freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

中海信托信息安全風(fēng)險評估及整改項目技術(shù)方案-資料下載頁

2025-04-26 12:07本頁面
  

【正文】 統(tǒng),為了更清晰地區(qū)別資產(chǎn)的安全屬性,網(wǎng)絡(luò)設(shè)備類資產(chǎn)不包括防火墻、VPN、網(wǎng)絡(luò)入侵檢測等網(wǎng)絡(luò)安全產(chǎn)品。 服務(wù)器服務(wù)器是指信息系統(tǒng)中承載業(yè)務(wù)系統(tǒng)和軟件的計算環(huán)境。包括大型機(jī)、小型機(jī)、Unix 服務(wù)器、Windows 服務(wù)器、移動計算設(shè)備、應(yīng)用加密機(jī)和磁盤陣列等計算設(shè)備硬件及其操作系統(tǒng)、數(shù)據(jù)庫。除此之外,行業(yè)特殊的設(shè)備,例如銀行的 ATM 等,也屬于主機(jī)系統(tǒng)。同一臺主機(jī)系統(tǒng),安裝兩種或以上操作系統(tǒng)(主要針對工作站、移動計北京天融信公司 第 52 頁算設(shè)備) ,并均能接入到網(wǎng)絡(luò)中的,應(yīng)視為多項主機(jī)系統(tǒng)信息資產(chǎn)。 工作站工作站是指信息系統(tǒng)中承載業(yè)務(wù)系統(tǒng)軟件客戶端軟件的計算環(huán)境和 OA 系統(tǒng)中個人用機(jī)。同一臺主機(jī)系統(tǒng),安裝兩種或以上操作系統(tǒng)(主要針對工作站、移動計算設(shè)備) ,并均能接入到網(wǎng)絡(luò)中的,應(yīng)視為多項主機(jī)系統(tǒng)信息資產(chǎn)。 安全設(shè)備安全設(shè)備主要指在信息系統(tǒng)中用作網(wǎng)絡(luò)安全保護(hù)用途的硬件設(shè)施和軟件系統(tǒng),包括:防火墻、VPN、網(wǎng)絡(luò)入侵檢測、網(wǎng)閘、防病毒系統(tǒng)以及相關(guān)系統(tǒng)的控制臺軟硬件設(shè)施。 存儲設(shè)備存儲設(shè)備主要指在信息系統(tǒng)中用作數(shù)據(jù)存儲用途的硬件設(shè)施和軟件系統(tǒng),并均能接入到網(wǎng)絡(luò)中的信息資產(chǎn)。包括:DAS、NAS、SAN 等軟硬件設(shè)施。 業(yè)務(wù)系統(tǒng)業(yè)務(wù)系統(tǒng)主要指為業(yè)務(wù)生產(chǎn)、管理支撐及辦公等業(yè)務(wù)需求提供服務(wù)的軟件系統(tǒng),此類資產(chǎn)在信息資產(chǎn)中占有非常重要的地位。本項目所指的業(yè)務(wù)系統(tǒng)是指獨立應(yīng)用、運作的系統(tǒng),例如短消息業(yè)務(wù)系統(tǒng)、MISC 系統(tǒng)、辦公自動化系統(tǒng)、管理信息系統(tǒng)等,網(wǎng)管系統(tǒng)等。業(yè)務(wù)系統(tǒng)屬于需要重點評估、保護(hù)的對象。業(yè)務(wù)系統(tǒng)作為獨立的資產(chǎn)存在的同時,對于其他資產(chǎn)又存在如下關(guān)系:? 作為“網(wǎng)絡(luò)設(shè)備、服務(wù)器、工作站、安全設(shè)備、存儲設(shè)備”資產(chǎn)的屬性之一列出。在其資產(chǎn)賦值時,作為考慮的因素。北京天融信公司 第 53 頁 應(yīng)用平臺軟件主要是指提供通用服務(wù)的各種平臺系統(tǒng),包括:數(shù)據(jù)庫WWW、Mail、FTP、DNS、以及專有的中間件產(chǎn)品等;通常將其所代表的安全屬性落實到如下部分來體現(xiàn):? 