版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
1、第3章業(yè)務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估方案業(yè)務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估方案3.1風(fēng)險(xiǎn)評(píng)估概述風(fēng)險(xiǎn)評(píng)估概述3.1.1背景背景該業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)評(píng)估的目標(biāo)是評(píng)估業(yè)務(wù)系統(tǒng)的風(fēng)險(xiǎn)狀況,提出風(fēng)險(xiǎn)控制建議,同時(shí)為下一步要制定的業(yè)務(wù)系統(tǒng)安全管理規(guī)范以及今后業(yè)務(wù)系統(tǒng)的安全建設(shè)和風(fēng)險(xiǎn)管理提供依據(jù)和建議。需要指出的是,本評(píng)估報(bào)告中所指的安全風(fēng)險(xiǎn)針對(duì)的是現(xiàn)階段該業(yè)務(wù)系統(tǒng)的風(fēng)險(xiǎn)狀況,反映的是系統(tǒng)當(dāng)前的安全狀態(tài)。3.1.2范圍范圍該業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)評(píng)估范圍包括業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)、管理制度
2、、使用或管理業(yè)務(wù)系統(tǒng)的相關(guān)人員以及由業(yè)務(wù)系統(tǒng)使用時(shí)所產(chǎn)生的文檔、數(shù)據(jù)。3.1.3評(píng)估方式評(píng)估方式信息系統(tǒng)具有一定的生命周期,在其生命中期內(nèi)完成相應(yīng)的使命。采取必要的安全保護(hù)方式使系統(tǒng)在其生命周期內(nèi)穩(wěn)定、可靠地運(yùn)行是系統(tǒng)各種技術(shù)、管理應(yīng)用的基本原則。本項(xiàng)目的評(píng)估主要根據(jù)國際標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)和地方標(biāo)準(zhǔn),從識(shí)別信息系統(tǒng)的資產(chǎn)入手,確定重要資產(chǎn),針對(duì)重要資產(chǎn)分析其面臨的安全威脅并識(shí)別其存在的脆弱性,最后綜合評(píng)估系統(tǒng)的安全風(fēng)險(xiǎn)。資產(chǎn)劃分是風(fēng)險(xiǎn)評(píng)估的
3、基礎(chǔ),在所有識(shí)別的系統(tǒng)資產(chǎn)中,依據(jù)資產(chǎn)在機(jī)密性、完整性和可用性安全屬性的價(jià)值不同,綜合判定資產(chǎn)重要性程度并將其劃分為核心、關(guān)鍵、中等、次要和很低5個(gè)等級(jí)。對(duì)于列為重要及以上等級(jí)的資產(chǎn),分析其面臨的安全威脅。脆弱性識(shí)別主要從技術(shù)和管理兩個(gè)層面,采取人工訪談?,F(xiàn)場核查。掃描檢測。滲透性測試等方式,找出系統(tǒng)所存在的脆弱性和安全隱患。對(duì)重要資產(chǎn)已識(shí)別的威脅、脆弱性,根據(jù)其可能性和嚴(yán)重性,綜合評(píng)估其安全風(fēng)險(xiǎn)。3.2該業(yè)務(wù)系統(tǒng)概況該業(yè)務(wù)系統(tǒng)概況3.
4、2.1該業(yè)務(wù)系統(tǒng)背景該業(yè)務(wù)系統(tǒng)背景近年來,由于數(shù)據(jù)量迅速增加,業(yè)務(wù)量也迅速增長,原先的硬件系統(tǒng)、應(yīng)用系統(tǒng)和模式已漸漸不適應(yīng)業(yè)務(wù)的需求,提升IT管理系統(tǒng)已經(jīng)成為刻不容緩的事情。經(jīng)過仔細(xì)論證之后,信息決策部門在IT管理系統(tǒng)升級(jí)上達(dá)成如下共識(shí):更換新的硬件設(shè)備,使用更先進(jìn)和更強(qiáng)大的主機(jī);在模式上為統(tǒng)一的集中式系統(tǒng);在系統(tǒng)上用運(yùn)行和維護(hù)效率較高的單庫結(jié)構(gòu)替換原有多庫系統(tǒng);在技術(shù)上準(zhǔn)備使用基于BS架構(gòu)的J2EE中間件技術(shù),并且實(shí)施999.999%
5、的高可靠性運(yùn)行方式;在業(yè)務(wù)上用新型工作流作為驅(qū)動(dòng)新一代業(yè)務(wù)系統(tǒng)的引擎,真正達(dá)到通過以客戶為中心來提升利潤及通過高效智能的工作流來提高每個(gè)行員的勞動(dòng)生產(chǎn)率,從而降低成本、提高核心競爭力以應(yīng)對(duì)外部的競爭。3.2.2網(wǎng)絡(luò)結(jié)構(gòu)與拓?fù)鋱D網(wǎng)絡(luò)結(jié)構(gòu)與拓?fù)鋱D該系統(tǒng)的網(wǎng)絡(luò)包含應(yīng)用服務(wù)器組、數(shù)據(jù)庫服務(wù)器組、業(yè)務(wù)管理端、網(wǎng)絡(luò)連接設(shè)備和安全防護(hù)設(shè)備。業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)通過一臺(tái)高性能路由器連接分部網(wǎng)絡(luò),通過一臺(tái)千兆以太網(wǎng)交換機(jī)連接到其他業(yè)務(wù)系統(tǒng)。其中業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)內(nèi)部骨
