深圳市某某局2008年信息安全风险评估报告（33页）.rar

 
风险评估结论  ..........................................................................................  I 
1 评估工作概述  ..................................................................................... 1 
1.1 评估范围  ..................................................................................... 1 
1.2 评估组织  ..................................................................................... 2 
2 评估依据和标准  ................................................................................. 3 
3 资产识别  ............................................................................................ 5 
3.1 资产识别内容和方法  ................................................................... 5 
3.2 重要资产的确定及三性赋值  ....................................................... 8 
4 威胁识别  .......................................................................................... 11 
5 脆弱性识别 ...................................................................................... 15 
5.1 脆弱性识别内容及方法  ............................................................. 15 
5.2 脆弱性识别结果  ........................................................................ 15 
6 综合风险分析  ................................................................................... 19 
6.1 风险分析方法 ........................................................................... 19 
6.2 风险等级划分 ........................................................................... 19 
6.3 不可接受风险划分  .................................................................... 20 
6.4 风险分析结果 .......................................................................... 20 
7 风险统计  .......................................................................................... 26 
8 不可接受风险处理计划 .................................................................... 28 

 
风险评估结论 
 
此次风险评估，我局确定的评估范围为 OA系统。评估共发现信息
安全风险 60 个，其中极高风险 6 个，高风险 14 个，中风险 1 个，低
风险20 个，极低风险 19 个；经分析，确定 60 个风险中，40 个为可以
接受，20 个为不可接受。 
为消除不可接受的风险，相应的处理计划如下： 
1） OA 数据库服务器、应用服务器、内网管理及病毒服务器将及时
升级系统补丁并强制用户口令强度和更改频率，降低风险； 
2） OA 应用服务器应启用帐户锁定策略，防止非授权访问； 
3） 防火墙及主要的网络设备将启用日志功能，规避抗抵赖的风险，
同时还将尽快建立操作规程，规范操作过程； 
4） 主要的网络设备将建立访问控制策略，规避非授权访问的风险；  
5）  业务系统的关键网络数据在进行传输时将采取适当的保密措施
并进行完整性校验； 
6）  核心机房的物理访问控制将建立来访人员登记制度。