2023年全國(guó)碩士研究生考試考研英語(yǔ)一試題真題(含答案詳解+作文范文)_第1頁(yè)
已閱讀1頁(yè),還剩16頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、第3章業(yè)務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估方案業(yè)務(wù)系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估方案3.1風(fēng)險(xiǎn)評(píng)估概述風(fēng)險(xiǎn)評(píng)估概述3.1.1背景背景該業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)評(píng)估的目標(biāo)是評(píng)估業(yè)務(wù)系統(tǒng)的風(fēng)險(xiǎn)狀況,提出風(fēng)險(xiǎn)控制建議,同時(shí)為下一步要制定的業(yè)務(wù)系統(tǒng)安全管理規(guī)范以及今后業(yè)務(wù)系統(tǒng)的安全建設(shè)和風(fēng)險(xiǎn)管理提供依據(jù)和建議。需要指出的是,本評(píng)估報(bào)告中所指的安全風(fēng)險(xiǎn)針對(duì)的是現(xiàn)階段該業(yè)務(wù)系統(tǒng)的風(fēng)險(xiǎn)狀況,反映的是系統(tǒng)當(dāng)前的安全狀態(tài)。3.1.2范圍范圍該業(yè)務(wù)系統(tǒng)風(fēng)險(xiǎn)評(píng)估范圍包括業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)、管理制度

2、、使用或管理業(yè)務(wù)系統(tǒng)的相關(guān)人員以及由業(yè)務(wù)系統(tǒng)使用時(shí)所產(chǎn)生的文檔、數(shù)據(jù)。3.1.3評(píng)估方式評(píng)估方式信息系統(tǒng)具有一定的生命周期,在其生命中期內(nèi)完成相應(yīng)的使命。采取必要的安全保護(hù)方式使系統(tǒng)在其生命周期內(nèi)穩(wěn)定、可靠地運(yùn)行是系統(tǒng)各種技術(shù)、管理應(yīng)用的基本原則。本項(xiàng)目的評(píng)估主要根據(jù)國(guó)際標(biāo)準(zhǔn)、國(guó)家標(biāo)準(zhǔn)和地方標(biāo)準(zhǔn),從識(shí)別信息系統(tǒng)的資產(chǎn)入手,確定重要資產(chǎn),針對(duì)重要資產(chǎn)分析其面臨的安全威脅并識(shí)別其存在的脆弱性,最后綜合評(píng)估系統(tǒng)的安全風(fēng)險(xiǎn)。資產(chǎn)劃分是風(fēng)險(xiǎn)評(píng)估的

3、基礎(chǔ),在所有識(shí)別的系統(tǒng)資產(chǎn)中,依據(jù)資產(chǎn)在機(jī)密性、完整性和可用性安全屬性的價(jià)值不同,綜合判定資產(chǎn)重要性程度并將其劃分為核心、關(guān)鍵、中等、次要和很低5個(gè)等級(jí)。對(duì)于列為重要及以上等級(jí)的資產(chǎn),分析其面臨的安全威脅。脆弱性識(shí)別主要從技術(shù)和管理兩個(gè)層面,采取人工訪談?,F(xiàn)場(chǎng)核查。掃描檢測(cè)。滲透性測(cè)試等方式,找出系統(tǒng)所存在的脆弱性和安全隱患。對(duì)重要資產(chǎn)已識(shí)別的威脅、脆弱性,根據(jù)其可能性和嚴(yán)重性,綜合評(píng)估其安全風(fēng)險(xiǎn)。3.2該業(yè)務(wù)系統(tǒng)概況該業(yè)務(wù)系統(tǒng)概況3.

4、2.1該業(yè)務(wù)系統(tǒng)背景該業(yè)務(wù)系統(tǒng)背景近年來(lái),由于數(shù)據(jù)量迅速增加,業(yè)務(wù)量也迅速增長(zhǎng),原先的硬件系統(tǒng)、應(yīng)用系統(tǒng)和模式已漸漸不適應(yīng)業(yè)務(wù)的需求,提升IT管理系統(tǒng)已經(jīng)成為刻不容緩的事情。經(jīng)過(guò)仔細(xì)論證之后,信息決策部門(mén)在IT管理系統(tǒng)升級(jí)上達(dá)成如下共識(shí):更換新的硬件設(shè)備,使用更先進(jìn)和更強(qiáng)大的主機(jī);在模式上為統(tǒng)一的集中式系統(tǒng);在系統(tǒng)上用運(yùn)行和維護(hù)效率較高的單庫(kù)結(jié)構(gòu)替換原有多庫(kù)系統(tǒng);在技術(shù)上準(zhǔn)備使用基于BS架構(gòu)的J2EE中間件技術(shù),并且實(shí)施999.999%

