随着对政府部门、金融机构、企事业单位、商业组织等信息系统的依赖度越来越高,信息安全问题受到普遍关注。 运用风险评估识别安全风险,解决信息安全问题已得到广泛的认识和应用。
从风险管理的角度出发,信息安全分析评估:运用科学的方法和手段,系统地分析了信息系统面临的威胁及其存在的脆弱性,评估了安全事件——一旦发生的危害程度,提出了针对威胁的针对性防护对策和改进措施。 为防范和化解信息安全风险,将风险控制在可接受水平,最大限度保障信息安全提供科学依据。
信息安全风险评估作为信息安全保障工作的基础性工作和重要环节,必须贯穿于信息系统的规划、设计、实施、运行维护和处置环节,是信息安全等级保护制度建设的重要科学方法之一。
网站的风险往往来自漏洞!
漏洞扫描漏洞扫描内容扫描网络设备版本的漏洞。 这包括但不限于iOS中存在的漏洞。 这包括所有在线网络设备和安全设备。 开放服务。 包括但不限于路由器的开放web管理界面和其他管理方法。 空/弱telnet密码、snmp密码等弱密码。 网络资源访问控制:无线接入点域名系统发现、ISC BIND SIG资源记录失效拒绝服务攻击漏洞、Microsoft Windows DNS拒绝服务攻击路由器、 绕过Cisco IOS Web配置接口安全验证,Nortel交换机/路由器的默认密码漏洞华为路径包括Windows、AIX、Linux、HPUX、Solaris和VMware 例如,验证:通过telnet进行密码猜测访问控制:注册表Hkey_Locker远程主机允许匿名FTP登录,FTP服务器中存在匿名可写目录系统漏洞。 System V系统登录远程缓冲区溢出漏洞、Microsoft Windows Locator服务远程缓冲区溢出漏洞安全配置问题,以及某些SMB用户的密码漏洞。 您试图使用rsh登录到远程系统APP应用程序,如Oracle、DB2、MS SQL、Apache、WebSphere、Tomcat和IIS数据库,但不限于Oracle和FTP 空密码APP应用程序帐户检测数据库软件,用于检测其他修补程序(如SSH和FTP )和版本漏洞;Oracle tis Microsoft SQL server 2000 resolution服务多个安全漏洞Web服务Apache-SSL远程缓冲区溢出漏洞、Microsoft IIS5.0 printer ISAPI远程缓冲区溢出、Sun ONE/iPlanet Web服务程序块代码传输漏洞电子邮件系统、 Sendmail标头处理远程溢出漏洞、Microsoft Windows 2000 SMTP服务认证错误漏洞防火墙和APP应用程序网络管理系统、Axent Raptor防火墙拒绝服务漏洞及其他网络Wingate POP3 USER命令远程溢出漏洞,Linux系统LPRng远程格式字符串漏洞扫描原理检测生存主机扫描程序的三大功能:发现主机、发现主机上的服务、发现服务漏洞
扫描仪首先检测目标系统的活动主机,检测方式默认为ICMP ping和TCP ping,可以选择UDP ping。
端口和服务通过TCP端口扫描方式确定目标主机开放的端口,默认可以通过CONNECT方式选择SYN方式,同时通过协议指纹技术识别主机的操作系统类型。
漏洞扫描程序通过网络服务类型标识开放端口,以确定提供的网络服务。 漏洞扫描程序基于目标系统的操作系统平台和提供的网络服务,调用漏洞数据库中已知的各种漏洞逐一检测,通过分析探测响应包发现已知的安全漏洞
在攻击风险和误报漏洞的检测过程中,扫描仪根据自身数据库中的payload (漏洞使用程序)向目标发送信息,根据返回的数据包判断有无漏洞。 虽然是非攻击性的payload,但这个过程有一定的风险。
有些漏洞是payload,或者扫描仪自身的数据库中没有此漏洞。 在这种情况下,扫描仪将根据扫描的目标系统的服务版本确定是否存在漏洞。 例如,如果目标主机上有Oracle 11g数据库,而扫描仪没有此版本的payload,则扫描仪将显示数据库中低于此版本的所有漏洞。 它还可能会导致在确定目标系统的服务版本时出现偏差,并最终导致漏洞误报。
信息安全风险评估安全服务的方向风险评估服务风险评估是对信息资产存在的脆弱性、面临的威胁、影响以及三者综合作用下风险的可能性评估。
等级评估服务国家信息安全等级保护
安全咨询服务以行业特点为核心,从技术、运维、管理、战略等方面提供针对性的安全技术和管理咨询服务
安全审核服务可了解现有环境是否根据默认安全策略得到了适当的保护
运输管理服务应急响应、驻场安全运输、巡检、渗透评估、安全
安全培训服务安全管理培训、安全技能培训、安全认证培训
安全服务内容漏洞:漏洞扫描,配置核查,安全加固,渗透,3http://ww.Sina /
