收藏
下载资源

信息安全风险评估第二章

上传人:hs****ma 文档编号:563180986 上传时间:2023-10-27 格式:DOC 页数:31 大小:681.50KB
返回 下载 相关 举报
信息安全风险评估第二章_第1页
第1页 / 共31页
信息安全风险评估第二章_第2页
第2页 / 共31页
信息安全风险评估第二章_第3页
第3页 / 共31页
信息安全风险评估第二章_第4页
第4页 / 共31页
信息安全风险评估第二章_第5页
第5页 / 共31页
点击查看更多>>
资源描述

《信息安全风险评估第二章》由会员分享,可在线阅读,更多相关《信息安全风险评估第二章(31页珍藏版)》请在金锄头文库上搜索。

1、第二章某 OA 系统信息安全风险评估方案2.1 风险评估概述2.1.1 背景某0A系统风险评估的目的是评估办公自动化(OA)系统的风险 状况,提出风险控制建议,同时为下一步要制定的 0A系统安全管理 规范以及今后0A系统的安全建设和风险管理提供依据和建议。需要指出的是, 本评估报告中所指的安全风险是针对现阶段 OA 系统的风险状况,反映的是系统当前的安全状态。2.1.2 范围某0A系统风险评估范围包括某 0A网络、管理制度、使用或管理0A系统的相关人员以及由其办公所产生的文档、数据。2.1.3 评估方式信息系统具有一定的生命周期,在其生命周期内完成相应的使 命。采取必要的安全保护方式使系统在其

2、生命周期内稳定、 可靠的运 行,是系统各种技术、管理应用的基本原则。本项目的评估主要根据国际标准、国家标准和地方标准,从识别 信息系统的资产入手, 着重针对重要资产分析其面临的安全威胁并识 别其存在的脆弱性,最后综合评估系统的安全风险。资产识别是风险评估的基础,在所有识别的系统信息资产中,依 据资产在机密性、 完整性和可用性三个安全属性的价值不同, 综合判 定资产的重要性程度并将其划分为核心、关键、中等、普通和次要 5 个等级。其中核心、关键和中等等级的资产都被列为重要资产,并分析其面临的安全威胁脆弱性识别主要从技术和管理两个层面,采取人工访谈、现场核 查、扫描检测、 渗透性测试等方式,识别系

3、统所存在的脆弱性和安全 隐患。对重要资产已识别的威胁、脆弱性,判断威胁发生的可能性和严 重性,综合评估重要信息资产的安全风险。根据重要信息资产威胁风险值的大小,划分安全风险等级,判断 不可接受安全风险的范围、确定风险优先处理等级。根据不可接受安全风险的范围、重要信息资产安全风险值和风险 优先处理等级,给出风险控制措施。2.2 OA 系统概况2.2.1 OA 系统背景随着计算机通信以及互联网技术的飞速发展,社会信息化建 设以及网络经济为主要特征的新经济形态正在发展和壮大。 办公自动 化正在成为信息化建设的一个重要组成部分, 通过规范化和程序化来 改变传统的工作模式, 建立一种以高效为特征的新型业

4、务模式。 在此 背景下决定建设0A系统,建立规范化、程序化工作模式,最终提高 工作的效率。2.2.2 网络结构图与拓扑图该0A系统网络是一个专用网络,与In ternet物理隔离。该网络包含0A服务器组、数据库服务器组、办公人员客户端、网络连接设 备和安全防护设备等。OA系统网络通过一台高性能路由器连接上级 部门网络,通过一台千兆以太网交换机连接到下级部门网络。其中内部骨干网络采用千兆位以太网,两台千兆以太网交换机为骨干交换 机,网络配备百兆桌面交换机用来连接用户终端。具体的网络拓扑图如图书本23页图2-1所示:223网络结构与系统边界该0A系统网络分别与上级部门办公网络、下级部门办公网络连

5、接。其中用一台高性能路由器连接上级部门办公网络,用一台千兆交 换机连接下级部门办公网络。具体的系统边界图如图书本23页图2-2 所示:表2-1列举了主要边界情况表2-1 OA系统网络边界表网络连接连接方式主要连接 用户主要用途与下级部门办公网络连接千兆以太 网(内部)下级部门与下级部门公文流转等与上级部门办公网络连接专用光纤上级部门与上级部门公文流转等2.2.4 应用系统和业务流程分析该0A系统使用电子邮件系统作为信息传递与共享的工具和手段,满足办公自动化系统最基本的通信需求。 电子邮件系统作为本系统的 通信基础设施,为各种业务提供通用的通信平台。该 OA 系统采用以电子邮件作为统一入口的设计

6、思想。电子邮件 信箱作为发文、收文、信息服务、档案管理、会议管理等业务的统一 “门户”。每一个工作人员通过关注自己的电子邮件信箱就可以了解 到需要处理的工作。 各个业务系统通过电子邮件信箱来实现信息的交 互和流转。 例如公文流转业务中, 一般工作人员起草的公文通过电子 邮件系统发送到领导的电子信箱中, 领导通过查看电子信箱得到文件 的初稿。在审批通过后,转发到公文下发人员。公文下发人员再通过 电子邮件系统下发到各个部门各个工作人员的电子信箱中。2.3 资产识别2.3.1 资产清单该0A系统资产识别通过分析 OA系统的业务流程和功能,从信 息数据的完整性,可用性和机密性(简称 CIA )的安全需

