风险评估方案.pdfVIP

【经典资料，ＷＯＲＤ文档，可编辑修改】 【经典考试资料，答案附后，看后必过，ＷＯＲＤ文档，可修改】 1. 总体概述 1.1 项目概述 为了更好的了解信息安全状况， 根据 《信息安全风险评估指南》和 GB/T 20984-2007 《信息安全技术 信息安全风险评估规范》要求，总体评估公司信息化建设风险。 2.风险评估方案 2.1 风险评估现场实施流程 风险评估的实施流程见下图所示 2.2 风险评估使用工具 测评过程中所使用的工具见下表所示： 序号 名 称 功 能 描 述 版 本 用途 数据库安全扫描 可 扫 描 Qracle 、 Sql 1 ATX 数据库漏洞扫描 系统 Server 、Sybase 可扫描各类操作系统和 2 ISS 网络扫描器 7.0sp2 网络、主机漏洞扫描 应用系统 天镜脆弱性扫描 可扫描各类操作系统和 3 6.0 网络、主机漏洞扫描 系统 应用系统 极光远程安全评 可扫描各类操作系统和 AURORA-2 4 网络、主机漏洞扫描 估系统 应用系统 00 网络综合协议分 析仪 网络透视与协议分析，网 5 INA 网络流量监控 络性能测评 OptiView 网 络 系 统 管 理 ,HP 自动发现网络拓扑图、网 6 NNM6.0 绘制网络拓扑图 络性能与故障管理 OpenView 2.3 风险评估方法 2.3.1 资产识别 资产分类 首先需要将信息系统及相关的资产进行恰当的分类，以此为基础进行下一步的风 险评估。根据资产的表现形式，可将资产分为数据、软件、硬件、文档、服务、人员 等类型。 一种基于表现形式的资产分类方法 分类 示例 保存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、 数据 计划、报告、用户手册等 系统软件：操作系统、语句包、工具软件、各种库等 软件 应用软件：外部购买的应用软件，外包开发的应用软件等 源程序：各种共享源代码、自行或合作开发的各种代码等 网络设备：路由器、网关、交换机等 计算机设备：大型机、小型机、服务器、工作站、台式计算机、移动计算机等 存储设备：磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等 硬件 传输线路：光纤、双绞线等 保障设备：动力保障设备（ UPS、变电设备等）、空调、保险柜、文件柜、门禁、消防设施等 安全保障设备：防火墙、入侵检测系统、身份验证等 其他：打印机、复印机、扫描仪、传真机等 办公服务：为提高效率而开发的管