國家電子政務工程建設工程非涉密信息系統信息安全風險評估報告格式項目名稱：工程建設單位：風險評估單位：年 月日目 錄一、風險評估工程概述 1工程工程概況 1建設工程根本信1建設單位根本信1承建單位根本信2風險評估實施單位根本狀況 2二、風險評估活動概述 2風險評估工作組織治理 2風險評估工作過程 2依據的技術標準及相關法規文件 2保障與限制條件 3三、評估對象 3評估對象構成與定級 3網絡構造3業務應3子系統構成及定3評估對象等級保護措施 3XX子系統的等級保護措3子系統N的等級保護措3四、資產識別與分析 4資產類型與賦值 4資產類型 4資產賦值 4關鍵資產說明 4五、威逼識別與分析 4威逼數據采集 5威逼描述與分析 5威逼源分5威逼行為分析 5威逼能量分析 5威逼賦值 5六、脆弱性識別與分析 5常規脆弱性描述 5治理脆弱5網絡脆弱5系統脆弱性 5應用脆弱性 5數據處理和存儲脆弱6運行維護脆弱6災備與應急響應脆弱6物理脆弱性 6脆弱性專項檢測 6木馬病毒專項檢6滲透與攻擊性專項測6關鍵設備安全性專項測6設備選購和維保效勞專項檢6其他專項檢測 6安全保護效果綜合驗6脆弱性綜合列表 6七、風險分析 6關鍵資產的風險計算結果 6關鍵資產的風險等級 7風險等級列表 7風險等級統計 7基于脆弱性的風險排7風險結果分析 7八、綜合分析與評價 7九、整改意見 7附件1：治理措施表 8附件2：技術措施表 9附件3：資產類型與賦值表 11附件4：威逼賦值表 11附件5：脆弱性分析賦值表 12一、風險評估工程概述工程工程概況建設工程根本信息工程工程名稱工程工程名稱工程工程批復的建設內容非涉密信息系統局部的建設內容相應的信息安全保護系統建設內容工程完成時間工程試運行時間建設單位根本信息工程建設牽頭部門部門名稱部門名稱工程責任人通信地址聯系電子郵件工程建設參與部門部門名稱部門名稱工程責任人通信地址聯系電子郵件如有多個參與部門，分別填寫上1承建單位根本信息如有多個承建單位，分別填寫下表。企業名稱企業名稱企業性質是國內企業/還是國外企業法人代表通信地址聯系電子郵件風險評估實施單位根本狀況評估單位名稱評估單位名稱法人代表通信地址聯系電子郵件二、風險評估活動概述風險評估工作組織治理〔含評估人員構成保密措施。風險評估工作過程工作階段及具體工作內容.依據的技術標準及相關法規文件2保障與限制條件限制條件。三、評估對象評估對象構成與定級網絡構造文字描述網絡構成狀況、分區狀況、主要功能等，供給網絡拓撲圖。業務應用文字描述評估對象所承載的業務，及其重要性。子系統構成及定級保護等級定級狀況表：各子系統的定級狀況表序號序號子系統名稱安全保護等級其中業務信息安全等級其中系統效勞安全等級評估對象等級保護措施范圍內的子系統各自所實行的安全保護措施，以及等級保護的測評結果。依據需要，以下子名目依據子系統重復。XX子系統的等級保護措施依據等級測評結果，XX子系統的等級保護治理措施狀況見附表一。依據等級測評結果，XX子系統的等級保護技術措施狀況見附表二。子系統N的等級保護措施3四、資產識別與分析資產類型與賦值資產類型3《資產類型與賦值表》。資產賦值填寫《資產賦值表》。