收藏
下载资源

单位安全评估报告

上传人:M****1 文档编号:470266926 上传时间:2022-12-17 格式:DOC 页数:33 大小:270.50KB
返回 下载 相关 举报
单位安全评估报告_第1页
第1页 / 共33页
单位安全评估报告_第2页
第2页 / 共33页
单位安全评估报告_第3页
第3页 / 共33页
单位安全评估报告_第4页
第4页 / 共33页
单位安全评估报告_第5页
第5页 / 共33页
点击查看更多>>
资源描述

《单位安全评估报告》由会员分享,可在线阅读,更多相关《单位安全评估报告(33页珍藏版)》请在金锄头文库上搜索。

1、单位信息安全检查安全评估报告1.概述41.1.背景41.2.目的41.3.评估依据52.安全评估方案62.1.安全评估内容62.1.1.物理层自评估72.1.2.网络层自评估72.1.3.系统层自评估72.1.4.应用层自评估72.1.5.管理层自评估72.2.安全评估流程72.3.安全评估方式92.3.1.管理体系审计92.3.2.安全策略评估102.3.3.网络架构分析102.3.4.手动检查112.3.5.安全技术审计113.信息资产识别123.1.概述123.2.网络结构123.3.应用系统123.4.资产清单134.安全威胁现状与分析134.1.概述134.2.安全威胁分析144.3

2、.安全事件列表145.系统脆弱性现状与分析165.1.概述165.2.管理安全165.3.物理安全195.4.网络安全205.5.系统安全215.6.应用安全225.6.1.网络服务235.6.2.备份与存储245.6.3.安全应急管理255.7.安全控制措施266.安全现状总结286.1.管理层面286.2.技术层面291. 概述1.1. 背景根据国务院信息化工作办公室关于对国家基础信息网络和重要信息系统开展安全检查的通知(信安通200615号)、国家电力监管委员会关于对电力行业有关单位重要信息系统开展安全检查的通知(办信息200648号)、集团公司以及省公司公司相关文件的要求,开展单位范围

3、内的信息安全检查工作。本报告为单位信息系统安全现状自评估结论性报告,描述了对我局信息系统目前面临的各种安全威胁,并从物理安全、网络安全、系统安全、应用安全和管理安全五个层面对我局信息系统安全脆弱性现状进行了详细的分析,最终从客观上对信息系统的安全状况进行了总体评价。1.2. 目的单位信息安全检查工作的主要目标是通过自评估工作,发现公司信息系统当前面临的主要安全问题,边检查边整改,确保公司信息网络和重要信息系统的安全。本次安全检查工作将完成以下任务:1. 完成单位的信息安全风险评估工作。通过检查掌握当前我局信息系统面临的主要安全问题,并在对检查结果进行分析判断的基础上提出整改措施;2. 进行单位

4、信息安全大检查,对我局的基础网络和重要信息系统进行安全性自查,并将相关数据进行汇总分析,统计重大和典型信息安全事件,及时发现和查找基础网络和重要信息系统存在的安全隐患,边检查边整改,确保我局基础网络和重要信息系统安全、可靠运行。1.3. 评估依据本次自评估我局将采用国际信息安全管理标准BS 7799的PDCA思想作为贯穿整个项目过程的主要指导规范。在风险等关键因素的评估及安全体系、安全规划、安全策略、安全方案的建设等方面,我们还参考了SSE-CMM、ISO15408和ISO13335标准。1. BS7799 (ISO/IEC 17799)BS 7799是国内外现在比较流行的信息安全管理标准,其

5、安全模型主要是建立在风险管理的基础上,通过风险分析的方法,使信息风险的发生概率和后果降低到可接受水平,并采取相应措施保证业务不会因安全事件的发生而中断。这个标准中安全管理体系框架构建的过程也就是宏观上指导整个项目实施的过程。这个标准中给出了11类需要进行控制的部分:安全策略、安全组织、资产分类与控制、个人信息安全、物理和环境安全、通信和操作安全、访问控制、系统的开发和维护、商业持续规划、合法性要求等方面的安全风险评估和控制,以及133项控制细则。2. 信息安全风险评估指南&信息安全风险管理指南信息安全风险评估指南和信息安全风险管理指南是国内风险评估的主要规范,它在参考了国际风险评估理论的基础上

