第七章-信息安全风险评估培训.ppt

第二种方法课本P资产识别案例分析以某大型企业为例，介绍信息安全风险评估工作中的资产识别、威胁识别、脆弱性识别和风险分析等。一、背景了解兰曦公司数字兰曦1、企业背景兰曦电子科技有限公司，隶属于中国电子工业集团，是巴山市大型骨干企业。兰曦公司下设12个分公司，1个研究院，固定资产18亿，行业工人8千人，研发和生产各种精密电子设备和元器件，年销售收入120亿，税利15亿，业务涉及“技、工、贸”等多个领域。2、信息化建设概括拥有“决策支持、电子政务、电子商务、生产管理、运行保障”五大业务系统。实现“数字兰曦”的目标。数字兰曦信息系统包括一个网络平台，一个行业数据中心，电子政务、电子商务、辅助裁决三大应用系统共16个信息系统，覆盖12个子公司、1个研究院和全国145个销售网点。逻辑上来讲，数字兰曦包括三个层面，基础层、应用层和决策层。P230图7.6基础层是网络基础设施建设应用层是主体决策层是发展二、资产分类本案例中的资产是指与”数字兰曦“相关联的，由兰曦公司赋予了价值因而需要保护的东西。它可能以任何形式存在，包括无形的、有形的、硬件、软件、文档、代码、服务和企业形象等。1、信息环境资产信息环境资产包括软环境资产（组织机构资产、管理制度资产等）和硬环境资产（信息中心机房资产）1）组织机构资产兰曦公司组织结构图P231图7.7总公司信息化领导小组总公司信息中心分公司信息部门数字兰曦实现了公司大部分业务集中和数据大集中的模式，其重要信息化管理人员主要配置在公司信息中心。因此，信息中心代表了兰曦公司组织机构的核心资产。信息中心的组织机构资产包括岗位和人员。P232表7.8岗位资产信息中心主任、副主任、行业信息化管理岗、电子商务管理岗、电子政务管理岗、信息资源管理岗、网络维护及安全管理岗、设备维护及机房管理岗P233表7.9信息中心人员及履历资产姓名工作类型受过何种培训频度职务任职年限2）管理制度资产在数字兰曦的运行维护过程中，兰曦公司制定了行业信息化管理、网络建设、信息安全、系统应用等方面的规章制定、规范性文件共29份。其中，规划类3份，管理类17份、技术标准类4份、工作要求类15份。不仅统计有多少份文件，而且要将这些管理文件中与信息安全三个属性相关的内容提取出来，并根据实际执行情况给予一个总体评价。P235表7.10数字兰曦管理制度资产组织机构人员配置管理制度3）信息中心机房资产公司中心机房达到国家A级以上标准，分公司机房达到国家B级以上标准。P235表7.11中心机房资产名称生产厂家规格类型数量备注设施防火设施门禁设施防雷接地设施绝缘地板防渗漏措施设备UPS电源空调机柜摄像机报警器火警监控器2、公用信息载体资产是指整个信息系统的基础网络平台，但不包括信息系统各子系统的专用设备。公用信息载体资产为整个信息系统的信息提供传输通道，对信息进行安全检查并对其流向进行控制，同时也对信息进行最初始的采集、加工和最后的处理、应用；涉及到信息系统信息的采集、处理、传输、存储、应用各个环节。因此，保障公共信息载体资产不被非法访问和破坏是保障整个信息系统安全和最终信息安全的关键点之一。在公用信息载体资产中，分解为”通信载体资产“和”安全防护资产“（分类方法不唯一）P236表7.12通信载体资产交换机路由器名称型号数量生产厂家使用年限网络操作系统版本资产编号所属系统P237表7.13安全防护资产防火墙入侵检测系统漏洞扫描3、专属信息及信息载体资产-”兰芯“子系统兰曦公司“兰芯”子系统主要包括营销管理、现代物流、客户关系管理、供应链管理、供应商管理、人力资源、生产管理等八个方面的应用。作为公司最主要的生产经营系统，兰芯覆盖了12家子公司、1家研究院和145个销售网点。拓扑结构P2411）“兰芯”子系统边界识别核心设备集中分布在公司信息中心机房3）“兰芯”资产专属信息载体资产名称型号数量主要配置主要用途资产编号P243表7.144）兰芯子系统软件资产名称版本数量开发商主要用途使用范围资产编号操作系统数据库中间件等P244表7.155）兰芯子系统数据资源名称类型数量共享范围资产编号主要包括专用IP地址、组织核心业务电子文档P245表7.163、资产赋值经验赋值与被测评单位的管理人员和技术人员交流信息环境资产赋值1）人员资产赋值信息化领导小组5信息中心信息化人员4