1、说明文字:大致内容如此,根据具体情况增删XXXX信息系统安全风险评估报告二一五年七月目 录1 评估工作概述 31.1 评估目标 31.2 评估组织 31.3 评估对象 31.3.1 业务职能与组织结构 .31.3.2 系统定级 .61.3.3 物理环境 .61.3.4 网络结构 .91.3.5 安全保密措施 .121.3.6 重要 XX 部门、部位 .132 评估依据和标准 133 评估方案 144 资产识别 154.1 资产重要性等级定义 154.2 资产分类 164.2.1 服务器情况列表 .164.2.2 交换机情况列表 .194.2.3 用户终端和 XX 单机 .194.2.4 特种设
2、备 .204.2.5 软件平台 .204.2.6 安全保密设备 .204.2.7 应用系统情况列表 .284.2.8 试运行应用系统情况列表 .295 威胁识别 305.1 威胁分类 305.2 威胁赋值 316 脆弱性识别 336.1 脆弱性识别内容 336.2 脆弱性赋值 336.3 脆弱性专向检测 346.3.1 病毒木马专项检查 .346.3.2 网络扫描专项测试 .347 风险 分析 448 风险统计 489 评估结论 4810 整改建议 481 评估工作概述2015 年 7 月 7-9 日,由 XX 部门组织相关人员对 XX 信息系统进行了安全风险评估。本报告的评估结论仅针对 xx
3、 厂 XX 信息系统本次安全风险评估时的状况。1.1 评估目标本次评估工作依据有关信息安全技术与管理标准,对 xx 厂 XX信息系统及由其处理、传输和存储的信息的安全属性进行评估,分析该 XX 信息系统内的服务器、网络设备、用户终端及支撑平台等资产在日常运行、管理过程中面临的威胁、存在的脆弱性以及由此带来的安全风险,为将安全风险控制在可接受的水平,最大限度地保障该 XX 信息系统的信息安全保密提供指导依据。1.2 评估组织本次风险评估由 XX 信息系统管理领导小组负责组织。由 xx 部门现场开展本次评估工作,XX 业务部门相关人员进行配合。1.3 评估对象1.3.1 业务职能与组织结构Xx1.
4、3.2 系统定级Xx 厂 XX 信息系统经 xx 批准同意,按照所处理 XX 信息的最高密级定为机密级,采用增强保护要求进行保护。1.3.3 物理环境XX1.3.4 网络结构图 1 、组织机构图图 2 周边物理环境图3 、网络拓扑结构图1.3.5 安全保密措施XX 厂 XX 信息系统配备了防火墙、网络入侵检测系统、漏洞扫描系统、主机监控与审计系统、XX 计算机及移动存储介质保密管理系统(“三合一”系统) 、中孚信息消除工具、打印安全监控与审计系统、安全邮件、网间文件交换系统、防计算机病毒软件、线路传导干扰器、一级电磁干扰器、红黑电源滤波隔离插座等安全保密产品。身份鉴别口令认证,复杂度,密码长度
5、等符合要求否?XX 便携式计算机、XX 单机和 XX 数据中转单机采用用户名与口令相结合的方式进行身份鉴别。1.3.6 重要 XX 部门、部位XX 厂 XX 信息系统保密要害部门为 2 个,保密要害部位为 5 个,具体情况如下表所示。防护措施序号 名称 位置 所属部门 部位性质监控 门控 红外报警2 评估依据和标准 武器装备科研生产单位三级保密资格评分标准3 评估方案本次风险评估采用文档审阅、人员问询、脆弱性扫描和现场查验等风险评估方法。(1)文档审阅:了解 XX 信息系统的基本情况、2015 年上半年发生的变化,问题项的整改情况,确定后续查验的重点。审阅的文档材料主要包括:安全审计报告与审计
