重要资产信息安全脆弱性汇总表
(完整word版)信息资产威胁和脆弱性对应表
轻微受电压波动影响,易造成严重损失
易受电压波动影响,不易造成严重损失
14
静电
位于易产生静电环境,资产易受静电破坏
位于易产生静电环境,资产不易受静电破坏
位于不易产生静电环境,资产易受静电破坏
工作人员无资产维护意识,没有维护常识
工作人员有资产维护意识,没有维护常识
工作人员无资产维护意识,有维护常识
软件无合法数据验证机制
48
提供给操作人员错误的指南信息
文件匮乏
文档管理混乱
49
软件维护失误
工作人员无资产维护意识,没有维护常识
工作人员有资产维护意识,没有维护常识
工作人员无资产维护意识,有维护常识
无软件更新控制
50
硬件的操作失误
工作人员操作不熟练
设备易损坏
无硬件访问控制
缺乏物理安全措施
51
存储介质的故障
工作人员注重个人利益
工作人员无法律ቤተ መጻሕፍቲ ባይዱ识
工作人员法律意识弱
无数据访问控制
无硬件访问控制
40
内部人员身份假冒
工作人员无法律意识
工作人员弱法律意识
弱密码管理
不易辨认身份的真伪
41
内部人员出卖个人信息
工作人员注重个人利益
工作人员无法律意识
工作人员法律意识弱
数据中心无物理安全措施
数据中心弱物理安全措施
无劳工协议,竞业禁止等保密要求
不易辨认身份的真伪
信息不易辨认真伪
无逻辑访问控制
30
系统篡改
弱密码管理
软件无身份验证机制
软件采用弱身份验证机制
操作系统存在漏洞
应用软件存在漏洞
26、27.脆弱性识别表
现用户的权限分离 未启用安全审计功能,无 法对重要的用户行为和重
要安全事件进行审计 审计记录未包括事件的日 期和时间、用户、事件类 型、事件是否成功及其他
与审计相关的信息 未对审计记录进行保护,
定期备份 设备未关闭TELNET、HTTP
等高危协议 未限制设备网络管理地址
4
3
3 3.6 中
抗DDOS系统 ASSET-10 4
4
3
3 3.6 中
赣服通自安
ASSET-11 4
4
3
3 3.6 中
全交换机
红谷滩赣服
ASSET-12 4
4
4
4
4
高
通业务系统
Apache ASSET-13 3
3
3
3 3.0 中
红谷滩赣服
通业务系统 ASSET-14 4
4
4
4 4.0 高
数据库
账号密码数
要安全事件进行审计 审计记录未包括事件的日 期和时间、用户、事件类 型、事件是否成功及其他
与审计相关的信息 未对审计记录进行保护,
定期备份 设备未关闭TELNET、HTTP
等高危协议 未限制设备网络管理地址
或范围 设备身份标识不唯一,身 份鉴别信息未设置复杂度
要求并定期更换 未设置登录失败处理功能 ,未配置并启用结束会话 、限制非法登录次数和当 登录连接超时自动退出等 未采用两相种关或策两略种以上组
信息员安全领
导小组-信
息安全领导
ASSET-27 4
4
3
3 3.6 中
小组办公室
-信息系统
负责人
信息安全领
导小组-信
信息安全风险评估报告
XXXXX公司信息安全风险评估报告历史版本编制、审核、批准、发布实施、分发信息记录表一.风险项目综述1. 企业名称:XXXXX 公司2. 企业概况:XXXXX公司是一家致力于计算机软件产品的开发与销售、计算机信息系统集成及技术支持3. ISMS方针:预防为主,共筑信息安全;完善管理,赢得顾客信赖。
4. ISMS范围:计算机应用软件开发,网络安全产品设计/开发,系统集成及服务的信息安全管理。
二.风险评估目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式,将信息安全风险控制在可接受的水平,进行本次风险评估。
三.风险评估日期:2017-9-10 至2017-9-15四.评估小组成员XXXXXX X五.评估方法综述1、首先由信息安全管理小组牵头组建风险评估小组;2、通过咨询公司对风险评估小组进行相关培训;3、根据我们的信息安全方针、范围制定信息安全风险管理程序,以这个程序作为我们风险评估的依据和方法;4、各部门识别所有的业务流程,并根据这些业务流程进行资产识别,对识别的资产进行打分形成重要资产清单;5、对每个重要资产进行威胁、脆弱性识别并打分,并以此得到资产的风险等级;6、根据风险接受准则得出不可接受风险,并根据标准£027001:2013的附录A制定相关的风险控制措施;7、对于可接受的剩余风险向公司领导汇报并得到批准。
