信息系統(tǒng)威脅評(píng)估報(bào)告_第1頁(yè)
已閱讀1頁(yè),還剩14頁(yè)未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、<p>  密 級(jí): 內(nèi)部</p><p>  文檔編號(hào):2007002-009</p><p>  項(xiàng)目編號(hào):2007002</p><p>  XX市地稅局信息系統(tǒng)</p><p><b>  威脅評(píng)估報(bào)告</b></p><p><b>  目 錄</b&g

2、t;</p><p><b>  1概述3</b></p><p>  2威脅獲取方法3</p><p>  3威脅來源及性質(zhì)劃分4</p><p>  3.1威脅來源4</p><p>  3.2根據(jù)安全威脅產(chǎn)生的來源劃分6</p><p><b

3、>  4威脅賦值7</b></p><p>  4.1威脅屬性7</p><p>  4.2威脅可能性賦值8</p><p>  4.3威脅影響性賦值11</p><p>  4.4威脅最終賦值14</p><p><b>  概述</b></p>

4、<p>  根據(jù)《XX省人民政府信息化工作辦公室關(guān)于印發(fā)<信息安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作實(shí)施方案>的通知》文件精神,XX省信息安全測(cè)評(píng)中心承擔(dān)了XX市地稅局“征管信息系統(tǒng)”的風(fēng)險(xiǎn)評(píng)估工作。我中心以建立符合我省情況的風(fēng)險(xiǎn)評(píng)估方法、積累風(fēng)險(xiǎn)評(píng)估工作經(jīng)驗(yàn)、培養(yǎng)隊(duì)伍、協(xié)助XX市地稅局更深入地了解其信息系統(tǒng)安全現(xiàn)狀為目標(biāo),通過文檔分析、現(xiàn)場(chǎng)訪談、問卷調(diào)查、技術(shù)評(píng)估等方法,對(duì)XX市地稅局“征管信息系統(tǒng)”進(jìn)行了全面的信息安全風(fēng)險(xiǎn)評(píng)

5、估。</p><p>  安全威脅是一種對(duì)系統(tǒng)、組織及其資產(chǎn)構(gòu)成潛在破壞能力的可能性因素或者事件。產(chǎn)生安全威脅的主要因素可以分為人為因素和環(huán)境因素。人為因素包括有意的和無意的因素。環(huán)境因素包括自然界的不可抗力因素和其它物理因素。</p><p>  威脅可能源于對(duì)信息系統(tǒng)直接或間接的攻擊,例如非授權(quán)的泄露、篡改、刪除等,在機(jī)密性、完整性或可用性等方面造成損害。威脅也可能源于偶發(fā)的、或蓄意的

6、事件。一般來說,威脅總是要利用網(wǎng)絡(luò)中的系統(tǒng)、應(yīng)用或服務(wù)的弱點(diǎn)才可能成功地對(duì)資產(chǎn)造成傷害。</p><p>  威脅是對(duì)組織的資產(chǎn)引起不期望事件而造成的損害的潛在可能性。在安全風(fēng)險(xiǎn)評(píng)估方法論中,威脅評(píng)估采用了威脅的可能性值。</p><p><b>  威脅獲取方法</b></p><p>  安全威脅獲取的方法有:白客滲透測(cè)試(Penetrat

7、ion Testing)、安全策略文檔審閱、人員面談、入侵檢測(cè)系統(tǒng)收集的信息和人工分析等。聯(lián)想顧問可以根據(jù)具體的評(píng)估對(duì)象、評(píng)估目的選擇具體的安全威脅獲取方式。經(jīng)過研究,本項(xiàng)目采取了顧問訪談、安全策略文檔審閱、人工分析和模擬攻擊測(cè)試相結(jié)合的方法來獲取資產(chǎn)存在的安全威脅,并根據(jù)專家經(jīng)驗(yàn)進(jìn)行賦值。原擬采用的利用入侵監(jiān)測(cè)系統(tǒng)收集威脅信息由于使用時(shí)間不足而不采用。</p><p>  威脅發(fā)現(xiàn)方法列表如下:</p&g