序號資產編號序號資產編號資產名稱子系統資產重要性關鍵資產說明險評估的重點對象，并以清單形式列出如下：關鍵資產列表號子系統名稱應用資產重要程度權重其他說明五、威逼識別與分析對威逼來源〔內部/外部；主觀/不行抗力等〕、威逼方式、發生的可能性，威逼主體的力量水公平進展列表分析。4威逼數據采集威逼描述與分析依據《威逼賦值表》，對資產進展威逼源和威逼行為分析。威逼源分析威逼行為分析威逼能量分析威逼賦值六、脆弱性識別與分析依據檢測對象、檢測結果、脆弱性分析分別描述以下各方面的脆弱性檢測結果和結果分析。常規脆弱性描述治理脆弱性網絡脆弱性系統脆弱性應用脆弱性5數據處理和存儲脆弱性運行維護脆弱性災備與應急響應脆弱性物理脆弱性脆弱性專項檢測木馬病毒專項檢查滲透與攻擊性專項測試關鍵設備安全性專項測試設備選購和維保效勞專項檢測其他專項檢測包括：電磁輻射、衛星通信、光纜通信等。安全保護效果綜合驗證脆弱性綜合列表七、風險分析關鍵資產的風險計算結果填寫《風險列表》風險列表資產編號資產編號資產風險值資產名稱6關鍵資產的風險等級風險等級列表填寫《風險等級表》

資產風險等級表資產編號資產編號資產風險值資產名稱資產風險等級風險等級統計

資產風險等級統計表風險等級風險等級資產數量所占比例基于脆弱性的風險排名基于脆弱性的風險排名表脆弱性脆弱性風險值所占比例風險結果分析八、綜合分析與評價九、整改意見71：治理措施表序號序號層面/方面安全掌握/措施落實局部落實沒有落實不適用治理制度安全治理制度制定和公布評審和修訂崗位設置人員配備安全治理機構授權和審批溝通和合作審核和檢查人員錄用人員離崗人員安全治理人員考核安全意識教育和培訓外部人員訪問治理系統定級安全方案設計產品選購自行軟件開發外包軟件開發系統建設治理工程實施測試驗收系統交付系統備案安全效勞商選擇8序號序號層面/方面安全掌握/措施落實局部落實沒有落實不適用環境治理資產治理介質治理設備治理監控治理和安全治理中心網絡安全治理系統運維治理系統安全治理惡意代碼防范治理密碼治理變更治理備份與恢復治理安全大事處置應急預案治理小計2：技術措施表序序號1層面/方面安全掌握/措施落實局部落實沒有落實不適用物理位置的選擇物理訪問掌握防盜竊和防破壞防雷擊防火物理安全防水和防潮防靜電溫濕度掌握電力供給電磁防護9網絡構造安全網絡訪問掌握網絡安全審計網絡安全主機安全應用安全數據安全及備份與恢復

邊界完整性檢查網絡入侵防范惡意代碼防范網絡設備防護身份鑒別訪問掌握安全審計剩余信息保護入侵防范惡意代碼防范資源掌握身份鑒別訪問掌握安全審計剩余信息保護通信完整性通信保密性抗抵賴軟件容錯資源掌握數據完整性數據保密性備份和恢復103：資產類型與賦值表針對每一個系統或子系統，單獨建表類別類別工程子項號資產名稱資產權重明威逼操濫行身威逼操濫行身口密漏拒惡竊物社意通數資產名稱 編號 作用為份令碼洞絕意取理會外信據失授抵假攻分利服代數破工故中受誤權賴冒擊析用務碼據壞程障斷損11編號檢測項檢測子項編號檢測項檢測子項脆弱性作用對象賦值潛在影機構、制度、人員安全策略1治理脆弱性檢測檢測與響應脆弱性日常維護……網絡拓撲及構造脆弱性網絡設備脆弱性2網絡脆弱性檢測網絡安全設備脆弱性……操作系統脆弱性3系統脆弱性檢測數據庫脆弱性……12網絡效勞脆弱性4網絡效勞脆弱性4應用脆弱性檢測……數據處理5數據處理和存儲脆弱性數據存儲脆弱性……安全大事治理6運行維護脆弱性……數據備份7災備與應急響應脆弱性應急預案及演練……環境脆弱性設備脆弱性8物理脆弱性檢測存儲介質脆弱性…………遠程掌握木馬9遠程掌握木馬9木馬病毒檢測惡意插件……辦公區生產區10滲透與攻擊性檢測現場滲透測試效勞區跨地區遠程滲透測試關鍵設備一11關鍵設備安全性專關鍵設備二項檢測……設備選購環節12設備選購和維保服維護環節務……13其他檢測……XX3000社會實踐只是一種磨練的過程。