網(wǎng)絡(luò)信息安全評(píng)估報(bào)告

精品文庫(kù)計(jì)算機(jī)信息安全評(píng)估報(bào)告如何實(shí)現(xiàn)如下圖所示可用性1.人們通常采用一些技術(shù)措施或網(wǎng)絡(luò)安全設(shè)備來(lái)實(shí)現(xiàn)這些目標(biāo)。例如：使用防火墻，把攻擊者阻擋在網(wǎng)絡(luò)外部，讓他們“進(jìn)不來(lái)”。即使攻擊者進(jìn)入了網(wǎng)絡(luò)內(nèi)部，由于有加密機(jī)制，會(huì)使他們“改不了”和“拿不走”關(guān)鍵信息和資源。機(jī)密性2機(jī)密性將對(duì)敏感數(shù)據(jù)的訪問(wèn)權(quán)限控制在那些經(jīng)授權(quán)的個(gè)人，只有他們才能查看數(shù)據(jù)。機(jī)密性可防止向未經(jīng)授權(quán)的個(gè)人泄露信息，或防止信息被加工。如圖所示，“進(jìn)不來(lái)”和“看不懂”都實(shí)現(xiàn)了信息系統(tǒng)的機(jī)密性。人們使用口令對(duì)進(jìn)入系統(tǒng)的用戶進(jìn)行身份鑒別，非法用戶沒(méi)有口令就“進(jìn)不來(lái)”，這就保證了信息系統(tǒng)的機(jī)密性。即使攻擊者破解了口令，而進(jìn)入系統(tǒng)，加密機(jī)制也會(huì)使得他們“看不懂”關(guān)鍵信息。例如，甲給乙發(fā)送加密文件，只有乙通過(guò)解密才能讀懂其內(nèi)容，其他人看到的是亂碼。由此便實(shí)現(xiàn)了信息的機(jī)密性。完整性3如圖所示，“改不了”和“拿不走”都實(shí)現(xiàn)了信息系統(tǒng)的完整性。使用加密機(jī)制，可以保證信息系統(tǒng)的完整性，攻擊者無(wú)法對(duì)加密信息進(jìn)行修改或者復(fù)制。不可抵賴(lài)性4如圖所示，“跑不掉”就實(shí)現(xiàn)了信息系統(tǒng)的不可抵賴(lài)性。如果攻擊者進(jìn)行了非法操作，系統(tǒng)管理員使用審計(jì)機(jī)制或簽名機(jī)制也可讓他們無(wú)所遁形 對(duì)考試的機(jī)房進(jìn)行“管理制度”評(píng)估。（1）評(píng)估說(shuō)明為規(guī)范管理,保障計(jì)算機(jī)設(shè)備的正常運(yùn)行,創(chuàng)造良好的上機(jī)環(huán)境,必須制定相關(guān)的管理制度（2）評(píng)估內(nèi)容沒(méi)有建立相應(yīng)信息系統(tǒng)運(yùn)行管理規(guī)程、缺陷管理制度、統(tǒng)計(jì)匯報(bào)制度、運(yùn)維流程、值班制度，沒(méi)有實(shí)行工作票制度；機(jī)房出入管理制度上墻，但沒(méi)有機(jī)房進(jìn)出情況記錄（3）評(píng)估分析報(bào)告所存在問(wèn)題：1沒(méi)有系統(tǒng)的相關(guān)負(fù)責(zé)人，機(jī)房也是誰(shuí)人都可以自由出入。2在上機(jī)過(guò)程中做與學(xué)習(xí)無(wú)關(guān)的工作。3機(jī)房財(cái)產(chǎn)規(guī)劃不健全等（4）評(píng)估建議1、計(jì)算機(jī)室的管理由系統(tǒng)管理員負(fù)責(zé)，非機(jī)房工作人員未經(jīng)允許不準(zhǔn)進(jìn)入。未經(jīng)許可不得擅自上機(jī)操作和對(duì)運(yùn)行設(shè)備及各種配置進(jìn)行更改。 2、保持機(jī)房?jī)?nèi)清潔、安靜，嚴(yán)禁機(jī)房?jī)?nèi)吸煙、吐痰以及大聲喧嘩；嚴(yán)禁將易燃、易爆、易污染和強(qiáng)磁物品帶入機(jī)房。 3、機(jī)房?jī)?nèi)的一切物品，未經(jīng)管理員同意，不得隨意挪動(dòng)，拆卸和帶出機(jī)房。 4、上機(jī)時(shí)，應(yīng)先認(rèn)真檢查機(jī)器情況，如有問(wèn)題應(yīng)及時(shí)向機(jī)房管理員反應(yīng)。 5、上機(jī)人員不得在機(jī)房?jī)?nèi)進(jìn)行與上機(jī)考試無(wú)關(guān)的計(jì)算機(jī)操作。 6、上機(jī)時(shí)應(yīng)按規(guī)定操作，故意或因操作不當(dāng)造成設(shè)備損壞，除照價(jià)賠償外，視情節(jié)輕重給予處罰。對(duì)考試的機(jī)房進(jìn)行“物理安全”評(píng)估。（1） 評(píng)估說(shuō)明防火，防水，防塵，防腐蝕，主機(jī)房安裝門(mén)禁、監(jiān)控與報(bào)警系統(tǒng)。（2） 評(píng)估內(nèi)容 主機(jī)房沒(méi)有安裝門(mén)禁、監(jiān)控系統(tǒng)，有消防報(bào)警系統(tǒng)。（3） 評(píng)估分析報(bào)告沒(méi)有詳細(xì)的機(jī)房配線圖，機(jī)房供電系統(tǒng)將動(dòng)力、照明用電與計(jì)算機(jī)系統(tǒng)供電線路是分開(kāi)的，機(jī)房沒(méi)有配備應(yīng)急照明裝置，有定期對(duì)UPS的運(yùn)行狀況進(jìn)行檢測(cè)但沒(méi)有檢測(cè)記錄。