pg电子直营站





        项目案例

        某信息系统安全风险评估项目

        一 、项目相关信息

            项目背景:随着某公司信息化建设的迅速发展,特别是面向全国、面向社会公众服务的业务系统陆续投入使用,对该公司的网络和信息系统安全防护都提出了新的要求 。为满足上述安全需求,需对该公司的网络和信息系统的安全进行一次系统全面的评估 ,以便更加有效保护该公司各项目业务应用的安全 。
            项目目标:第一通过对该公司的网络和信息系统进行全面的信息安全风险评估 ,找出系统目前存在的安全风险,提供风险评估报告 。并依据该报告 ,实现对信息系统进行新的安全建设规划。构建安全的信息化应用平台 ,提高企业的信息安全技术保障能力。第二通过本次风险评估 ,找出公司内信息安全管理制度的缺陷 ,并需协助该公司建立完善的信息安全管理制度 、安全事件处置流程、应急服务机制等 。提高核心系统的信息安全管理保障能力。
            项目评估范围:总部数据中心、分公司 、灾备中心。项目业务系统:核心业务系统、财务系统、销售管理统计系统 、内部信息门户 、外部信息门户 、邮件系统、辅助办公系统等。灾备中心,应急响应体系,应急演练核查。
            评估对象:网络系统:17个设备 ,抽样率40%。主机系统:9台,抽样率50%。数据库系统 :4个业务数据库,抽样率100% 。应用系统:3个(核心业务、财务、内部信息门户)安全管理  :11个安全管理目标 。

        二 、评估项目实施

            项目实施团队:(分工)

        现场工作内容:
            项目启动会、系统与业务介绍、系统与业务现场调查、信息资产调查统计 、威胁调查统计、安全管理问卷的发放回收 、网络与信息系统评估信息获取、机房物理环境现场勘察、系统漏洞扫描、系统运行状况核查 。
        评估工作内容:
            资产统计赋值 、威胁统计分析并赋值、各系统脆弱性分析 、系统漏洞扫描结果分析 、已有安全措施分析、业务资产安全风险的计算与分析 、编写评估报告。
        资产统计样例(图表)

            威胁统计分析:3大类威胁(环境 、系统 、人为),7子类获取威胁统计,7子类,34项;4级威胁2子类2项;3级威胁6子类16项 ;2级威胁5子类16项。
        威胁统计分析列表(1):

            威胁统计分析列表(2):

            脆弱性分析:网络问题(高风险3个 ,中风险2个)主机系统 :13个问题(很高风险1个 ,高风险7个,中风险4个 ,低风险1个)数据库系统 :11个问题(高风险7个,中风险1个,低风险3个)应用系统:5个问题(高风险3个 ,中风险1个,低风险1个)安全管理 :13个问题(高风险6个,中风险6个,低风险1个) 。
            脆弱性分类:网络系统口令管理、安全审计 、访问控制 、资源利用 、脆弱性管理、物理保护、应急响应 、维护管理。
            脆弱性分类:业务系统
        标识与鉴别、安全审计、访问控制、安全策略配置 、资源利用、恶意代码防护、脆弱性管理、传输与通信、业务连续性、物理保护 、应急响应、维护管理。

        脆弱性分析列表

            系统漏洞扫描结果分析:
            扫描主机 :10台。扫描结果:紧急风险1个(windows 2003 1个)、高风险29个(Aix 27个,windows 2003 2个)中风险:22个(Aix 12个,windows 2003 10个) 。
            漏洞扫描结果分析 :


            风险与计算 :
            计算原理 :风险值=R(A,T, V)=R(L(T,V),F(Ia,Va))
        其中,R表示安全风险计算函数;A表示资产 ;T表示威胁 ;V表示脆弱性 ;Ia表示安全事件所作用的资产价值 ;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件发生的可能性;F表示安全事件发生后产生的损失。
            计算方法 :我们在该评估项目中,选择“相乘法”的风险计算方法计算业务、资产的风险值。
        具体的计算公式为 :安全事件发生后的可能性L=T*V  安全事件发生后造成的损失F=V*A  资产的风险值Rn=L*F  
        业务的风险值R=Max(Rn) 。  
            风险计算分析表:

            风险等级划分 :

            各业务系统安全风险等级 :

            各业务系统安全风险统计图表

            各业务系统安全风险统计图

        三、评估结论及安全建议

            结论 :从整体上看该公司的信息安全状况是比较好的,所有出现最高级别(5级/很高)的安全风险。很高风险级别的所占比例低于30% ,且为公司的非主营业务系统 。公司的安全风险级别主要为“中” ,占风险比列的50%
        存在的风险不容忽视:
            管理制度不完善,缺少一些必要的管理制度和规范 ,机房内的环境防护、安全措施、控制措施均需要加强,操作系统缺少完备的演练,管理中访问权限的控制 、口令加密 、SNMP协议控制、审计功能开启并配置 、实时监控等问题需要强化安全管理措施。
            安全建议:
        完善安全管理制度(应急预案、系统审计、人员、安全管理等)
        制定其他风险级别的风险消减方案;灾备系统需要得到完备的演练 ;网络及业务系统的安全技术措施需要加强。
        上一篇 下一篇 某应用系统信息安全渗透测试
        热点排行

          服务热线

          029-63648670

          邮 箱

          zoyink@zoyink.com

        关注
        官方微信





          XML地图