計算機信息安全評估實例_第1頁
計算機信息安全評估實例_第2頁
計算機信息安全評估實例_第3頁
計算機信息安全評估實例_第4頁
計算機信息安全評估實例_第5頁
已閱讀5頁,還剩40頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

計算機信息平安評估實例本章概要:本章以某信息系統(tǒng)為例詳細介紹信息平安風險評估的實施過程。依據(jù)GB/T20984—2007?信息平安技術信息平安風險評估標準?和第7章信息平安風險評估的根本過程,將信息平安風險評估的實施過程分為評估準備、識別并評價資產(chǎn)、識別并評估威脅、識別并評估脆弱性、分析可能性和影響、風險計算、風險處理、編寫信息平安風險評估報告等階段。本章目錄1評估準備2識別并評價資產(chǎn)3識別并評估威脅4識別并評估脆弱性5分析可能性和影響6風險計算7風險處理8編寫信息平安風險評估報告上機實驗1評估準備依據(jù)GB/T20984—2007?信息平安技術信息平安風險評估標準?,在風險評估實施前,應確定風險評估的目標,確定評估范圍,組建評估管理與實施團隊,進行系統(tǒng)調研,確定評估依據(jù)和方法,制定評估方案,獲得最高管理者的支持。8.1.1

確定信息平安風險評估的目標××信息系統(tǒng)風險評估目標是通過風險評估,分析信息系統(tǒng)的平安狀況,全面了解和掌握信息系統(tǒng)面臨的平安風險,評估信息系統(tǒng)的風險,提出風險控制建議,為下一步完善管理制度以及今后的平安建設和風險管理提供第一手資料。

1.2確定信息平安風險評估的范圍既定的信息平安風險評估可能只針對組織全部資產(chǎn)的一個子集,評估范圍必須明確。本次評估的范圍包括該信息系統(tǒng)網(wǎng)絡、管理制度、使用或管理該信息系統(tǒng)的相關人員,以及由系統(tǒng)使用時所產(chǎn)生的文檔、數(shù)據(jù)。1.3組建適當?shù)脑u估管理與實施團隊組建由該單位領導、風險評估專家、技術專家,以及各管理層、業(yè)務部門的相關人員組成風險評估小組,同時明確規(guī)定每個成員的任務分工。1.4進行系統(tǒng)調研通過問卷調查、人員訪談、現(xiàn)場考察、核查表等形式,對信息系統(tǒng)的業(yè)務、組織結構、管理、技術等方面進行調查。問卷調查、人員訪談的方式使用了?調查表?,調查了系統(tǒng)的管理、設備、人員管理的情況,現(xiàn)場考察、核查表的方式考察了設備的具體位置,核查了設備的實際配置等情況,得出有關信息系統(tǒng)的描述。業(yè)務目標和業(yè)務特性1.業(yè)務目標××信息系統(tǒng)主要負責數(shù)據(jù)的收集、技術處理以及預測分析,為相關部門提供決策和管理支持,向社會提供公益效勞。2.業(yè)務特性通過對信息系統(tǒng)的業(yè)務目標的分析,歸納出以下業(yè)務特性:⑴業(yè)務種類多,技術型工作與管理型工作并重;⑵業(yè)務不可中斷性低;⑶業(yè)務保密性要求低;⑷業(yè)務根本不涉及現(xiàn)金流動;⑸人員業(yè)務素質要求高。管理特性現(xiàn)有的規(guī)章制度原那么性要求較多,可操作性較低,在信息平安管理方面偏重于技術。網(wǎng)絡特性××信息系統(tǒng)的網(wǎng)絡拓撲結構圖如圖8-1所示。

圖8-1網(wǎng)絡拓撲結構圖