對于結果，我們應當有這樣的胸襟：不XX3000小草用綠色證明自己，鳥兒用歌聲證明自己，我們要用行動證明自己。奠基吧!在現今社會，聘請會上的大字板都總寫著“有閱歷者優先”,可是還在社會閱歷又會擁有多少呢?為了拓展自身的學問面，擴大與社會的接觸面，真誠，盡管是大學高校，學生還終歸保持著學生身份。而走進企業，接觸各15很深。在學校，理論學習的很多，而且是多方面的，幾乎是面面俱到的，而的那么吃力呢?求，如今的大學生身在校園，心兒卻更加開闊，他們期望自己盡可能早地接大學生打工已成為一種勢不行擋的社會潮流，大學生的價值取向在這股潮流對于大學生打工，始終是”仁者見仁，智者見智“,很多人的看法不盡人生模式，我們有理由走自己選擇的人生路，只要把握住自己，把握好學習大學這個人生階段過得豐富多彩。入，就可以毫不遲疑的參與其中。16感興奮!在學校上課時都是教師在教授，學生聽講，理論占主體，而我對知但在工廠里，數字確定不行以錯，由于質量是企業第一生命，質量不行，企率也會隨之下降，企業就會在競爭的浪潮中失敗。題，算出一個程式就可以了，但這里更需要的是與實際相結合，沒有實際，來就行了，在工廠里出錯是要負責任的，這關乎工廠的利益存亡。總之，在在收獲，是對”有閱歷者優先“的感悟。……在我的打工生活中，我也明白了很多：在日常的工作中上級欺壓、責備17從哪里爬起來，這才是我所應當做的。我也從工作中學習到了人際交往和待人處事的技巧。在人與人的交往中人往往是很執著的。可是假設你只問耕耘不問收獲，那么你肯定會交得到很可斤斤計較，不行強求對方付出與你對等的真情，要知道賜予比獲得更令人必需有主動性和樂觀性，對成功要有信念，要學會和四周的人溝通思想、關打工的日子，有喜有憂，有歡快，也有苦累，或許這就是打工生活的全的人有過這種感覺，但總的來說，這次的打工生活是我人生中邁向社會的重的，這也算是我的一分財寶吧。現今，在人才市場上大學生已不是什么”搶手貨“,而在每個用人單位求有工作閱歷。所以，大學生不僅僅要有理論學問，工作閱歷的積存對將來很簡潔，同等學歷去應聘一份工作，公司固然更看重個人的相關工作閱歷。18生選擇了寒期打工。寒假雖然只有短短的一個月，但是在這段時間里，我們辛苦，熬煉一下意志品質，同時積存一些社會閱歷和工作閱歷。這些閱歷是形資產“,真正到了關鍵時刻，它們的作用就會顯現出來。大學生除了學習書本學問，還需要參與社會實踐。由于很多的大學生都窗外事，一心只讀圣賢書“的人不是現代社會需要的人才。大學生要在社會段，更重要的是借機培育自己的創業和社會實踐力量。現在的聘請單位越來越看重大學生的實踐和動手力量以及與他人的交際只要是自己所能承受的，就應當把握全部的時機，正確衡量自己，充分發揮以盡快走上軌道。除了工作中我學到很多很多在學習中無法學到的學問和閱歷外，在我看19在我們的小組會議里，我變得很自信，我勇于在大家面前表達我的看法，勇甚者，在每一次活動中，我都踴躍參與，表現相當樂觀。組員竟然不