【经典资料,WORD文档,可编辑修改】
【经典考试资料,答案附后,看后必过,WORD文档,可修改】
编辑时间:2015年9月16日星期三 页码:
1
1. 总体概述 1.1 项目概述 为了更好的了解信息安全状况,根据《信息安全风险评估指南》和GB/T 20984-2007 《信息安全技术 信息安全风险评估规范》要求,总体评估公司信息化建设风险。 2.风险评估方案 2.1风险评估现场实施流程 风险评估的实施流程见下图所示 风险评估准备资产识别威胁识别脆弱性识别已有安全措施的确认评估过程文档风险计算风险分析评估过程文档保持已有的安全措施是风险是否接受否制定和实施风险处理计划并评估残余风险..................是否接受残余风险否评估过程文档是实施风险管理风险评估文件记录 2.2 风险评估使用工具 测评过程中所使用的工具见下表所示: 编辑时间:2015年9月16日星期三 页码: 2 序号 1 2 3 4 名 称 功 能 描 述 版 本 用途 数据库漏洞扫描 网络、主机漏洞扫描 网络、主机漏洞扫描 网络、主机漏洞扫描 数据库安全扫可扫描Qracle、Sql ATX 描系统 Server、Sybase ISS网络扫描可扫描各类操作系统7.0sp2 器 和应用系统 天镜脆弱性扫可扫描各类操作系统6.0 描系统 和应用系统 极光远程安全可扫描各类操作系统AURORA评估系统 和应用系统 -200 网络综合协议网络透视与协议分分析仪 INA 析,网络性能测评 OptiView 网络系统管自动发现网络拓扑理,HP 图、网络性能与故障NNM6.0 OpenView 管理 5 网络流量监控 6 绘制网络拓扑图 2.3 风险评估方法 2.3.1资产识别 2.3.1.1资产分类 首先需要将信息系统及相关的资产进行恰当的分类,以此为基础进行下一步的风险评估。根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类型。 一种基于表现形式的资产分类方法 分类 示例 保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、数据 计划、报告、用户手册等 系统软件:操作系统、语句包、工具软件、各种库等 软件 应用软件:外部购买的应用软件,外包开发的应用软件等 源程序:各种共享源代码、自行或合作开发的各种代码等 编辑时间:2015年9月16日星期三 页码: 3