1.5評估依據(jù)評估所遵循的依據(jù)如下:1.?信息平安技術信息平安風險評估標準?〔GB/T20984-2007〕2.?信息技術信息技術平安管理指南?〔GB/T19715-2005〕3.?信息技術信息平安管理實用規(guī)那么?〔GB/T19716-2005〕2.?信息平安等級保護管理方法?〔公通字[2007]43號〕3.?信息平安技術信息系統(tǒng)平安管理要求?〔GB/T20269-2006〕1.6信息平安風險評估工程實施方案工程組織機構工程實施的組織機構如下:工程工程領導小組由受測機構主管信息平安的領導和評估機構領導共同組成。工程工程領導小組定期聽取工程工程管理小組匯報整個工程的進展情況和工程實施關鍵階段的成果;工程實施完畢之后,領導小組將根據(jù)整個工程的成果情況,批準并主持工程試點總結工作。工程工程管理小組由評估雙方的工程負責人組成。主要職責是審核確認工程實施組制定的現(xiàn)場工作方案,并監(jiān)督工程進展情況;主持階段成果匯報會議;做好協(xié)調工作,保證工程的順利執(zhí)行。工程實施組由評估專家、評估工程師及受測機構的平安管理員、網(wǎng)絡管理員和應用系統(tǒng)分析員組成。主要職責是制定詳細工程實施方案,根據(jù)實施方案開展工作。質量控制組由質量控制人員組成。主要負責對各個效勞工程的實施情況進行質量控制和最終的驗收。外聘專家組由有經(jīng)驗的專家組成。主要負責對工程的方案分析、實施、步驟、關鍵問題的解決及新技術的應用提供思路、指導和咨詢。工程階段劃分本次風險評估工程分工程準備、現(xiàn)狀調研、檢查與測試、分析評估及編制評估報告六個階段,各階段工作定義說明如下:工程準備:工程實施前期工作,包括成立工程組,確定評估范圍,制定工程實施方案,收集整理開發(fā)各種評估工具等。工作方式:研討會。工作成果:?工程組成員信息表?、?評估范圍說明?、?評估實施方案??,F(xiàn)狀調研:通過訪談調查,收集評估對象信息。工作方式:訪談、問卷調查。工作成果:?各種系統(tǒng)資料記錄表單?。檢查與測試:手工或工具檢查及測試。進行資產(chǎn)分析、威脅分析和脆弱性掃描。工作方式:訪談、問卷調查、測試、研討會。工作成果:?資產(chǎn)評估報告?、?威脅評估報告?、?脆弱性評估報告?。ID任務名稱開始時間完成時間持續(xù)時間2007年5月2007年6月5-65-135-205-276-36-106-176-241項目準備5-85-1710d2現(xiàn)狀調研5-185-2711d3檢查與測試5-286-812d4分析評估6-96-179d5編制評估報告6-186-2811d分析評估:根據(jù)相關標準或實踐經(jīng)驗確定平安風險,并給出整改措施。工作方式:訪談、研討會。工作成果:?平安風險分析說明?。編制評估報告:完成最終評估報告。工作方式:研討會。工作成果:?信息系統(tǒng)綜合評估報告?。表8-1××信息系統(tǒng)風險評估實施進度表1.7獲得最高管理者對信息平安風險評估工作的支持上述所有內容得到了相關管理者的批準,并對管理層和員工進行了傳達。2識別并評價資產(chǎn)依據(jù)GB/T20984—2007?信息平安技術信息平安風險評估標準?和第7章信息平安風險評估的根本過程,對資產(chǎn)進行分類并按照資產(chǎn)的保密性、完整性和可用性進行賦值。8.2.1識別資產(chǎn)根據(jù)對××信息系統(tǒng)的調查分析,并結合業(yè)務特點和系統(tǒng)的平安要求,確定了系統(tǒng)需要保護的資產(chǎn),見表8-2。資產(chǎn)編號資產(chǎn)名稱型號A-01路由器-1CISCO3640A-02路由器-2華為NE40A-03交換機-1CATALYST4000A-04交換機-2CISCO3745A-05交換機-3CISCO2950A-06防火墻-1聯(lián)想網(wǎng)域SuperV-5318A-07防火墻-2聯(lián)想網(wǎng)域UTM-418DA-08防火墻-3網(wǎng)神Secgate3600-F3A-09防病毒服務器MACFEEA-10數(shù)據(jù)服務器HPDL380A-11應用服務器HPDL380A-12PC-1HPX8620A-13PC-2HPX8620A-14UPSChampin(20KW)A-15空調美的表8-2信息系統(tǒng)資產(chǎn)列表2.2資產(chǎn)賦值對識別的信息資產(chǎn),按照資產(chǎn)的不同平安屬性,即保密性、完整性和可用性的重要性和保護要求,分別對資產(chǎn)的CIA三性予以賦值,見表8-3,這里采用五個等級。