信息系统威胁评估报告

信息系统威胁评估报告

ID:9287863

大小:248.50 KB

页数:15页

时间:2018-04-26

信息系统威胁评估报告_第1页
信息系统威胁评估报告_第2页
信息系统威胁评估报告_第3页
信息系统威胁评估报告_第4页
信息系统威胁评估报告_第5页
资源描述:

《信息系统威胁评估报告》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、XX市地税局信息系统威胁评估报告密级:内部文档编号:2007002-009项目编号:2007002XX市地税局信息系统威胁评估报告第14页共15页XX市地税局信息系统威胁评估报告目录1概述32威胁获取方法33威胁来源及性质划分43.1威胁来源43.2根据安全威胁产生的来源划分64威胁赋值74.1威胁属性74.2威胁可能性赋值84.3威胁影响性赋值114.4威胁最终赋值14第14页共15页XX市地税局信息系统威胁评估报告第14页共15页XX市地税局信息系统威胁评估报告概述根据《XX省人民政府信息化工作办公室关于印

2、发<信息安全风险评估试点工作实施方案>的通知》文件精神,XX省信息安全测评中心承担了XX市地税局“征管信息系统”的风险评估工作。我中心以建立符合我省情况的风险评估方法、积累风险评估工作经验、培养队伍、协助XX市地税局更深入地了解其信息系统安全现状为目标,通过文档分析、现场访谈、问卷调查、技术评估等方法,对XX市地税局“征管信息系统”进行了全面的信息安全风险评估。安全威胁是一种对系统、组织及其资产构成潜在破坏能力的可能性因素或者事件。产生安全威胁的主要因素可以分为人为因素和环境因素。人为因素包括有意的和无意的因素

3、。环境因素包括自然界的不可抗力因素和其它物理因素。威胁可能源于对信息系统直接或间接的攻击,例如非授权的泄露、篡改、删除等,在机密性、完整性或可用性等方面造成损害。威胁也可能源于偶发的、或蓄意的事件。一般来说,威胁总是要利用网络中的系统、应用或服务的弱点才可能成功地对资产造成伤害。威胁是对组织的资产引起不期望事件而造成的损害的潜在可能性。在安全风险评估方法论中,威胁评估采用了威胁的可能性值。1威胁获取方法安全威胁获取的方法有:白客渗透测试(PenetrationTesting)、安全策略文档审阅、人员面谈、入侵检

4、测系统收集的信息和人工分析等。联想顾问可以根据具体的评估对象、评估目的选择具体的安全威胁获取方式。经过研究,本项目采取了顾问访谈、安全策略文档审阅、人工分析和模拟攻击测试相结合的方法来获取资产存在的安全威胁,并根据专家经验进行赋值。原拟采用的利用入侵监测系统收集威胁信息由于使用时间不足而不采用。第14页共15页XX市地税局信息系统威胁评估报告威胁发现方法列表如下:编号发现方式描述1顾问访谈通过和安全管理人员进行访谈来获得威胁信息。2人工分析根据专家经验,从已知的数据中进行分析。3模拟攻击测试通过黑客攻击的测试方

5、法来测试弱点,证实威胁。4安全策略文档分析安全策略文档分析。1威胁来源及性质划分威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为人为因素和环境因素。根据威胁的动机,人为因素又可分为恶意和非恶意两种。环境因素包括自然界不可抗的因素和其它物理因素。威胁作用形式可以是对信息系统直接或间接的攻击,在保密性、完整性或可用性等方面造成损害;也可能是偶发的、或蓄意的事件。在对威胁进行分类前,应考虑威胁的来源。表提供了一种威胁来源的分类方法。1.1威胁来源威胁来源列表威胁来源名称威胁来源描述本项目重

6、要程度分类内外部威胁设备故障软件、硬件、数据、通讯线路方面的故障4非人为威胁外部粗心、好奇或培训不足的雇员4人为非恶意内部第14页共15页XX市地税局信息系统威胁评估报告由于缺乏责任心,或者由于不关心和不专注而导致信息系统威胁的用户,由于缺乏培训,专业技能不足,不具备岗位技能要求而导致信息系统威胁的用户,属于内部威胁来源内部人员犯罪内部雇员以犯罪为目的,采取自主或内外勾结的方式进行犯罪4人为恶意内部环境因素断电、静电、灰尘、火灾、电磁干扰等环境因素,洪灾、火灾、地震等自然灾害3非人为威胁外部不满的雇员当前被雇佣

7、和对系统具有访问权的条件,有潜力对信息系统施加破坏的愤怒和不满的人。3人为恶意内部外部计算机犯罪主要指外部的计算机犯罪分子,包括有组织犯罪行为,有组织和财政资助。也包括个人的,没有很好的加入组织和接受援助3人为恶意外部外部黑客攻击网络和系统,企图探求操作系统的脆弱性或其它缺陷的人3人为恶意外部恶意第三方包括电信、税务等合作伙伴,和开发商、集成商、服务商等3人为恶意外部不可抗力战争、政变、瘟疫等等1非人为威胁外部竞争对手在竞争市场中营运的公司,以商业间谍的形式非法收集情报0人为恶意外部恐怖分子国内外代表各种恐怖分

8、子或极端势力的个人或团体,采取计算机犯罪方式。0人为恶意外部国家国家经营,组织精良并得到很好的财政资助,从敌对国家或具有经济、军事或政治优势的国家收集机密或关键信息0人为恶意外部经过访谈和分析,确认下述为XX市地税局第14页共15页XX市地税局信息系统威胁评估报告的重点威胁来源,在整个评估项目中将重点考虑如下威胁来源。在接下来的威胁分析中将进一步详细分析,并确认其主要的威胁方式和赋值。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。