1【经典资料,WORD文档,可编辑修改】【经典考试资料,答案附后,看后必过,WORD文档,可修改】编辑时间:2015年9月16日星期三页码:21
1项目概述为了更好的了解信息安全状况,根据《信息安全风险评估指南》和GB/T20984-2007《信息安全技术信息安全风险评估规范》要求,总体评估公司信息化建设风险
风险评估方案2
1风险评估现场实施流程风险评估的实施流程见下图所示2
2风险评估使用工具测评过程中所使用的工具见下表所示:编辑时间:2015年9月16日星期三页码:风险评估准备保持已有的安全措施威胁识别已有安全措施的确认风险计算制定和实施风险处理计划并评估残余风险风险是否接受是否接受残余风险实施风险管理资产识别脆弱性识别评估过程文档评估过程文档评估过程文档
否否是是风险分析风险评估文件记录3序号名称功能描述版本用途1数据库安全扫描系统可扫描Qracle、SqlServer、SybaseATX数据库漏洞扫描2ISS网络扫描器可扫描各类操作系统和应用系统7
0sp2网络、主机漏洞扫描3天镜脆弱性扫描系统可扫描各类操作系统和应用系统6
0网络、主机漏洞扫描4极光远程安全评估系统可扫描各类操作系统和应用系统AURORA-200网络、主机漏洞扫描5网络综合协议分析仪OptiView网络透视与协议分析,网络性能测评INA网络流量监控6网络系统管理,HPOpenView自动发现网络拓扑图、网络性能与故障管理NNM6
0绘制网络拓扑图2
3风险评估方法2
1资产识别2
1资产分类首先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估
根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类型
一种基于表现形式的资产分类方法分类示例数据保存在信息媒介上的各种数据资料,包括源代码、数据库数据