业务安全信息风险评估

最新推荐文章于 2022-06-15 10:11:49 发布
最新推荐文章于 2022-06-15 10:11:49 发布
阅读量1.4k 收藏 1
点赞数
文章标签: 任务 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xinshengjing/article/details/1717224
版权
信息安全的目标是保护信息的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)

保密性、完整性和可用性都是相对于业务而言的,即基于业务所要求来控制发布访问范围、按照业务的需要来授权信息的修改和保证信息为业务在需要的时候可用。

[separator]

 

因此信息安全首先必须清楚要保护的业务信息对象和这些对象可能遭遇的风险。业务信息风险评估(Risk Assessment)正是为此目的而执行的。在采取任何信息安全控制之前,如果缺乏充分的风险评估,那么所采取的安全控制则缺乏针对性,这样非常可能对应用的信息安全无济于事。

 

业务信息风险评估包括两个部分,一个部分是风险分析(Risk Analysis),其主要任务是识别保护业务对象、对保护对象的威胁和可能的风险。另一部分是风险评价(Risk Evaluation),其主要任务是根据预先定义的准则来评判风险的值和并根据风险值来确定风险处置的优先级。

风险评估方法论分析过程包括三个阶段:

 

其中:

   业务分析 业务分析阶段的主要目的是识别业务线(LOB)和支持业务线的关键信息资产和相关的关键IT资产(如数据服务器)。

   风险分析 风险分析阶段的主要目的是识别业务信息环境中存在的弱点(Vulnerability)、威胁(Threat)、威胁方(Threat agent)、威胁发生的可能性和发生对业务造成的影响。

   风险评估 风险评估阶段的主要目的是基于风险分析的结果和预先制定的规则(如高、中、低,或1~10风险程度值)来进行风险评价。评价的结果再基于业务的进行调整,得到符合业务需求的风险判断,然后排列出风险处置优先级。

