. . .
研发部门 财务部门 销售部门 人力资源部门 总经理 z
. . .
5 风险评估 5.1 评估工作概述
我公司于2016年6月开展了网络安全解决方案工作,本次风险评估工作主要依托于研发部门的技术人员开展,销售部门、财务部门、人力资源部门、公司老总参与了该项工作。
5.1.1 评估围
本次评估为我公司的网络结构。
该网络结构是在公司成立初期建立的,建设目标是便于公司成员进行部交流和与外界进行通信,并且管理部门能方便的进行管理。
使用该网络结构的部门包括研发部门、销售部门、财务部门、人力资源部门和公司老总,日常用户数为100人左右;管理该网络结构的部门主要为研发部门和公司老总,其中研发部门主要负责网络结构的搭建和维护,公司老总主要负责网络结构的管理。
5.1.2 评估组织
我公司专门成立了自评估工作小组负责开展本次评估工作,自评估工作小组组长(最高管理者代表)由陶杰担任,评估项目负责人由雷丹担任,工作小组下设资产识别小组、脆弱性识别小组、风险分析小组和应急响应小组,人员组成情况如下:
表5.1 人员组成表 组名 资产识别小组 脆弱性识别小组 威胁识别小组 风险分析小组 应急响应小组 小组组长 陶杰 雷丹 王浩骅 陶杰 雷丹
z
成员 王浩骅 陶杰 雷丹 王浩骅 陶杰
. . .
5.2 评估依据和标准
1) 信息安全技术 信息安全风险评估规(GB/T20984-2007) 2) 信息技术安全技术信息技术安全性评估准则(GB/T18336-2001) 3) 电子计算机场地通用规(GB/T2887-2000) 4) 计算机场地安全要求(GB9361-1989)
5) 信息技术 安全技术 信息技术安全性评估准则 (GB/T 18336-2001) 6) 信息技术 信息技术安全管理指南 (GB/T 19715.1-2005) 7) 信息技术 信息安全管理实用规则(GB/T 19716-2005) 8) 信息安全技术 操作系统安全评估准则(GB/T 20008-2005) 9) 信息安全技术 包过滤防火墙评估准则(GB/T 20010-2005) 10) 信息安全技术 路由器安全评估准则(GB/T 20011-2005) 11) 信息安全技术 信息系统安全管理要求(GB/T 20269-2006) 12) 信息安全技术 网络基础安全技术要求(GB/T 20270-2006) 13) 信息安全技术 信息系统通用安全技术要求(GB/T 20271-2006) 14) 信息安全技术 操作系统安全技术要求(GB/T 20272-2006) 15) 信息安全技术 数据库管理系统安全技术要求(GB/T 20273-2006) 16) 信息安全技术 网络和终端设备隔离部件测试评价方法(GB/T 20277-2006) 17) 信息安全技术 网络和终端设备隔离部件安全技术要求(GB/T 20279-2006) 18) 信息安全技术 防火墙技术要求和测试评价方法(GB/T 20281-2006) 19) 信息安全技术 信息系统安全工程管理要求(GB/T 20282-2006) 20) 信息安全技术 路由器安全技术要求(GB/T 18018-2007)
21) 信息安全技术 信息系统安全审计产品技术要求和评价方法(GB/T20945-2007) 22) 信息技术 安全技术 信息安全事件管理指南(GB/Z 20985-2007) 23) 信息安全技术 信息安全事件分类分级指南(GB/Z 20986-2007) 24) 信息安全技术 服务器安全技术要求(GB/T 21028-2007) 25) 信息安全技术 网络交换机安全技术要求(GB/T 21050-2007) 26) 信息技术——信息安全管理实施细则(ISO/IEC 17799:2000) 27) 信息技术——信息安全管理实施规(ISO/IEC 27001:2005)
z
. . .
28) 各种检查机构运作的一般规则(ISO-IEC 17020-2004)
5.3 资产识别
5.3.1 资产识别容和方法
资产识别小组召集财务部、销售部、人力资源部、研发部和公司老总等网络结构的使用部门以及网络结构的管理部门研发部的主要工作人员对评估围的资产进行了逐项分析,比对财务资产清单,结合系统运行现状,识别出评估围的信息资产,形成了资产识别表;参考《资产重要性程度判断准则》为每个资产进行了重要性程度赋值。资产识别和赋值结果记录在资产识别表中。
表5.2 硬件资产识别表 资产识别表 -- 硬件资产 序号 1 2 3 4 5 6 7 8 资产名称 核心路由器 核心交换机 数据中心交换机 汇聚交换机 接入交换机 无线AP 服务器 个人PC 资产编号 S001 S002 S003 S004 S005 S006 S007 S008 责任人 三 三 三 三 三 三 三 三 应用描述 核心路由 核心交换机 交换机 交换机 交换机 无线接入点 服务器 PC 重要性程度 5 5 5 2 2 3 5 3 备注 Cisco 7206 Cisco 6509 Nexus 7000 Cisco3560 Cisco2960 Cisco AIR系列 浪潮天梭 联想扬天 华为9 磁盘阵列 S009 三 磁盘组 5 OceanStor 研发部 部门 研发部 研发部 研发部 研发部 研发部 研发部 研发部 研发部 z
. . .
10 11 12 13 14 15 16 17 18 19 20 移动硬盘 U盘 光纤 双绞线 UPS PDU电源分配器 精密空调 打印机 投影仪 液晶显示器 防火墙 S010 S011 S012 S013 S014 S015 S016 S017 S018 S019 S020 三 三 三 三 三 三 三 三 三 三 三
移动硬盘 U盘 光纤 双绞线 UPS PDU电源分配器 精密空调 打印机 投影仪 液晶显示器 连接各分部 3 2 1 1 4 4 3 2 1 1 3 希捷Backup 研发部 研发部 研发部 研发部 研发部 研发部 研发部 研发部 研发部 研发部 研发部 表5.3 软件资产识别表
资产识别表 -- 软件资产 序号 1 2 3 4 5 6 7 资产名称 Windows系统 Linux系统 MySQL数据库 Vmware虚拟化软件 Apache软件 Squid代理服务器软件 Cacti监控软件 描述 2003、XP 7 重要性程度 2 5 5 4 5 2 3 备注 部门 研发部 研发部 研发部 研发部 研发部 研发部 研发部 z
东升需求分析报告 - 图文
