1【经典资料,WORD文档,可编辑修改】【经典考试资料,答案附后,看后必过,WORD文档,可修改】编辑时间:2015年9月16日星期三页码:21.总体概述1.1项目概述为了更好的了解信息安全状况,根据《信息安全风险评估指南》和GB/T20984-2007《信息安全技术信息安全风险评估规范》要求,总体评估公司信息化建设风险。2.风险评估方案2.1风险评估现场实施流程风险评估的实施流程见下图所示2.2风险评估使用工具测评过程中所使用的工具见下表所示:编辑时间:2015年9月16日星期三页码:风险评估准备保持已有的安全措施威胁识别已有安全措施的确认风险计算制定和实施风险处理计划并评估残余风险风险是否接受是否接受残余风险实施风险管理资产识别脆弱性识别评估过程文档评估过程文档评估过程文档..................否否是是风险分析风险评估文件记录3序号名称功能描述版本用途1数据库安全扫描系统可扫描Qracle、SqlServer、SybaseATX数据库漏洞扫描2ISS网络扫描器可扫描各类操作系统和应用系统7.0sp2网络、主机漏洞扫描3天镜脆弱性扫描系统可扫描各类操作系统和应用系统6.0网络、主机漏洞扫描4极光远程安全评估系统可扫描各类操作系统和应用系统AURORA-200网络、主机漏洞扫描5网络综合协议分析仪OptiView网络透视与协议分析,网络性能测评INA网络流量监控6网络系统管理,HPOpenView自动发现网络拓扑图、网络性能与故障管理NNM6.0绘制网络拓扑图2.3风险评估方法2.3.1资产识别2.3.1.1资产分类首先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类型。一种基于表现形式的资产分类方法分类示例数据保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等软件系统软件:操作系统、语句包、工具软件、各种库等应用软件:外部购买的应用软件,外包开发的应用软件等源程序:各种共享源代码、自行或合作开发的各种代码等硬件网络设备:路由器、网关、交换机等计算机设备:大型机、小型机、服务器、工作站、台式计算机、移动计算机等编辑时间:2015年9月16日星期三页码:4存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等传输线路:光纤、双绞线等保障设备:动力保障设备(UPS、变电设备等)、空调、保险柜、文件柜、门禁、消防设施等安全保障设备:防火墙、入侵检测系统、身份验证等其他:打印机、复印机、扫描仪、传真机等服务办公服务:为提高效率而开发的管理信息系统(MIS),包括各种内部配置管理、文件流转管理等服务网络服务:各种网络设备、设施提供的网络连接服务信息服务:对外依赖该系统开展的各类服务文档纸质的各种文件,如传真、电报、财务报告、发展计划等人员掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目经理等其它企业形象,客户关系等2.3.1.2资产赋值2.3.1.2.1保密性赋值根据资产在保密性上的不同要求,将其分为五个不同的等级,分别对应资产在机密性上应达成的不同程度或者机密性缺失时对整个组织的影响。资产机密性赋值表赋值标识定义5很高包含组织最重要的秘密,关系未来发展的前途命运,对组织根本利益有着决定性的影响,如果泄露会造成灾难性的损害4高包含组织的重要秘密,其泄露会使组织的安全和利益遭受严重损害3中等组织的一般性秘密,其泄露会使组织的安全和利益受到损害2低仅能在组织内部或在组织某一部门内部公开的信息,向外扩散有可能对组织的利益造成轻微损害1很低可对社会公开的信息,公用的信息处理设备和系统资源等编辑时间:2015年9月16日星期三页码:52.3.1.2.2完整性赋值根据资产在完整性上的不同要求,将其分为五个不同的等级,分别对应资产在完整性上缺失时对整个组织的影响。资产完整性赋值表赋值标识定义5很高完整性价值非常关键,未经授权的修改或破坏会对组织造成重大的或无法接受的影响,对业务冲击重大,并可能造成严重的业务中断,难以弥补。4高完整性价值较高,未经授权的修改或破坏会对组织造成重大影响,对业务冲击严重,较难弥补。3中等完整性...
