『壹』 如何進行企業網路的安全風險評估
安全風險評估,也稱為網路評估、風險評估、網路安全評估、網路安全風險評估,它是指對網路中已知或潛在的安全風險、安全隱患,進行探測、識別、控制、消除的全過程,是企業網路安全管理工作的必備措施之一。
安全風險評估的對象可以是整個網路,也可以是針對網路的某一部分,如網路架構、重要業務系統。通過評估,可以全面梳理網路資產,了解網路存在的安全風險和安全隱患,並有針對性地進行安全加固,從而保障網路的安全運行。
一般情況下,安全風險評估服務,將從IT資產、網路架構、網路脆弱性、數據流、應用系統、終端主機、物理安全、管理安全共8個方面,對網路進行全面的風險評估,並根據評估的實際情況,提供詳細的網路安全風險評估報告。
成都優創信安,專業的網路安全服務、網站安全檢測、IT外包服務提供商。我們提供了專業的網路安全風險評估服務,詳細信息可查看我們網站。
『貳』 簡述網路安全的相關評估標准.
1 我國評價標准
1999年10月經過國家質量技術監督局批准發布的《計算機信息系統安全保護等級劃分准則》將計算機安全保護劃分為以下5個級別。
l 第1級為用戶自主保護級(GB1安全級):它的安全保護機制使用戶具備自主安全保護的能力,保護用戶的信息免受非法的讀寫破壞。
l 第2級為系統審計保護級(GB2安全級):除具備第一級所有的安全保護功能外,要求創建和維護訪問的審計跟蹤記錄,使所有的用戶對自己的行為的合法性負責。
l 第3級為安全標記保護級(GB3安全級):除繼承前一個級別的安全功能外,還要求以訪問對象標記的安全級別限制訪問者的訪問許可權,實現對訪問對象的強制保護。
l 第4級為結構化保護級(GB4安全級):在繼承前面安全級別安全功能的基礎上,將安全保護機制劃分為關鍵部分和非關鍵部分,對關鍵部分直接控制訪問者對訪問對象的存取,從而加強系統的抗滲透能力。
l 第5級為訪問驗證保護級(GB5安全級):這一個級別特別增設了訪問驗證功能,負責仲裁訪問者對訪問對象的所有訪問活動。
我國是國際標准化組織的成員國,信息安全標准化工作在各方面的努力下正在積極開展之中。從20世紀80年代中期開始,自主制定和採用了一批相應的信息安全標准。但是,應該承認,標準的制定需要較為廣泛的應用經驗和較為深入的研究背景。這兩方面的差距,使我國的信息安全標准化工作與國際已有的工作相比,覆蓋的范圍還不夠大,宏觀和微觀的指導作用也有待進一步提高。
2 國際評價標准
根據美國國防部開發的計算機安全標准——可信任計算機標准評價准則(Trusted Computer Standards Evaluation Criteria,TCSEC),即網路安全橙皮書,一些計算機安全級別被用來評價一個計算機系統的安全性。
自從1985年橙皮書成為美國國防部的標准以來,就一直沒有改變過,多年以來一直是評估多用戶主機和小型操作系統的主要方法。其他子系統(如資料庫和網路)也一直用橙皮書來解釋評估。橙皮書把安全的級別從低到高分成4個類別:D類、C類、B類和A類,每類又分幾個級別,如表1-1所示。
表 安全 級 別
類 別
級 別
名 稱
主 要 特 征
D
D
低級保護
沒有安全保護
C
C1
自主安全保護
自主存儲控制
C2
受控存儲控制
單獨的可查性,安全標識
B
B1
標識的安全保護
強制存取控制,安全標識
B2
結構化保護
面向安全的體系結構,較好的抗滲透能力
B3
安全區域
存取監控、高抗滲透能力
A
A
驗證設計
形式化的最高級描述和驗證
D級是最低的安全級別,擁有這個級別的操作系統就像一個門戶大開的房子,任何人都可以自由進出,是完全不可信任的。對於硬體來說,沒有任何保護措施,操作系統容易受到損害,沒有系統訪問限制和數據訪問限制,任何人不需任何賬戶都可以進入系統,不受任何限制可以訪問他人的數據文件。屬於這個級別的操作系統有DOS和Windows 98等。
C1是C類的一個安全子級。C1又稱選擇性安全保護(Discretionary Security Protection)系統,它描述了一個典型的用在UNIX系統上安全級別。這種級別的系統對硬體又有某種程度的保護,如用戶擁有注冊賬號和口令,系統通過賬號和口令來識別用戶是否合法,並決定用戶對程序和信息擁有什麼樣的訪問權,但硬體受到損害的可能性仍然存在。