6、建立了适用于中国国情的风险评估方法论,无论是风险评估的流程还是风险计算模型都将为本次风险评估的具体实施提供指导。3. SSE-CMMSSE-CMM是“系统安全工程能力成熟模型”的缩写。系统安全工程旨在了解用户单位存在的安全风险,建立符合实际的安全需求,将安全需求转换为贯穿安全系统工程的实施指南。系统安全工程需要对安全机制的正确性和有效性做出验证,证明系统安全的信任度能够达到用户要求,以及未在安全基线内仍存在的安全问题连带的风险在用户可容许、或可控范围内。4. ISO/IEC 15408(GB/T18336)信息技术安全性评估通用准则ISO15408已被颁布为国家标准GB/T18336,简称通用

7、准则(CC),它是评估信息技术产品和系统安全性的基础准则。该标准针对在安全性评估过程中信息技术产品和系统的安全功能及相应的保证措施提出一组通用要求,使各种相对独立的安全性评估结果具有可比性。5. ISO/IEC 13335ISO13335是信息安全管理方面的规范,这个标准的主要目的就是要给出如何有效地实施IT安全管理的建议和指南。6. 等级保护相关标准为了落实信息安全等级保护管理办法(试行),协助XX公司对信息系统进行安全等级保护的建设,将严格遵循公安部颁布的计算机信息系统安全等级保护划分准则(GB17859)、信息系统安全保护等级定级指南(试用稿)、信息系统安全等级保护基本要求(试用稿)、信

8、息系统安全等级保护实施指南(送审稿)、信息系统安全等级保护测评准则(送审稿)、电子政务信息安全等级保护实施指南(试行)(国信办25号文)等相关规范。7. 其他相关标准在具体的安全风险评估操作及安全体系建设方面,还将参考一些国际和国内的技术标准,如AS/NZS 4360: 1999 风险管理标准、GAO/AIMD-00-33信息安全风险评估、加拿大威胁和风险评估工作指南、美国信息安全保障框架IATF等,以此更加规范安全评估及体系建设的具体技术细节。2. 安全评估方案2.1. 安全评估内容本次为了全面的分析局信息系统当前的安全现状,发现当前系统存在的高风险安全隐患和问题,分析当前现状和省公司公司信

9、息安全检查工作方案、ISO17799等国家及行业安全目标之间的差距,我局将对信息网的物理层、网络层、系统层、应用层和管理层进行全面安全评估。2.1.1. 物理层自评估物理层自评估主要是通过局信息网机房内部安全防护、机房供电以及环境防护的安全性进行评估。2.1.2. 网络层自评估网络层自评估主要是对局信息网进行网络架构分析和人工安全检查等评估方法对我局的网络结构、路由器、交换机以及防火墙等网络设备的安全性进行评估。2.1.3. 系统层自评估系统层自评估主要是通过手动检查、安全技术审计等方式对局信息网中的小型机以及Windows PC服务器等应用服务器的操作系统进行安全性自评估工作。2.1.4.

10、应用层自评估应用层自评估主要是通过人工安全检查、安全技术审计等方式对OAK系统、营销系统以及数据库系统等业务应用系统的安全性进行评估。2.1.5. 管理层自评估管理层自评估主要是通过管理体系审核、管理问卷调查等方式对业务系统信息安全管理的建设和执行情况进行评估,并分析当前现状和省公司公司信息安全检查工作方案、ISO17799等国家及行业安全目标之间的差距。2.2. 安全评估流程安全风险评估方案是安全风险模型的体现,本次自评估工作过程可以分为以下几个阶段:l第一阶段确定评估范围阶段,调查并了解我局信息系统业务的流程和运行环境,确定评估范围的边界以及范围内的所有网络系统;l第二阶段是资产的识别和评

