风险评估案例.pdf-资料库

深圳市某某局 2008 年信息安全风险评估报告深圳市某某局二〇〇八年八月六日

目录风险评估结论 .......................................................................................... I 1 评估工作概述 ..................................................................................... 1 1.1 评估范围 ..................................................................................... 1 1.2 评估组织 ..................................................................................... 2 2 评估依据和标准 ................................................................................. 3 3 资产识别 ............................................................................................ 5 3.1 资产识别内容和方法 ................................................................... 5 3.2 重要资产的确定及三性赋值 ....................................................... 8 4 威胁识别 .......................................................................................... 11 5 脆弱性识别 ...................................................................................... 15 5.1 脆弱性识别内容及方法 ............................................................. 15 5.2 脆弱性识别结果 ........................................................................ 15 6 综合风险分析 ................................................................................... 19 6.1 风险分析方法 ........................................................................... 19 6.2 风险等级划分 ........................................................................... 19 6.3 不可接受风险划分 .................................................................... 20 6.4 风险分析结果 .......................................................................... 20 7 风险统计 .......................................................................................... 26 8 不可接受风险处理计划 .................................................................... 28

风险评估结论此次风险评估，我局确定的评估范围为 OA 系统。评估共发现信息安全风险 60 个，其中极高风险 6 个，高风险 14 个，中风险 1 个，低风险 20 个，极低风险 19 个；经分析，确定 60 个风险中，40 个为可以接受，20 个为不可接受。为消除不可接受的风险，相应的处理计划如下： 1） OA 数据库服务器、应用服务器、内网管理及病毒服务器将及时升级系统补丁并强制用户口令强度和更改频率，降低风险； 2） OA 应用服务器应启用帐户锁定策略，防止非授权访问； 3）防火墙及主要的网络设备将启用日志功能，规避抗抵赖的风险，同时还将尽快建立操作规程，规范操作过程； 4）主要的网络设备将建立访问控制策略，规避非授权访问的风险； 5）业务系统的关键网络数据在进行传输时将采取适当的保密措施并进行完整性校验； 6）核心机房的物理访问控制将建立来访人员登记制度。评估单位深圳市某某局（公章）批准人某某某深圳市信息安全测评中心 -I-

2008 年信息安全风险评估报告范本 1 评估工作概述我局于 2008 年 6 月 2 日至 8 月 6 日开展了信息安全风险自评估工作，本次风险评估工作主要依托信息中心的技术人员开展，行政办公室、财务室、业务一处、业务二处、秘书处参与了该项工作。 1.1 评估范围 1.1.1 评估范围概述本次评估范围为我局的 OA 系统。该系统是一个基于 B/S 架构的办公自动化系统，系统建设目标是将传统手工，纸面，封闭的运作方式转换成自动、电子、开放的方式，提高行政管理及相关业务的工作质量和效率，并为全面信息化建设做好准备工作。使用该系统的部门包括行政办公室、财务室、业务一处、业务二处、秘书处、信息中心,日常用户数为 120 人；管理该系统的部门主要为秘书处、信息中心，其中秘书处主要负责系统的业务管理，信息中心主要负责系统的技术保障。 1.1.2 系统主要功能构成该系统主要功能包括： 1) 各部门协同办公系统，主要功能包括非涉密电子公文交换、公文流转、通知公告、资料交换、事务呈签等日常办公功能。 2) 综合资料管理系统，实现文档的一体化管理，各种类型的信息按分类和分级管理，提供完善的查询检索功能。 3) 若干辅助办公系统，主要包括请示报告处理系统、简易发文系统、短信、电子邮件、局领导日程安排、个人日程安排等。深圳市信息安全测评中心 - 1 -

2008 年信息安全风险评估报告范本 1.1.3 网络拓扑 1.1.4 评估边界此次评估的范围为上述拓扑图中框内部分，框外部分不属于本次评估范围。拓扑图中隔离网闸内接口、华为交换机内接口为评估边界。 1.2 评估组织我局专门成立了自评估工作小组负责开展本次评估工作，自评估工作小组组长（最高管理者代表）由张三（分管信息中心的副局长）担任，评估项目负责人有赵二（信息中心总工）担任，工作小组下设资产识别小组、脆弱性识别小组、威胁识别小组、风险分析小组和应急响应小组风，人员组成情况如下：深圳市信息安全测评中心 - 2 -

