XX單位XXX信息系統信息安全風險評估報告項目名稱：XX單位XXX信息系統風險評估委托單位：XX單位評估單位：報告時間：2024年3月 聲明XXX公司依據相應技術標準和有關法律法規實施信息系統安全風險評估。本報告中給出的結論僅對被評估系統的當時狀況有效，當評估后系統出現任何變更時，涉及到的任何模塊（或子系統）都應重新進行評估，本評估結果不再適用。系統被評估時的基本狀況將在“被測系統基本情況”中給出。報告中描述的被測系統存在的安全問題，不限于報告中指出的位置。在任何情況下，若需引用本報告中的結果或數據都應保持其本來的意義，不得擅自進行增加、修改、偽造或掩蓋事實。為保證系統所屬方的利益，本報告僅提供給被測系統所屬方，XXX公司不向第三方提供（乙方的上級主管機關除外），并為其保密。被測方不能將此報告或報告中的某一部分拷貝或復制，作為廣告宣傳材料。本報告結論的有效性建立在用戶提供材料的真實性基礎上。XX單位電子政務信息系統風險評估項目項目名稱XX單位XXX信息系統風險評估測試類別風險評估委托日期2024年3月委托單位XX單位聯系人XXX聯系電話1XXXXXXXXXX評估依據《信息安全技術信息安全風險評估規范》（GB/T20984-2007）《信息技術信息安全管理實用規則》（GB/T22081-2008)參考依據（不在認可能力范圍內）《信息系統安全等級保護基本要求》（GB/T22239-2008）評估時間2024年3月16日至2024年3月31日評估結論XX單位從當前業務的安全需求出發，對被測的信息系統采取了相應的安全控制措施，經實際安全測試表明，已有的安全措施對保障系統業務的正常運行是有效的且可行的。但被評估信息系統還存在一定的安全風險：在物理安全方面存在訪問控制管理問題，易引發防盜及物理破壞等風險；在網絡安全方面存在單點故障風險，另外部分安全設備未采取雙因子認證方式登錄，存在安全風險；希望對相關問題保持關注，并盡快采取相應的控制措施，以確保系統穩定、安全運行。XXX公司2024年03月31日備注無審核批準編制人編制日期年月日審核人審核日期年月日批準人批準日期年月日目錄TOC\o"1-2"\h\z\u1. 概述 11.1. 評估綜述 11.2. 評估范圍 11.3. 評估目的 41.4. 評估依據 41.5. 風險評估項目組成員 41.6. 評估流程 51.7. 報告分發范圍 72. 評估方法 82.1. 訪談 82.2. 檢查 82.3. 測試 83. 資產重要性識別 93.1. 資產分類及調查 93.2. 資產賦值及重要資產選取 103.3. 關鍵資產、關鍵系統單元的確定過程 104. 威脅性識別 124.1. 威脅識別 124.2. 威脅嚴重程度 125. 脆弱性識別 155.1. 脆弱性類型 155.2. 脆弱性嚴重程度賦值表 166. 風險分析 176.1. 風險分析方法 176.2. 風險計算 177. 被測系統描述 187.1. 已落實的安全措施 188. 被測信息系統資產識別 208.1. 資產重要性識別結果 208.2. 關鍵信息資產、關鍵系統單元的確定結果 219. 被測信息系統威脅性識別結果 239.1. 物理、環境威脅列表 239.2. 網絡威脅列表 239.3. 主機/數據威脅列表 249.4. 應用威脅列表 259.5. 管理威脅列表 269.6. 威脅匯總 2710. 被測信息系統脆弱性識別結果 2810.1. 技術脆弱性識別結果 2810.2. 技術脆弱性匯總 3410.3. 管理脆弱性匯總 3511. 風險列表 3611.1. 技術風險列表 3611.2. 管理風險程度列表 4412. 評估結論 4513. 安全建議 4613.1. 風險處理方式 4613.2. 風險處理建議 4613.3. 技術安全建議 47信息系統風險評估基本信息表信息系統項目名稱XX單位XXX系統風險評估項目委托單位單位名稱XX單位單位地址郵政編碼聯系人姓名職務/職稱所屬部門信息中心辦公電話移動電話電子郵件評估單位單位名稱單位代碼通信地址郵政編碼聯系人姓名職務/職稱所屬部門辦公電話移動電話電子郵件XX單位門戶網站信息安全風險評估報告第8頁/共45頁XX單位電子政務信息系統風險評估【2024版】XX單位電子政務信息系統風險評估【2024版】第7頁/共47頁概述評估綜述2024年3月，受XX單位委托，XXX公司對XX單位電子政務系統進行風險評估。通過評估，在堅持科學、客觀、公正原則的基礎上，全面了解系統當前的安全狀況，分析系統所面臨的各種風險，根據評估結果發現系統存在的安全問題，并對嚴重的問題提出相應的風險控制策略。整個風險評估過程共分三個階段進行：風險評估準備階段、現場評估階段和分析與報告編制階段。整個評估過程采用的評估方法有用戶訪談、系統分析、現場核查、手工驗證、安全工具掃描等。通過現場評估，形成一系列的重要資產列表、威脅清單和脆弱性清單。對于資產、威脅、脆弱性三要素進行關聯分析，評估各資產面臨的安全風險。在明確資產面臨的風險后，根據用戶的網絡需求和安全要求，結合資產風險的大小、存在的脆弱性或面臨威脅的實際情況，有針對性地提出能夠有效地消除脆弱性和控制威脅的管理或技術方面的整改措施。最后，綜合前面各階段的工作成果，形成信息安全風險評估報告。評估范圍本次信息系統風險評估的范圍包括XX單位信息系統所屬網絡、安全設備、主機及應用系統。本次風險評估主要包括兩個方面的內容：一是技術安全評估，主要包括物理安全、網絡安全、主機安全、應用安全和數據安全等五個層面；二是管理安全評估，主要包括安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理、信息安全方針、信息安全組織、資產管理、人力資源安全、物理和環境安全、通信和操作管理、訪問控制、信息系統獲取、開發和維護、信息安全事件、業務連續性管理、符合性等方面。