00 信息系统安全风险评估总结报告.doc

信息系统安全风险评估总结报告 文档信息 文档名称 主任分组 副组长 计算机硕士 应用系统 主任 副组长 小组 成员 监理工程师 成员 工程师 组长 网络总监 副组长 副主任 副主任成员网络通讯 高级程序员 流量分析与系统测试 专家咨询组 CCIE 副主任 副主任 组组组组组组组组组组组组组组组组组组组组组组组组组组 组组组组组组组组组组组组组组组组 xxxxxx信息系统安全风险评估总结报告 应用系统组组长 /教授组组组组组组组组 保密级别 组组 商密 组组组组组组 文档版本编号 副主任组组组 组 1.0 /教授 组组组 文档管理编号 组组 XJAIR-PGBG 总监 组组组组组组组 管理人 主任组组 组组 xxxxxx信息部 网络通讯组组长 组组组 起草人 组组组组组 组组组组组组组组组组 制作日期 副所长/ 组 组组组 2005/05/26 研究员 组组组 复审人 姓名 职务 组组组组组组组 评估工作领导小组 风险评估专家咨询小组 /职称 工作单位 组组组组组组组组组组组组组组组组 复审日期 副处长组组组 组 2005/06/16 工作职责 组组组组 扩散范围 主任 组组组组组组组组组组 xxxxxx风险评估项目组，风险评估专家咨询小组， xxxxxx信息部 应用系统组组长教授 /教授 组组组 组组组 组组组组组组组组组组组组组组组组组组组 文档说明 本文档为xxxxxx信息系统安全风险评估总结报告，包括风险评估概述、风险评估方法、系统特征描述、风险分析和风险控制几个部分。 版权声明 本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属xxxxxx监理公司所有，受到有关产权及版权法保护。任何个人、机构未经xxxxxx监理公司的书面授权许可，不得以任何方式复制或引用本文件的任何片断。 前 言 2003年中共中央办公厅、国务院办公厅下发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)，即27号文件，文件指出：“为了进一步提高信息安全保障工作的能力和水平，……要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素，进行相应等级的安全建设和管理。”为加强信息安全保障工作，开展重要行业信息系统的安全风险评估工作指明了方向。 金融、电信和民航一向被认为是我国信息化程度最高的三大行业，也是信息化手段更新最快、对信息技术依赖性最强的行业。安全生产是民航运输业的重中之重，但是由于信息安全保障不足，2003年7月，某机场的计算机网络系统突然瘫痪，一时间，所有飞机无法起降，大量乘客被困机场，严重影响机场的正常运营，并造成了巨大的损失。而在不久之后，某大型民航机场的信息系统又突然出现问题，所幸几分钟后机场备用系统成功地接替了工作，顺利化险为夷。这些例子说明，当前民航网络和信息安全形势不容乐观，重要的网络和信息系统缺乏必要的安全防范手段，这同样也成为了民航信息化建设的隐患。值得一提的是，和国外相比，信息网络安全在国内的信息系统建设过程中所受到的重视程度往往不够，投资所占的比例明显偏低。也许这正是我国信息系统安全的隐忧所在。目前，银行、电力、铁路、民航、证券、保险、海关、税务已经被列入与国计民生密切相关的八大重点行业之中，其信息安全保障工作受到国信办的高度重视。 xxxxxx致力于信息系统建设近十年，期间信息系统经历了多次的升级改造，同时在信息系统的建设过程中，航空公司也经历了重大的机构调整，实行了机场、民航管理局和航空公司的分离，成立了xxxxxx集团xx分公司，并形成了xxxxxx独立的网络系统。在信息系统建设形成一定规模、网络系统经过重大调整的情况下，xxxxxx部适时提出了进行“信息系统安全风险评估”这一具有前瞻性、建设性的要求，请第三方机构对信息系统的安全管理、网络通讯、应用系统进行全面的安全风险评估。 本报告是整个评估工作的总结性报告，综合分析了xxxxxx系统的特征、面临的安描述了针对脆系统存在的脆弱性以及威胁利用脆弱性可能对系统造成的风险，全威胁、． 弱性提出的信息安全风险控制建议。评估过程及详细的测试分析内容分别体现在本报告的附件-01到附件-18。 目 录 ...............................................................................................................