用戶擁有的訪問權是指對文件和目標的訪問權。文件的擁有者和超級用戶可以改變文件的訪問屬性,從而對不同的用戶授予不通的訪問許可權。
C2級除了包含C1級的特徵外,應該具有訪問控制環境(Controlled Access Environment)權力。該環境具有進一步限制用戶執行某些命令或者訪問某些文件的許可權,而且還加入了身份認證等級。另外,系統對發生的事情加以審計,並寫入日誌中,如什麼時候開機,哪個用戶在什麼時候從什麼地方登錄,等等,這樣通過查看日誌,就可以發現入侵的痕跡,如多次登錄失敗,也可以大致推測出可能有人想入侵系統。審計除了可以記錄下系統管理員執行的活動以外,還加入了身份認證級別,這樣就可以知道誰在執行這些命令。審計的缺點在於它需要額外的處理時間和磁碟空間。
使用附加身份驗證就可以讓一個C2級系統用戶在不是超級用戶的情況下有權執行系統管理任務。授權分級使系統管理員能夠給用戶分組,授予他們訪問某些程序的許可權或訪問特定的目錄。能夠達到C2級別的常見操作系統有如下幾種:
(1)UNIX系統;
(2)Novell 3.X或者更高版本;
(3)Windows NT,Windows 2000和Windows 2003。
B級中有三個級別,B1級即標志安全保護(Labeled Security Protection),是支持多級安全(例如:秘密和絕密)的第一個級別,這個級別說明處於強制性訪問控制之下的對象,系統不允許文件的擁有者改變其許可許可權。
安全級別存在秘密和絕密級別,這種安全級別的計算機系統一般在政府機構中,比如國防部和國家安全局的計算機系統。
B2級,又叫結構保護(Structured Protection)級別,它要求計算機系統中所有的對象都要加上標簽,而且給設備(磁碟、磁帶和終端)分配單個或者多個安全級別。
B3級,又叫做安全域(Security Domain)級別,使用安裝硬體的方式來加強域的安全,例如,內存管理硬體用於保護安全域免遭無授權訪問或更改其他安全域的對象。該級別也要求用戶通過一條可信任途徑連接到系統上。
A級,又稱驗證設計(Verified Design)級別,是當前橙皮書的最高級別,它包含了一個嚴格的設計、控制和驗證過程。該級別包含較低級別的所有的安全特性。
安全級別設計必須從數學角度上進行驗證,而且必須進行秘密通道和可信任分布分析。可信任分布(Trusted Distribution)的含義是:硬體和軟體在物理傳輸過程中已經受到保護,以防止破壞安全系統。橙皮書也存在不足,TCSEC是針對孤立計算機系統,特別是小型機和主機系統。假設有一定的物理保障,該標准適合政府和軍隊,不適合企業,這個模型是靜態的。
『叄』 網路風險評估
網路風險評估,也稱為安全風險評估、網路安全風險評估,它是指對網路中已知或潛在的安全風險、安全隱患,進行探測、識別、控制、消除的全過程,是企業網路安全管理工作的必備措施之一。通過網路安全評估,可以全面梳理網路中的資產,了解當前存在的安全風險和安全隱患,並有針對性地進行安全加固,從而保障網路的安全運行。
評估對象可以是面向整個網路的綜合評估;也可以是針對網路某一部分的評估,如網路架構、重要業務系統、重要安全設備、重要終端主機等。
成都優創網路,專注於網路安全評估、網站安全檢測、安全應急響應。
『肆』 信息安全風險評估包括哪些
一、ISO27001信息安全管理體系標準的發展
隨著在世界范圍內,信息化水平的不斷發展,信息安全逐漸成為人們關注的焦點,世界范圍內的各個機構、組織、個人都在探尋如何保障信息安全的問題。英國、美國、挪威、瑞典、芬蘭、澳大利亞等國均制定了有關信息安全的本國標准,國際標准化組織(ISO)也發布了ISO17799、ISO13335、ISO15408等與信息安全相關的國際標准及技術報告。目前,在信息安全管理方面,英國標准ISO2700:2005已經成為世界上應用最廣泛與典型的信息安全管理標准,它是在BSI/DISC的BDD/2信息安全管理委員會指導下制定完成。ISO27001標准於1993年由英國貿易工業部立項,於1995年英國首次出版BS 7799-1:1995《信息安全管理實施細則》,它提供了一套綜合的、由信息安全最佳慣例組成的實施規則,其目的是作為確定工商業信息系統在大多數情況所需控制范圍的唯一參考基準,並且適用於大、中、小組織。