欢迎下载根据第一阶段审核结果,修订了信息安全风险管理程序,根据新修订程序文件,再次进行了风险评估工作从2017年9月10日开始进入风险评估阶段,到2017年9月15日止基本工作告一段落。
主要工作过程如下:1. 2017-9-10 ~ 2017-9-10 ,风险评估培训;2. 2017-9-11 ~ 2017-9-11 ,公司评估小组制定《信息安全风险管理程序》,制定系统化的风险评估方法;3. 2017-9-12 ~ 2017-9-12,本公司各部门识别本部门信息资产,并对信息资产进行等级评定,其中资产分为物理资产、软件资产、数据资产、文档资产、无形资产,服务资产等共六大类;4. 2017-9-13〜2017-9-13,本公司各部门编写风险评估表,识别信息资产的脆弱性和面临的威胁,评估潜在风险,并在ISMS工作组内审核;5. 2017-9-14〜2017-9-14 ,本公司各部门实施人员、部门领导或其指定的代表人员一起审核风险评估表;6. 2017-9-15〜2017-9-15 ,各部门修订风险评估表,识别重大风险,制定控制措施;ISMS工作组组织审核,并最终汇总形成本报告。
ISO27001-2013信息资产风险评估表
员工能力有限
工作中断
离职或突发事件
部门:市场部
部门:市场部
现有控制措施
1、员工有保密协议; 2、责任分割; 对数据进行备份 服务采购加强 访问加密、备份 定期保养维护 系统定期升级 专人专管 防病毒
保密培训、签员工保密协议 实行员工年度培训计划 责任分离、招聘新人
措施评价
控制措施有 效
控制措施有 控制措施有 控制措施有 控制措施有 控制措施有 控制措施有 控制措施有
信息资产风险评估表
资产类别 资产名称 重要等级
威胁列表
脆弱性列表
数据
客户信息 销售合同
硬件ቤተ መጻሕፍቲ ባይዱ办公电脑
人员 市场人员
员工泄密
员工保密意识差
4 人员误操作或有意篡改 文件易修改
云服务出现问题
云服务商问题
遗失或失窃
意外事件
硬件故障
老化
3
系统故障 偷盗丢失
系统漏洞 易携带
病毒攻击
网络
员工泄密
员工意志薄弱
3
工作瓶颈
措施有效 措施有效 措施有效
威胁发生 的频率
脆弱性严 重程度
风险度值
风险级别
2
1
6
2
2
1
6
2
2
1
6
2
2
1
6
2
2
1
6
2
3
1
9
2
2
1
6
2
2
1
6
2
2
1
6
2
2
1
6
2
2
1
6
2
(单位)信息系统脆弱性评估报告-
系统物理安全漏洞
评估发现,组织的信息系统物理安全防护存在一些关键漏洞。这些隐患可能被恶意分子利用,对系统和数据造成直接威胁。我们将重点分析这些物理安全方面的隐患,并提出切实可行的加固措施。
风险等级划分
针对前述发现的各类系统安全隐患,我们采用风险评估矩阵对其进行了严格的等级划分。根据漏洞的严重程度和发生概率,将其划分为高、中、低三个风险等级,以便制定针对性的修复策略。
为确保评估报告内容的隐私性和安全性,我们将严格按照组织制定的保密规定进行管理。报告涉及的敏感信息只能由授权人员查阅,不得擅自外泄。报告电子文件需采取加密等安全措施进行储存和传输,纸质报告则需置于专用保密柜中。同时建立完善的权限审核和日志记录机制,对访问行为进行全程监控。
评估报告附件清单
为确保评估报告信息完整,我们将附加相关的支持文件,包括关键系统配置信息、漏洞检测报告、风险评估分析、整改建议明细等。这些附件可为报告的理解和实施提供详尽的依据和参考。
低风险漏洞分析
除了高风险和中风险漏洞,评估过程中还发现了一些相对较低风险的系统安全隐患。这些问题虽然不会直接造成严重后果,但如果长期存在,仍可能被黑客利用来渗透系统或窃取数据。我们将重点分析这些低风险漏洞,制定适当的修复计划,确保组织整体信息安全水平的提升。
漏洞修复建议
基于对各类系统漏洞的深入分析,我们针对每一类漏洞都制定了切实可行的修复建议。这些措施涉及系统配置优化、软件补丁更新、权限管理加强、密码策略完善等多个层面,全面提升组织的整体信息安全防护水平。
系统权限漏洞