物理和環境對象：序號名稱位置用途測試編號1機房辦公樓3樓關鍵設備的物理環境網絡層檢測對象：序號名稱型號測試編號1核心交換機華三E7500SDJT-WLSB-012匯聚交換思科2950SDJT-WLSB-02網絡層安全設備檢測對象：序號名稱型號測試編號1防火墻天融信NGFW4000SDJT-AQSB-012主機監控與審計系金盾CIS7.0SDJT-AQSB-023入侵防御檢測迪普IPS2000-GS-NSDJT-AQSB-034防病毒墻迪普IPS2000-AVSDJT-AQSB-045WEB應用防火墻綠盟WAF-P300ASDJT-AQSB-056流量控制系統迪普UAG3000-GSSDJT-AQSB-06主機層檢測對象：序號名稱硬件型號操作系統/軟件版本測試編號門戶網站系統服務器HP-GL460Windowsserver2008SDJT-FWQ-01門戶網站數據庫HP-GL460RedhatlinuxSDJT-FWQ-02應用層檢測對象：序號名稱部署位置測試編號門戶網站機房SDJT-YINGY-01其他電子政務系統機房SDJT-YINGY-02管理層檢測對象：序號文檔要求相關文檔名稱1機構安全方針和政策方面的管理制度《XX單位信息安全管理制度匯編》2部門設置、崗位設置及工作職責定義方面的管理制度《XX單位信息安全管理制度匯編》3授權審批、審批流程等方面的管理制度《XX單位信息安全管理制度匯編》4安全審核和安全檢查方面的管理制度《XX單位信息安全管理制度匯編》5管理制度、操作規程修訂、維護方面的管理制度《XX單位信息安全管理制度匯編》6人員錄用、離崗、考核等方面的管理制度《XX單位信息安全管理制度匯編》7人員安全教育和培訓方面的管理制度《XX單位信息安全管理制度匯編》8第三方人員訪問控制方面制度《XX單位信息安全管理制度匯編》9工程實施過程管理方面的管理制度《XX單位信息安全管理制度匯編》10產品選型、采購方面管理制度《XX單位信息安全管理制度匯編》11軟件外包開發或自我開發方面的管理制度《XX單位信息安全管理制度匯編》12測試、驗收方面的管理制度《XX單位信息安全管理制度匯編》13機房安全管理方面的安全制度《XX單位信息安全管理制度匯編》14辦公環境安全管理方面的管理制度《XX單位信息安全管理制度匯編》15資產、設備、介質安全管理方面的管理制度《XX單位信息安全管理制度匯編》16信息分類、表示、發布、使用方面的管理制度《XX單位信息安全管理制度匯編》17配套設置、軟硬件維護方面的管理制度《XX單位信息安全管理制度匯編》18網絡安全管理（網絡配置、賬號管理等）方面的管理制度《XX單位信息安全管理制度匯編》19系統安全管理（系統配置、賬號管理等）方面的管理制度《XX單位信息安全管理制度匯編》20系統監控、風險評估、漏洞掃描方面的管理制度《XX單位信息安全管理制度匯編》21病毒防范方面的管理制度《XX單位信息安全管理制度匯編》22系統變更控制方面的管理制度《XX單位信息安全管理制度匯編》23密碼管理方面的管理制度《XX單位信息安全管理制度匯編》24備份和恢復方面的管理制度《XX單位信息安全管理制度匯編》25安全事件報告和處置方面管理制度《XX單位信息安全管理制度匯編》26應急響應方法、應急響應計劃等方面的文件《XX單位信息安全管理制度匯編》27其他文檔評估目的通過本次風險評估，對XX單位電子政務信息系統中主要網絡設備和應用主機、數據中心主機房的安全管理和運行維護現狀做出細致客觀地調研和了解，通過綜合分析，找出潛在的安全風險和威脅，提出XX單位電子政務在體系化信息安全管理制度建設及信息系統基礎建設、運維管理、安全技術防范等環節的合理化建議，為XX單位制定信息安全管理策略提供數據參考，為XX單位電子政務信息系統的安全運行、整體防御提供技術保障。評估依據為保證項目的實施質量和圓滿完成本次項目的項目目標，在風險評估項目的設計規劃中將遵循以下標準：《信息安全技術信息安全風險評估規范》（GB/T20984-2007）《信息技術信息安全管理實用規則》（GB/T22081-2008)參考標準：《信息系統安全等級保護基本要求》（GB/T22239-2008）風險評估項目組成員受XX單位的委托本次信息安全風險評估項目由XX單位與XXX公司共同成立風險評估項目小組。其中項目組成員組成如下：XX單位項目組成員如下：項目組長：項目成員：XXX公司項目組成員如下：項目組長：項目組成員：評估流程整個評估工作的流程如下XX單位電子政務信息系統信息安全風險評估的過程如下：風險評估準備工作系統調研03月16日至03月17日，評估項目組在相關部門員工的配合下完成XX單位電子政務信息系統信息安全風險評估項目調研。其中：03月16日，項目組提交了《XX單位__WP-ZK-021至039調查表格》（以下簡稱“系統調查表”），細化了調研內容并給出了填寫范例。03月16日，評估項目組收集了技術文檔，并結合系統調查表反饋結果對目標系統基本情況進行了針對性的訪談。從系統建設人員的角度了解了目標系統的業務流程、關鍵數據、已有的安全措施以及相關軟件系統的情況，并對目標系統中已經部署的主機、網絡互聯、安全設備以及運行環境，安全管理評估小組則收集了與目標系統相關的安全管理文檔。方案編制階段03月17日，評估項目組完成《XX單位電子政務信息系統風險評估項目實施方案》，并獲得委托方認可。現場評估階段03月26日-27日，評估項目組完成了XX單位電子政務信息系統現場評估工作。其中：03月26日上午，評估項目組與委托方相關人員針對現場評估實施計劃進行了溝通，初步確定了主機、網絡、應用、管理以及掃描的時間安排。委托方組織評估項目組以及有關配合單位/部門配合人員召開了現場評估協調會，明確了評估時間安排、入場準備和現場工作內容。