| 信息系統(tǒng)的安全風(fēng)險�,是指由于系統(tǒng)存在的脆弱性��,人為或自然的威脅導(dǎo)致安全事件發(fā)生所造成的影響�。信息安全安全評估�����,則是指依據(jù)國家有關(guān)信息安全技術(shù)標準���,對信息系統(tǒng)及由其處理�、傳輸和存儲的信息的保密性����、完整性和可用性等安全屬性進行科學(xué)評價的過程���,它要評估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實際負面影響����,并根據(jù)安全事件發(fā)生的可能性和負面影響的程度來識別信息系統(tǒng)的安全風(fēng)險。
信息安全安全是信息安全保障體系建立過程中的重要的評價方法和決策機制�����。沒有準確及時的風(fēng)險評估�����,將使得各個機構(gòu)無法對其信息安全的狀況做出準確的判斷�����。因此��,風(fēng)險評估應(yīng)當成為各個機構(gòu)建立信息安全保障體系的優(yōu)先步驟����。通過安全評估服務(wù)�,客戶可以獲取以下價值:
- 對客戶信息系統(tǒng)安全的各個方面的當前潛在威脅��、弱點和影響進行全面的評估
通過安全評估�,能夠清晰地了解當前所面臨的安全風(fēng)險,清晰地了解信息系統(tǒng)的安全現(xiàn)狀
為下一步控制和降低安全風(fēng)險�����、改善安全狀況提供客觀和翔實的依據(jù)
1. 風(fēng)險評估服務(wù)
銥迅信息提供全面的分析評估服務(wù)以徹底檢查和分析組織的信息基礎(chǔ)設(shè)施�����,發(fā)現(xiàn)安全問題����,以確定對信息系統(tǒng)采用什么程度的安全保障力度。
風(fēng)險評估是對待評估對象的信息系統(tǒng)的影響����、威脅和脆弱性進行全方位評估�����,歸納并總結(jié)該系統(tǒng)所面臨的安全風(fēng)險����,為后續(xù)的安全規(guī)劃和建設(shè)提供決策依據(jù)��。
風(fēng)險評估服務(wù)包括以下主要內(nèi)容:
組建風(fēng)險評估小組����,成員包括外部評估專家���、組織的信息安全負責(zé)人����、IT 代表�、業(yè)務(wù)部門代表、管理層代表等����;
按照組織的業(yè)務(wù)運作流程來識別需要保護的信息資產(chǎn),并根據(jù)估價原則對信息資產(chǎn)進行估價��;
弱點識別及評估����,包括技術(shù)性弱點和非技術(shù)性弱點;
對可能存在的各項威脅進行識別和評估;
利用既定的風(fēng)險評估方法���,結(jié)合資產(chǎn)�����、弱點和威脅三個要素����,對已識別的風(fēng)險進行評估�,劃分風(fēng)險等級;
識別并評估當前風(fēng)險控制措施的有效性���;
建議風(fēng)險處理措施和優(yōu)先順序�。
2. 技術(shù)安全評估
一個組織的信息系統(tǒng)經(jīng)常會面臨內(nèi)部和外部威脅的風(fēng)險�。隨著黑客技術(shù)的日趨先進,沒有這些黑客技術(shù)的經(jīng)驗與知識很難充分保護您的系統(tǒng)����。
銥迅信息利用積累的大量安全性行業(yè)經(jīng)驗和最先進的漏洞掃描技術(shù),從內(nèi)部和外部兩個角度��,對您的信息系統(tǒng)提供全面的評估�。
利用安全評估系統(tǒng)對您信息系統(tǒng)進行遠程或本地的技術(shù)脆弱性評估,同事針對評估系統(tǒng)的報告進行漏洞分析���,以確保正確識別安全問題的存在并減少其發(fā)生的可能性�����。
技術(shù)安全評估服務(wù)包括以下主要內(nèi)容:
- 搜集必要的信息�����,為實施掃描做好準備��,相關(guān)信息包括:
網(wǎng)絡(luò)拓撲結(jié)構(gòu)�����;
主機設(shè)備的分布和基本配置�����;
IP 地址分配�;
相關(guān)管理和操作人員�����;
現(xiàn)有的相關(guān)策略;
已經(jīng)部署的安全控制措施(產(chǎn)品)�。
外部(外網(wǎng))掃描,掃描內(nèi)容包括(不限于):
網(wǎng)絡(luò)服務(wù)開放端口掃描��;
域名信息攫?����?;
whois 信息攫取�����;
網(wǎng)絡(luò)����、操作系統(tǒng)及應(yīng)用程序漏洞掃描;
Web 服務(wù)器漏洞掃描���;
SNMP 探測�;
其他掃描探測內(nèi)容(包括LDAP���、SQL Server���、NetBIOS 等)。
內(nèi)部(內(nèi)網(wǎng))掃描����,內(nèi)容包括:
越過邊界防護措施進行開放式掃描;
對外部掃描效果及記錄進行驗證����。
重點主機及防護工具審核,內(nèi)容包括:
對重點系統(tǒng)進行基于主機的掃描和檢查�;
對現(xiàn)有的防護工具(防火墻、IDS)進行有效性驗證�。
數(shù)據(jù)分析;
編寫并提交安全掃描報告�����,掃描報告應(yīng)該體現(xiàn):
經(jīng)過確認且經(jīng)過嚴重級劃分的漏洞����;
針對每項漏洞提出的解決對策。
3. 滲透測試評估
滲透測試(Penetration Test)是指安全滲透測試者盡可能完整地模擬黑客使用的漏洞發(fā)現(xiàn)技術(shù)和攻擊手段����,對目標網(wǎng)絡(luò)/系統(tǒng)/主機/應(yīng)用的安全性作深入的探測���,發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)的過程。
不過��,經(jīng)用戶授權(quán)所進行的滲透測試與黑客所進行的滲透攻擊測試是有一定的區(qū)別���。授權(quán)所進行的滲透測試一般不會對客戶的信息系統(tǒng)造成任何危害和損失����,其目的只在于從信息系統(tǒng)的外部發(fā)現(xiàn)信息系統(tǒng)對外所呈現(xiàn)出的安全脆弱性并驗證這些安全脆弱性的真實存在性����,到此為止就不再進行進一步的滲透(即不進行后門植入等后續(xù)手段),并將這些所存在的脆弱性通告客戶方��,這是與黑客所進行的滲透測試的區(qū)別所在�。
此次客戶滲透測試目的是讓用戶清晰了解目前網(wǎng)絡(luò)的脆弱性、可能造成的影響�,以便采取必要的防范措施。不過滲透測試并不能保證發(fā)現(xiàn)目標網(wǎng)絡(luò)中的“所有”弱點��,滲透測試只能是減少風(fēng)險�,但是不一定能絕對避免風(fēng)險,因此滲透測試不能讓系統(tǒng)達到絕對得安全�����,經(jīng)過滲透測試后的系統(tǒng)被攻破是可能的,也是正常的����。因此����,滲透測試只是檢測信息系統(tǒng)安全的一種方式,要保障系統(tǒng)的安全需要采取綜合性的安全保障措施�����,才能使信息系統(tǒng)的安全達到較高的程度���。
從滲透測試中��,客戶能夠得到的收益至少有:
滲透測試可幫助客戶發(fā)現(xiàn)其互聯(lián)網(wǎng)系統(tǒng)的安全最短板����,協(xié)助客戶有效地了解目前降低風(fēng)險的初始任務(wù)��;
滲透測試報告有助于客戶管理者以案例形式說明目前互聯(lián)網(wǎng)系統(tǒng)的安全現(xiàn)狀���,從而增強客戶信息安全的認知程度����,甚至提高客戶在安全方面的預(yù)算;
信息安全是一個整體工程���,滲透測試還有助于客戶中的所有成員意識到自己的崗位同樣可能提高或降低風(fēng)險�����,有助于內(nèi)部安全的提升�����。
|
