1 概述

1.1 安全评估目的

随着信息化的发展，政府部门、金融机构、企事业单位等对信息系统依赖程度的日益增强，信息安全问题受到普遍关注。对信息系统软件进行安全测评，综合分析系统测试过程中有关现场核查、技术测试以及安全管理体系评估的结果，对其软件系统安全要求符合性和安全保障能力作出综合评价，提出相关改进建议，并在系统整改后进行复测确认。以确保信息系统的安全保护措施符合相应安全等级的基本安全要求。

根据最新的统计结果，超过70%的安全漏洞出现在应用层而不是网络层。而且不只发生在操作系统或者web浏览器，而发生在各种应用程序中-特别是关键的业务系统中。因此，有必要针对xxx系统应用软件进行安全风险评估，根据评估结果，预先采取防范措施，预防或缓解各种可能出现的信息数据安全风险。

1.2 安全评估要求

XXXXXXXX

2 软件安全评估具体需求

2.1 安全评估指导原则

软件安全风险评估作为一项目标明确的项目，应分为以下五个阶段，每个阶段有不同的任务需要完成。

1、启动和范围确定：在安全相关软件的合同或任务书中应提出软件安全性分析的范围和要求。实施方明确责任，管理者检查必备的资源（包括人员、技术、基础设施和时间安排），确保软件安全性分析的开展；

…… …… 余下全文

XXXXXXXX石化项目执行系统安全评估报告

…… …… 余下全文

信息安全评估报告

(管理信息系统)

二零一六年一月

1

1 目标

××单位信息安全检查工作的主要目标是通过自评估工作，发现本局信息系统当前面临的主要安全问题，边检查边整改，确保信息网络和重要信息系统的安全。

2 评估依据、范围和方法

2.1 评估依据

根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》（信安通［2006］15号）、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》（办信息[2006]48号）以及集团公司和省公司公司的文件、检查方案要求, 开展××单位的信息安全评估。

2.2 评估范围

本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等，管理信息系统中业务种类相对较多、网络和业务结构较为复杂，在检查工作中强调对基础信息系统和重点业务系统进行安全性评估，具体包括：基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。

2.3 评估方法

采用自评估方法。

3 重要资产识别

对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别，将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总，形成重要资产清单。资产清单见附表1。

…… …… 余下全文

可靠性软件评估报告

目前，关于可靠性分析方面的软件产品在市场上出现的越来越多，其中比较著名的有以下3种产品：英国的ISOGRAPH、广五所的CARMES和美国Relex。总体上来说，这些可靠性软件都是基于相同的标准，因此它们的基本功能也都十分类似，那么如何才能分辨出它们之间谁优谁劣呢？根据可靠性软件的特点和我厂的实际情况，我认为应主要从软件的稳定性、易用性和工程实用性三个方面进行考虑，现从这几个方面对上述软件进行一个简单的论证，具体内容如下。

稳定性

要衡量一个可靠性软件的好坏，首先是要看该软件的运行是否稳定。对一个可靠性软件来说，产品的稳定性十分重要。一个没有经过充分测试、自身的兼容性不好、软件BUG很多、经常死机的软件，用户肯定是不能接受的。当然，评价一个可靠性分析软件是否具有良好的稳定性，其最好的证明就是该产品的用户量和发展历史。

ISOGRAPH可靠性分析软件已将近有20年的发展历史，目前全球已有7000多个用户，遍布航空、航天、铁路、电子、国防、能源、通讯、石油化工、汽车等众多行业以及多所大学，其产品的每一个模块都已经过了isograph的工程师和广大用户的充分测试，因而其产品的稳定性是毋庸置疑的。而广五所的CARMES和美国Relex软件相对来说，其用户量比较少，而且其产品的每一个模块的发布时间都比isograph软件的相应模块晚得多，特别是一些十分重要的模块。

…… …… 余下全文

第十一章 系统平台安全评估结果

11.1   系统平台安全评估结果汇总与分析

首先分别从物理环境安全、网络平台安全、操作系统/平台安全、数据库系统安全、应用系统安全五个方面进行评估，然后综合各部分评估结果形成网上银行系统平台安全评估结果，具体评估结果见下表：

