没有合适的资源?快使用搜索试试~ 我知道了~
资源推荐
资源详情
资源评论
目录
一、项目概述 .......................................................................................................................................... 2
1.1 评估范围 ...................................................................................................................................... 2
1.2 评估层次 ...................................................................................................................................... 2
1.3 评估方法 ...................................................................................................................................... 2
1.4 评估结果 ...................................................................................................................................... 2
1.5 风险评估手段 .............................................................................................................................. 3
1.5.1 基于知识的分析方法
.......................................................................................................... 3
1.5.2 基于模型的分析方法
.......................................................................................................... 3
1.5.3 定量分析
.............................................................................................................................. 4
1.5.4 定性分析
.............................................................................................................................. 5
1.6 评估标准....................................................................................................................................... 5
二、网拓扑评估 ...................................................................................................................................... 5
2.1 拓扑合理性分析 .......................................................................................................................... 5
2.2 可扩展性分析 .............................................................................................................................. 5
三、网络安全管理机制评估 .................................................................................................................. 6
3.1 调研访谈及数据采集 .................................................................................................................. 6
3.2 网络安全管理机制健全性检查 .................................................................................................. 7
3.3 网络安全管理机制合理性检查 .................................................................................................. 7
3.4 网络管理协议分析 ...................................................................................................................... 8
四、脆弱性严重程度评估 ...................................................................................................................... 8
4.1 安全漏洞扫描 .............................................................................................................................. 8
4.2 人工安全检查 ............................................................................................................................ 10
4.3 安全策略评估 ............................................................................................................................ 11
4.4 脆弱性识别 ................................................................................................................................ 12
五、网络威胁响应机制评估 ................................................................................................................ 12
5.1 远程渗透测试............................................................................................................................. 13
六、网络安全配置均衡性风险评估 .................................................................................................... 14
6.1 设备配置收集 ............................................................................................................................ 14
6.2 检查各项 HA 配置 ...................................................................................................................... 16
6.3 设备日志分析 ............................................................................................................................ 17
七、风险级别认定 ................................................................................................................................ 18
八、项目实施规划 ................................................................................................................................ 18
九、项目阶段 ........................................................................................................................................ 19
十、交付的文档及报告 ........................................................................................................................ 20
10.1 中间评估文档 .......................................................................................................................... 21
