安全评估简介
1 安全评估作用
网络安全是什么?准确的回答也许没有,但做好安全却有一个前提,就是必须能够回答或明确以下问题:
什么是最关键的信息资产?
目前您的网络有那些安全问题?
网络设备是否安全?
操作系统、数据库系统是否安全?
您的网络面临的最大威胁是什么?
哪些安全问题对您的的业务发展具有影响?
您的业务有什么样的安全需求?
您在系统中采用了哪些安全措施?这些措施是否有效?
目前的安全管理制度是否完善?
您需要什么风险控制手段?
您需要什么安全技术保障?
目前的人员是否可以应付处理网络安全事件?
对于安全事故,是否具备应急响应与恢复能力?
……
应该保护什么?
应该如何保护?
安全的投入多少合适?
……
要回答这些问题需要――安全评估。
2 安全评估的目标
安全评估的目的通常包括以下几个方面:
★确定可能对资产造成危害的威胁,包括入侵者、罪犯、不满员工、恐怖分子和自然灾害;
★通过对历史资料和专家的经验确定威胁实施的可能性;
★对可能受到威胁影响的资产确定其价值、敏感性和严重性,以及相应的级别,确定哪些资产是最重要的;
★对最重要的、最敏感的资产,确定一旦威胁发生其潜在的损失或破坏。
★准确了解企业网的网络和系统安全现状;
★明晰企业网的安全需求;
★制定网络和系统的安全策略;
★制定网络和系统的安全解决方案;
★指导企业网未来的建设和投入;
★通过项目实施和培训,培养用户自己的安全队伍。
3 安全评估的原则
在安全评估中必须遵循以下一些原则:
(1) 标准性原则
评估方案的设计和具体实施都依据国内和国外的相关标准进行及理论模型。
(2) 可控性原则
扫描评估所使用的工具具有可控性。可控性主要表现在评估项目所采用的网络漏洞扫描软件都是根据评估的具体要求和企业的具体网络特点定制的,具有完全的自主版权。
(3) 整体性原则
分单个IP安全性和IP所在段安全威胁分析列出报表;确保涉及到主机和网络设备的各个层面;由单机和网络相结合分析得出风险值;避免由于遗漏造成未来安全隐患;根据主机风险值和网段风险级别得出综合安全风险值。
(4) 最小影响原则
评估工作应尽可能小的影响系统和网络的正常运行,不能对现网的运行和业务的正常提供产生显著影响。
(5) 保密性原则
人员安排:扫描和渗透测试全部由我公司人员独立完成;在评估过程中对评估数据严格保密;在评估结束以后不利用评估中的任何数据进行其他有损甲方利益的用途,双方签署保密协议。
4 安全评估内容简述
(1) 专业安全评估服务
服务目标:
专业安全评估服务对目标系统通过工具扫描和人工检查,进行专业安全的技术评定,并根据评估结果提供评估报告。
系统类型:
目标系统主要是主流UNIX及NT系统(包括Solaris、AIX、IRIX、HP-UX、RedHat-linux、*BSD、NT4.0、 W2K),主流数据库系统(包括Oracle、SQL Server、Sybase、MySQL、Informix),以及主流的网络设备(包括CISCO、华为、防火墙设备和其它设备)。
评估方式:
a 使用扫描工具对目标系统进行扫描,提供原始评估报告(工具自带功能)或由专业安全工程师提供人工分析报告。
b 人工评估服务
人工检查如下内容
• 安全配置检查
系统管理和维护的正常配置,合理配置,及优化配置。
例如系统目录权限,帐号管理策略,文件系统配置,进程通信管理等。
• 安全机制检查
安全机制的使用和正常配置,合理配置,及优化配置。
例如日志及审计、备份与恢复,签名与校验,加密与通信,特殊授权及
访问控制等。
• 入侵追查及事后取证
检查与发现系统入侵,攻击或其它危害,尽可能追查及取证。
例如日志被毁坏篡改或删除,计费数据被删除,遭受DOS攻击,系统被监
听,控制或安装后门等。
(2) 主机系统加固服务
a 服务目标:
主机系统加固是根据专业安全评估结果,制定相应的系统加固方案,针对不同目标系统,通过打补丁、修改安全配置、增加安全机制等方法,合理进行安全性加强。
b 服务主要内容:
● 微软操作系统
补丁、文件系统、帐号管理、网络及服务、注册表、共享、应用软件、审计/日志,其它(包括紧急恢复、数字签名等)。
● UNIX操作系统
补丁、文件系统、配置文件、帐号管理、网络及服务、NFS系统、应用软件、审计/日志,其它(包括专用安全软件、加密通信,及数字签名等)。
● 数据库系统
主流数据库系统(包括Oracle、SQL Server、Sybase、MySQL、Informix)的补丁、账号管理、口令强度和有效期检查、远程登陆和远程服务、存储过程、审核层次、备份过 程、角色和权限审核、并发事件资源限制、访问时间限制、审核跟踪、特洛依木马等。
c 系统加固报告服务
选择使用该服务包,必须以选择ISMR/SSMR/HME服务包为前提,针对评估分析报告,提出加固报告。
d 系统加固报告增强服务
选择使用该服务包,必须以选择ISMR/SSMR/HME服务包为前提,针对评估分析报告,提出系统加固报告,并将系统加固报告、加固步骤、所需补丁程序以光盘形式提交客户。
e 系统加固实施服务
选择使用该服务包,必须以选择 ISMR/SSMR/HME服务包为前提,针对评估分析报告,提出系统加固报告,并将系统加固报告、加固步骤、所需补丁程序以光盘形式提交客户,并由安氏专业安全工程师实施加固工作。
遇到一些风险评估的,仅仅是工具评估
用Nessus扫描下(都舍不得用收费的扫描产品)
然后整理、归纳……交差。
把风险评估做的在客户心中很纠结
学习下~~~~~~~~~~~·· 学习下~~~~~~~~~~~~~ 学习中。。。。。。。:)
部分内容可用于文档的撰写,呵呵 (2) 可控性原则
扫描评估所使用的工具具有可控性。可控性主要表现在评估项目所采用的网络漏洞扫描软件都是根据评估的具体要求和企业的具体网络特点定制的,具有完全的自主版权。
1. 什么是自主版权呢? 评估机构购买的第三方扫描软件是不是就获得了自主版权呢?
2. 如果是根据用户特点进行定制,这个定制是不是指使用方法上的定制,而不是根据用户环境针对软件进行二次开发呢? 才接触安全。。学习了。 嗯。。买个指定的安全评估软件很不错···
页:
[1]