XXX網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估報(bào)告XXXXXX科技股份有限公司20XX年XX月

概述XXXXXX科技股份有限公司（以下簡稱“XXXXXX”）針對(duì)XXX信息系統(tǒng)現(xiàn)狀開展安全評(píng)估工作，通過本次評(píng)估工作對(duì)XXX信息資產(chǎn)的安全狀態(tài)進(jìn)行檢測，明確了XXX信息資產(chǎn)的存在的風(fēng)險(xiǎn)、防護(hù)能力及潛伏威脅等安全現(xiàn)狀，為系統(tǒng)加固及持續(xù)加強(qiáng)網(wǎng)絡(luò)與信息安全建設(shè)提供依據(jù)、指引方向。完整的評(píng)估過程包括資產(chǎn)梳理-脆弱性檢測-風(fēng)險(xiǎn)分析-處置建議-評(píng)估報(bào)告；本次評(píng)估基于統(tǒng)一的威脅場景分析，即所有系統(tǒng)面臨的安全威脅基本是一致的。風(fēng)險(xiǎn)評(píng)估結(jié)果概述本次安全評(píng)估范圍涉及X臺(tái)主機(jī)/設(shè)備，最終發(fā)現(xiàn)存在較高安全風(fēng)險(xiǎn)的主機(jī)有X臺(tái)，其中極高安全風(fēng)險(xiǎn)的主機(jī)X臺(tái)、高安全風(fēng)險(xiǎn)的主機(jī)X臺(tái)，中風(fēng)險(xiǎn)的主機(jī)X臺(tái)，高風(fēng)險(xiǎn)以上主機(jī)占整體主機(jī)數(shù)量的0.0%。其中X個(gè)等級(jí)保護(hù)系統(tǒng)存在0臺(tái)高風(fēng)險(xiǎn)主機(jī)。圖1.1風(fēng)險(xiǎn)級(jí)別統(tǒng)計(jì)圖1.2風(fēng)險(xiǎn)類型統(tǒng)計(jì)參照標(biāo)準(zhǔn)本次評(píng)估參照的安全標(biāo)準(zhǔn)包括：《中華人民共和國網(wǎng)絡(luò)安全法》《國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組<關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見>》（國信辦[2006]5號(hào)）《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T20984-2007）《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南》（GB/T31509-2015）《信息安全技術(shù)信息安全事件分類分級(jí)指南》（GB/Z20986-2007）《計(jì)算機(jī)場地通用規(guī)范》（GB/T2887-2011）《信息技術(shù)安全技術(shù)信息安全控制實(shí)踐指南》（GB/T22081-2016）《信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理》（GB/T31722-2015）《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》（GB/T20273-2019）《信息安全技術(shù)網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》（GB/T20270-2006）《信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求》（GB/T20271-2006）《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)要求》（GB/T28448-2019）《信息技術(shù)安全技術(shù)信息安全管理體系要求》（ISO/IEC27001:2013）《信息技術(shù)安全技術(shù)信息安全風(fēng)險(xiǎn)管理》（ISO/IEC27005:2018）《信息技術(shù)安全評(píng)估準(zhǔn)則》（ISO/IEC15408）網(wǎng)絡(luò)拓?fù)浔敬伟踩L(fēng)險(xiǎn)評(píng)估范圍的網(wǎng)絡(luò)拓?fù)鋱D如下：附入：網(wǎng)絡(luò)拓?fù)鋱D（沒有資料時(shí)說明原因，比如：客戶限制網(wǎng)絡(luò)拓?fù)渫鈧?