應(yīng)用平臺軟件作為“服務(wù)器、工作站、安全設(shè)備、存儲設(shè)備”資產(chǎn)的屬性之一列出,在進(jìn)行資產(chǎn)賦值和弱點的時候,作為考慮的因素。 數(shù)據(jù)及文檔數(shù)據(jù)及文檔主要指存在于電子媒介或紙制的各種數(shù)據(jù)和資料,包括源代碼、數(shù)據(jù)庫數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、客戶數(shù)據(jù)、各種數(shù)據(jù)資料、系統(tǒng)文檔、運行管理規(guī)程、計劃、報告、用戶手冊等。數(shù)據(jù)及文檔資產(chǎn)在信息資產(chǎn)中占有非常重要的地位,通常作為企業(yè)知識產(chǎn)權(quán)、競爭優(yōu)勢、商業(yè)秘密的載體。屬于需要重點評估、保護(hù)的對象。通常,數(shù)據(jù)及文檔類資產(chǎn)需要保護(hù)的安全屬性是機(jī)密性。例如,公司的財務(wù)信息和薪酬數(shù)據(jù)就是屬于高度機(jī)密性的數(shù)據(jù)。但是,完整性的重要性會隨著機(jī)密性的提高而提高。企業(yè)內(nèi)部對于數(shù)據(jù)類資產(chǎn)的分類方法通常根據(jù)數(shù)據(jù)的敏感性(Sensitivity)來進(jìn)行,與機(jī)密性非常類似。例如,下表是常用的一種數(shù)據(jù)分類方法:簡稱 解釋/舉例公開 Public 不需要任何保密機(jī)制和措施,可以公開使用(例如產(chǎn)品發(fā)表新聞等) 。內(nèi)部 Internal 公司內(nèi)部員工或文檔所屬部門使用,或文檔涉及的公司使用(例如合同等)秘密 Private 由和項目相關(guān)公司和客戶公司成員使用機(jī)密 Confidential 只有在文檔中指定的人員可使用,文檔的保管要在規(guī)定的時間內(nèi)受到控制絕密 Secret 非文檔的擬訂者或文檔的所有者及管理者,其他指定人員在使用文檔后迅速的按要求銷毀北京天融信公司 第 54 頁但是,由于數(shù)據(jù)及文檔數(shù)量巨大,且對其分類存在巨大的偏差和困難,通常將其所代表的安全屬性落實到如下部分來體現(xiàn):? 作為“服務(wù)器、工作站、存儲設(shè)備”資產(chǎn)的屬性之一列出。在進(jìn)行資產(chǎn)賦值和弱點及威脅分析的時候,作為考慮的因素。? 作為“組織和人員”資產(chǎn)的屬性之一列出。在進(jìn)行弱點及威脅分析的時候,作為考慮的因素。 組織和人員主要指企業(yè)與信息相關(guān)的人員和組織,包括各級安全組織,安全人員、各級管理人員,網(wǎng)管員,系統(tǒng)管理員,業(yè)務(wù)操作人員,第三方人員等與被評估信息系統(tǒng)相關(guān)人員和組織。組織和人員作為獨立的資產(chǎn)存在進(jìn)行識別,但不對其進(jìn)行資產(chǎn)賦值,對其安全性因素的考慮如下:? 作為“業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、服務(wù)器、工作站、安全設(shè)備、存儲設(shè)備”資產(chǎn)的屬性之一列出。主要指支持信息系統(tǒng)運行的環(huán)境的非 IT 類的設(shè)備,主要包括機(jī)房、UPS、空調(diào)、保險柜、文件柜、門禁、消防設(shè)施等。此處一般屬于物理安全的問題,主要的設(shè)備一般集中在機(jī)房內(nèi),所以評估時應(yīng)重點考慮機(jī)房提供的環(huán)境安全。物理環(huán)境與其他資產(chǎn)存在如下關(guān)系:? 物理位置作為“業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)設(shè)備、服務(wù)器、工作站、安全設(shè)備、存儲設(shè)備”資產(chǎn)的屬性之一列出。