风险评估报告

被评估公司单位： 上海ERIC数据系统有限公司

参与评估部门：信息安全综合管理委员

会

一、风险评估项目概述

1.1 工程项目概况

1.1.1 建设项目基本信息 风险评估版本 项目完成时间 项目试运行时间 2011年3日5日更新的资产清单及评估 2011年3月5日 2011年2-3月 1.2 风险评估实施单位基本情况 评估单位名称

2.1 风险评估工作组织管理

描述本次风险评估工作的组织体系（含评估人员构成）、工作原则和采取的保密措施。

2.2 风险评估工作过程

本次评估供耗时2天，采取抽样的的方式结合现场的评估，涉及了公司所有部门及所有的产品，已经包括了位于公司地址位置的相关产品。

2.3 依据的技术标准及相关法规文件

本次评估依据的法律法规条款有： 序号 1 法律、法规及其他要求名称 全国常委会关于维护互联网安全的决定 中华人民共和国计算机信息系统安全保护条例 中华人民共和国计算机信息网络国际联网管理暂行规定 颁布时间 实施时间 颁布部门 上海ERIC数据系统有限公司 二、风险评估活动概述

2000.12.28 2000.12.28 全国常委会 第147号1994.02.18 1994.02.18 令 第195号1996.02.01 1996.02.01 令 2 3 第339号4 中华人民共和国计算机软件保护条例 2001.12.20 2002.01.01 令 5 中华人民共和国信息网络传播权保护条例 中华人民共和国计算机信息网络国际联网管理暂行规定实施办法 计算机信息网络国际联网安全保护管理办法 计算机信息系统安全专用产品检测和销售许可证管理办法 第468号2006.05.10 2006.07.01 令 信息化工1998.03.06 1998.03.06 作领导小组 第33号1997.12.16 1997.12.30 令 第32号1997.06.28 1997.12.12 令 第51号2000.03.30 2000.04.26 令 2007．06.27 2007．06.27 2007．06.27 2007．06.27 中国互联网协会 6 7 8 9 计算机病毒防治管理办法 10 恶意软件定义 11 抵制恶意软件自律公约 12 计算机信息系统保密管理暂行规定 13 计算机信息系统国际联网保密管理规定 中国互联网协会 1998.2.26 1998.02.26 国家保密局 2000.01.01 2000.01.01 国家保密局 中华人民共和国2000.10.08 2000.10.08 工业和信息化部 国家广播电影电2004.06.15 2004.10.11 视总局 2000.10.08 2000.10.08 信息产业部 2003.03.26 信息产业部 14 软件产品管理办法 互联网等信息系统网络传播视听节目管理办法 15 16 互联网电子公告服务管理规定 17 信息系统工程监理工程师资格管理办2003年颁法 布 18 信息系统工程监理单位资质管理办法 2003.03.26 2003.04.01 信息产业部 19 电子认证服务管理办法 2009.02.04 2009.03.31 信息产业部 20 关于印发《国家电子信息产业基地和2008.03.04 2008.03.04 中华人民共和国产业园认定管理办法（试行）》的通知 21 计算机软件著作权登记收费项目和标准 信息产业部 机电部计算机软1992.03.16 1992.04.01 件登记办公室 2004.11.05 2004.12.20 信息产业部 全国人民代表大2010.01.09 2010.02.01 会常务委员 科学技术1987.06.23 1987.06.23 部 2010.08.27 2010.10.01 国家知识产权局 2010.02.26 2010.02.26 全国常委会 2002.08.02 2002.9.15 第359号令 22 中国互联网络域名管理办法 23 中华人民共和国专利法 24 中华人民共和国技术合同法 25 关于电子专利申请的规定 26 中华人民共和国著作权法 27 中华人民共和国著作权法实施条例 28 科学技术保密规定 29 互联网安全保护技术措施规定 30 中华人民共和国认证认可条例 31 中华人民共和国保守国家秘密法 32 中华人民共和国法 33 中华人民共和国商用密码管理条例 34 消防监督检查规定 35 仓库防火安全管理规则 36 地质灾害防治条例 国家科委、国家1995.01.06 1995.01.06 保密局 2005.12.13 2006.03.01 发布 2003.09.03 2003.11.1 第390号令 2010.04.29 2010.10.01 全国常委会 1993.02.22 1993.02.22 全国常委会 第273号1999.10.07 1999.10.07 令 2009.4.30 2009.5.1 第107号 中华人民共和国1990.03.22 1994.04.10 令第6号 2003.11.24 2004.03.01 3９4号 37 《电力安全生产监管办法》 国家电力监管委2004.03.09 2004.03.09 员会第2号 2007.06.29 2008.1.1 华人民共和国令第二十八号 38 中华人民共和国劳动法 39 失业保险条例 40 失业保险金申领发放 中华人民共和国企业劳动争议处理条1998.12.26 1999.01.22 劳动和社会保障2001.10.26 2001.01.01 部 1993.06.11 1993.08.01 41 例 2.4 保障与条件

