16
8制定及确认错误未定义书签。
9附录A：脆弱性编号规则18
f1概述
11项目背景
为了切实提高各系统的安全保障水平，更好地促进各系统的安全建设工作，提升奥运保障能力，需要增强对于网运中心各系统的安全风险控制，发现系统安全风险并及时纠正。根据网络与信息安全建设规划，为了提高各系统的安全保障和运营水平，现提出系统安全加固与服务项目。
12工作方法
在本次安全风险评测中将主要采用的评测方法包括：人工评测；工具评测；调查问卷；顾问访谈。
13评估范围
此次系统测评的范围主要针对该业务系统所涉及的服务器、应用、数据库、网络设备、安全设备、终端等资产。
主要涉及以下方面：1业务系统的应用环境，；2网络及其主要基础设施，例如路由器、交换机等；3安全保护措施和设备，例如防火墙、IDS等；4信息安全管理体系（ISMS）
14基本信息
被评估系统名称业务系统负责人
xx系统
评估工作配合人员
f2业务系统分析
21业务系统职能
22网络拓扑结构
图表1业务系统拓扑结构图
23边界数据流向
编号
边界名称
1MDN
边界类型路径系统发起方数据流向现有安全措施
系统类MDN
本系统对端系统
双向
系统架构隔离
3资产分析
31信息资产分析
311信息资产识别概述
资产是风险评估的最终评估对象。在一个全面的风险评估中，风险的所有重
要因素都紧紧围绕着资产为中心，威胁、脆弱性以及风险都是针对资产而客观存
在的。威胁利用资产自身的脆弱性使得安全事件的发生成为可能，从而形成了风
险。这些安全事件一旦发生，将对资产甚至是整个系统都将造成一定的影响。
资产被定义为对组织具有价值的信息或资源，资产识别的目标就是识别出资
产的价值，风险评估中资产的价值不是以资产的经济价值来衡量，而是由资产在
其安全属性机密性、完整性和可用性上的达成程度或者其安全属性未达成时
所造成的影响程度来决定的。
资产估价等级
赋值
高
3
中
2
低
1
f312信息资产识别
资产分类
组号
物服务器1理资产
网络设备2
软操作系
件统、数据3资库和应用
产软件4
资产组
资产编号
H001H002H003H004N001N002N003H001H002H003
H004D001
具体资产
su
ultra60su
ultra60su
ultra60su
ultra60华为3680E华为3680E华为S2016
SolarisSolaris
Solaris
SolarisSybase
资产
IP地址名称
估价等级
中
中
高
r