一、项目相关信息

    项目背景：随着某公司信息化建设的迅速发展
，特别是面向全国、面向社会公众服务的业务系统陆续投入使用，对该公司的网络和信息系统安全防护都提出了新的要求
。为满足上述安全需求，需对该公司的网络和信息系统的安全进行一次系统全面的评估，以便更加有效保护该公司各项目业务应用的安全。
    项目目标
：第一通过对该公司的网络和信息系统进行全面的信息安全风险评估，找出系统目前存在的安全风险，提供风险评估报告。并依据该报告，实现对信息系统进行新的安全建设规划。构建安全的信息化应用平台，提高企业的信息安全技术保障能力。第二通过本次风险评估
，找出公司内信息安全管理制度的缺陷，并需协助该公司建立完善的信息安全管理制度
、安全事件处置流程
、应急服务机制等。提高核心系统的信息安全管理保障能力。
    项目评估范围
：总部数据中心、分公司
、灾备中心。项目业务系统：核心业务系统、财务系统
、销售管理统计系统
、内部信息门户

、外部信息门户、邮件系统
、辅助办公系统等。灾备中心
，应急响应体系
，应急演练核查。
    评估对象：网络系统：17个设备
，抽样率40%
。主机系统：9台，抽样率50%。数据库系统
：4个业务数据库，抽样率100%。应用系统：3个（核心业务
、财务
、内部信息门户）安全管理：11个安全管理目标。

二、评估项目实施

    项目实施团队：（分工）

现场工作内容：
    项目启动会
、系统与业务介绍、系统与业务现场调查
、信息资产调查统计、威胁调查统计、安全管理问卷的发放回收
、网络与信息系统评估信息获取、机房物理环境现场勘察、系统漏洞扫描
、系统运行状况核查。
评估工作内容

：
    资产统计赋值
、威胁统计分析并赋值、各系统脆弱性分析、系统漏洞扫描结果分析
、已有安全措施分析
、业务资产安全风险的计算与分析、编写评估报告
。
资产统计样例（图表）

    威胁统计分析
：3大类威胁（环境
、系统
、人为）
，7子类获取威胁统计，7子类，34项；4级威胁2子类2项；3级威胁6子类16项；2级威胁5子类16项。
威胁统计分析列表（1）

：

    威胁统计分析列表（2）：

    脆弱性分析
：网络问题（高风险3个
，中风险2个）主机系统：13个问题（很高风险1个
，高风险7个，中风险4个
，低风险1个）数据库系统：11个问题（高风险7个，中风险1个
，低风险3个）应用系统：5个问题（高风险3个
，中风险1个，低风险1个）安全管理：13个问题（高风险6个，中风险6个，低风险1个）。
    脆弱性分类

：网络系统口令管理、安全审计

、访问控制、资源利用、脆弱性管理
、物理保护、应急响应

、维护管理。
    脆弱性分类
：业务系统
标识与鉴别、安全审计、访问控制
、安全策略配置、资源利用
、恶意代码防护

、脆弱性管理、传输与通信、业务连续性
、物理保护、应急响应、维护管理。

脆弱性分析列表

    系统漏洞扫描结果分析：
    扫描主机
：10台。扫描结果：紧急风险1个（windows 2003 1个）、高风险29个（Aix 27个
，windows 2003 2个）中风险：22个（Aix 12个，windows 2003 10个）。
    漏洞扫描结果分析：


    风险与计算：
    计算原理 ：风险值=R（A,T, V）=R(L(T,V),F(Ia
，Va))
其中，R表示安全风险计算函数
；A表示资产；T表示威胁
；V表示脆弱性；Ia表示安全事件所作用的资产价值
；Va表示脆弱性严重程度；L表示威胁利用资产的脆弱性导致安全事件发生的可能性；F表示安全事件发生后产生的损失
。
    计算方法 
：我们在该评估项目中，选择“相乘法”的风险计算方法计算业务、资产的风险值。
具体的计算公式为：安全事件发生后的可能性L=T*V  安全事件发生后造成的损失F=V*A  资产的风险值Rn=L*F  
业务的风险值R=Max(Rn)
。  
    风险计算分析表
：

    风险等级划分

：

    各业务系统安全风险等级：

    各业务系统安全风险统计图表

    各业务系统安全风险统计图

三、评估结论及安全建议

    结论：从整体上看该公司的信息安全状况是比较好的，所有出现最高级别（5级/很高）的安全风险。很高风险级别的所占比例低于30%
，且为公司的非主营业务系统。公司的安全风险级别主要为“中”
，占风险比列的50%
存在的风险不容忽视
：
    管理制度不完善
，缺少一些必要的管理制度和规范，机房内的环境防护

、安全措施

、控制措施均需要加强，操作系统缺少完备的演练，管理中访问权限的控制
、口令加密
、SNMP协议控制、审计功能开启并配置、实时监控等问题需要强化安全管理措施
。
    安全建议：
完善安全管理制度（应急预案、系统审计
、人员

、安全管理等）
制定其他风险级别的风险消减方案；灾备系统需要得到完备的演练

；网络及业务系统的安全技术措施需要加强。