1998年英國公布標準的第二部分《信息安全管理體系規范》,它規定信息安全管理體系要求與信息安全控制要求,它是一個組織的全面或部分信息安全管理體系評估的基礎,它可以作為一個正式認證方案的根據。ISO2700:2005-1與ISO2700:2005-2經過修訂於1999年重新予以發布,1999版考慮了信息處理技術,尤其是在網路和通信領域應用的近期發展,同時還非常強調了商務涉及的信息安全及信息安全的責任。2000年12月,ISO2700:2005-1:1999《信息安全管理實施細則》通過了國際標准化組織ISO的認可,正式成為國際標准-----ISO/IEC17799-1:2000《信息技術-信息安全管理實施細則》。2002年9月5日,ISO2700:2005-2:2002草案經過廣泛的討論之後,終於發布成為正式標准,同時ISO2700:2005-2:1999被廢止。現在,ISO2700:2005標准已得到了很多國家的認可,是國際上具有代表性的信息安全管理體系標准。目前除英國之外,還有荷蘭、丹麥、澳大利亞、巴西等國已同意使用該標准;日本、瑞士、盧森堡等國也表示對ISO2700:2005標准感興趣,我國的台灣、香港也在推廣該標准。許多國家的政府機構、銀行、證券、保險公司、電信運營商、網路公司及許多跨國公司已採用了此標准對自己的信息安全進行系統的管理。截至2002年9月,全球共有142家各類組織通過了ISO2700:2005信息安全管理體系認證。
『伍』 網路安全評估主要有哪些項目
網路安全評估,也稱為網路評估、風險評估、網路風險評估、安全風險評估。一般情況下,它包括以下幾個方面:
網路資產評估、網路架構評估、網路脆弱性評估、數據流評估、應用系統評估、終端主機評估、物理安全評估、管理安全評估,一共8個方面。
成都優創信安,專業的網路和信息安全服務提供商。
『陸』 如何評估網路安全風險並在此基礎之上提出所採用的技術方案
首先,要確定保護的對象(或者資產)是什麼?它的直接和間接價值如何?
其次,資產面臨哪些潛在威脅?導致威脅的問題所在?威脅發生的可能性有多大?
第三,資產中存在哪些弱點可能會被威脅所利用?利用的容易程度又如何?
第四,一旦威脅事件發生,組織會遭受怎樣的損失或者面臨怎樣的負面影響?
最後,組織應該採取怎樣的安全措施才能將風險帶來的損失降低到最低程度?
風險評估的主要任務包括:
識別評估對象面臨的各種風險
評估風險概率和可能帶來的負面影響
確定組織承受風險的能力
確定風險消減和控制的優先等級
推薦風險消減對策
『柒』 什麼是信息安全風險評估
風險評估是指從風險管理角度,依據國家有關信息安全技術標准和准則,運用科學的方法和手段,對信息系統及處理、傳輸和存儲信息的保密性、完整性及可用性等安全屬性進行全面科學地分析;對網路與信息系統所面臨的威脅及存在的脆弱性進行系統的評價;對安全事件一旦發生可能造成的危害程度進行評估,並提出有針對性地抵禦威脅的防護對策和整改措施。
『捌』 一種行為的安全風險評估可以量化嗎依據是什麼
2008年,國際標准化組織風險管理工作組在制定相關標準的時候,採納了中國專家組提出的「風險」定義。即風險是「不確定性對目標的影響」(effect of uncertainty on objectives)。因此,信息安全風險(information security risk),就是認為或自然的威脅利用信息系統及其管理體系中存在的脆弱性導致安全事件發生及其對組織造成的影響。
因此,風險和安全是一對矛盾統一體,特別在信息時代,永遠沒有絕對的安全和零風險。人們能夠做到的是首先評估風險可能帶來的影響,然後採取規避、轉嫁和降低風險的方法,最後將風險控制在能夠承受的范圍之內。這就是風險評估最本質的思想。那麼如何將風險控制在能夠承受的范圍之內呢?還需要了解以下概念。
依據行為人的行為後果確定!
『玖』 一般網路安全風險評估多久做一次
信息安全風險評估作為信息安全保障工作的基礎性工作和重要環節,應貫穿於網路和信息系統建設運行的全過程。國家對開展信息安全風險評估工作做出明確規定,要求對網路與信息系統安全的潛在威脅、薄弱環節、防護措施等進行分析評估。《網路安全法》規定,關鍵信息基礎設施運營者應當自行或者委託網路安全服務機構對其網路的安全性和可能存在的風險每年至少進行一次檢測評估。