10.2 最终报告 .................................................................................................................................. 21
十一、安全评估具体实施内容 ............................................................................................................ 22
11.1 网络架构安全状况评估 .......................................................................................................... 22
11.1.1 内容描述
.......................................................................................................................... 22
11.1.2 过程任务
.......................................................................................................................... 23
11.1.3 输入指导
.......................................................................................................................... 23
11.1.4 输出成果
.......................................................................................................................... 23
12.2 系统安全状态评估 .................................................................................................................. 23
11.2.1 内容描述
.......................................................................................................................... 23
11.2.2 过程任务
.......................................................................................................................... 26
11.2.3 输入指导
.......................................................................................................................... 28
11.2.4 输出成果
.......................................................................................................................... 28
11.3 策略文件安全评估 .................................................................................................................. 28
11.3.1 内容描述
.......................................................................................................................... 28
11.3.2 过程任务
.......................................................................................................................... 29
12.3.3 输入指导
.......................................................................................................................... 30
12.3.4 输出成果
.......................................................................................................................... 30
11.4 最终评估结果 .......................................................................................................................... 30
一、项目概述
1.1 评估范围
针对网络、应用、服务器系统进行全面的风险评估。
1.2 评估层次
评估层次包括网络系统、主机系统、终端系统相关的安全措施,网络业务路由分配安全,
管理策略与制度。其中网络系统包含路由器、交换机、防火墙、接入服务器、网络出口设备
及相关网络配置信息和技术文件;主机系统包括各类 UNIX、Windows 等应用服务器;终端系
统设备。
1.3 评估方法
安全评估工作内容:
✓ 管理体系审核;
✓ 安全策略评估;
✓ 顾问访谈;
✓ 安全扫描;
✓ 人工检查;
✓ 远程渗透测试;
✓ 遵循性分析;
1.4 评估结果
通过对管理制度、网络与通讯、主机和桌面系统、业务系统等方面的全面安全评估,形
成安全评估报告,其中应包含评估范围中信息系统环境的安全现状、存在安全问题、潜在威
胁和改进措施。协助对列出的安全问题进行改进或调整,提供指导性的建设方案:
《安全现状分析报告》
《安全解决方案》
1.5 风险评估手段
在风险评估过程中,可以采用多种操作方法,包括基于知识(Knowledge-based)的分
析方法、基于模型(Model-based)的分析方法、定性(Qualitative)分析和定量
(Quantitative)分析,无论何种方法,共同的目标都是找出组织信息资产面临的风险及其
影响,以及目前安全水平与组织安全需求之间的差距。
1.5.1 基于知识的分析方法
在基线风险评估时,组织可以采用基于知识的分析方法来找出目前的安全状况和基线安
全标准之间的差距。
基于知识的分析方法又称作经验方法,它牵涉到对来自类似组织(包括规模、商务目标
和市场等)的“最佳惯例”的重用,适合一般性的信息安全社团。采用基于知识的分析方法,
组织不需要付出很多精力、时间和资源,只要通过多种途径采集相关信息,识别组织的风险
所在和当前的安全措施,与特定的标准或最佳惯例进行比较,从中找出不符合的地方,并按
照标准或最佳惯例的推荐选择安全措施,最终达到消减和控制风险的目的。
基于知识的分析方法,最重要的还在于评估信息的采集,信息源包括:
会议讨论;
对当前的信息安全策略和相关文档进行复查;
制作问卷,进行调查;
对相关人员进行访谈;
进行实地考察;
为了简化评估工作,组织可以采用一些辅助性的自动化工具,这些工具可以帮助组织拟
订符合特定标准要求的问卷,然后对解答结果进行综合分析,在与特定标准比较之后给出最
终的推荐报告。
1.5.2 基于模型的分析方法
2001 年 1 月,由希腊、德国、英国、挪威等国的多家商业公司和研究机构共同组织开
发了一个名为 CORAS 的项目,即 Platform for Risk Analysis of Security Critical
Systems。该项目的目的是开发一个基于面向对象建模特别是UML 技术的风险评估框架,它
的评估对象是对安全要求很高的一般性的系统,特别是 IT 系统的安全。CORAS 考虑到技术、
人员以及所有与组织安全相关的方面,通过 CORAS 风险评估,组织可以定义、获取并维护
IT 系统的保密性、完整性、可用性、抗抵赖性、可追溯性、真实性和可靠性。
与传统的定性和定量分析类似,CORAS 风险评估沿用了识别风险、分析风险、评价并处
理风险这样的过程,但其度量风险的方法则完全不同,所有的分析过程都是基于面向对象的
模型来进行的。CORAS 的优点在于:提高了对安全相关特性描述的精确性,改善了分析结果
的质量;图形化的建模机制便于沟通,减少了理解上的偏差;加强了不同评估方法互操作的
效率;等等。
1.5.3 定量分析
进行详细风险分析时,除了可以使用基于知识的评估方法外,最传统的还是定量和定性
分析的方法。
定量分析方法的思想很明确:对构成风险的各个要素和潜在损失的水平赋予数值或货币
金额,当度量风险的所有要素(资产价值、威胁频率、弱点利用程度、安全措施的效率和成
本等)都被赋值,风险评估的整个过程和结果就都可以被量化了。简单说,定量分析就是试
图从数字上对安全风险进行分析评估的一种方法。
定量风险分析中有几个重要的概念:
暴露因子(Exposure Factor,EF)—— 特定威胁对特定资产造成损失的百分比,
或者说损失的程度。
单一损失期望(Single Loss Expectancy,SLE)—— 或者称作 SOC(Single
OccuranceCosts),即特定威胁可能造成的潜在损失总量。
年度发生率(Annualized Rate of Occurrence,ARO)—— 即威胁在一年内估计
会发生的频率。
年度损失期望(Annualized Loss Expectancy,ALE)—— 或者称作 EAC
(EstimatedAnnual Cost),表示特定资产在一年内遭受损失的预期值。
考察定量分析的过程,从中就能看到这几个概念之间的关系:
(1) 首先,识别资产并为资产赋值;
(2) 通过威胁和弱点评估,评价特定威胁作用于特定资产所造成的影响,即 EF(取
值在 0%~100%之间);
(3) 计算特定威胁发生的频率,即 ARO;
(4) 计算资产的 SLE:SLE = Asset Value × EF
剩余30页未读,继续阅读
资源评论
分享家
- 粉丝: 2
- 资源: 130
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功