第9讲国内网络安全风险评估市场与技术操作
国内网络安全风险评估市场与技术操作
吴鲁加@网络安全焦点
版本控制
近两年网络安全风险评估渐渐为人们所重视,不少大型企业尤其是运营商、金融业都请了专业公司进行评估。本文提出作者个人对国内安全风险评估操作的一些评价,并试图阐述作者所理解的,可裁剪、易操作的风险评估方式。由于内容与商业公司有关,因此不可避免会涉及部份商业利益,在文中作者尽量隐去可能产生直接利害关系的文字,并声明所有评价纯属个人观点,如果你有不同意见,欢迎来函探讨。
1. 什么是风险评估
说起风险评估,大家脑海中首先浮现的可能是:风险、资产、影响、威胁、弱点等一连串的术语,这些术语看起来并不难理解,但一旦综合考虑就会象绕口令般组合。比如风险,用ISO/IEC TR 13335-1:1996中的定义可以解释为:特定威胁利用某个(些)资产的弱点,造成资产损失或破坏的潜在可能性。
为了帮助理解,我们举一个下里巴人的例子:我口袋里有100块钱,因为打瞌睡,被小偷偷走了,搞得晚上没饭吃。
用风险评估的观点来描述这个案例,我们可以对这些概念作如下理解:
回到阳春白雪来,假设这么个案例:某证券公司的数据库服务器因为存在RPC DCOM的漏洞,遭到入侵者攻击,被迫中断3天。
让我们尝试做一道小学时常做的连线题,把左右两边相对应的内容用线段连接起来:
如果这道题对你没什么难度,那么恭喜你,你已经和国内大多数风险评估的操作者差不多站在同一个起跑线上了。
2. 国内现有风险评估操作模式
2.1 评估市场和竞争分析
如果按照高、中、低端简单对国内的风险评估市场进行分类,那么我们可以很清晰地看到,几类市场的操作方式完全不同。
国内高端市场主要被如IBM(普华永道)、毕马威这样类型会计师事务所类型的公司占领,往往网络安全评估就涵盖在他们的整个审计体系之下。中端市场上则盘踞着国内外大多数较有实力的网络安全公司,其中包括较早提出安全评估并且在运营商市场有比较好的实践的安氏、有作风稳健但却一步一个脚印打下大片疆土的启明星辰、也有异军突起极具竞争力的绿盟科技……低端厂商则数量庞大,往往只是通过简单的漏洞扫描、病毒查杀等方式操作。
2.2 主要中端厂商的评估模式分析
以下分析中的数据来源为笔者在从事网络安全评估实践时通过各种渠道获得。但由于信息的时效性,未能确认当前文中所进行的表述与分析就代表着各家企业的最新评估发展状态。希望读者自行鉴别。
2.2.1 启明星辰
启明星辰2002年之前始终比较低调,但风险评估项目从最初对某证券公司进行的纯粹漏洞扫描、人工审计、渗透测试这种类型的纯技术操作到套用BS7799到采用OCTAVE方法再到最终形成自己的网络安全风险评估的方法论、操作模型,有很多专业人员付出了大量劳动。下图是启明星辰的幻灯片中摘录的,他们评估发展的历程,在每个台阶上有该阶段所经过的项目名称,出于安全原因隐去。
业务参与性弱、解决方案可操作性差往往也是高要求的用户对风险评估队伍批评较多的地方,但从启明星辰近期在几家大型客户那里的操作来看,较受客户好评。
启明星辰有较多在风险评估中可以应用的工具:
1.天镜评估版:扫描器,有专门用于风险评估的版本。
2.天清:又名SRC,指Security Risk Manage,基于ISO17799的量化、可视
化的评估工具。
3.信息库:名称不详,能够直接导入天镜、Nessus、ISS等扫描器的扫描结
果并生成报告。据说是较好的安全评估过程辅助工具。
4.本地评估软件包。
我理解的启明星辰风险评估特点为:
o博采众长
这一方面与启明星辰参与部份安全行业国家标准的制订有关,另一方面则是他们有着较多高学历员工,对高端咨询类型的提炼、深化抓得比较好,对评估要求看得透彻,写得清楚。
o变化较快
这可以说既是优点,也是缺点。在每次较大的评估项目中他们一般都要求有所突破。这逼着他们去创新,但同时也导致评估的方法论很容易有变动。
2.2.2 绿盟科技
绿盟科技从最初参与中国电信评估项目开始走进安全评估领域,挟其强大的系统研究技术优势进入市场。下图是他们一份讲稿中的评估流程描述:
我对绿盟科技风险评估方法的总体评价是:它是专业的系统和网络安全评估,不是信息安全评估,具体有如下几点:
o项目可操作性强
o管理评估存在不足,风险计算方式不够科学
o技术弱点把握精确
2.2.3 安氏
安氏在国内较早从事网络安全风险评估项目的操作,做过较大的评估项目(包括顾问咨询)有:中国移动CMNET全网网络安全评估项目、天津电力公司安全咨询项目、中国电信IP网安全咨询顾问项目、上海移动boss系统安全咨询顾问项目、深圳华为科技公司安全咨询顾问项目等。
个人理解,2001年前后,IS-ONE的评估在国内较为领先,一方面是他们与国外公司的沟通较密切,另外其高管层对风险评估、BS7799比较重视。但到了2003年,安氏整体战略转型,产品方面一边中止与ISS合作,一面高调宣传做自主产品,SOC大集成成为其主推概念,在风险评估领域的方法论却缺乏创新和突破。安氏的安全风险评估有几大优势:
o项目管理较为专业
下图是从安氏给某用户汇报时ppt的摘录,是他们项目管理的过程。
o文档体系比较规范
这可能与安氏的部份高管强执行力和国外背景有一定关系。他们较为注重方案、咨询建议等经验的可复用,当然,这同时也容易造成他们考虑问题简单化,对小客户容易用大企业的方案来裁剪套用。就现在他们做过的项目来看,至少有以下标准方案的积累:
这里列举一份安氏的售前方案目录,相信内行人能看出一些门道来吧;)
另外,安氏的信息库也能成为他们在风险评估中一项有力的武器。
2.2.4 其它
这里所指的其它公司,大部份是实力较强的企业,如联想之流,介入安全行业并凭借良好的渠道和合作伙伴关系,打开一定的局面者。需要指出的是安络科技,公司不大,但历经风雨,还能够在行业中有一定位臵。
但是对于风险评估,则归类到这里的企业多数缺乏自己的风格,甚至评估只是他们很小的“副业”,因此在他们的方案或幻灯片中,常见到的是各种标准的流程、关系图等等,如下面这两副:
几乎在所有企业的的风险评估方案中,我都看到上面的那副安全风险关系图,当然有些公司做了某些修改、美化以强调自己的理解、突出自己评估方法中的核心部份,比如下面这张启明星辰的安全风险关系图:
2.2.4.1 亿阳信通
他们的所有业务流程包括:信息资产的界定、策略文档分析、安全审计、网络结构的评估、业务流程分析、安全技术性弱点的评估、安全威胁的评估、现有安全措施评估、安全弱点综合评估、安全威胁综合分析、综合风险分析。采用的评估方法包括五种:工具远程/本地评估、人工评估、白客测试、安全问卷、顾问访谈。
