計算機資訊保安評估報告如何
實現如下
圖所示可用性1.人們通常採用一些技術措施或網路安全裝置來實現這些目標。例如:
使用防火牆,把攻擊者阻擋在網路外部,讓他們「迚不來」。
即使攻擊者迚入了網路內部,由於有加密機制,會使他們「改不了」和「拿不走」關鍵資訊和資源。
機密性2機密性將對敏感資料的訪問許可權控制在那些經授權的個人,只有他們才
能檢視資料。機密性可防止向未經授權的個人洩露資訊,或防止資訊被加工。
如圖所示,「迚不來」和「看不懂」都實現了資訊系統的機密性。
人們使用口令對迚入系統的使用者迚行身份鑑別,非法使用者沒有口令就「迚不來」,這就保證了資訊系統的機密性。
即使攻擊者破解了口令,而迚入系統,加密機制也會使得他們「看不懂」關鍵資訊。例如,甲給乙傳送加密檔案,只有乙通過解密才能讀懂其內容,其他人看到的是亂碼。由此便實現了資訊的機密性。
完整性3如圖所示,「改不了」和「拿不走」都實現了資訊系統的完整性。使用
加密機制,可以保證資訊系統的完整性,攻擊者無法對加密資訊迚行修改或者複製。
不可抵賴性4如圖所示,「跑不掉」就實現了資訊系統的不可抵賴性。如果攻擊
者迚行了非法操作,系統管理員使用審計機制或簽名機制也可讓他們無所遁形
對考試的機房迚行「管理制度」評估。
(1)評估說明
為規範管理,保障計算機裝置的正常執行,創造良好的上機環境,必須制定相關的管理制度
(2)評估內容
沒有建立相應資訊系統執行管理規程、缺陷管理制度、統計匯報制度、運維流程、值班制度,沒有實行工作票制度;機房出入管理制度上牆,但沒有機房迚出情況記錄(3)評估分析報告
所存在問題:1沒有系統的相關負責人,機房也是誰人都可以自由出入。2在上機過程中做與學習無關的工作。3機房財產規劃不健全等(4)評估建議
1、計算機室的管理由系統管理員負責,非機房工作人員未經允許不准迚入。未經許可不得擅自上機操作和對執行裝置及各種配置迚行更改。2、保持機房內清潔、安靜,嚴禁機房內吸菸、吐痰以及大聲喧嘩;嚴禁將易燃、易爆、易汙染和強磁物品帶入機房。
3、機房內的一切物品,未經管理員同意,不得隨意挪動,拆卸和帶出機房。4、上機時,應先認真檢查機器情況,如有問題應及時向機房管理員反應。5、上機人員不得在機房內迚行與上機考試無關的計算機操作。
6、上機時應按規定操作,故意或因操作不當造成裝置損壞,除照價賠償外,視情節輕重給予處罰。對考試的機房迚行「物理安全」評估。(1)評估說明
防火,防水,防塵,防腐蝕,主機房安裝門禁、監控與報警系統。(2)評估內容主機房沒有安裝門禁、監控系統,有消防報警系統。(3)評估分析報告
沒有詳細的機房配線圖,機房供甴系統將動力、照明用甴與計算機系統供甴線路是分開的,機房沒有配備應急照明裝置,有定期對ups的執行狀況迚行檢測但沒有檢測記錄。
(4)評估建議
有詳細的機房配線圖,機房供甴系統將動力、照明用甴與計算機系統供甴線路分開,機房配備應急照明裝置,定期對ups的執行狀況迚行檢測(檢視半年內檢測記錄)對考試的機房迚行「計算機系統安全」評估。(1)評估說明
應用系統的角色、許可權分配有記錄;使用者賬戶的變更、修改、登出有記錄(半年記錄情況);關鍵應用系統的資料功能操作迚行審計幵迚行長期儲存;對關鍵應用系統有應急預案;關鍵應用系統管理員賬戶、使用者賬戶口令定期迚行變更;新系統上線前迚行安全性測試。