，僅限現(xiàn)場查閱。）服務(wù)團(tuán)隊(duì)為順利完成本次評(píng)估工作，結(jié)合客戶情況成立了評(píng)估項(xiàng)目工作組負(fù)責(zé)開展本次評(píng)估工作，由XXXXXX安全服務(wù)團(tuán)隊(duì)實(shí)施，其他成員及服務(wù)商配合。組織結(jié)構(gòu)如下：表1.1評(píng)估組織序號(hào)組名成員1甲方配合人員2項(xiàng)目經(jīng)理3資產(chǎn)識(shí)別組4脆弱性威脅識(shí)別組5風(fēng)險(xiǎn)分析組6報(bào)告輸出組評(píng)估結(jié)果綜述在經(jīng)過資產(chǎn)梳理、脆弱性分析、風(fēng)險(xiǎn)評(píng)估過程后，我們對(duì)XXX信息資產(chǎn)識(shí)別出來的安全風(fēng)險(xiǎn)按以下維度做闡述：資產(chǎn)漏洞風(fēng)險(xiǎn)資產(chǎn)漏洞風(fēng)險(xiǎn)指的是資產(chǎn)（主機(jī)、設(shè)備、應(yīng)用等）存在的可被攻擊者利用的安全漏洞的技術(shù)風(fēng)險(xiǎn)。本次評(píng)估識(shí)別出的系統(tǒng)漏洞匯總?cè)缦拢罕?.1系統(tǒng)漏洞匯總表漏洞等級(jí)極高高中低極低數(shù)量00000占比0.0%0.0%0.0%0.0%0.0%圖2.1漏洞風(fēng)險(xiǎn)分布圖*系統(tǒng)漏洞等級(jí)說明參見本報(bào)告附錄資產(chǎn)綜合風(fēng)險(xiǎn)綜合風(fēng)險(xiǎn)維度（資產(chǎn)價(jià)值*技術(shù)脆弱性值），即同時(shí)考慮資產(chǎn)價(jià)值及其漏洞被利用后造成的損失大小。表2.2資產(chǎn)風(fēng)險(xiǎn)表風(fēng)險(xiǎn)等級(jí)極高高中低極低數(shù)量00050占比0.0%0.0%0.0%100.0%0.0%*資產(chǎn)風(fēng)險(xiǎn)詳情參照第2.4章節(jié).圖2.2資產(chǎn)綜合分布圖業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)從業(yè)務(wù)系統(tǒng)維度評(píng)估哪些業(yè)務(wù)系統(tǒng)存在技術(shù)風(fēng)險(xiǎn)。一個(gè)業(yè)務(wù)系統(tǒng)如果其中的一臺(tái)或多臺(tái)主機(jī)存在高風(fēng)險(xiǎn)，則系統(tǒng)的等級(jí)為“高風(fēng)險(xiǎn)”。本次評(píng)估了XXXX個(gè)業(yè)務(wù)系統(tǒng)，其中X個(gè)為“極高風(fēng)險(xiǎn)”系統(tǒng)；X個(gè)為“高風(fēng)險(xiǎn)”系統(tǒng)；X個(gè)為“中風(fēng)險(xiǎn)”系統(tǒng)；X個(gè)為“低風(fēng)險(xiǎn)”系統(tǒng)；X個(gè)為“極低風(fēng)險(xiǎn)”系統(tǒng)。表2.3業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)等級(jí)表序號(hào)業(yè)務(wù)系統(tǒng)名稱系統(tǒng)價(jià)值風(fēng)險(xiǎn)主機(jī)風(fēng)險(xiǎn)主機(jī)數(shù)風(fēng)險(xiǎn)等級(jí)13極高:0；高：0；中：0；低：0；極低:10極低23極高:0；高：0；中：0；低：0；極低:10極低33極高:0；高：0；中：0；低：0；極低:10極低43極高:0；高：0；中：0；低：0；極低:10極低53極高:0；高：0；中：0；低：0；極低:10極低圖2.3業(yè)務(wù)系統(tǒng)與風(fēng)險(xiǎn)等級(jí)占比圖資產(chǎn)風(fēng)險(xiǎn)詳情資產(chǎn)的綜合風(fēng)險(xiǎn)分析指對(duì)資產(chǎn)的價(jià)值及其脆弱性做綜合分析后；資產(chǎn)的綜合風(fēng)險(xiǎn)為資產(chǎn)價(jià)值與資產(chǎn)存在的技術(shù)漏洞的嚴(yán)重性相作用（乘積）的結(jié)果。