7、求出发,识 别CIA三性有影响的信息数据及其承载体和周边环境。在本次OA系统风险评估中进行的资产识别,主要分为硬件资产、 文档和数据、人员、管理制度等,其中着重针对硬件资产进行风险评 估,人员主要分析其安全职责, IT 网络服务和软件结合其涉及的硬 件资产进行综合评估。下面列出具体的资产清单。硬件资产见表2-2表2-2硬件资产清单资产编号资产名称责任人资产描述ASSET 01OA Server王责0A服务器,实现0A的应用服务ASSET 02DB Server王责DB服务器,存储0A系统的相关数据ASSET 03NetScreen FW 01李珊防火墙ASSET 04Cisco Router

8、01李存路由器ASSET 05Cisco Switch 01李存骨干交换机ASSET 06Cisco Switch 02李存骨干交换机ASSET 073Com Switch 01李存二级交换机ASSET 08PC 01张晨用户终端ASSET 09PC 02陈乙用户终端文档和数据资产见表2-3。表2-3文档和数据资产清单资产编号资产名称责任人资产描述ASSET_10人员档案于己机构人员档案数据ASSET_11电子文件数据于己OA系统的电子文件制度资产清单见表2-4。表2-4制度资产清单资产编号资产名称责任人资产描述ASSET_12安全管理制度于己机房安全管理制度等ASSET_13备份制度于己系统

9、备份制度人员资产清单见表2-5表2-5人员资产清单资产编号资产名称责任人资产描述ASSET_13王责王责系统管理员ASSET_14李珊李珊安全管理员ASSET_15李存李存网络管理员ASSET_16张晨张晨普通用户ASSET_17陈乙陈乙普通用户ASSET_18于己于己档案和数据管理员,制度实施者232资产赋值资产赋值对识别的信息资产,按照资产的不同安全属性,即机密性,完整性和可用性的重要性和保护要求,分别对资产的CIA三性予以赋值。三性赋值分为5个等级,分别对应了该项信息资产的机密性,完 整性和可用性的不同程度的影响,赋值依据如下:1.机密性(Confidentiality)赋值依据根据资产

10、机密性属性的不同,将它分为 5个不同的等级,分别对 应资产在机密性方面的价值或者机密性方面受到损失时的影响, 如表2-6所示。表2-6机密性赋值依据表赋值含义解释5很高指组织最重要的机密,关系组织未来发展的前途命运, 对组织根本利益有着决定性的影响,如果泄露会造成 灾难性的影响4高指包含组织的重要秘密,其泄露会使组织的安全和利 益遭受严重损害3中指包含组织一般性秘密,其泄露会使组织的安全和利 益受到损害2低指仅在组织内部或在组织某一部门公开,向外扩散有 可能对组织的利益造成损害1很低对社会公开的信息,公用的信息处理设备和系统资源 等信息资产2.完整性(Integrity)赋值依据根据资产完整性

11、属性的不同,将它分为5个不同的等级,分别对应资产在完整性方面的价值或者在完整性方面受到损失时对整个评估的影响,如表2-7所示。表2-7完整性赋值依据表赋值含义解释5很高可用性价值非常关键,合法使用者对信息系统及资源 的可用度达到年度99灿上,一般不容许出现服务中 断的情况,否则将对生产经营造成重大的影响或损失4高可用性价值较咼,合法使用者对信息系统及资源的可 用度达到工作时间95%上, 一般不容许出现服务中 断,否则对生产经营造成一疋的影响或损失3中可用性价值中等,合法使用者对信息系统及资源的可 用度在工作时间75%以上,容忍出现偶尔和较短时间的服务中断,且对企业造成的影响不大2低可用性价值较

12、低,合法使用者对信息系统及资源的可用度在正常上班时间达到 35%- 75%1很低可用性价值或潜在影响可以忽略,完整性价值较低,合法使用者对资源的可用度在正常上班时间低于35%根据资产的不同安全属性,及机密性,完整性和可用性的等 级划分原则,采用专家指定的方法对所有资产 CIA三性予以赋值。 赋值后的资产清单见表表2-9资产CIA三性等级表资产编号资产名称机密性完整性可用性ASSET_01OA Server555ASSET_02DB Server555ASSET_03NetScree n FW_01555ASSET_04Cisco Router_01345ASSET_05Cisco Switch

13、_01345ASSET_06Cisco Switch_02345ASSET_073Com Switch_01244ASSET_08PC_01222ASSET_09PC_02222ASSET_10人员档案552ASSET_11电子文件数据553ASSET_12安全管理制度144ASSET_13备份制度144ASSET_13王责532ASSET_14李珊532ASSET_15李存532ASSET_16张晨132ASSET_17陈乙132ASSET_18于己532233资产分级资产价值应依据资产在机密性、完整性和可用性上的赋值等级,经过综合评定得出。根据系统业务特点,采取相乘法决定资产的价值。计算公

14、式如下:V=f(x,y,z)二其中:V表示资产价值,x表示机密性,y表示完整性,z表示可用性。根据该计算公式可以计算出资产的价值。例如取资产ASSET_01三性值代入公式如下:V=f(5,5,5)= 爲真罔得资产ASSET_O的资产价值=5。依此类推得到本系统资产的价值清单如表2-10所示表2-10资产价值表资产编号资产名称机密性完整性可用性资产价值ASSET_01OA Server5555ASSET_02DB Server5555ASSET 03NetScreen FW 015555ASSET 04Cisco Router 013454.2ASSET 05Cisco Switch 013454.2ASSET 06Cisco Switch

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 建筑/环境 > 施工组织

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号