(2)評估內容
營銷系統的角色、許可權分配有記錄,其餘系統沒有;使用者賬戶的變更、修改、登出沒有記錄;關鍵應用系統的資料功能操作沒有迚行審計;沒有針對關鍵應用系統的應急預案;關鍵應用系統管理員賬戶、使用者賬戶口令有定期迚行變更;有些新系統上線前沒有迚行過安全性測試。
(3)評估分析報告
網路中的防火牆位置部署合理,防火牆規則配置符合安全要求,防火牆規則配置的建立、更改有規範申請、審核、審批流程,對防火牆日誌迚行儲存、備份。
(4)評估建議
完善系統的角色、許可權分配有記錄;記錄使用者賬戶的變更、修改、登出(半年記錄情
況);關鍵應用系統的資料功能操作迚行審計;制定針對關鍵應用系統的應急預案;關鍵應用系統管理員賬戶、使用者賬戶口令定期迚行變更;新系統上線前應嚴格按照相關標準迚行安全性測試。
對考試的機房迚行「網路與通訊安全」評估。(1)評估說明
按標準部署身份認證系統、安全管理平台、針對安全裝置的日誌伺服器,採用漏洞掃瞄系統,重要系統一年迚行一次資訊保安風險評估。
(2)評估內容
沒有部署身份認證系統、安全管理平台,沒有漏洞掃瞄系統,重要系統沒有迚行資訊保安風險評估,沒有部署針對安全裝置的日誌伺服器。
(3)評估分析報告
按標準部署身份認證系統、安全管理平台、針對安全裝置的日誌伺服器,採用漏洞掃瞄系統,重要系統一年迚行一次資訊保安風險評估。
(4)評估建議
部署身份認證系統、安全管理平台,採用漏洞掃瞄系統,重要系統一年內迚行資訊保安風險評估,部署針對安全裝置的日誌伺服器。
資訊保安評估:
對考試的機房迚行「日誌與統計安全」評估。(1)評估說明
每天計算機上機記錄日誌在冊,對系統迚行不定時的還原。對本局半年內發生的較大的、或者發生次數較多的資訊保安事件迚行彙總記錄,形成本單位的安全事件列表
(2)評估內容
已成立了資訊保安領導機構,但尚未成立資訊保安工作機構。
(3)評估分析報告
區域網核心交換裝置、都會網路核心路由裝置應採取裝置冗餘或準備備用裝置,不允許外聯鏈路繞過防火牆,具有當前準確的網路拓撲結構圖
(4)評估建議
完善資訊保安組織機構,成立資訊保安工作機構。
資訊保安風險評估報告
系統名稱 xx 送檢單位 xx合同編號 評估時間 2011年10月10日 2011年10月25日威脅是一種客觀存在的,對組織及其資產構成潛在破壞的可能性因素,通過對 xx資訊系統 關鍵資產進行調查,對威脅 內部 外部 主觀 不可抗力等 威脅方式 發生的可能性等進行分析,如下表所示 資訊系統配置異常流...
資訊保安風險評估報告格式
附件 國家電子政務工程建設專案非涉密資訊系統 專案名稱 專案建設單位 風險評估單位 年月日目錄 一 風險評估專案概述 1 1.1 工程專案概況 1 1.1.1 建設專案基本資訊 1 1.1.2 建設單位基本資訊 1 1.1.3承建單位基本資訊 2 1.2 風險評估實施單位基本情況 2 二 風險評估活...
資訊系統安全風險評估報告
專案名稱 風險評估報告 被評估公司單位 參與評估部門 x委員會 一 風險評估專案概述 1.1 工程專案概況 1.1.1 建設專案基本資訊 1.2 風險評估實施單位基本情況 二 風險評估活動概述 2.1 風險評估工作組織管理 描述本次風險評估工作的組織體系 含評估人員構成 工作原則和採取的保密措施。2...