03月26日下午，評估項目組正式入場開始評估工作，03月27日完成所有現場評估任務。針對不同評估內容，評估項目組進行了安全管理評估、主機安全評估、數據庫安全評估、網絡安全評估、應用安全評估、漏洞掃描等，現場評估工作。在現場評估活動中，評估項目組依據作業指導書訪談了4名安全管理相關人員，查看和分析了40余份安全管理類文檔，核查了1個應用系統，2臺主機系統（WINDOWSSERVER08、Redhat）、2臺網絡設備、5臺網絡安全設備，獲取了完整的評估結果記錄。分析與報告編制階段03月27日至03月31日，評估項目組完成了評估結果記錄的整理、分析和報告編制工作。在該階段中，評估人員首先整理和匯總前期獲得的評估結果記錄，并對其進行了符合性判斷和整體分析，找出了XX單位電子政務信息系統存在的主要安全風險；其次，針對發現的安全問題提出了安全整改建議；最后編制完成評估報告。報告分發范圍本報告一正二副，其中提交XX單位正本、副本各一本，一份副本由XXX公司留存。評估方法根據《信息安全技術信息安全風險評估規范》（GB/T20984-2007）等要求，結合XX單位電子政務信息系統建設實際，經雙方商定，本次評估的主要方法是通過現場調查、系統分析、手工驗證、安全工具掃描（IBM_APPSCAN、綠盟RSAS遠程安全評估系統）進行信息資產重要性識別、威脅性識別、脆弱性識別，按照《信息安全技術信息安全風險評估規范》（GB/T20984-2007）風險計算原理對評估對象進行風險賦值，確定不可接受風險的具體范圍。訪談訪談是評估人員通過與信息系統有關人員（個人/群體）進行交流、討論等活動，獲取證據以證明信息系統安全保護措施是否有效的一種方法。檢查檢查是指評估人員通過對評估對象進行觀察、查驗、分析等活動，獲取證據以證明信息系統安全保護措施是否有效的一種方法，具體檢查方法包括文檔核查、實地察看、配置檢查三種方式。測試測試是指評估人員通過對評估對象按照預定的方法/工具使其產生特定的響應等活動，查看、分析響應輸出結果，獲取證據以證明信息系統安全保護措施是否有效的一種方法。資產重要性識別資產作為信息系統價值的體現，既是系統保護的目標，也是風險評估的對象。在風險評估工作中，風險的所有重要因素都緊緊圍繞著資產為中心，威脅、脆弱性以及風險都是針對資產而客觀存在的。資產分類及調查根據資產的表現形式，將資產分為數據、軟件、硬件、文檔、服務、人員等類型。資產分類列表分類示例數據存儲在信息介質上的各種數據資料，包括源代碼、安裝介質、數據庫數據、系統文檔、運行管理規程、計劃、報告、用戶手冊等。軟件系統運行的系統軟件：操作系統、語言包、工具軟件、各種庫等；運行的應用軟件：外部購買的應用軟件和開發的應用軟件等。硬件系統網絡設備：路由器、網關、交換機等；計算機設備：服務器、工作站、臺式計算機、移動計算機等；存儲設備：磁帶機、磁盤陣列等；移動存儲設備：磁帶、光盤、軟盤、U盤、移動硬盤等；傳輸線路：光纖、雙絞線等；安全保障設備：防火墻、入侵檢測系統、身份驗證系統等；其它電子設備：打印機、復印機、掃描儀、傳真機等。服務辦公服務：為提高效率而開發的管理信息系統（MIS），它包括各種內部配置管理、文件流轉管理等服務；網絡服務：各種網絡設備、設施提供的網絡連接服務；信息服務：對外依賴該系統開展服務而取得業務收入的服務。文檔紙質的各種文件、傳真、電報、財務報告、發展計劃等。環境和基礎設施系統運行環境和保障設備：動力保障設備（UPS、變電設備等）、空調設備、保險柜、文件柜、門禁系統、消防設施等。人員掌握重要信息和核心業務的人員（如主機維護主管、網絡維護主管、應用項目經理及網絡研發人員等），內部普通用戶,外來人員及其他人員。其它企業形象，客戶關系，維保，第三方服務等。資產賦值及重要資產選取為保證風險評估工作的進度要求和質量要求，不可能對所有資產做全面分析，評估成員根據業務重要性只選取其中的重要資產進行分析。首先，通過資產的保密性、完整性和可用性三個方面的程度分別確定；然后按照一定的算法計算該資產的總體賦值。資產的賦值采用定性的相對等級的方式。資產價值的等級分為五級，從1到5由低到高分別代表五個級別的資產相對價值，等級越大，資產越重要。根據資產賦值結果，我們選取資產賦值大于等于3的資產作為重要資產，并主要圍繞重要資產展開后續實施步驟。資產重要性量化值表等級標識定義5很高機密性：該資產涉及組織的核心機密，一旦泄漏會對組織造成極大損害。完整性：該資產完整性破壞會對組織造成極大損害。可用性：該資產對于服務的連續性要求以及業務對該資產的依賴程度極大。4高機密性：該資產涉及組織的高機密，一旦泄漏會對組織造成很大損害。完整性：該資產完整性破壞會對組織造成很大損害。可用性：該資產對于服務的連續性要求以及業務對該資產的依賴程度很大。3中等機密性：該資產涉及組織的較高機密，一旦泄漏會對組織造成較大損害。完整性：該資產完整性破壞會對組織造成較大損害。可用性：該資產對于服務的連續性要求以及業務對該資產的依賴程度較大。2低機密性：該資產涉及組織的普通機密，一旦泄漏對組織不會造成太大損害。完整性：該資產完整性破壞不會對組織造成太大損害。可用性：該資產對于服務的連續性要求以及業務對該資產的依賴程度不高。1很低機密性：該資產不涉及組織機密，一旦泄漏不會對組織造成損害。完整性：該資產完整性破壞不會對組織造成損害。可用性：該資產沒有服務的連續性要求，其他業務對該資產沒有依賴性。關鍵資產、關鍵系統單元的確定過程在風險評估整個過程中，關鍵資產是信息系統所承載業務數據和該業務所提供的服務，支撐關鍵資產的核心部分定義為支撐設備，如數據庫服務器、應用服務器等。信息系統的基礎設施如支撐設備、交換機、防火墻等我們稱之為系統單元，在它們上安裝的操作系統、數據庫、應用軟件等，我們稱之為系統組件。通過業務流程的分析劃分系統單元，并將對業務開展起關鍵作用的系統單元定義為關鍵系統單元。