8、t;<p><b>  威脅來源及性質(zhì)劃分</b></p><p>  威脅可以通過威脅主體、資源、動(dòng)機(jī)、途徑等多種屬性來描述。造成威脅的因素可分為人為因素和環(huán)境因素。根據(jù)威脅的動(dòng)機(jī),人為因素又可分為惡意和非惡意兩種。環(huán)境因素包括自然界不可抗的因素和其它物理因素。威脅作用形式可以是對(duì)信息系統(tǒng)直接或間接的攻擊,在保密性、完整性或可用性等方面造成損害;也可能是偶發(fā)的、或蓄意的事件。

9、</p><p>  在對(duì)威脅進(jìn)行分類前,應(yīng)考慮威脅的來源。表提供了一種威脅來源的分類方法。</p><p><b>  威脅來源</b></p><p><b>  威脅來源列表</b></p><p>  經(jīng)過訪談和分析,確認(rèn)下述為XX市地稅局的重點(diǎn)威脅來源,在整個(gè)評(píng)估項(xiàng)目中將重點(diǎn)考慮如下威脅來

10、源。在接下來的威脅分析中將進(jìn)一步詳細(xì)分析,并確認(rèn)其主要的威脅方式和賦值。</p><p><b>  設(shè)備故障</b></p><p>  粗心、好奇或培訓(xùn)不足的雇員</p><p><b>  內(nèi)部人員犯罪</b></p><p><b>  惡意第三方</b></p&

11、gt;<p><b>  環(huán)境因素</b></p><p><b>  不滿的雇員</b></p><p>  根據(jù)安全威脅產(chǎn)生的來源劃分</p><p>  參照國(guó)家風(fēng)險(xiǎn)評(píng)估相關(guān)規(guī)范中的定義對(duì)安全威脅的產(chǎn)生來源和原因進(jìn)行劃分,可以分為以下幾個(gè)方面:</p><p><b>

12、  威脅賦值</b></p><p><b>  威脅屬性</b></p><p>  威脅具有兩個(gè)屬性:可能性(Likelihood)、影響(Influence)。進(jìn)一步,可能性和損失可以被賦予一個(gè)數(shù)值,來表示該屬性。參照下表。</p><p>  可能性屬性賦值參考表</p><p><b> 

13、 影響賦值參考表</b></p><p>  可能性屬性非常難以度量,它依賴于具體的資產(chǎn)、弱點(diǎn)和影響。該屬性還和時(shí)間有關(guān)系。最終表現(xiàn)出來的威脅是兩個(gè)屬性的共同作用;另外,在威脅評(píng)估中,評(píng)估者的專家經(jīng)驗(yàn)非常重要。</p><p>  在本項(xiàng)目中,可以參照下面的矩陣進(jìn)行威脅最終定值:</p><p><b>  威脅可能性賦值</b>&

14、lt;/p><p>  判斷威脅出現(xiàn)的頻率是威脅賦值的重要內(nèi)容,評(píng)估者應(yīng)根據(jù)經(jīng)驗(yàn)和有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來進(jìn)行判斷。在評(píng)估中,需要綜合考慮以下三個(gè)方面,以形成在某種評(píng)估環(huán)境中各種威脅出現(xiàn)的頻率:</p><p>  以往安全事件報(bào)告中出現(xiàn)過的威脅及其頻率的統(tǒng)計(jì);</p><p>  實(shí)際環(huán)境中通過檢測(cè)工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計(jì);</p><p&

15、gt;  近一兩年來國(guó)際組織發(fā)布的對(duì)于整個(gè)社會(huì)或特定行業(yè)的威脅及其頻率統(tǒng)計(jì),以及發(fā)布的威脅預(yù)警;</p><p>  可以對(duì)威脅出現(xiàn)的頻率進(jìn)行等級(jí)化處理,不同等級(jí)分別代表威脅出現(xiàn)的頻率的高低。等級(jí)數(shù)值越大,威脅出現(xiàn)的頻率越高;</p><p>  表提供了威脅出現(xiàn)頻率的一種賦值方法。在實(shí)際的評(píng)估中,威脅頻率的判斷依據(jù)應(yīng)在評(píng)估準(zhǔn)備階段根據(jù)歷史統(tǒng)計(jì)或行業(yè)判斷予以確定,并得到被評(píng)估方的認(rèn)可。&l

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫(kù)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論