当前位置：文档库 › 全球首个“免费”网贷云系统：帝友云1.0体验版上线

全球首个“免费”网贷云系统：帝友云1.0体验版上线

2014年11月27日全球首套免费P2P网贷云系统——帝友云1.0体验版发布上线。这预示着P2P网贷进入了以服务为导向，以技术为驱动的新里程。

帝友于2009年成立，是中国首家P2P网贷系统开发商，是目前平台开发数量最多，市场占有率最高的系统开发商。现服务的授权平台运营商多达500多家，积累了丰富的系统研发、产品设计、运营管理等经验。

帝友云基于业内最先进的帝友系统v5版本开发，在高标准，高规格的技术要求下，致力于打造全新模式的P2P系统云服务平台，功能模块化：即采用积木式的平台搭建，客户可以根据自身的运营方式，选择不同的系统模块，解决了以往系统开发难度大、开发周期长、人力成本及购买价格高等一系列问题，实现快速布署，快速上线的平台搭建效果。免费的平台建设，将以往动辄数十万的系统开发费用直接免去，最后用户只需要支付第三方服务费用即可成功上线。

免费平台建设是基于产品安全性能，产品通过第三方安全检测机构的技术防护手段和安全服务保障平台的安全稳定运行，从事前、事中、事后三个维度，采用服务支撑与技术防护手段结合的方式提供全方位的安全防护，且通过知名安全公司监控中心对借贷云进7*24小时的实时监控。多重服务器部署、程序安全、数据安全、传输安全与实时监控组合成的最坚固的安全体系“防火墙”。

与此同时，帝友组建私有云，客户通过免费使用帝友云服务器，享受免费BUG更新，极大的降低了平台的运营成本。

目前市面上的P2P系统开发商数非常多，专业水平良莠不齐，行业中有非常多号称免费的P2P系统。甚至很多的软件的信息获知路径上，都有帝友的身影，如淘宝，有帝友早期的源代码，一元的都有；再如市面上一些正规公司，出售的代码里面还一直保留着“deayou”帝友的标识。其基础往往是采用一个开放框架，搭建成形的平台。由于行业标准不统一，代码编写不规范，整体的安全性能低下，给运营商，投资者带来极大的安全隐患。

免费创造价值，帝友现在选择云系统免费，既是对软件开发行业中那些投机取巧的人一次很沉重的打击，也是对真正想要介入P2P行业的从业者提供成本投入为0、安全性能更有保障的平台。就如当年杀毒软件、GPS导航免费化后，对整个行业进行了一次洗牌，让用户真正享受到免费高质的服务。

帝友首创的网贷云系统，基于领先的技术积累，通过规范性、安全性两个维度开始树立全新的行业标准，极大的改善了行业标准混乱的局面。未来，随着借贷云模式的发展，这种高标准的免费推行模式，必将给整个P2P行业带来更规范的运作，也将为政府对P2P行业的监管提供全新的标准及参考价值，促进网贷行业的和谐发展。

帝友系统总经理张艺辉认为：帝友一直以软件销售为核心业务，软件出售是其最大的盈利点。但对于一个saas（Software-as-a-Service软件即服务）公司，其定位最终将是以服务取胜，他再次强调“免费创造价值”。作为一家业界领先、服务了业内30%以上的平台用户的企业，帝友用技术引领潮流，为行业的发展规范带来了全新改变。未来希望更多像帝友这样的网贷系统开发商能加入免费的行列，一起参与到P2P行业标准的制定，技术创新中来。共同为互联网金融的健康发展尽一份力。

信息安全风险评估报告

1111单位:1111系统安全项目信息安全风险评估报告我们单位名日期

报告编写人: 日期：批准人：日期：版本号：第一版本日期第二版本日期终板

目录 1概述 (5) 1.1项目背景 (5) 1.2工作方法 (5) 1.3评估范围 (5) 1.4基本信息 (5) 2业务系统分析 (6) 2.1业务系统职能 (6) 2.2网络拓扑结构 (6) 2.3边界数据流向 (6) 3资产分析 (6) 3.1信息资产分析 (6) 3.1.1信息资产识别概述 (6) 3.1.2信息资产识别 (7) 4威胁分析 (7) 4.1威胁分析概述 (7) 4.2威胁分类 (8) 4.3威胁主体 (8) 4.4威胁识别 (9) 5脆弱性分析 (9) 5.1脆弱性分析概述 (9) 5.2技术脆弱性分析 (10) 5.2.1网络平台脆弱性分析 (10) 5.2.2操作系统脆弱性分析 (10) 5.2.3脆弱性扫描结果分析 (10) 5.2.3.1扫描资产列表 (10) 5.2.3.2高危漏洞分析 (11) 5.2.3.3系统帐户分析 (11) 5.2.3.4应用帐户分析 (11)

5.3管理脆弱性分析 (11) 5.4脆弱性识别 (13) 6风险分析 (14) 6.1风险分析概述 (14) 6.2资产风险分布 (14) 6.3资产风险列表 (14) 7系统安全加固建议 (15) 7.1管理类建议 (15) 7.2技术类建议 (15) 7.2.1安全措施 (15) 7.2.2网络平台 (16) 7.2.3操作系统 (16) 8制定及确认................................................................................................................. 错误!未定义书签。9附录A：脆弱性编号规则.. (17)

