信息系统安全风险评估案例分析.docVIP

信息系统安全风险评估案例分析 某公司信息系统风险评估项目案例介绍 介绍内容：项目相关信息、项目实施、项目结论及安全建议。 一、项冃相关信息 项目背景：随着某公司信息化建设的迅速发展，特别是面向全 国、面向社会公众服务的业务系统陆续投入使用，对该公司的 网络和信息系统安全防护都提出了新的要求。为满足上述安全 需求，需对该公司的网络和信息系统的安全进行一次系统全面 的评估，以便更加有效保护该公司各项冃业务应用的安全。 项目目标：第一通过对该公司的网络和信息系统进行全面的信 息安全风险评估，找出系统目前存在的安全风险，捉供风险评 估报告。并依据该报告，实现对信息系统进行新的安全建设规 划。构建安全的信息化应用平台，提高企业的信息安全技术保 障能力。第二通过本次风险评估，找出公司内信息安全管理制 度的缺陷，并需协助该公司建立完善的信息安全管理制度、安 全事件处置流程、应急服务机制等。捉高核心系统的信息安全 管理保障能力。 项目评佔范围：总部数据中心、分公司、灾备中心。项目业务 系统：核心业务系统、财务系统、销售管理统计系统、内部信 息门户、外部信息门户、邮件系统、辅助办公系统等。灾备中 心，应急响应体系，应急演练核查。 评估对象：网络系统：17个设备，抽样率40%o主机系统：9 台，抽样率50%o数据库系统：4个业务数据库，抽样率100%o 应用系统：3个（核心业务、财务、内部信息门户）安全管理： □个安全管理目标。 二、评估项口实施 评估实施流程图： 匕有衣企钻進m确认a厂金, 匕有衣企钻進m确认 a厂金,??yr 剧尼3蝕处吐廿划 凤险评仏准笛 ▼ 强产识別 戒M ▼ 项目实施团队：（分工） 组长 ? 成员 职责 项目经理 ■ 张XX 领导.组织评估项目工作， 沟通协调歩与各方的相关事宜！ 监督、控制顶目邊度及质量1 组织项目址收工作. 张XX 张XX 李YY 孙z 评估技术方案的准备. 各相关识别阶段的实施工作， 各相关基础数据（I息采集工作1 确定风险计算模型、分析和讨论工作； 岀具相关评估倉见与整改建议文档. 向领导”呦汇报评估结果? 现场工作内容： 项冃启动会、系统与业务介绍、系统与业务现场调查、信息资产调查 统计、威胁调查统计、安全管理问卷的发放回收、网络与信息系统评 估信息获取、机房物理环境现场勘察、系统漏洞扫描、系统运行状况 核查。 评估工作内容： 资产统计赋值、威胁统计分析并赋值、各系统脆弱性分析、系统漏洞 扫描结果分析、已有安全措施分析、业务资产安全风险的计算与分析、 编写评估报告。 资产统计样例（图表） 系统名称 XX公司信总系统 业务类型 设备名称 主机名 IP如1 横作系统 安装的应用软 件 提供的应用 废务 责任人 赋值 核心业务 IBI P630 serverl 10.X.X.3 AIX 5.2 ORACLE 9i/Jk务 管理糸统/ 用友NC 业务管理 X 5 IBI DS4500 进盘阵列 IBI 3534F08 删交WL 财务系统 IBI P630 server2 10.X.X.1 AIX 5? 2 ORACLE 9i/用友 NC/稣管 理系统 财务系统 X 4 TSI股务 IBU HS20 TSI-SH 10.X.X.5 Windews 2000 Server TSI 备份废务 Y 4 威胁统计分析：3大类威胁（环境、系统、人为），7子类获取威胁统 计，7子类，34项；4级威胁2子类2项；3级威胁6子类16项；2 级威胁5子类16项。 威胁统计分析列表（1）： 威胁来源 方位 意图 威訴子项 可能影响的资 产 产盍程度 说明 环境因素 外部的 台风 电磁干扰 梅币 苴它威胁 项 苴它威勝 项 内部的 粉尘 温浪度失调 威胁统计分析列表（2）： 威胁分类 威胁子顶 可能影响的资产 严重程度威协真 外部环境威协 电磁干扰 机房设备 产重 2 所有】T资产 非常严篁 內部环境威胁 温溟度失调 机房设备 产重 3 短暂断电 机房设督 _般 外部系统威协 通讯线路故障 网络 严重 3 DNS解析故障 DNS段务器、邮件 _般 网络故障 PC终姑 严盧 脆弱性分析：网络问题（高风险3个，中风险2个）主机系统：13 个问题（很高风险1个，高风险7个，中风险4个，低风险1个）数 据库系统：□个问题（高风险7个，中风险1个，低风险3个）应 用系统：5个问题（高风险3个，中风险1个，低风险1个）安全管 理：13个问题（高风险6个，屮风险6个，低风险1个）。 脆弱性分类：网络系统 口令管理、安全审计、访问控制、资源利用、脆弱性管理、物理保护、 应急响应、维护管理。 脆弱性分类：业务系统 标识与鉴别、安全审计、访问控制、安全策略配置、资源利用、恶意 代码防护、脆弱性管理、传输与通信、业务连续性、物理保护、应急 响