資產(chǎn)編號資產(chǎn)名稱型號保密性完整性可用性A-01路由器-1CISCO3640000A-02路由器-2華為NE40132A-03交換機-1CATALYST4000133A-04交換機-2CISCO3745133A-05交換機-3CISCO2950244A-06防火墻-1聯(lián)想網(wǎng)域SuperV-5318134A-07防火墻-2聯(lián)想網(wǎng)域UTM-418D124A-08防火墻-3網(wǎng)神Secgate3600-F3124A-09防病毒服務器MACFEE134A-11數(shù)據(jù)服務器HPDL380244A-12應用服務器HPDL380244A-14PC-1HPX8620144A-15PC-2HPX8620144A-16UPSChampin(20KW)145A-18空調美的124表8-3資產(chǎn)CIA三性等級表

2.3資產(chǎn)價值根據(jù)資產(chǎn)保密性、完整性和可用性的不同等級對其賦值進行加權計算得到資產(chǎn)的最終賦值結果。加權方法可根據(jù)組織的業(yè)務特點確定。資產(chǎn)價值如表8-4所示。資產(chǎn)編號資產(chǎn)名稱安全屬性賦值權值資產(chǎn)價值保密性完整性可用性保密性完整性可用性A-01路由器-11110.10.50.41.0A-02路由器-21320.10.50.42.4A-03交換機-11330.10.30.62.8A-04交換機-21330.10.30.62.8A-05交換機-32440.10.30.63.8A-06防火墻-11340.10.20.73.5A-07防火墻-21240.10.40.52.9A-08防火墻-31240.10.40.52.9A-09防病毒服務器1340.10.30.63.4A-10數(shù)據(jù)服務器2440.10.40.53.8A-11應用服務器2440.10.40.53.8A-12PC-11440.10.40.53.7A-13PC-21440.10.40.53.7A-14UPS1450.10.30.64.3A-15空調1240.00.50.53.0表8-4資產(chǎn)價值表3識別并評估威脅在本次評估中,首先收集系統(tǒng)所面臨的威脅,然后對威脅的來源和行為進行分析。威脅的收集主要是通過問卷調查、人員訪談、現(xiàn)場考察、查看系統(tǒng)工作日志以及平安事件報告或記錄等方式進行,同時使用綠盟1200D-02,收集整個系統(tǒng)所發(fā)生的入侵檢測記錄。表8-5是本次評估分析得到的威脅列表。威脅編號威脅類別描述

T-01硬件故障由于設備硬件故障導致對業(yè)務高效穩(wěn)定運行的影響。T-02未授權訪問因系統(tǒng)或網(wǎng)絡訪問控制不當引起的非授權訪問。T-03漏洞利用利用操作系統(tǒng)本身的漏洞導致的威脅。T-04操作失誤或維護錯誤由于應該執(zhí)行而沒有執(zhí)行相應的操作,或非故意地執(zhí)行了錯誤的操作,對系統(tǒng)造成影響。T-05木馬后門攻擊木馬后門攻擊T-06惡意代碼和病毒具有復制、自我傳播能力,對信息系統(tǒng)構成破壞的程序代碼。T-07原發(fā)抵賴不承認收到的信息和所作的操作。T-08權限濫用濫用自己的職權,做出泄露或破壞。