收藏
下载资源

网络信息安全评估报告

上传人:s9****2 文档编号:497341334 上传时间:2023-10-22 格式:DOCX 页数:2 大小:40.37KB
返回 下载 相关 举报
网络信息安全评估报告_第1页
第1页 / 共2页
网络信息安全评估报告_第2页
第2页 / 共2页
亲,该文档总共2页,全部预览完了,如果喜欢就下载吧!
资源描述

《网络信息安全评估报告》由会员分享,可在线阅读,更多相关《网络信息安全评估报告(2页珍藏版)》请在金锄头文库上搜索。

1、计算机信安全评估报告如何实现如下图所示可用性 1.人们通常采用一些技术措施或网络安全设备来实现这些目标。例如: 使用防火墙,把攻击者阻挡在网络外部,让他们“进不来 。 即使攻击者进入了网络内部,由于有加密机制,会使他们“改不了”和“拿不走”关 键信息和资源。机密性 2机密性将对敏感数据的访问权限控制在那些经授权的个人,只有他们才 能查看数据。机密性可防止向未经授权的个人泄露信息,或防止信息被加工。如图所示 “进不来”和“看不懂”都实现了信息系统的机密性。 人们使用口令对进入系统的用户进行身份鉴别,非法用户没有口令就 “进不来 ,这 就保证了信息系统的机密性。即使攻击者破解了口令,而进入系统,加

2、密机制也会使得他们“看不懂”关键信息。 例如,甲给乙发送加密文件,只有乙通过解密才能读懂其内容,其他人看到的是乱码。 由此便实现了信息的机密性。完整性 3 如图所示 “改不了”和“拿不走”都实现了信息系统的完整性。使用 加密机制,可以保证信息系统的完整性,攻击者无法对加密信息进行修改或者复制。不可抵赖性4如图所示 “跑不掉”就实现了信息系统的不可抵赖性。如果攻击 者进行了非法操作,系统管理员使用审计机制或签名机制也可让他们无所遁形 对考试的机房进行“管理制度”评估。(1)评估说明 为规范管理,保障计算机设备的正常运行,创造良好的上机环境,必须制定相关的管理制 度(2)评估内容 没有建立相应信息

3、系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值 班制度,没有实行工作票制度;机房出入管理制度上墙,但没有机房进出情况记录(3)评估分析报告 所存在问题:1没有系统的相关负责人,机房也是谁人都可以自由出入。2 在上机过程 中做与学习无关的工作。3 机房财产规划不健全等(4)评估建议1、计算机室的管理由系统管理员负责,非机房工作人员未经允许不准进入。未经许 可不得擅自上机操作和对运行设备及各种配置进行更改。 2、保持机房内清洁、安静,严禁机房内吸烟、吐痰以及大声喧哗;严禁将易燃、易爆、易污染和强磁物品带 入机房。 3、机房内的一切物品,未经管理员同意,不得随意挪动,拆卸和带出机 房。

4、4、上机时,应先认真检查机器情况,如有问题应及时向机房管理员反应。 5、 上机人员不得在机房内进行与上机考试无关的计算机操作。6、上机时应按规定操作, 故意或因操作不当造成设备损坏,除照价赔偿外,视情节轻重给予处罚。 对考试的机房进行“物理安全”评估。(1)评估说明防火,防水,防尘,防腐蚀,主机房安装门禁、监控与报警系统。(2)评估内容 主机房没有安装门禁、监控系统,有消防报警系统。(3)评估分析报告 没有详细的机房配线图,机房供电系统将动力、照明用电与计算机系统供电线路是 分开的,机房没有配备应急照明装置,有定期对UPS的运行状况进行检测但没有检 测记录。(4)评估建议 有详细的机房配线图,

5、机房供电系统将动力、照明用电与计算机系统供电线路分开, 机房配备应急照明装置,定期对uPS的运行状况进行检测(查看半年内检测记录) 对考试的机房进行“计算机系统安全”评估。(1)评估说明 应用系统的角色、权限分配有记录;用户账户的变更、修改、注销有记录(半年记 录情况);关键应用系统的数据功能操作进行审计并进行长期存储;对关键应用系统 有应急预案;关键应用系统管理员账户、用户账户口令定期进行变更;新系统上线 前进行安全性测试。(2)评估内容营销系统的角色、权限分配有记录,其余系统没有;用户账户的变更、修改、注销 没有记录;关键应用系统的数据功能操作没有进行审计;没有针对关键应用系统的 应急预案

6、;关键应用系统管理员账户、用户账户口令有定期进行变更;有些新系统 上线前没有进行过安全性测试。(3)评估分析报告 网络中的防火墙位置部署合理,防火墙规则配置符合安全要求,防火墙规则配置的 建立、更改有规范申请、审核、审批流程,对防火墙日志进行存储、备份。(4)评估建议完善系统的角色、权限分配有记录;记录用户账户的变更、修改、注销(半年记录情 况);关键应用系统的数据功能操作进行审计;制定针对关键应用系统的应急预案; 关键应用系统管理员账户、用户账户口令定期进行变更;新系统上线前应严格按照相 关标准进行安全性测试。对考试的机房进行“网络与通信安全”评估。(1)评估说明 按标准部署身份认证系统、安

7、全管理平台、针对安全设备的日志服务器,采用漏洞 扫描系统,重要系统一年进行一次信息安全风险评估。(2)评估内容 没有部署身份认证系统、安全管理平台,没有漏洞扫描系统,重要系统没有进行信 息安全风险评估,没有部署针对安全设备的日志服务器。(3)评估分析报告按标准部署身份认证系统、安全管理平台、针对安全设备的日志服务器,采用漏洞 扫描系统,重要系统一年进行一次信息安全风险评估。(4)评估建议 部署身份认证系统、安全管理平台,采用漏洞扫描系统,重要系统一年内进行信息 安全风险评估,部署针对安全设备的日志服务器。信息安全评估: 对考试的机房进行“日志与统计安全”评估。(1)评估说明 每天计算机上机记录日志在册,对系统进行不定时的还原。对本局半年内发生的较 大的、或者发生次数较多的信息安全事件进行汇总记录,形成本单位的安全事件列 表(2)评估内容 已成立了信息安全领导机构,但尚未成立信息安全工作机构。(3)评估分析报告 局域网核心交换设备、城域网核心路由设备应采取设备冗余或准备备用设备,不允 许外联链路绕过防火墙,具有当前准确的网络拓扑结构图(4)评估建议 完善信息安全组织机构,成立信息安全工作机构。

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 学术论文 > 其它学术论文

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号