計(jì)算機(jī)信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告一、評(píng)估背景與目標(biāo)隨著數(shù)字化業(yè)務(wù)的深入推進(jìn)，組織信息系統(tǒng)面臨的安全威脅持續(xù)升級(jí)（如勒索病毒、數(shù)據(jù)泄露、供應(yīng)鏈攻擊等）。為保障業(yè)務(wù)連續(xù)性、數(shù)據(jù)保密性與合規(guī)性，本次評(píng)估圍繞核心業(yè)務(wù)系統(tǒng)（ERP/OA）、辦公網(wǎng)絡(luò)、服務(wù)器集群、終端設(shè)備及業(yè)務(wù)數(shù)據(jù)展開(kāi)，旨在識(shí)別潛在安全風(fēng)險(xiǎn)、量化風(fēng)險(xiǎn)等級(jí)，并提出可落地的處置建議，為后續(xù)安全體系建設(shè)提供依據(jù)。二、評(píng)估范圍與方法（一）評(píng)估范圍涵蓋技術(shù)域（服務(wù)器、網(wǎng)絡(luò)設(shè)備、終端、業(yè)務(wù)應(yīng)用）、數(shù)據(jù)域（客戶信息、財(cái)務(wù)數(shù)據(jù)、業(yè)務(wù)日志）、管理域（安全制度、人員操作、運(yùn)維流程）三大維度，重點(diǎn)聚焦對(duì)外提供服務(wù)的業(yè)務(wù)系統(tǒng)（如電商平臺(tái)、客戶管理系統(tǒng)）與核心數(shù)據(jù)資產(chǎn)。（二）評(píng)估方法結(jié)合資產(chǎn)價(jià)值評(píng)估（訪談業(yè)務(wù)部門+審查資產(chǎn)清單，明確資產(chǎn)重要性）、威脅建模（梳理攻擊鏈，分析外部/內(nèi)部威脅入口）、脆弱性檢測(cè)（漏洞掃描、滲透測(cè)試、配置核查）三類方法，確保評(píng)估全面性。工具層面采用Nessus（漏洞掃描）、Wireshark（流量分析）、自研資產(chǎn)盤點(diǎn)系統(tǒng)（資產(chǎn)識(shí)別），并輔以人工滲透測(cè)試驗(yàn)證高危漏洞。三、信息資產(chǎn)識(shí)別與賦值（一）資產(chǎn)分類將信息資產(chǎn)劃分為硬件（服務(wù)器、交換機(jī)、終端）、軟件（操作系統(tǒng)、業(yè)務(wù)應(yīng)用、中間件）、數(shù)據(jù)（客戶隱私、財(cái)務(wù)報(bào)表、業(yè)務(wù)日志）、人員（安全團(tuán)隊(duì)、業(yè)務(wù)人員）、服務(wù)（云服務(wù)、第三方運(yùn)維）五類，通過(guò)業(yè)務(wù)影響分析（BIA）明確核心資產(chǎn)（如客戶數(shù)據(jù)庫(kù)、交易系統(tǒng)）。（二）資產(chǎn)賦值從保密性、完整性、可用性三維度賦值（高=5分、中=3分、低=1分）。以核心業(yè)務(wù)數(shù)據(jù)庫(kù)為例：保密性：存儲(chǔ)客戶隱私數(shù)據(jù)，賦值5分；完整性：數(shù)據(jù)篡改將導(dǎo)致業(yè)務(wù)邏輯混亂，賦值5分；可用性：系統(tǒng)宕機(jī)直接影響交易，賦值5分；綜合價(jià)值：高（需優(yōu)先防護(hù)）。四、威脅與脆弱性分析（一）威脅來(lái)源1.外部威脅：黑客通過(guò)社工攻擊（偽造“系統(tǒng)升級(jí)”郵件）、0day漏洞（如Log4j2）突破邊界；勒索病毒（如LockBit）通過(guò)釣魚(yú)郵件/弱口令橫向滲透；DDoS攻擊針對(duì)對(duì)外服務(wù)端口（如80/443）。2.內(nèi)部威脅：?jiǎn)T工誤操作（誤刪數(shù)據(jù)、違規(guī)接入U(xiǎn)盤）；惡意人員越權(quán)訪問(wèn)（竊取客戶數(shù)據(jù)）；權(quán)限濫用（開(kāi)發(fā)人員超權(quán)限操作數(shù)據(jù)庫(kù)）。3.環(huán)境威脅：機(jī)房UPS故障導(dǎo)致電力中斷；硬件老化（服務(wù)器超期服役）引發(fā)系統(tǒng)崩潰。（二）脆弱性檢測(cè)結(jié)果1.技術(shù)脆弱性：操作系統(tǒng)：3臺(tái)WindowsServer存在“永恒之藍(lán)”類漏洞（未打補(bǔ)丁）；5臺(tái)Linux服務(wù)器SSH使用弱口令（如“admin/____”）。網(wǎng)絡(luò)設(shè)備：交換機(jī)未配置端口安全（非法設(shè)備可接入）；防火墻規(guī)則過(guò)寬（暴露3389/22等高風(fēng)險(xiǎn)端口）。2.管理脆弱性：制度缺失：離職員工賬號(hào)未及時(shí)注銷（曾出現(xiàn)“幽靈賬號(hào)”登錄）；流程混亂：系統(tǒng)變更未走審批（曾因誤操作導(dǎo)致業(yè)務(wù)中斷2小時(shí)）。