一、項(xiàng)目相關(guān)信息

    項(xiàng)目背景：隨著某公司信息化建設(shè)的迅速發(fā)展，特別是面向全國(guó)、面向社會(huì)公眾服務(wù)的業(yè)務(wù)系統(tǒng)陸續(xù)投入使用，對(duì)該公司的網(wǎng)絡(luò)和信息系統(tǒng)安全防護(hù)都提出了新的要求。為滿(mǎn)足上述安全需求，需對(duì)該公司的網(wǎng)絡(luò)和信息系統(tǒng)的安全進(jìn)行一次系統(tǒng)全面的評(píng)估，以便更加有效保護(hù)該公司各項(xiàng)目業(yè)務(wù)應(yīng)用的安全。
    項(xiàng)目目標(biāo)：第一通過(guò)對(duì)該公司的網(wǎng)絡(luò)和信息系統(tǒng)進(jìn)行全面的信息安全風(fēng)險(xiǎn)評(píng)估，找出系統(tǒng)目前存在的安全風(fēng)險(xiǎn)，提供風(fēng)險(xiǎn)評(píng)估報(bào)告。并依據(jù)該報(bào)告，實(shí)現(xiàn)對(duì)信息系統(tǒng)進(jìn)行新的安全建設(shè)規(guī)劃。構(gòu)建安全的信息化應(yīng)用平臺(tái)，提高企業(yè)的信息安全技術(shù)保障能力。第二通過(guò)本次風(fēng)險(xiǎn)評(píng)估，找出公司內(nèi)信息安全管理制度的缺陷，并需協(xié)助該公司建立完善的信息安全管理制度、安全事件處置流程、應(yīng)急服務(wù)機(jī)制等。提高核心系統(tǒng)的信息安全管理保障能力。
    項(xiàng)目評(píng)估范圍：總部數(shù)據(jù)中心、分公司、災(zāi)備中心。項(xiàng)目業(yè)務(wù)系統(tǒng)：核心業(yè)務(wù)系統(tǒng)、財(cái)務(wù)系統(tǒng)、銷(xiāo)售管理統(tǒng)計(jì)系統(tǒng)、內(nèi)部信息門(mén)戶(hù)、外部信息門(mén)戶(hù)、郵件系統(tǒng)、輔助辦公系統(tǒng)等。災(zāi)備中心，應(yīng)急響應(yīng)體系，應(yīng)急演練核查。
    評(píng)估對(duì)象：網(wǎng)絡(luò)系統(tǒng)：17個(gè)設(shè)備，抽樣率40%。主機(jī)系統(tǒng)：9臺(tái)，抽樣率50%。數(shù)據(jù)庫(kù)系統(tǒng)：4個(gè)業(yè)務(wù)數(shù)據(jù)庫(kù)，抽樣率100%。應(yīng)用系統(tǒng)：3個(gè)（核心業(yè)務(wù)、財(cái)務(wù)、內(nèi)部信息門(mén)戶(hù)）安全管理：11個(gè)安全管理目標(biāo)。

二、評(píng)估項(xiàng)目實(shí)施

    項(xiàng)目實(shí)施團(tuán)隊(duì)：（分工）

現(xiàn)場(chǎng)工作內(nèi)容：
    項(xiàng)目啟動(dòng)會(huì)、系統(tǒng)與業(yè)務(wù)介紹、系統(tǒng)與業(yè)務(wù)現(xiàn)場(chǎng)調(diào)查、信息資產(chǎn)調(diào)查統(tǒng)計(jì)、威脅調(diào)查統(tǒng)計(jì)、安全管理問(wèn)卷的發(fā)放回收、網(wǎng)絡(luò)與信息系統(tǒng)評(píng)估信息獲取、機(jī)房物理環(huán)境現(xiàn)場(chǎng)勘察、系統(tǒng)漏洞掃描、系統(tǒng)運(yùn)行狀況核查。
評(píng)估工作內(nèi)容：
    資產(chǎn)統(tǒng)計(jì)賦值、威脅統(tǒng)計(jì)分析并賦值、各系統(tǒng)脆弱性分析、系統(tǒng)漏洞掃描結(jié)果分析、已有安全措施分析、業(yè)務(wù)資產(chǎn)安全風(fēng)險(xiǎn)的計(jì)算與分析、編寫(xiě)評(píng)估報(bào)告。
資產(chǎn)統(tǒng)計(jì)樣例（圖表）

    威脅統(tǒng)計(jì)分析：3大類(lèi)威脅（環(huán)境、系統(tǒng)、人為），7子類(lèi)獲取威脅統(tǒng)計(jì)，7子類(lèi)，34項(xiàng)；4級(jí)威脅2子類(lèi)2項(xiàng)；3級(jí)威脅6子類(lèi)16項(xiàng)；2級(jí)威脅5子類(lèi)16項(xiàng)。
威脅統(tǒng)計(jì)分析列表（1）：

