风险评估方案.pdfVIP

  • 0
  • 0
  • 约1.04万字
  • 约 9页
  • 2021-10-02 发布于湖北
  • 举报
【经典资料,WORD文档,可编辑修改】 【经典考试资料,答案附后,看后必过,WORD文档,可修改】 1. 总体概述 1.1 项目概述 为了更好的了解信息安全状况, 根据 《信息安全风险评估指南》和 GB/T 20984-2007 《信息安全技术 信息安全风险评估规范》要求,总体评估公司信息化建设风险。 2.风险评估方案 2.1 风险评估现场实施流程 风险评估的实施流程见下图所示 2.2 风险评估使用工具 测评过程中所使用的工具见下表所示: 序号 名 称 功 能 描 述 版 本 用途 数据库安全扫描 可 扫 描 Qracle 、 Sql 1 ATX 数据库漏洞扫描 系统 Server 、Sybase 可扫描各类操作系统和 2 ISS 网络扫描器 7.0sp2 网络、主机漏洞扫描 应用系统 天镜脆弱性扫描 可扫描各类操作系统和 3 6.0 网络、主机漏洞扫描 系统 应用系统 极光远程安全评 可扫描各类操作系统和 AURORA-2 4 网络、主机漏洞扫描 估系统 应用系统 00 网络综合协议分 析仪 网络透视与协议分析,网 5 INA 网络流量监控 络性能测评 OptiView 网 络 系 统 管 理 ,HP 自动发现网络拓扑图、网 6 NNM6.0 绘制网络拓扑图 络性能与故障管理 OpenView 2.3 风险评估方法 2.3.1 资产识别 资产分类 首先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风 险评估。根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员 等类型。 一种基于表现形式的资产分类方法 分类 示例 保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、 数据 计划、报告、用户手册等 系统软件:操作系统、语句包、工具软件、各种库等 软件 应用软件:外部购买的应用软件,外包开发的应用软件等 源程序:各种共享源代码、自行或合作开发的各种代码等 网络设备:路由器、网关、交换机等 计算机设备:大型机、小型机、服务器、工作站、台式计算机、移动计算机等 存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等 硬件 传输线路:光纤、双绞线等 保障设备:动力保障设备( UPS、变电设备等)、空调、保险柜、文件柜、门禁、消防设施等 安全保障设备:防火墙、入侵检测系统、身份验证等 其他:打印机、复印机、扫描仪、传真机等 办公服务:为提高效率而开发的管

文档评论(0)

1亿VIP精品文档

相关文档