| 信息系統(tǒng)的安全風(fēng)險(xiǎn)�����,是指由于系統(tǒng)存在的脆弱性�����,人為或自然的威脅導(dǎo)致安全事件發(fā)生所造成的影響����。信息安全安全評估����,則是指依據(jù)國家有關(guān)信息安全技術(shù)標(biāo)準(zhǔn)�,對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性����、完整性和可用性等安全屬性進(jìn)行科學(xué)評價(jià)的過程,它要評估信息系統(tǒng)的脆弱性�����、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實(shí)際負(fù)面影響�,并根據(jù)安全事件發(fā)生的可能性和負(fù)面影響的程度來識別信息系統(tǒng)的安全風(fēng)險(xiǎn)。
信息安全安全是信息安全保障體系建立過程中的重要的評價(jià)方法和決策機(jī)制�����。沒有準(zhǔn)確及時(shí)的風(fēng)險(xiǎn)評估���,將使得各個(gè)機(jī)構(gòu)無法對其信息安全的狀況做出準(zhǔn)確的判斷。因此�,風(fēng)險(xiǎn)評估應(yīng)當(dāng)成為各個(gè)機(jī)構(gòu)建立信息安全保障體系的優(yōu)先步驟����。通過安全評估服務(wù)����,客戶可以獲取以下價(jià)值:
- 對客戶信息系統(tǒng)安全的各個(gè)方面的當(dāng)前潛在威脅、弱點(diǎn)和影響進(jìn)行全面的評估
通過安全評估��,能夠清晰地了解當(dāng)前所面臨的安全風(fēng)險(xiǎn)����,清晰地了解信息系統(tǒng)的安全現(xiàn)狀
為下一步控制和降低安全風(fēng)險(xiǎn)、改善安全狀況提供客觀和翔實(shí)的依據(jù)
1. 風(fēng)險(xiǎn)評估服務(wù)
銥迅信息提供全面的分析評估服務(wù)以徹底檢查和分析組織的信息基礎(chǔ)設(shè)施��,發(fā)現(xiàn)安全問題��,以確定對信息系統(tǒng)采用什么程度的安全保障力度�����。
風(fēng)險(xiǎn)評估是對待評估對象的信息系統(tǒng)的影響��、威脅和脆弱性進(jìn)行全方位評估�����,歸納并總結(jié)該系統(tǒng)所面臨的安全風(fēng)險(xiǎn),為后續(xù)的安全規(guī)劃和建設(shè)提供決策依據(jù)���。
風(fēng)險(xiǎn)評估服務(wù)包括以下主要內(nèi)容:
組建風(fēng)險(xiǎn)評估小組���,成員包括外部評估專家、組織的信息安全負(fù)責(zé)人���、IT 代表�、業(yè)務(wù)部門代表�����、管理層代表等�����;
按照組織的業(yè)務(wù)運(yùn)作流程來識別需要保護(hù)的信息資產(chǎn)���,并根據(jù)估價(jià)原則對信息資產(chǎn)進(jìn)行估價(jià)����;
弱點(diǎn)識別及評估�����,包括技術(shù)性弱點(diǎn)和非技術(shù)性弱點(diǎn)�����;
對可能存在的各項(xiàng)威脅進(jìn)行識別和評估����;
利用既定的風(fēng)險(xiǎn)評估方法,結(jié)合資產(chǎn)����、弱點(diǎn)和威脅三個(gè)要素,對已識別的風(fēng)險(xiǎn)進(jìn)行評估����,劃分風(fēng)險(xiǎn)等級;
識別并評估當(dāng)前風(fēng)險(xiǎn)控制措施的有效性���;
建議風(fēng)險(xiǎn)處理措施和優(yōu)先順序��。
2. 技術(shù)安全評估
一個(gè)組織的信息系統(tǒng)經(jīng)常會(huì)面臨內(nèi)部和外部威脅的風(fēng)險(xiǎn)����。隨著黑客技術(shù)的日趨先進(jìn),沒有這些黑客技術(shù)的經(jīng)驗(yàn)與知識很難充分保護(hù)您的系統(tǒng)�。
銥迅信息利用積累的大量安全性行業(yè)經(jīng)驗(yàn)和最先進(jìn)的漏洞掃描技術(shù),從內(nèi)部和外部兩個(gè)角度���,對您的信息系統(tǒng)提供全面的評估����。
利用安全評估系統(tǒng)對您信息系統(tǒng)進(jìn)行遠(yuǎn)程或本地的技術(shù)脆弱性評估�����,同事針對評估系統(tǒng)的報(bào)告進(jìn)行漏洞分析�����,以確保正確識別安全問題的存在并減少其發(fā)生的可能性���。