5、的高可靠性運(yùn)行方式;在業(yè)務(wù)上用新型工作流作為驅(qū)動(dòng)新一代業(yè)務(wù)系統(tǒng)的引擎,真正達(dá)到通過(guò)以客戶為中心來(lái)提升利潤(rùn)及通過(guò)高效智能的工作流來(lái)提高每個(gè)行員的勞動(dòng)生產(chǎn)率,從而降低成本、提高核心競(jìng)爭(zhēng)力以應(yīng)對(duì)外部的競(jìng)爭(zhēng)。3.2.2網(wǎng)絡(luò)結(jié)構(gòu)與拓?fù)鋱D網(wǎng)絡(luò)結(jié)構(gòu)與拓?fù)鋱D該系統(tǒng)的網(wǎng)絡(luò)包含應(yīng)用服務(wù)器組、數(shù)據(jù)庫(kù)服務(wù)器組、業(yè)務(wù)管理端、網(wǎng)絡(luò)連接設(shè)備和安全防護(hù)設(shè)備。業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)通過(guò)一臺(tái)高性能路由器連接分部網(wǎng)絡(luò),通過(guò)一臺(tái)千兆以太網(wǎng)交換機(jī)連接到其他業(yè)務(wù)系統(tǒng)。其中業(yè)務(wù)系統(tǒng)網(wǎng)絡(luò)內(nèi)部骨

6、干網(wǎng)絡(luò)采用千兆位以太網(wǎng),兩臺(tái)千兆以太網(wǎng)交換機(jī)位骨干交換機(jī)。網(wǎng)絡(luò)配備百兆桌面交換機(jī)來(lái)連接網(wǎng)絡(luò)管理維護(hù)客戶機(jī)。ASSET_09APP服務(wù)器Windows2000Server業(yè)務(wù)處理客戶端ASSET_10DB服務(wù)器Windows2000Server業(yè)務(wù)處理客戶端(4)數(shù)據(jù)和文檔資產(chǎn)數(shù)據(jù)和文檔重要資產(chǎn)如表34所示。表34數(shù)據(jù)和文檔資產(chǎn)重要資產(chǎn)表數(shù)據(jù)和文檔資產(chǎn)重要資產(chǎn)表資產(chǎn)編號(hào)資產(chǎn)名稱資產(chǎn)描述ASSET_11客戶基本信息DB服務(wù)器中的客戶基本信息

7、ASSET_12客戶基本信息DB服務(wù)器中的客戶存款信息ASSET_13財(cái)務(wù)報(bào)告財(cái)務(wù)報(bào)告ASSET_14審計(jì)日志審計(jì)日志ASSET_15管理制度管理制度3.3.2資產(chǎn)賦值資產(chǎn)賦值資產(chǎn)賦值對(duì)識(shí)別的信息資產(chǎn),按照資產(chǎn)的不同安全屬性,即機(jī)密性、完整性和可用性的重要性和保護(hù)要求,分別對(duì)資產(chǎn)的CIA三性予以賦值。三性賦值分為5個(gè)等級(jí),分別對(duì)應(yīng)了改項(xiàng)信息資產(chǎn)的機(jī)密性、完整性和可用性的不同程度的影響,下面是賦值依據(jù)。1.機(jī)密性(Confidential

8、ity)賦值依據(jù)根據(jù)資產(chǎn)機(jī)密性屬性的不同,將它分為5個(gè)不同的等級(jí),分別對(duì)應(yīng)資產(chǎn)在機(jī)密性方面的價(jià)值或者在機(jī)密性方面受到損失時(shí)對(duì)整個(gè)評(píng)估的影響。機(jī)密性賦值依據(jù)如表26所示。2.完整性(Integrity)賦值依據(jù)根據(jù)資產(chǎn)完整性屬性的不同,將它分為5個(gè)不同的等級(jí),分別對(duì)應(yīng)資產(chǎn)在完整性方面的價(jià)值或者在完整性方面受到損失時(shí)對(duì)整個(gè)評(píng)估的影響。完整性賦值依據(jù)如表27所示。3.可用性(Availability)賦值依據(jù)根據(jù)資產(chǎn)可用性屬性的不同,將它分為

9、5個(gè)不同的等級(jí),分別對(duì)應(yīng)資產(chǎn)在可用性方面的價(jià)值或者在可用性方面受到損失時(shí)對(duì)整個(gè)評(píng)估的影響??捎眯再x值依據(jù)如表28所示。根據(jù)資產(chǎn)的不同安全屬性,即機(jī)密性、完整性和可用性的等級(jí)劃分原則,采用專家指定的方法對(duì)所有資產(chǎn)的CIA三性予以賦值。賦值后的資產(chǎn)清單如表35所示。表35資產(chǎn)資產(chǎn)CIA三性等級(jí)表三性等級(jí)表資產(chǎn)編號(hào)資產(chǎn)名稱機(jī)密性完整性可用性ASSET_013com交換機(jī)01333ASSET_02Cisco交換機(jī)01444ASSET_03Cis

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論