需要被评估单位提供的文档、工作条件和配合人员等必要条件，以及可能的条件。

三、评估对象

3.1 评估对象构成与定级

3.1.1 网络结构

根据提供的网络拓扑图，进行结构化的审核。

3.1.2 业务应用

本公司涉及的数据中心运营及服务活动。

3.1.3 子系统构成及定级

N/A

3.2 评估对象等级保护措施

按照工程项目安全域划分和保护等级的定级情况，分别描述不同保护等级保护范围内的子系统各自所采取的安全保护措施，以及等级保护的测评结果。

根据需要，以下子目录按照子系统重复。

3.2.1 XX子系统的等级保护措施

根据等级测评结果，XX子系统的等级保护管理措施情况见附表一。

根据等级测评结果，XX子系统的等级保护技术措施情况见附表二。

四、资产识别与分析

4.1 资产类型与赋值

4.1.1资产类型

按照评估对象的构成，分类描述评估对象的资产构成。详细的资产分类与赋值，以附件形式附在评估报告后面，见附件3《资产类型与赋值表》。

4.1.2资产赋值

填写《资产赋值表》。 大类 详细分类 举例 经营规划 文档和数据 组织情况 中长期规划等 经营计划等 组织变更方案等 组织机构图等 组织变更通知等 组织手册等 各项规程、业务手册等 人事制度 人事方案等 人事待遇资料等 录用计划等 规章制度 离职资料等 中期人员计划等 人员构成等 人事变动通知等 培训计划等 培训资料等 预决算（各类投资预决算)等 业绩（财务报告)等 中期财务状况等 财务信息 资金计划等 成本等 财务数据的处理方法（成本计算方法和系统，会计管理审查等经营分析系统，减税的方法、规程)等 市场调查报告（市场动向，顾客需求，其它本公司动 向及对这些情况的分析方法和结果)等 商谈的内容、合同等 营业信息 报价等 客户名单等 营业战略（有关和其它本公司合作销售、销售途径的 确定及变更，对代理商的等情报)等 退货和投诉处理（退货的品名、数量、原因及对投诉的 处理方法)等 供应商信息等 试验/分析数据（本公司或者委托其它单位进行的试 验/分析)等 研究成果（本公司或者和其它单位合作研究开发的 技术成果)等 科技发明的内容（专利申请书以及有关的资料/试验数 技术信息 据)等 开发计划书等 新产品开发的、组织（新品开发人员的组成，业务 分担，技术人员的配置等) 技术协助的有关内容（协作方，协作内容，协作时间等) 教育资料等 技术备忘录等 生产管理系统等 技术解析系统等 计划财务系统等 软件信息 设计书等 流程等 编码、密码系统等 源程序表等 诉讼或其他有争议案件的内容（民事、无形资产、工伤 等纠纷内容) 其他 本公司基本设施情况（包括动力设施)等 董事会资料（新的投资领域、设备投资计划等) 本公司电话簿等 本公司安全保卫实施情况及突发事件对策等 软件 操作系统 Windows、 Linux 等 应用软件/系统 数据库 开发工具、办公软件、网站平台、 财务系统 等 MS SQL Server、MySQL 等 通讯工具 传真等 传输线路 光纤、双绞线等 存储媒体 磁带、光盘、软盘、U 盘等 存储设备 光盘刻录机、磁带机等 文印设备 打印机、复印机、扫描仪 硬件设服务器 备 PC Server、小型机等 桌面终端 PC、工作站等 网络通信设备 网络安全设备 路由器、交换机、集线器、无线路由器等 防火墙、防水墙、IPS 等 支撑设施 UPS、机房空调、发电机等 高层管理人员 中层管理人员 技术管理人力资源 普通技术人员 IT 服务人员 其它 软件工程师、程序员、测试工程师、界面工程师等 人员 高层管理人员 本公司总/副总经理、总监等 部门经理 项目经理、项目组长、安全工程师 系统管理员、网络管理员、维护工程师 人事、行政、财务等人员 通信 房租 托管 服务 法律 供电 审计 ADSL、光纤等 办公房屋租用 服务器托管、虚拟主机、邮箱托管 外聘律师、法律顾问 照明电、动力电 财务审计

