系统程序漏洞扫描安全评估方案.pdf_漏洞扫描方案资源-CSDN文库

版权申诉

系统程序

漏洞扫描

94 浏览量 2022-06-13 23:05:42 上传评论 2 收藏 1.21MB PDF 举报

资源推荐

资源详情

资源评论

一、项目概述 .......................................................................................................................................... 2

1.1 评估范围 ...................................................................................................................................... 2

1.2 评估层次 ...................................................................................................................................... 2

1.3 评估方法 ...................................................................................................................................... 2

1.4 评估结果 ...................................................................................................................................... 2

1.5 风险评估手段 .............................................................................................................................. 3

1.5.1 基于知识的分析方法

.......................................................................................................... 3

1.5.2 基于模型的分析方法

.......................................................................................................... 3

1.5.3 定量分析

.............................................................................................................................. 4

1.5.4 定性分析

.............................................................................................................................. 5

1.6 评估标准....................................................................................................................................... 5

二、网拓扑评估 ...................................................................................................................................... 5

2.1 拓扑合理性分析 .......................................................................................................................... 5

2.2 可扩展性分析 .............................................................................................................................. 5

三、网络安全管理机制评估 .................................................................................................................. 6

3.1 调研访谈及数据采集 .................................................................................................................. 6

3.2 网络安全管理机制健全性检查 .................................................................................................. 7

3.3 网络安全管理机制合理性检查 .................................................................................................. 7

3.4 网络管理协议分析 ...................................................................................................................... 8

四、脆弱性严重程度评估 ...................................................................................................................... 8

4.1 安全漏洞扫描 .............................................................................................................................. 8

4.2 人工安全检查 ............................................................................................................................ 10

4.3 安全策略评估 ............................................................................................................................ 11

4.4 脆弱性识别 ................................................................................................................................ 12

五、网络威胁响应机制评估 ................................................................................................................ 12

5.1 远程渗透测试............................................................................................................................. 13

六、网络安全配置均衡性风险评估 .................................................................................................... 14

6.1 设备配置收集 ............................................................................................................................ 14

6.2 检查各项 HA 配置 ...................................................................................................................... 16

6.3 设备日志分析 ............................................................................................................................ 17

七、风险级别认定 ................................................................................................................................ 18

八、项目实施规划 ................................................................................................................................ 18

九、项目阶段 ........................................................................................................................................ 19

十、交付的文档及报告 ........................................................................................................................ 20

10.1 中间评估文档 .......................................................................................................................... 21

10.2 最终报告 .................................................................................................................................. 21

十一、安全评估具体实施内容 ............................................................................................................ 22

11.1 网络架构安全状况评估 .......................................................................................................... 22

11.1.1 内容描述

.......................................................................................................................... 22

11.1.2 过程任务

.......................................................................................................................... 23

11.1.3 输入指导

.......................................................................................................................... 23

11.1.4 输出成果

.......................................................................................................................... 23

12.2 系统安全状态评估 .................................................................................................................. 23

11.2.1 内容描述

.......................................................................................................................... 23

11.2.2 过程任务

.......................................................................................................................... 26

11.2.3 输入指导

.......................................................................................................................... 28

11.2.4 输出成果

.......................................................................................................................... 28

11.3 策略文件安全评估 .................................................................................................................. 28

11.3.1 内容描述

.......................................................................................................................... 28

11.3.2 过程任务

.......................................................................................................................... 29

12.3.3 输入指导

.......................................................................................................................... 30

12.3.4 输出成果

.......................................................................................................................... 30

11.4 最终评估结果 .......................................................................................................................... 30

