返回
安全评估工具及方法介绍

安全评估工具及方法介绍

ID:40391221

大小:2.06 MB

页数:125页

时间:2019-08-01

安全评估工具及方法介绍_第1页
安全评估工具及方法介绍_第2页
安全评估工具及方法介绍_第3页
安全评估工具及方法介绍_第4页
安全评估工具及方法介绍_第5页
资源描述:

《安全评估工具及方法介绍》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、安全评估工具及方法介绍议程评估概述评估工具介绍Windows2000安全评估Unix安全评估网络设备安全性评估网络架构安全评估安全风险评估三要素风险评估三要素资产脆弱性威胁资产“资产”定义电信网和互联网及相关系统资产是具有价值的资源,是安全防护体系保护的对象。它能够以多种形式存在,有无形的、有形的,有硬件、软件,有文档、代码,也有服务、形象等。资产识别资产是具有价值的资源,是安全策略保护的对象。风险评估中,首先需要将电信网和互联网及相关系统资产进行恰当的分类,以此为基础进行下一步的风险评估。资产分类及

2、示例分类示例数据保存在设备上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等软件系统软件:操作系统、协议包、工具软件、各种数据库软件等应用软件:外部购买的应用软件,外包开发的应用软件,各种共享、自行或合作开发的各种软件等硬件网络设备:路由器、网关、交换机等计算机设备:大型机、小型机、服务器、工作站、台式计算机、移动计算机等存储设备:磁带机、磁盘阵列等传输线路:光纤、双绞线等保障设备:动力保障设备(UPS、变电设备等)、消防设施等服务网络服务:各种网络设备、设施提供

3、的网络连接服务等业务提供服务:依赖电信网和互联网及相关系统开展的各类业务等文档纸质的各种文件,如设计文档、管理规定和技术要求等人员掌握重要技术的人员,如网络维护人员、网络或业务的研发人员等其它企业形象,客户关系等威胁威胁是一种对资产构成潜在破坏的可能性因素,是客观存在的。威胁可以通过威胁主体、动机、途径等多种属性来描述。威胁可能导致对电信网和互联网及相关系统产生危害的不希望事件潜在起因,它可能是人为的,也可能是非人为的;可能是无意失误,也可能是恶意攻击。常见的网络威胁有盗取帐号密码、冒名顶替、病毒、特

4、洛伊木马、错误路由、火灾、水灾等。威胁赋值评估者根据经验和(或)有关的统计数据来判断威胁出现的频率威胁分类及示例种类描述软硬件故障由于设备硬件故障、通讯链路中断、系统本身或软件Bug导致对业务高效稳定运行的影响物理环境威胁断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震等环境问题和自然灾害无作为或操作失误由于应该执行而没有执行相应的操作、或无意地执行了错误的操作,对系统造成影响管理不到位安全管理无法落实、不到位,造成安全管理不规范或者管理混乱,从而破坏电信网和互联网及相关系统正常有序

5、运行恶意代码和病毒具有自我复制、自我传播能力,对电信网和互联网及相关系统构成破坏的程序代码越权或滥用通过采用一些措施,超越自己的权限访问了本来无权访问的资源;或者滥用自己的职权,做出破坏电信网和互联网及相关系统的行为黑客攻击技术利用黑客工具和技术,例如侦察、密码猜测攻击、缓冲区溢出攻击、安装后门、嗅探、伪造和欺骗、拒绝服务攻击等手段对电信网和互联网及相关系统进行攻击和入侵物理攻击物理接触、物理破坏、盗窃泄密机密泄漏,机密信息泄漏给他人篡改非法修改信息抵赖不承认收到的信息和所作的操作或交易脆弱性“脆弱性

6、”定义脆弱性是电信网和互联网及相关系统资产中存在的弱点、缺陷与不足,不直接对资产造成危害,但可能被威胁所利用从而危及资产的安全。脆弱性赋值被威胁利用后对资产的损害程度威胁利用脆弱性示例威胁威胁子类威胁可利用的脆弱性人为威胁非故意无作为、误操作威胁核心盘有无保护网管服务器及数据的备份厂家支持力度人员素质及管理外力施工光缆铺设合理性承载系统保护机制故障应急机制有效性故意恶意代码和病毒防恶意代码及病毒措施网络及系统漏洞网络攻击防网络攻击措施针对网络攻击的网络脆弱性泄密、篡改、抵赖防泄密、篡改、抵赖措施保密管

7、理的脆弱性风险值计算-相乘法风险值计算方法--相乘法风险值=资产价值×威胁值×脆弱性值风险值的取值范围为1-125,风险值等级化处理,确定风险值对应的风险等级。安全评估网络安全主机安全应用安全数据安全物理安全各层的安全需求:1、保证本层自身的安全;2、实现本层对上层的安全支撑;3、增强对上层安全侵害的抵抗能力;4、尽可能减少本层对下层的安全依赖;5、尽可能减少本层对下层的安全侵害;单系统评估–风险评估实施流程图否是否是风险评估准备已有安全措施的确认风险计算风险是否接受保持已有的安全措施施施施选择适当的

8、安全措施并评估残余风险实施风险管理脆弱性识别威胁识别资产识别是否接受残余风险风险分析评估过程文档评估过程文档风险评估文件记录评估结果文档…………………风险评估规范的依据风险评估方法工具评估人工检查资料分析访谈问卷调查渗透测试工具评估目的:以网络扫描的方式,发现易于被攻击者利用的安全风险;要求:尽可能和被扫描设备之间无访问控制扫描影响:对网络资源的影响在5%以下,对系统资源的影响在3%以下;人工评估目的:对工具评估结果进行分析;查找工具评估无法发现的安全漏

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。