技術(shù)安全評估服務(wù)包括以下主要內(nèi)容:
- 搜集必要的信息��,為實(shí)施掃描做好準(zhǔn)備����,相關(guān)信息包括:
網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu);
主機(jī)設(shè)備的分布和基本配置�����;
IP 地址分配��;
相關(guān)管理和操作人員�;
現(xiàn)有的相關(guān)策略��;
已經(jīng)部署的安全控制措施(產(chǎn)品)���。
外部(外網(wǎng))掃描��,掃描內(nèi)容包括(不限于):
網(wǎng)絡(luò)服務(wù)開放端口掃描���;
域名信息攫取����;
whois 信息攫取�;
網(wǎng)絡(luò)、操作系統(tǒng)及應(yīng)用程序漏洞掃描�;
Web 服務(wù)器漏洞掃描;
SNMP 探測;
其他掃描探測內(nèi)容(包括LDAP��、SQL Server�����、NetBIOS 等)����。
內(nèi)部(內(nèi)網(wǎng))掃描,內(nèi)容包括:
越過邊界防護(hù)措施進(jìn)行開放式掃描�����;
對外部掃描效果及記錄進(jìn)行驗(yàn)證�。
重點(diǎn)主機(jī)及防護(hù)工具審核,內(nèi)容包括:
對重點(diǎn)系統(tǒng)進(jìn)行基于主機(jī)的掃描和檢查��;
對現(xiàn)有的防護(hù)工具(防火墻����、IDS)進(jìn)行有效性驗(yàn)證。
數(shù)據(jù)分析����;
編寫并提交安全掃描報(bào)告����,掃描報(bào)告應(yīng)該體現(xiàn):
經(jīng)過確認(rèn)且經(jīng)過嚴(yán)重級劃分的漏洞�����;
針對每項(xiàng)漏洞提出的解決對策����。
3. 滲透測試評估
滲透測試(Penetration Test)是指安全滲透測試者盡可能完整地模擬黑客使用的漏洞發(fā)現(xiàn)技術(shù)和攻擊手段��,對目標(biāo)網(wǎng)絡(luò)/系統(tǒng)/主機(jī)/應(yīng)用的安全性作深入的探測�,發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)的過程。
不過����,經(jīng)用戶授權(quán)所進(jìn)行的滲透測試與黑客所進(jìn)行的滲透攻擊測試是有一定的區(qū)別。授權(quán)所進(jìn)行的滲透測試一般不會(huì)對客戶的信息系統(tǒng)造成任何危害和損失��,其目的只在于從信息系統(tǒng)的外部發(fā)現(xiàn)信息系統(tǒng)對外所呈現(xiàn)出的安全脆弱性并驗(yàn)證這些安全脆弱性的真實(shí)存在性�,到此為止就不再進(jìn)行進(jìn)一步的滲透(即不進(jìn)行后門植入等后續(xù)手段),并將這些所存在的脆弱性通告客戶方�����,這是與黑客所進(jìn)行的滲透測試的區(qū)別所在。
此次客戶滲透測試目的是讓用戶清晰了解目前網(wǎng)絡(luò)的脆弱性����、可能造成的影響,以便采取必要的防范措施����。不過滲透測試并不能保證發(fā)現(xiàn)目標(biāo)網(wǎng)絡(luò)中的“所有”弱點(diǎn),滲透測試只能是減少風(fēng)險(xiǎn)���,但是不一定能絕對避免風(fēng)險(xiǎn)�,因此滲透測試不能讓系統(tǒng)達(dá)到絕對得安全�����,經(jīng)過滲透測試后的系統(tǒng)被攻破是可能的��,也是正常的����。因此,滲透測試只是檢測信息系統(tǒng)安全的一種方式�,要保障系統(tǒng)的安全需要采取綜合性的安全保障措施,才能使信息系統(tǒng)的安全達(dá)到較高的程度�。
從滲透測試中����,客戶能夠得到的收益至少有:
滲透測試可幫助客戶發(fā)現(xiàn)其互聯(lián)網(wǎng)系統(tǒng)的安全最短板��,協(xié)助客戶有效地了解目前降低風(fēng)險(xiǎn)的初始任務(wù)���;
滲透測試報(bào)告有助于客戶管理者以案例形式說明目前互聯(lián)網(wǎng)系統(tǒng)的安全現(xiàn)狀�,從而增強(qiáng)客戶信息安全的認(rèn)知程度�����,甚至提高客戶在安全方面的預(yù)算����;
信息安全是一個(gè)整體工程�,滲透測試還有助于客戶中的所有成員意識到自己的崗位同樣可能提高或降低風(fēng)險(xiǎn),有助于內(nèi)部安全的提升�。
|
