欢迎来到天天文库
浏览记录
ID:47267537
大小:70.50 KB
页数:7页
时间:2019-08-18
《风险评估标准》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、风险评估标准1.0目的建立风险评估标准的目的在于为IT安全解决方案提供依据和参考。2.0适用范围适用于公司所有IT安全的风险分析和评估。3.0参考1.《Informationtechnology-Securitytechniques--EvaluationcriteriaITsecurity》ISO/IEC15408-32.《计算机信息系统安全保护等级划分准则》GB17859-19994.0定义保密性(confidentiality):使信息不泄露给非授权的个人、实体或进程,不为其所用完整性(integrity):信息系统中的数据与在原文
2、档中的相同,未遭受偶然或恶意修改/破坏时所具有的性质;或者信息系统中的系统不能被非授权破坏或修改的性质可用性(Availability):被授权实体所需的资源可被访问与使用,即攻击者不能占用相关资源而阻碍授权者的工作抗抵赖性(repudiation):防止在通信中涉及到的那些实体不承认参加了该通信可审查性:有依据、有手段地对出现的信息安全问题提供跟踪和调查5.0内容5.1安全风险评估的基本步骤确定需保护的资源,找出该资源的安全弱点和可能有的安全威胁,得出安全风险等级。然后列举可采取的降低风险的对策,直至风险减小至安全需求允许的范围。下图显
3、示了风险评估中的各要素和工作步骤的关系:5.1.1明确需安全保护资源5.1.2评估脆弱性,包括:1.场所安全2.安全流程3.系统安全4.网络安全5.应用安全5.1.3评估威胁5.1.4列举安全对策5.1.5损失评估5.1.6确定风险等级5.2细则5.2.1明确需安全保护资源1.网络设备:交换机、路由器、HUB、网络布线等2.计算机设备:个人计算机、便携机、网络服务器、文件服务器、工作站等3.存储介质;软盘、硬盘、磁带、光盘、MO等4.软件:操作系统、数据库、工具软件、办公平台软件、开发用软件等5.网上应用系统:EMail系统、Intern
4、etProxy服务、Notes系统、MRPII、SAP、HR、WWW、FTP等6.网络服务:DNS、DHCP、WINS、网络路由服务等7.数据资料:电子文档、数据库等5.2.2评估脆弱性使用最好的测试工具和技术、使用不同的工作方法,对公司的整体资源系统的安全进行评估和审查(从技术和管理两方面),找出存在的安全隐患。1.场所安全评估1)对公司场所安全评估,信息安全监控须包含硬件监控。2)对公司信息安全部安全措施及相关文件评估,包括:场所安全、存储介质安全、硬件安全、紧急事故处理和信息保护等。3)分析公司安全标准并与业界最佳实践标准进行比较。
5、4)总结安全措施优缺点及措施实用性。2.安全流程评估1)评估公司的安全管理流程的效率及效用,评估查安全信息保障系统是否真正保护了至关重要的业务信息,评估管理流程和安全技术是否同时在各方面发挥作用。2)针对已有的信息安全标准或规则,通过相关安全接口人员了解情况,审查各监控环节以确认该环节能够履行监控职责。3)对各环节中所使用的IT安全监控系统评估:安全决策,组织结构,硬件监控,资产评估及控制,系统安全监控,网络和计算机管理,业务连续性,应用程序发展和维护,以及服从性。4)与业界相比对,对所收集到的信息进行分析。5)总结系统优势及弱势,推荐改
6、进方法,以完善安全系统,降低风险。3.系统安全评估1)评估公司一系列全面办公解决方案、数据库服务器、文件和打印服务器、应用程序服务器,找出系统弱点。2)找出公司主要系统平台(如:UNIX,Windows/NT)和一些捆绑销售的组件(如:MicrosoftExchange,LotusNotes,COBRA,Tivoli)的弱点所在。3)从技术和管理两方面进行评估:a.技术审查对每一个组件的机制进行真实性、可靠性、可审查性、保密性、适用性检验,并根据公司书面文件对其进行核查及预警。b.管理审查包括听取管理员意见,对该组件相关的书面文件、标准和
7、措施进行审查。这将保证公司能够发现来自于公司内部或外部的能越过安全监控的潜在威胁。5)对系统软件和组件的配置文件是否能让授权用户正常登录进行审查,同时阻止和发现非授权用户的登录企图。6)对安全管理监控作以下方面的综合审查:计划、组织、人事、资产分类和监控、硬件监控、资产监控、网络及计算机管理、业务连续性、系统发展和维护、适用性等。4.网络安全评估1)对公司网络平台的安全设计情况(路由器、防火墙、网络服务器、应用程序服务器等)进行审查,以确定是否有些功能会存在安全问题。将不受信任的、外部的网络与内部的、受信任的网络和系统隔离开来。2)(根据
8、情况需要)模拟入侵者的攻击,必须以可控制的安全的方式进行。模拟三个方面非法进入内部网络:低水平的单个黑客,有一定能力的黑客小分队,有高度动机的专家黑客队伍。3)检查系统的配置和管理以及可能在将
此文档下载收益归作者所有