信息统安全评估.pptVIP

* 信息系统安全的评价指标体系与评价方法 系统安全评价是当代企业安全措施的重要手段，为了充分认识系统的危险性，就要对系统进行细致而系统的分析，在系统分析的基础上对系统进行综合评价，最后通过评价结果来了解系统中潜在的危险和薄弱环节，并最终确定系统的安全状况，为以后的安全管理提供重要依据。 信息系统网络安全评价指标体系： (1)实体与环境安全 (2)组织管理与安全制度 (3)安全技术措施 (4)网络与通信安全 (5)软件与信息安全 (1)实体与环境安全 1:机房周围环境 电力、水源充足、自然环境清洁、通讯、交通运输方便 2:机房周围100m内有无危险建筑 加油站、煤气站、煤气管道 3:有无监控系统 红外线传感器、监视摄像机 4:有无防火、防水措施 卤代烷1211和1301自动消防系统或灭火器 5:机房有无环境测控设施（温度、湿度和洁净度） 6:有无防雷措施（具有防雷装置，接地良好） 7:有无备用电源和自备发电机 8:是否有防静电措施（采用防静电地板，设备接地良好） 9:是否保证持续供电 10:是否有防盗措施 11:是否使用UPS UPS：(Uninterruptible Power System)，即不间断电源，是一 种含有储能装置 (2)组织管理与安全制度 1:有无专门的信息安全组织机构和专职的信息安全人员 2:有无健全的信息安全管理的规章制度 3:是否有信息安全人员的配备，调离有严格的管理制度 4:设备与数据管理制度是否完备 5:是否有登记建档制度 6:是否有紧急事故处理预案 7:是否有完整的信息安全培训计划和培训制度 8:各类人员的安全职责是否明确，能否胜任网络安全管理工作 (3)安全技术措施 1:是否有灾难恢复的技术对策 2:是否有系统安全审计功能 3:是否有系统操作日志 4:是否有服务器备份措施 5:是否有防黑客入侵设施 6:是否有计算机病毒防范措施 (4)网络与通信安全 1:放置通信设施的场所是否设有醒目标志 2:重要通信线路及通信控制装置是否均有备份 3:是否采取加密措施 4:系统运行状态有无安全审计跟踪措施 5:网络与信息系统是否加有访问控制措施 (5)软件与信息安全 1:操作系统及数据库是否有访问控制措施 2:应用软件是否有防破坏措施 3:对数据库及系统状态有无监控设施 4:是否有用户身份识别措施 5:系统用户信息是否采用备份 系统安全评价方法 目前还没有一套完整、通用的系统安全评价方法。只能依据评价目标、评价、系统的特点、规模、复杂程度、工艺类型、工艺特征、危险性、危害性等法要求和范围的不同，选择不同的评价方法。在国内外出现了许多评价方法，每种评价方法的原理、目标、适用条件、所需技术资料均不相同，各有其特点及优缺点。 系统安全评价方法的确定准则: 1.充分性原则: 在选择安全评价方法之前，应该充分分析评价的系统，掌握足够多的安全评价方法，并充分了解各种安全评价方法的优缺点、适应条件和范围，同时为安全评价工作准备充分的资料。也就是说，在选择安全评价方法之前，应准备好充分的资料，供选择时参考和使用。 2.适应性原则: 选择的安全评价方法应该适应被评价的系统。被评价的系统可能是由多个子系统构成的复杂系统，评价的重点各子系统可能有所不同，各种安全评价方法都有其适应的条件和范围，应该根据系统和子系统、工艺的性质和状态，选择适应的安全评价方法。 3.系统性原则: 安全评价方法与被评价的系统所能提供安全评价初值和边值条件应形成一个和谐的整体，也就是说，安全评价方法获得的可信的安全评价结果，是必须建立真实、合理和系统的基础数据之上的，被评价的系统应该能够提供所需的系统化数据和资料。 4.针对性原则: 所选择的安全评价方法应该能够提供所需的结果。由于评价的目的不同，需要安全评价提供的结果可能是危险有害因素识别、事故发生的原因、事故发生概率、事故后果、系统的危险性等，安全评价方法能够给出所要求的结果才能被选用。 5.合理性原则: 在满足安全评价目的、能够提供所需的安全评价结果的前提下，应该选择计算过程最简单、所需基础数据最少和最容易获取的安全评价方法，使安全评价工作量和要获得的评价结果都是合理的，不要使安全评价出现无用的工作和不必要的麻烦。 系统安全评价中常用分析方法 *