6.2. 资产赋值判断准则

对资产的赋值不仅要考虑资产的经济价值，更重要的是要考虑资产的安全状况对于系统或组织的重要性，由资产在其三个安全属性上的达成程度决定。

资产赋值的过程也就是对资产在机密性、完整性和可用性上的达成程度进行分析，并在

此基础上得出综合结果的过程。达成程度可由安全属性缺失时造成的影响来表示，这种影响

可能造成某些资产的损害以至危及信息系统，还可能导致经济效益、市场份额、组织形象的

损失。

6.2.1. 机密性赋值

根据资产在机密性上的不同要求，将其分为三个不同的等级，分别对应资产在机密性上

应达成的不同程度或者机密性缺失时对整个组织的影响。

赋值 标识 定 义 包含组织最重要的秘密，关系未来发展的前途命运，对根本利益有着决 3 高 定性的影响，如果泄露会造成灾难性的损害，例如直接损失超过100 万 人民币，或重大项目（合同）失败，或失去重要客户，或关键业务中断3 天。 组织的一般性秘密，其泄露会使组织的安全和利益受到损害，例如直接 2 中 损失超过10 万人民币，或项目（合同）失败，或失去客户，或关键业务 中断超过1 天。 1 低 可在社会、组织内部或在组织某一部门内部公开的信息，向外扩散有可 能对组织的利益造成轻微损害或不造成伤害。 6.2.2. 完整性赋值

根据资产在完整性上的不同要求，将其分为三个不同的等级，分别对应资产在完整性上

缺失时对整个组织的影响。 赋标值 识 定 义 完整性价值非常关键，未经授权的修改或破坏会对组织造成重大的或无法接3 高 受的影响，对业务冲击重大，并可能造成严重的业务中断，并且难以弥补。例如直接损失超过100 万人民币，或重大项目（合同）失败，或失去重要客户。 完整性价值中等，未经授权的修改或破坏会对组织造成影响，对业务冲击明2 中 显，但可以弥补。例如直接损失超过10 万人民币，或项目（合同）失败，或失去客户。 1 低 完整性价值较低，未经授权的修改或破坏会对组织造成轻微影响，甚至可以忽略，对业务冲击轻微，容易弥补。 6.2.3. 可用性赋值

根据资产在可用性上的不同要求，将其分为三个不同的等级，分别对应资产在可用性上

的达成的不同程度。 赋标值 识 3 高 定 义 可用性价值非常高，合法使用者对资产的可用度达到年度90%以上，或系统不允许中断。 可用性价值中等，合法使用者对资产的可用度在正常工作时间达到50%以上，或系统允许中断时间小于8 工作时。 可用性价值较低或可被忽略，合法使用者对资产的可用度在正常工作时间达2 中 1 低 到50%以下，或系统允许中断时间小于24 工作时。 6.2.4. 资产重要性等级

