IT貓撲網(wǎng)：您身邊最放心的安全下載站！ 最新更新|軟件分類|軟件專題|手機(jī)版|論壇轉(zhuǎn)貼|軟件發(fā)布

首頁 常用軟件 軟件下載 安卓下載 蘋果下載 MAC下載 文章教程 軟件專題 排行榜

游戲攻略 游戲資訊 應(yīng)用教程 服務(wù)器 網(wǎng)絡(luò)編程 數(shù)據(jù)庫 路由交換 網(wǎng)絡(luò)安全 系統(tǒng)集成 操作系統(tǒng)

ssd測試軟件 autocad 虛擬打印機(jī) 宋體字體 視頻轉(zhuǎn)換器 Project 2010

您當(dāng)前所在位置：首頁 → 系統(tǒng)集成 → 網(wǎng)絡(luò)管理 → 信息系統(tǒng)安全風(fēng)險評估應(yīng)用：評估過程

信息系統(tǒng)安全風(fēng)險評估應(yīng)用：評估過程

時間：2015/6/28來源：IT貓撲網(wǎng)作者：網(wǎng)管聯(lián)盟我要評論(0)

信息的安全防范工作一直是整個信息系統(tǒng)安全防范工作中的重點(diǎn)之一。在本文中就以信息安全風(fēng)險評估對象中的網(wǎng)絡(luò)操作痕跡信息檢查為評估項目，來說明一次安全風(fēng)險評估該如何具體地去做。

一、安全風(fēng)險評估準(zhǔn)備階段

在每次風(fēng)險評估開始之前，一個最好的保證評估過程順利完成，評估結(jié)果真實(shí)有效的方法，就得為此制定一個風(fēng)險評估策略。但如果只是對某個獨(dú)立的或者是臨時決定的小評估項目進(jìn)行風(fēng)險評估，而且你和你的評估團(tuán)隊以前經(jīng)常對些小評估項目進(jìn)行風(fēng)險評估，那么，只要為它做一些相應(yīng)的準(zhǔn)備工作就可以直接進(jìn)行評估了。

風(fēng)險評估策略的具體內(nèi)容是根據(jù)實(shí)際的評估對象和評估項目來決定的，因此，不同的評估對象的風(fēng)險評估策略是不相同，就是同一評估對象，如果評估的具體項目不同，其風(fēng)險評估策略也不會相同。

1、制定風(fēng)險評估策略

一個好的風(fēng)險評估策略，應(yīng)當(dāng)包括下列所示的內(nèi)容：

（1）、指定評估小組成員

信息風(fēng)險評估小組擔(dān)負(fù)著機(jī)構(gòu)的風(fēng)險評估工作，其成員要能代表整個機(jī)構(gòu)。同時，成員必需在人員安全評估（確定某個人員可以信任風(fēng)險評估工作）通過后確定。具體的成員應(yīng)當(dāng)包括：IT部門主管、風(fēng)險評估負(fù)責(zé)人、系統(tǒng)或網(wǎng)絡(luò)管理員、信息安全技術(shù)人員，還可以包括安全產(chǎn)品供應(yīng)商代表及合作伙伴代表等。

評估人員確定后，就要分配相應(yīng)的評估任務(wù)給具體的人員。確定每個評估人員各自的職責(zé)，所要承擔(dān)的法律責(zé)任，并做成文檔分發(fā)到每個評估人員手中。同時，要為評估任務(wù)指定一個總的負(fù)責(zé)人，來監(jiān)督整個評估過程，并協(xié)調(diào)處理評估過程中出現(xiàn)的臨時狀況。還要說明評估結(jié)果的填寫和上報方式，如說明每個評估人員完成自己的評測任務(wù)，填上評測結(jié)果后，當(dāng)上交給風(fēng)險評估負(fù)責(zé)人時，還應(yīng)當(dāng)與負(fù)責(zé)人一同簽名才能有效。

（2）、確定風(fēng)險評估的范圍和目的

確定風(fēng)險評估的范圍也就是指指定具體的評估對象和評估項目，風(fēng)險評估的目的就是指此次風(fēng)險評估要達(dá)到的期望值。風(fēng)險評估的目的和范圍是相輔相成的，只有指定了評估對象中評估項目的風(fēng)險評估目的，才知道需要什么樣的評估任務(wù)來達(dá)到這個目的，也就圈定了具體的評估范圍。也只有確定了風(fēng)險評估的范圍和目的，我們的風(fēng)險評估才能有的放矢地進(jìn)行。