信息安全风险评估报告模板

XXXXXXXX信息系统信息安全风险评估报告模板项目名称：项目建设单位：风险评估单位： ****年**月**日

目录一、风险评估项目概述 (1) 1.1工程项目概况 (1) 1.1.1 建设项目基本信息 (1) 1.1.2 建设单位基本信息 (1) 1.1.3承建单位基本信息 (2) 1.2风险评估实施单位基本情况 (2) 二、风险评估活动概述 (2) 2.1风险评估工作组织管理 (2) 2.2风险评估工作过程 (2) 2.3依据的技术标准及相关法规文件 (2) 2.4保障与限制条件 (3) 三、评估对象 (3) 3.1评估对象构成与定级 (3) 3.1.1 网络结构 (3) 3.1.2 业务应用 (3) 3.1.3 子系统构成及定级 (3) 3.2评估对象等级保护措施 (3) 3.2.1XX子系统的等级保护措施 (3) 3.2.2子系统N的等级保护措施 (3) 四、资产识别与分析 (4) 4.1资产类型与赋值 (4) 4.1.1资产类型 (4) 4.1.2资产赋值 (4) 4.2关键资产说明 (4) 五、威胁识别与分析 (4)

5.2威胁描述与分析 (5) 5.2.1 威胁源分析 (5) 5.2.2 威胁行为分析 (5) 5.2.3 威胁能量分析 (5) 5.3威胁赋值 (5) 六、脆弱性识别与分析 (5) 6.1常规脆弱性描述 (5) 6.1.1 管理脆弱性 (5) 6.1.2 网络脆弱性 (5) 6.1.3系统脆弱性 (5) 6.1.4应用脆弱性 (5) 6.1.5数据处理和存储脆弱性 (6) 6.1.6运行维护脆弱性 (6) 6.1.7灾备与应急响应脆弱性 (6) 6.1.8物理脆弱性 (6) 6.2脆弱性专项检测 (6) 6.2.1木马病毒专项检查 (6) 6.2.2渗透与攻击性专项测试 (6) 6.2.3关键设备安全性专项测试 (6) 6.2.4设备采购和维保服务专项检测 (6) 6.2.5其他专项检测 (6) 6.2.6安全保护效果综合验证 (6) 6.3脆弱性综合列表 (6) 七、风险分析 (6) 7.1关键资产的风险计算结果 (6) 7.2关键资产的风险等级 (7) 7.2.1 风险等级列表 (7)

信息安全评估报告精编版

xxx有限公司信息安全评估报告(管理信息系统) x年x月

1目标 xxxxxxxxx公司信息安全检查工作的主要目标是通过自评估工作，发现本公司电子设备当前面临的主要安全问题，边检查边整改，确保信息网络和重要信息系统的安全。 2评估依据、范围和方法 2.1 评估依据《信息安全技术信息安全风险评估规范》（GB/T 20984-2007）《信息技术信息技术安全管理指南》 2.2 评估范围本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等，管理信息系统中业务种类相对较多、网络和业务结构较为复杂，在检查工作中强调对基础信息系统和重点业务系统进行安全性评估，具体包括：基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。 2.3 评估方法采用自评估方法。 3重要资产识别对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别，将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总，形成重要资产清单。资产清单见附表1。 4安全事件对公司半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录，形成本公司的安全事件列表。本公司至今没有发生较大安全事故。 5安全检查项目评估 5.1 规章制度与组织管理评估规章制度详见《计算机信息系统及设备管理办法》 5.1.1组织机构

5.1.1.1 评估标准信息安全组织机构包括领导机构、工作机构。 5.1.1.2 现状描述本公司已成立了信息安全领导机构，但尚未成立信息安全工作机构。 5.1.1.3 评估结论完善信息安全组织机构，成立信息安全工作机构。 5.1.2岗位职责 5.1.2.1 评估标准岗位要求应包括：专职网络管理人员、专职应用系统管理人员和专职系统管理人员；专责的工作职责与工作范围应有制度明确进行界定；岗位实行主、副岗备用制度。 5.1.2.2 现状描述我公司没有配置专职网络管理人员、专职应用系统管理人员和专职系统管理人员，都是兼责；专责的工作职责与工作范围没有明确制度进行界定，岗位没有实行主、副岗备用制度。 5.1.2.3 评估结论我公司已有兼职网络管理员、应用系统管理员和系统管理员，在条件许可下，配置专职管理人员；专责的工作职责与工作范围没有明确制度进行界定，根据实际情况制定管理制度；岗位没有实行主、副岗备用制度，在条件许可下，落实主、副岗备用制度。