6、报告、例行检查记录、工作和审批记录。(2)人员问询:对 XX 信息系统管理人员和部分用户(包括行政管理人员和技术人员)进行了问询,评估 XX 信息系统的管理者和使用者对自身保密职责的知悉情况,以及理解相关制度和标准并落实到日常工作中的情况。(3)脆弱性扫描:通过使用中科网威网络漏洞扫描系统对 XX厂 XX 信息系统进行脆弱性扫描,收集服务器、用户终端、网络设备和数据库的安全漏洞。(4)现场查验:评估规章制度的建设和执行情况;评估部分服务器、用户终端、网络设备、应用系统和安全保密设备的安全保密防护情况;评估系统的物理安全和电磁泄漏发射防护情况。4 资产识别资产是对组织具有价值的信息或资源。机密性
7、、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值,而资产面临的威胁、存在的脆弱性、以及已采用的安全措施都将对资产安全属性的达成程度产生影响。为此,必须对 XX 厂 XX 信息系统内的资产进行识别。4.1 资产重要性等级定义资产的重要性等级依据资产在保密性、完整性和可用性上的赋值等级综合评定后得出。本次评估将 XX 厂 XX 信息系统内的资产划分为五级,级别越高表示资产越重要。不同等级的资产重要性的综合描述如下表所示。等级 标
8、识 描述5 很高 非常重要,其安全属性破坏后可能对组织造成非常严重的损失4 高 重要,其安全属性破坏后可能对组织造成比较严重的损失3 中等 比较重要,其安全属性破坏后可能对组织造成中等程度的损失2 低 不太重要,其安全属性破坏后可能对组织造成较低的损失1 很低 不重要,其安全属性破坏后可能对组织造成很小的损失,甚至忽略不计4.2 资产分类根据 XX 厂资产的表现形式,首先将资产分为服务器、交换机、用户终端(含网络打印机)和 XX 单机(含 XX 笔记本电脑) 、特种设备、软件平台、安全保密设备和应用系统七个大类。然后,根据4.1 节的定义,对不同资产的重要性等级进行赋值。4.2.1 服务器情况
9、列表序号 类型 品牌型号 用途 IP 地址IP 地址类型资产重要性等级1. 服务器2. 服务器3. 服务器4.5.6.7.8.9.10.11.12.13.14.15.16.17.18.19.20.21.22.23.24.4.2.2 交换机情况列表序号 类型 交换机型号 数量 用途资产重要性等级1 1 交换机2 2 交换机3 3 交换机4 交换机4.2.3 用户终端和 XX 单机序号 类型 厂家、型号 数量 用途资产重要性等级1 1 用户终端 22 2 中间转换机 33 3 XX 笔记本电 脑 34.2.4 特种设备序号 类型 厂家、型号 数量 用途资产重要性等级1 1 数控机床 22 4 考勤
10、设备 14.2.5 软件平台序号 软件名称 厂家、版本运行该软件的设备 用途 安装位置资产重要性等级1 2 3 Windows 2003 Server 3 Windows 2008 Server 4 6 SQL Server 数据库 5 7 Oracle 数据库 6 OSCAR 数据库 4.2.6 安全保密设备序号设备名称厂家和型号 用途安装位置和数量策略设置证书1 防火墙2 防病毒 软件3 防病毒 软件4 防病毒 软件5 入侵检测系统6 漏洞扫描系统7USB 移动存储介质使用管理系统8主机监控与审计9微机视频信息保护系统10红黑电源隔离插座11线路传导干扰器4.2.7 应用系统情况列表序号
11、系统名称密级 安装位置 用途用户范围 访问权限设置情况资产重要性等级序号 系统名称密级 安装位置 用途用户范围 访问权限设置情况资产重要性等级1 1 OA 系统 523454.2.8 试运行应用系统情况列表序号 系统名称密级 安装位置 用途用户范围 访问权限设置情况资产重要性等级1 1 52 2 53 3 24 5 35 26 45 威胁识别5.1 威胁分类威胁是可能导致对系统或组织危害的不希望事故的潜在起因。威胁可以通过威胁主体、资源、动机和途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。威胁作用形式可以是对信息系统直接或间接的攻击,在保密性、完整性和可用性等方面造成损害;也可
