第二章 某OA 系统信息安全风险评估方案 2.1 风险评估概述 2.1.1 背景 某OA 系统风险评估的目的是评估办公自动化(OA)系统的风险状况,提出风险控制建议,同时为下一步要制定的OA 系统安全管理规范以及今后OA 系统的安全建设和风险管理提供依据和建议。 需要指出的是,本评估报告中所指的安全风险是针对现阶段OA系统的风险状况,反映的是系统当前的安全状态。 2.1.2 范围 某OA 系统风险评估范围包括某OA 网络、管理制度、使用或管理OA 系统的相关人员以及由其办公所产生的文档、数据。 2.1.3 评估方式 信息系统具有一定的生命周期,在其生命周期内完成相应的使命。采取必要的安全保护方式使系统在其生命周期内稳定、可靠的运行,是系统各种技术、管理应用的基本原则。 本项目的评估主要根据国际标准、国家标准和地方标准,从识别信息系统的资产入手,着重针对重要资产分析其面临的安全威胁并识别其存在的脆弱性,最后综合评估系统的安全风险。 资产识别是风险评估的基础,在所有识别的系统信息资产中,依据资产在机密性、完整性和可用性三个安全属 性的价 值 不 同,综合判定资产的重要性程 度并将 其划 分为核 心 、关键 、中等 、普 通 和次 要5个等 级 。其中核 心 、关键 和中等 等 级 的资产都 被 列 为重要资产,并分 析其面临的安全威胁。 脆弱性识别主要从技术和管理两个层面,采取人工访谈、现场核查、扫描检测、渗透性测试等方式,识别系统所存在的脆弱性和安全隐患。 对重要资产已识别的威胁、脆弱性,判断威胁发生的可能性和严重性,综合评估重要信息资产的安全风险。 根据重要信息资产威胁风险值的大小,划分安全风险等级,判断不可接受安全风险的范围、确定风险优先处理等级。 根据不可接受安全风险的范围、重要信息资产安全风险值和风险优先处理等级,给出风险控制措施。 2.2 OA 系统概况 2.2.1 OA 系统背景 随着计算机通信以及互联网技术的飞速发展,社会信息化建设以及网络经济为主要特征的新经济形态正在发展和壮大。办公自动化正在成为信息化建设的一个重要组成部分,通过规范化和程序化来改变传统的工作模式,建立一种以高效为特征的新型业务模式。在此背景下决 定建设 OA 系统,建立规范化、程序化工作模式,最 终 提 高工作的效率 。 2.2.2 网络结 构 图 与 拓 扑 图 该 OA 系统网络是 一个专 用 网络,与 Internet 物 理隔 离 。该...