安全避险系统有效性评估报告.doc

安全避险系统有效性评估报告为加强矿井防灾抗灾能力，在发生安全灾害后，能够缩小事故范围，降低事故损失，根据《煤矿安全规程》第六百七十三条的规定，矿井必须根据险情或事故情况下矿工避险的实际需要，建立井下紧急撤离和避险设施，并与监测监控、人员位置监测、通信联络等系统结合，构成井下安全避险系统。为此矿对各系统进行调查分析，编制了矿井安全避险系统有效性评估报告。一、监测监控系统（一）监测监控基本情况我矿为低瓦斯矿井，为加强对井下有毒有害气体的管理，建立了瓦斯管理和瓦斯防治系统，配合了专职瓦斯检查员，建立了瓦斯巡回检查、瓦斯超限处理、密闭管理、瓦斯日报等一系列管理制度。瓦斯日报每天由矿长、总工程师、通风科长审查并签字。地面装备有一套由天地科技（常州）自动化股份有限公司生产的KJ95N煤矿综合监控系统，系统具有对瓦斯、一氧化碳、风速、温度等环境参数的采集、显示和报警功能；具有对馈电状态、风机开停、风门开关、各种机电设备开停等生产参数的采集、显示、报警、控制等功能。形成了瓦斯个体巡回检测和安全监控监测双重瓦斯防治系统。

（二）井下设备情况根据规定，井下及地面各主要场所共安装分站10台、低浓度甲烷传感器 23台、一氧化碳传感器12台、温度传感器10台、风速传感器2台、二氧化碳传感器5台、负压传感器1个、氧气传感器5台、开停12个、风门传感器4套、烟雾传感器10台、风筒传感器2个。（三）传感器监控布置地点 1、矿井总回、采掘工作面回风巷及上隅角和工作面、乳化液泵站、避难硐室内外、各变电所安装甲烷传感器。矿井总回、避难硐室内外、各皮带运输机头内侧安装一氧化碳传感器。 2、矿井采掘工作面回风巷、避难硐室内、中央变电所、采区变电所、乳化液泵站、机电硐室安装温度传感器。 3、各皮带运输机头上侧安装烟雾传感器。 4、矿井主序号项目评估内容存在问题整改情况评估结果评估 5、部门负责人东采区回风巷测风站安装风速传感器。 6、井下各大巷、联巷正反风门安装风门传感器。 7、矿井主扇风机、井下掘进供风机、副局扇风机安装设备

信息安全风险评估报告

附件：国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式项目名称：项目建设单位：风险评估单位：年月日

信息系统安全风险评估方案报告

项目名称： XXX风险评估报告被评估公司单位： XXX有限公司参与评估部门：XXXX委员会一、风险评估项目概述 1.1 工程项目概况 1.1.1 建设项目基本信息

1.2 风险评估实施单位基本情况二、风险评估活动概述 2.1 风险评估工作组织管理描述本次风险评估工作的组织体系（含评估人员构成）、工作原则和采取的保密措施。 2.2 风险评估工作过程本次评估供耗时2天，采取抽样的的方式结合现场的评估，涉及了公司所有部门及所有的产品，已经包括了位于公司地址位置的相关产品。 2.3 依据的技术标准及相关法规文件

2.4 保障与限制条件需要被评估单位提供的文档、工作条件和配合人员等必要条件，以及可能的限制条件。三、评估对象 3.1 评估对象构成与定级 3.1.1 网络结构根据提供的网络拓扑图，进行结构化的审核。 3.1.2 业务应用本公司涉及的数据中心运营及服务活动。 3.1.3 子系统构成及定级 N/A

3.2 评估对象等级保护措施按照工程项目安全域划分和保护等级的定级情况，分别描述不同保护等级保护范围内的子系统各自所采取的安全保护措施，以及等级保护的测评结果。根据需要，以下子目录按照子系统重复。 3.2.1XX子系统的等级保护措施根据等级测评结果，XX子系统的等级保护管理措施情况见附表一。根据等级测评结果，XX子系统的等级保护技术措施情况见附表二。四、资产识别与分析 4.1 资产类型与赋值 4.1.1资产类型按照评估对象的构成，分类描述评估对象的资产构成。详细的资产分类与赋值，以附件形式附在评估报告后面，见附件3《资产类型与赋值表》。 4.1.2资产赋值填写《资产赋值表》。

某医院安全风险评估报告

安全风险评估报告 2020年3月

安全风险评估报告单位名称: 评估报告时间: 一、消防安全管理单元 1场所合法性评估结果: （1）本院在建筑物及相关室内装修工程依法通过了建设工基消防设计审核或设计备案、建设工程消防验收或竣工验收消防备案，并取得了相关法律文书或备案凭证。（2）本院使用情况已经与消防验收或者进行竣工验收消防备案时确定的使用质相符。没有改变经公安机关消防机构审核合格或已依法备案的建设工程消防设计的。（3）公众聚集场所已经依法通过了投入使用、营业前的消防安全检查,并获取了相关法律文书。 2消防安全责任制评估结果: （1）建立消防管理组织机构,制定消防安全管理制度,建立逐级消防安全责任制,并明确各岗各级职责; （2）单位消防安全责任人和消防安全管理人的确立和变更是在当地

