传播 4.8 网络管理不恰当 4.9 未受保护公网连接 4.10 缺少身份鉴别机制 4.11 未配备或错误配备访问权限 5 文档 5.1 存储缺少保护 5.2 不受控访问或复制 5.3 随意处置 5.4 缺少备份机制 6 人员 6.1 员工缺编 6.2 安全训练不完备 6.3 缺少安全意识 6.4 缺少控制机制 6.5 缺少员工关怀/申诉政策 6.6 不完备招聘/离职程序 6.7 道德缺失 7 服务与普通应用弱点 7.1 单点故障 7.2 服务故障响应不及时 7.3 负载过高 7.4 缺少安全控制机制 7.5 缺少应急机制 6.3 脆弱性综合列表 威胁发生也许性级别对照表 级别 说 明 发生也许性 1 低 非级别2 与级别3 定义 2 中 每半年至少发生一次但不及级别3 3 高 每月至少发生两次 阐明： 判断威胁浮现频率是威胁辨认重要工作，评估者应依照经验和（或）关于记录数据来进行判断。在风险评估过程中，还需要综合考虑如下三个方面，以形成在某种评估环境中各种威胁浮现频率： 1) 以往安全事件报告中浮现过威胁及其频率记录； 2) 实际环境中通过检测工具以及各种日记发现威胁及其频率记录； 3) 近一两年来国际组织发布对于整个社会或特定行业威胁及其频率记录，以及发布威胁预警。 七、风险分析 7.1 核心资产风险计算成果 信息安全风险矩阵计算表 威胁发生也许性 低1 中2 高3 影响限度级别 低1 中2 高3 低1 中2 高3 低1 中2 高3 资产价值 1 1 2 3 2 4 6 3 6 9 2 2 4 6 4 8 12 6 12 18 3 3 6 9 6 12 18 9 18 27 阐明： 在完毕了资产辨认、威胁辨认、弱点辨认，以及对已有安全办法确认后，将采用恰当办法拟定威胁运用弱点导致安全事件发生也许性，考虑安全事件一旦发生其所作用资产重要性及弱点严重限度判断安全事件导致损失对组织影响，即安全风险。风险计算方式如下，风险值 ＝ 弱点被运用也许性级别X 威胁运用弱点影响限度级别X 资产价值 信息安全风险接受准则 级别 划分原则 阐明 A级 18及以上 不可接受风险，必要采用控制办法 B级 6-12 有条件接受风险（需经评估小组评审，判断与否可以接受风险) C级 1-4 不需要评审即可接受风险 7.2.4 风险成果分析 级别 数量 阐明 A级 18 不可接受风险，必要采用控制办法 B级 186 有条件接受风险（需经评估小组评审，判断与否可以接受风险) C级 17 不需要评审即可接受风险 八、综合分析与评价 通过综合评估，公司既有风险评估成果是适当、充分、有效。 九、整治意见 1. 加强各部门对风险解决技巧培训。 2. 对A级风险公司解决需对各部门进行公示。 3. 对A级和B级风险采用恰当控制办法，编写入公司三级文献进行控制。 附件1：管理办法表 序号 层面/方面 安全控制/办法 贯彻 某些贯彻 没有贯彻 不合用 安全管理制度 管理制度 √ 制定和发布 √ 评审和修订 √ 安全管理机构 岗位设立 √ 人员配备 √ 授权和审批 √ 沟通和合伙 √ 审核和检查 √ 人员安全管理 人员录取 √ 人员离岗 √ 人员考核 √ 安全意识教诲和培训 √ 外部人员访问管理 √ 系统建设管理 系统定级 √ 安全方案设计 √ 产品采购 √ 自行软件开发 √ 外包软件开发 √ 工程实行 √ 测实验收 √ 系统交付 √ 系统备案 √ 安全服务商选取 √ 系统运维管理 环境管理 √ 资产管理 √ 介质管理 √ 设备管理 √ 监控管理和安全管理中心 √ 网络安全管理 √ 系统安全管理 √ 恶意代码防范管理 √ 密码管理 √ 变更管理 √ 备份与恢复管理 √ 安全事件处置 √ 应急预案管理 √ 小计 附件2：技术办法表 序号 层面/方面 安全控制/办法 贯彻 某些贯彻 没有贯彻 不合用 1 物理安全 物理位置选取 √ 物理访问控制 √ 防盗窃和防破坏 √ 防雷击 √ 防火 √ 防水和防潮 √ 防静电 √ 温湿度控制 √ 电力供应 √ 电磁防护 √ 网络安全 网络构造安全 √ 网络访问控制 √ 网络安全审计 √ 边界完整性检查 √ 网络入侵防范 √ 恶意代码防范 √ 网络设备防护 √ 主机安全 身份鉴别 √ 访问控制 √ 安全审计 √ 剩余信息保护 √ 入侵防范 √ 恶意代码防范 √ 资源控制 √ 应用安全 身份鉴别 √ 访问控制 √ 安全审计 √ 剩余信息保护 √ 通信完整性 √ 通信保密性 √ 抗抵赖 √ 软件容错 √ 资源控制 √ 数据安全及备份与恢复 数据完整性 √ 数据保密性 √ 备份和恢复 √