当前位置:文档之家 › 网络信息安全评估报告

网络信息安全评估报告

  • 格式:docx
  • 大小:37.57 KB
  • 文档页数:3

下载文档原格式

  / 3
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

计算机信息安全评估报告

如何实现如下图所示

可用性1.人们通常采用一些技术措施或网络安全设备来实现这些目标。例如:

使用防火墙,把攻击者阻挡在网络外部,让他们“进不来”。

即使攻击者进入了网络内部,由于有加密机制,会使他们“改不了”和“拿不走”关

键信息和资源。

机密性2机密性将对敏感数据的访问权限控制在那些经授权的个人,只有他们才能查

看数据。机密性可防止向未经授权的个人泄露信息,或防止信息被加工。

如图所示,“进不来”和“看不懂”都实现了信息系统的机密性。

人们使用口令对进入系统的用户进行身份鉴别,非法用户没有口令就“进不来”,这就保证了信息系统的机密性。

即使攻击者破解了口令,而进入系统,加密机制也会使得他们“看不懂”关键信息。

例如,甲给乙发送加密文件,只有乙通过解密才能读懂其内容,其他人看到的是乱码。由此便实现了信息的机密性。

完整性3如图所示,“改不了”和“拿不走”都实现了信息系统的完整性。使用加密机制,可以保证信息系统的完整性,攻击者无法对加密信息进行修改或者复制。

不可抵赖性4如图所示,“跑不掉”就实现了信息系统的不可抵赖性。如果攻击者进

行了非法操作,系统管理员使用审计机制或签名机制也可让他们无所遁形

对考试的机房进行“管理制度”评估。

(1)评估说明

为规范管理,保障计算机设备的正常运行,创造良好的上机环境,必须制定相关的管理制度(2)评估内容

没有建立相应信息系统运行管理规程、缺陷管理制度、统计汇报制度、运维流程、值班制度,没有实行工作票制度;机房出入管理制度上墙,但没有机房进出情况记录

(3)评估分析报告

所存在问题:1没有系统的相关负责人,机房也是谁人都可以自由出入。2在上机过程中做与学习无关的工作。3机房财产规划不健全等

(4)评估建议

1、计算机室的管理由系统管理员负责,非机房工作人员未经允许不准进入。未经许可不

得擅自上机操作和对运行设备及各种配置进行更改。 2、保持机房内清洁、安静,严禁机房内吸烟、吐痰以及大声喧哗;严禁将易燃、易爆、易污染和强磁物品带入机房。 3、机房内的一切物品,未经管理员同意,不得随意挪动,拆卸和带出机房。 4、上机时,应先认真检查机器情况,如有问题应及时向机房管理员反应。 5、上机人员不得在机房

内进行与上机考试无关的计算机操作。 6、上机时应按规定操作,故意或因操作不当造成设备损坏,除照价赔偿外,视情节轻重给予处罚。

对考试的机房进行“物理安全”评估。

(1)评估说明

防火,防水,防尘,防腐蚀,主机房安装门禁、监控与报警系统。

(2)评估内容主机房没有安装门禁、监控系统,有消防报警系统。

(3)评估分析报告

没有详细的机房配线图,机房供电系统将动力、照明用电与计算机系统供电线路是分开的,机房没有配备应急照明装置,有定期对UPS的运行状况进行检测但没有检测记录。(4)评估建议

有详细的机房配线图,机房供电系统将动力、照明用电与计算机系统供电线路分开,机房配备应急照明装置,定期对UPS的运行状况进行检测(查看半年内检测记录)

对考试的机房进行“计算机系统安全”评估。

(1)评估说明

应用系统的角色、权限分配有记录;用户账户的变更、修改、注销有记录(半年记录情况);关键应用系统的数据功能操作进行审计并进行长期存储;对关键应用系统有应急预案;关键应用系统管理员账户、用户账户口令定期进行变更;新系统上线前进行安全性测试。

(2)评估内容

营销系统的角色、权限分配有记录,其余系统没有;用户账户的变更、修改、注销没有记录;关键应用系统的数据功能操作没有进行审计;没有针对关键应用系统的应急预案;

关键应用系统管理员账户、用户账户口令有定期进行变更;有些新系统上线前没有进行过安全性测试。

(3)评估分析报告

网络中的防火墙位置部署合理,防火墙规则配置符合安全要求,防火墙规则配置的建立、更改有规范申请、审核、审批流程,对防火墙日志进行存储、备份。

(4)评估建议

完善系统的角色、权限分配有记录;记录用户账户的变更、修改、注销(半年记录情况);

关键应用系统的数据功能操作进行审计;制定针对关键应用系统的应急预案;关键应用系统管理员账户、用户账户口令定期进行变更;新系统上线前应严格按照相关标准进行安全性测试。

对考试的机房进行“网络与通信安全”评估。

(1)评估说明

按标准部署身份认证系统、安全管理平台、针对安全设备的日志服务器,采用漏洞扫描系统,重要系统一年进行一次信息安全风险评估。

(2)评估内容

没有部署身份认证系统、安全管理平台,没有漏洞扫描系统,重要系统没有进行信息安全风险评估,没有部署针对安全设备的日志服务器。

(3)评估分析报告

按标准部署身份认证系统、安全管理平台、针对安全设备的日志服务器,采用漏洞扫描系统,重要系统一年进行一次信息安全风险评估。

(4)评估建议

部署身份认证系统、安全管理平台,采用漏洞扫描系统,重要系统一年内进行信息安全风险评估,部署针对安全设备的日志服务器。

信息安全评估:

对考试的机房进行“日志与统计安全”评估。

(1)评估说明

每天计算机上机记录日志在册,对系统进行不定时的还原。对本局半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录,形成本单位的安全事件列表

(2)评估内容

已成立了信息安全领导机构,但尚未成立信息安全工作机构。

(3)评估分析报告

局域网核心交换设备、城域网核心路由设备应采取设备冗余或准备备用设备,不允许外联链路绕过防火墙,具有当前准确的网络拓扑结构图

(4)评估建议

完善信息安全组织机构,成立信息安全工作机构。

合集下载

相关主题