公安机关消防机构备案; 3人员资质管理评估结果： (1)消防控制室值班人员没有持证上岗、正在筹备员工学习考证中; (2)消防安全责任人和消防安全管理人接受过消防安全专门培训; (3)新上岗和进入新岗位的员工接受过岗前的消防安全培训。 4消防档案评估结果: （1）人员密集场所的管理单位是否建立了消防档案; （2）消防档案是否详实完整,全面反映消防工作基本情况,并附有必更图纸图表; （3）消防档案是否有专人管理,并按档案管理要求装江存放; （4）预案演练是否建立了记录（(包括相关的文字图片影像)并存档备查。 5消防安全培训及宣传教育评估结果: （1）建立了消防安全培训及宣传教台制度，并按有关规定明确了责任部门、培训方式、频次及考核办法；（2）设置了消防安全告知牌、安全疏散培示图、消防设施标识、并定时播放消防安全广播和消防公益广告视频。（3）消防安全培训及宣传教育建立记录并存档备查。 6防火检查、防火巡查

信息系统安全风险的评估报告

项目名称：XXX风险评估报告 _________________________ 被评估公司单位：XXX有限公司 _____________________________ 参与评估部门：XXXX委员会___________________________________ 一、风险评估项目概述 1.1工程项目概况 1.1.1建设项目基本信息

1.2风险评估实施单位基本情况二、风险评估活动概述 2.1风险评估工作组织管理描述本次风险评估工作的组织体系（含评估人员构成）、工作原则和采取的保密措施。 2.2风险评估工作过程本次评估供耗时2天，采取抽样的的方式结合现场的评估，涉及了公司所有部门及所有的产品，已经包括了位于公司地址位置的相关产品。 2.3依据的技术标准及相关法规文件本次评估依据的法律法规条款有:

2.4保障与限制条件需要被评估单位提供的文档、工作条件和配合人员等必要条件，以及可能的限制条件。三、评估对象 3.1评估对象构成与定级 3.1.1网络结构根据提供的网络拓扑图，进行结构化的审核。 3.1.2业务应用

本公司涉及的数据中心运营及服务活动。 3.1.3子系统构成及定级 N/A 3.2评估对象等级保护措施按照工程项目安全域划分和保护等级的定级情况，分别描述不同保护等级保护范围内的子系统各自所采取的安全保护措施，以及等级保护的测评结果。根据需要，以下子目录按照子系统重复。 3.2.1 XX子系统的等级保护措施根据等级测评结果，XX子系统的等级保护管理措施情况见附表一。根据等级测评结果，XX子系统的等级保护技术措施情况见附表二。四、资产识别与分析 4.1资产类型与赋值 4.1.1资产类型按照评估对象的构成，分类描述评估对象的资产构成。详细的资产分类与赋值，以附件形式附在评估报告后面，见附件3《资产类型与赋值表》。 4.1.2资产赋值

安全性评估报告

Xxxxxxxxx 有限公司安全防护检测评估报告(Xxxxxxxxx系统) 2018年3月

概要 Xxxxxxxxx有限公司2018年3月10日至2018年3月15日对Xxxxxxxxx限公司资产开展了安全防护检测工作。本次检测工作包括技术测试，主要采用工具扫描和实际检测等手段，检测范围涉及网络架构、安全配置、网络设备、安全防护设施、业务系统、操作系统和其他相关系统等方面。通过对Xxxxxxxxx有限公司资产进行的检测发现：Xxxxxxxxx公司高度重视网络安全防护工作，为安全保障工作投入了大量时间、人力和精力；制定有较为完善的安全策略、安全规范及操作细则等相关管理制度；系统管理人员安全意识较高，具备专业的安全防护技术和手段；网络区域划分明确，网络部署有防火墙、漏洞扫描等安全设备，并由运维人员定期对相关网络设备、安全设备进行巡检。但是，通过进一步检测发现，系统仍存在一些安全隐患，需要进一步完善和加强。

1目标 Xxxxxxxxx有限公司信息安全检查工作的主要目标是通过自评估工作，发现本公司电子设备和应用系统当前面临的主要安全问题，边检查边整改，确保信息网络和重要信息系统的安全。 2评估依据、范围和方法 2.1 评估依据《通信网络安全防护管理办法》（工业和信息化部第11号令）《电信网和互联网安全防护管理指南》《电信网和互联网安全服务实施要求》《电信网和互联网安全等级保护实施指南》《电信网和互联网安全风险评估实施指南》《电信网和互联网灾难备份及恢复实施指南》《电信网和互联网物理环境安全等级保护要求》《电信网和互联网物理环境安全等级保护检测要求》《电信网和互联网管理安全等级保护要求》《电信网和互联网管理安全等级保护检测要求》 2.2 评估范围本次信息安全评估工作重点是重要的信息系统和网络系统等，信息系统中业务种类相对较多、网络和业务结构较为复杂，在检查工作中强调对基础信息系统和重点业务系统进行安全性评估，具体包括：基础网络与服务器、关键系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。 2.3 评估方法采用自评估方法。 3重要资产识别对本公司范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别，将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总，形成重要资产清单。其中包括:云服务器、服务器、网络设

