文档介绍:计算机信息安全评估报告
如 何 实 现 如 下 图 所 示
可用'性1•人们通常采用一些技术措施或网络安全设备来实现这些目标。例如:
使用防火墙,把攻击者阻挡在网络外部,让他们 “进不来”。
即使攻击者进入了网络内部,由于有加密机制,会使他们 “改不了”和“拿不走” 关
键信息和资源。
机密'性2机密性将对敏感数据的访问权限控制在那些经授权的个人,只有他们才
能查看数据。机密性可防止向未经授权的个人泄露信息,或防止信息被加工。
如图所示,“进不来”和“看不懂”都实现了信息系统的机密性。
人们使用口令对进入系统的用户进行身份鉴别,非法用户没有口令就 “进不来”,这
就保证了信息系统的机密性。
即使攻击者破解了口令,而进入系统,加密机制也会使得他们 “看不懂”关键信息。
例如,甲给乙发送加密文件,只有乙通过解密才能读懂其内容, 其他人看到的是乱码。
由此便实现了信息的机密性。
完整性 3如图所示,“改不了”和“拿不走” 都实现了信息系统的完整性。使用
加密机制,可以保证信息系统的完整性,攻击者无法对加密信息进行修改或者复制。
不可抵赖性4如图所示,“跑不掉”就实现了信息系统的不可抵赖性。如果攻击
者进行了非法操作,系统管理员使用审计机制或签名机制也可让他们无所遁形
对考试的机房进行“管理制度”评估。
(1 )评估说明
为规范管理,保障计算机设备的正常运行,创造良好的上机环境,必须制定相关的管理制 度
(2 )评估内容
没有建立相应信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值
班制度,没有实行工作票制度;机房出入管理制度上墙,但没有机房进出情况记录
(3)评估分析报告
所存在问题:1没有系统的相关负责人, 机房也是谁人都可以自由出入。 2在上机过程
中做与学习无关的工作。3机房财产规划不健全等
(4 )评估建议
1、计算机室的管理由系统管理员负责,非机房工作人员未经允许不准进入。未经许
可不得擅自上机操作和对运行设备及各种配置进行更改。 2、保持机房内清洁、安
静,严禁机房内吸烟、吐痰以及大声喧哗;严禁将易燃、易爆、易污染和强磁物品带
入机房。 3、机房内的一切物品,未经管理员同意,不得随意挪动,拆卸和带出机
房。4、上机时,应先认真检查机器情况, 如有问题应及时向机房管理员反应。 5、
上机人员不得在机房内进行与上机考试无关的计算机操作。 6、上机时应按规定操作,
故意或因操作不当造成设备损坏,除照价赔偿外,视情节轻重给予处罚。
对考试的机房进行“物理安全”评估。
(1) 评估说明
防火,防水,防尘,防腐蚀,主机房安装门禁、监控与报警系统。
(2) 评估内容主机房没有安装门禁、监控系统,有消防报警系统。
(3) 评估分析报告
没有详细的机房配线图,机房供电系统将动力、照明用电与计算机系统供电线路是
分开的,机房没有配备应急照明装置,有定期对 UPS的运行状况进行检测但没有检
测记录。
(4 )评估建议
有详细的机房配线图,机房供电系统将动力、照明用电与计算机系统供电线路分开, 机房配备应急照明装置,定期对 UPS的运行状况进行检测(查看半年内检测记录)
对考试的机房进行“计算机系统安全”评估。
(1) 评估说明
应用系统的角色、权限