信息安全管理及风险评估工具应用报告

信息安全管理及风险评估工具应用报告

ID:47507369

大小:352.82 KB

页数:23页

时间:2020-01-12

信息安全管理及风险评估工具应用报告_第1页
信息安全管理及风险评估工具应用报告_第2页
信息安全管理及风险评估工具应用报告_第3页
信息安全管理及风险评估工具应用报告_第4页
信息安全管理及风险评估工具应用报告_第5页
资源描述:

《信息安全管理及风险评估工具应用报告》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、北京信息科技大学信息管理学院(课程设计)实验报告课程名称:信息安全管理与评估专业:班级:学号:姓名:实验名称信息安全管理及风险评估工具应用实验地点学院实验室实验时间2013/101.课程设计目的:熟练掌握信息安全管理及风险评估流程。2.课程设计内容:按照标准所规定的流程,完成信息安全管理体系的建立过程及其所需文档、完成风险评估实施过程及其所需文档。3.课程设计要求:掌握信息安全管理及风险评估流程;完成信息安全管理或风险评估报告。4.实验条件:(1)PC机一台(2)风险评估工具等软件。231.实验方法与步骤:一、风险评估的目标本次安全风险

2、评估的目的是为学校机房管理系统是否能够满足学校管理规范对机房系统的安全要求提供技术参考,同时为机房管理系统进行信息安全改进提供依据,以指导下一步的信息安全管理和保障工作。二、风险评估的范围应用系统的功能模块(或子系统),可参照下表进行分解:应用系统分解表类别说明数据存储应用系统中负责数据存储的子系统或功能模块。如数据库服务器业务处理应用系统中负责进行数据处理运算的子系统或模块,如应用服务器、通信前置机服务提供应用系统中负责对用户提供服务的子系统或模块,如web服务器客户端由用户或客户直接使用、操纵的模块,包括:工作站、客户机等,如应用客

3、户端、web浏览器*注:以上的子系统(功能模块)分类可能存在于一台主机上,也可能分布在多台主机上,对应用系统的分解不需要特别注明子系统的分布情况,只需详细说明功能作用和构成。对于不具有多层结构的系统,可根据实际情况进行简化分解,例如:仅分解为服务器端与客户端。典型的应用系统分解结构图如下::代表数据传输数据存储模块业务处理模块服务提供模块客户端应用系统分解三、风险评估的方法本次风险评估结合机房当前信息化工作重点,分成资产评估、威胁评估、脆弱性评估来实施评估。其中,资产评估内容主要针对机房管理系统展开;威胁评估包含非人为威胁和人为威胁等因

4、素;脆弱性评估内容分为信息安全管理评估、信息安全运行维护评估、信息安全技术评估三部分。23一、风险评估的形式本次评估采取相关文档资料进行审阅、现场核查及综合安全评估,基于学校网站提供的制度、规范、记录,通过远程维护手段对机房管理系统的安全配置情况进行观测,对学校被评估系统的安全管理的执行程度与其自身的安全管理制度的执行效果,结合小组成员讨论得出的评估结论。六、实施进度阶段开始时间结束时间任务负责人调研阶段2013.11.252013.12.1对学校机房管理系统进行调研(1)机房管理系统资产识别清单根据组织在风险评估程序文件中所确定的资产

5、分类方法进行资产识别,形成资产识别清单,明确资产的责任人/部门。资产应用说明机密性完整性可用性资产价值重要资产防火墙外部防火墙高中高3.8是交换机堆叠uplink中中高3.4是服务器备份数据库服务器低中高3.3是服务器WEB_SLAVE服务器很低中高3.6是服务器网关服务器中高高3.7是服务器文件服务器中高高3.7是服务器任务服务器中中很高4是服务器主数据库服务器低很高很高4.4是路由器64KDDN低高高3.6是交换机核心交换机低低高3是服务器安全管理服务器中中高3.4是服务器日志管理服务器中高高3.7是(2)机房管理系统脆弱性识别根据

6、脆弱性识别和赋值的结果,形成脆弱性列表,包括具体弱点的名称、描述、类型及严重程度等。脆弱性严重程度描述机房基本设施定期维护中机房运维人员对机房的各类设备进行日常的巡检记录。机房的供配电、空调、湿温度控制符合系统使用要求。主要网络设备的各项指标监控情况中系统管理员按时对设备的运行情况进行巡检并记录。异常处理机制中系统管理员对系统出现的各种异常情况进行监测和报警记录进行分析记录。网络冗余和备份高系统主要网络设备交换机、防火墙均提供热备模式。网络安全防火墙高23受机房安全设备的保护,保证正常上机操作。网络拓扑结构高机房管理系统具备网络拓扑图,

7、当网络结构发生变化时,可及时更新。网络域安全隔离和限制高机房管理系统部署防火墙,对不同网络域进行隔离和控制。日志权限和保护高日志服务器为专用服务器,受服务器权限访问控制措施保护。网络ARP欺骗攻击高机房管理系统为专用独立网络,交换机IPMAC绑定,防范ARP攻击。DOS/DDOS攻击高防火墙有防DOS/DDOS攻击的模块,且已启用。网络入侵防范机制高机房管理系统为专用独立网络,部署的防火墙具有网络入侵防范机制。恶意代码防范措施高部署防火墙,防范恶意代码。网络设备运维手册高提供网络设备操作手册。系统与应用管理员口令安全性中登录口令要求长

8、度8位以上,包含字母、数字和字符组合。用户操作审计中日志信息记录主机的操作,可对操作行为进行审计。系统备份中关键服务器采用热备方式。有部分重要服务器没有采用主备方式。关闭服务和端口中多数服务器关闭了无用的端

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。