T-09泄密通過竊聽、惡意攻擊的手段獲得系統(tǒng)秘密信息。T-10數(shù)據(jù)篡改通過惡意攻擊非授權修改信息,破壞信息的完整性。表8-5××信息系統(tǒng)面臨的威脅列表4識別并評估脆弱性從技術和管理兩方面對本工程的脆弱性進行評估。技術脆弱性主要是通過使用極光遠程平安評估系統(tǒng)進行系統(tǒng)掃描。按照脆弱性工具使用方案,使用掃描工具對主機等設備進行掃描,查找主機的系統(tǒng)漏洞、數(shù)據(jù)庫漏洞、共享資源以及帳戶使用等平安問題。在進行工具掃描之后,結合威脅分析的內容,根據(jù)得出的原始記錄,進行整體分析。按照各種管理調查表的平安管理要求對現(xiàn)有的平安管理制度及其執(zhí)行情況進行檢查,發(fā)現(xiàn)其中的管理脆弱性。表8-6技術脆弱性評估結果資產(chǎn)名稱脆弱性ID脆弱性名稱脆弱性描述路由器-1VULN-01Cisco未設置密碼Cisco路由器未設置密碼,將允許攻擊者獲得網(wǎng)絡的更多信息VULN-02CISCOIOS界面被IPv4數(shù)據(jù)包阻塞通過發(fā)送不規(guī)則IPv4數(shù)據(jù)包可以阻塞遠程路由器。路由器-2VULN-03沒有制定訪問控制策略沒有制定訪問控制策略VULN-04安裝與維護缺乏管理安裝與維護缺乏管理交換機-1VULN-05日志及管理功能未啟用日志及管理功能未啟用交換機-2VULN-06CSCdz39284當發(fā)送畸形的SIP數(shù)據(jù)包時,可導致遠程的IOS癱瘓VULN-07CSCdw33027當發(fā)送畸形的SSH數(shù)據(jù)包時,可導致遠程的IOS癱瘓交換機-3VULN-08CSCds04747Cisco的IOS軟件有一個漏洞,允許獲得TCP的初始序列號VULN-09沒有配備ServicePasswordEncryption服務沒有配備ServicePasswordEncryption服務防火墻-1VULN-10安裝與維護缺乏管理安裝與維護缺乏管理VULN-11缺少操作規(guī)程和職責管理缺少操作規(guī)程和職責管理防火墻-2VULN-12防火墻開放端口增加防火墻開放端口增加VULN-13防火墻關鍵模塊失效防火墻關鍵模塊失效資產(chǎn)名稱脆弱性ID脆弱性名稱脆弱性描述防火墻-3VULN-14未啟用日志功能未啟用日志功能防病毒服務器VULN-15操作系統(tǒng)補丁未安裝未及時安裝補丁VULN-16設備不穩(wěn)定設備不穩(wěn)定VULN-17操作系統(tǒng)的口令策略沒有啟用操作系統(tǒng)的口令策略沒有啟用VULN-18操作系統(tǒng)開放多余服務操作系統(tǒng)開放多余服務數(shù)據(jù)服務器VULN-19缺少操作規(guī)程和職責管理缺少操作規(guī)程和職責管理VULN-20存在弱口令存在弱口令VULN-21操作系統(tǒng)補丁未安裝未及時安裝補丁VULN-22沒有訪問控制措施沒有訪問控制措施應用服務器VULN-23缺少操作規(guī)程和職責管理缺少操作規(guī)程和職責管理VULN-24存在弱口令存在弱口令VULN-25操作系統(tǒng)補丁未安裝未及時安裝補丁VULN-26Telnet漏洞未及時安裝補丁VULN-27可以通過SMB連接注冊表可以通過SMB連接注冊表PC-1VULN-28操作系統(tǒng)補丁未安裝未及時安裝補丁VULN-29使用NetBIOS探測Windows主機信息使用NetBIOS探測Windows主機信息PC-2VULN-30木馬和后門木馬和后門VULN-31SMBsharesaccessSMB登錄VULN-32弱口令弱口令UPSVULN-33設備不穩(wěn)定設備不穩(wěn)定空調VULN-34設備不穩(wěn)定設備不穩(wěn)定表8-6技術脆弱性評估結果5分析可能性和影響5.1分析威脅發(fā)生的頻率威脅發(fā)生的頻率需要根據(jù)威脅、脆弱性和平安措施來綜合評價。