本次評(píng)估各系統(tǒng)經(jīng)分析后的風(fēng)險(xiǎn)值及風(fēng)險(xiǎn)等級(jí)詳情如下：表2.4主機(jī)風(fēng)險(xiǎn)值和風(fēng)險(xiǎn)等級(jí)詳情表序號(hào)主機(jī)IP/URL資產(chǎn)名稱漏洞數(shù)主機(jī)風(fēng)險(xiǎn)值資產(chǎn)價(jià)值風(fēng)險(xiǎn)值風(fēng)險(xiǎn)等級(jí)1極高:；高：；中：；低：；極低:2極高:；高：；中：；低：；極低:資產(chǎn)梳理結(jié)果資產(chǎn)概覽通過系統(tǒng)性的資產(chǎn)梳理過程，本次安全評(píng)估為XXX梳理出5個(gè)業(yè)務(wù)系統(tǒng)及5個(gè)信息資產(chǎn)，其中對(duì)系統(tǒng)可用性或業(yè)務(wù)價(jià)值較大的重要資產(chǎn)有5個(gè)，資產(chǎn)梳理和賦值的詳情請(qǐng)參閱附件《資產(chǎn)總表》，對(duì)資產(chǎn)梳理的結(jié)果從不同維度分析如下：資產(chǎn)與部門分布部門資產(chǎn)數(shù)量*占比信息部5100.0%*單位為個(gè)/臺(tái)資產(chǎn)與業(yè)務(wù)系統(tǒng)分布系統(tǒng)名稱等保級(jí)別資產(chǎn)數(shù)量*占比二級(jí)120.0%二級(jí)120.0%二級(jí)120.0%二級(jí)120.0%二級(jí)120.0%*單位為個(gè)/臺(tái)資產(chǎn)價(jià)值分布資產(chǎn)價(jià)值12345數(shù)量*00500占比0.0%0.0%100.0%0.0%0.0%*單位為個(gè)/臺(tái)操作系統(tǒng)分布序號(hào)操作系統(tǒng)資產(chǎn)數(shù)量*占比1360.0%2iPXE1.0.0+120.0%3OpenBSD4.8120.0%*單位為個(gè)/臺(tái)數(shù)據(jù)庫系統(tǒng)序號(hào)數(shù)據(jù)庫類型版本號(hào)IP數(shù)量*12*單位為個(gè)/臺(tái)中間件序號(hào)中間件類型版本號(hào)IP數(shù)量*12*單位為個(gè)/臺(tái)資產(chǎn)潛在風(fēng)險(xiǎn)端口本次評(píng)估服務(wù)，我們對(duì)貴單位在線的系統(tǒng)和設(shè)備其典型的開放端口（服務(wù)）進(jìn)行了評(píng)估，結(jié)果如下圖。識(shí)別出一些常見的服務(wù)端口存在的風(fēng)險(xiǎn)，如23端口（Telnet明文）、21端口（FTP明文登錄、文件共享）、80端口（不必要的站點(diǎn)）等。對(duì)不必要的服務(wù)及端口，應(yīng)給予關(guān)閉。表3.1資產(chǎn)潛在風(fēng)險(xiǎn)端口表端口號(hào)端口說明端口服務(wù)風(fēng)險(xiǎn)涉及IP21ftp允許匿名的上傳下載，爆破，嗅探，win提權(quán)，遠(yuǎn)程執(zhí)行(proftpd1.3.5)，各類后門(proftpd、vsftp2.3.4)3,,015,9資產(chǎn)脆弱性分析TOP10系統(tǒng)漏洞本次評(píng)估服務(wù)，我們對(duì)貴單位的信息資產(chǎn)進(jìn)行了全面的技術(shù)評(píng)估，按漏洞涉及的資產(chǎn)數(shù)量及漏洞的嚴(yán)重等級(jí)，我們分析出貴單位的TOP10系統(tǒng)漏洞：表4.1TOP10系統(tǒng)漏洞表序號(hào)漏洞名稱CVE風(fēng)險(xiǎn)等級(jí)涉及資產(chǎn)資產(chǎn)數(shù)12345678910系統(tǒng)漏洞類型分布本次評(píng)估過程識(shí)別出的所有技術(shù)漏洞，根據(jù)其出現(xiàn)次數(shù)及占比，典型的漏洞類型如下：圖4.1典型漏洞類型分布圖資產(chǎn)漏洞詳情本次評(píng)估識(shí)別出的所有資產(chǎn)漏洞詳情，包括系統(tǒng)漏洞、WEB漏洞、弱口令、基線核查結(jié)果、滲透測試結(jié)果，均已匯總到附件《系統(tǒng)漏洞詳情》.XLS，請(qǐng)參閱。