使我印象深刻的是,他们对方案中大多数项目都有比较严格的过程说明、参与人员说明、主要评估方式、输入、输出、参考规范和标准。比较严谨。
2.2.4.2 亚信科技
有着深厚运营商行业的优势,其曾经的子公司玛赛有过相当不错的成绩。从他们的几个方案中分析,亚信对风险评估的研究并不深入,仅是简单抄了一堆基本风险评估法、详细风险评估法、综合风险评估法等的概念。他们的评估分为六大部份:资产、脆弱性、威胁、影响、安全措施评估、风险评估。风险评估是对前五者的综合,其中的安全措施估计是自己增加的。我理解起来整体思路感觉比较混乱。
2.2.4.3 华为
华为的部份合作风格一直令人左右为难……他们有庞大而有力的销售队伍、运营商方面良好的合作背景,这些都诱惑着其它厂商与之合作。但华为的高速发展和发展过程的调整,却往往令合作伙伴有些进退维谷。仅以防火墙市场为例,华为曾经因为要选择合作伙伴,广邀防火墙厂商进行产品测试,对各种产品的功能、性能指标、技术特点都了如指掌。但2003年华为推出了自己的防火墙产品。
2003年可以说是华为将安全由内部建设转向往外部推动的转折年。原因或许是他们发现他们的主要客户运营商已经把安全门槛提高了,与其很费劲地迈这个门槛,不如在自已的产品和集成基础上造一个高门槛。
华为的评估与其它安全公司的评估侧重点略有不同,更侧重于网络架构和应用评估(可能是他们这方面的人才更多的缘故)。2003年市场上也略有斩获。
2.2.4.4 联想
联想的网络安全事业部和他们网御系列的安全产品一直令我很迷惑──为什么联想投资一方面注资绿盟科技,另一方面却自己力图创立安全产品和服务品牌?从目前的情形来看,网御防火墙已经在市场上取得不错的销售成绩,网御入侵检测也初露头角。但笔者个人测试,这两款安全产品从功能、性能上来说都远离联想的大厂商风范。
安全服务和风险评估方面,联想介入市场比较迟,但由有几位掌握方面论和攻击渗透的安氏员工的加盟(由此也可见安氏的方法论积累很不错;)),他们很快站在前人的基础上号称有了一套自己的标准方法和操作流程。
2.2.4.5 安络科技
安络科技创立伊始,在国内的网络安全界有比较高的知名度。但多年来始终偏安于深圳,失去了飞速增长的机会。因此被从国内安全厂商的第一梯队挤出。
在他们的很多方案中,同时包括了评估建议书和中长期安全规划建议。他们的远程风险评估乏善可陈,本地风险评估分得很细,包括实施安全、平台安全、数据安全、通信安全、应用安全、运行安全、管理安全的评估。但在可操作性方面下的功夫还不够。
2.3 部份低端厂商的评估模式
部份低端评估厂商在市场上不但存在,而且有很大的生存空间。他们的目标客户群体是小型企业。不会为评估花费太多的精力和金钱,安全也只需要简单达到某一基线即可。
通常这些厂商的做法快速简洁:
之后就可以坐地分金了,这种操作模式仅需要少数技术骨干就能很好地进行。
3. BS7799和OCTAVE
3.1 BS7799的优势和弱点
要初步了解BS7799,我觉得从两个角度入手
1.了解BS7799的安全管理流程,也就是建立信息安全管理体系的方法和步
骤
2.系统了解BS7799中提到的10类127个控制项的内容
并且能够在此基础上针对不同行业选择(甚至新增)控制项。就如最近移动集团提出的NISS(网络与信息安全标准)一样。
个人感觉BS7799的最大缺陷就在于可操作性不强,如果仅仅按BS7799的要求操作(类似ISO9000的评审),有可能最终达不到初始的安全目标。这或许也是BS7799和ISO17799呼声很高,但实际应用或者通过评审的企业并不多的原因之一。作为参考,这里给出一份sans提供的BS7799检查列表。
3.2 OCTAVE的有效补充
所谓OCTAVE,实际上是Operationally Critical Threat, Asset, and Vulnerability Evaluation的缩写,指的是可操作的关键威胁、资产和弱点评估。在我的理解中,OCTAVE首先强调的是O,其次是C,也就是说,它最注重可操作性,其次对关键性很关注,把握80/20原则:)
简单描述我理解OCTAVE的几个重点(实际上在OCTAVE中的每个环节都是不可忽视的,这里所说的几个重点是我认为OCTAVE较好、或者评估过程中比较关键的部份环节):
1.过程控制(整体)
OCTAVE将整体网络安全风险评估过程分为三个阶段九个环节,分别是:
下图是CERT在为一家医院进行风险评估时的进程时间表,我们可以作为参考。
2.创建威胁统计(process 4)
这个过程实际上完成两件事,一是对前面三个过程中收集的数据进行整理,使数据分析清晰。二是能够通过分析资产的威胁,创建重要资产及资产面临威胁的全局视图。
从下图我们可以看到,OCTAVE对某一资产的资产、访问、动机、参与者和结果都进行了分析(该图仅是针对一项资产──个人计算机,和一种访问──网络而建立的威胁视图),这种方式的确有助于我们看清企业内部的威胁情况。
3.识别关键资产(process 5)
也是第一阶段的延续,按OCTAVE的说法,分成两步:标识组件的关键种类和标识要分析的基础结构组件。如果从操作灵活性考虑,我们也可以在阶段一的时候为资产和知识标识出CIA(机密性、完整性和可用性),通过对CIA的综合运算得出最终结论。
4.进行风险分析(process 7)
与创建威胁统计中的威胁视图相对应,在这里需要标识出威胁可能造成的影响。要注意到的是,风险分析并非仅象下图那样是单一的,而是多种系统之间可能交叉影响,因此这个视图最终完成后将会是很大的一张图表。
4. 中小企业的特点和对OCTAVE的重新评价
4.1 中小型企业和大型企业在评估活动中的异同点
最直接的想法,大型企业和中小型企业对安全的关注要点是否完全相同?又是否完全不同?哪些在大型企业中做过的事是可复用的?我很少看到关于这些方面的讨论,因此也想在这里将问题提出,并给出我的粗浅考虑,希望能够引玉。
4.2 重新评价OCTAVE
通过对OCTAVE的初步学习,我们可以认识到它具有许多BS7799的所缺乏的可操作性方面的特点,但离完美还有一定距离,简单谈几点不足:
1.过份强调对大企业的评估活动,评估流程比较繁琐,完整视图建立不易操
作,要求组织中多人参与。
2.风险控制行动列表粒度较粗,与企业后续安全建设的实际工作有一定距
离。
3.由于强调了操作,执行时所依据的标准就相对简单(可能有主观臆断的因
素在内)。
任何事物,就算非常优秀,也都不能全盘照搬,是需要批判接受的,从上面对BS7799和OCTAVE的简单分析,你是否能够提炼出你自己的评估方法?