资产价值（V）＝ 机密性价值（C）＋完整性价值（I）＋可用性价值（A）

资产等级： 等级 1 2 3 价值分类 低 中 高 资产总价值 3 ～ 4 5 ～ 7 8 ～ 9

4.2 重要资产清单及说明

在分析被评估系统的资产基础上，列出对评估单位十分重要的资产，作为风险评估的重点对象，并以清单形式列出如下：

重要资产列表 序号 资产编号 子系统名称 各类公司证件 财务账务文件 用友通财务软件备份数据 Pernod Ricard业务持续服务合同 应用 其他 其他 其他 其他 资产重要其他程度权重 说明 高 高 高 高 1. F001 2. F002 3. F004 4. F006 5. ATSH10-007 客户合同 高 供应商合同 ATSH-11/001/10-6. 天选备份软件维护服务合同 007 7. ATSH10-008 8. ATSH11-001 9. HW-009 10. HW-022 11. HW-023 12. HW-024 13. HW-026 14. HW-027 VantAsia业务持续服务合同 NAB业务持续服务合同 服务器(运作技术部) 精密空调(运作技术部) UPS(运作技术部) PPDC(运作技术部) AVAYA(运作技术部) Switch(运作技术部) 高 客户合同 高 客户合同 高 服务器 高 精密空调 高 UPS PPDC 高 高 通讯设备 高 网络设备 高 15. HW-028 16. HW-029 17. HW-030 18. HW-031 19. HW-032 Router(运作技术部) Fire wall(运作技术部) DVR(运作技术部) 客户数据（硬盘） 柴油发电机组 网络设备 高 网络设备 高 监控设备 高 硬盘 柴油发电机 财务软件－单机 财务软件－单机 财务软件－单机 高 高 20. F001 etax网上报税系统 高 21. F002 用友通财务软件 高 22. F003 A-02-25-03-23. 201106-004 A-02-25-03-24. 201106-005 25. H0001 打印软件 高 Cowin 监控系统 监控系统 高 General_PSS_V4.01.0.R.091112 监控系统 高 高层管理人员 高层管理人员 中层管理人员 梁文略 高 26. S0002 杨英 高 27. S0001 28. S0006 29. S0003 李海宁 赵红 张光辉 高 销售人员 高 中层管理人员 IT 服务人员 高 30. S0004 刘子明 高 31. S0005 胡捷 IT 服务人员 IT 服务人员 其它 其它 高 32. S0008 33. S0007 34. S0026 35. server02 36. server03 张力 唐海英 刘影 网络通信 供电 高 高 高 中国联通 高 物管- 德必创意 物管- 德必创意 高 37. server04

房屋 高 五、威胁识别与分析

对威胁来源（内部/外部；主观/不可抗力等）、威胁方式、发生的可能性，威胁主体的能力水平等进行列表分析。下面是典型的威胁范本： 编号 1 2 3 4 5 6 7 8 威胁 故障 废弃 服务失效/中断 恶意软件 抵赖 通信监听 操作失误 未经授权更改 硬件和设软件和系文档和数人力资服施 ★ ★ ★ ★ 统 ★ ★ ★ ★ ★ ★ 据 ★ ★ 源 务 ★ ★ 9 未经授权访问，使用或复制 ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ 10 被利用传送敏感信息 11 盗窃 12 供电故障 13 恶意破坏 14 电子存储媒体故障 15 违背知识产权相关法律、法规 16 温度、湿度、灰尘超限 17 静电 18 黑客攻击 19 容量超载 20 系统管理员权限滥用 21 密钥泄露、篡改 22 密钥滥用 23 个体伤害（车祸、疾病等） 24 不公正待遇 25 社会工程 人为灾难：瘟疫、火灾、爆26 炸、恐 怖袭击等 自然灾难：地震、洪水、台27 风、雷 击等 28 服务供应商泄密 5.1 威胁数据采集

★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★ ★

5.2 威胁描述与分析

依据《威胁赋值表》，对资产进行威胁源和威胁行为分析。

5.2.1 威胁源分析

填写《威胁源分析表》。

5.2.2 威胁行为分析

填写《威胁行为分析表》。

5.2.3 威胁能量分析

5.3 威胁赋值

威胁发生可能性等级对照表 等级 1 2 3

判断威胁出现的频率是威胁识别的重要工作，评估者应根据经验和（或）有关的统计数据来进行判断。在风险评估过程中，还需要综合考虑以下三个方面，以形成在某种评估环境中各种威胁出现的频率：

1) 以往安全事件报告中出现过的威胁及其频率的统计； 说 明 低 中 高 说明：

发生可能性 非等级2 与等级3 的定义 每半年至少发生一次但不及等级3 每月至少发生两次

2) 实际环境中通过检测工具以及各种日志发现的威胁及其频率的统计；

3) 近一两年来国际组织发布的对于整个社会或特定行业的威胁及其频率统计，以及发布的威胁预警。

六、脆弱性识别与分析

按照检测对象、检测结果、脆弱性分析分别描述以下各方面的脆弱性检测结果和结果分析。