表8-7給出了5個級別定義的描述。等級威脅頻率描述5很高大多數(shù)情況下幾乎不可避免或者可以證實發(fā)生過的頻率很高4高在大多數(shù)情況下很有可能會發(fā)生或者可以證實曾發(fā)生過3中在某種情況下可能會發(fā)生但未被證實發(fā)生過2低一般不太可能發(fā)生1很低幾乎不可能發(fā)生表8-7可能性級別定義5.2分析脆弱性嚴重程度脆弱性嚴重程度是指威脅一次成功地利用脆弱性后對組織造成的不期望的后果或損失的相對等級,表8-8給出了5個級別定義的描述。等級嚴重程度描述5很高可引起系統(tǒng)持續(xù)中斷或永久關閉??梢鸫硇畔⒒蚍盏闹卮髶p失4高可引起重要系統(tǒng)的中斷,或連接客戶損失或商業(yè)信任損失3中等能引起系統(tǒng)聲望的損害,或是對系統(tǒng)資源或服務的信任程度的降低,需要支付重要資源維修費2低對系統(tǒng)有一些很小的影響,只須很小的努力就可恢復系統(tǒng)1很低對系統(tǒng)幾乎沒有影響表8-8嚴重程度定義6風險計算首先建立資產(chǎn)、威脅和脆弱性關聯(lián),并給威脅發(fā)生的可能性及脆弱性嚴重程度賦值,如表8-9所示。在本工程中,采用7.8介紹的矩陣法和相乘法進行風險計算。資產(chǎn)威脅威脅頻率脆弱性嚴重程度路由器-1未授權訪問2Cisco未設置密碼3漏洞利用5CISCOIOS界面被IPv4數(shù)據(jù)包阻塞3路由器-2未授權訪問2沒有制定訪問控制策略4操作失誤或維護錯誤2安裝與維護缺乏管理4交換機-1漏洞利用5日志及管理功能未啟用3交換機-2漏洞利用5CSCdz392843CSCdw330273交換機-3漏洞利用5CSCds047474沒有配備ServicePasswordEncryption服務4防火墻-1操作失誤或維護錯誤2安裝與維護缺乏管理5缺少操作規(guī)程和職責管理5防火墻-2未授權訪問1防火墻開放端口增加5防火墻關鍵模塊失效4防火墻-3原發(fā)抵賴3未啟用日志功能5病毒服務器惡意代碼或病毒3操作系統(tǒng)補丁未安裝5硬件故障1設備不穩(wěn)定5未授權訪問4操作系統(tǒng)的口令策略沒有啟用5木馬后門攻擊4操作系統(tǒng)開放多余服務4資產(chǎn)威脅威脅頻率脆弱性嚴重程度數(shù)據(jù)服務器操作失誤或維護錯誤2缺少操作規(guī)程和職責管理5未授權訪問4存在弱口令5惡意代碼或病毒3操作系統(tǒng)補丁未安裝5權限濫用4沒有訪問控制措施4應用服務器操作失誤或維護錯誤2缺少操作規(guī)程和職責管理5未授權訪問4存在弱口令5惡意代碼或病毒3操作系統(tǒng)補丁未安裝5漏洞利用5Telnet漏洞4可以通過SMB連接注冊表5PC-1惡意代碼或病毒3操作系統(tǒng)補丁未安裝5數(shù)據(jù)篡改3使用NetBIOS探測Windows主機信息5PC-2惡意代碼或病毒3木馬和后門5數(shù)據(jù)篡改3SMBsharesaccess4竊密4弱口令5UPS硬件故障1設備不穩(wěn)定5空調硬件故障1設備不穩(wěn)定5表8-9資產(chǎn)、威脅、脆弱性關聯(lián)表6.1使用矩陣法計算風險利用矩陣法,首先根據(jù)表7-21,計算平安事件發(fā)生的可能性,再根據(jù)平安事件可能等級劃分表7-22,計算平安事件發(fā)生的可能性值等級。根據(jù)平安事件發(fā)生損失矩陣表7-23,計算平安事件的損失,再根據(jù)平安事件損失等級劃分表7-24,計算平安事件損失等級。根據(jù)風險矩陣表7-25,計算風險風險值。最后根據(jù)風險等級劃分表7-26,確定風險等級。所有計算結果如表8-10所示。