

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、<p> 密 級(jí): 內(nèi)部</p><p> 文檔編號(hào):2007002-009</p><p> 項(xiàng)目編號(hào):2007002</p><p> XX市地稅局信息系統(tǒng)</p><p><b> 威脅評(píng)估報(bào)告</b></p><p><b> 目 錄</b&g
2、t;</p><p><b> 1概述3</b></p><p> 2威脅獲取方法3</p><p> 3威脅來源及性質(zhì)劃分4</p><p> 3.1威脅來源4</p><p> 3.2根據(jù)安全威脅產(chǎn)生的來源劃分6</p><p><b
3、> 4威脅賦值7</b></p><p> 4.1威脅屬性7</p><p> 4.2威脅可能性賦值8</p><p> 4.3威脅影響性賦值11</p><p> 4.4威脅最終賦值14</p><p><b> 概述</b></p>
4、<p> 根據(jù)《XX省人民政府信息化工作辦公室關(guān)于印發(fā)<信息安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作實(shí)施方案>的通知》文件精神,XX省信息安全測(cè)評(píng)中心承擔(dān)了XX市地稅局“征管信息系統(tǒng)”的風(fēng)險(xiǎn)評(píng)估工作。我中心以建立符合我省情況的風(fēng)險(xiǎn)評(píng)估方法、積累風(fēng)險(xiǎn)評(píng)估工作經(jīng)驗(yàn)、培養(yǎng)隊(duì)伍、協(xié)助XX市地稅局更深入地了解其信息系統(tǒng)安全現(xiàn)狀為目標(biāo),通過文檔分析、現(xiàn)場(chǎng)訪談、問卷調(diào)查、技術(shù)評(píng)估等方法,對(duì)XX市地稅局“征管信息系統(tǒng)”進(jìn)行了全面的信息安全風(fēng)險(xiǎn)評(píng)
5、估。</p><p> 安全威脅是一種對(duì)系統(tǒng)、組織及其資產(chǎn)構(gòu)成潛在破壞能力的可能性因素或者事件。產(chǎn)生安全威脅的主要因素可以分為人為因素和環(huán)境因素。人為因素包括有意的和無意的因素。環(huán)境因素包括自然界的不可抗力因素和其它物理因素。</p><p> 威脅可能源于對(duì)信息系統(tǒng)直接或間接的攻擊,例如非授權(quán)的泄露、篡改、刪除等,在機(jī)密性、完整性或可用性等方面造成損害。威脅也可能源于偶發(fā)的、或蓄意的
6、事件。一般來說,威脅總是要利用網(wǎng)絡(luò)中的系統(tǒng)、應(yīng)用或服務(wù)的弱點(diǎn)才可能成功地對(duì)資產(chǎn)造成傷害。</p><p> 威脅是對(duì)組織的資產(chǎn)引起不期望事件而造成的損害的潛在可能性。在安全風(fēng)險(xiǎn)評(píng)估方法論中,威脅評(píng)估采用了威脅的可能性值。</p><p><b> 威脅獲取方法</b></p><p> 安全威脅獲取的方法有:白客滲透測(cè)試(Penetrat
7、ion Testing)、安全策略文檔審閱、人員面談、入侵檢測(cè)系統(tǒng)收集的信息和人工分析等。聯(lián)想顧問可以根據(jù)具體的評(píng)估對(duì)象、評(píng)估目的選擇具體的安全威脅獲取方式。經(jīng)過研究,本項(xiàng)目采取了顧問訪談、安全策略文檔審閱、人工分析和模擬攻擊測(cè)試相結(jié)合的方法來獲取資產(chǎn)存在的安全威脅,并根據(jù)專家經(jīng)驗(yàn)進(jìn)行賦值。原擬采用的利用入侵監(jiān)測(cè)系統(tǒng)收集威脅信息由于使用時(shí)間不足而不采用。</p><p> 威脅發(fā)現(xiàn)方法列表如下:</p&g
8、t;<p><b> 威脅來源及性質(zhì)劃分</b></p><p> 威脅可以通過威脅主體、資源、動(dòng)機(jī)、途徑等多種屬性來描述。造成威脅的因素可分為人為因素和環(huán)境因素。根據(jù)威脅的動(dòng)機(jī),人為因素又可分為惡意和非惡意兩種。環(huán)境因素包括自然界不可抗的因素和其它物理因素。威脅作用形式可以是對(duì)信息系統(tǒng)直接或間接的攻擊,在保密性、完整性或可用性等方面造成損害;也可能是偶發(fā)的、或蓄意的事件。
9、</p><p> 在對(duì)威脅進(jìn)行分類前,應(yīng)考慮威脅的來源。表提供了一種威脅來源的分類方法。</p><p><b> 威脅來源</b></p><p><b> 威脅來源列表</b></p><p> 經(jīng)過訪談和分析,確認(rèn)下述為XX市地稅局的重點(diǎn)威脅來源,在整個(gè)評(píng)估項(xiàng)目中將重點(diǎn)考慮如下威脅來
10、源。在接下來的威脅分析中將進(jìn)一步詳細(xì)分析,并確認(rèn)其主要的威脅方式和賦值。</p><p><b> 設(shè)備故障</b></p><p> 粗心、好奇或培訓(xùn)不足的雇員</p><p><b> 內(nèi)部人員犯罪</b></p><p><b> 惡意第三方</b></p&