信息系统安全风险评估报告

xx有限公司记录编号005 信息系统安全风险评估报告创建日期2015年8月16日文档密级更改记录时间更改内容更改人项目名称：XXX风险评估报告被评估公司单位：XXX有限公司参与评估部门：XXXX委员会

一、风险评估项目概述 1.1 工程项目概况 1.1.1 建设项目基本信息风险评估版本201X年8日5日更新的资产清单及评估项目完成时间 201X年8月5日项目试运行时间 2015年1-6月 1.2 风险评估实施单位基本情况评估单位名称 XXX有限公司

二、风险评估活动概述 2.1 风险评估工作组织管理描述本次风险评估工作的组织体系（含评估人员构成）、工作原则和采取的保密措施。 2.2 风险评估工作过程本次评估供耗时2天，采取抽样的的方式结合现场的评估，涉及了公司所有部门及所有的产品，已经包括了位于公司地址位置的相关产品。 2.3 依据的技术标准及相关法规文件本次评估依据的法律法规条款有：序号法律、法规及其他要求名称颁布时间实施时间颁布部门 1 全国人大常委会关于维护互联网安全的决定 2000. 12.28 2000. 12.28 全国人大常委会 2 中华人民共和国1994.1994.国务院第

计算机信息系统安全保护条例 02.18 02.18 147号令 3 中华人民共和国计算机信息网络国际联网管理暂行规定 1996. 02.01 1996. 02.01 国务院第 195号令 4 中华人民共和国计算机软件保护条例 2001. 12.20 2002. 01.01 国务院第 339号令 5 中华人民共和国信息网络传播权保护条例 2006. 05.10 2006. 07.01 国务院第 468号令 6 中华人民共和国计算机信息网络 1998. 03.06 1998. 03.06 国务院信息化工作领导

信息安全风险评估报告格式

附件：信息安全风险评估报告格式项目名称：项目建设单位：风险评估单位：年月日

信息安全评估报告

xxx有限公司信息安全评估报告 (管理信息系统) x年x月 1目标 xxxxxxxxx公司信息安全检查工作的主要目标是通过自评估工作，发现本公司电子设备当前面临的主要安全问题，边检查边整改，确保信息网络和重要信息系统的安全。 2评估依据、范围和方法 2.1 评估依据《信息安全技术信息安全风险评估规范》（GB/T 20984-2007）《信息技术信息技术安全管理指南》 2.2 评估范围本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等，管理信息系统中业务种类相对较多、网络和业务结构较为复杂，在检查工作中强调对基础信息系统和重点业务系统进行安全性评估，具体包括：基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。 2.3 评估方法采用自评估方法。 3重要资产识别对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别，将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总，形成重要资产清单。资产清单见附表1。 4安全事件对公司半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录，形成本公司的安全事件列表。本公司至今没有发生较大安全事故。 5安全检查项目评估 5.1 规章制度与组织管理评估规章制度详见《计算机信息系统及设备管理办法》评估标准

信息安全组织机构包括领导机构、工作机构。现状描述本公司已成立了信息安全领导机构，但尚未成立信息安全工作机构。评估结论完善信息安全组织机构，成立信息安全工作机构。评估标准岗位要求应包括：专职网络管理人员、专职应用系统管理人员和专职系统管理人员；专责的工作职责与工作范围应有制度明确进行界定；岗位实行主、副岗备用制度。现状描述我公司没有配置专职网络管理人员、专职应用系统管理人员和专职系统管理人员，都是兼责；专责的工作职责与工作范围没有明确制度进行界定，岗位没有实行主、副岗备用制度。评估结论我公司已有兼职网络管理员、应用系统管理员和系统管理员，在条件许可下，配置专职管理人员；专责的工作职责与工作范围没有明确制度进行界定，根据实际情况制定管理制度；岗位没有实行主、副岗备用制度，在条件许可下，落实主、副岗备用制度。评估标准病毒管理包括计算机病毒防治管理制度、定期升级的安全策略、病毒预警和报告机制、病毒扫描策略（1周内至少进行一次扫描）。现状描述我公司xxx防病毒软件进行病毒防护，定期从省官网病毒库服务器下载、升级安全策略；病毒预警是通过第三方和网上提供信息来源，每月统计、汇总病毒感染情况；每周进行二次自动病毒扫描；没有制定计算机病毒防治管理制度。评估结论完善病毒预警和报告机制，制定计算机病毒防治管理制度。评估标准运行管理应制定信息系统运行管理规程、缺陷管理制度、统计汇报制度、运5 维流程、值班制度并实行工作票制度；制定机房出入管理制度并上墙，对进出机房情况记录。现状描述没有建立相应信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度，没有实行工作票制度；机房出入管理制度上墙，但没有机房进出情况记录。评估结论结合本公司具体情况，制订信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度，实行工作票制度；机房出入管理制度上墙，记录机房进出情况。