五、風(fēng)險(xiǎn)評(píng)估與等級(jí)劃分（一）風(fēng)險(xiǎn)計(jì)算模型采用風(fēng)險(xiǎn)=資產(chǎn)價(jià)值（V）×威脅概率（T）×脆弱性嚴(yán)重程度（Vul）模型，其中：資產(chǎn)價(jià)值（V）：高（5）、中（3）、低（1）；威脅概率（T）：高（5，發(fā)生頻率>1次/年）、中（3，1次/1-3年）、低（1，<1次/3年）；脆弱性嚴(yán)重程度（Vul）：高（5，系統(tǒng)癱瘓/數(shù)據(jù)泄露）、中（3，功能異常）、低（1，局部故障）。（二）主要風(fēng)險(xiǎn)點(diǎn)及等級(jí)1.核心數(shù)據(jù)庫(kù)數(shù)據(jù)泄露（高風(fēng)險(xiǎn)）：威脅：黑客利用OA系統(tǒng)SQL注入滲透數(shù)據(jù)庫(kù)；內(nèi)部人員越權(quán)訪問(wèn)。脆弱性：SQL注入（Vul=5）、權(quán)限未最小化（Vul=4）。風(fēng)險(xiǎn)值：5（資產(chǎn)）×4（威脅概率）×5（脆弱性）=100，等級(jí)高。影響：客戶數(shù)據(jù)泄露，面臨合規(guī)處罰（如GDPR）、品牌聲譽(yù)受損。2.勒索病毒感染（高風(fēng)險(xiǎn)）：威脅：釣魚(yú)郵件投遞病毒；未打補(bǔ)丁系統(tǒng)被橫向滲透。脆弱性：終端無(wú)EDR（Vul=5）、永恒之藍(lán)漏洞（Vul=5）。風(fēng)險(xiǎn)值：5×4×5=100，等級(jí)高。影響：業(yè)務(wù)系統(tǒng)癱瘓，數(shù)據(jù)加密后無(wú)法恢復(fù)（無(wú)有效備份）。3.內(nèi)部違規(guī)操作（中風(fēng)險(xiǎn)）：威脅：?jiǎn)T工誤刪數(shù)據(jù)、違規(guī)接入U(xiǎn)盤。脆弱性：USB未禁用（Vul=3）、備份策略不完善（Vul=3）。風(fēng)險(xiǎn)值：4×3×3=36，等級(jí)中。影響：局部業(yè)務(wù)中斷，數(shù)據(jù)恢復(fù)成本高。六、風(fēng)險(xiǎn)處置建議（一）高風(fēng)險(xiǎn)處置（7個(gè)工作日內(nèi)完成）1.核心數(shù)據(jù)庫(kù)數(shù)據(jù)泄露：技術(shù)：修復(fù)OA系統(tǒng)SQL注入（開(kāi)發(fā)團(tuán)隊(duì)代碼審計(jì)+修復(fù)）；數(shù)據(jù)庫(kù)權(quán)限最小化（DBA梳理賬號(hào)，僅開(kāi)放必要操作）；部署數(shù)據(jù)庫(kù)審計(jì)（實(shí)時(shí)監(jiān)控敏感操作）。管理：建立數(shù)據(jù)訪問(wèn)雙審批（部門負(fù)責(zé)人+安全團(tuán)隊(duì)）；每季度開(kāi)展數(shù)據(jù)安全培訓(xùn)。2.勒索病毒感染：技術(shù)：全終端部署EDR（運(yùn)維團(tuán)隊(duì)15天內(nèi)完成）；修復(fù)Windows漏洞（5天內(nèi)補(bǔ)丁更新）；網(wǎng)絡(luò)隔離（業(yè)務(wù)網(wǎng)與辦公網(wǎng)邏輯隔離）。運(yùn)維：完善備份策略（每日增量+每周全量，異地離線存儲(chǔ)）；每月開(kāi)展備份恢復(fù)演練。（二）中風(fēng)險(xiǎn)處置（1個(gè)月內(nèi)完成）1.內(nèi)部違規(guī)操作：管理：制定《終端使用規(guī)范》；新員工入職時(shí)開(kāi)展釣魚(yú)郵件識(shí)別培訓(xùn)。（三）長(zhǎng)期優(yōu)化建立安全運(yùn)營(yíng)中心（SOC）：整合日志審計(jì)、威脅情報(bào)，實(shí)現(xiàn)7×24小時(shí)監(jiān)控。推進(jìn)等保合規(guī)：參照GB/T____（等保2.0）完善安全體系。開(kāi)展紅藍(lán)對(duì)抗：每年組織紅隊(duì)（攻擊）與藍(lán)隊(duì)（防守）演練，檢驗(yàn)防護(hù)能力。七、結(jié)論與展望本次評(píng)估共識(shí)別23項(xiàng)風(fēng)險(xiǎn)（高風(fēng)險(xiǎn)5項(xiàng)、中風(fēng)險(xiǎn)12項(xiàng)、低風(fēng)險(xiǎn)6項(xiàng)），核心風(fēng)險(xiǎn)集中在數(shù)據(jù)泄露、勒索病毒、內(nèi)部操作層面。需優(yōu)先處置高風(fēng)險(xiǎn)項(xiàng)，避免重大損失。后續(xù)建議建立常態(tài)化評(píng)估機(jī)制（每半年一次），