风险评估方案介绍(doc 11页).doc

1. 总体概述
项目概述
为了更好的了解信息安全状况，根据《信息安全风险评估指南》和GB/T 20984-2007》要求，总体评估公司信息化建设风险。


风险评估的实施流程见下图所示
风险评估使用工具
测评过程中所使用的工具见下表所示：
序号
名 称
功 能 描 述
版 本
用途
1
数据库安全扫描系统
可扫描Qracle、Sql Server、Sybase
ATX
数据库***
2
ISS网络扫描器
可扫描各类操作系统和应用系统

网络、主机***
3
天镜脆弱性扫描系统
可扫描各类操作系统和应用系统

网络、主机***
4
极光远程安全评估系统
可扫描各类操作系统和应用系统
AURORA-200
网络、主机***
5
网络综合协议分析仪
OptiView
网络***与协议分析，网络性能测评
INA
网络流量监控
6
网络系统管理,HP
OpenView
自动发现网络拓扑图、网络性能与故障管理

绘制网络拓扑图
风险评估方法


首先需要将信息系统及相关的资产进行恰当的分类，以此为基础进行下一步的风险评估。根据资产的表现形式，可将资产分为数据、软件、硬件、文档、服务、人员等类型。
一种基于表现形式的资产分类方法
分类
示例
数据
保存在信息媒介上的各种数据资料，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等
软件
系统软件：操作系统、语句包、工具软件、各种库等
应用软件：外部购买的应用软件，外包开发的应用软件等
源程序：各种共享源代码、自行或合作开发的各种代码等
硬件
网络设备：路由器、网关、交换机等
计算机设备：大型机、小型机、服务器、工作站、台式计算机、移动计算机等
存储设备：磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等
传输线路：光纤、双绞线等
保障设备：动力保障设备（UPS、变电设备等）、空调、保险柜、文件柜、门禁、消防设施等
安全保障设备：防火墙、入侵检测系统、身份验证等
其他：打印机、复印机、扫描仪、传真机等
服务
办公服务：为提高效率而开发的管理信息系统（MIS），包括各种内部配置管理、文件流转管理等服务
网络服务：各种网络设备、设施提供的网络连接服务
信息服务：对外依赖该系统开展的各类服务
文档
纸质的各种文件，如传真、电报、财务报告、发展计划等
人员
掌握重要信息和核心业务的人员，如主机维护主管、网络维护主管及应用项目经理等
其它
企业形象，客户关系等


根据资产在保密性上的不同要求，将其分为五个不同的等级，分别对应资产在机密性上应达成的不同程度或者机密性缺失时对整个组织的影响。
资产机密性赋值表
赋值
标识
定义
5
很高
包含组织最重要的秘密，关系未来发展的前途命运，对组织根本利益有着决定性的影响，如果泄露会造成灾难性的损害
4
高
包含组织的重要秘密，其泄露会使组织的安全和利益遭受严重损害
3