【最新资料,WORD 文档,可编辑修改】
第 3 章 业务系统信息安全风险评估方案
3.1 风险评估概述
3.1.1 背景
该业务系统风险评估的目标是评估业务系统的风险状况,提出风险控制建议,同时为
下一步要制定的业务系统安全管理规范以及今后业务系统的安全建设和风险管理提供依据
和建议。
需要指出的是,本评估报告中所指的安全风险针对的是现阶段该业务系统的风险状
况,反映的是系统当前的安全状态。
3.1.2 范围
该业务系统风险评估范围包括业务系统网络、管理制度、使用或管理业务系统的相关
人员以及由业务系统使用时所产生的文档、数据。
3.1.3 评估方式
信息系统具有一定的生命周期,在其生命中期内完成相应的使命。采取必要的安全保
护方式使系统在其生命周期内稳定、可靠地运行是系统各种技术、管理应用的基本原则。
本项目的评估主要根据国际标准、国家标准和地方标准,从识别信息系统的资产入
手,确定重要资产,针对重要资产分析其面临的安全威胁并识别其存在的脆弱性,最后综
合评估系统的安全风险。
资产划分是风险评估的基础,在所有识别的系统资产中,依据资产在机密性、完整性
和可用性安全属性的价值不同,综合判定资产重要性程度并将其划分为核心、关键、中
等、次要和很低 5 个等级。
对于列为重要及以上等级的资产,分析其面临的安全威胁。
脆弱性识别主要从技术和管理两个层面,采取人工访谈。现场核查。扫描检测。渗透
性测试等方式,找出系统所存在的脆弱性和安全隐患。
对重要资产已识别的威胁、脆弱性,根据其可能性和严重性,综合评估其安全风险。
3.2 该业务系统概况
3.2.1 该业务系统背景
近年来,由于数据量迅速增加,业务量也迅速增长,原先的硬件系统、应用系统和模
式已渐渐不适应业务的需求,提升 IT 管理系统已经成为刻不容缓的事情。
经过仔细论证之后,信息决策部门在 IT 管理系统升级上达成如下共识:更换新的硬件
设备,使用更先进和更强大的主机;在模式上为统一的集中式系统;在系统上用运行和维
护效率较高的单库结构替换原有多库系统;在技术上准备使用基于 B/S 架构的 J2EE 中间件
技术,并且实施 999.999%的高可靠性运行方式;在业务上用新型工作流作为驱动新一代业
务系统的引擎,真正达到通过以客户为中心来提升利润及通过高效智能的工作流来提高每
个行员的劳动生产率,从而降低成本、提高核心竞争力以应对外部的竞争。
3.2.2 网络结构与拓扑图
该系统的网络包含应用服务器组、数据库服务器组、业务管理端、网络连接设备和安
全防护设备。业务系统网络通过一台高性能路由器连接分部网络,通过一台千兆以太网交
换机连接到其他业务系统。其中业务系统网络内部骨干网络采用千兆位以太网,两台千兆
以太网交换机位骨干交换机。网络配备百兆桌面交换机来连接网络管理维护客户机。
具体的网络拓扑图如图 3-1 所示。
3.2.3 业务系统边界
具体的系统边界图如图 3-2 所示。
评论0
最新资源