12、能是偶发的或蓄意的事件。下表为本次评估可能涉及到的威胁分类。种类 描述 威胁子类软硬件故障对业务实施或系统运行产生影响的设备硬件故障、通讯链路中断、系统本身或软件缺陷等问题设备硬件故障、传输设备故障、存储媒体故障、系统软件故障、应用软件故障、数据库软件故障、开发环境故障等物理环境影响对信息系统正常运行造成影响的物理环境问题和自然灾害断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等无作为或操作失误应该执行而没有执行相应的操作,或无意执行了错误的操作维护错误、操作失误等管理不到 安全管理无法落实或不到位,从 管理制度和策略不完善、管理流程缺失、职种类 描述 威胁子类位 而破坏信
13、息系统正常有序运行 责不明确、监督控管机制不健全等恶意代码 故意在计算机系统上执行恶意任务的程序代码 病毒、木马、蠕虫、恶意程序、间谍软件、窃听软件等越权或滥用通过采用一些措施,超越自己的权限访问了本来无权访问的资源,或者滥用自己的权限,做出破坏信息系统的行为非授权访问网络资源、非授权访问系统资源、滥用权限非正常修改系统配置或数据、滥用权限泄漏 XX 信息等网络攻击利用工具和技术通过网络对信息系统进行攻击和入侵网络探测和信息采集、漏洞探测、嗅探(账号、口令、权限等)、用户身份伪造和欺骗、用户或业务数据的窃取和破坏、系统运行的控制和破坏等物理攻击 通过物理接触造成对软件、硬件和数据的破坏 物理接
14、触、物理破坏、盗窃等泄密 信息泄露给不应了解的他人 内部信息泄漏、外部信息泄漏等篡改非法修改信息,破坏信息的完整性使系统的安全性降低或信息不可用篡改网络配置信息、篡改系统配置信息、篡改安全配置信息、篡改用户身份信息或业务数据信息等抵赖 不承认受到的信息和所作的操作和交易 原发抵赖、接收抵赖、第三方抵赖等5.2 威胁赋值判断威胁出现的频率是威胁赋值的重要内容。本次评估综合考虑了以下三个方面,以形成在评估环境中各种威胁出现的频率。 以往月度运行报告中出现过的威胁及其频率; 实际环境中通过检测工具以及各种日志发现的威胁及其频率;这里对威胁出现的频率进行等级化处理,不同等级分别代表威胁出现的频率的高低
15、。等级数值越大,威胁出现的频率越高。等级 标识 定义5 很高出现的频率很高(1 次/周);或在大多数情况下几乎不可避免;或可以证实经常发生4 高出现的频率较高(1 次/月);或在大多数情况下很有可能发生;或可以证实多次发生过3 中等出现的频率中等(1 次/半年);或在某种情况下可能会发生;或被证实曾经发生过2 低 出现的频率较低;或一般不太可能发生;或没有被证实发生过1 很低 威胁几乎不可能发生;仅可能在非常罕见和例外的情况下发生6 脆弱性识别6.1 脆弱性识别内容脆弱性是可能被威胁所利用的资产或若干资产的薄弱环节,即脆弱性是资产本身存在的,如果没有被相应的威胁利用,单纯的脆弱性本身不会对资产
16、造成损害。而且如果系统足够强健,严重的威胁也不会导致安全事件的发生,并造成损失。威胁总是要利用资产的脆弱性才可能造成危害。本次评估以 XX 为标准,从技术和管理两个方面对 XX 厂 XX信息系统内的资产对象进行脆弱性识别。脆弱性按照标准中的测评项进行分类。6.2 脆弱性赋值这里根据脆弱性对资产的暴露程度、技术实现的难易程度、流行程度等,采用等级方式对已识别的脆弱性的严重程度进行赋值。脆弱性赋值是以等级进行划分的,不同的等级代表资产脆弱性严重程度的高低。等级数值越大,脆弱性严重程度越高。等级 标识 定义5 很高 如果被威胁利用,将对资产造成完全损害4 高 如果被威胁利用,将对资产造成重大损害3