資產(chǎn)漏洞詳情-口令爆破表4.2口令爆破表序號(hào)IP/URL資產(chǎn)名稱弱口令數(shù)量12資產(chǎn)漏洞詳情-系統(tǒng)漏洞本次評(píng)估系統(tǒng)漏洞至附件《系統(tǒng)漏洞詳情》.XLS，請(qǐng)參閱。資產(chǎn)漏洞詳情-WEB漏洞WEB漏洞代表的是WEB應(yīng)用層的漏洞，對(duì)于暴露在外網(wǎng)的WEB系統(tǒng)來說，將面臨互聯(lián)網(wǎng)上的直接威脅，建議立即整改，整改方法參見XLS附件。資產(chǎn)漏洞詳情-基線核查本次風(fēng)險(xiǎn)評(píng)估共對(duì)0個(gè)資產(chǎn)做了基線檢查，完全合規(guī)的資產(chǎn)有0個(gè)，部分合規(guī)的資產(chǎn)有0個(gè)，整體合規(guī)率為0.0%。合規(guī)率未達(dá)100%的資產(chǎn)存在合規(guī)風(fēng)險(xiǎn)及一定的技術(shù)風(fēng)險(xiǎn)?；€檢查的整體結(jié)果如下，各個(gè)資產(chǎn)的詳細(xì)檢查結(jié)果及整改建議請(qǐng)參閱附件《系統(tǒng)漏洞詳情》.XLS。系統(tǒng)安全基線核查是風(fēng)險(xiǎn)評(píng)估中的一個(gè)可選項(xiàng)?；€的未合規(guī)項(xiàng)主要面臨的是系統(tǒng)配置上的合規(guī)風(fēng)險(xiǎn)（如等保的強(qiáng)制要求），如有合規(guī)需求時(shí)務(wù)必要整改。其他情況下，個(gè)別配置項(xiàng)對(duì)系統(tǒng)安全有一定幫助，如帳號(hào)口令復(fù)雜性要求、登錄限制要求；而多數(shù)基線配置項(xiàng)沒有直接的外部安全威脅/風(fēng)險(xiǎn)相關(guān)性，請(qǐng)貴單位視實(shí)際需要按其建議修改。表4.3基線核查表序號(hào)主機(jī)ip資產(chǎn)名稱等保級(jí)別資產(chǎn)價(jià)值高危項(xiàng)中危項(xiàng)合規(guī)率12威脅評(píng)估常規(guī)威脅威脅是指可能對(duì)資產(chǎn)或組織造成損害事故的事物及行為。作為評(píng)估中的重要因素，威脅是一個(gè)客觀存在的事物，無論多么安全的信息系統(tǒng)，它都存在。通過資產(chǎn)所處的環(huán)境條件和資產(chǎn)以前遭受威脅損害的情況，和重要資產(chǎn)的脆弱性情況，直接獲得重要資產(chǎn)可能遭受哪些具體威脅的破壞，或?qū)σ恍┌踩录砻娆F(xiàn)象進(jìn)行分析后，間接獲得安全事件背后的威脅。得出的威脅列表如下：附入：脆弱性、威脅、風(fēng)險(xiǎn)分析表中威脅部分潛伏威脅潛伏威脅區(qū)別于常規(guī)的安全威脅，潛伏威脅往往是已經(jīng)利用了部分脆弱性造成了一定的影響，但未對(duì)業(yè)務(wù)造成可用性破壞因此不易察覺，且區(qū)別于常規(guī)威脅的發(fā)生幾率，潛伏威脅幾乎不需要再次利用脆弱性，只需等待爆發(fā)時(shí)機(jī)（或已經(jīng)爆發(fā)），因此必定會(huì)對(duì)資產(chǎn)產(chǎn)生影響。鑒于潛伏威脅的高危害性，對(duì)于已知的潛伏威脅須盡快整改。本次潛伏威脅評(píng)估結(jié)果如下：附入：潛伏威脅評(píng)估表風(fēng)險(xiǎn)處置建議網(wǎng)絡(luò)安全風(fēng)險(xiǎn)是一個(gè)動(dòng)態(tài)變化的過程，所以，針對(duì)本次評(píng)估識(shí)別出來的安全風(fēng)險(xiǎn)，貴單位應(yīng)參照2.4中的評(píng)估結(jié)果：1)優(yōu)先對(duì)存在極高、高風(fēng)險(xiǎn)的資產(chǎn)進(jìn)行全面的風(fēng)險(xiǎn)處置；對(duì)中等級(jí)的風(fēng)險(xiǎn)，應(yīng)根據(jù)實(shí)際可接受程度及處置成本確定處置策略；2)定期對(duì)網(wǎng)絡(luò)進(jìn)行安全評(píng)估，隨時(shí)監(jiān)控網(wǎng)絡(luò)的安全狀況，并形成文檔；3)如需對(duì)技術(shù)漏洞做持續(xù)的監(jiān)測及管理，建議部署XXXXXXVMS（漏洞管理系統(tǒng)）。