CH08系统风险评估与脆弱性分析

CH08系统风险评估与脆弱性分析

ID:36467260

大小:288.10 KB

页数:20页

时间:2019-05-09

CH08系统风险评估与脆弱性分析_第1页
CH08系统风险评估与脆弱性分析_第2页
CH08系统风险评估与脆弱性分析_第3页
CH08系统风险评估与脆弱性分析_第4页
CH08系统风险评估与脆弱性分析_第5页
资源描述:

《CH08系统风险评估与脆弱性分析》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、系统风险评估与脆弱性分析第8章本章要点针对信息系统,特别是网络系统,要先了解系统的安全弱点,才能进行安全加固。本章在系统风险评估的理念指导下,首先解决系统的脆弱性检查,发现问题后再通过后续章节介绍的具体技术解决安全问题。2一、系统风险评估1、风险评估的概念通过风险评估能够清楚信息系统的安全需求,了解信息系统的脆弱性,从而达到信息安全建设的最终目的——满足信息系统的安全需求和降低信息系统的安全风险。所谓风险评估,就是对信息资产面临的威胁、存在的弱点、造成的影响,以及三者综合作用而带来风险的可能性的评估。作为

2、风险管理的基础,风险评估是组织确定信息安全需求的一个重要途径,属于组织信息安全管理体系策划的过程。3一、系统风险评估2、风险评估目的和基本要素风险评估的目的(1)了解组织的安全现状(2)分析组织的安全需求(3)建立信息安全管理体系的要求(4)制订安全策略和实施安防措施的依据(5)组织实现信息安全的必要的、重要的步骤风险评估的四大要素(1)资产及其价值(2)威胁(3)脆弱性(4)现有的和计划的控制措施4一、系统风险评估3、风险评估标准和工具风险评估的标准(1)ISO13335《信息安全管理方针》(2)ISO

3、15408《信息技术安全性通用评估准则》(3)SSE-CMM《系统安全工程成熟度模型》(4)SP800-30《信息系统安全风险管理》(5)ISO27001《信息安全管理体系标准》(6)GB17859《安全保护等级划分准则》风险评估的工具(1)扫描工具(2)入侵检测系统(IDS)(3)渗透性测试工具(4)主机安全性审计工具(5)安全管理评价系统(6)风险综合分析系统(7)评估支撑环境工具5一、系统风险评估4、风险评估流程根据风险发生的可能性、风险发生后对系统产生的影响程度,对评估系统的各种对象进行风险程度分

4、析,将系统对象按发生风险的可能性大小、发生风险后对系统造成的影响及危害大小进行评估和组织。风险分析矩阵风险控制流程6二、系统脆弱性分析概述1、脆弱性的概念脆弱性即vulnerability,国内多称“漏洞”,是指硬件、软件或策略上存在的安全缺陷,从而使得攻击者能够在未授权的情况下访问、控制系统。CVE(CommonVulnerabilitiesandExposures),漏洞标准化组织。对于一个信息系统来说,它的安全性不在于它是否采用了最新的加密算法或最先进的设备,而是由系统本身最薄弱之处,即漏洞所决

5、定的。--信息系统安全“木桶原则”7二、系统脆弱性分析概述2、漏洞的发现网络的开放性、软件系统的自身缺陷和黑客攻击使得系统的脆弱性充分暴露。1999年安全应急响应小组论坛FIRST的专家指出,每千行程序中至少有一个缺陷。WindowsXP有35万行。CVE(CommonVulnerabilitiesandExposures),漏洞标准化组织。(http://cve.mitre.org/)对于一个信息系统来说,它的安全性不在于它是否采用了最新的加密算法或最先进的设备,而是由系统本身最薄弱之处,即漏洞所决定的

6、。--信息系统安全“木桶原则”SANS(SysAdmin,Audit,Network,Security)的研究报告(http://www.sans.org):Windows最关键的十大安全隐患8二、系统脆弱性分析概述漏洞的类型(1)管理漏洞(2)软件漏洞(3)结构漏洞(4)信任漏洞漏洞的发现由以下三个组织之一来完成:(1)黑客(2)破译者软件漏洞(3)安全服务商组织管理者需要制定一个从新闻组、邮件列表、Web站点、FTP文档等收集、分析以及抽取漏洞信息的策略,以便获取有用的信息。9二、系统脆弱性分析概述3

7、、漏洞对系统的威胁漏洞对系统的威胁体现在恶意攻击行为对系统的威胁。只有利用硬件、软件和策略上最薄弱的环节,恶意攻击者才可以得手。目前,互联网上已有几万个黑客站点,而且黑客技术不断创新,基本的攻击手法已达上千种。多数情形下,计算机已经被网络入侵者完全控制,且被偷走大量机密资料,而管理员却毫不知情。10二、系统脆弱性分析概述4、系统脆弱性的主要类型漏洞类型多样如DNS与FTP协议的安全性、缓冲区溢出问题、拒绝服务和后门等,通过各种应用软件表现。目前,“应用层的不安全调用”已成为新的关注焦点,而又容易被技术人员

8、忽视。应用层中的漏洞才是最直接、最致命的,因为互联网的应用必须开放端口,这时防火墙等设备已无能为力;网络应用连接着单位的核心数据,漏洞直接威胁着数据库中的数据;内部人员通过内网的应用安全也不受防火墙控制。据OWASP(OpenWebApplicationsSecurityProject,开放网络应用安全计划)相关统计资料显示攻击者利用网站系统的代码漏洞,精心构造攻击代码,完成对网站系统的非法访问或控制,中国、美国、德国和俄罗斯

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。