北京信息科技大学信息管理学院(课程设计)实验报告课程名称: 信息安全管理与评估专业:班级:学号:姓名:实验名称信息安全管理及风险评估工具应用实验地点学院实验室实验时间2025/101
课程设计目的:熟练掌握信息安全管理及风险评估流程
课程设计内容:根据标准所规定的流程,完成信息安全管理体系的建立过程及其所需文档、完成风险评估实施过程及其所需文档
课程设计要求:掌握信息安全管理及风险评估流程;完成信息安全管理或风险评估报告
实验条件:(1)PC 机一台(2)风险评估工具等软件
实验方法与步骤:一、风险评估的目标本次安全风险评估的目的是为学校机房管理系统是否能够满足学校管理法律规范对机房系统的安全要求提供技术参考,同时为机房管理系统进行信息安全改进提供依据,以指导下一步的信息安全管理和保障工作
二、风险评估的范围应用系统的功能模块(或子系统),可参照下表进行分解:应用系统分解表类别说明数据存储应用系统中负责数据存储的子系统或功能模块
如数据库服务器业务处理应用系统中负责进行数据处理运算的子系统或模块,如应用服务器、通信前置机服务提供应用系统中负责对用户提供服务的子系统或模块,如 web 服务器客户端由用户或客户直接使用、操纵的模块,包括:工作站、客户机等,如应用客户端、web 浏览器*注:以上的子系统(功能模块)分类可能存在于一台主机上,也可能分布在多台主机上,对应用系统的分解不需要特别注明子系统的分布情况,只需详细说明功能作用和构成
对于不具有多层结构的系统,可根据实际情况进行简化分解,例如:仅分解为服务器端与客户端
典型的应用系统分解结构图如下:三、风险评估的方法本次风险评估结合机房当前信息化工作重点,分成资产评估、威胁评估、脆弱性评估来实施评估
其中,资产评估内容主要针对机房管理系统展开;威胁评估包含非人为威胁和人为威胁等因素;脆弱性评估内容分