信息系统安全风险评估报告.doc

精心整理 xx有限公司记录编号005 创建日期2015年8月16日信息系统安全风险评估报告文档密级更改记录时间更改内容更改人项目名称：XXX 风险评估报告被评估公司单位：XXX 有限公司参与评估部门：XXXX委员会一、风险评估项目概述 1.1 工程项目概况 1.1.1 建设项目基本信息风险评估版本201X 年 8 日 5 日更新的资产清单及评估项目完成时间201X 年 8 月 5 日项目试运行时间2015 年 1-6 月 1.2 风险评估实施单位基本情况评估单位XXX 有限公司

精心整理名称二、风险评估活动概述 2.1 风险评估工作组织管理描述本次风险评估工作的组织体系（含评估人员构成）、工作原则和采取的保密措施。 2.2 风险评估工作过程本次评估供耗时 2 天，采取抽样的的方式结合现场的评估，涉及了公司所有部门及所有的产品，已经包括了位于公司地址位置的相关产品。 2.3 依据的技术标准及相关法规文件本次评估依据的法律法规条款有：序法律、法规及其他要求颁布时间实施时间颁布部门号名称 1 全国人大常委会关于维2000.12. 2000.12. 全国人大常委会护互联网安全的决定28 28 2 中华人民共和国计算机1994.02. 1994.02. 国务院第 147 号信息系统安全保护条例18 18 令中华人民共和国计算机 1996.02. 1996.02. 国务院第 195 3 信息网络国际联网管理号 01 01 暂行规定令 4 中华人民共和国计算机国务院第 339 号软件保护条例令

精心整理 5 中华人民共和国信息网国务院第 468 号络传播权保护条例令中华人民共和国计算机 1998.03. 1998.03. 国务院信息化工 6 信息网络国际联网管理 06 06 作领导小组暂行规定实施办法 7 计算机信息网络国际联1997.12. 1997.12. 公安部第 33 号令网安全保护管理办法16 30 计算机信息系统安全专 1997.06. 1997.12. 8 用产品检测和销售许可公安部第 32 号令 28 12 证管理办法 9 计算机病毒防治管理办2000.03. 公安部第 51 号令法30 10 恶意软件定义2007 ．0 2007 ．0 中国互联网协会6.27 6.27 11 2007 ．0 2007 ．0 抵制恶意软件自律公约 6.27 6.27 中国互联网协会 12 计算机信息系统保密管国家保密局理暂行规定 13 计算机信息系统国际联国家保密局网保密管理规定 14 软件产品管理办法 2000.10. 2000.10. 中华人民共和国 08 08 工业和信息化部

安防评估报告

监控和安防系统工程质量评估报告一、工程概况安防监控系统工程项目涉及范围：办公楼内部及各出入口、电梯、楼梯、车辆进出口、门卫、仓库、货场区域等关键区域闭路电视监控系统，园区周界围墙防翻越报警系统，主要包括以下各子系统:闭路电视监控系统、电子巡更系统、网络通信系统、门禁系统、中控机房、室外管网工程等系统组成。此工程由武汉光谷新光电工程技术有限公司承建。二、质检组评估依据东湖开发区海关监管场所智能系统设计方案、图纸、工程合同标单及附件。《电气装置安装工程接地装置施工及验收规范》GB6510-92 《工业企业通讯接地设计规范》GBJ79-85 《智能建筑弱电工程设计施工图集》GJBT-471 《智能建筑设计标准》GB/T50314-2000 《弱电工程通用技术标书》DG/TJ08-603-2002 《电气装置安装工程电缆线路施工及验收规范》GB50168-92 《建筑物防雷设计规范》GB50057-94 《安全防范工程程序与要求》GA/T75-94 《安全防范系统通用图形符号》GA/T74-2000

《防盗报警控制器通用技术条件》GB12663-90 《建筑电气安装工程质量检验评定标准》GYT253-88 《工业企业通讯接地设计规范》GBJ79-85 《民用闭路监控及报警电视系统工程技术规范》GB50198-92《中华人民共和国公共安全行业标准》GA/T75-92 《工业电视系统工程设计规范》GBJ115-87 《视频安防监视系统技术要求》GA367-2001 《入侵报警系统技术要求》GA368-2001 《入侵探测器通用技术条件》GB10408.1-2000 《主动红外入侵探测器》GB10408.1-2000 《民用闭路监控电视系统工程技术规范》GB-50198-94 《安全防范报警设备安全要求和试验方法》GB 16796-1997 《防盗报警控制器通用技术条件》GB 12663-2001 《楼宇对讲电控防盗门通用技术条件》（GA/T72-94）《楼宇对讲电控防盗门安全要求》（DB/998-92）《全国住宅小区智能化系统示范工程建设要点与技术导则》-建设部住宅产业办99 三、质量受控状态及质量控制方法 1.本安防工程于2009年7月20日全部完工，对工程质量进行严格控制，对所有管、线、监控设备探头、门禁系统、报警系统、网络系统等工序进行检查，均符合要求。 2.施工前由业主组织进行了图纸会审，武汉光谷新光电工程技术有

