安全审核与风险分析

安全审核与风险分析

ID:40390453

大小:1.05 MB

页数:285页

时间:2019-08-01

安全审核与风险分析_第1页
安全审核与风险分析_第2页
安全审核与风险分析_第3页
安全审核与风险分析_第4页
安全审核与风险分析_第5页
资源描述:

《安全审核与风险分析》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、安全审核与风险分析第一单元 安全审核入门审核人员的工作制定安全策略----任何一个管理规范的网络都需要制定一系列的安全策略。风险评估明确你所审核的企业性质阅读一份书面的安全策略评价已经存在的管理和控制体系实施风险分析将系统按安全等级进行分类,包括数据库、Web服务器、路由器和帐号数据库提交审核报告审核人员的职责和前瞻性从安全管理者的角度考虑需要从防火墙内部进行监测,关注内部网络服务器和主机是否有异常情况。安全管理者还要从防火墙外部进行渗透以查看防火墙的规则配置是否有漏洞,判断黑客是否能穿透防火墙进而控制网络主机。审核

2、人员的职责和前瞻性从安全顾问的角度考虑从黑客的角度和不知情的审核者的角度对网络进行测试当黑客想要入侵时,想知道其所在的内部网络区段是否存在可以入侵或攻击的对象时,他首先会对所有主机进行扫描侦查,以查看有哪些系统是正在运行的,有没有未进行修复的弱点和漏洞。审核人员在防火墙内外对网络进行扫描侦查、渗透测试。进行此类操作的审核人员称为ethicalhacker或whitehathacker。多使用IBMethicalhackingdivision和AxemTigerTeam提供的审核工具。事实证明,利用各种扫描工具与技术侦

3、测目标系统,可以找出所有正在运行的系统,并可以侦测出潜在的易受攻击的的攻击目标。审核人员的职责和前瞻性从一个内部知情人的角度来评估网络安全实施现场分析,了解网络的拓扑结构、服务等所有网络资源的具体配置情况。内容包括:1.网络运作的各项标准2.可预测的合法网络行为3.某些特定服务及功能的网络正常流量4.各种数据报文的特征对网络进行各种漏洞分析、风险分析。合并两方面测试中得到的信息,作综合评价后进行更深层次的审核。审核人员的职责和前瞻性内部威胁分析攻击者并不一定都是黑客和外部人员。若将存放重要资料的服务器暴露在内部网络的

4、公共区,内部使用者就可能直接对其进行攻击。使用多层防火墙机制可以很好地解决这个问题。在内部网络中,另外建立一个防火墙,分割一般使用者和重要资料服务器的网段。严格限制其出入的传输,强化资料存取的安全性。审核人员的职责和前瞻性风险评估风险评估是指定位网络资源和明确攻击发生的可能性。风险评估是一种“差距分析”,可以显示出安全策略和实际发生攻击之间的差距。信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。风险评估的准备风险评估的准备过程

5、是组织机构进行风险评估的基础,是整个风险评估过程有效性的保证。确定风险评估的目标确定风险评估的范围建立适当的组织结构建立系统性的风险评估方法获得最高管理者对风险评估计划的批准风险评估风险评估的依据1、政策法规:中办发[2003]27号文件和国信办文件2、国际标准:如BS7799-1《信息安全管理实施细则》、BS7799-2《信息安全管理体系规范》等3、国家标准或正在审批的讨论稿,如GB17859-1999《计算机信息系统安全保护等级划分准则》和《信息安全风险评估指南》等4、行业通用标准等其它标准风险评估风险评估的原则

6、1、可控性原则人员可控性工具可控性项目过程可控性2、完整性原则----严格按照评估要求和指定的范围进行全面的评估服务。3、最小影响原则----从项目管理层面和工具技术层面,力求将风险评估对信息系统的正常运行的可能影响降低到最低限度。4、保密原则-----不应暴露敏感信息。风险评估风险结果的判定风险等级的划分确定风险数值的大小,明确不同威胁对资产所产生的风险,确定不同风险的优先次序或等级,风险级别高的资产应被优先分配资源进行保护。风险等级从1到5划分为五级。等级越大,风险越高。控制措施的选择对不可接受的风险选择适当的处

7、理方式及控制措施,并形成风险处理计划。控制措施的选择应兼顾管理与技术。残余风险的评价对于不可接受范围内的风险,应在选择了适当的控制措施后,对残余风险进行评价,判定风险是否已经降低到可接受的水平,为风险管理提供输入。为确保所选择控制措施的有效性,必要时可进行再评估,以判断实施控制措施后的残余风险是否是可被接受的。风险评估风险评估的步骤1.仔细检查书面安全策略安全专家把书面的安全策略比喻成“roadmap”或“framework”,因为它使网络在扩大规模中仍能保持安全。安全审核人员应该仔细阅读安全策略并检验雇员对策略的执

8、行情况。2.对资源进行分析、分类和排序----找出网络中最重要的资源风险评估问题回答什么是受攻击的目标?如果目标是一般用户的操作系统,则风险低;如果目标是人力资源系统,则风险高。出现问题的严重性?一旦出现问题,后果有多严重?影响企业还是影响个别的系统?通常需要对损失的时间和金钱进行评估。发生攻击的可能性?攻击发生的可能到底有多大?是不太可能发生

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。