在系統單元、系統組件均可作為核查測試的測試對象。如圖：系統單元作為提供系統服務、網絡服務、數據服務的實體，既包括相關設備的物理實體，也包括在其上運行的系統軟件、公共應用平臺軟件和專用軟件。系統單元編號規則為：單位簡稱+資產類型+序號，其中：單位簡稱：SDJT代表XX單位。資產類型：FWQ代表服務器；WLSB代表網絡設備；JF代表中心數據機房；YINGY代表應用系統。威脅性識別威脅是指可能對資產或組織造成損害事故的潛在原因。作為風險評估的重要因素，威脅是一個客觀存在的事物，無論對于多么安全的信息系統，它都存在。威脅識別威脅的主要來源列表來源描述環境因素斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災、火災、地震、意外事故等環境危害或自然災害，以及軟件、硬件、數據、通訊線路等方面的故障人為因素惡意人員不滿的或有預謀的內部人員對信息系統進行惡意破壞；采用自主或內外勾結的方式盜竊機密信息或進行篡改，獲取利益外部人員利用信息系統的脆弱性，對網絡或系統的保密性、完整性和可用性進行破壞，以獲取利益或炫耀能力非惡意人員內部人員由于缺乏責任心，或者由于不關心或不專注，或者沒有遵循規章制度和操作流程而導致故障或信息損壞；內部人員由于缺乏培訓、專業技能不足、不具備崗位技能要求而導致信息系統故障或被攻擊威脅嚴重程度威脅嚴重程度由威脅發生可能性與破壞程度兩方面因素綜合確定。威脅發生可能性量化值列表等級標識定義5很高出現的頻率很高（或≥1次/周）；或在大多數情況下幾乎不可避免；或可以證實經常發生過4高出現的頻率較高（或≥1次/月）；或在大多數情況下很有可能會發生；或可以證實多次發生過3中等出現的頻率中等（或>1次/半年）；或在某種情況下可能會發生；或被證實曾經發生過2低出現的頻率較小；或一般不太可能發生；或沒有被證實發生過1很低威脅幾乎不可能發生；僅可能在非常罕見和例外的情況下發生按照信息系統風險評估數據采集規范-威脅列表的描述，評估成員將威脅種類劃分為以下11種類型，并依次編號（T1~T11）。威脅種類及嚴重程度量化賦值列表編號威脅種類描述威脅子類常規發生可能性常規破壞程度威脅量化值T1物理環境影響對信息系統正常運行造成影響的物理環境問題和自然災害斷電、靜電、灰塵、潮濕、溫度、鼠蟻蟲害、電磁干擾、洪災、火災、地震等低低1T2軟硬件故障對業務實施或系統運行產生影響的設備硬件故障、通訊鏈路中斷、系統本身或軟件缺陷等問題設備硬件故障、傳輸設備故障、存儲媒體故障、系統軟件故障、應用軟件故障、數據庫軟件故障、開發環境故障等低高3T3無作為或操作失誤應該執行而沒有執行相應的操作，或無意執行了錯誤的操作維護錯誤、操作失誤等低中2T4惡意代碼故意在計算機系統上執行惡意任務的程序代碼病毒、特洛伊木馬、蠕蟲、陷門、間諜軟件、竊聽軟件等中高4T5越權或濫用通過采用一些措施，超越自己的權限訪問了本來無權訪問的資源，或者濫用自己的權限，做出破壞信息系統的行為非授權訪問網絡資源、非授權訪問系統資源、濫用權限非正常修改系統配置或數據、濫用權限泄露秘密信息等高高5T6物理攻擊通過物理的接觸造成對軟件、硬件、數據的破壞物理接觸、物理破壞、盜竊等低高3T7網絡攻擊利用工具和技術通過網絡對信息系統進行攻擊和入侵網絡探測和信息采集、漏洞探測、嗅探（賬號、口令、權限等）、用戶身份偽造和欺騙、用戶或業務數據的竊取和破壞、系統運行的控制和破壞等高高5T8泄密信息泄露給不應了解的他人內部信息泄露、外部信息泄露等高高5T9篡改非法修改信息，破壞信息的完整性使系統的安全性降低或信息不可用篡改網絡配置信息、篡改系統配置信息、篡改安全配置信息、篡改用戶身份信息或業務數據信息等高高5T10抵賴不承認收到的信息和所作的操作和交易原發抵賴、接收抵賴、第三方抵賴等低中2T11管理不到位安全管理無法落實或不到位，從而破壞信息系統正常有序運行管理制度和策略不完善、管理規程缺失、職責不明確、監督控管機制不健全等高中4上面的量化分析是針對信息系統全局進行考慮，在風險分析的時候，需要考慮針對每項資產所采取的安全防護措施，適當地降低威脅值：下面是通過防護措施后各威脅可能降低的威脅值，威脅值不能為負數，最低可為0：安全措施威脅降低值安裝防火墻網絡攻擊1～2泄密0～1越權或濫用1～2篡改0～1安裝殺毒軟件惡意代碼1～2網絡攻擊1～2安裝門禁系統泄密0～1物理破壞0～1安裝機房監控系統越權或濫用0～1篡改0～1存在涵蓋相關條目的部分管理制度管理不到位0～2使用OA下發文件內容管理不到位0～2脆弱性識別資產本身存在脆弱性，如果沒有被相應的威脅利用，單純的脆弱性本身不會對資產造成損害。而且如果系統足夠強健，嚴重的威脅也不會導致安全事件發生，并造成損失。即威脅總是要利用資產的脆弱性才可能造成危害。資產的脆弱性具有隱蔽性，有些脆弱性只有在一定條件和環境下才能顯現，這是脆弱性識別中最為困難的部分。不正確的、起不到應有作用的或沒有正確實施的安全措施本身就可能是一個脆弱性。脆弱性識別是風險評估中最重要的一個環節。脆弱性識別可以以資產為核心，針對每一項需要保護的資產,識別可能被威脅利用的弱點，并對脆弱性的嚴重程度進行評估；也可以從物理、網絡、系統、應用等層次進行識別，然后與資產、威脅對應起來。脆弱性識別的依據可以是國際或國家安全標準，也可以是行業規范、應用流程的安全要求。對應用在不同環境中的相同的弱點，其脆弱性嚴重程度是不同的，評估者應從組織安全策略的角度考慮、判斷資產的脆弱性及其嚴重程度。信息系統所采用的協議、應用流程的完備與否、與其他網絡的互聯等也應考慮在內。脆弱性識別時的數據應來自于資產的所有者、使用者，以及相關業務領域和軟硬件方面的專業人員等。脆弱性識別所采用的方法主要有：問卷調查、工具檢測、人工核查、文檔查閱、滲透性測試等。