一、 專案相關資訊
專案背景:隨著某公司資訊化建設的迅速發展,特別是面向全國、面向社會公眾服務的業務系統陸續投入使用,對該公司的網路和資訊系統安全防護都提出了新的要求。為滿足上述安全需求,需對該公司的網路和資訊系統的安全進行一次系統全面的評估,以便更加有效保護該公司各專案業務應用的安全。
專案目標:第一通過對該公司的網路和資訊系統進行全面的資訊保安風險評估,找出系統目前存在的安全風險,提供風險評估報告。並依據該報告,實現對資訊系統進行新的安全建設規劃。
構建安全的資訊化應用平台,提高企業的資訊保安技術保障能力。第二通過本次風險評估,找出公司內資訊保安管理制度的缺陷,並需協助該公司建立完善的資訊保安管理制度、安全事件處置流程、應急服務機制等。提高核心系統的資訊保安管理保障能力。
專案評估範圍:總部資料中心、分公司、災備中心。專案業務系統:
核心業務系統、財務系統、銷售管理統計系統、內部資訊門戶、外部資訊門戶、郵件系統、輔助辦公系統等。災備中心,應急響應體系,應急演練核查。
評估物件:網路系統:17個裝置,抽樣率40%。
主機系統:9臺,抽樣率50%。資料庫系統:
4個業務資料庫,抽樣率100%。應用系統:3個(核心業務、財務、內部資訊門戶)安全管理:
11個安全管理目標。
二、 評估專案實施
評估實施流程圖:
專案實施團隊:(分工)
現場工作內容:
專案啟動會、系統與業務介紹、系統與業務現場調查、資訊資產調查統計、威脅調查統計、安全管理問卷的發放**、網路與資訊系統評估資訊獲取、機房物理環境現場勘察、系統漏洞掃瞄、系統執行狀況核查。
評估工作內容:
資產統計賦值、威脅統計分析並賦值、各系統脆弱性分析、系統漏洞掃瞄結果分析、已有安全措施分析、業務資產安全風險的計算與分析、編寫評估報告。
資產統計樣例(圖表)
威脅統計分析:3大類威脅(環境、系統、人為),7子類獲取威脅統計,7子類,34項;4級威脅2子類2項;3級威脅6子類16項;2級威脅5子類16項。
威脅統計分析列表(1):
威脅統計分析列表(2):
脆弱性分析:網路問題(高風險3個,中風險2個)主機系統:13個問題(很高風險1個,高風險7個,中風險4個,低風險1個)資料庫系統:
11個問題(高風險7個,中風險1個,低風險3個)應用系統:5個問題(高風險3個,中風險1個,低風險1個)安全管理:13個問題(高風險6個,中風險6個,低風險1個)。
脆弱性分類:網路系統
口令管理、安全審計、訪問控制、資源利用、脆弱性管理、物理保護、應急響應、維護管理。
脆弱性分類:業務系統
標識與鑑別、安全審計、訪問控制、安全策略配置、資源利用、惡意**防護、脆弱性管理、傳輸與通訊、業務連續性、物理保護、應急響應、維護管理。
脆弱性分析列表
系統漏洞掃瞄結果分析:
掃瞄主機:10臺。掃瞄結果:緊急風險1個(windows 2003 1個)
高風險29個(aix 27個,windows 2003 2個)中風險:22個(aix 12個,windows 2003 10個)。漏洞掃瞄結果分析:
風險與計算:
計算原理:風險值=r(a,t,v)=r(l(t,v),f(ia,va))
其中,r表示安全風險計算函式;a表示資產;t表示威脅;v表示脆弱性;ia表示安全事件所作用的資產價值;va表示脆弱性嚴重程度;l表示威脅利用資產的脆弱性導致安全事件發生的可能性;f表示安全事件發生後產生的損失。
計算方法:我們在該評估專案中,選擇「相乘法」的風險計算方法計算業務、資產的風險值。
具體的計算公式為:安全事件發生後的可能性l=t*v安全事件發生後造成的損失f=v*a資產的風險值rn=l*f
業務的風險值r=max(rn)。
風險計算分析表:
風險等級劃分:
各業務系統安全風險等級:
、各業務系統安全風險統計圖表
各業務系統安全風險統計圖表
三、 評估結論及安全建議
結論:從整體上看該公司的資訊保安狀況是比較好的,所有出現最高端別(5級/很高)的安全風險。很高風險級別的所佔比例低於30%,且為公司的非主營業務系統。
公司的安全風險級別主要為「中」,佔風險比列的50%
存在的風險不容忽視:
管理制度不完善,缺少一些必要的管理制度和規範,機房內的環境防護、安全措施、控制措施均需要加強,作業系統缺少完備的演練,管理中訪問許可權的控制、口令加密、snmp協議控制、審計功能開啟並配置、實時監控等問題需要強化安全管理措施。
安全建議:
完善安全管理制度(應急預案、系統審計、人員、安全管理等)
制定其他風險級別的風險消減方案;災備系統需要得到完備的演練;網路及業務系統的安全技術措施需要加強。
組員:章銳、龔哲、廖洋、孫陽明、趙世堂。
資訊系統安全風險評估報告
專案名稱 風險評估報告 被評估公司單位 參與評估部門 x委員會 一 風險評估專案概述 1.1 工程專案概況 1.1.1 建設專案基本資訊 1.2 風險評估實施單位基本情況 二 風險評估活動概述 2.1 風險評估工作組織管理 描述本次風險評估工作的組織體系 含評估人員構成 工作原則和採取的保密措施。2...
資訊系統風險評估風險管理對策
摘要 隨著當今日新月異的科學技術發展和資訊化技術迅猛的更新換代之勢,科技資訊科技系統已經成為人類社會發展必不可缺少的一部分。除了人們日常生活 交流中對於資訊系統的不可缺,連國家政治軍事 經濟發展等重要特殊領域都離不開資訊系統應用,可以說資訊系統的分布已經覆蓋著人類社會的方方面面,整個社會的發展程序已...
資訊系統安全應急預案
1 資訊系統應急預案組織機構 為了保證酒店資訊系統的安全,防止網際網路對酒店資訊系統進行攻擊或傳播有害資訊,提高酒店處置資訊系統安全突發事件的能力,將突發事件對酒店業務工作造成的損失降至最小程度,結合實際,特制訂酒店資訊系統安全應急方案。1.1 資訊系統安全應急的組織領導 1.1.1 領導小組工作職...