（4）評(píng)估建議有詳細(xì)的機(jī)房配線圖，機(jī)房供電系統(tǒng)將動(dòng)力、照明用電與計(jì)算機(jī)系統(tǒng)供電線路分開(kāi)，機(jī)房配備應(yīng)急照明裝置，定期對(duì)UPS的運(yùn)行狀況進(jìn)行檢測(cè)（查看半年內(nèi)檢測(cè)記錄）對(duì)考試的機(jī)房進(jìn)行“計(jì)算機(jī)系統(tǒng)安全”評(píng)估。（1） 評(píng)估說(shuō)明應(yīng)用系統(tǒng)的角色、權(quán)限分配有記錄；用戶賬戶的變更、修改、注銷(xiāo)有記錄（半年記錄情況）；關(guān)鍵應(yīng)用系統(tǒng)的數(shù)據(jù)功能操作進(jìn)行審計(jì)并進(jìn)行長(zhǎng)期存儲(chǔ)；對(duì)關(guān)鍵應(yīng)用系統(tǒng)有應(yīng)急預(yù)案；關(guān)鍵應(yīng)用系統(tǒng)管理員賬戶、用戶賬戶口令定期進(jìn)行變更；新系統(tǒng)上線前進(jìn)行安全性測(cè)試。（2） 評(píng)估內(nèi)容營(yíng)銷(xiāo)系統(tǒng)的角色、權(quán)限分配有記錄，其余系統(tǒng)沒(méi)有；用戶賬戶的變更、修改、注銷(xiāo)沒(méi)有記錄；關(guān)鍵應(yīng)用系統(tǒng)的數(shù)據(jù)功能操作沒(méi)有進(jìn)行審計(jì)；沒(méi)有針對(duì)關(guān)鍵應(yīng)用系統(tǒng)的應(yīng)急預(yù)案；關(guān)鍵應(yīng)用系統(tǒng)管理員賬戶、用戶賬戶口令有定期進(jìn)行變更；有些新系統(tǒng)上線前沒(méi)有進(jìn)行過(guò)安全性測(cè)試。（3） 評(píng)估分析報(bào)告網(wǎng)絡(luò)中的防火墻位置部署合理，防火墻規(guī)則配置符合安全要求，防火墻規(guī)則配置的建立、更改有規(guī)范申請(qǐng)、審核、審批流程，對(duì)防火墻日志進(jìn)行存儲(chǔ)、備份。（4）評(píng)估建議完善系統(tǒng)的角色、權(quán)限分配有記錄；記錄用戶賬戶的變更、修改、注銷(xiāo)（半年記錄情況）；關(guān)鍵應(yīng)用系統(tǒng)的數(shù)據(jù)功能操作進(jìn)行審計(jì)；制定針對(duì)關(guān)鍵應(yīng)用系統(tǒng)的應(yīng)急預(yù)案；關(guān)鍵應(yīng)用系統(tǒng)管理員賬戶、用戶賬戶口令定期進(jìn)行變更；新系統(tǒng)上線前應(yīng)嚴(yán)格按照相關(guān)標(biāo)準(zhǔn)進(jìn)行安全性測(cè)試。對(duì)考試的機(jī)房進(jìn)行“網(wǎng)絡(luò)與通信安全”評(píng)估。（1） 評(píng)估說(shuō)明按標(biāo)準(zhǔn)部署身份認(rèn)證系統(tǒng)、安全管理平臺(tái)、針對(duì)安全設(shè)備的日志服務(wù)器，采用漏洞掃描系統(tǒng)，重要系統(tǒng)一年進(jìn)行一次信息安全風(fēng)險(xiǎn)評(píng)估。（2） 評(píng)估內(nèi)容沒(méi)有部署身份認(rèn)證系統(tǒng)、安全管理平臺(tái)，沒(méi)有漏洞掃描系統(tǒng)，重要系統(tǒng)沒(méi)有進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，沒(méi)有部署針對(duì)安全設(shè)備的日志服務(wù)器。（3） 評(píng)估分析報(bào)告按標(biāo)準(zhǔn)部署身份認(rèn)證系統(tǒng)、安全管理平臺(tái)、針對(duì)安全設(shè)備的日志服務(wù)器，采用漏洞掃描系統(tǒng)，重要系統(tǒng)一年進(jìn)行一次信息安全風(fēng)險(xiǎn)評(píng)估。（4）評(píng)估建議部署身份認(rèn)證系統(tǒng)、安全管理平臺(tái)，采用漏洞掃描系統(tǒng)，重要系統(tǒng)一年內(nèi)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估，部署針對(duì)安全設(shè)備的日志服務(wù)器。信息安全評(píng)估：對(duì)考試的機(jī)房進(jìn)行“日志與統(tǒng)計(jì)安全”評(píng)估。（1） 評(píng)估說(shuō)明每天計(jì)算機(jī)上機(jī)記錄日志在冊(cè)，對(duì)系統(tǒng)進(jìn)行不定時(shí)的還原。對(duì)本局半年內(nèi)發(fā)生的較大的、或者發(fā)生次數(shù)較多的信息安全事件進(jìn)行匯總記錄，形成本單位的安全事件列表（2） 評(píng)估內(nèi)容已成立了信息安全領(lǐng)導(dǎo)機(jī)構(gòu)，但尚未成立信息