通过网上银行系统平台安全评估结果，AAA网上银行系统在物理环境安全、网络平台安全、操作系统安全、数据库系统安全和应用系统安全几个方面都有比较好的设计、规划和实现。

好的方面主要表现在以下几个方面：

1)  运行维护方面：

建立了完整的日志及审计机制，日志的收集和定期审计对网络安全问题的发现和追查都有重要的意义。

在网银系统的Internet入口部署了IDS，可以及时监测流量突发事件和事件源头。

目前网络管理主要使用加密的SSH和HTTPS，加密的数据传输对嗅探攻击相对安全。

网上银行技术支持小组及时了解、分析研究各系统软件（包括 Sun Solaris, ScreenSecureNet, CheckPoint,  ITA, NetProwler, Cybercop, OS/400等等）最新相关安全的Patch信息以及最新版本信息，如有必要及时安装相应的软件Patch或者进行必须的系统软件升级，确保系统无安全漏洞。

…… …… 余下全文

附件4

信息安全服务风险评估报告

V1.1.0

客户安全风险分析

客户名称: Name:

Security Risk Analysis

客户资产记录

(如FTP/MAIL/WWW/OA等)

服务描述

① ② ③ ④ ⑤ 服务项目

涉密情况

风险后果

合计:

设备名称

购入日期

购入价格

折旧率

① ② ③ ④ ⑤ 合计:

购入价格

软件价值

名称/版本/类型

购入日期

折旧率

① ② ③ ④ ⑤

合计:

运营成本 ①

维护人员价值

数量

维护费用合计:

V1.1.0

② ③ ④ ⑤ 开发人员价值 办公费用 管理费用 其他费用 数量 开发费用合计: 合计: 合计: 合计:

V1.1.0

因安全问题而产生的风险分析

业务中断产生的损失

损失内容

权重

元

发生的概率

① ② ③ ④ ⑤ ⑥ ⑦ ⑧ ⑩

政治影响: 服务中断损失: 固定资产损失: 运营成本损失: 经营数据库的损失: 系统升级成本： 公共形象的损失： 责任赔偿： 其他可能的损失：

合计:

综合评估

评估人签字 Signature

…… …… 余下全文

建设工程施工安全标准化管理资料

（第十册）

工程竣工安全评估报告

工程名称：江苏软件外包产业园二期D块项目施工总承包工程一标段 

建设单位：  无锡软件产业发展有限公司             

施工单位：  江苏苏阳建设有限公司                  

监理单位：  无锡市五洲建设工程监理有限责任公司       

江苏省建筑安全监督总站制

说    明

1．工程竣工后，建设单位、监理单位、施工单位均应填写本表。

2．工程类型：房屋建筑、市政设施、装饰装修、设备安装和其他工程。

3．办理工程竣工验收前建设单位须向安监机构提交本表。

…… …… 余下全文

国信办信息安全风险评估上海试点工作验收材料之四 ——

信息安全风险评估管理软件

研制报告

上海市信息安全测评认证中心

二OO五 年 八 月

目     录

一、项目背景... 2

二、系统开发目标... 3

三、设计原则... 4

四、研制过程... 5

五、下一步工作... 8

一、项目背景

纵观国际经济形势，随着信息技术突飞猛进的发展，信息化已成为当今世界的潮流，信息产业已成为社会经济发展的基础。它的发展正在进一步引起社会、经济乃至人们生活方式的急剧变革。当前我国的信息化建设已进入高速发展期，电子政务，电子商务，网络经济等的兴起，这些与国民经济、社会稳定息息相关的领域急需信息安全保障。

随着信息化的发展与应用的普及，信息安全问题越来越突出，许多重要应用领域越来越依赖于计算机信息系统，这就必不可免地带来很多安全风险，对系统和组织造成巨大影响。因此实施信息安全风险管理，有效控制安全风险是建立信息安全保障体系的重要举措，而信息安全风险评估则是实施信息安全风险管理的基础，也是信息安全建设的有效的评价方法和决策机制，对于完善我国的信息安全保障体系建设，促进信息化建设具有重大意义。

…… …… 余下全文