欢迎来到天天文库
浏览记录
ID:8840047
大小:281.00 KB
页数:8页
时间:2018-04-09
《网络信息系统风险评估标准》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、XXX网络信息系统分险评估及安全加固服务内容及进度表XXX于2009年进行网络改造,投入并使用了大量安全设备,目前已可保证网络的畅通性,并确保用户正常进行工作。从安全的设备角度来看,目前XXX已经使用了防火墙、入侵防御、安全审计、网络拓扑管理软件。所有网络设备、服务器等全部都趋于正常运行状态。在网络建成投入使用初期,很多网络设备与软件漏洞都不会轻易暴露,在使用过程中总是不断出现各种各样的问题,在已经发现的问题的解决过程中发现往往是由于人为调试失误或者设备自身BUG引起,轻则影响用户正常的工作,重则导致一系列的连锁反应。从安全的角度分析,隐藏的
2、漏洞往往比已经暴露的危险更致命,这种漏洞在正常的运行中并不容易暴露,其危险性不言而喻。我们认为,在这时候最需要对网络做一次全面有效的评估。因此,特提出网络安全评估建议,对所有安全产品以后的升级和维护都能得到良好的解决。以下是整个XXX网络安全风险评估步骤:1、制定计划–项目范围和目标–背景资料–限制–参与项目各方的职务和职责–方式和方法–项目规模和进度安排2、收集资料–安全要求和目标–系统或网络的结构和基本设施,例如显示信息系统资产配置和互连情况的网络图–向公众公开或网页上公布的资料–硬件设备等物理资产–操作系统、网络管理系统及其它系统–数据
3、库、文件等信息内容–应用系统和服务器资料–网络支持的协议和提供的服务等资料–访问控制–程序–识别及认证机制–有关最低安全控制要求的政府法律和规程–成文或非正式政策和指南3、风险分析–资产识别与赋值–威胁分析–弱点分析–资产/威胁/弱点配对–影响及可能性评估–风险结果分析4、确定及选择安全保障措施常见安全保障措施类别–杜绝入侵途径:完全杜绝未授权者访问关键资源–巩固防御能力:使未授权者难以访问关键资源–系统监督:协助实时、准确地侦测和应付攻击5、监督与执行–应妥善地以文件记载风险评估结果–必要时应重新进行评估–明确界定、检查和分派操作员、系统开
4、发人员、网络管理员、资料拥有人、安全主任及用户等相关人士的职务和职责,以配合选择及实施安全保障措施。1、步骤一:系统特征描述信息收集2–调查问卷3–现场面谈4–文档检查5–使用自动扫描工具2、步骤二:威胁识别威胁源识别–威胁源是(1)故意攻击弱点的企图和方法;或(2)可以偶然触发一个弱点的情形和方法–威胁源按照其性质一般可分为自然威胁、人为威胁和环境威胁三种•常见的威胁源–自然威胁:洪水、地震、飓风、泥石流、雪崩、电风暴及其它类似事件。–人为威胁:那些由人激发或引发的事件,比如无意识行为(疏忽的数据条目)或故意行为(基于网络的攻击、恶意软件上
5、传、对保密信息未经授权的访问)–环境威胁:长时间电力故障,污染,化学,液体泄露等3、步骤三:弱点识别脆弱性威胁源威胁行为离职员工的系统帐号没有从系统中注销离职员工拨号进入政府网络,并访问的私有数据防火墙允许进入方向的telnet,并且在XYZ服务器上允许guest帐号进入未经授权的用户(比如黑客、离职员工、计算机罪犯、恐怖分子)通过telnet,用guest帐号进入XYZ服务器,浏览系统文件厂商在系统安全设计中存在为人所知的缺陷,但还没有补钉文件未经授权的用户比如黑客、离职员工、计算机罪犯、恐怖分子)基于已为人所知的系统弱点,未经授权地访问敏
6、感的系统文件数据中心使用洒水器来灭火,没有用防水油布来保护硬件和设备防水火灾、人员疏忽大意打开了数据中心的洒水器弱点源–被评估IT系统以前的风险评估文档–IT系统的审计报告、系统异常报告、安全查报告、系统测试和评价报告等;–弱点列表,比如CVE、CNCVE弱点数据库–厂商顾问–商业计算机事件/紧急响应小组和发布列表–系统软件安全分析•系统安全测试–自动化弱点扫描工具–系统测试和评价–渗透性测试•开发安全需求核对表–确定为IT系统所规定的、在系统特征描述中所收集的安全要求是否被现有的或所计划的安全控制满足4、步骤四:控制分析控制方法1–包括对技
7、术和非技术方法的运用–技术类控制是那些融入到计算机硬件、软件、或固件中的保护措施(比如访问控制机制、标识和鉴别机制、加密方法、入侵检测软件等等)–非技术控制包括管理类和操作类控制,比如安全策略、操作流程、人员、物理、和环境安全2控制分类–预防类控制禁止试图对安全策略的冲突,包括访问控制、加密和鉴别;–检测类控制对安全策略的冲突或试图冲突发出警告,包括审计追踪、入侵检测方法和校验和。4–文档检查5–使用自动扫描工具5、步骤五:可能性分析三个可能性级别6、步骤六:影响分析需要获得的信息1–系统使命(比如IT统运行的过程);–系统和数据的关键性(系
8、统对机构的价值和重要性);–系统和数据的敏感性。2影响分析•完整性损失:指要求对信息进行保护,防止被不适当地修改。如果对系统和数据进行了未经授权,完整性就遭到了破坏
此文档下载收益归作者所有