信息安全管理及风险评估工具应用报告.docx

. . . . . . z z 北京信息科技大学 信息管理学院 （课程设计）实验报告 课程名称: 信息安全管理与评估 专业:班级:学号: 姓名: 实验名称 课程设计目的： 信息安全管理及风险评估工具应用  实验地点 学院实验室 实验时间 2013/10 熟练掌握信息安全管理及风险评估流程。 课程设计容： 按照标准所规定的流程， 完成信息安全管理体系的建立过程及其所需文档、 完成风险评估实施过程及其所需文档。 课程设计要求： 掌握信息安全管理及风险评估流程；完成信息安全管理或风险评估报告。 实验条件： PC 机一台 风险评估工具等软件。 实验法与步骤： 一、风险评估的目标 本次安全风险评估的目的是为学校机房管理系统是否能够满足学校管理规对机房系统 的安全要求提供技术参考， 同时为机房管理系统进行信息安全改进提供依据， 以指导下一步的信息安全管理和保障工作。 二、风险评估的围 应用系统的功能模块（或子系统） ，可参照下表进行分解： 应用系统分解表 类别 说明 数据存储 应用系统中负责数据存储的子系统或功能模块。如数据库服务器 应用系统中负责进行数据处理运算的子系统或模块，如应用服务器、 业务处理 通信前置机 服务提供 应用系统中负责对用户提供服务的子系统或模块，如 web 服务器由用户或客户直接使用、操纵的模块，包括：工作站、客户机等，如 客户端 应用客户端、 web 浏览器 * 注：以上的子系统 (功能模块 )分类可能存在于一台主机上，也可能分布在多台主机上， 对应用系统的分解不需要特别注明子系统的分布情况，只需详细说明功能作用和构成。 对于不具有多层结构的系统，可根据实际情况进行简化分解，例如：仅分解为服务器端与客户端。典型的应用系统分解结构图如下： 应用系统分解 数据存储模块 业务处理模块 服务提供模块 客户端 ： 代表数据传输 三、风险评估的法 本次风险评估结合机房当前信息化工作重点，分成资产评估、威胁评估、脆弱性评估来实施评估。其中，资产评估容主要针对机房管理系统展开；威胁评估包含非人为威胁和人为威胁等因素；脆弱性评估容分为信息安全管理评估、信息安全运行维护评估、信息安全技术评估三部分。 四、风险评估的形式 本次评估采取相关文档资料进行审阅、 现场核查及综合安全评估， 基于学校提供的制度、规、记录， 通过远程维护手段对机房管理系统的安全配置情况进行观测， 对学校被评估系统的安全管理的执行程度与其自身的安全管理制度的执行效果， 结合小组成员讨论得出的评估结论。 六、实施进度 阶段 开始时间 结束时间 任务 负责人 调研阶段 2013.11.25 2013.12.1 对学校机房管理 系统进行调研 机房管理系统资产识别清单 根据组织在风险评估程序文件中所确定的资产分类法进行资产识别， 形成 资产识别清单， 明确资产的责任人/ 部门。 资产 防火墙 应用说明 外部防火墙 性 高 完整性 中 可用性 高 资产价值 3.8 重要资产 是 交换机 堆叠 uplink 中 中 高 3.4 是 服务器 备份数据库服务器 低 中 高 3.3 是 服务器 WEB_SLAVE 服务器 很低 中 高 3.6 是 服务器 网关服务器 中 高 高 3.7 是 服务器 文件服务器 中 高 高 3.7 是 服务器 任务服务器 中 中 很高 4 是 服务器 主数据库服务器 低 很高 很高 4.4 是 路由器 64KDDN 低 高 高 3.6 是 交换机 核心交换机 低 低 高 3 是 服务器 安全管理服务器 中 中 高 3.4 是 服务器 日志管理服务器 中 高 高 3.7 是 机房管理系统脆弱性识别 根据脆弱性识别和赋值的结果，形成脆弱性列表，包括具体弱点的名称、描述、类型及重程度等。脆弱性 重程度 描述 机房基本设施定期维护 中 机房运维人员对机房的各类 设备进行日常的巡检记录。 机房的供配电、 空调、湿温度控制符合系统使用要求。 主要网络设备的各项指标监控情况 中 系统管理员按时对设备的运 行情况进行巡检并记录。 异常处理机制 中 系统管理员对系统出现的各种异常情况进行监测和报警记录进行分析记录。 网络冗余和备份 高 系统主要网络设备交换机、 防火墙均提供热备模式。 网络安全防火墙 高 受机房安全设备的保护， 保证正常上机操作。 网络拓扑结构 高 机房管理系统具备网络拓扑 图，当网络结构发生变化时， 可及时更新。 网络域安全隔离和限制 高 机房管理系统部署防火墙， 对不同网络域进行隔离和控制。 日志权限和保护 高 日志服务器为专用服务器， 受服务器权限访问控制措施保 护。 网络 ARP 欺骗攻击 高 机房管理系统为专用独立网 络，交换机 IP\MAC 绑定，防 ARP 攻击。 DOS/DDOS 攻击 高 防火墙有防 DOS/DDO