1. 您所在位置:
  2. 网站首页
  3. 文档分类
  4. 金融/投资/证券
  5. 投资/融资/租赁

风险评估方案.docxVIP

风险评估方案.docx

    1. 1、本文档共11页,可阅读全部内容。
    2. 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
    3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
    4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
    5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
    6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
    7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
    8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
    查看更多

    风险评估方案

    Documentnumber:PBGCG-0857-BTDO-0089-PTT1998

    风险评估准备:确定评估范围、组织评估小组、评估目标、评估工具和

    评估方法。

    二、 风险因素识别:资产识别、威胁识别、脆弱点识别

    三、 风险评估方法:采用的方法主要有:问卷调查、工具检测、人工核查、

    文档查阅、渗透性测试等。

    资产评估

    (1)资产识别:

    硬件资产

    应用系统

    资产名称

    资产编号

    维护人

    型号配置

    购机年限

    整体负荷

    重要性程度

    网络系统

    资产名称

    资产编号

    维护人

    型号配置

    购机年限

    整体负荷

    重要性程度

    文档和数据

    资产名称

    责任人

    备份形式

    存储形式

    重要性程度

    备注

    人力资产识别

    冈位

    岗位描述

    姓名

    备注

    业务应用

    资产名称

    设计容量

    系统负荷

    厂商服务能力

    重要性程度

    物理环境

    资产名称

    适用范围描述

    适用年限

    整体负荷

    重要性程度

    (2)资产赋值:

    硬件资产

    应用系统

    资产名称

    机密性

    完整性

    可用性

    重要性程度

    备注

    网络系统

    资产名称

    机密性

    完整性

    可用性

    重要性程度

    备注

    文档和数据

    资产名称

    机密性

    完整性

    可用性

    重要性程度

    备注

    软件

    资产名称

    机密性

    完整性

    可用性

    重要性程度

    备注

    物理环境

    资产名称

    机密性

    完整性

    可用性

    重要性程度

    备注

    资产评估机密性、完整性、可用性的赋值通过调查问卷来实现

    机密性 是否能够容纳具有不同密钥长度的各种加密机制

    是否保证SOAP消息级的机密性

    加密签名数据时,其摘要值是否被加密(如果没有加密攻击者可以借此推测明文,使得加密数据被破坏)

    是否保证网络传输层的机密性

    完整性 是否为加密后的数据再采用签名以确保初始化矢量的完整性不被破坏(加密算

    法中使用的初始化矢量虽然可以解决为给定密钥和数据创建相同密文的安全问题,但初始化矢量本身也可能被修改,使上述问题再次出现。)

    是否采用的多种签名格式

    可用性 加密的工具对递归深度或请求使用资源数量是否做限制

    选择采用的合适的预防措施以免受任何潜在的拒绝服务的攻击。

    (3)重要性程度的赋值:

    应用头脑风暴法,即根据风险预测和风险识别的目的和要求,组成专家组,通过会议形式让大家畅所欲言,而后对各位专家的意见进行汇总、综合,以得出最后的结论。

    资产评估值=Round{log2[2机密性+2完整性+2可用性]}

    机密性E(),完整性E(),可用性E(),资产评估值E()

    威胁评估

    威胁的确定:

    通过对应用系统、网络系统、文档和数据、软件、物理环境设计调查问

    卷,根据答案的汇总进行确定

    如:

    网络

    层次

    安全要素

    身份鉴别

    自主访问控制

    标记

    强制

    访问

    控制

    数据流控制

    安全审计

    数据完整性

    数据保密性

    可信路径

    抗抵赖

    网络安全监控

    网络安全功能基本要求:

    身份鉴别:

    用户识别

    1、在SSF实施所要求的动作之前,是否对提出该动作要求的用户进.行标识

    2、所标识用户在信息系统生存周期内是否具有唯一性

    3、对用户标识信息的管理、维护是否可被非授权地访问、修改或删除

    用户鉴别

    1、在SSF实施所要求的动作之前,是否对提出该动作要求的用户进.行鉴别

    2、是否检测并防止使用伪造或复制的鉴别数据

    3、能否提供一次性使用鉴别数据操作的鉴别机制

    4、能否提供不同的鉴别机制根据所描述的多种鉴别机制如何提供鉴别的规则

    5、能否规定需要重新鉴别用户的事件

    用户-主体绑

    对一个已识别和鉴别的用户,是否通过用户-主体绑定将该用户与该主体相关联

    自主访问控制:

    访问控制策略

    1、是否按确定的自主访问控制安全策略实现主体与客体建操作的控制

    2、是否有多个自主访问控制安全策略,且多个策略独立命名

    访问控制功能

    1、能否在安全属性或命名的安全属性绢的客体上执行访问控制SFP

    2、在基于安全属性的允许主体对客体访问的规则的基础上,能否允许主体对客体的访问

    3、在基于安全属性的拒绝主体对客体访问的规则的基础上,能否拒绝主体对客体的访问

    访问控制范围

    1、每个确定的自主访问控制,SSF是否覆盖网络系统中所定义的主体、客体及其之间的操作

    2、每个确定的自主访问控制,SSF是否覆盖网络系统中所有的主体、客体及其之间的操作

    访问控制粒度

    1、网络系统中自主访问控制粒度为粗粒度/中粒度/细粒度

    标记:

    主体标记

    1、是否为强制访问控制的主体指定敏感标记

    客体标记

    2、是否为强制访问控制的客体指定敏感标记

    标记完整性

    敏感标记能否准确表示特定主体或客体的访问控制属性

    有标记信息的输出

    1、将一客体信息输出到一个具有多级安全的I/O设备时,与客体有关的敏感标记也可输出

    2、对于单级安全设备,授权用户能否可靠地

    您可能关注的文档

    最近下载

    文档评论(0)

    ld066788 + 关注
    实名认证
    文档贡献者

    该用户很懒,什么也没介绍

    咨询Ta 进入空间

    1亿VIP精品文档

    更多 >

    相关文档

    更多 >