下载后可任意编辑分级保护项目方案设计12024 年 4 月 19 日下载后可任意编辑分级保护项目方案设计第三章 安全保密风险分析 3.1 脆弱性分析 脆弱性是指资产或资产组中能被威胁所利用的弱点它包括物理环境、组织机构、业务流程、人员、管理、硬件、软件及通讯设施等各个方面。脆弱性是资产本身存在的假如没有被相应的威胁利用单纯的脆弱性本身不会对资产造成损害而且假如系统足够强健严重的威胁也不会导致安全事件发生并造成损失。威胁总是要利用资产的脆弱性才可能造成危害。 资产的脆弱性具有隐蔽性有些脆弱性只有在一定条件和环境下才能显现这是脆弱性识别中最为困难的部分。不正确的、起不到任何作用的或没有正确实施的安全措施本身就可能是一个弱点脆弱性是风险产生的内在原因各种安全薄弱环节、安全弱点自身并不会造成什么危害它们只有在被各种安全威胁利用后才可能造成相应的危害。 针对 XXX 机关涉密信息系统我们主要从22024 年 4 月 19 日下载后可任意编辑技术和管理两个方面分析其存在的安全脆弱性。 3.1.1 技术脆弱性 1. 物理安全脆弱性 环境安全物理环境的安全是整个基地涉密信息系统安全得以保障的前提。假如物理安全得不到保障那么网络设备、设施、介质和信息就容易受到自然灾害、环境事故以及人为物理操作失误或错误等各种物理手段的破坏造成有价值信息的丢失。当前各级 XXX 企业的中心机房大部分采纳独立的工作空间而且能够达到国家标准 GB《电子计算机机房设计法律规范》、GB28871989《计算机场地技术条件》、GB93611998《计算站场地安全要求》和 BMBl7— 《涉及国家秘密的信息系统分级保护技术要求》等要求。 设备安全涉密信息系统的中心机房均根据保密标准要求实行了安全防范措施防止非授权人员进入避开设备发生被盗、被毁的安全事故。 介质安全当前各级 XXX 企业的软磁盘、硬盘、光盘、磁带等涉密媒体按所存储 第 2 页 共 129 页 信息的32024 年 4 月 19 日下载后可任意编辑最高密级标明密级并按相应的密级管理。 2. 运行安全脆弱性分析 备份与恢复备份与恢复是保证涉密信息系统运行安全的一个不可忽视问题当遇到如火灾、水灾等不可抗因素不会造成关键业务数据无法恢复的惨痛局面。同时将备份关键业务数据的存储介质放置在其它建筑屋内防止在异常事故发生时被同时破坏。 网络防病毒各级 XXX 企业涉密网络中的操作系统主要是 windows 系列操作系统。虽有安全措施却在不同程...