在本例中，我們的評估對象是信息安全風(fēng)險評估；評估項目是網(wǎng)絡(luò)操作痕跡信息檢查；評估的目的是檢查網(wǎng)絡(luò)中遺留的網(wǎng)絡(luò)操作痕跡信息中是否含有機(jī)構(gòu)內(nèi)部機(jī)密；具體的評估任務(wù)有：

①、檢查機(jī)構(gòu)內(nèi)部員工WEB數(shù)據(jù)庫和緩存中的內(nèi)容；

②、檢查機(jī)構(gòu)內(nèi)部員工是否通過個人主頁、博客、論壇，以及發(fā)布網(wǎng)絡(luò)求職簡歷的方式，透露了機(jī)構(gòu)的組織結(jié)構(gòu)，或其它機(jī)構(gòu)內(nèi)部機(jī)密信息；

③、調(diào)查機(jī)構(gòu)內(nèi)部員工是否在使用私人電子郵箱，并且在法律允許的條件下，檢查員工是否通過機(jī)構(gòu)分配的電子郵件發(fā)送機(jī)構(gòu)內(nèi)部機(jī)密信息；

④、了解機(jī)構(gòu)內(nèi)部員工的計算機(jī)技術(shù)水平，以及了解計算機(jī)技術(shù)水平較高的員工所處的部門及其操作權(quán)限；

⑤、調(diào)查機(jī)構(gòu)內(nèi)部員工是否在工作時間使用即時通信工具，并在法律條件允許的條件下監(jiān)控即時通信的內(nèi)容；

⑥、使用互聯(lián)網(wǎng)搜索引擎查找網(wǎng)絡(luò)中是否存在與機(jī)構(gòu)相關(guān)的機(jī)密信息，或者可以在各種特定的新聞組、論壇及博客中搜索；

⑦、檢查機(jī)構(gòu)內(nèi)部員工是否在使用P2P軟件，在法律條件允許下審查P2P通信內(nèi)容。

（3）、確定本次評估任務(wù)的開始和結(jié)束的具體日期和時間，如有可能，還有決定具體的風(fēng)險評估時間，并在風(fēng)險評估文檔中留出相應(yīng)的位置用來標(biāo)明評估工作的開始和結(jié)束時間。

（4）、考慮一些在風(fēng)險評估過程中可能發(fā)生的情況，以不影響正常的業(yè)務(wù)為基本條件。應(yīng)當(dāng)為此制定一個應(yīng)對有可能造成業(yè)務(wù)中斷，或造成真實(shí)安全事件發(fā)生事件時的應(yīng)急措施。

2、根據(jù)評估項目和要完成的評估任務(wù)制作風(fēng)險評估表單

風(fēng)險評估表單就是在一張表單上將要評估的項目及評估任務(wù)一一列出，然后在進(jìn)行具體的風(fēng)險評估時，就可以按表單中的內(nèi)容來依次進(jìn)行。圖2.1就是網(wǎng)絡(luò)操作痕跡信息檢查評估項目的風(fēng)險評估表單。

圖2.1 網(wǎng)絡(luò)操作痕跡信息檢查的風(fēng)險評估表單    

信息安全風(fēng)險評估
評估項目：			網(wǎng)絡(luò)操作痕跡信息檢查
評估的目的：			檢查網(wǎng)絡(luò)中遺留的網(wǎng)絡(luò)操作痕跡信息中是否含有機(jī)構(gòu)內(nèi)部機(jī)密
相關(guān)閱讀 文章評論 查看所有0條評論>> 發(fā)表評論 我來說兩句... 提交評論 熱門文章 路由器地址大全-各品牌路由設(shè)置地址各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密Nslookup命令詳解-域名DNS診斷站長裝備：十大網(wǎng)站管理員服務(wù)器工具軟件 相關(guān)下載 人氣排行 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼路由器地址大全-各品牌路由設(shè)置地址騰達(dá)路由器怎么設(shè)置？騰達(dá)路由器設(shè)置教程ADSL雙線負(fù)載均衡設(shè)置詳細(xì)圖文教程路由表說明(詳解route print)網(wǎng)管員實(shí)際工作的一天用此方法讓2M帶寬下載速度達(dá)到250K/S左右網(wǎng)管必會！了解交換機(jī)控制端口流量 關(guān)于我們| 下載幫助| 下載聲明| 版權(quán)聲明| 合作伙伴| 廣告服務(wù)| 友情連接| 聯(lián)系我們| 網(wǎng)站地圖 Copyright © 2006-2021 綠軟下載站（ygkjgt7.cn）All Rights Reserved 備案編號：鄂ICP備11008024號