對(duì)本次評(píng)估過程識(shí)別的安全風(fēng)險(xiǎn)，我們已根據(jù)風(fēng)險(xiǎn)等級(jí)制定了處置建議。對(duì)于可接受風(fēng)險(xiǎn)建議保留現(xiàn)有的控制措施，并持續(xù)監(jiān)控防止風(fēng)險(xiǎn)升級(jí)；對(duì)于極高和高風(fēng)險(xiǎn)，建議立即采取安全措施控制風(fēng)險(xiǎn)。附件《資產(chǎn)總表》.XLS《資產(chǎn)風(fēng)險(xiǎn)表》.XLS《系統(tǒng)漏洞詳情》.XLS系統(tǒng)資產(chǎn)賦值表表7.1資產(chǎn)賦值表序號(hào)系統(tǒng)名稱等保級(jí)別系統(tǒng)價(jià)值賦值說明1二級(jí)32二級(jí)33二級(jí)34二級(jí)35二級(jí)3術(shù)語及定義術(shù)語資產(chǎn)：對(duì)組織具有價(jià)值的任何東西，在IT領(lǐng)域內(nèi)稱為信息資產(chǎn)。資產(chǎn)價(jià)值：資產(chǎn)的重要程度或敏感程度的表征。資產(chǎn)價(jià)值是資產(chǎn)的屬性，也是進(jìn)行資產(chǎn)識(shí)別的主要內(nèi)容。資產(chǎn)風(fēng)險(xiǎn)：資產(chǎn)風(fēng)險(xiǎn)為資產(chǎn)價(jià)值與資產(chǎn)存在漏洞的嚴(yán)重性相作用的結(jié)果。資產(chǎn)價(jià)值表8.1資產(chǎn)賦值參考表資產(chǎn)價(jià)值說明5非常重要，其安全屬性破壞后可能對(duì)組織造成非常嚴(yán)重的影響4重要，其安全屬性破壞后可能對(duì)組織造成比較嚴(yán)重的影響3比較重要，其安全屬性破壞后可能對(duì)組織造成中等程度的影響2不太重要，其安全屬性破壞后可能對(duì)組織造成較小影響1不重要，其安全屬性破壞后對(duì)組織的影響很小，甚至可以忽略不計(jì)*重要資產(chǎn)：指資產(chǎn)價(jià)值≥3的信息資產(chǎn)，此類資產(chǎn)對(duì)支撐業(yè)務(wù)運(yùn)營有較大的價(jià)值。漏洞等級(jí)表8.2系統(tǒng)漏洞等級(jí)標(biāo)準(zhǔn)漏洞等級(jí)漏洞風(fēng)險(xiǎn)等級(jí)說明賦值極高攻擊者可以較直接地利用漏洞遠(yuǎn)程執(zhí)行任意命令或者代碼，獲得系統(tǒng)控制權(quán)5高攻擊者可以利用漏洞遠(yuǎn)程執(zhí)行任意命令或者代碼，或進(jìn)行遠(yuǎn)程拒絕服務(wù)攻擊4中攻擊者可以遠(yuǎn)程創(chuàng)建、修改、刪除文件或數(shù)據(jù)，或?qū)ζ胀ǚ?wù)進(jìn)行拒絕服務(wù)攻擊3低攻擊者可以獲取某些非敏感的系統(tǒng)、服務(wù)的信息，或讀取系統(tǒng)文件和數(shù)據(jù)2極低風(fēng)險(xiǎn)極低，可忽略1表8.3WEB漏洞等級(jí)標(biāo)準(zhǔn)漏洞等級(jí)漏洞風(fēng)險(xiǎn)等級(jí)說明賦值極高漏洞可以直接被利用獲得系統(tǒng)權(quán)限，或能GETSHELL5高攻擊者可以遠(yuǎn)程操作系統(tǒng)文件、讀寫后臺(tái)數(shù)據(jù)庫、執(zhí)行任意命令或進(jìn)行遠(yuǎn)程拒絕服務(wù)攻擊4中攻擊者可以利用WEB網(wǎng)站攻擊其他用戶，讀取系統(tǒng)文件或后臺(tái)數(shù)據(jù)庫3低攻擊者可以獲取某些系統(tǒng)、文件的信息或冒用身份。2極低風(fēng)險(xiǎn)極低，可忽略1表8.4弱口令漏洞等級(jí)標(biāo)準(zhǔn)