【正文】 ，區(qū)分、確認高風險因素。c、脆弱性評估及風險評估包括從技術(shù)、管理、策略方面進行的脆弱程度檢查，最終綜合計算脆弱性值。我們主要的評估范圍就是所有的服務(wù)器以及客戶端電腦。我們的評估為后期進一步安全防護措施的實施提供了嚴謹?shù)陌踩碚撘罁?jù)，為決策者制定網(wǎng)絡(luò)安全策略、構(gòu)架安全體系以及確定有效的安全措施、選擇可靠的安全產(chǎn)品、建立全面的安全防護層次提供了一套完整、規(guī)范的指導(dǎo)模型。安全評估是一個組織機構(gòu)實現(xiàn)信息系統(tǒng)安全的重要步驟，可以使決策者對其業(yè)務(wù)信息系統(tǒng)的安全建設(shè)或安全改造思路有更深刻的認識。分析網(wǎng)絡(luò)信息系統(tǒng)的安全需求，找出目前的安全策略和實際需求的差距，為保護整個系統(tǒng)的安全提供科學依據(jù)。必須按照風險管理的思想，對可能的威脅、脆弱性和需要保護的信息資源進行分析，依據(jù)安全風險評估的結(jié)果為信息系統(tǒng)選擇適當?shù)陌踩胧┮约敖鉀Q方案，妥善應(yīng)對可能發(fā)生的各種安全風險。IT信息安全是一個動態(tài)的復(fù)雜過程，它貫穿于IT信息資產(chǎn)和IT信息系統(tǒng)的整個生命周期。IT信息安全風險評估的定義：IT信息系統(tǒng)的安全風險，是由人為的、自然的威脅利用系統(tǒng)脆弱性所造成安全事件的可能性及其可能造成的影響組成。系統(tǒng)評估報告提交者：日 期：目 錄一、概述....................................................................4評估目的.............................................................4工作描述.............................................................5二、現(xiàn)狀綜述...............................................................6三、詳細報告...............................................................8服務(wù)器...............................................................8 服務(wù)器的性能................................................9 服務(wù)器的安全性............................................11 服務(wù)器的可靠性.................................16 備份...........................................17 管理及維護.................................................18客戶端..............................................................20 客戶端的性能...............................................20 客戶端的安全性............................................21 客戶端的管理及維護.......................................24打印服務(wù)............................................................24 性能及標準.................................................24 管理和維護.................................................25數(shù)據(jù)安全...........................................................25 容錯.........................................................25 備份.........................................................25體系結(jié)構(gòu)...........................................................25 活動目錄服務(wù)...............................................25 網(wǎng)絡(luò)結(jié)構(gòu)....................................................28四、結(jié)論及改進建議.....................................................28結(jié)論............................................................28改進建議...........................................................28一、概述：這次我們評估的主要目是針對IT系統(tǒng)的整體情況做一個綜合的評測。我會將在詳細了解和掌握了整個IT系統(tǒng)的狀況之后，做出一份對現(xiàn)有IT系統(tǒng)狀況的評估，提出一些存在的問題和與之相對應(yīng)的解決方案。IT信息安全風險評估，則是指依據(jù)國家有關(guān)信息技術(shù)標準以及有關(guān)信息行業(yè)標準，對IT信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學、公正的綜合評估的活動過程，它要評估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實際負面影響，并根據(jù)安全事件發(fā)生的可能性和負面影響的程度來識別IT信息系統(tǒng)的安全風險。IT信息安全的威脅來自于內(nèi)部破壞、外部攻擊、內(nèi)外勾結(jié)進行的破壞以及自然危害。我們本次評估的目的：我們這次評估的目的是全面、準確的了解IT系統(tǒng)中服務(wù)器和客戶端的具體運行狀況以及網(wǎng)絡(luò)安全現(xiàn)狀，發(fā)現(xiàn)整個系統(tǒng)的安全問題及其可能的危害，為系統(tǒng)最終安全需求的提出提供依據(jù)。通過合理步驟制定適合系統(tǒng)具體情況的安全策略及其管理和實施規(guī)范，為安全體系的設(shè)計提供參考。通過我們的評估，可以清楚地了解業(yè)務(wù)信息系統(tǒng)包含的重要資產(chǎn)、面臨的主要威脅及本身的弱點；評估哪些威脅出現(xiàn)的可能性較大，造成的影響也較大，哪些威脅出現(xiàn)的可能性較小，造成的影響可以忽略不計；搞清楚通過保護哪些資產(chǎn)，防止哪些威脅出現(xiàn)，如何保護和防止才能保證系統(tǒng)達到一定的安全級別；計算安全方案需要多少技術(shù)和費用的消耗；還要更進一步分析出信息系統(tǒng)的風險是如何隨時間變化的，將來應(yīng)如何面對這些風險。具體的工作描述：a、首先我們需要確定這次評估的范圍調(diào)查并了解客戶信息，IT系統(tǒng)及相關(guān)的數(shù)據(jù)流程和運行環(huán)境，確定風險評估范圍的邊界以及范圍內(nèi)的所有系統(tǒng)信息，例如：服務(wù)器的配置，服務(wù)器的角色，運行的系統(tǒng)等等。b、安全威脅性評估我們需要充分的了解服務(wù)器和客戶端電腦的基本情況，根據(jù)我們了解到的具體現(xiàn)狀我們會依次做出相應(yīng)的安全威脅性評估，即評估IT資產(chǎn)所面臨的每種威脅發(fā)生的嚴重性和可能性。在脆弱性調(diào)查中，首先進行管理脆弱性問卷的調(diào)查，發(fā)現(xiàn)整個系統(tǒng)在管理方面的弱點，然后對評估的所有服務(wù)器和客戶端進行工具掃描和手動檢查，對每個服務(wù)器及客戶端電腦的系統(tǒng)漏洞和安全策略缺陷進行調(diào)查。最后我們會依照我們的評估結(jié)果來提出相關(guān)的建議以及整體的解決方案。二、現(xiàn)況綜述：目前服務(wù)器總共有6臺，客戶端電腦170多臺?？蛻舳穗娔X基本都由user來使用，收發(fā)、編輯Office文檔及特殊軟件的應(yīng)用。DJNCNCD1是整個域的控制器，它的主要功能在于對整個域的客戶端電腦和用戶進行管理，并且它還作為DHCP服務(wù)器、DNS服務(wù)器在網(wǎng)絡(luò)中提供相應(yīng)的服務(wù)。作為行業(yè)應(yīng)用來說DJNCNCDDJYSERVERMAXIMO這三臺服務(wù)器就起到了至關(guān)重要的作用。DJNCNCD2和DJNCNCD3這兩臺服務(wù)器，主要的功能是后勤服務(wù)。所有服務(wù)器同時工作才能保證系統(tǒng)的正常運轉(zhuǎn)。但是通過我們的了解與調(diào)查，評估出來的結(jié)果令人很不滿意。