    威脅統(tǒng)計(jì)分析列表（2）：

    脆弱性分析：網(wǎng)絡(luò)問(wèn)題（高風(fēng)險(xiǎn)3個(gè)，中風(fēng)險(xiǎn)2個(gè)）主機(jī)系統(tǒng)：13個(gè)問(wèn)題（很高風(fēng)險(xiǎn)1個(gè)，高風(fēng)險(xiǎn)7個(gè)，中風(fēng)險(xiǎn)4個(gè)，低風(fēng)險(xiǎn)1個(gè)）數(shù)據(jù)庫(kù)系統(tǒng)：11個(gè)問(wèn)題（高風(fēng)險(xiǎn)7個(gè)，中風(fēng)險(xiǎn)1個(gè)，低風(fēng)險(xiǎn)3個(gè)）應(yīng)用系統(tǒng)：5個(gè)問(wèn)題（高風(fēng)險(xiǎn)3個(gè)，中風(fēng)險(xiǎn)1個(gè)，低風(fēng)險(xiǎn)1個(gè)）安全管理：13個(gè)問(wèn)題（高風(fēng)險(xiǎn)6個(gè)，中風(fēng)險(xiǎn)6個(gè)，低風(fēng)險(xiǎn)1個(gè)）。
    脆弱性分類(lèi)：網(wǎng)絡(luò)系統(tǒng)口令管理、安全審計(jì)、訪(fǎng)問(wèn)控制、資源利用、脆弱性管理、物理保護(hù)、應(yīng)急響應(yīng)、維護(hù)管理。
    脆弱性分類(lèi)：業(yè)務(wù)系統(tǒng)
標(biāo)識(shí)與鑒別、安全審計(jì)、訪(fǎng)問(wèn)控制、安全策略配置、資源利用、惡意代碼防護(hù)、脆弱性管理、傳輸與通信、業(yè)務(wù)連續(xù)性、物理保護(hù)、應(yīng)急響應(yīng)、維護(hù)管理。

脆弱性分析列表

    系統(tǒng)漏洞掃描結(jié)果分析：
    掃描主機(jī)：10臺(tái)。掃描結(jié)果：緊急風(fēng)險(xiǎn)1個(gè)（windows 2003 1個(gè)）、高風(fēng)險(xiǎn)29個(gè)（Aix 27個(gè)，windows 2003 2個(gè)）中風(fēng)險(xiǎn)：22個(gè)（Aix 12個(gè)，windows 2003 10個(gè)）。
    漏洞掃描結(jié)果分析：


    風(fēng)險(xiǎn)與計(jì)算：
    計(jì)算原理 ：風(fēng)險(xiǎn)值=R（A,T, V）=R(L(T,V),F(Ia，Va))
其中，R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù)；A表示資產(chǎn)；T表示威脅；V表示脆弱性；Ia表示安全事件所作用的資產(chǎn)價(jià)值；Va表示脆弱性嚴(yán)重程度；L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件發(fā)生的可能性；F表示安全事件發(fā)生后產(chǎn)生的損失。
    計(jì)算方法 ：我們?cè)谠撛u(píng)估項(xiàng)目中，選擇“相乘法”的風(fēng)險(xiǎn)計(jì)算方法計(jì)算業(yè)務(wù)、資產(chǎn)的風(fēng)險(xiǎn)值。
具體的計(jì)算公式為：安全事件發(fā)生后的可能性L=T*V  安全事件發(fā)生后造成的損失F=V*A  資產(chǎn)的風(fēng)險(xiǎn)值Rn=L*F  
業(yè)務(wù)的風(fēng)險(xiǎn)值R=Max(Rn)。  
    風(fēng)險(xiǎn)計(jì)算分析表：

    風(fēng)險(xiǎn)等級(jí)劃分：

    各業(yè)務(wù)系統(tǒng)安全風(fēng)險(xiǎn)等級(jí)：

    各業(yè)務(wù)系統(tǒng)安全風(fēng)險(xiǎn)統(tǒng)計(jì)圖表

    各業(yè)務(wù)系統(tǒng)安全風(fēng)險(xiǎn)統(tǒng)計(jì)圖

三、評(píng)估結(jié)論及安全建議

    結(jié)論：從整體上看該公司的信息安全狀況是比較好的，所有出現(xiàn)最高級(jí)別（5級(jí)/很高）的安全風(fēng)險(xiǎn)。很高風(fēng)險(xiǎn)級(jí)別的所占比例低于30%，且為公司的非主營(yíng)業(yè)務(wù)系統(tǒng)。公司的安全風(fēng)險(xiǎn)級(jí)別主要為“中”，占風(fēng)險(xiǎn)比列的50%
存在的風(fēng)險(xiǎn)不容忽視：
    管理制度不完善，缺少一些必要的管理制度和規(guī)范，機(jī)房?jī)?nèi)的環(huán)境防護(hù)、安全措施、控制措施均需要加強(qiáng)，操作系統(tǒng)缺少完備的演練，管理中訪(fǎng)問(wèn)權(quán)限的控制、口令加密、SNMP協(xié)議控制、審計(jì)功能開(kāi)啟并配置、實(shí)時(shí)監(jiān)控等問(wèn)題需要強(qiáng)化安全管理措施。
    安全建議：
完善安全管理制度（應(yīng)急預(yù)案、系統(tǒng)審計(jì)、人員、安全管理等）
制定其他風(fēng)險(xiǎn)級(jí)別的風(fēng)險(xiǎn)消減方案；災(zāi)備系統(tǒng)需要得到完備的演練；網(wǎng)絡(luò)及業(yè)務(wù)系統(tǒng)的安全技術(shù)措施需要加強(qiáng)。