在其弱點及威脅評估時,作為考慮的因素。北京天融信公司 第 55 頁屬性 描述資產(chǎn)名稱 在一個業(yè)務(wù)系統(tǒng)中不能重名資產(chǎn)編號 全局唯一資產(chǎn)類型 資產(chǎn)的類別屬性包括服務(wù)器、工作站、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等資產(chǎn)子類型 子類型是對類型的進(jìn)一步說明,例如網(wǎng)絡(luò)設(shè)備中的路由器、交換機(jī)等操作系統(tǒng)類型 設(shè)備所承載的系統(tǒng)的類型,例如包括windows2022,windows2022,hpunix,aix,solaris 等操作系統(tǒng)版本號 各類操作系統(tǒng)的版本,例如 , 等操作系統(tǒng)補(bǔ)丁 各類操作系統(tǒng)的安全補(bǔ)丁信息應(yīng)用軟件平臺 應(yīng)用系統(tǒng)所需的應(yīng)用軟件,例如 WEB、J2EE等應(yīng)用平臺軟件版本 應(yīng)用軟件所對應(yīng)的相應(yīng)版本。應(yīng)用平臺軟件補(bǔ)丁 應(yīng)用軟件廠商發(fā)布的安全補(bǔ)丁。設(shè)備型號 網(wǎng)絡(luò)、服務(wù)器、工作站等的硬件設(shè)備型號設(shè)備工作方式 硬件、系統(tǒng)之間的工作方式,例如熱備、冷備、負(fù)載均衡等用途 信息資產(chǎn)的主要功能。資產(chǎn)所在地理位置 信息資產(chǎn)所處的地域、機(jī)房和機(jī)柜等資產(chǎn)所在業(yè)務(wù)系統(tǒng)和部門信息資產(chǎn)所屬的業(yè)務(wù)系統(tǒng)名稱和業(yè)務(wù)系統(tǒng)所屬的部門名稱網(wǎng)絡(luò)設(shè)備 服務(wù)器工作站安全設(shè)備存儲設(shè)備組織和人員業(yè)務(wù)系統(tǒng)北京天融信公司 第 56 頁資產(chǎn)責(zé)任人 信息資產(chǎn)在登記過程中的責(zé)任人。資產(chǎn)維護(hù)人 維護(hù)信息資產(chǎn)的人員名稱資產(chǎn)安全三性 安全屬性,機(jī)密性、完整性和可用性資產(chǎn)創(chuàng)建時間 信息資產(chǎn)入網(wǎng)的時間資產(chǎn)最后修改時間 信息資產(chǎn)功能修改、人員變換等信息更換的最后時間資產(chǎn)最后修改人 信息資產(chǎn)功能修改、人員變換等信息更換的修改人員名稱 保護(hù)對象框架一般來說,信息系統(tǒng)的資產(chǎn)數(shù)量十分龐大,為了更好的研究其計算機(jī)安全問題,還需要從龐大的信息資產(chǎn)中提煉出保護(hù)對象。保護(hù)對象框架是指以結(jié)構(gòu)化的方法表達(dá)信息系統(tǒng)的框架模型。所謂結(jié)構(gòu)化是指通過特定的結(jié)構(gòu)將問題拆分成子問題的迭代方法。例如“魚刺圖”或“問題樹” 。結(jié)構(gòu)化方法包括以下幾條基本原則:? 充分覆蓋所有子問題的總和必須覆蓋原問題。如果不能充分覆蓋,那么解決問題的方法就可能出現(xiàn)遺漏,嚴(yán)重影響本方法的可行性。? 互不重疊所有子問題都不允許出現(xiàn)重復(fù),類似以下的情況不應(yīng)出現(xiàn)在一個框架中:? 兩個不同的子問題其實是同一個子問題的兩種表述;? 某一個子問題其實是另外兩個問題或多個問題的合并;? 不可再細(xì)分所有子問題都必須細(xì)分到不能再被細(xì)分。當(dāng)一個問題經(jīng)過框架分析后,所有不可再細(xì)分的子問題構(gòu)成了一個“框架” 。保護(hù)對象的主要作用為:1. 有助于信息資產(chǎn)識別的全面性。