单位信息安全评估报告

××单位信息安全评估报告(管理信息系统) ××单位二零一一年九月

1目标 ××单位信息安全检查工作的主要目标是通过自评估工作，发现本局信息系统当前面临的主要安全问题，边检查边整改，确保信息网络和重要信息系统的安全。 2评估依据、范围和方法 2.1 评估依据根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》（信安通［2006］15号）、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》（办信息[2006]48号）以及集团公司和省公司公司的文件、检查方案要求, 开展××单位的信息安全评估。 2.2 评估范围本次信息安全评估工作重点是重要的业务管理信息系统和网络系统等，管理信息系统中业务种类相对较多、网络和业务结构较为复杂，在检查工作中强调对基础信息系统和重点业务系统进行安全性评估，具体包括：基础网络与服务器、关键业务系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。 2.3 评估方法采用自评估方法。 3重要资产识别对本局范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别，将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总，形成重要资产清单。资产清单见附表1。

4安全事件对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录，形成本单位的安全事件列表。安全事件列表见附表2。 5安全检查项目评估 5.1 规章制度与组织管理评估 5.1.1组织机构 5.1.1.1 评估标准信息安全组织机构包括领导机构、工作机构。 5.1.1.2 现状描述本局已成立了信息安全领导机构，但尚未成立信息安全工作机构。 5.1.1.3 评估结论完善信息安全组织机构，成立信息安全工作机构。 5.1.2岗位职责 5.1.2.1 评估标准岗位要求应包括：专职网络管理人员、专职应用系统管理人员和专职系统管理人员；专责的工作职责与工作范围应有制度明确进行界定；岗位实行主、副岗备用制度。 5.1.2.2 现状描述我局没有配置专职网络管理人员、专职应用系统管理人员和专职系统管理人员，都是兼责；专责的工作职责与工作范围没有明确制度进行界定，岗位没有实

信息安全风险评估方案报告.doc

信息安全风险评估方案报告1 附件：国家电子政务工程建设项目非涉密信息系统信息安全风险评估报告格式项目名称：项目建设单位：风险评估单位：年月日目录一、风险评估项目概述(1) 1.1工程项目概况(1) 1.1.1 建设项目基本信息(1) 1.1.2 建设单位基本信息(1) 1.1.3承建单位基本信息(2) 1.2风险评估实施单位基本情况(2) 二、风险评估活动概述(2) 2.1风险评估工作组织管理(2) 2.2风险评估工作过程(3)

2.3依据的技术标准及相关法规文件(3) 2.4保障与限制条件(3) 三、评估对象(3) 3.1评估对象构成与定级(3) 3.1.1 网络结构(3) 3.1.2 业务应用(3) 3.1.3 子系统构成及定级(4) 3.2评估对象等级保护措施(4) 3.2.1XX子系统的等级保护措施(4) 3.2.2子系统N的等级保护措施(4) 四、资产识别与分析(5) 4.1资产类型与赋值(5) 4.1.1资产类型(5) 4.1.2资产赋值(5) 4.2关键资产说明(5) 五、威胁识别与分析(6) 5.2威胁描述与分析(6)

5.2.1 威胁源分析(6) 5.2.2 威胁行为分析(6) 5.2.3 威胁能量分析(6) 5.3威胁赋值(6) 六、脆弱性识别与分析(7) 6.1常规脆弱性描述(7) 6.1.1 管理脆弱性(7) 6.1.2 网络脆弱性(7) 6.1.3系统脆弱性(7) 6.1.4应用脆弱性(7) 6.1.5数据处理和存储脆弱性(8) 6.1.6运行维护脆弱性(8) 6.1.7灾备与应急响应脆弱性(8) 6.1.8物理脆弱性(8) 6.2脆弱性专项检测(8) 6.2.1木马病毒专项检查(8) 6.2.2渗透与攻击性专项测试(8)

监控系统安全评估报告模板

系统评估报告提交者：日期：

目录一、概述 (4) 1、评估目的 (4) 2、工作描述 (5) 二、现状综述 (6) 三、详细报告 (8) 1、服务器 (8) 1.1 服务器的性能 (9) 1.2 服务器的安全性 (11) 1.3 服务器的可靠性 (16) 1.4 备份 (17) 1.5 管理及维护 (18) 2、客户端 (20) 2.1 客户端的性能 (20) 2.2 客户端的安全性 (21) 2.3 客户端的管理及维护 (24) 3、打印服务 (24) 3.1 性能及标准 (24) 3.2 管理和维护 (25) 4、数据安全 (25)

4.1 容错 (25) 4.2 备份 (25) 5、体系结构 (25) 5.1 活动目录服务 (25) 5.2 网络结构 (28) 四、结论及改进建议 (28) 1、结论 (28) 2、改进建议 (28) 一、概述：