5. 如何制订最适合您企业的风险评估计划
这里考虑采用一个小企业的评估实例来说明制订适合自身当前状态的企业风险评估的方法。由于暂时没有适合的案例提供,因此留待下一版本完善。
6. 实施过程简述
6.1 定义阶段
实际上是售前工作的延续,即明确项目范围,清晰界定用户的需求。这点看似简单,但实际操作者却需要相当有经验,能够判断自己所拥有的资源;能够在既定时间内完成多少工作;能够与客户有技巧地谈判将其需求控制在最恰当的水平并维持到项目结束。
我们在这里列出了五个模块:前期交流、初步方案、投标方案、答标文档和参考报价。
按照实际项目操作流程,在售前阶段这五个模块的工作应该完整进行一遍。进入项目定义阶段时,实际上用户已经对网络安全风险评估有了一定了解,并且比较清楚自己的网络环境需要评估到什么程度,因此本阶段用户会就投标方案要求厂商进行进一步描述,并且就他们感兴趣的细节进行展开。
6.2 蓝图阶段
双方拟定项目的详细进度计划,建议在计划过程中至少要包含下面几部份内容:问题描述、目标和范围、SWOT分析、工作分解、里程碑和进度计划、双方资源需求、变更控制方法。
在蓝图阶段中需要召开蓝图会议,在会议结束后,必须在双方认可的基础上制订并签署项目蓝图,后续一切工作严格按蓝图进行。
网络与信息安全风险评估管理实施细则V1.0
网络与信息安全风险评估管理实施细则 第一章编制说明 第一条为在确保(以下简称“”)网络安全前提下,高效、可控地推动网络与信息系统风险评估工作,依据《电信网和互联网安全防护管理指南》(YD/T 1728-2008)、《电信网和互联网安全风险评估实施指南》(YD/T 1730-2008)、《网络与信息安全风险评估管理办法》等国家政策、行业 标准和集团公司相关规定,特制定本实施细则。 第二条本实施细则所指的网络和信息系统安全风险评估(以下简称“风险评估”)是指对网络和信息系统等信息资产在技术、管理等方面存在的脆弱性、威 胁、发生概率、安全事件影响等安全风险情况进行分析,找出安全风险, 有针对性的提出改进措施的活动。 第三条本实施细则适用于省公司、各市分公司根据行业监管要求或者自身安全要求,针对通信网、业务网、各支撑系统以及其它服务类信息系统,如电梯 控制系统、门禁系统等发起的各类风险评估。 第四条涉及的部门及单位包括:省公司网络部,各级通信网、业务网和各支撑系统维护部门,如省网管中心、业务支撑中心、发展计划部IT中心、行政 事务中心及各市分公司等等。 1
第二章职责与分工 第五条总体原则 (一)在“谁主管、谁负责”总体原则指导下,按照统一管理、分级负责原则,省公司及各市分公司负责所辖网络和系统的安全风险评估工作。 (二)“自评估为主、第三方评估为辅”原则。省公司应着力推动自有评估队伍的建设,逐步实现自主评估。第三方评估应侧重弥补尤其是在队伍建设初期, 由于对电信网络协议漏洞、编程漏洞了解较少、渗透测试技术水平不高等 方面的不足。 (三)原则上,安全评估服务与系统建设不能采用同一厂家。 第六条发起风险评估的责任主体包括省公司网络部、各级通信网、业务网和各支撑系统维护部门,如省网管中心、业务支撑中心、发展计划部IT中心及 各市分公司等等。 第七条省公司网络部应在网络与信息安全工作领导小组及上级主管部门领导下,组织开展公司层面安全评估工作: (一)落实上级安全风险评估工作总体安排,配合上级组织的风险评估工作。 在重大活动或敏感时期,应根据上级安排或者自身需要发起对特定网络 及信息系统的专项评估工作; (二)建立和完善风险评估工作考核指标和考核办法,组织考核评比。对风险评估相关文档的发布、保存、流转、更改、作废、销毁各环节进行严格 把控,确保风险评估资料的机密性、完整性和可用性; 2
网络安全风险评估
网络安全风险评估 网络安全主要包括以下几个方面:一是网络物理是否安全;二是网络平台是否安全;三是系统是否安全;四是信息数据是否安全;五是管理是否安全。 一、安全简介: (一)网络物理安全是指计算机网络设备设施免遭水灾、火 灾等以及电源故障、人为操作失误或错误等导致的损坏,是整个网络系统安全的前提。 (二)网络平台安全包括网络结构和网络系统的安全,是整 个网络安全的基础和。安全的网络结构采用分层的体系结构,便于维护管理和安全控制及功能拓展,并应设置冗余链路及防火墙、等设备;网络系统安全主要涉及及内外网的有效隔离、内网不同区域的隔离及、网络安全检测、审计与监控(记录用户使用的活动过程)、网络防病毒和等方面内容。 二、安全风险分析与措施: 1、物理安全:公司机房设在4楼,可以免受水灾的隐患;机 房安装有烟感报警平台,发生火灾时可以自动灭火;机房 安装有UPS不间断电源、发电机,当市电出现故障后, 可以自动切换至UPS供电;机房进出实行严格的出入登 记流程,机房大门安装有门禁装置,只有授权了的管理员 才有出入机房的权限,机房安装了视频监控,可以对计算 机管理员的日常维护操作进行记录。
2、网络平台安全:公司网络采用分层架构(核心层、接入层), 出口配备有电信、联通双运营商冗余链路,主干链路上安 装有H3C防火墙、H3C入侵防御设备,防火墙实现内外 网边界,互联网区、DMZ区、内网区的访问控制及逻辑 隔离,入侵防御设备可以有效抵御外来的非法攻击;在内 网办公区与服务器区之间,部署防火墙,实现办公区与服 务器区的访问控制及隔离,内网部署了堡垒机、数据库审 计与日志审计系统,可以有效记录用户使用计算机网络系 统的活动过程。 3、系统安全:公司各系统及时安装并升级补丁,可以及时的 修复系统漏洞,同时在关键应用系统前部署WAF,防护 来自对网站源站的动态数据攻击,电脑终端与服务器系统 安装杀毒软件,可以对病毒进行查杀。 4、信息数据安全:公司通过防火墙实现了内外网的逻辑隔离, 内网无法访问外网;同时部署了IP-guard加解密系统,借 助IP-guard,能够有效地防范信息外泄,保护信息资产安 全;对重要数据提供数据的本地备份机制,每天备份至本 地。 5、管理安全:公司严格按照等级保护之三级等保技术要求和 管理要求制定了一套完善的网络安全管理制度,对安全管 理制度、安全管理机构、人员安全管理、系统建设管理、 系统运维管理各个方面都做出了要求。
风险评估实施方案
风险评估实施方案
一、风险评估概述 1、风险服务的重要性 对于构建一套良好的信息安全系统,需要对整个系统的安全风险有一个清晰的认识。只有清晰的了解了自身的弱点和风险的来源,才能够真正的解决和削弱它,并以此来构建有着对性的、合理有效的安全策略,而风险评估既是安全策略规划的第一步,同时也是实施其它安全策略的必要前提。 近几年随着几次计算机蠕虫病毒的大规模肆虐攻击,很对用户的网络都遭受了不同程度的攻击,仔细分析就会发现,几乎所有的用户都部署了防病毒软件和类似的安全防护系统,越来越多的用户发现淡村的安全产品已经不能满足现在的安全防护体系的需求了。 安全是整体的体系建设过程,根据安全的木桶原理,组织网络的整个安全最大强度取决于最短最脆弱的那根木头,因此说在安全建设的过程中,如果不仔细的找到最短的那根木头,而盲目的在外面加钉子,并不能改进整体强度。 信息安全风险评估是信息安全保障体系建立过程中的重要的评价方法和决策机制,只有经过全面的风险评估,才能让客户对自身信息安全的状况做出准确的判断。 2、风险评估服务的目的及其意义 信息安全风险是指人为或自然的威胁利用信息系统及其团里