评估发现,部分系统的权限管理存在严重漏洞,关键用户账号和特权权限没有得到有效控制。这些权限缺陷可能被黑客利用来提升权限,从而访问敏感信息或破坏系统运行。我们将深入分析这些权限安全隐患并提出改进建议。
GBT22080:2016信息资产风险评估表-综合部
库存现金盘点表、银行对账单及余额 调节表 10
4
金蝶财务软件中的账务数据
4
16
银行系统
4
28
专用电脑
4
容易损毁 容易丢失 非法访问 非法访问 信息不准确 容易变更 容易变更 容易变更 防护措施不力 防护措施不力 管理环节不强 访问控制不严 格 防护措施不力 防护措施不力 管理环节不强 访问控制不严 格 非法访问 非法访问 信息不准确 容易变更 容易变更 容易变更 非法访问 非法访问 信息不准确 容易变更 容易变更 容易变更 非法访问 非法访问 信息不准确 容易变更 容易变更 容易变更 非法访问 非法访问 信息不准确 容易变更 容易变更 容易变更
组织管理 人员管理 人员管理
4 副总、出纳
险评估表
编制日期:2018.04.10 脆弱性等级 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 风险数值表 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 7 风险级别 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 3 风险认可 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 可接受风险 处置计划
信息安全系统风险评估-脆弱性识别-操作系统脆弱性表格-《GBT20272-2007》
d)对操作系统中处理的数据,应按回退的要求设计相应的SSOOS安全功能模块,进行异常情况
的操作序列回退,以确保用户数据的完整性。系统应保证在处理过程中不降低数据完整性的级别。
用户数据保密性
a)应确保动态分配与管理的资源,在保持信息安全的情况下被再利用,主要包括:
——鉴别信息应是不可见的,在存储和传输时应按GB/T 20271-2006中6.3.3.8的要求,用加密方法进行安全保护;
——过对不成功的鉴别尝试的值(包括尝试次数和时间的阈值)进行预先定义,并明确规定达到该值时应采取的措施来实现鉴别失败的处理。
c)对注册到操作系统的用户,应按以下要求设计和实现用户-主体绑定功能:
实现对SSF出现失败时的处理。系统因故障或其它原因中断后,应有一种机制去恢复系统。
系统应提供在管理维护状态中运行的能力,管理维护状态只能被系统管理员使用,各种安全
功能全部失效;
n)操作系统环境应控制和审计系统控制台的使用情况;
o)补丁的发布、管理和使用:补丁是对操作系统安全漏洞进行修补的程序的总称。操作系统的
服务器脆弱性识别表格
依据《GB/T20272-2007操作系统安全技术要求》中第三级---安全标记保护级所列举内容编制。
项目
子项
内容
是否符合
备注
安全功能
身份鉴别
a)按GB/T 20271-2006中6.3.3.1.1和以下要求设计和实现用户标识功能:
——凡需进入操作系统的用户,应先进行标识(建立账号);
理员进程的操作等。当审计激活时应确保审计跟踪事件的完整性;应提供一个机制来显示当前选择的审计事件,这个机制的使用者应是有限的授权用户;
信息安全系统风险评估-脆弱性识别-操作系统脆弱性表格-《GBT20272-2007》
服务器脆弱性识别表格依据《GB/T20272-2007操作系统安全技术要求》中第三级---安全标记保护级所列举内容编制。
项目子项内容是否符合备注安全功能身份鉴别a) 按GB/T 20271-2006 中 6.3.3.1.1 和以下要求设计和实现用户标识功能:——凡需进入操作系统的用户,应先进行标识(建立账号);——操作系统用户标识应使用用户名和用户标识(UID),并在操作系统的整个生存周期实现用户的唯一性标识,以及用户名或别名、UID 等之间的一致性;b) 按GB/T 20271-2006 中 6.3.3.1.2 和以下要求设计和实现用户鉴别功能:——采用强化管理的口令鉴别/基于令牌的动态口令鉴别/生物特征鉴别/数字证书鉴别等机制进行身份鉴别,并在每次用户登录系统时进行鉴别;——鉴别信息应是不可见的,在存储和传输时应按GB/T 20271-2006 中6.3.3.8 的要求,用加密方法进行安全保护;——过对不成功的鉴别尝试的值(包括尝试次数和时间的阈值)进行预先定义,并明确规定达到该值时应采取的措施来实现鉴别失败的处理。
