信息系统安全风险评估案例分析 某公司信息系统风险评估项目案例介绍 介绍内容:项目相关信息、项目实施、项目结论及安全建议。 一、 项目相关信息 项目背景:随着某公司信息化建设的迅速发展,特别是面向全国、面向社会公众服务的业务系统陆续投入使用,对该公司的网络和信息系统安全防护都提出了新的要求。为满足上述安全需求,需对该公司的网络和信息系统的安全进行一次系统全面的评估,以便更加有效保护该公司各项目业务应用的安全。 项目目标:第一通过对该公司的网络和信息系统进行全面的信息安全风险评估,找出系统目前存在的安全风险,提供风险评估报告。并依据该报告,实现对信息系统进行新的安全建设规划。构建安全的信息化应用平台,提高企业的信息安全技术保障能力。第二通过本次风险评估,找出公司内信息安全管理制度的缺陷,并需协助该公司建立完善的信息安全管理制度、安全事件处置流程、应急服务机制等。提高核心系统的信息安全管理保障能力。 项目评估范围:总部数据中心、分公司、灾备中心。项目业务系统:核心业务系统、财务系统、销售管理统计 系统、内部信息门 户 、外 部信息门 户 、邮 件系统、辅 助办 公系统等。灾备中心,应急响 应体 系,应急演 练 核查 。 评估对象:网络系统:17 个设备,抽样率40%。主机系统:9台,抽样率50%。数据库系统:4 个业务数据库,抽样率100%。应用系统:3 个(核心业务、财务、内部信息门户)安全管理:11 个安全管理目标。 二、 评估项目实施 评估实施流程图: 项目实施团队:(分工) 现场工作内容: 项目启动会、系统与业务介绍、系统与业务现场调查、信息资产调查统计、威胁调查统计、安全管理问卷的发放回收、网络与信息系统评估信息获取、机房物理环境现场勘察、系统漏洞扫描、系统运行状况核查。 评估工作内容: 资产统计赋值、威胁统计分析并赋值、各系统脆弱性分析、系统漏洞扫描结果分析、已有安全措施分析、业务资产安全风险的计算与分析、编写评估报告。 资产统计样例(图表) 威胁统计分析:3 大类威胁(环境、系统、人为),7 子类获取威胁统计,7 子类,34 项;4 级威胁2 子类2 项;3 级威胁6 子类16 项;2级威胁5 子类16 项。 威胁统计分析列表(1): 威胁统计分析列表(2): 脆弱性分析:网络问题(高风险3 个,中风险2 个)主机系统:13 个问题(很高风险1 个,高风险7 个,中风险4 个,低风险1 个)数据库...