体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。 信息安全风险评估是指依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。她要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组造成的影响。 信息安全风险评估是信息系统安全保障机制建立过程中的一种评价方法,其结果为信息安全更显管理提供依据。 3、风险评估服务机制 在信息系统生命周期里,有许多种情况必须对信息系统所涉及的人员、技术环境、物理环境进行风险评估: ●在设计规划或升级新的信息系统时; ●给当前的信息系统增加新应用时; ●在与其它组织(部门)进行网络互联时; ●在技术平台进行大规模更新(例如,从Linux系统移植到 Sliaris系统)时; ●在发生计算机安全事件之后,或怀疑可能会发生安全事件 时; ●关心组织现有的信息安全措施是否充分或食后具有相应的安 全效力时;
网络安全风险评估最新版本
网络安全风险评估 从网络安全威胁看,该集团网络的威胁主要包括外部的攻击和入侵、内部的攻击或误用、企业内的病毒传播,以及安全管理漏洞等方面。因此要采取以下措施增强该集团网络安全: A:建立集团骨干网络边界安全,在骨干网络中Internet出口处增加入侵检测系统或建立DMZ区域,实时监控网络中的异常流量,防止恶意入侵,另外也可部署一台高档PC服务器,该服务器可设置于安全管理运行中心网段,用于对集团骨干网部署的入侵检测进行统一管理和事件收集。 B:建立集团骨干网络服务器安全,主要考虑为在服务器区配置千兆防火墙,实现服务器区与办公区的隔离,并将内部信息系统服务器区和安全管理服务器区在防火墙上实现逻辑隔离。还考虑到在服务器区配置主机入侵检测系统,在网络中配置百兆网络入侵检测系统,实现主机及网络层面的主动防护。 C:漏洞扫描,了解自身安全状况,目前面临的安全威胁,存在的安全隐患,以及定期的了解存在那些安全漏洞,新出现的安全问题等,都要求信息系统自身和用户作好安全评估。安全评估主要分成网络安全评估、主机安全评估和数据库安全评估三个层面。 D:集团内联网统一的病毒防护,包括总公司在内的所有子公司或分公司的病毒防护。通过对病毒传播、感染的各种方式和途径进行分析,结合集团网络的特点,在网络安全的病毒防护方面应该采用“多级防范,集中管理,以防为主、防治结合”的动态防毒策略。 E:增强的身份认证系统,减小口令危险的最为有效的办法是采用双因素认证方式。双因素认证机制不仅仅需要用户提供一个类似于口令或者PIN的单一识别要素,而且需要第二个要素,也即用户拥有的,通常是认证令牌,这种双因素认证方式提供了比可重用的口令可靠得多的用户认证级别。用户除了知道他的PIN号码外,还必须拥有一个认证令牌。而且口令一般是一次性的,这样每次的口令是动态变化的,大大提高了安全性。 补充:最后在各个设备上配置防火墙、杀毒软件,通过软件加强网络安全
信息安全风险评估方案教程文件
信息安全风险评估方 案
第一章网络安全现状与问题 1.1目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案,包括加密、身份认证、防病毒、防黑客等各个方面,每种解决方案都强调所论述方面面临威胁的严重性,自己在此方面的卓越性,但对于用户来说这些方面是否真正是自己的薄弱之处,会造成多大的损失,如何评估,投入多大可以满足要求,对应这些问题应该采取什麽措施,这些用户真正关心的问题却很少有人提及。 1.2网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时,往往是头痛医头、脚痛医脚,面对层出不穷的安全问题,疲于奔命,再加上各种各样的安全产品与安全服务,使用户摸不着头脑,没有清晰的思路,其原因是由于没有一套完整的安全体系,不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下,安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象,它们过分强调了某个方面的重要性,而忽略了安全构件(产品)之间的关系。因此在客户化的、可操作的安全策略基础上,需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面,涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题,应该使之客户化、可定义、可管理。无论静态或动态(可管理)安全产品,简单的叠加并不是有效的防御措施,应该要求安全产品构件之间能够相互联动,以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点,因此即使是多层面的安全防御体系,如果是静态的,也无法抵御来自外部
网络安全风险评估报告线路
XXXXXX工程 安全风险评估报告 Ⅰ.评估说明 一.通信网络安全风险评估概述: 为了加强网络安全管理,对于通信网络安全建设我们应当坚持光缆网络工程项目与通信网络安全保障设施同步建设,并与主体工程同步进行验收和投入运行;光缆网络工程的具体施工作业在制定技术方案时必须落实网络安全防护和技术保障措施;光缆网络工程施工作业必须严格执行工程建设标准强制性条文,满足网络安全要求等等基本原则。通信网络安全风险评估为建设项目安全验收提供科学依据,对建设项目未达到安全目标的系统或单元提出安全补偿及补救措施及后期整改建议。 二.通信网络安全风险评估技术标准依据: 1.YD/T 1742-2008 《接入网安全防护要求》 2.YD/T 1743-2008 《接入网安全防护检测要求》 3.YD/T 1744-2008 《传送网安全防护要求》 4.YD/T 1745-2008 《传送网安全防护检测要求》 三.通信网络安全风险评估目的、内容及范围: 1.评估目的与内容 1)通信网络安全风险评估的目的 通信网络安全风险评估是按照《通信网络安全防护管理方法》(工信部令第11号)第六条的要求,落实网络安全保障设施与主体工程同步建设、同步验收、同步投入使用及网络信息安全考核相关要求,在落实工程建设网络安全“三同步”工作时,按照下发的实施细则,确保网络安全“三同步”相关要求落到实处。为建设项目安全验收提供科学依据,对建设项目未达到安全目标的系统或单元提出安全补偿及补救措施,以利于提高建设项目本质安全程度,满足安全生产要求。 2)通信网络安全风险评估内容
