信息安全管理及风险评估工具应用报告-2010012702-葛彬.docVIP

北京信息科技大学 信息管理学院 （课程设计）实验报告 课程名称: 信息安全管理与评估 专业:信息安全班级:信安1001学号: 2010012702姓名: 葛彬 实验名称 信息安全管理及风险评估工具应用 实验地点 学院实验室 实验时间 2013/10 课程设计目的： 熟练掌握信息安全管理及风险评估流程。 课程设计内容： 按照标准所规定的流程，完成信息安全管理体系的建立过程及其所需文档、完成风险评估实施过程及其所需文档。 课程设计要求： 掌握信息安全管理及风险评估流程；完成信息安全管理或风险评估报告。 实验条件： （1）PC机一台 （2）风险评估工具等软件。 实验方法与步骤： (1)确定风险评估的目标： 北京信息科技大学学生档案管理系统负责对学生的学籍、户籍、在校情况等一系列信息进行采集和整理。方便学生及教学人员查询和使用。改系统必须具备时效性、真实可靠以及完整性。 确定风险评估的范围： 既定的信息安全风险评估可能只针对组织全部资产的一个子集，评估范围必须明确。本次评估的范围包括：系统网络，管理制度，相关操作人员，面向的对象，以及系统运行的产生的数据。 (3)组建适当的评估管理与实施团队： 　　项目工程管理小组由评估双方的项目负责人组成。主要职责是审核确认项目实施组制定的现场工作计划，并监督项目进展情况；主持阶段成果汇报会议；做好协调工作，保证项目的顺利执行。 　　项目实施组由评估专家、评估工程师及受测机构的安全管理员、网络管理员和应用系统分析员组成。主要职责是制定详细项目实施计划，根据实施计划开展工作。 　　质量控制组由质量控制人员组成。主要负责对各个服务项目的实施情况进行质量控制和最终的验收。 进行评估调研 通过问卷调查、人员访谈、现场考察等形式，对信息系统的业务、管理、技术等方面进行调查。问卷调查、人员访谈的方式使用了《调查表》，调查了系统的管理、设备、人员管理的情况，现场考察、核查表的方式考察了设备的具体位置，得出有关信息系统的描述。 评估的依据 1.《信息安全技术 信息安全风险评估规范》（GB/T 20984-2007） 2.《信息技术　信息技术安全管理指南》（GB/T 19715-2005） 3.《信息技术　信息安全管理实用规则》（GB/T 19716-2005） 2.《信息安全等级保护管理办法》（公通字[2007]43号） 3.《信息安全技术 信息系统安全管理要求》（GB/T 20269-2006） 使用矩阵法进行风险评估 资产识别清单 机密性 完整性 可用性 资产价值 重要资产 学生学籍数据库 很高 很高 高 5 是 主机 高 中 中 3 是 服务器 中 很高 高 4.7 是 路由器 低 高 中 3.6 是 档案柜 低 高 中 3.8 是 脆弱性识别： 脆弱性 严重程度 描述 失效较低 中 加密程度较低 低 操作失误 低 威胁识别： 威胁 出现的频率 威胁等级 描述 系统负载较大 出现的频率很高（或≥1 次/周） 很高 更新太慢 出现的频率很高（或≥1 次/周） 很高 重要资产清单： 机密性 完整性 可用性 资产价值 学生学籍数据库 很高 很高 高 5 主机 高 中 中 3 服务器 中 很高 高 4.7 路由器 低 高 中 3.6 档案柜 低 高 中 3.8 风险评估报告： 威胁 脆弱性 风险 风险等级 主机 系统负载较大 加密程度较低 11 2 服务器 系统负载较大 加密程度较低 11 2 路由器 系统负载较大 加密程度较低 11 2 学生学籍数据库 系统负载较大 操作失误 11 2 服务器 系统负载较大 操作失误 11 2 路由器 系统负载较大 操作失误 11 2 档案柜 系统负载较大 操作失误 11 2 学生学籍数据库 更新太慢 失效较低 17 3 主机 更新太慢 失效较低 15 3 服务器 更新太慢 失效较低 17 3 档案柜 更新太慢 失效较低 15 3 安全措施确认表： 风险处理计划： 实验总结： 本次实验使我认识到自己的不足，只有动手独立完成实验，才能调高对问题的认识程度，从而弥补课堂上所学知识的不足。 说明： 课程名称、课程设计目的、课程设计内容、课程设计要求由教师确定，实验前由教师事先填好，然后作为实验报告模版供学生使用； 实验条件由学生在实验或上机之前填写，教师应该在实验前检查并指导； 实验过程由学生记录实验的过程，包括操作过程、遇到哪些问题以及如何解决等； 实验总结由学生在实验后填写，总结本次实验的收获、未解决的问题以及体会和建议等； 源程序、代码、具体语句等，若表格空间不足时可作为附录另外附页。 4