脆弱性识别.ppt

脆弱性识别安全措施识别确认 本次课程目标 1、能够明确理解脆弱性识别、安全措施识别工作内容 2、能够描述出脆弱性赋值方法 3、能够利用工具及材料完成脆弱性识别、安全措施识别并输出 脆弱性是对一个或多个资产弱点的总称。脆弱性识别也称为弱点识别，弱点是资产本身存在的，如果没有相应的威胁发生，单纯的弱点本身不会对资产造成损害。而且如果系统足够强健，再严重的威胁也不会导致安全事件，并造成损失。即，威胁总是要利用资产的弱点才可能造成危害。 脆弱性识别所采用的方法主要有：问卷调查、工具检测、人工核查、文档查阅、渗透性测试等。 脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面，前者与具体技术活动相关，后者与管理环境相关。 一、脆弱性识别 /dx / /dx/151230/4752323.html /dx/151030/4719327.html /dx/151030/4719325.html /dx/151231/4752747.html /dx/151231/4752752.html /dx/151231/4752755.html /dx/151231/4752761.html /dx/151231/4752762.html /dx/151231/4752764.html /dx/151231/4752779.html /dx/151231/4752783.html /dx/151231/4752788.html /dx/151231/4752789.html /dx/151231/4752795.html /dx/151030/4719321.html /dx/151115/4726601.html /dx/151115/4726604.html /dx/151115/4726607.html /dx/151225/4749956.html /dx/151225/4749975.html 脆弱性识别内容表 类型　 识别对象 识别内容 技术脆弱性 物理环境 从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别。 服务器（含操作系统） 从物理保护、用户帐号、口令策略、资源共享、事件审计、访问控制、新系统配置（初始化）、注册表加固、网络安全、系统管理等方面进行识别。 网络结构 从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别。 数据库 从补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、备份恢复机制、审计机制等方面进行识别。 应用系统 审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别。 管理脆弱性 技术管理 物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性。 组织管理 安全策略、组织安全、资产分类与控制、人员安全、符合性 脆弱性严重程度赋值表 等级 标识 定义 5 很高 如果被威胁利用，将对资产造成完全损害 4 高 如果被威胁利用，将对资产造成重大损害 3 中 如果被威胁利用，将对资产造成一般损害 2 低 如果被威胁利用，将对资产造成较小损害 1 很低 如果被威胁利用，将对资产造成的损害可以忽略 安全措施可以分为预防性安全措施和保护性安全措施两种。预防性安全措施可以降低威胁利用脆弱性导致安全事件发生的可能性，如入侵检测系统；保护性安全措施可以减少因安全事件发生对信息系统造成的影响，如业务持续性计划。 二、安全措施的确认 选择安全控制措施应该以风险评估的结果作为依据，判断与威胁相关的薄弱点，决定什么地方需要保护，采取何种保护手段。 安全控制选择的另外一个重要方面是费用因素。如果实施和维持这些控制措施的费用比资产遭受威胁所造成的损失预期值还要高，那么所建议的控制措施就是不合适的。如果控制措施的费用比企业的安全预算还要高，则也是不合适的。但是，如果预算不足以提供足够数量和质量的控制措施，从而导致不必要的风险，则应该对其进行关注。 二、安全措施的确认 作业布置 1、脆弱性识别内容 2、安全措施确认步骤