测试、代码审计威胁:网络架构分析、安全巡检、日志分析、恶意代码排查
事件:应急演练、应急响应、安全监测、安全值守
体系设计:ISMS体系建设、安全体系规划、应急体系建设、安全域划分、应用开发安全生命周期
合规咨询:等级保护咨询、行业合规咨询
安全评估:系统上线前检查、风险评估、业务安全评估、无线安全评估、虚拟化安全评估
安全培训:安全意识培训、安全管理培训、安全技能培训
安全研究:安全课题研究
风险评估的依据GB/T 20984-2007 信息安全技术 信息安全风险评估规范
什么是信息安全风险评估信息安全风险是指在信息化建设中,各类应用系统及其赖以运行的基础网络、处理的数据和信息,由于其可能存在的软硬件缺陷、系统集成缺陷等,以及信息安全管理中潜在的薄弱环节,而导致的不同程度的安全风险。
信息安全风险评估是从风险管理的角度,运用科学的手段,系统的分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,为防范和化解信息安全风险,或者将风险控制在可以接受的水平,制定有针对性的抵御威胁的防护对策和整改措施以最大限度的保障网络和信息安全提供科学依据。
大小型机、服务器、工作站、虚拟化;
操作系统、数据库、中间件等
业务应用内外网网站、业务系统相关人员掌握重要信息和核心业务的人员,如主机维护主管、
网络维护主管及应用项目经理等
安全管理文档信息安全管理体系、制度、规范及记录文档脆弱性识别 类型识别对象识别内容技术脆弱性物理环境从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别系统软件从补丁安装、物理保护、用户账号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别应用中间件从协议安全、交易完整性、数据完整性等方面进行识别应用系统从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别管理脆弱性技术管理从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别组织管理从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别脆弱性识别技术手段 对抗性测试功能性测试应用环境数据
应用
客户数据、业务数据
代码、业务逻辑、安全功能
安全渗透测试
代码安全审计
安全功能检查
业务流程安全评估
集成环境系统
网络
操作系统、数据库、Web容器等
网络架构、网络设备、安全设备
安全漏洞扫描
安全配置检查
安全域策略检查
漏洞扫描流程准备阶段:前期技术交流,确定扫描范围、目标,确定扫描方案;
扫描过程:漏洞扫描实施,漏洞分析,漏洞验证;
报告与汇报:扫描数据整理,报告输出与提交,内容沟通;
风险分析方法 风险计算原理 可能性计算 脆弱性严重程度12345威胁发生频率1247111423610131735912162047111418225812172025安全事件发生可能性值1-56-1112-1617-2122-25发生可能性等级12345 安全事件损失 脆弱性严重程度12345资产价值12461013235712163471115204581419225610162125 安全事件损失等级划分 安全事件损失值1-56-1011-1516-2021-25安全事件损失等级12345矩阵法计算 风险值及风险等级 可能性12345损失1369121625811151836913172147111620235914202325风险值1-67-1213-1819-2324-25风险等级12345相乘法计算相乘法主要用于两个或多个要素值确定一个要素值的情形。即z=f(x,y),函数f可以采用相乘法。
相乘法原理是:z=f(x,y)=x☀y
当f为增量函数时,☀可以直接相乘,也可以相乘后取模等。
如采用z=f(x,y)=,最终对z四舍五入取整数。
资产A、威胁T、脆弱性V
可能性=
损失=
风险值=可能性*损失
风险值1-67-1213-1819-2324-25风险等级12345等级标记描述5很高一旦发生将产 生非常严重的经济或社会影响,如组织信誉严重破坏、严重影响组织的正常经营,经济损失重大、社会影响恶劣4高一旦发生将产生较大的经济或社会影响,在-定范围内给组织的经营和组织信誉造成损害3中一旦发生会造成一 定的经济、社会或生产经营影响,但影响面和影响程度不大2低一旦发生造成的影响程度较低,-般仅限于组织内部,通过一定手段很快能解决1很低一旦发生造成的影响几乎不存在,通过简单的措施就能弥补