返回
面向主机之安全合规化审计体系之设计与实现

面向主机之安全合规化审计体系之设计与实现

ID:25232800

大小:56.00 KB

页数:7页

时间:2018-11-18

面向主机之安全合规化审计体系之设计与实现_第1页
面向主机之安全合规化审计体系之设计与实现_第2页
面向主机之安全合规化审计体系之设计与实现_第3页
面向主机之安全合规化审计体系之设计与实现_第4页
面向主机之安全合规化审计体系之设计与实现_第5页
资源描述:

《面向主机之安全合规化审计体系之设计与实现》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、面向主机之安全合规化审计体系之设计与实现-->第一章引言1.1安全合规性审计背景随着全球信息化和信息技术的不断发展,各领域信息化应用程度的不断推进,信息安全显得越来越重要,信息安全形势日趋严峻:一方面随着互联网普及程度越来越高,从互联网发起黑客攻击行为成本越来越低,互联网黑色产业链的日趋形成,信息安全事件发生的频率大幅度的增大,信息安全威胁不断增加;另一方面随着信息化产品的大规模应用,信息系统中的安全漏洞大幅度增加,信息安全事件所造成的影响越来越严重。另外,随着信息化产品的日趋复杂化、庞大化,系统中面临的信息安

2、全问题不断增多,解决这些问题所需要的信息安全手段不断增加。确保计算机信息系统和网络的安全,特别是国家重要基础设施信息系统的安全,已成为信息化建设过程中必须解决的重大问题。正是在这样的背景下,信息安全被提到了空前的高度。国家也从战略层次对信息安全提出了指导要求。为尽快制订适应和保障我国信息化发展的计算机信息系统安全总体策略,全面提高安全水平,落实信息安全具体工作,2003年7月《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确提出:要重视信息安全风险评估工作,对网络与信息系统安全

3、的潜在威胁、薄弱环节、防护措施等进行分析评估,综合考虑网络与信息系统的重要性、涉密程度和面临的风险等因素,进行相应等级的安全建设和管理。2006年国务院信息办下发的国信办5号文:《关于开展信息安全风险评估工作的意见》,文中以国家政策推动我国信息安全风险评估工作。随后2007年相继发布了国家标准GB/T20984-2007《信息安全技术信息安全风险评估规范》,全面规范了风险评估工作〔4〕。本系统是依据《信息安全风险评估规范》标准而建立的一套全流程安全评估管理系统。同时也依据国标GB/T22239-2008《信息系

4、统安全等级保护基本要求》对业务系统和主机进行合规性安全检查。1.2安全合规性审计意义随着政府部门、企事业单位以及各行各业对信息系统依赖程度的日益增强,信息安全问题受到普遍关注,国家有关部门也相应颁发了信息安全相关的法律法规。运用安全审计去识别安全风险,去了解信息系统的合规性程度,解决信息安全问题得到了广泛的认识和应用。信息安全审计就是使信息系统安全强度符合法律法规要求,为最大限度地保障信息安全提供科学依据。对信息系统进行安全审计,就是要对网络与信息系统可能面临的威胁、网络与信息系统存在的安全脆弱性、己采取安全措

5、施的有效性等进行识别与分析,从而确定评估对象的安全风险等级,提出风险管理的处置建议。通过风险评估,进一步提高信息系统的安全保障能力,确保整个信息系统的安全。传统的风险评估与合规性审计需要大量的占用大量的人力资源,一般由多名顾问组成项目组定期对系统进行风险评估或审计,一次审计耗费周期长,多次审计之间可复用资源低。随着几年的信息安全审计技术的发展,信息安全审计已成为一个信息化单位的常态化工作,而信息安全审计的人力成本限制了审计工作的频率,目前风险评估系统急需产品化、系统化、软件化、自动化,客户急需一套经过配置完毕,

6、就可以实现定期、定时自动化风险评估与审计的系统,实时监视与控制信息系统的安全风险与合规性情况。1.3课题任务本文在分析了国内外安全审计的基础上,充分的对多种安全检测工具进行研究,对优缺点进行总结,与潜在的用户进行交流和访谈,对信息安全市场进行调研,做到符合等级保护标准,并且简单易用,最终的审计报告也多种多样,包括趋势报告、对比报告、排名报告,针对资产、脆弱性、威胁和法规进行了合规性工作。然后根据符合市场需要的功能需求编写了系统设计文档,在方案设计中进行了功能模块、流程、数据库等设计工作,并最终完成系统。为此开发

7、出一套自动化的等级保护自动审计系统,帮助用户在风险评估与等级保护自评工作中自动化审计,规范了审计流程,节省了工作人员的时间,有效的推进了信息安全发展。本文使用软件工程基本方法与理论,结合多年的信息安全从业经验,根据风险评估方法和等级保护测评方法,并实地调研、走访了多个行业特点明显的单位,充分分析了用户的安全需求,设计了一套适用于主机的自动化风险评估与安全审计的系统,并通过linux、java、Shell、vbs等多种语言实现了一个可以兼容多个主流主机与应用的安全审计软件系统。第二章安全审计的相关技术2.1主机安

8、全审计概述面对全世界的信息化发展,世界各国都已经意识到主机脆弱性对信息安全的重要影响。从总体来说,国外对主机审计技术的研究开展的比较早,有一些行标的产品出现,处于领先地位;国内对这方面的研究较晚,但是发展空间巨大,近年来,也取得了非常好的效果。在使用远程漏洞扫描技术来审计主机安全方面,国外的研究工作起步较早。1992年155扫描器被首次编写发布,是当时在互联网上进行安全评估扫描最早的工

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。