《信息系统安全风险评估的形式金融证券投融资_金融证券-金融资料.pdf》由会员分享,可在线阅读,更多相关《信息系统安全风险评估的形式金融证券投融资_金融证券-金融资料.pdf(8页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、信息系统安全风险评估的形式 某公司信息系统风险评估项目案例介绍 介绍内容:项目相关信息、项目实施、项目结论及安全建议。一、项目相关信息 项目背景:随着某公司信息化建设的迅速发展,特别是面向全国、面向社会公众服务的业务系统陆续投入使用,对该公司的网络和信息系统安全防护都提出了新的要求。为满足上述安全需求,需对该公司的网络和信息系统的安全进行一次系统全面的评估,以便更加有效保护该公司各项目业务应用的安全。项目目标:第一通过对该公司的网络和信息系统进行全面的信息安全风险评估,找出系统目前存在的安全风险,提供风险评估报告。并依据该报告,实现对信息系统进行新的安全建设规划。构建安全的信息化应用平台,提高
2、企业的信息安全技术保障能力。第二通过本次风险评估,找出公司内信息安全管理制度的缺陷,并需协助该公司建立完善的信息安全管理制度、安全事件处置流程、应急服务机制等。提高核心系统的信息安全管理保障能力。项目评估范围:总部数据中心、分公司、灾备中心。项目业务系统:核心业务系统、财务系统、销售管理统计系统、内部信息门户、外部信息门户、邮件系统、辅助办公系统等。灾备中心,应急响应体系,应急演练核查。评估对象:网络系统:17 个设备,抽样率 40%。主机系统:9 台,抽样率50%。数据库系统:4 个业务数据库,抽样率 100%。应用系统:3 个(核心业务、财务、内部信息门户)安全管理:11 个安全管理目标。
3、二、评估项目实施 评估实施流程图:项目实施团队:(分工)现场工作内容:项目启动会、系统与业务介绍、系统与业务现场调查、信息资产调查统计、威胁调查统计、安全管理问卷的发放回收、网络与信息系统评估信息获取、机房物理环境现场勘察、系统漏洞扫描、系统运行状况核查。评估工作内容:安全建议一项目相关信息项目背景随着某公司信息化建设的迅速发展特别是面向全国面向社会公众服务的业务系统陆续投入使用对该公司的网络和信息系统安全防护都提出了新的要求为满足上述安全需求需对该公司的网络和信息系网络和信息系统进行全面的信息安全风险评估找出系统目前存在的安全风险提供风险评估报告并依据该报告实现对信息系统进行新的安全建设规划
4、构建安全的信息化应用平台提高企业的信息安全技术保障能力第二通过本次风险评估等提高核心系统的信息安全管理保障能力项目评估范围总部数据中心分公司灾备中心项目业务系统核心业务系统财务系统销售管理统计系统内部信息门户外部信息门户邮件系统辅助办公系统等灾备中心应急响应体系应急演练核查评 资产统计赋值、威胁统计分析并赋值、各系统脆弱性分析、系统漏洞扫描结果分析、已有安全措施分析、业务资产安全风险的计算与分析、编写评估报告。资产统计样例(图表)威胁统计分析:3 大类威胁(环境、系统、人为),7 子类获取威胁统计,7子类,34 项;4 级威胁 2 子类 2 项;3 级威胁 6 子类 16 项;2 级威胁 5
5、子类 16项。威胁统计分析列表(1):威胁统计分析列表(2):安全建议一项目相关信息项目背景随着某公司信息化建设的迅速发展特别是面向全国面向社会公众服务的业务系统陆续投入使用对该公司的网络和信息系统安全防护都提出了新的要求为满足上述安全需求需对该公司的网络和信息系网络和信息系统进行全面的信息安全风险评估找出系统目前存在的安全风险提供风险评估报告并依据该报告实现对信息系统进行新的安全建设规划构建安全的信息化应用平台提高企业的信息安全技术保障能力第二通过本次风险评估等提高核心系统的信息安全管理保障能力项目评估范围总部数据中心分公司灾备中心项目业务系统核心业务系统财务系统销售管理统计系统内部信息门户
6、外部信息门户邮件系统辅助办公系统等灾备中心应急响应体系应急演练核查评 脆弱性分析:网络问题(高风险 3 个,中风险 2 个)主机系统:13 个问题(很高风险 1 个,高风险 7 个,中风险 4 个,低风险 1 个)数据库系统:11 个问题(高风险 7 个,中风险 1 个,低风险 3 个)应用系统:5 个问题(高风险 3 个,中风险 1 个,低风险 1 个)安全管理:13 个问题(高风险 6 个,中风险 6 个,低风险 1 个)。脆弱性分类:网络系统 口令管理、安全审计、访问控制、资源利用、脆弱性管理、物理保护、应急响应、维护管理。脆弱性分类:业务系统 标识与鉴别、安全审计、访问控制、安全策略配
7、置、资源利用、恶意代码防护、脆弱性管理、传输与通信、业务连续性、物理保护、应急响应、维护管理。脆弱性分析列表 安全建议一项目相关信息项目背景随着某公司信息化建设的迅速发展特别是面向全国面向社会公众服务的业务系统陆续投入使用对该公司的网络和信息系统安全防护都提出了新的要求为满足上述安全需求需对该公司的网络和信息系网络和信息系统进行全面的信息安全风险评估找出系统目前存在的安全风险提供风险评估报告并依据该报告实现对信息系统进行新的安全建设规划构建安全的信息化应用平台提高企业的信息安全技术保障能力第二通过本次风险评估等提高核心系统的信息安全管理保障能力项目评估范围总部数据中心分公司灾备中心项目业务系统