  风险评估的输出包括业务清单、保护资产清单、风险清单。此外,一些支持性过程纪录包括在输出中。

  <script type="text/javascript"> </script><script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js"> </script>
xinshengjing
关注
业务安全-01】业务安全概述及其测试流程
cc
03-20 1722
近年来,随着信息化技术的迅速发展和全球一体化进程的不断加快,计算机和网络已经成为与所有人都息息相关的工具和媒介,个人的工作、生活和娱乐,企业的管理乃至国家的发展和改革都无处其外。信息和互联网带来的不仅仅是便利和高效,大量隐私、敏感和高价值的信息数据和资产,成为恶意攻击者攻击和威胁的主要目标,从早期以极客为核心的黑客黄金时代,到现在利益链驱动的庞大黑色产业,网络安全已经成为任何个人、企业、组织和国家所必须面临的重要问题。
信息安全风险评估规范
04-06
信息安全风险评估规范》的实施,对于企业来说,能够提升信息安全管理水平,增强组织对潜在威胁的防御能力,促进业务的稳定和持续发展。同时,它也为员工提供了一个统一的风险评估框架,帮助他们在日常工作中更好地...
业务安全评估
weixin_34129145的博客
02-19 175
来自:http://cisps.org/bbs/viewtopic.php?f=25&t=31778 最先处理的是业务资产的整理,清楚业务系统涉及的业务资产(能够界定业务范围及业务网络边界);其次是梳理业务流程,重点注意环节上的人员安全、环境安全、数据传输安全;重点考虑业务处理模式的转换安全(线上转线下或线下转线上)。 要 梳理业务安全,重点关注企业对哪些业务...
信息安全信息安全风险评估
m0_49351255的博客
06-15 597
2021年5月因为机缘巧合,转换了工作环境,也完成了一轮新的职业变更,从风控审计转至安全管理,安全管理对于本人又是一个全新的领域,基于对安全领域的了解不够深入,把工作中的项目做一个总结分享给大家,若有不足,还请批评指正。 最近一段时间涉及到的工作内容主要是涉及信息安全风险评估,其重要目标是为了发现,分子公司日常业务运作过程中的安全风险,并加以收敛。 说到风险评估,业界常用的风险评估方式主要有两种: 1. 定量风险评估 2. 定性风险评估 而在实际风险评估的过程中,以上两种方式,多数时候可以说难以
业务安全
7hinkSource的博客
09-09 279
业务安全识别点 业务环节存在的安全风险 业务环节存在的安全风险指的是业务使用者可见的业务存在的安全风险,如注册、登录和密码找回等身份认证环节,是否存在完善的验证码机制、数据一致性校验机制、session和cookie校验机制,是否能规避验证码绕过、暴力破解和SQL注入等漏洞。 支持系统存在的安全风险 如用户访问控制机制是否完善,是否存在水平越权或垂直越权漏洞。系统内加密存储机制是否完善,业务数据是否明文传输。系统使用的业务接口是否可以未授权访问/调用,是否可以调用重放、遍历,接口调用参数是否可篡改等 业务
信息安全风险评估报告模板.docx
08-14
《XXX公司信息安全风险评估报告》(版本号:V1.0)是一份详细记录了公司信息安全状况和潜在风险的专业文档,旨在确保公司的信息资产得到妥善保护。报告由XXX有限公司在XXXX年XXXX月编撰,旨在对公司的风险评估项目...
某公司信息安全风险评估报告.doc
08-14
《某公司信息安全风险评估报告》 信息安全风险评估是企业确保数据安全、防范潜在威胁的关键步骤。这份报告由北京子辉恒信科技有限公司于2012年11月为中石化石勘院进行,旨在全面分析和评估信息系统可能面临的风险...
信息安全技术 数据安全风险评估方法(征求意见稿)
最新发布
09-03
信息安全技术 数据安全风险评估方法(征求意见稿)》是一份重要的标准文件,旨在规范和指导数据处理者和第三方评估机构进行数据安全风险评估。该文件着重于数据的保密性、完整性、可用性和数据处理的合理性,旨在...
GBT20984-2022信息安全技术信息安全风险评估方法.pdf
03-20
《GBT20984-2022信息安全...总之,《GBT20984-2022信息安全技术信息安全风险评估方法》为组织提供了系统化、标准化的风险评估框架,以帮助其识别、分析、评价和处理信息安全风险,确保信息资产的安全性和业务的持续性。
安全模型和业务安全体系
01-06
网络安全业务安全 网络安全中,攻击者往往通过技术手段,以非正常的技术(XSS、Injection、Penestrating等),影响业务正常运行,窃取敏感数据。比如:某黑客通过SSRF进入内网,并在内网横向扩张,最终脱库成功。 业务安全中,黑灰产基于非正常的资源(IP、手机号、身份信息等),通过正常的产品流程,获取利益,影响业务正常运营。比如:黑灰产通过大量手机号注册新号,获取企业新户奖励,最终批量套现。 网络安全中,攻击者的意图多种多样:有挖漏洞卖钱的,有卖隐私数据赚钱的,有恶意报复的,也有纯粹炫技的。但对于业务安全,黑灰产的目的其实很直接,就是钱。 由于国外网络安全发展较早,且国外对于
信息安全风险评估报告.pdf
04-11
目 录 1 概述 ................................................................................................................................................. 5 1.1 项目背景 ................................................................................................................................ 5 1.2 工作方法 ................................................................................................................................ 5 1.3 评估范围 ................................................................................................................................ 5 1.4 基本信息 ................................................................................................................................ 5 2 业务系统分析 ................................................................................................................................. 6 2.1 业务系统职能 ........................................................................................................................ 6 2.2 网络拓扑结构 ........................................................................................................................ 6 2.3 边界数据流向 ........................................................................................................................ 6 3 资产分析 ......................................................................................................................................... 6 3.1 信息资产分析 ........................................................................................................................ 6 3.1.1 信息资产识别概述 ............................................................................................................ 6 3.1.2 信息资产识别 .................................................................................................................... 7 4 威胁分析 ......................................................................................................................................... 7 4.1 威胁分析概述 ........................................................................................................................ 