資產(chǎn)資產(chǎn)價值威脅威脅頻率脆弱性嚴重程度安全事件可能性可能性等級安全事件損失損失等級風險值風險等級A-011T-022VULN-0131026282T-035VULN-02317462153A-022T-022VULN-034133123133T-042VULN-044133123133A-033T-035VULN-053174113173A-043T-035VULN-063174113173VULN-073174113173A-054T-035VULN-084204194204VULN-094204194204A-064T-042VULN-105174225234VULN-115174225234A-073T-021VULN-125143204163VULN-083T-073VULN-145204204204表8-10風險計算表1資產(chǎn)資產(chǎn)價值威脅威脅頻率脆弱性嚴重程度安全事件可能性可能性等級安全事件損失損失等級風險值風險等級A-093T-063VULN-155204204204T-011VULN-165143204163T-024VULN-175225204234T-054VULN-184184153173A-104T-042VULN-195174225234T-024VULN-205225225255T-063VULN-215204225234T-084VULN-224184194204A-114T-042VULN-235174225234T-024VULN-245225225255T-063VULN-255204225234T-035VULN-264204194204VULN-275255225255A-124T-063VULN-285204225234T-103VULN-295204225234A-134T-063VULN-305204225234T-103VULN-314163194163T-094VULN-325225225255A-144T-011VULN-335143225204A-153T-011VULN-3451432041636.2使用相乘法計算風險

使用相乘法計算風險等級,計算結果如表8-11風險計算表2

(右圖)所示。7風險處理

7.1現(xiàn)存風險判斷內容依據(jù)風險評估結果,假設風險等級在4級以上不可接受,通過分析,發(fā)現(xiàn)有21個不可接受風險。分析結果如表8-12所示。資產(chǎn)ID0資產(chǎn)名稱威脅脆弱性風險等級是否可接受A-01路由器-1未授權訪問Cisco未設置密碼2是漏洞利用CISCOIOS界面被IPv4數(shù)據(jù)包阻塞3是A-02路由器-2未授權訪問沒有制定訪問控制策略3是操作失誤或維護錯誤安裝與維護缺乏管理3是A-03交換機-1漏洞利用日志及管理功能未啟用3是A-04交換機-2漏洞利用CSCdz392843是CSCdw330273是A-05交換機-3漏洞利用CSCds047474否沒有配備ServicePasswordEncryption服務4否A-06防火墻-1操作失誤或維護錯誤安裝與維護缺乏管理4否缺少操作規(guī)程和職責管理4否A-07防火墻-2未授權訪問防火墻開放端口增加3是防火墻關鍵模塊失效2是A-08防火墻-3原發(fā)抵賴未啟用日志功能4否A-09病毒服務器惡意代碼或病毒操作系統(tǒng)補丁未安裝4否硬件故障設備不穩(wěn)定3是未授權訪問操作系統(tǒng)的口令策略沒有啟用4否木馬后門攻擊操作系統(tǒng)開放多余服務3是表8-12風險接受等級劃分表資產(chǎn)ID0資產(chǎn)名稱威脅脆弱性風險等級是否可接受A-10數(shù)據(jù)服務器操作失誤或維護錯誤缺少操作規(guī)程和職責管理4否未授權訪問存在弱口令5否惡意代碼或病毒操作系統(tǒng)補丁未安