在列舉信息資產(chǎn)時,保護(hù)對象框架有助于識別者系統(tǒng)的進(jìn)行思考;2. 從資產(chǎn)安全估價到區(qū)域的安全性賦值,有助于降低風(fēng)險分析的難度,同時確保風(fēng)險分析的有效性。北京天融信公司 第 57 頁 保護(hù)對象框架內(nèi)容保護(hù)對象框架主要包括計算區(qū)域、網(wǎng)絡(luò)及基礎(chǔ)設(shè)施、邊界、支撐性基礎(chǔ)設(shè)施四部分;計算區(qū)域還可作為下一級保護(hù)對象,向下細(xì)分為下一級計算區(qū)域、網(wǎng)絡(luò)及基礎(chǔ)設(shè)施、邊界、支撐性基礎(chǔ)設(shè)施。1)計算區(qū)域 ? 計算區(qū)域是指由相同功能集合在一起,安全價值相近,且面臨相似的威脅來源的一組信息系統(tǒng)組成。? 同一計算區(qū)域內(nèi)的信息資產(chǎn)在安全性上具有較強(qiáng)的同質(zhì)性。計算區(qū)域還可以按照安全性能進(jìn)一步細(xì)分,直至到安全性完全同質(zhì)。2)網(wǎng)絡(luò)及基礎(chǔ)設(shè)施 ? 網(wǎng)絡(luò)及基礎(chǔ)設(shè)施是指相同功能集合在一起,安全價值相近,且面臨相似的威脅來源的一組網(wǎng)絡(luò)系統(tǒng)組成。通常包括路由器,交換機(jī)和防火墻等提供網(wǎng)路服務(wù)的局域網(wǎng)和廣域網(wǎng)。3)邊界 ? 邊界是指兩個區(qū)域或兩組區(qū)域之間的隔離功能集。邊界是一組功能集合,包括訪問控制,身份認(rèn)證等。4)支撐性基礎(chǔ)設(shè)施 ? 支撐性基礎(chǔ)設(shè)施是指在區(qū)域內(nèi)提供安全保障功能的功能集。支撐性基礎(chǔ)設(shè)施是一組功能集合,包括入侵檢測、審計及計算機(jī)病毒防護(hù)等。 保護(hù)對象和信息資產(chǎn)保護(hù)對象框架就是信息系統(tǒng)的真實模型,計算區(qū)域、網(wǎng)絡(luò)與基礎(chǔ)設(shè)施作為保護(hù)對象框架的兩類基本元素,分別對應(yīng)了不同信息資產(chǎn)的集合。? 計算區(qū)域:對應(yīng)信息資產(chǎn),通常包括:工作站、存儲設(shè)備,服務(wù)器,安全設(shè)備(不具有訪問控制及邊界隔離功能) ;當(dāng)計算區(qū)域作為一級保護(hù)對象框架時,應(yīng)按照保護(hù)對象框架的思路向下繼續(xù)分解。? 網(wǎng)絡(luò)與基礎(chǔ)設(shè)施:對應(yīng)信息資產(chǎn),通常包括:網(wǎng)絡(luò)設(shè)備,安全設(shè)備(具北京天融信公司 第 58 頁有訪問控制及邊界隔離功能) 。? 邊界:對應(yīng)信息資產(chǎn),通常包括: 網(wǎng)絡(luò)設(shè)備(具有訪問控制及邊界隔離的功能模塊),安全設(shè)備(具有訪問控制及邊界隔離功能) 。? 支撐性基礎(chǔ)設(shè)施:對應(yīng)信息資產(chǎn),通常包括:安全設(shè)備(不具有訪問控制及邊界隔離功能)如上信息資產(chǎn)和保護(hù)對象框架的關(guān)系,都為各類信息資產(chǎn)的一個或多個屬性。對于業(yè)務(wù)系統(tǒng)資產(chǎn)來說,在確立保護(hù)對象框架時,可以將其作為一個獨立的保護(hù)對象來看待。對于組織和人員資產(chǎn),通過業(yè)務(wù)系統(tǒng)的屬性和相應(yīng)的保護(hù)對象框架相關(guān)聯(lián)。 資產(chǎn)識別過程 繪制拓?fù)鋱D資產(chǎn)識別的首要步驟是繪制拓?fù)鋱D。在拓?fù)鋱D中盡可能真實地描繪拓?fù)鋱D。一般來說,拓?fù)鋱D越詳細(xì),資產(chǎn)識別的精度也就越高。