计算机信息安全评估实例.pptVIP

计算机信息安全评估实例 本章目录 1 评估准备 2 识别并评价资产 3 识别并评估威胁 4 识别并评估脆弱性 5 分析可能性和影响 6 风险计算 7 风险处理 8 编写信息安全风险评估报告 上机实验 1 评估准备 　　　依据GB/T 20984—2007《信息安全技术 信息安全风险评估规范》，在风险评估实施前，应确定风险评估的目标，确定评估范围，组建评估管理与实施团队，进行系统调研，确定评估依据和方法，制定评估方案，获得最高管理者的支持。 　　　8.1.1 ?确定信息安全风险评估的目标 　　××信息系统风险评估目标是通过风险评估，分析信息系统的安全状况，全面了解和掌握信息系统面临的安全风险，评估信息系统的风险，提出风险控制建议，为下一步完善管理制度以及今后的安全建设和风险管理提供第一手资料。 　　　1.2 确定信息安全风险评估的范围 　　　既定的信息安全风险评估可能只针对组织全部资产的一个子集，评估范围必须明确。本次评估的范围包括该信息系统网络、管理制度、使用或管理该信息系统的相关人员，以及由系统使用时所产生的文档、数据。 　　　1.3 组建适当的评估管理与实施团队 　　　组建由该单位领导、风险评估专家、技术专家，以及各管理层、业务部门的相关人员组成风险评估小组，同时明确规定每个成员的任务分工 。 　　　1.4 进行系统调研 　　　通过问卷调查、人员访谈、现场考察、核查表等形式，对信息系统的业务、组织结构、管理、技术等方面进行调查。问卷调查、人员访谈的方式使用了《调查表》，调查了系统的管理、设备、人员管理的情况，现场考察、核查表的方式考察了设备的具体位置，核查了设备的实际配置等情况，得出有关信息系统的描述。 　　　1.4.1 业务目标和业务特性 　　　1．业务目标 　　　××信息系统主要负责数据的收集、技术处理以及预测分析，为相关部门提供决策和管理支持，向社会提供公益服务。 　　　　 2．业务特性 　通过对信息系统的业务目标的分析，归纳出以下业务特性： ⑴ 业务种类多，技术型工作与管理型工作并重； ⑵ 业务不可中断性低； ⑶ 业务保密性要求低； ⑷ 业务基本不涉及现金流动； ⑸ 人员业务素质要求高。 　　　1.4.2 管理特性 　　　现有的规章制度原则性要求较多，可操作性较低，在信息安全管理方面偏重于技术。 　　　1.4.3 网络特性 　　　××信息系统的网络拓扑结构图如图8-1所示。 　1.5 评估依据 　评估所遵循的依据如下： 1.《信息安全技术 信息安全风险评估规范》（GB/T 20984-2007） 2.《信息技术　信息技术安全管理指南》（GB/T 19715-2005） 3.《信息技术　信息安全管理实用规则》（GB/T 19716-2005） 2.《信息安全等级保护管理办法》（公通字[2007]43号） 3.《信息安全技术 信息系统安全管理要求》（GB/T 20269-2006） 　　　1.6 信息安全风险评估项目实施方案 　　　1.6.1 项目组织机构 　　　项目实施的组织机构如下: 　　　项目工程领导小组由受测机构主管信息安全的领导和评估机构领导共同组成。项目工程领导小组定期听取项目工程管理小组汇报整个项目的进展情况和项目实施关键阶段的成果；项目实施完毕之后，领导小组将根据整个项目的成果情况，批准并主持项目试点总结工作。 　　　项目工程管理小组由评估双方的项目负责人组成。主要职责是审核确认项目实施组制定的现场工作计划，并监督项目进展情况；主持阶段成果汇报会议；做好协调工作，保证项目的顺利执行。 　　　项目实施组由评估专家、评估工程师及受测机构的安全管理员、网络管理员和应用系统分析员组成。主要职责是制定详细项目实施计划，根据实施计划开展工作。 　　　质量控制组由质量控制人员组成。主要负责对各个服务项目的实施情况进行质量控制和最终的验收。 　　　外聘专家组由有经验的专家组成。主要负责对项目的方案分析、实施、步骤、关键问题的解决及新技术的应用提供思路、指导和咨询。 　　1.6.2 项目阶段划分 　　　本次风险评估项目分项目准备、现状调研、检查与测试、分析评估及编制评估报告六个阶段，各阶段工作定义说明如下： 　　　项目准备：项目实施前期工作，包括成立项目组，确定评估范围，制定项目实施计划，收集整理开发各种评估工具等。工作方式：研讨会。工作成果：《项目组成员信息表》、《评估范围说明》、《评估实施计划》。 　　　现状调研：通过访谈调查，收集评估对象信息。工作方式：访谈、问卷调查。工作成果：《各种系统资料记录表单》。 　　　检查与测试：手工或工具检查及测试。进行资产分析、威胁分析和脆弱性扫描。工作方式：访谈、问