下载此文档

业务系统信息安全风险评估方案.docx


文档分类:IT计算机 | 页数:约13页 举报非法文档有奖
1/13
下载提示
  • 1.该资料是网友上传的,本站提供全文预览,预览什么样,下载就什么样。
  • 2.下载该文档所得收入归上传者、原创者。
  • 3.下载的文档,不会出现我们的网址水印。
1/13 下载此文档
文档列表 文档介绍
第3章最新资料息安全风险评估方文档,可编辑修改】风险评估概述背景该业务系统风险评估的目标是评估业务系统的风险状况,提出风险控制建议,同时为下一步要制定的业务系统安全管理规范以及今后业务系统的安全建设和风险管理提供依据和建议。需要指出的是,本评估报告中所指的安全风险针对的是现阶段该业务系统的风险状况,反映的是系统当前的安全状态。范围该业务系统风险评估范围包括业务系统网络、管理制度、使用或管理业务系统的相关人员以及由业务系统使用时所产生的文档、数据。评估方式信息系统具有一定的生命周期,在其生命中期内完成相应的使命。采取必要的安全保护方式使系统在其生命周期内稳定、可靠地运行是系统各种技术、管理应用的基本原则。本项目的评估主要根据国际标准、国家标准和地方标准,从识别信息系统的资产入手,确定重要资产,针对重要资产分析其面临的安全威胁并识别其存在的脆弱性,最后综合评估系统的安全风险。资产划分是风险评估的基础,在所有识别的系统资产中,依据资产在机密性、完整性和可用性安全属性的价值不同,综合判定资产重要性程度并将其划分为核心、关键、中等、次要和很低 5个等级。对于列为重要及以上等级的资产,分析其面临的安全威胁。脆弱性识别主要从技术和管理两个层面,采取人工访谈。现场核查。扫描检测。渗透性测试等方式,找出系统所存在的脆弱性和安全隐患。对重要资产已识别的威胁、脆弱性,根据其可能性和严重性,综合评估其安全风险。,由于数据量迅速增加,业务量也迅速增长,原先的硬件系统、应用系统和模式已渐渐不适应业务的需求,提升IT管理系统已经成为刻不容缓的事情。经过仔细论证之后,信息决策部门在IT管理系统升级上达成如下共识:更换新的硬件设备,使用更先进和更强大的主机;在模式上为统一的集中式系统;在系统上用运行和维护效率较高的单库结构替换原有多库系统;在技术上准备使用基于B/S架构的J2EE中间件技术,%的高可靠性运行方式;在业务上用新型工作流作为驱动新一代业务系统的引擎,真正达到通过以客户为中心来提升利润及通过高效智能的工作流来提高每个行员的劳动生产率,从而降低成本、提高核心竞争力以应对外部的竞争。网络结构与拓扑图该系统的网络包含应用服务器组、数据库服务器组、业务管理端、网络连接设备和安全防护设备。业务系统网络通过一台高性能路由器连接分部网络,通过一台千兆以太网交换机连接到其他业务系统。其中业务系统网络内部骨干网络采用千兆位以太网,两台千兆以太网交换机位骨干交换机。网络配备百兆桌面交换机来连接网络管理维护客户机。具体的网络拓扑图如图3-1所示。业务系统边界具体的系统边界图如图3-2所示。应用系统和业务流程分析业务系统组织结构划分为总部和分部两个层次,业务系统所涉及的绝大多数业务流程都需要经过多级业务管理部门进行处理,业务流程复杂且流程跨度比较大。其次,业务系统处理流程十分繁杂。在对客户申请审批处理过程中,必然会岀现反复的提交、上报、退回等操作,并且可以将任务退回到指定的岗位上,然后再次上报提交。在同一个审批过程中,根据客户的不同级别,可能需要提交到上级授信管理部门,也可能提交到上级的风险管理部门。,从业务数据的完整性、可用性和机密性的保护要求岀发,识别岀对CIA三性有一定影响的信息流及其承载体或周边设备。在本次业务系统评估中进行的资产分类,主要分为网络设备、主机系统、服务器系统、数据和文档资产5个方面。网络设备资产 网络设备重要资产如表 3-1所示。表3-交换机-2345二级交换机ASSET_02Cisco交换机-01Cisco6509骨干交换机ASSET_03Cisco交换机-02Cisco7507骨干交换机ASSET_04Cisco交换机-03Cisco7034骨干交换机ASSET_05Cisco路由器-Screen防火墙-01FW-0080防火墙(2)主机系统资产 主机系统重要资产如表 3-2所示。表3-2主机重要资产表资产编号资产名称型号资产描述ASSET07PC01WindowsXP业务处理客户端ASSET_08PC_02WindowsXP业务处理客户端(3)服务器资产 服务器重要资产如表3-3所示。表3-3服务器重要资产表资产编号资产名称型号资产描述ASSET_09APP服务器Windows2000Server业务处理客户端ASSET_10DB服务器Windows2000Server业务处理客户端(4)数据和文档资产 数据和文档重要资产如表 3-4所示。表3-4数据和文档资产重要资产表资产编号资产名称资产描述ASSET11客户基本信息DB服务器中的客户基本信息ASSET12客户基本信息DB服务器中的客户存款信息ASSET13财

业务系统信息安全风险评估方案 来自淘豆网www.taodocs.com转载请标明出处.

非法内容举报中心
文档信息
  • 页数13
  • 收藏数0 收藏
  • 顶次数0
  • 上传人shijijielong001
  • 文件大小38 KB
  • 时间2020-09-29