17、中等 如果被威胁利用,将对资产造成一般损害2 低 如果被威胁利用,将对资产造成较小损害1 很低 如果被威胁利用,将对资产造成的损害可以忽略6.3 脆弱性专向检测6.3.1 病毒木马专项检查通过查看瑞星管理控制台,了解系统内病毒木马爆发的情况。其中,2015 年 5 月和 6 月的爆发情况如下表所示。时间段 感染次数(次) 受感染主机数(台)2015 年 5 月 2689 1192015 年 6 月 2674 1176.3.2 网络扫描专项测试使用中科网威漏洞扫描系统,对 XX 厂 XX 信息系统内的服务器、用户终端、网络设备进行远程安全评估。 服务器扫描结果服务器区网段共扫描主机 27 台,其
18、中高度危险主机 14 台,七台存有紧急漏洞,比较危险主机 13 台,比较安全主机 0 台,非常安全主机 0 台。IP地址 操作系统 所在域 漏洞数高危数危险等级 危险值本次远程评估共扫描到的前五漏洞,如下表所示。编号漏洞名称 危险等级出现次数1 Microsoft IIS WebDAV 远程认证绕过漏洞 紧急 32 Oracle tnslsnr 未设置口令 高级 43 ICMP 时间戳检测 中级 244 DCE 服务器列举 低级 235 开放的 tcp 端口检测 信息 27 用户终端扫描结果用户终端和部分设备共扫描了主机数 567 台,其中高度危险主机 5 台,比较安全主机 562 台,部分结
19、果见下表。IP地址 操作系统 所在域 漏洞数高危数危险等级 危险值本次扫描到的前五漏洞,如下表所示。编号漏洞名称 危险等级出现次数1 Microsoft Windows SMB 存在多个漏洞允许远程执行代码紧急 22 MySQL 5.x 未指明的缓冲区溢出漏洞 高级 23 PHP 存在多个缓冲区溢出漏洞 高级 14 Oracle MySQL TEMPORARY InnoDB 数据 中级 2表拒绝服务漏洞5 MySQL 存在多个漏洞 中级 27 风险分析序号 资产对象 脆弱性类型 脆弱性描述 威胁 风险标识1 电源隔离防护装置 电磁泄漏发射防护个别用户终端与黑设备共用红黑电源滤波隔离插座,部分
20、XX 网络线路与技防、电话线路间隔距离不足存在电磁泄漏的风险 中等2 高3 中高4操作系统安全、数据库安全部分 XX 服务器应用程序、数据库补丁程序未安装完全,存在高风险漏洞黑客可利用系统漏洞入侵、控制服务器,获取重要信息高5服务器 设备安全、介质安全、安全审计、设备数据接口、违规外联监控部分服务器未安装主机监控与审计系统、移动存储介质使用管理系统和违规外联监控系统服务器管理员可非授权使用设备数据接口、未注册介质、非法外部连接高6计算机病毒与恶意代码防护部分 XX 用户终端存在病毒、木马事件报告病毒、木马可导致系统、网络瘫痪,窃取用户数据中低7用户终端(含网络打印机) 操作系统安全、数据库安全
21、部分用户终端和网络打印机操作系统、应用程序、数据库补丁未安装完全,有高风险漏洞;个别用户终端开放多余服务攻击者可利用系统漏洞入侵、控制用户终端,获取重要信息中等8 防火墙日志服务器 日志审计 日志服务器运行不稳定,日志不全 无法查看防火墙日志,无法进行审计 中等9 打印机 输出控制 部分用户未按文件密级进行打印输出,存在高密低打现象 存在输出文件失控的风险 中等10 打印机 输出控制 部分打印机与安装部门属同一地址段,且开放 SNMP 服务 存在非审批打印的风险 中等11 中等12 XX 笔记本电脑 设备数据接口 XX 笔记本电脑无法审计打印和光盘刻录事件 存在非授权导出XX 信息的风险 中低