脆弱性類型脆弱性識別主要從技術和管理兩個方面進行，技術脆弱性涉及物理層、網絡層、系統層、應用層等各個層面的安全問題，管理脆弱性又分為技術管理和組織管理兩方面。技術管理與具體技術活動相關，組織管理與管理環境相關。脆弱性分類表類型識別對象識別內容技術脆弱性物理環境從機房場地、機房防火、機房供配電、機房防靜電、機房接地與防雷、電磁防護、通信線路的保護、機房區域防護、機房設備管理等方面進行識別網絡結構從網絡結構設計、邊界保護、外部訪問控制策略、內部訪問控制策略、網絡設備安全配置等方面進行識別系統軟件從補丁安裝、物理保護、用戶賬號、口令策略、資源共享、事件審計、訪問控制、新系統配置、注冊表加固、網絡安全、系統管理等方面進行識別應用系統從審計機制、審計存儲、訪問控制策略、數據完整性、通信、鑒別機制、密碼保護方面識別管理脆弱性技術管理從物理和環境安全、通信與操作管理、訪問控制、系統開發與維護、業務連續性等方面進行識別組織管理從安全策略、組織安全、資產分類與控制、人員安全、符合性等方面進行識別脆弱性嚴重程度賦值表脆弱性的嚴重程度以其被利用后對資產的危害程度進行賦值。脆弱性嚴重程度的等級分為五級，從1到5由低到高分別代表五個級別的資產相對價值，等級越大，資產越重要。等級標識定義5很高如果被威脅利用，將對資產造成完全損害。4高如果被威脅利用，將對資產造成重大損害。3中等如果被威脅利用，將對資產造成一般損害。2低如果被威脅利用，將對資產造成較小損害。1很低如果被威脅利用，將對資產造成的損害可以忽略。根據脆弱性嚴重程度賦值結果，我們選取脆弱性嚴重程度賦值大于等于3的資產作為評估依據，并主要圍繞重要資產展開后續實施步驟。風險分析風險分析方法本次風險分析主要采用自頂向下和自底向上分析、定性分析與定量分析相結合的分析方法。首先自頂向下識別關鍵資產、關鍵系統單元，然后自底向上采用定性、定量相結合的方法進行風險分析。風險計算在完成了資產識別、威脅識別、脆弱性識別，以及對已有安全措施確認后，將采用適當的方法與工具確定威脅利用導致安全事件發生的可能性。綜合安全事件所作用的資產價值及脆弱性的嚴重程度，判斷安全事件造成的損失對組織的影響，即安全風險。本標準給出了風險計算原理，以下面的范式形式化加以說明：風險值=EQ\R(,T*V)*EQ\R(,A*V)其中，A表示資產價值；T表示威脅發生頻率；V表示脆弱性嚴重程度。風險值的最終計算成果四舍五入取整后得到最終風險值將風險值映射到五個等級的風險如表所示：風險值1-56-1011-1516-2021-25風險等級12345風險級別極低低中高極高被測系統描述XX單位機房位于辦公大樓3層,存放信息系統設備，機房出入口安裝門禁系統，機房電源采用雙路供電，并安裝備用電源，采用機房專用空調，安裝防靜電地板，機房內安裝視頻監控系統和消防報警系統。XX單位電子政務信息系統網絡共劃分3個區域，分別是外聯區，DMZ區，安全監管區。網絡傳輸依托國際互聯網，網絡硬件由交換機、防病毒墻、主機監控與審計系統、IPS、防火墻、WEB防火墻等設備和相關安全設施構成。XX單位電子政務信息系統網絡的總體結構圖如下圖所示：已落實的安全措施XX單位在信息系統安全建設和管理方面做了大量工作，制定了系列管理制度，明確了各自崗位職責，由信息中心統一制定的《XX單位信息安全管理制度匯編》基本涵蓋了物理安全、主機安全、網絡安全、應用安全、數據安全管理內容，為XX單位電子政務信息系統安全運營提供了根本保障。訪問控制方面：XX單位對網絡進行了劃分，外聯區域部署了防火墻，并設置了嚴格的安全訪問控制策略。身份認證方面：XX單位所有設備需要使用用戶名密碼方式登錄，并且關閉服務器遠程連接的模式，且用戶名密碼由專人管理。安全審計方面：機房安裝門禁與視頻監控系統，有效記錄了機房人員出入和對服務器的本地操作。惡意代碼防范方面：XX單位統一部署卡巴斯基網絡版殺毒軟件，并且通過本地防病毒升級服務器對各終端病毒庫升級，使病毒庫保持最新，防病毒策略統一管理，統一配置。被測信息系統資產識別資產重要性識別結果XX單位召集各信息系統管理人員分別對被測信息系統的資產重要性給予了說明，我公司評估人員根據調查情況，依據雙方商定的評估方法，對被測信息系統信息資產的重要性進行了賦值如下：物理和環境：序號名稱位置用途測試編號資產賦值1機房辦公樓3樓關鍵設備的物理環境SDJT-JF-015網絡層：序號名稱型號測試編號資產賦值1核心交換機華三E7500SDJT-WLSB-0122匯聚交換思科2950SDJT-WLSB-0223防火墻天融信NGFW4000SDJT-AQSB-0144主機監控與審計系金盾CIS7.0SDJT-AQSB-0225入侵防御檢測迪普IPS2000-GS-NSDJT-AQSB-0336防病毒墻迪普IPS2000-AVSDJT-AQSB-0437WEB應用防火墻綠盟WAF-P300ASDJT-AQSB-0548流量控制系統迪普UAG3000-GSSDJT-AQSB-064主機層：序號名稱硬件型號操作系統/軟件版本測試編號資產賦值1門戶網站系統服務器HP-GL460Windowsserver2008SDJT-FWQ-0152門戶網站數據庫HP-GL460RedhatlinuxSDJT-FWQ-025應用層：序號名稱測試編號資產賦值1門戶網站SDJT-YINGY-0152其他電子政務系統SDJT-YINGY-022關鍵信息資產、關鍵系統單元的確定結果根據XX單位與現場評估人員共同確認，在本次風險評估范圍內，承載關鍵信息資產的系統單元相關信息如下表：關鍵系統單元編號單元名稱型號IP地址重要性SDJT-JF-01機房無5SDJT-AQSB-01防火墻天融信NGFW40004SDJT-AQSB-03入侵防御檢測迪普IPS2000-GS-N3SDJT-AQSB-04防病毒墻迪普IPS2000-AV3SDJT-AQSB-05WEB應用防火墻綠盟WAF-P300A4SDJT-AQSB-06流量控制系統迪普UAG3000-GS4SDJT-FWQ-01門戶網站系統服務器HP-GL4605SDJT-FWQ-02門戶網站數據庫HP-GL4605SDJT-YINGY-01門戶網站無5SDJT-YINGY-02其他電子政務系統無2被測信息系統威脅性識別結果通過評估人員對于物理環境、網絡架構、安全設備部署以及業務方式等內容的綜合分析，確定XX單位電子政務信息系統安全威脅發生的可能性的具體量化值如下表所示：物理、環境威脅列表序號關鍵系統單元資產名稱

