计算机风险评估报告

计算机安全风险评估报告

XXXXXXXXXX公司

评估日期 拟 稿 人 审 核 目录

1 评估工作概述 ......................................................................................... 3

1.1 评估范围 ........................................................................................ 3 1.1.1 评估范围概述 ............................................................................. 3 1.1.2 sm计算机主要应用范围 ............................................................. 3 1.1.3 网络拓扑 ..................................................................................... 3 1.2 评估组织 ........................................................................................ 3 2 评估依据和标准 ..................................................................................... 3 3 资产识别.................................................................................................. 6

3.1 资产识别内容和方法 .................................................................... 6 4 威胁识别.................................................................................................. 6 5 脆弱性识别.............................................................................................. 7

5.1 脆弱性识别内容及方法 ................................................................ 7 5.2 脆弱性识别结果 ............................................................................ 7 6 综合风险分析 ......................................................................................... 7

6.1 风险分析方法 ................................................................................ 7 6.2 风险等级划分 ................................................................................ 7 6.3 不可接受风险划分 ........................................................................ 8 6.4 风险分析结果 .............................................................................. 8 7风险统计 ..................................................................................................... 9 8不可接受风险处理计划 ............................................................................ 9

1

风险评论结论（详细内容请添加QQ1282308814）

XXXXXXXXXXXXXXXXX 为消除不可接受的风险，相应的处理计划如下：

1） 检查sm计算机适用记录及日记内容，严格对sm计算机进行安全审计

并形成相应文档；

2） SM中间转换机设置端口访问权限，防止误操作；

评估单位 批准人

XXXXXXXXXX公司 2

1 评估工作概述

1.1 评估范围

1.1.1 评估范围概述

。 。

1.1.2 SM计算机主要应用范围

。

1.1.3 网络拓扑

。

1.1.4 评估边界

。

1.2 评估组织

。

2 评估依据和标准

1) 国家信息化领导小组《关于加强信息安全保障工作的意见》

3

（中办

发〔2003〕 27 号）

2) 国家网络与信息安全协调小组《关于开展信息安全风险评估工作的

意见》（国信办〔2006〕5 号）

3) 深圳市关于开展信息安全风险评估工作的实施意见（深科信〔2006〕268 号）

4) 信息安全技术 信息安全风险评估规范（GB/T20984-2007） 5) 信息技术安全技术信息技术安全性评估准则（GB/T18336-2001） 6) 电子计算机场地通用规范（GB/T2887-2000） 7) 计算机场地安全要求（GB9361-19）

8) 信息技术 安全技术 信息技术安全性评估准则 （GB/T

18336-2001）

9) 信息技术 信息技术安全管理指南 （GB/T 19715.1-2005） 10 ) 信息技术 信息安全管理实用规则（GB/T 19716-2005） 11) 信息安全技术 操作系统安全评估准则（GB/T 20008-2005） 12) 信息安全技术 数据库管理系统安全评估准则（GB/T

20009-2005）

13) 信息安全技术 包过滤防火墙评估准则（GB/T 20010-2005） 14) 信息安全技术 路由器安全评估准则（GB/T 20011-2005） 15) 信息安全技术 信息系统安全管理要求（GB/T 20269-2006） 16) 信息安全技术 网络基础安全技术要求（GB/T 20270-2006） 17) 信息安全技术 信息系统通用安全技术要求（GB/T20271-2006） 18) 信息安全技术 操作系统安全技术要求（GB/T 20272-2006）

4

19) 信息安全技术 数据库管理系统安全技术要求（GB/T

20273-2006）

20) 信息安全技术 网络和终端设备隔离部件测试评价方法（GB/T

20277-2006）

21) 信息安全技术 网络和终端设备隔离部件安全技术要求（GB/T

20279-2006）

22) 信息安全技术 防火墙技术要求和测试评价方法（GB/T

20281-2006）

23) 信息安全技术 信息系统安全工程管理要求（GB/T 20282-2006） 24) 信息安全技术 路由器安全技术要求（GB/T 18018-2007） 25) 信息安全技术 信息系统安全审计产品技术要求和评价方法

（GB/T 20945-2007）

26) 信息技术 安全技术 信息安全事件管理指南（GB/Z

20985-2007）

27) 信息安全技术 信息安全事件分类分级指南（GB/Z 20986-2007） 28) 信息安全技术 服务器安全技术要求（GB/T 21028-2007） 29) 信息安全技术 网络交换机安全技术要求（GB/T 21050-2007） 30) 信息技术——信息安全管理实施细则（ISO/IEC 17799:2000） 31) 信息技术——信息安全管理实施规范（ISO/IEC 27001:2005） 32) 深圳市信息安全风险评估实施指南

33) 各种检查机构运作的一般规则（ISO-IEC 17020-2004）

5

3 资产识别

3.1 资产识别内容和方法

表格 3-1 硬件资产识别表

表格 3-2 人力资产识别表

表格 3-3 业务应用资产识别表

表格 3-4 业务应用资产识别表

4 威胁识别

通过查阅安全设备日志和以往的安全事件记录，分析本系统在物理环境、网络、人员、设备故障、恶意代码及病毒等方面可能出现的情况，形成威胁识别表：

表格4-1 重要硬件资产威胁识别表

表格4-2 重要人力资源资产威胁识别表

表格4-3 重要业务应用资产威胁识别表

6

5 脆弱性识别

5.1 脆弱性识别内容及方法

。

5.2 脆弱性识别结果

表 5-1 重要资产脆弱性汇总表

6 综合风险分析

6.1 风险分析方法

。

表格 6-1 威胁风险系数计算矩阵

6.2 风险等级划分

。

7

6.3 不可接受风险划分

。

6.4 风险分析结果

根据 6.2、6.3 的划分准则，我们得到重要资产的风险值表。

表格 6-2 硬件资产风险值表

表格 6-3 人力资源资产风险值表

表格 6-4 业务应用资产风险值表

表格 6-5 物理环境风险值表

8

7风险统计

4个。

8不可接受风险处理计划

没有。

9