11、估阶段,对评估范围内的所有资产进行识别;l第三阶段是安全威胁评估阶段,即评估资产所面临的主要威胁发生可能性;l第四阶段是脆弱性评估阶段,包括从技术、管理、策略方面进行的脆弱程度检查,特别是技术方面,以安全审计和手动抽查的评估;l第五阶段是风险的分析阶段,即通过分析上面所评估的数据,进行风险识别、区分和确认高风险因素;l第六阶段是风险的管理阶段,这一阶段主要是总结整个风险评估过程,制定相关风险控制策略,建立风险评估报告和检查报告,实施某些紧急风险控制措施。2.3. 安全评估方式2.3.1. 管理体系审计通过对局现有的安全管理体系进行审核,了解现有管理体系与ISO27001*省*集团有限公司计算机

12、信息系统安全策略规划书、省公司公司信息安全检查工作方案等相关国家和行业标准的符合情况。安全管理体系的审计包括现有的安全管理管理规范、策略文档、制度文档、流程文档。检查内容主要包括:l 分析当前颁布的所有的管理体系文档的内容是否全面;l 检查当前颁布的安全体系是否符合标准;l 检查当前颁布的各类体系文档的格式是否合理;l 检查当前颁布的安全体系是否在持续改进。l 检查当前颁布的安全体系内容是否符合省公司公司信息安全检查工作方案的要求2.3.2. 安全策略评估安全策略是对整个网络在安全控制、安全管理、安全使用等最全面、最详细的策略性描述,它是整个网络安全的依据。不同的网络需要不同的策略,它必须能回

13、答整个网络中与安全相关的所有问题,例如,如何实现防病毒管理?如何控制远程用户访问的安全性等等。对这些问题做出详细回答,并确定相应的防护手段和实施办法,就是针对整个网络的一份完整的安全策略。策略一旦制订,应当作为整个网络安全行为的准则。这一步工作,就是从整体网络安全的角度对现有的网络安全策略进行全局性的评估,它也包含了技术和管理方面的内容,具体包括:u 安全策略是否全面覆盖了整体网络在各方各面的安全性描述;u 在安全策略中描述的安全控制、管理和使用措施是否正确和有效;u 安全策略中的每一项内容是否都得到确认和具体落实。u 安全策略是否符合省公司公司信息安全检查工作方案的要求2.3.3. 网络架构

14、分析网络架构分析是通过对局管理信息网内信息系统的网络拓扑及网络层面细节架构的评估,主要从以下几个方面进行分析: 网络建设的规范性:网络安全规划、设备命名规范性、网络架构安全性; 网络的可靠性:网络设备和链路冗余、设备选型及可扩展性; 网络边界安全:网络设备的ACL、防火墙、隔离网闸、物理隔离、VLAN(二层ACL)等; 网络协议分析:路由、交换、组播 、IGMP、CGMP等协议; 网络通信安全:通信监控、通信加密、VPN分析等; 设备自身安全:SNMP、口令、设备版本、系统漏洞、服务、端口等; 网络安全管理:网管系统、客户端远程登陆协议、日志审计、设备身份验证等。2.3.4. 手动检查手动检查

15、是自评估工作最重要的手段之一,通过自我内部评估来查找网络结构、网络设备、操作系统、核心应用等安全对象目标存在的脆弱性和威胁性,以及由此归并分析得出相应的安全风险。在本次手动检查主要以下面的物理、网络、系统以及应用四个层次进行自评估工作。1物理层安全:该层的安全问题主要指物理环境的安全性,包括物理安全区域划分、物理安全边界、机房安全、设备安全等2网络层安全:该层的安全问题主要指网络信息的安全性,包括网络层身份认证,网络资源的访问控制,数据传输的保密与完整性、远程接入、域名系统、路由系统的安全,入侵检测的手段等。3系统层安全:该层的安全问题来自网络运行的操作系统:UNIX系列、Windows系列以及专用操作系统等。安全性问题表现在两方面:一是操作系

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 建筑/环境 > 施工组织

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号