信息安全管理及风险评估工具应用报告

北京信息科技大学

信息管理学院

（课程设计）实验报告

课程名称: 信息安全管理与评估 专业:班级:学号: 姓名: 信息安全管理及风险评估工具应用 实验名称 实验地点 学院实验室 实验时间 2013/10 1. 课程设计目的： 熟练掌握信息安全管理及风险评估流程。 2. 课程设计内容： 按照标准所规定的流程，完成信息安全管理体系的建立过程及其所需文档、完成风险评估实施过程及其所需文档。 3. 课程设计要求： 掌握信息安全管理及风险评估流程；完成信息安全管理或风险评估报告。 4. 实验条件： （1）PC机一台 （2）风险评估工具等软件。

5. 实验方法与步骤： 一、风险评估的目标 本次安全风险评估的目的是为学校机房管理系统是否能够满足学校管理规范对机房系统的安全要求提供技术参考，同时为机房管理系统进行信息安全改进提供依据，以指导下一步的信息安全管理和保障工作。 二、风险评估的范围 应用系统的功能模块（或子系统），可参照下表进行分解： 应用系统分解表 类别 数据存储 业务处理 服务提供 客户端 说明 应用系统中负责数据存储的子系统或功能模块。如数据库服务器 应用系统中负责进行数据处理运算的子系统或模块，如应用服务器、通信前置机 应用系统中负责对用户提供服务的子系统或模块，如web服务器 由用户或客户直接使用、操纵的模块，包括：工作站、客户机等，如应用客户端、web浏览器 *注：以上的子系统(功能模块)分类可能存在于一台主机上，也可能分布在多台主机上，对应用系统的分解不需要特别注明子系统的分布情况，只需详细说明功能作用和构成。 对于不具有多层结构的系统，可根据实际情况进行简化分解，例如：仅分解为服务器端与客户端。 典型的应用系统分解结构图如下： 应用系统 分解 数据存 储模块 业务处 理模块 服务提 供模块 客户端 ：代表数据传输 三、风险评估的方法 本次风险评估结合机房当前信息化工作重点，分成资产评估、威胁评估、脆弱性评估来实施评估。其中，资产评估内容主要针对机房管理系统展开；威胁评估包含非人为威胁和人为威胁等因素；脆弱性评估内容分为信息安全管理评估、信息安全运行维护评估、信息安全技术评估三部分。

四、风险评估的形式 本次评估采取相关文档资料进行审阅、现场核查及综合安全评估，基于学校网站提供的制度、规范、记录，通过远程维护手段对机房管理系统的安全配置情况进行观测，对学校被评估系统的安全管理的执行程度与其自身的安全管理制度的执行效果，结合小组成员讨论得出的评估结论。 六、实施进度 阶段 开始时间 结束时间 任务 负责人 调研阶段 2013.11.25 2013.12.1 对学校机房管理 系统进行调研 (1) 机房管理系统资产识别清单 根据组织在风险评估程序文件中所确定的资产分类方法进行资产识别，形成 资产识别清单，明确资产的责任人/部门。 资产 防火墙 交换机 服务器 服务器 服务器 服务器 服务器 服务器 路由器 交换机 服务器 服务器 应用说明 外部防火墙 堆叠uplink 备份数据库服务器 网关服务器 文件服务器 任务服务器 主数据库服务器 64KDDN 核心交换机 安全管理服务器 日志管理服务器 机密性 高 中 低 中 中 中 低 低 低 中 中 完整性 中 中 中 中 高 高 中 很高 高 低 中 高 可用性 高 高 高 高 高 高 很高 很高 高 高 高 高 资产价值 重要资产 3.8 3.4 3.3 3.6 3.7 3.7 4 4.4 3.6 3 3.4 3.7 是 是 是 是 是 是 是 是 是 是 是 是 WEB_SLAVE服务器 很低 (2) 机房管理系统脆弱性识别 根据脆弱性识别和赋值的结果，形成脆弱性列表，包括具体弱点的名称、描述、类型及严重程度等。 脆弱性 机房基本设施定期维护 严重程度 中 描述 机房运维人员对机房的各类设备进行日常的巡检记录。机房的供配电、空调、湿温度控制符合系统使用要求。 系统管理员按时对设备的运行情况进行巡检并记录。 系统管理员对系统出现的各种异常情况进行监测和报警记录进行分析记录。 系统主要网络设备交换机、防火墙均提供热备模式。 受机房安全设备的保护，保证主要网络设备的各项指标监控情况 异常处理机制 中 中 网络冗余和备份 网络安全防火墙 高 高