信息系统安全风险评估案例分析.pdf

信息系统安全风险评估案例分析--第1页

信息系统安全风险评估案例分析

某公司信息系统风险评估项目案例介绍

介绍内容：项目相关信息、项目实施、项目结论及安全建议。

一、项目相关信息

项目背景：随着某公司信息化建设的迅速发展，特别是面向全

国、面向社会公众服务的业务系统陆续投入使用，对该公司的

网络和信息系统安全防护都提出了新的要求。为满足上述安全

需求，需对该公司的网络和信息系统的安全进行一次系统全面

的评估，以便更加有效保护该公司各项目业务应用的安全。

项目目标：第一通过对该公司的网络和信息系统进行全面的信

息安全风险评估，找出系统目前存在的安全风险，提供风险评

估报告。并依据该报告，实现对信息系统进行新的安全建设规

划。构建安全的信息化应用平台，提高企业的信息安全技术保

障能力。第二通过本次风险评估，找出公司内信息安全管理制

度的缺陷，并需协助该公司建立完善的信息安全管理制度、安

全事件处置流程、应急服务机制等。提高核心系统的信息安全

管理保障能力。

项目评估范围：总部数据中心、分公司、灾备中心。项目业务

系统：核心业务系统、财务系统、销售管理统计系统、内部信

息门户、外部信息门户、邮件系统、辅助办公系统等。灾备中

心，应急响应体系，应急演练核查。

信息系统安全风险评估案例分析--第1页

信息系统安全风险评估案例分析--第2页

评估对象：网络系统：17个设备，抽样率40%。主机系统：9

台，抽样率50%。数据库系统：4个业务数据库，抽样率100%。

应用系统：3个（核心业务、财务、内部信息门户）安全管理：

11个安全管理目标。

二、评估项目实施

评估实施流程图：

信息系统安全风险评估案例分析--第2页

信息系统安全风险评估案例分析--第3页

项目实施团队：（分工）

现场工作内容：

项目启动会、系统与业务介绍、系统与业务现场调查、信息资产调查

统计、威胁调查统计、安全管理问卷的发放回收、网络与信息系统评

估信息获取、机房物理环境现场勘察、系统漏洞扫描、系统运行状况

核查。

评估工作内容：

资产统计赋值、威胁统计分析并赋值、各系统脆弱性分析、系统漏洞

扫描结果分析、已有安全措施分析、业务资产安全风险的计算与分析、

编写评估报告。

资产统计样例（图表）

信息系统安全风险评估案例分析--第3页

信息系统安全风险评估案例分析--第4页

威胁统计分析：3大类威胁（环境、系统、人为），7子类获取威胁统

计，7子类，34项；4级威胁2子类2项；3级威胁6子类16项；2

级威胁5子类16项。

威胁统计分析列表（1）：

信息系统安全风险评估案例分析--第4页

信息系统安全风险评估案例分析--第5页

威胁统计分析列表（2）：

脆弱性分析：网络问题（高风险3个，中风险2个）主机系统：13个

问题（很高风险1个，高风险7个，中风险4个，低风险1个）数据

库系统：11个问题（高风险7个，中风险1个，低风险3个）应用

系统：5个问题（高风险3个，中风险1个，低风险1个）安全管理：

13个问题（高风险6个，中风险6个，低风险1个）。

脆弱性分类：网络系统

口令管理、安全审计、访问控制、资源利用、脆弱性管理、物理保护、