风险评估报告(模板)

2015年12月集团数据专线项目（B1531210）

上线前网络信息安全风险评估报告

填表说明：

1. 根据系统实际情况，选择每项评估内容是否适用，在 □ 内打“√”；

2. 如该项评估内容选择了“□ 不适用”，可在“评估过程、整改情况”中注明“不适用”； 3. 本评估报告需验收单位安全员签字后，扫描并上传至PMS或工程管理系统。 4. 如某项评估选择了“不适用”，请在栏内注明不适用原因。 5. 如有其他评估措施，可在本表中自行增加。

一、 资产列表

序号 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 IP地址 211.142..1 183.203.185.7 111.53.155.84 183.203.190.78 111.53.147.194 211.142..40 111.53.156.163 111.53.145.66 111.53.150.94 221.131.46.45 111.53.148.119 111.53.145.105 111.53.159.12 211.142.86.228 111.53.151.40 操作系统及版本 Windows Windows Windows Windows Windows Windows Windows Windows Windows Windows Windows Windows Windows Windows Windows 用途 安泽司法局-安泽城南光交 临汾市1楼交警支队-临汾市交警支队机房 尧都区新安达圣通联-骨科医院基站 备注 兴业银行临汾分行-华苑明邸基站 侯马宜佳酒店基站-侯马交通医院 乡宁张礼基站-乡宁水利局旺铺宝 乡宁富康源煤业办公机房—富康源煤业监控 城郊刘村基站-山煤国际能源 曲沃公路段基站-新沃驾校 中铁十三局永和川口站-永和川口基站 襄汾丁陶光交-襄汾复兴路天眼 尧都区东关花园基站-京联外科医院 古县人民医院基站-古县人民医院联社 吉县中垛基站-吉县南掌村中石化 胡村二站-临吉高速出入口 - 1 -

中国移动通信集团山西公司 上线风险评估报告

16 17 111.53.156.160 111.53.151.40 台头煤焦办公楼基站-台头煤焦公Windows Windows 司路口 临吉高速出入口红绿灯机柜-临吉高速出入口红绿灯 二、 评估过程

1. 系统/设备漏洞评估 □ 适用 □ 不适用 经过系统漏洞核查工具扫描，共发现漏洞风险 0个（其中1) 评估过程 高危0个、中危0个、低危0个），问题主要涉及“ 弱口令/默认共享/关键系统补丁缺失/”类型。 经过对上述已发现问题的整改，现已完成安全加固，经过验证测试，已不存在上述问题。 2) 整改情况 2. 安全配置合规（基线）评估 □ 适用 □ 不适用 按照集团公司各专业对相关设备及系统的安全基线规范要1) 评估过程 求，对本项目设备、操作系统（或数据库、中间件等）的配置合规情况（配置基线）进行了核查，共发现 0 项配置不合规，主要问题为 。 经过对上述已发现问题的整改和测试验证，现已经达到集团基线配置规范要求。 □ 适用 □ 不适用 根据对系统Web页面的扫描，共发现漏洞风险0个（其中2) 整改情况 3. Web网页评估 1) 评估过程 高危0个、中危0个、低危0个），主要包括“跨站、注入、明文传输、默认口令、默认管理页面……”等类型 2) 整改情况 经过对上述已发现问题的整改，已经完成问题加固，经验- 2 -

中国移动通信集团山西公司 上线风险评估报告

证测试，已不存在上述问题。 4. 应用安全评估 □ 适用 □ 不适用 根据对应用系统的“账户分配、权限设置、业务流程、内1) 评估过程 容防护”等方面进行的风险评估，主要问题为： 。 2) 整改情况 目前已完成整改，可以满足应用安全要求。 三、 安全风险评估结论

根据对2015年12月集团数据专线项目（B1531210）所属资产进行的系统漏洞扫描、安全合规（基线）扫描、网页安全扫描、业务应用检查等方面网络信息安全风险评估，针对已发现的安全风险，经过加固与测试，目前各关键安全风险均得到有效处置，综合考虑到系统实际生产运行需求与风险控制管理之间的相互关系，认为可满足上线安全要求。

验收单位安全员（签字）：

日期：

- 3 -