（測試對象編號）威脅描述威脅編號已有安全措施賦值T1機房SDJT-JF-01未對機房內的重要信息系統進行劃分區域管理，造成對重要信息系統的威脅T11管理不到位無3通過檢查、分析，共發現物理環境威脅1個是管理不到位（1個），其中賦值為3的威脅為1個。網絡威脅列表序號關鍵系統單元資產名稱(測試對象編號)威脅描述威脅編號已有安全措施賦值T網絡全局1.主要路徑存在單點故障T2軟硬件故障無3防火墻SDJT-AQSB-011.僅使用用戶名密碼登錄，沒有采用兩種以上組合的鑒別技術登陸。面臨網絡攻擊風險T5：越權或濫用T7：網絡攻擊無3入侵防御檢測SDJT-AQSB-031.僅使用用戶名密碼登錄，沒有采用兩種以上組合的鑒別技術登陸。T5：越權或濫用T7：網絡攻擊無3防病毒墻SDJT-AQSB-041.僅使用用戶名密碼登錄，沒有采用兩種以上組合的鑒別技術登陸。T5：越權或濫用T7：網絡攻擊無3WEB應用防火墻SDJT-AQSB-051.僅使用用戶名密碼登錄，沒有采用兩種以上組合的鑒別技術登陸。面臨網絡攻擊風險T5：越權或濫用T7：網絡攻擊無3流量控制系統SDJT-AQSB-061.僅使用用戶名密碼登錄路由器，沒有采用兩種以上組合的鑒別技術登陸。T5：越權或濫用T7：網絡攻擊無3通過檢查、分析，共發現威脅11個，主要威脅包括：網絡攻擊(5個)、越權或濫用(5個)、軟硬件故障（1個）等威脅，其中賦值為3的威脅6個。主機/數據威脅列表序號關鍵系統單元資產名稱（測試對象編號）威脅描述威脅編號已有安全措施賦值T1門戶網站應用服務器SDJT-FWQ-011.非法登錄未限制，失敗處理功能未啟用T5：越權或濫用T9：篡改禁止遠程登錄維護12.密碼復雜度未設置，口令不定期更換即未啟用賬戶密碼策略，容易發生密碼被破解造成非授權訪問系統資源、篡改系統配置信息、篡改安全配置信息、篡改用戶身份信息或業務數據信息等。T5：越權或濫用T9：篡改禁止遠程登錄維護13.僅使用用戶名密碼登錄服務器，沒有采用兩種以上組合的鑒別技術登陸，容易發生密碼被破解造成非授權訪問系統資源、篡改系統配置信息、篡改安全配置信息、篡改用戶身份信息或業務數據信息等。T5：越權或濫用T9：篡改禁止遠程登錄維護14.默認Administrator賬號用戶名未進行重命名容易發生密碼被破解造成非授權訪問系統資源。T5：越權或濫用T9：篡改禁止遠程登錄維護12門戶網站數據庫服務器SDJT-FWQ-021.非法登錄未限制，失敗處理功能未啟用T5：越權或濫用T9：篡改禁止遠程登錄維護12.密碼復雜度未設置，口令不定期更換即未啟用賬戶密碼策略，容易發生密碼被破解造成非授權訪問系統資源、篡改系統配置信息、篡改安全配置信息、篡改用戶身份信息或業務數據信息等。T5：越權或濫用T9：篡改禁止遠程登錄維護13.僅使用用戶名密碼登錄服務器，沒有采用兩種以上組合的鑒別技術登陸，容易發生密碼被破解造成非授權訪問系統資源、篡改系統配置信息、篡改安全配置信息、篡改用戶身份信息或業務數據信息等。T5：越權或濫用T9：篡改禁止遠程登錄維護14.Oracle由于版本較低，存在多個高危險漏洞，易被利用T4：惡意代碼T5：越權或濫用T7：網絡攻擊T9：篡改在防火墻中進行嚴格的訪問控制策略23其他主機1.面臨互聯網的安全威脅4：惡意代碼T5：越權或濫用T7：網絡攻擊T9：篡改在防火墻中進行嚴格的訪問控制策略32.面臨辦公區的安全威脅T5：越權或濫用T7：網絡攻擊在防火墻中進行嚴格的訪問控制策略1通過檢查、分析，共發現主機/數據威脅23個，主要包括：越權或濫用（9個）、篡改（9個）、網絡攻擊（3個）、惡意代碼（2個），其中賦值為賦值為3的威脅為4個，賦值為2的威脅為4個，賦值為1的威脅16個。應用威脅列表序號關鍵系統單元資產名稱（測試對象編號）威脅描述威脅編號已有安全措施賦值T1門戶網站SDJT-YINGY-011.明文通信，未采用密碼技術對通信過程中的數據進行保護，未提供通信過程中完整性的保護措施，可能造成非法修改信息，破壞信息的完整性使系統的安全性降低或信息不可用。T5：越權或濫用T7：網絡攻擊T8：泄密T9：篡改無42.未限制單一用戶使用應用系統資源的范圍，容易引起濫用系統資源。T7：網絡攻擊有網絡流量限制12其他電子政務系統SDJT-YINGY-021.面臨互聯網的安全威脅T4：惡意代碼T5：越權或濫用T7：網絡攻擊T9：篡改部署WAF進行防護3通過檢查、分析，共發現應用威脅9個,主要威脅有網絡攻擊（3個）、越權或濫用（2個）、篡改（2個）、泄密（1個）及惡意代碼（1個），其中應用系統賦值為5的威脅0個，賦值為4的4個，賦值為3的威脅4個，賦值為2的威脅0個，賦值為1的威脅1個。管理威脅列表在管理方面具有較好的體系，未發現威脅威脅匯總共發現威脅44個，其中賦值為5的威脅0個，賦值為4的4個，賦值為3的威脅15個，賦值為2的威脅4個，賦值為1的17個。在發現威脅44個，其面臨的主要威脅有越權或濫用（16個）、篡改（11個）、網絡攻擊（11個）、惡意代碼（3個）、其他（3個）XX單位電子政務信息系統風險評估【2024版】XX單位電子政務信息系統風險評估【2024版】第33頁/共45頁被測信息系統脆弱性識別結果評估人員根據調查情況，依據雙方商定的評估方法，對被測信息系統脆弱性進行了測試，并得出以下統計結果。