業(yè)務系統(tǒng)信息安全風險評估方案_第1頁
已閱讀1頁,還剩16頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、第3章業(yè)務系統(tǒng)信息安全風險評估方案業(yè)務系統(tǒng)信息安全風險評估方案3.1風險評估概述風險評估概述3.1.1背景背景該業(yè)務系統(tǒng)風險評估的目標是評估業(yè)務系統(tǒng)的風險狀況,提出風險控制建議,同時為下一步要制定的業(yè)務系統(tǒng)安全管理規(guī)范以及今后業(yè)務系統(tǒng)的安全建設和風險管理提供依據和建議。需要指出的是,本評估報告中所指的安全風險針對的是現階段該業(yè)務系統(tǒng)的風險狀況,反映的是系統(tǒng)當前的安全狀態(tài)。3.1.2范圍范圍該業(yè)務系統(tǒng)風險評估范圍包括業(yè)務系統(tǒng)網絡、管理制度

2、、使用或管理業(yè)務系統(tǒng)的相關人員以及由業(yè)務系統(tǒng)使用時所產生的文檔、數據。3.1.3評估方式評估方式信息系統(tǒng)具有一定的生命周期,在其生命中期內完成相應的使命。采取必要的安全保護方式使系統(tǒng)在其生命周期內穩(wěn)定、可靠地運行是系統(tǒng)各種技術、管理應用的基本原則。本項目的評估主要根據國際標準、國家標準和地方標準,從識別信息系統(tǒng)的資產入手,確定重要資產,針對重要資產分析其面臨的安全威脅并識別其存在的脆弱性,最后綜合評估系統(tǒng)的安全風險。資產劃分是風險評估的

3、基礎,在所有識別的系統(tǒng)資產中,依據資產在機密性、完整性和可用性安全屬性的價值不同,綜合判定資產重要性程度并將其劃分為核心、關鍵、中等、次要和很低5個等級。對于列為重要及以上等級的資產,分析其面臨的安全威脅。脆弱性識別主要從技術和管理兩個層面,采取人工訪談。現場核查。掃描檢測。滲透性測試等方式,找出系統(tǒng)所存在的脆弱性和安全隱患。對重要資產已識別的威脅、脆弱性,根據其可能性和嚴重性,綜合評估其安全風險。3.2該業(yè)務系統(tǒng)概況該業(yè)務系統(tǒng)概況3.

4、2.1該業(yè)務系統(tǒng)背景該業(yè)務系統(tǒng)背景近年來,由于數據量迅速增加,業(yè)務量也迅速增長,原先的硬件系統(tǒng)、應用系統(tǒng)和模式已漸漸不適應業(yè)務的需求,提升IT管理系統(tǒng)已經成為刻不容緩的事情。經過仔細論證之后,信息決策部門在IT管理系統(tǒng)升級上達成如下共識:更換新的硬件設備,使用更先進和更強大的主機;在模式上為統(tǒng)一的集中式系統(tǒng);在系統(tǒng)上用運行和維護效率較高的單庫結構替換原有多庫系統(tǒng);在技術上準備使用基于BS架構的J2EE中間件技術,并且實施999.999%

5、的高可靠性運行方式;在業(yè)務上用新型工作流作為驅動新一代業(yè)務系統(tǒng)的引擎,真正達到通過以客戶為中心來提升利潤及通過高效智能的工作流來提高每個行員的勞動生產率,從而降低成本、提高核心競爭力以應對外部的競爭。3.2.2網絡結構與拓撲圖網絡結構與拓撲圖該系統(tǒng)的網絡包含應用服務器組、數據庫服務器組、業(yè)務管理端、網絡連接設備和安全防護設備。業(yè)務系統(tǒng)網絡通過一臺高性能路由器連接分部網絡,通過一臺千兆以太網交換機連接到其他業(yè)務系統(tǒng)。其中業(yè)務系統(tǒng)網絡內部骨

6、干網絡采用千兆位以太網,兩臺千兆以太網交換機位骨干交換機。網絡配備百兆桌面交換機來連接網絡管理維護客戶機。ASSET_09APP服務器Windows2000Server業(yè)務處理客戶端ASSET_10DB服務器Windows2000Server業(yè)務處理客戶端(4)數據和文檔資產數據和文檔重要資產如表34所示。表34數據和文檔資產重要資產表數據和文檔資產重要資產表資產編號資產名稱資產描述ASSET_11客戶基本信息DB服務器中的客戶基本信息

7、ASSET_12客戶基本信息DB服務器中的客戶存款信息ASSET_13財務報告財務報告ASSET_14審計日志審計日志ASSET_15管理制度管理制度3.3.2資產賦值資產賦值資產賦值對識別的信息資產,按照資產的不同安全屬性,即機密性、完整性和可用性的重要性和保護要求,分別對資產的CIA三性予以賦值。三性賦值分為5個等級,分別對應了改項信息資產的機密性、完整性和可用性的不同程度的影響,下面是賦值依據。1.機密性(Confidential

8、ity)賦值依據根據資產機密性屬性的不同,將它分為5個不同的等級,分別對應資產在機密性方面的價值或者在機密性方面受到損失時對整個評估的影響。機密性賦值依據如表26所示。2.完整性(Integrity)賦值依據根據資產完整性屬性的不同,將它分為5個不同的等級,分別對應資產在完整性方面的價值或者在完整性方面受到損失時對整個評估的影響。完整性賦值依據如表27所示。3.可用性(Availability)賦值依據根據資產可用性屬性的不同,將它分為

9、5個不同的等級,分別對應資產在可用性方面的價值或者在可用性方面受到損失時對整個評估的影響。可用性賦值依據如表28所示。根據資產的不同安全屬性,即機密性、完整性和可用性的等級劃分原則,采用專家指定的方法對所有資產的CIA三性予以賦值。賦值后的資產清單如表35所示。表35資產資產CIA三性等級表三性等級表資產編號資產名稱機密性完整性可用性ASSET_013com交換機01333ASSET_02Cisco交換機01444ASSET_03Cis

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論