- 1、本文档共271页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
风险分析风险评估风险对策风险分析风险评估风险对策风险分析风险评估风险对策
安全审核与风险分析 第一单元安全审核入门 学习目标 明确安全审核人员的主要职责 了解风险评估 掌握风险评估的各个阶段 了解差距分析 掌握资源等级的划分 掌握如何计划实施安全审核 了解获得管理者支持的重要性 掌握获得客户反馈的方法 审核人员的工作 制定安全策略----任何一个管理规范的网络都需要制定一系列的安全策略 。 风险评估 明确审核企业性质 阅读书面安全策略 评价已经存在的管理和控制体系 实施风险分析 提交审核报告 …… 审核人员的职责和前瞻性 从安全管理者的角度考虑 需要从防火墙内部进行监测,关注内部网络服务器和主机是否有异常情况。 安全管理者还要从防火墙外部进行渗透以查看防火墙的规则配置是否有漏洞,判断黑客是否能穿透防火墙进而控制网络主机。 从安全顾问的角度考虑 从黑客的角度和不知情的审核者的角度对网络进行测试 从一个内部知情人的角度来评估网络安全 合并两方面测试中得到的信息,作综合评价后进行更深层次的审核 内部威胁分析 攻击者并不一定都是黑客和外部人员。 若将存放重要资料的服务器暴露在内部网络的公共区,内部使用者就可能直接对其进行攻击。 使用多层防火墙机制可以很好地解决这个问题。 在内部网络中,另外建立一个防火墙,分割一般使用者和重要资料服务器的网段。严格限制其出入的传输,强化资料存取的安全性。 风险评估 风险评估是指定位网络资源和明确攻击发生的可能性。 风险评估是一种“差距分析”,可以显示出安全策略和实际发生攻击之间的差距。 信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。 风险评估的准备 风险评估的准备过程是组织机构进行风险评估的基础,是整个风险评估过程有效性的保证。 确定风险评估的目标。 … … 风险评估的依据 1、政策法规:中办发[2003]27号文件和国信办文件 2、国际标准:如BS7799-1 《信息安全管理实施细则》 BS7799-2 《信息安全管理体系规范》等 3、国家标准或正在审批的讨论稿,如GB 17859-1999 《计算机信息系统安全保护等级划分准则》和《信息安全风险评估指南》等 4、行业通用标准等其它标准 风险评估的原则 可控性原则 完整性原则 最小影响原则 保密原则 风险结果的判定 风险等级的划分 控制措施的选择 残余风险的评价 1.仔细检查书面安全策略 “road map”或“framework” 2.对资源进行分析、分类和排序 ----找出网络中最重要的资源 风险评估的步骤 3.通常遭受攻击的资源 风险评估的步骤 下表列出了一些通常遭受攻击的网络资源 : 风险评估的步骤 每个部门都有自己的数据库,但人力资源、财务和研发部门的 数据通常比其它部门的更重要一些。 风险评估的步骤 4.考虑商业需求 为企业需求制定安全策略,应当考虑一些特殊的部门和个体。目标是提高各部门的工作效率并使他们的数据更安全。 风险评估的步骤 5.评估已有的边界和内部安全 边界安全指网络间区分彼此的能力,防火墙是定义安全边界的第一道屏障。 内部安全是指网络管理员监测和打击未授权的网络活动的能力。 通过对现有安全机制的评估确认网络可以从外部攻击中尽快恢复。 风险评估的步骤 6.使用已有的管理和控制结构 在审核过程中,可以使用网络中已有的管理和控制结构。 基于网络的管理结构 基于主机的管理结构 两种管理结构各有优劣,可以根据不同的管理任务进行选择。 简单查询体系结构 用户—代理体系结构 风险评估阶段 黑客在入侵攻击网络系统的过程中不外乎三个步骤:扫描侦查、渗透和控制网络系统。 安全审核人员进行审核时也有三个阶段:侦查阶段、渗透阶段、控制阶段。 安全审核人员不同于黑客。 风险评估阶段 侦查阶段----扫描和测试系统的有效安全性。 对网络进行侦查意味着要定位出网络资源的使用的具体情况,包括IP地址、开放端口、网络拓扑等。 实施分析要求对系统逐个检测。 侦查阶段的分析工作通常需要大量的时间。 风险评估阶段 渗透阶段----渗透测试 渗透测试是指在获取用户授权后,通过真实模拟黑客使用的工具、分析方法来进行实际的漏洞发现和利用的安全测试方法。 在渗透测试中,将检查各种系统的漏洞,并试图使下列元素无效: 加密 密码 访问列表 风险评估阶段 控制阶段----控制演示 控制-----表明一个黑客可以控制网络资源、创建帐号、修改日志、行使管理员的权限。 审核
您可能关注的文档
- G标公路桥梁施工安全风险专项评估报告20140509.doc
- xhl3标风险评估报告.doc
- XX发电厂(危险源辨识和风险评价结果一览表).doc
- xx汽车紧固件项目可行性研究报告.doc
- x项目评估第九章.ppt
- 安全风险管理100问(题库1).doc
- 安全风险评估报告(酉沿一分部).doc
- 安全风险评估报告.doc
- 安全风险预控管理体系.doc
- 安全风险预控制度4645668.doc
- 第十一章 电流和电路专题特训二 实物图与电路图的互画 教学设计 2024-2025学年鲁科版物理九年级上册.docx
- 人教版七年级上册信息技术6.3加工音频素材 教学设计.docx
- 5.1自然地理环境的整体性 说课教案 (1).docx
- 4.1 夯实法治基础 教学设计-2023-2024学年统编版九年级道德与法治上册.docx
- 3.1 光的色彩 颜色 电子教案 2023-2024学年苏科版为了八年级上学期.docx
- 小学体育与健康 四年级下册健康教育 教案.docx
- 2024-2025学年初中数学九年级下册北京课改版(2024)教学设计合集.docx
- 2024-2025学年初中科学七年级下册浙教版(2024)教学设计合集.docx
- 2024-2025学年小学信息技术(信息科技)六年级下册浙摄影版(2013)教学设计合集.docx
- 2024-2025学年小学美术二年级下册人美版(常锐伦、欧京海)教学设计合集.docx
文档评论(0)