技術脆弱性識別結果 技術脆弱性主要包括物理環境、網絡設備、主機/數據和應用方面的脆弱性描述。物理環境脆弱性結果經過現場評估人員對XX單位機房的物理環境部分進行訪談和安全檢查，發現的脆弱性問題列表：檢測對象脆弱性名稱脆弱性等級機房未對機房劃分區域進行管理，區域和區域之間設置物理隔離裝置，在重要區域前未設置交付或安裝等過度區域。3通過檢查、分析，共發現物理環境脆弱性1個，其中賦值為3的脆弱性1個。網絡系統脆弱性結果經過現場評估人員對XX單位電子政務信息系統主要網絡設備進行安全檢查和測試，發現較為嚴重的脆弱性問題列表：檢測對象脆弱性名稱脆弱性等級網絡全局網絡存在較多的單點故障點，影響外網網站應用的可用性3天融信防火墻未對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別；2迪普IPS未對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別；2迪普防毒墻主要網絡設備未對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別；2綠盟WAF未對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別；2迪普流量控制系統未對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別；2通過檢查、分析，共發現網絡系統脆弱性6個，其中網絡系統賦值為3的脆弱性1個，賦值為2的脆弱性5個。主機/數據脆弱性結果經過現場評估人員對XX單位電子政務信息系統關鍵主機進行安全檢查和測試，發現較為嚴重的脆弱性問題列表：檢測對象脆弱性名稱脆弱性等級門戶網站應用服務器操作系統管理用戶身份鑒別信息未具有不易被冒用的特點，口令未有復雜度要求并定期更換；3未啟用登錄失敗處理功能，可采取結束會話、限制非法登錄次數和自動退出等措施；2未采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別。2門戶網站數據庫服務器數據庫管理用戶身份鑒別信息未具有不易被冒用的特點，口令未有復雜度要求并定期更換；3未采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別。2安全審計：審計范圍未覆蓋到服務器上的每個數據庫用戶；審計內容未包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件；審計記錄未包括事件的日期、時間、類型、主體標識、客體標識和結果等；未能夠根據記錄數據進行分析，并生成審計報表；；未保護審計進程，避免受到未預期的中斷；未保護審計記錄，避免受到未預期的刪除、修改或覆蓋等。3安全漏洞：Oracle2007年1月更新修復多個安全漏洞Oracle2007年4月更新修復多個安全漏洞Oracle2007年7月更新修復多個安全漏洞Oracle2007年10月更新修復多個安全漏洞Oracle2008年1月更新修復多個安全漏洞Oracle2008年7月更新修復多個安全漏洞Oracle2009年4月緊急補丁更新修復多個漏洞Oracle2009年7月更新修復多個安全漏洞Oracle2010年1月更新修復多個安全漏洞Oracle2010年4月緊急補丁更新修復多個漏洞Oracle2012年4月更新修復多個安全漏洞Oracle2012年7月更新修復多個安全漏洞ICMP時間戳檢測MicrosoftRDP服務器私鑰信息泄露漏洞CompaqWBEM服務器檢測5區域內的不安全節點XXXXXX均存在高風險安全漏洞5通過檢查、分析，共發現主機系統脆弱點17個，其中主機/數據脆弱性賦值為2的3個，賦值為3的3個，賦值為4的0個，賦值為5的11個。應用系統脆弱性結果經過現場評估人員對XX單位電子政務信息系統關鍵應用系統進行安全檢查和測試，發現的脆弱性問題列表：檢測對象脆弱性名稱脆弱性等級門戶網站應用系統未保證無法單獨中斷審計進程，無法刪除、修改或覆蓋審計記錄。2未采用密碼技術保證通信過程中數據的完整性。1在通信雙方建立連接之前，未利用密碼技術進行會話初始化驗證。1未對通信過程中的整個報文或會話過程進行加密。1未能夠對目標系統的最大并發會話連接數進行限制。25554544433542543534244通過檢查、分析，共發現應用系統脆弱性27個，其中應用系統脆弱性賦值為5的7個，賦值為4的9個，賦值為3的4個,賦值為2的4個,賦值為1的3個。技術脆弱性匯總在對本次規定范圍內的評估對象技術脆弱性測試中，共發現了脆弱點51個，其中賦值為5的脆弱性問題為18個；賦值為4的脆弱性問題為9個；賦值為3的為9個；賦值為2的脆弱性問題為12個；賦值為1的為3個。結果統計圖如下：管理脆弱性匯總管理脆弱性主要圍繞管理制度、管理機構、人員管理、系統建設管理、系統運維管理五個方面進行，對安全方針、信息安全組織、資產管理、人力資源安全、物理和環境安全、通信和操作管理、訪問控制、信息系統獲取、開發和維護、信息安全事件、業務連續性管理、符合性進行脆弱性識別。信息安全管理脆弱性結果經過現場評估人員對XX單位電子政務信息系統進行安全檢查和測試，未發現管理脆弱點。第24頁共229頁XX單位電子政務信息系統風險評估【2024版】第40頁/共45頁風險列表通過關鍵系統單元相關的安全威脅、脆弱性、安全措施（包括技術、管理措施和物理的保護措施）得出以下風險列表:技術風險列表物理環境風險程度列表注：A表示資產價值；T表示威脅發生頻率；V表示脆弱性嚴重程度；序號關鍵系統單元資產名稱