1.5 风险评估手段

在风险评估过程中，可以采用多种操作方法，包括基于知识（Knowledge-based）的分

析方法、基于模型（Model-based）的分析方法、定性（Qualitative）分析和定量

（Quantitative）分析，无论何种方法，共同的目标都是找出组织信息资产面临的风险及其

影响，以及目前安全水平与组织安全需求之间的差距。

1.5.1 基于知识的分析方法

在基线风险评估时，组织可以采用基于知识的分析方法来找出目前的安全状况和基线安

全标准之间的差距。

基于知识的分析方法又称作经验方法，它牵涉到对来自类似组织（包括规模、商务目标

和市场等）的“最佳惯例”的重用，适合一般性的信息安全社团。采用基于知识的分析方法，

组织不需要付出很多精力、时间和资源，只要通过多种途径采集相关信息，识别组织的风险

所在和当前的安全措施，与特定的标准或最佳惯例进行比较，从中找出不符合的地方，并按

照标准或最佳惯例的推荐选择安全措施，最终达到消减和控制风险的目的。

基于知识的分析方法，最重要的还在于评估信息的采集，信息源包括：

 会议讨论；

 对当前的信息安全策略和相关文档进行复查；

 制作问卷，进行调查；

 对相关人员进行访谈；

 进行实地考察；

为了简化评估工作，组织可以采用一些辅助性的自动化工具，这些工具可以帮助组织拟

订符合特定标准要求的问卷，然后对解答结果进行综合分析，在与特定标准比较之后给出最

终的推荐报告。

1.5.2 基于模型的分析方法

2001 年 1 月，由希腊、德国、英国、挪威等国的多家商业公司和研究机构共同组织开

发了一个名为 CORAS 的项目，即 Platform for Risk Analysis of Security Critical

Systems。该项目的目的是开发一个基于面向对象建模特别是UML 技术的风险评估框架，它

的评估对象是对安全要求很高的一般性的系统，特别是 IT 系统的安全。CORAS 考虑到技术、

人员以及所有与组织安全相关的方面，通过 CORAS 风险评估，组织可以定义、获取并维护

IT 系统的保密性、完整性、可用性、抗抵赖性、可追溯性、真实性和可靠性。

与传统的定性和定量分析类似，CORAS 风险评估沿用了识别风险、分析风险、评价并处

理风险这样的过程，但其度量风险的方法则完全不同，所有的分析过程都是基于面向对象的

模型来进行的。CORAS 的优点在于：提高了对安全相关特性描述的精确性，改善了分析结果

的质量；图形化的建模机制便于沟通，减少了理解上的偏差；加强了不同评估方法互操作的

效率；等等。

1.5.3 定量分析

进行详细风险分析时，除了可以使用基于知识的评估方法外，最传统的还是定量和定性

分析的方法。

定量分析方法的思想很明确：对构成风险的各个要素和潜在损失的水平赋予数值或货币

金额，当度量风险的所有要素（资产价值、威胁频率、弱点利用程度、安全措施的效率和成

本等）都被赋值，风险评估的整个过程和结果就都可以被量化了。简单说，定量分析就是试

图从数字上对安全风险进行分析评估的一种方法。

定量风险分析中有几个重要的概念：

 暴露因子（Exposure Factor，EF）—— 特定威胁对特定资产造成损失的百分比，

或者说损失的程度。

 单一损失期望（Single Loss Expectancy，SLE）—— 或者称作 SOC（Single

OccuranceCosts），即特定威胁可能造成的潜在损失总量。

 年度发生率（Annualized Rate of Occurrence，ARO）—— 即威胁在一年内估计

会发生的频率。

 年度损失期望（Annualized Loss Expectancy，ALE）—— 或者称作 EAC

（EstimatedAnnual Cost），表示特定资产在一年内遭受损失的预期值。

考察定量分析的过程，从中就能看到这几个概念之间的关系：

（1）首先，识别资产并为资产赋值；

（2）通过威胁和弱点评估，评价特定威胁作用于特定资产所造成的影响，即 EF（取

值在 0％~100%之间）；

（3）计算特定威胁发生的频率，即 ARO；

（4）计算资产的 SLE：SLE = Asset Value × EF

剩余30页未读，继续阅读

评论收藏

内容反馈

版权申诉

分享家

粉丝: 2
资源: 130

系统程序漏洞扫描安全评估方案.pdf

【重磅】系统程序漏洞扫描安全评估方案.pdf

202x年远程安全评估系统(漏洞扫描)技术培训(专业完整版).pdf

系统程序漏洞扫描安全评估方案.doc

漏洞扫描系统的功能.pdf

信息安全风险评估报告.pdf

山石网科远程安全评估系统硬件参考指南.pdf

信息安全风险评估报告(模板).pdf

EISS-2021企业信息安全峰会合集，共66份.zip

等保2.0之漏洞扫描系统技术方案建议书.pdf

漏洞扫描系统运行安全管理制度.docx

计算机网络漏洞扫描与安全防范措施.pdf

基于OVAL的安卓漏洞检测评估系统.pdf

互联网工控漏洞扫描系统设计研究.pdf

EISS-2021企业信息安全峰会（北京站）共30份.zip

网络安全解决方案设计.pdf

CF复习.pdf_vulnerability_网络安全攻防基础知识总结_

网络安全思维导图

网络安全概念和术语-AxisCommunications.pdf

面向PHP程序的SQL漏洞检测系统.pdf

安全知识竞赛题小程序漏洞.pdf

明鉴数据库漏洞扫描系统_产品白皮书.pdf

Oracle漏洞扫描安全加固.pdf

智能系统能自行修复程序漏洞.pdf

Web渗透测试（整个全流程）.pdf

谈谈安卓的Intent注入.pdf

论文研究-网络脆弱性评估系统的设计与实现.pdf

最新资源