检查建设项目中安全设施是否已与主体工程同时设计、同时施工、同时交付生产和使用;评价建设项目及与之配套的安全设施是否符合国家、行业有关安全生产的法规、规定和技术标准;从整体上评价建设项目的运行状态和安全管理是否正常、安全、可靠。 2.评估范围 根据本项目(线路部分)服务合同书的规定内容,经与建设单位商定:对通信施工当中的光缆线路防强电、光缆线路防雷、光缆线路防机械损伤、光缆线路防潮、光缆线路防鼠害、防飞禽等的安全风险评估。 四.通信网络安全风险评估的具体对象及评估的具体标准 1光缆线路防强电 (1)架空通信线路与电力输电线(除用户引入被复线外)交越时,通信线应在电力输电线下方通过并保持规定的安全隔距。且宜垂直通过,在困难情况下,其交越角度应不小于45度。 (2)架空通信线路与电力输电线(除用户引入被复线外)交越时,交越档两侧的架空光缆杆上吊线应做接地。 A架空通信线路与10KV及以上高压输电线交越时,在相邻电杆做延伸式地线,杆上地线在离地高2.0m处断开50mm的放电间隙。 B架空通信线路与电力输电线(除用户引入被复线外)交越时,两侧电杆上的人字拉线和四方拉线应在离地高2.0m处加装绝缘子,做电气断开。(选择路由时通信线路要避开在电力输电线两侧做终端杆或角杆) 。 (3)光缆的金属护套、金属加强芯在光缆接头盒处作电气断开。 (4)新设吊线每隔1公里左右作电气断开(加装绝缘子)。 (5)与380V和220V裸线交越时,如果隔距不够,相应电力线需换皮线。 (6)架空光缆线路(含墙壁式光缆)与电力线交越处,缆线套三线交叉保护套保护,每端最少伸出电力线外2米(垂直距离)。 (7)通信管道光缆与电力电缆同时并行时, 光缆可采用非金属加强芯或无金属构件的结构形式。 (8)在与强电线路平行地段进行光缆线路施工或检修时,应将光缆内的金属构件作临时接地。
信息安全风险评估方案
信息安全风险评估方案 第一章网络安全现状与问题 1、1 目前安全解决方案的盲目性现在有很多公司提供各种各样的网络安全解决方案,包括加密、身份认证、防病毒、防黑客等各个方面,每种解决方案都强调所论述方面面临威胁的严重性,自己在此方面的卓越性,但对于用户来说这些方面是否真正是自己的薄弱之处,会造成多大的损失,如何评估,投入多大可以满足要求,对应这些问题应该采取什麽措施,这些用户真正关心的问题却很少有人提及。 1、2 网络安全规划上的滞后网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时,往往是头痛医头、脚痛医脚,面对层出不穷的安全问题,疲于奔命,再加上各种各样的安全产品与安全服务,使用户摸不着头脑,没有清晰的思路,其原因是由于没有一套完整的安全体系,不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下,安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象,它们过分强调了某个方面的重要性,而忽略了安全构件(产品)之间的关系。因此在客户化的、可操作的安全策略基础上,需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面,涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、 DNS、 WWW、 MAIL 及其它应用系统。 静态的安全产品不可能解决动态的安全问题,应该使之客户化、可定义、可管理。无论静态或动态(可管理)安全产品,简单的叠加并不是有效的防御措施,应该要求安全产品构件之间能够相互联动,以便实现安全资源的集中管理、统一审计、信息共享。
网络安全等保保护风险评估方案
XXXX 风险评估建议书
目录 1.项目背景 (4) 2.风险评估概念 (4) 3.风险评估的必要性 (4) 3.1.全面了解信息安全现状 (4) 3.2.提供安全项目建设依据 (5) 3.3.有效规避项目风险 (6) 3.3.1.避免盲目投资 (6) 3.3.2.防止项目失控 (6) 4.评估范围和内容 (7) 4.1.范围 (7) 4.2.涉及领域 (7) 4.3.涉及资产 (9) 5.风险评估的方式 (10) 6.风险评估理论模型 (10) 6.1.风险管理流程模型 (10) 6.2.风险关系模型 (13) 6.3.风险计算模型 (15) 6.3.1.输入要素描述 (15) 6.3.2.输出要素描述 (15) 7.评估过程 (15) 7.1.阶段一前期准备 (15) 7.1.1.制定计划 (16) 7.1.2.培训沟通 (16) 7.1.3.建立评估环境 (17) 7.2.阶段二现场评估和调查 (18)
7.2.1.资产调查 (18) 7.2.2.问卷调查数据收集 (19) 7.2.3.工具协助和专家控制台分析 (19) 7.2.4.网络扫描 (21) 7.2.5.网络IDS嗅探 (23) 7.2.6.渗透测试(可选) (24) 7.3.阶段三风险评估 (24) 7.3.1.风险估计 (25) 7.3.2.风险评价 (25) 7.3.3.评估报告 (26) 7.4.阶段四项目验收 (26) 7.5.阶段五售后支持 (27) 8.结果文档 (27) 8.1.过程文档 (27) 8.2.评估报告 (27) 9.项目风险控制 (28) 9.1.原则要求 (28) 9.2.风险控制 (29) 9.2.1.法律保障 (29) 9.2.2.人力资源控制 (29) 9.2.3.密级控制 (29) 10.项目工作界面 (30) 10.1.项目组织结构 (30) 10.2.项目协调会 (32) 11.实施计划 (33) 11.1.任务分配 (33) 11.2.项目进度 (36)
xxxx无线网络安全风险评估报告.doc
xxxx有限公司 无线网络安全风险评估报告 xxxx有限公司 二零一八年八月
1.目标 xxxx有限公司无线网络安全检查工作的主要目标是通过自评估工作,发现本局信息系统当前面临的主要安全问题,边检查边整改,确保信息网络和重要信息系统的安全。 一.评估依据、范围和方法 1.1评估依据 根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》(信安通[2006]15号)、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》(办信息[2006]48号)以及集团公司和省公司公司的文件、检查方案要求, 开展××单位的信息安全评估。 1.2评估范围 本次无线网络安全评估工作重点是重要的业务管理信息系统和网络系统等,管理信息系统中业务种类相对较多、网络和业务结构较为复杂,在检查工作中强调对基础无线网络信息系统和重点业务系统进行安全性评估,具体包括:基础网络与服务器、无线路由器、无线AP系统、现有安全防护措施、信息安全管理的组织与策略、信息系统安全运行和维护情况评估。
1.3评估方法 采用自评估方法。 2.重要资产识别 对本司范围内的重要系统、重要网络设备、重要服务器及其安全属性受破坏后的影响进行识别,将一旦停止运行影响面大的系统、关键网络节点设备和安全设备、承载敏感数据和业务的服务器进行登记汇总。 3.安全事件 对本司半年内发生的较大的、或者发生次数较多的信息安全事件进行汇总记录,形成本单位的安全事件列表。 4.无线网络安全检查项目评估 1.评估标准 无线网络信息安全组织机构包括领导机构、工作机构。岗位要求应包括:专职网络管理人员、专职应用系统管理人员和专职系统管理人员;专责的工作职责与工作范围应有制度明确进行界定;岗位实行主、副岗备用制度。病毒管理包括计算机病毒防治管理制度、定期升
网络安全风险评估报告范文