11、gt;<p><b> 環(huán)境因素</b></p><p><b> 不滿的雇員</b></p><p> 根據(jù)安全威脅產(chǎn)生的來源劃分</p><p> 參照國(guó)家風(fēng)險(xiǎn)評(píng)估相關(guān)規(guī)范中的定義對(duì)安全威脅的產(chǎn)生來源和原因進(jìn)行劃分,可以分為以下幾個(gè)方面:</p><p><b>
12、 威脅賦值</b></p><p><b> 威脅屬性</b></p><p> 威脅具有兩個(gè)屬性:可能性(Likelihood)、影響(Influence)。進(jìn)一步,可能性和損失可以被賦予一個(gè)數(shù)值,來表示該屬性。參照下表。</p><p> 可能性屬性賦值參考表</p><p><b>
13、 影響賦值參考表</b></p><p> 可能性屬性非常難以度量,它依賴于具體的資產(chǎn)、弱點(diǎn)和影響。該屬性還和時(shí)間有關(guān)系。最終表現(xiàn)出來的威脅是兩個(gè)屬性的共同作用;另外,在威脅評(píng)估中,評(píng)估者的專家經(jīng)驗(yàn)非常重要。</p><p> 在本項(xiàng)目中,可以參照下面的矩陣進(jìn)行威脅最終定值:</p><p><b> 威脅可能性賦值</b>&
14、lt;/p><p> 判斷威脅出現(xiàn)的頻率是威脅賦值的重要內(nèi)容,評(píng)估者應(yīng)根據(jù)經(jīng)驗(yàn)和有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來進(jìn)行判斷。在評(píng)估中,需要綜合考慮以下三個(gè)方面,以形成在某種評(píng)估環(huán)境中各種威脅出現(xiàn)的頻率:</p><p> 以往安全事件報(bào)告中出現(xiàn)過的威脅及其頻率的統(tǒng)計(jì);</p><p> 實(shí)際環(huán)境中通過檢測(cè)工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計(jì);</p><p&
15、gt; 近一兩年來國(guó)際組織發(fā)布的對(duì)于整個(gè)社會(huì)或特定行業(yè)的威脅及其頻率統(tǒng)計(jì),以及發(fā)布的威脅預(yù)警;</p><p> 可以對(duì)威脅出現(xiàn)的頻率進(jìn)行等級(jí)化處理,不同等級(jí)分別代表威脅出現(xiàn)的頻率的高低。等級(jí)數(shù)值越大,威脅出現(xiàn)的頻率越高;</p><p> 表提供了威脅出現(xiàn)頻率的一種賦值方法。在實(shí)際的評(píng)估中,威脅頻率的判斷依據(jù)應(yīng)在評(píng)估準(zhǔn)備階段根據(jù)歷史統(tǒng)計(jì)或行業(yè)判斷予以確定,并得到被評(píng)估方的認(rèn)可。&l
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 基于博弈模型的信息系統(tǒng)安全威脅評(píng)估技術(shù)研究.pdf
- 信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估報(bào)告
- 信息系統(tǒng)內(nèi)部威脅檢測(cè)與感知方法.pdf
- 某業(yè)務(wù)運(yùn)維信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估報(bào)告
- 信息系統(tǒng)的內(nèi)部人員威脅及防范系統(tǒng)研究.pdf
- 管理信息系統(tǒng)報(bào)告-教工餐廳信息系統(tǒng)
- xx信息系統(tǒng)安全風(fēng)險(xiǎn)分析與評(píng)估報(bào)告模板
- 信息系統(tǒng)安全評(píng)估管理系統(tǒng).pdf
- 信息系統(tǒng)安全評(píng)估管理系統(tǒng)(1)
- 企業(yè)信息系統(tǒng)評(píng)估研究.pdf
- xx信息系統(tǒng)安全風(fēng)險(xiǎn)分析與評(píng)估報(bào)告模板(公開)
- 信息系統(tǒng)風(fēng)險(xiǎn)分析與量化評(píng)估.pdf
- 信息系統(tǒng)規(guī)劃階段風(fēng)險(xiǎn)評(píng)估模型.pdf
- xx信息系統(tǒng)安全系統(tǒng)風(fēng)險(xiǎn)分析報(bào)告與評(píng)估報(bào)告材料實(shí)用模板(公開)
- 信息系統(tǒng)脆弱性評(píng)估研究.pdf
- 網(wǎng)絡(luò)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估方法研究.pdf
- 死因登記報(bào)告信息系統(tǒng)培訓(xùn)
- 管理信息系統(tǒng)設(shè)計(jì)報(bào)告
- 管理信息系統(tǒng)實(shí)踐報(bào)告
- 開題報(bào)告--信息管理與信息系統(tǒng)
評(píng)論
0/150
提交評(píng)論