7 4.2 威胁分类 ................................................................................................................................ 8 4.3 威胁主体 ................................................................................................................................ 8 4.4 威胁识别 ................................................................................................................................ 9 5 脆弱性分析 ..................................................................................................................................... 9 5.1 脆弱性分析概述 .................................................................................................................... 9 5.2 技术脆弱性分析 .................................................................................................................. 10 5.2.1 网络平台脆弱性分析 ...................................................................................................... 10 5.2.2 操作系统脆弱性分析 ...................................................................................................... 10 5.2.3 脆弱性扫描结果分析 ...................................................................................................... 11 5.2.3.1 扫描资产列表 ......................................................................................................... 11 5.2.3.2 高危漏洞分析 ......................................................................................................... 11 5.2.3.3 系统帐户分析 ......................................................................................................... 11 5.2.3.4 应用帐户分析 ......................................................................................................... 11 5.3 管理脆弱性分析 .................................................................................................................. 12 5.4 脆弱性识别 .......................................................................................................................... 13 6 风险分析 ....................................................................................................................................... 14 6.1 风险分析概述 ...................................................................................................................... 14 6.2 资产风险分布 ...................................................................................................................... 14 6.3 资产风险列表 ...................................................................................................................... 15 7 系统安全加固建议 ....................................................................................................................... 15 7.1 管理类建议 .......................................................................................................................... 15 7.2 技术类建议 .......................................................................................................................... 15 7.2.1 安全措施 .....
深圳市某局信息安全风险评估报告
03-22
深圳市某局信息安全风险评估报告 风险评估结论 1 评估工作概述 1.1评估范围 1.2评估组织 2 评估依据和标 3 资产识别 3.1资产识别内容和方法 3.2 重要资产的确定及三性赋值 4 威胁识别 5 脆弱性识别 5.1脆弱性识别内容及方法 5.2脆弱性识别结果 6 综合风险分析 6.1风险分析方法 6.2风险等级划分 6.3不可接受风险划分 6.4 风险分析结果 7 风险统计 8 不可接受风险处理计划
互联网业务安全
Q1n6
12-27 902
提高密码复杂度: 1.      对抗暴力破解; 2.      防止密码中包含个人信息 所以可以想到的方法有:设置更复杂的密码(包括提高位数,使用更多种类的字符,避免常用密码),通过暴力破解检测、设置尝试次数、设置验证码等缓解暴力破解行为,尽量减少密码中包含的个人信息(可提示用户是否使用了注册信息中的年份、手机号等)。   关于业务逻辑问题: 实例1:黑客通过cookie劫持导致账户
[网络安全学习篇64]:业务安全
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
05-11 4240
引言:我的系列博客[网络安全学习篇]上线了,小编也是初次创作博客,经验不足;对千峰网络信息安全开源的视频公开课程的学习整理的笔记整理的也比较粗糙,其实看到目录有300多集的时候,讲道理,有点怂了,所以我就想到了通过写博客(课程笔记)的形式去学习它,虽然写博客会让我多花几倍的时间去学习它,但是当我完成一篇博客所获得的成就感和你们对于我的认同感,让我很满足,能够鼓励我一天天的坚持下去,也希望和我一起学习本期视频的"同道"们也能给一直坚持下去。我们大家一起加油。由于作者本身也是网络信息安全小白,大部分知识点都是初
业务安全02】业务数据安全
Fighting_hawk的博客
03-17 3361
1. 了解哪些位置或过程存在业务数据安全风险; 2. 掌握不同风险点的测试方法。
【互联网安全业务安全及防护(数据风控)
京庐空间
08-30 1280
课程介绍   互联网账号泄露事件频发,脱库、洗库、撞库,形成了一条完善的黑灰产业链,盗刷信用卡、“羊毛党”猖獗、刷单炒信等业务风险背后,如何去防范,阿里聚安全专家笙华为你支招。 课程列表 课时1:互联网常见业务风险 课时2:互联网常见业务风险防控建设 课时3:互联网业务安全防护实践
大型电信运营业务支撑系统安全评估方法
03-26 1354
作者:刘雪勇  宋汇星摘 要:大型电信运营业务支撑系统(BOSS)有其独特的复杂性,集中化改造后,对BOSS系统的信息安全保障能力也提出了更高的要求,安全评估方面的考虑也越来越多。从管理和技术两个方面探讨了大型电信运营业务支撑系统的安全评估方法。  近年来,电信运营商为了满足不同层次的用户需求,不断地推出新业务和新服务,而业务、服务的增多往往意味着管理、协调等问题的增多。为了解决这些问题,国内的一
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值