裝4否權限濫用沒有訪問控制措施4否A-11應用服務器操作失誤或維護錯誤缺少操作規(guī)程和職責管理4否未授權訪問存在弱口令5否惡意代碼或病毒操作系統(tǒng)補丁未安裝4否漏洞利用Telnet漏洞4否可以通過SMB連接注冊表5否A-12PC-1惡意代碼或病毒操作系統(tǒng)補丁未安裝4否數(shù)據(jù)篡改使用NetBIOS探測Windows主機信息4否A-13PC-2惡意代碼或病毒木馬和后門4否數(shù)據(jù)篡改SMBsharesaccess3是竊密弱口令5否A-14UPS硬件故障設備不穩(wěn)定4否A-15空調硬件故障設備不穩(wěn)定3是7風險處理風險控制需求分析按照系統(tǒng)的風險等級接受程度,通過對本信息系統(tǒng)技術層面的平安功能、組織層面的平安控制和管理層面的平安對策進行分析描述,形成已有平安措施的需求分析結果,如表8-13所示。編號控制需求說明R1保障XXXX系統(tǒng)內網(wǎng)的正常運行。R2保障XXXX系統(tǒng)外網(wǎng)的正常運行。R3保障辦公用計算機系統(tǒng)正常運行。R4保障網(wǎng)站信息的正常發(fā)布。R5保證基本信息的保密性、完整性、可用性。表8-13風險控制需求分析表

風險控制目標依據(jù)?風險接受等級劃分表?〔表8-12〕、?風險控制需求分析表?〔表8-13〕,確定風險控制目標,如表8-14所示。編號控制目標需求T1數(shù)據(jù)庫系統(tǒng)(內、外網(wǎng)數(shù)據(jù)庫服務器)R1、R2、R5T2網(wǎng)絡支撐系統(tǒng)(路由器、交換機、通信線路)R1、R2、R4、R5T3網(wǎng)絡安全系統(tǒng)(防病毒、防火墻、數(shù)據(jù)恢復、IDS、漏洞掃描)R1、R2、R4、R5T4網(wǎng)絡管理系統(tǒng)(CISCOWORKS、HPOPENVIEW)R1、R2、R4、R5T5網(wǎng)上信息發(fā)布系統(tǒng)(內、外網(wǎng)WEB服務器)R4T6終端系統(tǒng)(PC、筆記本電腦)R3T7介質及文檔(數(shù)據(jù)備份文檔等)R1、R2、R5表8-14控制目標7.3控制措施選擇依據(jù)?風險控制需求分析表?〔表8-13〕、?控制目標表?〔表8-14〕,針對控制目標,綜合考慮控制本錢和實際的風險控制需求,建議采取適當?shù)目刂拼胧绫?-15所示。編號控制措施對應控制目標優(yōu)先級M1制定具體科室負責信息安全工作,明確人員及其分工。T1~T7高M2制定定期開展信息安全意識教育培訓的計劃并落實。T1~T7高M3對所屬的服務器和主機進行安全配置檢查,并重新配置安全策略。T1~T7高M4開啟重要服務器和主機的審計功能,并制定審計記錄的維護和分析流程。T1~T7高M5對內、外網(wǎng)的服務器默認配置進行必要的更改。T1~T7高M6制定具體的備份與恢復制度。T1、T7高M7制定具體的安全事件處理制度。T1~T7高M8對應用系統(tǒng)制定統(tǒng)一的完整性保護策略,并使用有效工具進行完整性約束。T1~T7高M9制定合理的資源分配策略,包括:最大并發(fā)連接數(shù),最小并發(fā)連接數(shù),單個用戶會話數(shù)量等。T1~T7高M10及時針對安全漏洞打補丁。T1~T7高M11對用戶文件制定統(tǒng)一的完整性保護策略,并使用有效工具進行完整性約束。T1~T7高M12完善對介質的管理。T7中M13制定操作層面的管理制度。T1~T7中M14使用清晰、耐久的標簽對線纜、插座進行標識;保證布線的合理性。T1~T7中M15對通信線路進行定期的檢查并記錄。T1~T7中M16

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論