文档介绍:背景�� 某OA系统风险评估的目的是评估办公自动化(OA)系统的风险状况,提出风险控制建议,同时为下一步要制定的OA系统安全管理规范以及今后OA系统的安全建设和风险管理提供依据和建议。� 需要指出的是,本评估报告中所指的安全风险是针对现阶段OA系统的风险状况,反映的是系统当前的安全状态。
*
OA系统信息安全风险评估方案
*
范围� 某OA系统风险评估范围包括某OA网络、管理制度、使用或管理OA系统的相关人员以及由其办公所产生的文档、数据。� 评估方式� 信息系统具有一定的生命周期,在其生命周期内完成相应的使命。采取必要的安全保护方式使系统在其生命周期内稳定、可靠的运行,是系统各种技术、管理应用的基本原则。
*
OA系统信息安全风险评估方案
*
本项目的评估主要根据国际标准、国家标准和地方标准,从识别信息系统的资产入手,着重针对重要资产分析其面临的安全威胁并识别其存在的脆弱性,最后综合评估系统的安全风险。
*
OA系统信息安全风险评估方案
*
资产识别是风险评估的基础,在所有识别的系统信息资产中,依据资产在机密性、完整性和可用性三个安全属性的价值不同,综合判定资产的重要性程度并将其划分为核心、关键、中等、普通和次要5个等级。其中核心、关键和中等等级的资产都被列为重要资产,并分析其面临的安全威胁。�� 脆弱性识别主要从技术和管理两个层面,采取人工访谈、现场核查、扫描检测、渗透性测试等方式,识别系统所存在的脆弱性和安全隐患
*
OA系统信息安全风险评估方案
*
对重要资产已识别的威胁、脆弱性,判断威胁发生的可能性和严重性,综合评估重要信息资产的安全风险。� 根据重要信息资产威胁风险值的大小,划分安全风险等级,判断不可接受安全风险的范围、确定风险优先处理等级。� 根据不可接受安全风险的范围、重要信息资产安全风险值和风险优先处理等级,给出风险控制措施。
*
OA系统信息安全风险评估方案
*
OA系统概况�� OA系统背景� 随着计算机通信以及互联网技术的飞速发展,社会信息化建设以及网络经济为主要特征的新经济形态正在发展和壮大。办公自动化正在成为信息化建设的一个重要组成部分,通过规范化和程序化来改变传统的工作模式,建立一种以高效为特征的新型业务模式。在此背景下决定建设OA系统,建立规范化、程序化工作模式,最终提高工作的效率。
*
OA系统信息安全风险评估方案
*
网络结构图与拓扑图�� 该OA系统网络是一个专用网络,与Internet物理隔离。该网络包含OA服务器组、数据库服务器组、办公人员客户端、网络连接设备和安全防护设备等。OA系统网络通过一台高性能路由器连接上级部门网络,通过一台千兆以太网交换机连接到下级部门网络。其中内部骨干网络采用千兆位以太网,两台千兆以太网交换机为骨干交换机,网络配备百兆桌面交换机用来连接用户终端。
*
OA系统信息安全风险评估方案
*
表3-1 NTFS的引导扇区
*
OA系统信息安全风险评估方案
*
网络结构与系统边界� 该OA系统网络分别与上级部门办公网络、下级部门办公网络连接。其中用一台高性能路由器连接上级部门办公网络,用一台千兆交换机连接下级部门办公网络。具体的系统边界图如图书本23页图2-2所示:
*
OA系统信息安全风险评估方案
*
表2-1列举了主要边界情况。� 表2-1 OA系统网络边界表
网络连接
连接方式
主要连接用户
主要用途
与下级部门办公网络连接
千兆以太网
(内部)
下级部门
与下级部门
公文流转等
与上级部门办公网络连接
专用光纤
上级部门
与上级部门
公文流转等
*
OA系统信息安全风险评估方案
*