网络安全风险评估报告范文 【IT168 评论】组织不必花费太多时间评估网络安全情况,以了解自身业务安全。因为无论组织的规模多大,在这种环境下都面临着巨大的风险。但是,知道风险有多大吗? 关注中小企业 网络 ___多年来一直针对大型企业进行网络攻击,这导致许多中小企业认为他们在某种程度上是免疫的。但是情况并非如此。其实中小企业面临着更大的风险,因为黑客知道许多公司缺乏安全基础设施来抵御攻击。 根据调研机构的调查,目前43%的网络攻击是针对中小企业的。尽管如此,只有14%的中小企业将其网络风险、漏洞和攻击的能力评估为“高效”。 最可怕的是,有60%的小企业在网络攻击发生后的六个月内被迫关闭。 换句话说,如果是一家财富500强公司或美国的家族企业,网络威胁并不能造成这么大的损失,并且这些公司将会制定计划来保护自己免遭代价昂贵的攻击。
以下是一些可帮助评估组织的整体风险水平的提示: 1.识别威胁 在评估风险时,第一步是识别威胁。每个组织都面临着自己的一系列独特威胁,但一些最常见的威胁包括: ●恶意软件和勒索软件攻击 ●未经授权的访问 ●授权用户滥用信息 ●无意的人为错误 ●由于备份流程不佳导致数据丢失 ●数据泄漏 识别面临的威胁将使组织能够了解薄弱环节,并制定应急计划。
2.利用评估工具 组织不必独自去做任何事情。根据目前正在使用的解决方案和系统,市场上有许多评估工具和测试可以帮助组织了解正在发生的事情。 微软安全评估和规划工具包就是一个例子。组织会看到“解决方案加速器”,它们基本上是基于场景的指南,可帮助IT专业人员处理与其当前基础设施相关的风险和威胁。 利用评估工具可以帮助组织在相当混乱和分散的环境中找到清晰的信息。 3.确定风险等级 了解组织面临的威胁是一回事,但某些威胁比其他威胁更危险。为了描绘出威胁的精确图像,重要的是要指定风险级别。 低影响风险对组织的未来影响微乎其微或不存在。中等影响风险具有破坏性,但可以通过正确的步骤恢复。高影响的风险是巨大的,可能会对组织产生永久性的影响。
信息安全风险评估需求方案完整版
信息安全风险评估需求 方案 HEN system office room 【HEN16H-HENS2AHENS8Q8-HENH1688】
信息安全风险评估需求方案 一、项目背景 多年来,天津市财政局(地方税务局)在加快信息化建设和信息系统开发应用的同时,高度重视信息安全工作,采取了很多防范措施,取得了较好的工作效果,但同新形势、新任务的要求相比,还存在有许多不相适应的地方。2009年,国家税务总局和市政府分别对我局信息系统安全情况进行了抽查,在充分肯定成绩的同时,也指出了我局在信息安全方面存在的问题。通过抽查所暴露的这些问题,给我们敲响了警钟,也对我局信息安全工作提出了新的更高的要求。 因此,天津市财政局(地方税务局)在对现有信息安全资源进行整合、整改的同时,按照国家税务总局信息安全管理规定,结合本单位实际情况确定实施信息安全评估、安全加固、应急响应、安全咨询、安全事件通告、安全巡检、安全值守、安全培训、应急演练服务等工作内容(以下简称“安全风险评估”),形成安全规划、实施、检查、处置四位一体的长效机制。 二、项目目标 通过开展信息“安全风险评估”, 完善安全管理机制;通过安全服务的引入,进一步建立健全财税系统安全管理策略,实现安全风险的可知、可控和可管理;通过建立财税系统信息安全风险评估机制,实现财税系统信息安全风险的动态跟踪分析,为财税系统信息安全整体规划提供科学的决策依据,进一步加强财税内部网络的
整体安全防护能力,全面提升我局信息系统整体安全防范能力,极大提高财税系统网络与信息安全管理水平;通过深入挖掘网络与信息系统存在的脆弱点,并以业务系统为关键要素,对现有的信息安全管理制度和技术措施的有效性进行评估,不断增强系统的网络和信息系统抵御风险安全风险能力,促进我局安全管理水平的提高,增强信息安全风险管理意识,培养信息安全专业人才,为财税系统各项业务提供安全可靠的支撑平台。 三、项目需求 (一)服务要求 1基本要求 “安全风险评估服务”全过程要求有据可依,并在产品使用有据可查,并保持项目之后的持续改进。针对用户单位网络中的IT 设备及应用软件,需要有软件产品识别所有设备及其安全配置,或以其他方式收集、保存设备明细及安全配置,进行资产收集作为建立信息安全体系的基础。安全评估的过程及结果要求通过软件或其他形式进行展示。对于风险的处理包括:协助用户制定安全加固方案、在工程建设及日常运维中提供安全值守、咨询及支持服务,通过安全产品解决已知的安全风险。在日常安全管理方面提供安全支持服务,并根据国家及行业标准制定信息安全管理体系,针对安全管理员提供安全培训,遇有可能的安全事件发生时,提供应急的安全分析、紧急响应服务。
信息安全风险评估方案
第一章网络安全现状与问题 目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案,包括加密、身份认证、防病毒、防黑客等各个方面,每种解决方案都强调所论述方面面临威胁的严重性,自己在此方面的卓越性,但对于用户来说这些方面是否真正是自己的薄弱之处,会造成多大的损失,如何评估,投入多大可以满足要求,对应这些问题应该采取什麽措施,这些用户真正关心的问题却很少有人提及。 网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时,往往是头痛医头、脚痛医脚,面对层出不穷的安全问题,疲于奔命,再加上各种各样的安全产品与安全服务,使用户摸不着头脑,没有清晰的思路,其原因是由于没有一套完整的安全体系,不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下,安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象,它们过分强调了某个方面的重要性,而忽略了安全构件(产品)之间的关系。因此在客户化的、可操作的安全策略基础上,需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面,涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题,应该使之客户化、可定义、可管理。无论静态或动态(可管理)安全产品,简单的叠加并不是有效的防御措施,应该要求安全产品构件之间能够相互联动,以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点,因此即使是多层面的安全防御体系,如果是静态的,也无法抵御来自外部和内部的攻击,只有将众多的攻击手法进行搜集、归类、分析、消化、综合,将其体系化,才有可能使防御系统与之相匹配、相耦合,以自动适应攻击的变化,从而
网络安全风险评估报告
网络安全风险评估报告 XXX有限公司 20XX年X月X日
目录 一、概述 (4) 1.1工作方法 (4) 1.2评估依据 (4) 1.3评估范围 (4) 1.4评估方法 (4) 1.5基本信息 (5) 二、资产分析 (5) 2.1 信息资产识别概述 (5) 2.2 信息资产识别 (5) 三、评估说明 (6) 3.1无线网络安全检查项目评估 (6) 3.2无线网络与系统安全评估 (6) 3.3 ip管理与补丁管理 (6) 3.4防火墙 (7) 四、威胁细类分析 (7) 4.1威胁分析概述 (7) 4.2威胁分类 (8) 4.3威胁主体 (8) 五、安全加固与优化 (9) 5.1加固流程 (9) 5.2加固措施对照表 (10) 六、评估结论 (11)