c) 对注册到操作系统的用户,应按以下要求设计和实现用户-主体绑定功能:——将用户进程与所有者用户相关联,使用户进程的行为可以追溯到进程的所有者用户;——将系统进程动态地与当前服务要求者用户相关联,使系统进程的行为可以追溯到当前服务的要求者用户。
自主访问控制a) 允许命名用户以用户的身份规定并控制对客体的访问,并阻止非授权用户对客体的访问。
b) 设置默认功能,当一个主体生成一个客体时,在该客体的访问控制表中相应地具有该主体的默认值;c) 有更细粒度的自主访问控制,将访问控制的粒度控制在单个用户。
对系统中的每一个客体,都应能够实现由客体的创建者以用户指定方式确定其对该客体的访问权限,而别的同组用户或非同组的用户和用户组对该客体的访问权则应由创建者用户授予;d) 自主访问控制能与身份鉴别和审计相结合,通过确认用户身份的真实性和记录用户的各种成功的或不成功的访问,使用户对自己的行为承担明确的责任;e) 客体的拥有者应是唯一有权修改客体访问权限的主体,拥有者对其拥有的客体应具有全部控制权,但是,不允许客体拥有者把该客体的控制权分配给其他主体;f) 定义访问控制属性,并保护这些属性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
风险处理计划
序号
资产名称
风险
风险处理选项
风险处理措施
责任人
计划完成时间
1
台式机
(网关/SVN服务器)
台式机
(Bugzilla/FTP/Web服务器)
机架式服务器(Mail服务器)
操作系统补丁未及时安装
降低
实施定期升级补丁
物理访问控制欠缺
安装机房门禁系统
2
台式机(oracle服务器)
重要资产面临的信息安全脆弱性汇总表
表2-1重要资产脆弱性汇总表
序号
资产名称
脆弱性名称
1
台式机(FTP/Web服务器)
台式机(网关/SVN服务器)
台式机(Trac服务器)
安装与维护缺乏管理
操作系统补丁未及时安装
操作系统存在弱口令
操作系统的口令策略没有启用
操作系统的帐户锁定策略没有启用
操作系统开放多余服务
缺少电磁防护
物理访问控制欠缺
设备性能不足
2
机架式服务器(Mail服务器)
安装与维护缺乏管理
操作系统补丁未及时安装
操作系统存在弱口令
操作系统的口令策略没有启用
操作系统的帐户锁定策略没有启用
操作系统开放多余服务
缺少电磁防护
物理访问控制欠缺
3
笔记本电脑
笔记本电脑
操作系统补丁未安装
操作系统开放多余服务
操作系统存在弱口令
10
机房管理员
没有适当的奖惩规则
没有正式的保密协议
11
服务器管理员
没有适当的奖惩规则
没有正式的保密协议
12
总务经理
没有适当的奖惩规则
没有正式的保密协议
附件:风险处理计划
根据本次风险评估结果,对不可接受的风险进行处理。在选取控制措施和方法时ห้องสมุดไป่ตู้结合公司的财力、物力和资产的重要度等各种因素,制定如下风险处理计划。
操作系统的口令策略没有启用
病毒码无法自动更新
操作系统的帐户锁定策略没有启用
4
台式机
操作系统补丁未安装
病毒码无法自动更新
操作系统开放多余服务
5
SVN业务系统
未设置用户登录失败门限与超过门限后的处理措施
无法保证用户使用的口令达到一定的质量要求
无法检测存储的重要信息、数据是否出现完整性错误
重要信息、数据无加密措施,以明文传输
6
Iptables防火墙系统
安全保障设备的其它配置不当
安装与维护缺乏管理
缺少操作规程和职责管理
未启用日志功能
7
项目开发资料
没有访问控制策略或未实施
信息资产没有清晰的分类标志
8
项目开发文件
没有访问控制策略或未实施
信息资产没有清晰的分类标志
9
总务相关资料
没有访问控制策略或未实施
信息资产没有清晰的分类标志
设备性能不足
重新分配台式机的服务器功能;优化系统配置
操作系统补丁未及时安装
实施定期升级补丁
物理访问控制欠缺
机械锁
安装机房门禁系统
3
笔记本电脑(XXX)
笔记本电脑(XXX)
台式机(XXX)
病毒码无法自动更新
升级系统防毒软件