22、序号 资产对象 脆弱性类型 脆弱性描述 威胁 风险标识13 显示输出保密要害部门中的个别 XX 单机对窗摆放,且未采用其他防护措施(如拉窗帘) ,不能防止显示输出内容被非授权获取存在显示输出内容被非授权获取的风险低14 中等8 风险统计XX 厂 XX 信息系统安全风险评估共识别出安全风险 13 个,其中:高风险 2 个,中高风险 1 个,中等风险 3 个,中低风险 3 个,低风险 4 个。9 评估结论经过各方面的评估 XX 厂 XX 信息系统基本上是安全的,基本符合分级保护国家保密标准的要求。但依然存在部分风险,需从组织、管理和技术等多方面进行补充和完善,并加强教育培训,提高人员意识和相关技能
23、,规范其行为,从根本上确保信息安全。10 整改建议(1) 个别用户终端视频干扰仪、红黑电源滤波隔离插座使用不符合要求。问题描述:个别用户终端与黑设备(非 XX 计算机、饮水机等)共用红黑电源滤波隔离插座,存在电磁泄漏的风险。整改建议:对问题部门提出警告,加强对红黑电源滤波隔离插座使用的监管力度。(2) 个别 XX 单机对窗摆放,且未采用其他防护措施 问题描述保密要害部门中的个别 XX 单机对窗摆放,且未采用其他防护措施(如拉窗帘) ,存在显示输出内容被非授权获取的风险。 整改建议 对窗和对玻璃墙摆放的用户终端加装防护措施,并加强教育培训,提高人员保密意识。(3) 部分服务器应用程序、数据库补丁
24、程序未安装完全,存在高风险漏洞 问题描述XX 等服务器的 ORACLE 数据库补丁程序未安装完全,存在高风险漏洞; 整改建议 及时安装补丁程序; 加强服务器的安全配置。(4) 部分服务器未安装主机监控与审计系统和“三合一”系统 问题描述部分服务器未安装主机监控与审计系统和 XX 计算机及移动存储介质保密管理系统 整改建议 安装主机监控与审计系统和 XX 计算机及移动存储介质保密管理系统 对不能安装主机监控与审计系统和 XX 计算机及移动存储介质保密管理系统的服务器应有测试报告,说明原因。(5) 部分 XX 用户终端存在病毒、木马 问题描述部分 XX 用户终端存在病毒、木马,其中 2015 年
25、5 月 1 日至31 日期间,用户终端感染病毒、木马事件报告 10 次,4 台终端;2015 年 6 月 1 日至 30 日期间,用户终端感染病毒、木马事件报告5 次,3 台;病毒、木马可导致系统、网络瘫痪,窃取用户数据。 整改建议 加强针对病毒、木马来源的分析; 加强数据的输入管理和病毒查杀工作。(6) 部分用户终端和网络打印机操作系统、应用程序、数据库补丁未安装完全,有高风险漏洞;个别用户终端开放多余服务 问题描述部分用户终端和网络打印机操作系统、应用程序、数据库补丁未安装完全,有高风险漏洞;个别用户终端开放多余服务,攻击者可利用系统漏洞和多余服务入侵、控制用户终端,获取重要信息。 整改建
26、议 及时安装补丁程序; 加强用户终端的安全配置。(7) 存在打印机输出不受控制的风险 问题描述部分用户未按文件密级进行打印输出,存在高密低打现象 存在输出文件失控的风险;部分打印机与安装部门属同一地址段,存在非审批打印的风险。 整改建议 加大对用户终端相关责任人和审批人的保密责任教育培训,及时通报整改。 将打印机和打印读卡器同一布置在专用 VLAN 并通过防火墙进行严格的访问控制。(8) 存在安全邮件输出不受控制的风险 问题描述部分用户未按邮件附件密级进行发送,邮件附件文件名密级与邮件密级不符,存在输出文件失控的风险 整改建议 加大对用户终端相关责任人和审批人的保密责任教育培训,及时通报整改。(9) 部分交换机管理口令明文存储和传输(中风险) 问题描述部分交换机采用 WEB 远程管理,口令明文传输;部分交换机采用 SNMP 方式管理(包括核心交换机) ,口令明文存储和传输,存在通过网络数据监听,获取交换机口令,进而获取交换机的控制权,篡改网络配置信息的风险。 整改建议 完善交换机的安全配置; 采用符合安全保密要求的登录管理方式(如 SSH 登录) ,保证网络设备口令传输安全。 换掉不符合要求的桌面交换机。