一、概述 XXX有限公司通过自评估的方式对网络安全进行检查,发现系统当前面临的主要安全问题,边检查边整改,确保信息网络和重要信息系统的安全。 1.1工作方法 在本次网络安全风险评测中将主要采用的评测方法包括:人工评测、工具评测。 1.2评估依据 根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》(信安通[2006]15号)、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》(办信息[2006]48号)以及公司文件、检查方案要求, 开展XXX有限公司网络安全评估。 1.3评估范围 此次系统测评的范围主要针对该业务系统所涉及的服务器、应用、数据库、网络设备、安全设备、终端等资产。 主要涉及以下方面: ●业务系统的应用环境; ●网络及其主要基础设施,例如路由器、交换机等; ●安全保护措施和设备,例如防火墙、IDS等; ●信息安全管理体系。 1.4评估方法 采用自评估方法。
信息安全风险评估方案DOC
第一章网络安全现状与问题 1.1目前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案,包括加密、身份认证、防病毒、防黑客等各个方面,每种解决方案都强调所论述方面面临威胁的严重性,自己在此方面的卓越性,但对于用户来说这些方面是否真正是自己的薄弱之处,会造成多大的损失,如何评估,投入多大可以满足要求,对应这些问题应该采取什麽措施,这些用户真正关心的问题却很少有人提及。 1.2网络安全规划上的滞后 网络在面对目前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时,往往是头痛医头、脚痛医脚,面对层出不穷的安全问题,疲于奔命,再加上各种各样的安全产品与安全服务,使用户摸不着头脑,没有清晰的思路,其原因是由于没有一套完整的安全体系,不能从整体上有所把握。 在目前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下,安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户目前接受的安全策略建议普遍存在着“以偏盖全”的现象,它们过分强调了某个方面的重要性,而忽略了安全构件(产品)之间的关系。因此在客户化的、可操作的安全策略基础上,需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面,涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题,应该使之客户化、可定义、可管理。无论静态或动态(可管理)安全产品,简单的叠加并不是有效的防御措施,应该要求安全产品构件之间能够相互联动,以便实现安全资源的集中管理、统一审计、信息共享。 目前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点,因此即使是多层面的安全防御体系,如果是静态的,也无法抵御来自外部和内部的攻击,只有将众多的攻击手法进行搜集、归类、分析、消化、综合,将其体系化,才有可能使防御系统与之相匹配、相耦合,以自动适应攻击的变化,从而
公司网络安全风险评估报告
网络安全风险评估报告 XXXXX有限公司 20XX年X月X日
目录 一、概述 (3) 1.1工作方法 (3) 1.2评估依据 (3) 1.3评估范围 (3) 1.4评估方法 (3) 1.5基本信息 (4) 二、资产分析 (4) 2.1 信息资产识别概述 (4) 2.2 信息资产识别 (4) 三、评估说明 (5) 3.1无线网络安全检查项目评估 (5) 3.2无线网络与系统安全评估 (5) 3.3 ip管理与补丁管理 (5) 3.4防火墙 (5) 四、威胁细类分析 (6) 4.1威胁分析概述 (6) 4.2威胁分类 (7) 4.3威胁主体 (7) 五、安全加固与优化 (8) 5.1加固流程 (8) 5.2加固措施对照表 (9) 六、评估结论 (10)
一、概述 XXXXX有限公司通过自评估的方式对网络安全进行检查,发现系统当前面临的主要安全问题,边检查边整改,确保信息网络和重要信息系统的安全。 1.1工作方法 在本次网络安全风险评测中将主要采用的评测方法包括:人工评测、工具评测。 1.2评估依据 根据国务院信息化工作办公室《关于对国家基础信息网络和重要信息系统开展安全检查的通知》(信安通[2006]15号)、国家电力监管委员会《关于对电力行业有关单位重要信息系统开展安全检查的通知》(办信息[2006]48号)以及公司文件、检查方案要求, 开展XXXXX有限公司网络安全评估。 1.3评估范围 此次系统测评的范围主要针对该业务系统所涉及的服务器、应用、数据库、网络设备、安全设备、终端等资产。 主要涉及以下方面: ●业务系统的应用环境; ●网络及其主要基础设施,例如路由器、交换机等; ●安全保护措施和设备,例如防火墙、IDS等; ●信息安全管理体系。 1.4评估方法 采用自评估方法。 3/ 10
网络安全风险评估大作业
南阳理工学院 网络安全风险评估大作业 班级:13级网安四班 姓名:彭克杰 学号:1315935027 指导老师:林玉香 2016.5.18
网络安全评估目的:网络平台安全泛指操作系统和通用基础服务安全,主要用于防范黑客攻击手段。目前市场上大多数安全产品均具有局限安全性,我们可以通用信息安全评估准则为依据来对其进行评估,来发现问题,修复问题,确定网络平台安全实施。 安全弱点和信息资产紧密相连,它可能被威胁利用、引起资产损失或伤害。但是,安全弱点本身不会造成损失,它只是一种条件或环境、可能导致被威胁利用而造成资产损失。安全弱点的出现有各种原因,例如可能是软件开发过程中的质量问题,也可能是系统管理员配置方面的,也可能是管理方面的。但是,它们的共同特性就是给攻击者提供了对主机系统或者其他信息系统攻击的机会。 因此,我们对网络产品,网络平台等进行一系列的风险评估很是必要,下面我们就对一个具体的网站进行安全方面的漏洞评估。 评估内容: 在本次实验中我们借助phpstudy搭建一个威客系统网站,进行实际渗透测试和评估。 扫描工具:Burpsuite,Nikto,WebScarab,扫描工具有很多,选个合适的就行。 这是发现的一些漏洞: 1.删除任意帐号/添加管理员 详细说明: 收件人填目标用户名,标题没有特定要求,内容没有转义,不过过滤了敏感标签和onerror onload等事件。 任意删除账号: GET提交此URL 就会删除ID为“5529”的用户
然后添加管理员,在添加用户处抓包,提交数据 Code区域: edituid=&fds[username]=qianlan&fds[truename]=&fds[phone]=&fds[qq]=&fds[in dus_pid]=&fds[indus_id]=&fds[birthday]=&fds[password]=111111&fds[email]=&fds[ group_id]=1&is_submit=1 然后构造一个表单: Code区域:
其他比较敏感的都隐藏起来。因为script 标签被过滤。不能自动提交。 所以放出来个按钮,发给人家一看一个按钮是谁都会有好奇心肯定会点下这个按钮。 将此发给管理员。就坐等添加新帐号吧,或者可以不用写表单,嵌入其他URL,还信息安全风险评估需求方案
信息安全风险评估 需求方案 1
信息安全风险评估需求方案 一、项目背景 多年来, 天津市财政局( 地方税务局) 在加快信息化建设和信息系统开发应用的同时, 高度重视信息安全工作, 采取了很多防范措施, 取得了较好的工作效果, 但同新形势、新任务的要求相比, 还存在有许多不相适应的地方。, 国家税务总局和市政府分别对我局信息系统安全情况进行了抽查, 在充分肯定成绩的同时, 也指出了我局在信息安全方面存在的问题。经过抽查所暴露的这些问题, 给我们敲响了警钟, 也对我局信息安全工作提出了新的更高的要求。 因此, 天津市财政局( 地方税务局) 在对现有信息安全资源进行整合、整改的同时, 按照国家税务总局信息安全管理规定, 结合本单位实际情况确定实施信息安全评估、安全加固、应急响应、安全咨询、安全事件通告、安全巡检、安全值守、安全培训、应急演练服务等工作内容( 以下简称”安全风险评估”) , 形成安全规划、实施、检查、处理四位一体的长效机制。 二、项目目标 经过开展信息”安全风险评估”, 完善安全管理机制; 经过安全服务的引入, 进一步建立健全财税系统安全管理策略, 实现安全风险的可知、可控和可管理; 经过建立财税系统信息安全风险评 2
估机制, 实现财税系统信息安全风险的动态跟踪分析, 为财税系统信息安全整体规划提供科学的决策依据, 进一步加强财税内部网络的整体安全防护能力, 全面提升我局信息系统整体安全防范能力, 极大提高财税系统网络与信息安全管理水平; 经过深入挖掘网络与信息系统存在的脆弱点, 并以业务系统为关键要素, 对现有的信息安全管理制度和技术措施的有效性进行评估, 不断增强系统的网络和信息系统抵御风险安全风险能力, 促进我局安全管理水平的提高, 增强信息安全风险管理意识, 培养信息安全专业人才, 为财税系统各项业务提供安全可靠的支撑平台。 三、项目需求 ( 一) 服务要求 1基本要求 ”安全风险评估服务”全过程要求有据可依, 并在产品使用有据可查, 并保持项目之后的持续改进。针对用户单位网络中的IT 设备及应用软件, 需要有软件产品识别所有设备及其安全配置, 或以其它方式收集、保存设备明细及安全配置, 进行资产收集作为建立信息安全体系的基础。安全评估的过程及结果要求经过软件或其它形式进行展示。对于风险的处理包括: 协助用户制定安全加固方案、在工程建设及日常运维中提供安全值守、咨询及支持服务, 经过安全产品解决已知的安全风险。在日常安全管理方面提供安全支持服务, 并根据国家及行业标准制定信息安全管理体系, 针 3
(风险管理)国内网络安全风险评估市场与技术操作
(风险管理)国内网络安全风险评估市场与技术操 作
国内网络安全风险评估市场与技术操作 吴鲁加04/19/2004个人主页:https://www.wendangku.net/doc/ca15029357.html,/网络日志:https://www.wendangku.net/doc/ca15029357.html,/wlj/ 版本控制 v0.104/01/2004文档创建,包含大量示例文件内部发布 v0.204/19/2004删除部份敏感信息,增加国内市场分析、BS7799和OCTAVE概述后,对外发布 近两年网络安全风险评估渐渐为人们所重视,不少大型企业尤其是运营商、金融业都请了专业公司进行评估。本文提出作者个人对国内安全风险评估操作的一些评价,并试图阐述作者所理解的,可裁剪、易操作的风险评估方式。由于内容与商业公司有关,因此不可避免会涉及部份商业利益,在文中作者尽量隐去可能产生直接利害关系的文字,并声明所有评价纯属个人观点,如果你有不同意见,欢迎来函探讨。 1.什么是风险评估 说起风险评估,大家脑海中首先浮现的可能是:风险、资产、影响、威胁、弱点等一连串的术语,这些术语看起来并不难理解,但一旦综合考虑就会象绕口令般组合。比如风险,用ISO/IECTR13335-1:1996中的定义可以解释为:特定威胁利用某个(些)资产的弱点,造成资产损失或破坏的潜在可能性。 为了帮助理解,我们举一个下里巴人的例子:我口袋里有100块钱,因为打瞌睡,被小偷偷走了,搞得晚上没饭吃。 用风险评估的观点来描述这个案例,我们可以对这些概念作如下理解: 风险=钱被偷走 资产=100块钱 影响=晚上没饭吃 威胁=小偷 弱点=打瞌睡 回到阳春白雪来,假设这么个案例:某证券公司的数据库服务器因为存在RPCDCOM的漏洞,遭到入
信息安全风险评估方案
信息安全风险评估 方案
第一章网络安全现状与问题 1.1当前安全解决方案的盲目性 现在有很多公司提供各种各样的网络安全解决方案,包括加密、身份认证、防病毒、防黑客等各个方面,每种解决方案都强调所论述方面面临威胁的严重性,自己在此方面的卓越性,但对于用户来说这些方面是否真正是自己的薄弱之处,会造成多大的损失,如何评估,投入多大能够满足要求,对应这些问题应该采取什麽措施,这些用户真正关心的问题却很少有人提及。 1.2网络安全规划上的滞后 网络在面对当前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等行为时,往往是头痛医头、脚痛医脚,面对层出不穷的安全问题,疲于奔命,再加上各种各样的安全产品与安全服务,使用户摸不着头脑,没有清晰的思路,其原因是由于没有一套完整的安全体系,不能从整体上有所把握。 在当前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下,安全规划显然未跟上网络管理方式发展的趋势。 第二章网络动态安全防范体系 用户当前接受的安全策略建议普遍存在着“以偏盖全”的现
象,它们过分强调了某个方面的重要性,而忽略了安全构件(产品)之间的关系。因此在客户化的、可操作的安全策略基础上,需要构建一个具有全局观的、多层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面,涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL及其它应用系统。 静态的安全产品不可能解决动态的安全问题,应该使之客户化、可定义、可管理。无论静态或动态(可管理)安全产品,简单的叠加并不是有效的防御措施,应该要求安全产品构件之间能够相互联动,以便实现安全资源的集中管理、统一审计、信息共享。 当前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点,因此即使是多层面的安全防御体系,如果是静态的,也无法抵御来自外部和内部的攻击,只有将众多的攻击手法进行搜集、归类、分析、消化、综合,将其体系化,才有可能使防御系统与之相匹配、相耦合,以自动适应攻击的变化,从而形成动态的安全防御体系。 网络的安全是一个动态的概念。网络的动态安全模型能够提供给用户更完整、更合理的安全机制,全网动态安全体系可由下面的公式概括: 网络安全 = 风险分析 + 制定策略 + 防御系统+ 安全管理+ 安全服务动态安全模型,如图所示。