这次我们评估的主要目是针对IT系统的整体情况做一个综合的评测。我会将在详细了解和掌握了整个IT系统的状况之后，做出一份对现有IT系统状况的评估，提出一些存在的问题和与之相对应的解决方案。 IT信息安全风险评估的定义： IT信息系统的安全风险，是由人为的、自然的威胁利用系统脆弱性所造成安全事件的可能性及其可能造成的影响组成。IT信息安全风险评估，则是指依据国家有关信息技术标准以及有关信息行业标准，对IT信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学、公正的综合评估的活动过程，它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度来识别IT信息系统的安全风险。 IT信息安全是一个动态的复杂过程，它贯穿于IT信息资产和IT信息系统的整个生命周期。IT信息安全的威胁来自于内部破坏、外部攻击、内外勾结进行的破坏以及自然危害。必须按照风险管理的思想，对可能的威胁、脆弱性和需要保护的信息资源进行分析，依据安全风险评估的结果为信息系统选择适当的安全措施以及解决方案，妥善应对可能发生的各种安全风险。 1、我们本次评估的目的：我们这次评估的目的是全面、准确的了解IT系统中服务器和客户端的具体运行状况以及网络安全现状，发现整个系统的安全问题及其可能的危害，为系统最终安全需求的提出提供依据。分析网络信息系统的安全需求，找出目前的安全策略和实际需求的差距，为保护整个系统的安全提供科学依据。通过合理步骤制定适合系统具体情况的安全策略及其管理和实施规范，为安全体系的设计提供参

网络信息安全评估报告

网络信息安全评估报告 GE GROUP system office room 【GEIHUA16H-GEIHUA GEIHUA8Q8-

计算机信息安全评估报告如何实现如下图所示可用性1.人们通常采用一些技术措施或网络安全设备来实现这些目标。例如：使用防火墙，把攻击者阻挡在网络外部，让他们“进不来”。即使攻击者进入了网络内部，由于有加密机制，会使他们“改不了”和“拿不走”关键信息和资源。机密性2机密性将对敏感数据的访问权限控制在那些经授权的个人，只有他们才能查看数据。机密性可防止向未经授权的个人泄露信息，或防止信息被加工。如图所示，“进不来”和“看不懂”都实现了信息系统的机密性。人们使用口令对进入系统的用户进行身份鉴别，非法用户没有口令就“进不来”，这就保证了信息系统的机密性。即使攻击者破解了口令，而进入系统，加密机制也会使得他们“看不懂”关键信息。

例如，甲给乙发送加密文件，只有乙通过解密才能读懂其内容，其他人看到的是乱码。由此便实现了信息的机密性。完整性3如图所示，“改不了”和“拿不走”都实现了信息系统的完整性。使用加密机制，可以保证信息系统的完整性，攻击者无法对加密信息进行修改或者复制。不可抵赖性4如图所示，“跑不掉”就实现了信息系统的不可抵赖性。如果攻击者进行了非法操作，系统管理员使用审计机制或签名机制也可让他们无所遁形对考试的机房进行“管理制度”评估。（1）评估说明为规范管理,保障计算机设备的正常运行,创造良好的上机环境,必须制定相关的管理制度（2）评估内容没有建立相应信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度，没有实行工作票制度；机房出入管理制度上墙，但没有机房进出情况记录（3）评估分析报告所存在问题：1没有系统的相关负责人，机房也是谁人都可以自由出入。2在上机过程中做与学习无关的工作。3机房财产规划不健全等

安全风险评估报告

2013年集团两项资金输配管线翻修项目（百子湾经适房支线2#-3#）安全风险评估报告编制单位：北京市市政工程管理处有限公司编制时间：2013年3月

目录 1.编制依据 ________________________________________________ 3 2.工程概况 ________________________________________________ 3 3.评估对象及目标 __________________________________________ 4 4.风险评估程序和评估方法 __________________________________ 5 风险评估程序__________________________________________ 5风险评估方法__________________________________________ 5风险管理体系及措施____________________________________ 5预防风险措施及应急抢险预案___________________________ 10

1.编制依据北京市市政公用工程有限公司制定的风险管理方针及策略。 2013年集团两项资金输配管线翻修项目（百子湾经适房支线2#-3#）图纸。我国现行的相关标准、施工及验收规范《城镇供热管网工程施工及验收规范》（CJJ28－2004）；《工业设备及管道绝热工程质量检验评定标准》（GB50185-2010）；《工程测量规范及条文说明》（GB50026－2007）；《混凝土结构工程施工质量验收规范》（GB50204-2002）；《预制混凝土构件质量验收评定标准》(GBJ01-92）；《北京市市政工程施工安全操作规程》（DBJ01-56-2001）；我国现行的安全生产、文明施工、环保及消防等有关规定。根据我公司完成的同类工程的施工经验。 2.工程概况本工程为2013年集团两项资金输配管线翻修项目（百子湾经适房支线2#-3#）。（1）项目编号：JT13-02C001-5 （2）项目概况：起点1点为《百子湾一号经济适用房建筑木材厂西路热力外线工程》原设计3点，终点8点位于原设计6点南侧，管线总长米，管径DN600，无分支。1点和8点为现状检查室，检查室内设备不予更换，仅在1点北墙和8点南墙上开半通行地沟的沟口。（3）管线路由：管线沿用原路由，1-5点位于建筑木材厂西路永中以西米，6-8点位