如果系統(tǒng)非常復(fù)雜,一張拓?fù)鋱D很難描述清楚,則應(yīng)采用多張拓?fù)鋱D。在安全咨詢項目中,顧問應(yīng)要求用戶首先提供用戶事先拓?fù)鋱D。并以此為基礎(chǔ)改成標(biāo)準(zhǔn)化的拓?fù)鋱D。 確定業(yè)務(wù)系統(tǒng)繪制拓?fù)鋱D以后,通過訪談等方式,確定業(yè)務(wù)系統(tǒng),且識別業(yè)務(wù)系統(tǒng)的功能類型。 確定第一層保護(hù)對象框架根據(jù)業(yè)務(wù)系統(tǒng)的各服務(wù)功能,對劃分出第一層保護(hù)對象框架,劃分的原則:北京天融信公司 第 59 頁? 根據(jù)業(yè)務(wù)的類型:比如是生產(chǎn)業(yè)務(wù),管理支撐業(yè)務(wù),還是辦公業(yè)務(wù)等。? 根據(jù)業(yè)務(wù)的重要性:比如核心區(qū)域,非核心區(qū)域等。? 劃分出存在哪些外部區(qū)域 確定第二層保護(hù)對象框架第二層保護(hù)對象框架在第一層的區(qū)域內(nèi)劃分,劃分原則: ? 通常依據(jù)業(yè)務(wù)系統(tǒng)及其提供的功能特性 順序識別資產(chǎn)識別出系統(tǒng)級保護(hù)對象框架后,才真正開始進(jìn)行資產(chǎn)識別。在這一階段,根據(jù)信息資產(chǎn)的種類來進(jìn)行識別。并將其歸屬入相應(yīng)的保護(hù)對象框架,或在過程中創(chuàng)建下一級保護(hù)對象框架。 信息資產(chǎn)賦值信息資產(chǎn)識別完成后,形成了一個信息資產(chǎn)的清單,但對于大型組織來說,信息資產(chǎn)數(shù)目十分龐大,所以需要確認(rèn)資產(chǎn)的價值和重要性,重點保護(hù)關(guān)鍵的、重要的資產(chǎn),并便于進(jìn)一步考察資產(chǎn)相關(guān)的弱點、威脅和風(fēng)險屬性,并進(jìn)行量化,因此需要對資產(chǎn)進(jìn)行估價。安全風(fēng)險評估中所指的信息資產(chǎn)價值有別于資產(chǎn)的帳面價值和重置價值,而是指資產(chǎn)在安全方面的相對價值。本文中所指的信息資產(chǎn)價值全部都表示相對價值。在本文中,信息資產(chǎn)的安全價值主要是指其機(jī)密性、完整性和可用性。資產(chǎn)的安全價值具有很強(qiáng)的時間特性,所以應(yīng)該根據(jù)時間變化的頻度制定資產(chǎn)相關(guān)的評估和安全策略的頻度。例如,某公司重要的市場活動策劃方案(數(shù)據(jù)資產(chǎn)) ,在活動開始之前,為達(dá)成市場目標(biāo),需要對該數(shù)據(jù)資產(chǎn)進(jìn)行機(jī)密性、完整性和可用性方面的保護(hù)。但是在該活動之后,策劃已經(jīng)基本上都傳達(dá)給了大眾,所以資產(chǎn)價值已經(jīng)大部分消失,相關(guān)的安全屬性也失去保護(hù)意義。北京天融信公司 第 60 頁 信息資產(chǎn)估價方法信息資產(chǎn)估價的方法有定性、半定量、定量三種,鑒于定量估價的巨大工作量和技術(shù)難度,所以采用定性估價的方法。信息資產(chǎn)分別具有不同的安全屬性,機(jī)密性、完整性和可用性分別反映了資產(chǎn)在三個不同方面的特性。安全屬性的不同通常也意味著安全控制、保護(hù)功能需求的不同。通過考察三種不同安全屬性,可以得出一個能夠基本反映資產(chǎn)價值的定性的數(shù)值。在信息資產(chǎn)估價時,主要對資產(chǎn)的這三個安全屬性分別賦予
點擊復(fù)制文檔內(nèi)容
規(guī)章制度相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖鄂ICP備17016276號-1