计算机信息安全评估实例.ppt

计算机信息安全评估实例;本章概要： 本章以某信息系统为例详细介绍信息安全风险评估的实施过程。依据GB/T 20984—2007《信息安全技术 信息安全风险评估规范》和第7章信息安全风险评估的基本过程，将信息安全风险评估的实施过程分为评估准备、识别并评价资产、识别并评估威胁、识别并评估脆弱性、分析可能性和影响、风险计算、风险处理、编写信息安全风险评估报告等阶段。;本章目录;1 评估准备;　　　1.2 确定信息安全风险评估的范围 　　　既定的信息安全风险评估可能只针对组织全部资产的一个子集，评估范围必须明确。本次评估的范围包括该信息系统网络、管理制度、使用或管理该信息系统的相关人员，以及由系统使用时所产生的文档、数据。 　　　1.3 组建适当的评估管理与实施团队 　　　组建由该单位领导、风险评估专家、技术专家，以及各管理层、业务部门的相关人员组成风险评估小组，同时明确规定每个成员的任务分工 。;　　　1.4 进行系统调研 　　　通过问卷调查、人员访谈、现场考察、核查表等形式，对信息系统的业务、组织结构、管理、技术等方面进行调查。问卷调查、人员访谈的方式使用了《调查表》，调查了系统的管理、设备、人员管理的情况，现场考察、核查表的方式考察了设备的具体位置，核查了设备的实际配置等情况，得出有关信息系统的描述。 　　　1.4.1 业务目标和业务特性 　　　1．业务目标 　　　××信息系统主要负责数据的收集、技术处理以及预测分析，为相关部门提供决策和管理支持，向社会提供公益服务。;　　　　 2．业务特性 　通过对信息系统的业务目标的分析，归纳出以下业务特性： ⑴ 业务种类多，技术型工作与管理型工作并重； ⑵ 业务不可中断性低； ⑶ 业务保密性要求低； ⑷ 业务基本不涉及现金流动； ⑸ 人员业务素质要求高。 ;　　　1.4.2 管理特性 　　　现有的规章制度原则性要求较多，可操作性较低，在信息安全管理方面偏重于技术。 　　　1.4.3 网络特性 　　　××信息系统的网络拓扑结构图如图8-1所示。 ;;　1.5 评估依据 　评估所遵循的依据如下： 1.《信??安全技术 信息安全风险评估规范》（GB/T 20984-2007） 2.《信息技术　信息技术安全管理指南》（GB/T 19715-2005） 3.《信息技术　信息安全管理实用规则》（GB/T 19716-2005） 2.《信息安全等级保护管理办法》（公通字[2007]43号） 3.《信息安全技术 信息系统安全管理要求》（GB/T 20269-2006）;;;　　1.6.2 项目阶段划分 　　　本次风险评估项目分项目准备、现状调研、检查与测试、分析评估及编制评估报告六个阶段，各阶段工作定义说明如下： 　　　项目准备：项目实施前期工作，包括成立项目组，确定评估范围，制定项目实施计划，收集整理开发各种评估工具等。工作方式：研讨会。工作成果：《项目组成员信息表》、《评估范围说明》、《评估实施计划》。 　　　现状调研：通过访谈调查，收集评估对象信息。工作方式：访谈、问卷调查。工作成果：《各种系统资料记录表单》。 　　　检查与测试：手工或工具检查及测试。进行资产分析、威胁分析和脆弱性扫描。工作方式：访谈、问卷调查、测试、研讨会。工作成果：《资产评估报告》、《威胁评估报告》、《脆弱性评估报告》。;ID;　　　1.7 获得最高管理者对信息安全风险评估工作的支持 　　　上述所有内容得到了相关管理者的批准，并对管理层和员工进行了传达。;2 识别并评价资产;资产编号;;资产编号;;资产编号;3 识别并评估威胁;威胁编号;4 识别并评估脆弱性;表8-6 技术脆弱性评估结果 ;5 分析可能性和影响;5.2 分析脆弱性严重程度 脆弱性严重程度是指威胁一次成功地利用脆弱性后对组织造成的不期望的后果或损失的相对等级，表8-8给出了5个级别定义的描述。;6 风险计算;资产;6.1 使用矩阵法计算风险;资产;资产;6.2 使用相乘法计算风险 使用相乘法计算风险等级，计算结果如表8-11风险计算表2 (右图)所示。;7风险处理;资产ID0;资产ID0;7风险处理;7.2.2 风险控制目标;7.3 控制措施选择;编号;8 编写信息安全风险评估报告;具体步骤如下： 1．风险评估的准备工作。 ⑴ 确定风险评估的目标； ⑵ 确定风险评估的范围； ⑶ 组建适当的评估管理与实施团队； ⑷ 进行系统调研； ⑸ 确定评估依据和方法； ⑹ 获得最高管理者对风险评估工作的支持 ;　2．识别并评价资产。 在划定的评估范围内，以网络拓扑结构图的业务系统为主线，列出所有网络上的物理资产、软件资产和数据资产，形