（測試對象編號）脆弱性描述威脅已有安全措施威脅發生率脆弱性程度資產價值風險值EQ\R(,T*V)*EQ\R(,A*V)風險等級TVA1機房SDJT-JF-01未對機房劃分區域進行管理，區域和區域之間設置物理隔離裝置，在重要區域前未設置交付或安裝等過度區域。T11管理不到位無335123物理環境風險程度匯總通過檢查、分析，共發現物理環境風險1項，其中物理環境中風險1項。網絡設備風險程度列表注：A表示資產價值；T表示威脅發生頻率；V表示脆弱性嚴重程度；序號關鍵系統單元資產名稱

（測試對象編號）脆弱性描述威脅已有安全措施威脅發生率脆弱性程度資產價值風險值EQ\R(,T*V)*EQ\R(,A*V)風險等級TVA1網絡全局網絡存在較多的單點故障點，影響門戶網站應用的可用性T2軟硬件故障無4451942天融信防火墻SDJT-AQSB-01未對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別；T7：網絡攻擊無3341023迪普IPSSDJT-AQSB-03未對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別；T5：越權或濫用T7：網絡攻擊無323624迪普防毒墻SDJT-AQSB-04主要網絡設備未對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別；T5：越權或濫用T7：網絡攻擊無323625綠盟WAFSDJT-AQSB-05未對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別；T7：網絡攻擊無324726迪普流量控制系統SDJT-AQSB-06未對同一用戶選擇兩種或兩種以上組合的鑒別技術來進行身份鑒別；T5：越權或濫用T7：網絡攻擊無32472網絡設備風險程度匯總通過檢查、分析，共發現網絡環境風險6項，其中高風險項1項，低風險項5項。主機/數據風險程度列表注：A表示資產價值；T表示威脅發生頻率；V表示脆弱性嚴重程度；序號關鍵系統單元資產名稱（測試對象編號）脆弱性描述威脅編號已有安全措施威脅發生率脆弱性程度資產價值風險值EQ\R(,T*V)*EQ\R(,A*V)風險等級TVA1門戶網站應用服務器SDJT-FWQ-01操作系統管理用戶身份鑒別信息未具有不易被冒用的特點，口令未有復雜度要求并定期更換；T5：越權或濫用T9：篡改禁止遠程登錄維護13572未啟用登錄失敗處理功能，可采取結束會話、限制非法登錄次數和自動退出等措施；T5：越權或濫用T9：篡改禁止遠程登錄維護12541未采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別。T5：越權或濫用T9：篡改禁止遠程登錄維護125412門戶網站數據庫服務器SDJT-FWQ-02數據庫管理用戶身份鑒別信息未具有不易被冒用的特點，口令未有復雜度要求并定期更換；T5：越權或濫用T9：篡改禁止遠程登錄維護13572未采用兩種或兩種以上組合的鑒別技術對管理用戶進行身份鑒別。T5：越權或濫用T9：篡改禁止遠程登錄維護12541安全審計：審計范圍未覆蓋到服務器上的每個數據庫用戶；審計內容未包括重要用戶行為、系統資源的異常使用和重要系統命令的使用等系統內重要的安全相關事件；審計記錄未包括事件的日期、時間、類型、主體標識、客體標識和結果等；未能夠根據記錄數據進行分析，并生成審計報表；；未保護審計進程，避免受到未預期的中斷；未保護審計記錄，避免受到未預期的刪除、修改或覆蓋等。T10：抵賴無335123安全漏洞：Oracle2007年1月更新修復多個安全漏洞Oracle2007年4月更新修復多個安全漏洞Oracle2007年7月更新修復多個安全漏洞Oracle2007年10月更新修復多個安全漏洞Oracle2008年1月更新修復多個安全漏洞Oracle2008年7月更新修復多個安全漏洞Oracle2009年4月緊急補丁更新修復多個漏洞Oracle2009年7月更新修復多個安全漏洞Oracle2010年1月更新修復多個安全漏洞Oracle2010年4月緊急補丁更新修復多個漏洞Oracle2012年4月更新修復多個安全漏洞Oracle2012年7月更新修復多個安全漏洞ICMP時間戳檢測MicrosoftRDP服務器私鑰信息泄露漏洞CompaqWBEM服務器檢測T4：惡意代碼T5：越權或濫用T7：網絡攻擊T9：篡改在防火墻中進行嚴格的訪問控制策略2551643不安全節點192.168.6.1、192.168.6.15、192.168.6.103、192.168.6.11、192.168.6.2、192.168.6.26、192.168.6.10、192.168.6.101、192.168.6.109、192.168.6.105等均存在高風險安全漏洞T7：網絡攻擊在防火墻中進行嚴格的訪問控制策略352123主機/數據風險程度匯總通過檢查、分析，共發現主機安全風險17項，其中高風險項1項，中風險項11項，低風險項2項、極低風險項3項。 XXXX系統安全測評報告（BJTEC-20XX-XXXX/XX）第24頁共229頁XX單位電子政務信息系統風險評估報告【2024版】第42頁/共45頁應用系統風險程度列表注：A表示資產價值；T表示威脅發生頻率；V表示脆弱性嚴重程度；序號關鍵系統單元資產名稱（測試對象編號）脆弱性描述威脅已有安全措施威脅發生率脆弱性程度資產價值風險值風險值EQ\R(,T*V)*EQ\R(,A*V)資產等級TVA1門戶網站SDJT-YINGY-011.審計策略只覆蓋系統內的管理員用戶不能及時分析發現惡意行為和誤操作。審計記錄數據只能查看不能導出或生成報表T10：抵賴無32