6、干網(wǎng)絡(luò)采用千兆位以太網(wǎng),兩臺(tái)千兆以太網(wǎng)交換機(jī)位骨干交換機(jī)。網(wǎng)絡(luò)配備百兆桌面交換機(jī)來連接網(wǎng)絡(luò)管理維護(hù)客戶機(jī)。ASSET_09APP服務(wù)器Windows2000Server業(yè)務(wù)處理客戶端ASSET_10DB服務(wù)器Windows2000Server業(yè)務(wù)處理客戶端(4)數(shù)據(jù)和文檔資產(chǎn)數(shù)據(jù)和文檔重要資產(chǎn)如表34所示。表34數(shù)據(jù)和文檔資產(chǎn)重要資產(chǎn)表數(shù)據(jù)和文檔資產(chǎn)重要資產(chǎn)表資產(chǎn)編號(hào)資產(chǎn)名稱資產(chǎn)描述ASSET_11客戶基本信息DB服務(wù)器中的客戶基本信息
7、ASSET_12客戶基本信息DB服務(wù)器中的客戶存款信息ASSET_13財(cái)務(wù)報(bào)告財(cái)務(wù)報(bào)告ASSET_14審計(jì)日志審計(jì)日志ASSET_15管理制度管理制度3.3.2資產(chǎn)賦值資產(chǎn)賦值資產(chǎn)賦值對(duì)識(shí)別的信息資產(chǎn),按照資產(chǎn)的不同安全屬性,即機(jī)密性、完整性和可用性的重要性和保護(hù)要求,分別對(duì)資產(chǎn)的CIA三性予以賦值。三性賦值分為5個(gè)等級(jí),分別對(duì)應(yīng)了改項(xiàng)信息資產(chǎn)的機(jī)密性、完整性和可用性的不同程度的影響,下面是賦值依據(jù)。1.機(jī)密性(Confidential
8、ity)賦值依據(jù)根據(jù)資產(chǎn)機(jī)密性屬性的不同,將它分為5個(gè)不同的等級(jí),分別對(duì)應(yīng)資產(chǎn)在機(jī)密性方面的價(jià)值或者在機(jī)密性方面受到損失時(shí)對(duì)整個(gè)評(píng)估的影響。機(jī)密性賦值依據(jù)如表26所示。2.完整性(Integrity)賦值依據(jù)根據(jù)資產(chǎn)完整性屬性的不同,將它分為5個(gè)不同的等級(jí),分別對(duì)應(yīng)資產(chǎn)在完整性方面的價(jià)值或者在完整性方面受到損失時(shí)對(duì)整個(gè)評(píng)估的影響。完整性賦值依據(jù)如表27所示。3.可用性(Availability)賦值依據(jù)根據(jù)資產(chǎn)可用性屬性的不同,將它分為
9、5個(gè)不同的等級(jí),分別對(duì)應(yīng)資產(chǎn)在可用性方面的價(jià)值或者在可用性方面受到損失時(shí)對(duì)整個(gè)評(píng)估的影響??捎眯再x值依據(jù)如表28所示。根據(jù)資產(chǎn)的不同安全屬性,即機(jī)密性、完整性和可用性的等級(jí)劃分原則,采用專家指定的方法對(duì)所有資產(chǎn)的CIA三性予以賦值。賦值后的資產(chǎn)清單如表35所示。表35資產(chǎn)資產(chǎn)CIA三性等級(jí)表三性等級(jí)表資產(chǎn)編號(hào)資產(chǎn)名稱機(jī)密性完整性可用性ASSET_013com交換機(jī)01333ASSET_02Cisco交換機(jī)01444ASSET_03Cis
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 信息安全風(fēng)險(xiǎn)評(píng)估需求規(guī)劃方案
- 信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估報(bào)告
- 信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)的研究.pdf
- 某業(yè)務(wù)運(yùn)維信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估報(bào)告
- 信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告
- 信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告
- 信息安全風(fēng)險(xiǎn)評(píng)估表
- 信息安全風(fēng)險(xiǎn)評(píng)估指南
- 信息安全風(fēng)險(xiǎn)評(píng)估方案設(shè)計(jì)與應(yīng)用.pdf
- 面向業(yè)務(wù)的信息安全風(fēng)險(xiǎn)評(píng)估量化模型研究.pdf
- 信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)手冊(cè)
- 信息安全風(fēng)險(xiǎn)評(píng)估與預(yù)防
- 信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告(模板)
- 信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告模板
- 信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告(模板)
- 信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告模板
- 項(xiàng)目方案安全風(fēng)險(xiǎn)評(píng)估申報(bào)方案
- 信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)的研究和實(shí)現(xiàn).pdf
- 信息安全風(fēng)險(xiǎn)評(píng)估系統(tǒng)的研究與開發(fā).pdf
- 安全風(fēng)險(xiǎn)評(píng)估實(shí)施方案
評(píng)論
0/150
提交評(píng)論