8、核心业务系统财务系统销售管理统计系统内部信息门户外部信息门户邮件系统辅助办公系统等灾备中心应急响应体系应急演练核查评 系统漏洞扫描结果分析:扫描主机:10 台。扫描结果:紧急风险 1 个(windows 2003 1个)高风险 29 个(Aix 27 个,windows 2003 2个)中风险:22 个(Aix 12 个,windows 2003 10个)。漏洞扫描结果分析:风险与计算:计算原理:风险值=R(A,T,V)=R(L(T,V),F(Ia,Va)其中,R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性;Ia 表示安全事件所作用的资产价值;Va表示脆弱性严重程度;L表示威胁利
9、用资产的脆弱性导致安全事件发生的可能性;F表示安全事件发生后产生的损失。安全建议一项目相关信息项目背景随着某公司信息化建设的迅速发展特别是面向全国面向社会公众服务的业务系统陆续投入使用对该公司的网络和信息系统安全防护都提出了新的要求为满足上述安全需求需对该公司的网络和信息系网络和信息系统进行全面的信息安全风险评估找出系统目前存在的安全风险提供风险评估报告并依据该报告实现对信息系统进行新的安全建设规划构建安全的信息化应用平台提高企业的信息安全技术保障能力第二通过本次风险评估等提高核心系统的信息安全管理保障能力项目评估范围总部数据中心分公司灾备中心项目业务系统核心业务系统财务系统销售管理统计系统内
10、部信息门户外部信息门户邮件系统辅助办公系统等灾备中心应急响应体系应急演练核查评 计算方法:我们在该评估项目中,选择“相乘法”的风险计算方法计算业务、资产的风险值。具体的计算公式为:安全事件发生后的可能性 L=T*V安全事件发生后造成的损失 F=V*A资产的风险值 Rn=L*F 业务的风险值 R=Max(Rn)。风险计算分析表:风险等级划分:各业务系统安全风险等级:安全建议一项目相关信息项目背景随着某公司信息化建设的迅速发展特别是面向全国面向社会公众服务的业务系统陆续投入使用对该公司的网络和信息系统安全防护都提出了新的要求为满足上述安全需求需对该公司的网络和信息系网络和信息系统进行全面的信息安全
11、风险评估找出系统目前存在的安全风险提供风险评估报告并依据该报告实现对信息系统进行新的安全建设规划构建安全的信息化应用平台提高企业的信息安全技术保障能力第二通过本次风险评估等提高核心系统的信息安全管理保障能力项目评估范围总部数据中心分公司灾备中心项目业务系统核心业务系统财务系统销售管理统计系统内部信息门户外部信息门户邮件系统辅助办公系统等灾备中心应急响应体系应急演练核查评 、各业务系统安全风险统计图表 各业务系统安全风险统计图表 安全建议一项目相关信息项目背景随着某公司信息化建设的迅速发展特别是面向全国面向社会公众服务的业务系统陆续投入使用对该公司的网络和信息系统安全防护都提出了新的要求为满足上
12、述安全需求需对该公司的网络和信息系网络和信息系统进行全面的信息安全风险评估找出系统目前存在的安全风险提供风险评估报告并依据该报告实现对信息系统进行新的安全建设规划构建安全的信息化应用平台提高企业的信息安全技术保障能力第二通过本次风险评估等提高核心系统的信息安全管理保障能力项目评估范围总部数据中心分公司灾备中心项目业务系统核心业务系统财务系统销售管理统计系统内部信息门户外部信息门户邮件系统辅助办公系统等灾备中心应急响应体系应急演练核查评三、评估结论及安全建议 结论:从整体上看该公司的信息安全状况是比较好的,所有出现最高级别(5级/很高)的安全风险。很高风险级别的所占比例低于 30%,且为公司的非
13、主营业务系统。公司的安全风险级别主要为“中”,占风险比列的 50%存在的风险不容忽视:管理制度不完善,缺少一些必要的管理制度和规范,机房内的环境防护、安全措施、控制措施均需要加强,操作系统缺少完备的演练,管理中访问权限的控制、口令加密、SNMP 协议控制、审计功能开启并配置、实时监控等问题需要强化安全管理措施。安全建议:完善安全管理制度(应急预案、系统审计、人员、安全管理等)制定其他风险级别的风险消减方案;灾备系统需要得到完备的演练;网络及业务系统的安全技术措施需要加强。组员:章锐、龚哲、廖洋、孙阳明、赵世堂。安全建议一项目相关信息项目背景随着某公司信息化建设的迅速发展特别是面向全国面向社会公众服务的业务系统陆续投入使用对该公司的网络和信息系统安全防护都提出了新的要求为满足上述安全需求需对该公司的网络和信息系网络和信息系统进行全面的信息安全风险评估找出系统目前存在的安全风险提供风险评估报告并依据该报告实现对信息系统进行新的安全建设规划构建安全的信息化应用平台提高企业的信息安全技术保障能力第二通过本次风险评估等提高核心系统的信息安全管理保障能力项目评估范围总部数据中心分公司灾备中心项目业务系统核心业务系统财务系统销售管理统计系统内部信息门户外部信息门户邮件系统辅助办公系统等灾备中心应急响应体系应急演练核查评