2008 年信息安全风险评估报告范本组名小组组长资产识别小组脆弱性识别小组威胁识别小组风险分析小组应急响应小组张三李四王五刘六陈三 2 评估依据和标准成员 A B C D E F G H E C D V A C G H B D C S F （各单位根据本单位评估情况选择使用相关的标准及文件） 1) 国家信息化领导小组《关于加强信息安全保障工作的意见》（中办发〔2003〕 27 号） 2) 国家网络与信息安全协调小组《关于开展信息安全风险评估工作的意见》（国信办〔2006〕5 号） 3) 深圳市关于开展信息安全风险评估工作的实施意见（深科信〔2006〕268 号） 4) 信息安全技术信息安全风险评估规范（GB/T20984-2007） 5) 信息技术安全技术信息技术安全性评估准则（GB/T18336-2001） 6) 电子计算机场地通用规范（GB/T2887-2000） 7) 计算机场地安全要求（GB9361-1989） 8) 信息技术安全技术信息技术安全性评估准则（GB/T 18336-2001） 9) 信息技术信息技术安全管理指南（GB/T 19715.1-2005） 10) 信息技术信息安全管理实用规则（GB/T 19716-2005） 11) 信息安全技术操作系统安全评估准则（GB/T 20008-2005）深圳市信息安全测评中心 - 3 -

2008 年信息安全风险评估报告范本 12) 信息安全技术数据库管理系统安全评估准则（GB/T 20009-2005） 13) 信息安全技术包过滤防火墙评估准则（GB/T 20010-2005） 14) 信息安全技术路由器安全评估准则（GB/T 20011-2005） 15) 信息安全技术信息系统安全管理要求（GB/T 20269-2006） 16) 信息安全技术网络基础安全技术要求（GB/T 20270-2006） 17) 信息安全技术信息系统通用安全技术要求（GB/T 20271-2006） 18) 信息安全技术操作系统安全技术要求（GB/T 20272-2006） 19) 信息安全技术数据库管理系统安全技术要求（GB/T 20273-2006） 20) 信息安全技术网络和终端设备隔离部件测试评价方法（GB/T 20277-2006） 21) 信息安全技术网络和终端设备隔离部件安全技术要求（GB/T 20279-2006） 22) 信息安全技术防火墙技术要求和测试评价方法（GB/T 20281-2006） 23) 信息安全技术信息系统安全工程管理要求（GB/T 20282-2006） 24) 信息安全技术路由器安全技术要求（GB/T 18018-2007） 25) 信息安全技术信息系统安全审计产品技术要求和评价方法（GB/T 20945-2007） 26) 信息技术安全技术信息安全事件管理指南（GB/Z 20985-2007） 27) 信息安全技术信息安全事件分类分级指南（GB/Z 20986-2007） 28) 信息安全技术服务器安全技术要求（GB/T 21028-2007） 29) 信息安全技术网络交换机安全技术要求（GB/T 21050-2007） 30) 信息技术——信息安全管理实施细则（ISO/IEC 17799:2000） 31) 信息技术——信息安全管理实施规范（ISO/IEC 27001:2005） 32) 深圳市信息安全风险评估实施指南 33) 各种检查机构运作的一般规则（ISO-IEC 17020-2004）深圳市信息安全测评中心 - 4 -

2008 年信息安全风险评估报告范本 3 资产识别 3.1 资产识别内容和方法资产识别小组召集行政办公室、财务室、业务一处、业务二处等 OA 系统的使用部门以及系统管理部门秘书处、信息中心的主要工作人员对评估范围内的资产进行了逐项分析，比对财务资产清单，结合系统运行现状，识别出评估范围内的信息资产，形成了资产识别表；参考《资产重要性程度判断准则》为每个资产进行了重要性程度赋值。资产识别和赋值结果记录在资产识别表中。表格 3-1 硬件资产识别表资产识别表－－硬件资产序号资产名称应用描述资产责任编号人重要性程度备注部门 1 2 3 4 5 6 OA 数据库服务器内网提醒服务器 S001 张三 OA 服务器 45 IBM P650 信息中心; S002 张三内网提醒服务器 10 IBM X366 信息中心; 视频服务器 S003 张三视频服务器病毒服务器 S004 张三病毒服务器 10 40 联想信息中心; 联想信息中心; OA 服应用务器核心路由 6509-1 S005 张三 OA 服务器 40 ibm x365 信息中心; S006 张三核心路由 45 信息中心; 深圳市信息安全测评中心 - 5 -

资料库

风险评估案例.pdf

相关推荐

开发技术

热门标签

最新资料