信息系统安全评估
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
系统安全评价中常用分析方法
thank you
பைடு நூலகம்
系统安全评价方法的确 定准则: 定准则:
1.充分性原则: 1.充分性原则: 在选择安全评价方法 充分性原则 之前,应该充分分析评价的系统,掌 握足够多的安全评价方法,并充分了 解各种安全评价方法的优缺点、适应 条件和范围,同时为安全评价工作准 备充分的资料。也就是说,在选择安 全评价方法之前,应准备好充分的资 料,供选择时参考和使用。 2.适应性原则: 2.适应性原则: 选择的安全评价方法 适应性原则 应该适应被评价的系统。被评价的系 统可能是由多个子系统构成的复杂系 统,评价的重点各子系统可能有所不 同,各种安全评价方法都有其适应的 条件和范围,应该根据系统和子系统、 工艺的性质和状态,选择适应的安全 评价方法。
1:机房周围环境
电力、水源充足、自然环境清洁、通讯、交通运输方便 加油站、煤气站、煤气管道 红外线传感器、监视摄像机 卤代烷1211和1301自动消防系统或灭火器
2:机房周围100m内有无危险建筑 3:有无监控系统 4:有无防火、防水措施
5:机房有无环境测控设施(温度、湿度和洁净度) 6:有无防雷措施(具有防雷装置,接地良好) 7:有无备用电源和自备发电机 8:是否有防静电措施(采用防静电地板,设备接地良好) 9:是否保证持续供电 10:是否有防盗措施 11:是否使用UPS
信息系统网络安全评价指标体系: 信息系统网络安全评价指标体系: (1)实体与环境安全 (1)实体与环境安全 (2)组织管理与安全制度 (2)组织管理与安全制度 (3)安全技术措施 (3)安全技术措施 (4)网络与通信安全 (4)网络与通信安全 (5)软件与信息安全 (5)软件与信息安全
(1)实体与环境安全 (1)实体与环境安全
指 标 体 系 与 评 价 方 法
信 息 系 统 安 全 的 评 价
系统安全评价是当代企业安全措施的重要手段, 系统安全评价是当代企业安全措施的重要手段, 是当代企业安全措施的重要手段 为了充分认识系统的危险性, 为了充分认识系统的危险性,就要对系统进行细 致而系统的分析, 致而系统的分析,在系统分析的基础上对系统进 行综合评价, 行综合评价,最后通过评价结果来了解系统中潜 在的危险和薄弱环节, 在的危险和薄弱环节,并最终确定系统的安全状 为以后的安全管理提供重要依据。 况,为以后的安全管理提供重要依据。
(3)安全技术措施 3)安全技术措施 3)
1:是否有灾难恢复的技术对策 2:是否有系统安全审计功能 3:是否有系统操作日志 4:是否有服务器备份措施 5:是否有防黑客入侵设施 6:是否有计算机病毒防范措施
(4)网络与通信安全 (4)网络与通信安全
1:放置通信设施的场所是否设有醒目标志 2:重要通信线路及通信控制装置是否均有备份 3:是否采取加密措施 4:系统运行状态有无安全审计跟踪措施 5:网络与信息系统是否加有访问控制措施
种含有储能装置 UPS:(Uninterruptible Power System),即不间断电源,是一
(2)组织管理与安全制度 (2)组织管理与安全制度
1:有无专门的信息安全组织机构和专职的信息安全人员 2:有无健全的信息安全管理的规章制度 3:是否有信息安全人员的配备,调离有严格的管理制度 4:设备与数据管理制度是否完备 5:是否有登记建档制度 6:是否有紧急事故处理预案 7:是否有完整的信息安全培训计划和培训制度 8:各类人员的安全职责是否明确,能否胜任网络安全管理工作
(5)软件与信息安全 (5)软件与信息安全
1:操作系统及数据库是否有访问控制措施 2:应用软件是否有防破坏措施 3:对数据库及系统状态有无监控设施 4:是否有用户身份识别措施 5:系统用户信息是否采用备份
系统安全评价方法
目前还没有一套完整、通用的系统安全评价方法。 目前还没有一套完整、通用的系统安全评价方法。只能 依据评价目标、评价、系统的特点、规模、复杂程度、 依据评价目标、评价、系统的特点、规模、复杂程度、 工艺类型、工艺特征、危险性、 工艺类型、工艺特征、危险性、危害性等法要求和范围 的不同,选择不同的评价方法。 的不同,选择不同的评价方法。在国内外出现了许多评 价方法,每种评价方法的原理、目标、适用条件、所需 价方法,每种评价方法的原理、目标、适用条件、 技术资料均不相同,各有其特点及优缺点。 技术资料均不相同,各有其特点及优缺点。
3.系统性原则 安全评价方法与被评价的系统所能提 系统性原则: 系统性原则 供安全评价初值和边值条件应形成一个和谐的整体, 也就是说,安全评价方法获得的可信的安全评价结 果,是必须建立真实、合理和系统的基础数据之上 的,被评价的系统应该能够提供所需的系统化数据 和资料。 4.针对性原则 所选择的安全评价方法应该能够提供 针对性原则: 针对性原则 所需的结果。由于评价的目的不同,需要安全评价 提供的结果可能是危险有害因素识别、事故发生的 原因、事故发生概率、事故后果、系统的危险性等, 安全评价方法能够给出所要求的结果才能被选用。 5.合理性原则 在满足安全评价目的、能够提供所需 合理性原则: 合理性原则 的安全评价结果的前提下,应该选择计算过程最简 单、所需基础数据最少和最容易获取的安全评价方 法,使安全评价工作量和要获得的评价结果都是合 理的,不要使安全评价出现无用的工作和不必要的 麻烦。