网络信息安全
管理要素由网络管理
对象、网络威胁、网络脆弱性、网络风险、网络保护措施组成。
由于网络管理对象自身的脆弱性,使得威胁的发生成为可能,从而造成了不同的影响,形成了风险。
网络安全管理实际上就是风险控制,其基本过程是通过网络管理对象的威胁和脆弱性进行分析,确定网络管理对象的价值、网络管理对象威胁发生的可能性、网络管理对象的脆弱程度,从而确定网络管理对象的风险等级,然后据此选取合适的安全保护措施,降低网络管理对象的风险。
所有的安全管理、安全服务、安全技术等都是围绕网络信息安全管理要素来的。
网络安全风险评估是评价网络信息系统遭受潜在的安全威胁所产生的影响。
网络安全风险,是指由于网络系统所存在的脆弱性,因人为或自然的威胁导致安全事件发生所造成的可能性。网络风险评估就是评估威胁者利用网络资产的脆弱性,造成网络资产损失的严重程度。
网络安全风险评估过程,主要包括网络安全风险评估准备、资产识别、威胁识别、脆弱性识别、已有的安全措施分析、网络安全风险分析、网络安全风险处置与管理等。
资产识别包含“网络资产鉴定”和“网络资产价值估算”。前者给出评估所考虑的具体对象,确认网络资产种类和清单,是整个评估工作的基础。常见的网络资产主要分为网络设备、主机、服务器、应用、数据和文档资产等六个方面。
“网络资产价值估算”是某一具体资产在网络系统中的重要程度确认。
威胁是指可能对评估对象造成损害的外部原因。威胁利用评估对象自身的脆弱性,采用一定的途径和方式,对评估对象造成损害或损失,从而形成风险,威胁识别是对网络资产有可能受到的安全危害进行分析,一般从威胁来源、威胁途径、威胁意图等几个方面来分析。
脆弱性是指评估对象存在一个或多个脆弱的管理、技术、业务方面的漏洞,这些漏洞可能会被威胁所利用。脆弱性识别是指通过各种测试方法,获得网络资产中所存在的缺陷清单,这些缺陷会导致对信息资产的非授权访问、泄密、失控、破坏或不可用、绕过已有的安全机制,缺陷的存在将会危及网络资产的安全。
| 任务 | 输出文档 | 文档内容 |
| 风险评估准备 | 会议记录并确认需要评估的系统、评估计划和评估程序 | 评估系统、评估计划和内容安排,双方负责人及需要明确的协调工作 |
| 访谈 | 针对业务系统进行技术安全和管理安全评估的访谈表 | 业务系统描述、运营情况和用户群体,并了解业务管理流程 |
| 文档审查 (资产识别) | 资产审查记录和业务系统审查记录 | 资产管理台账、网络拓扑图、业务运营管理制度和责任人 |
| 威胁识别 | 技术安全测评的网络、主机、应用测评结果记录,工具测试完成后的电子输出记录 | 漏洞扫描、渗透性测试、性能测试、入侵检测和协议分析等内容的技术测试结果 |
| 脆弱性识别 | 根据威胁识别结果,技术安全测评的网络、主机、应用测评 | 检查检查内容的记录,并根据威胁对业务系统脆弱性进行识别 |
| 风险处置 | 风险处置措施记录 | 对已识别的风险进行评估和处置,并评估是否存在残余风险 |
| 风险管理 | 对可接受的残余风险进行风险管理并出具风险评估报告 | 风险评估过程中发现的问题、问题的证据和证据源、每项检查活动中测评委托单位配合人员的书面认可 |
网络安全风险分析是指在资产评估、威胁评估、脆弱性评估、安全管理评估、安全影响评估的基础上,综合利用定性和定量的分析方法,选择适当的风险计算方法或工具确定风险的大小与风险等级,即对网络系统安全管理范围内的每一个网络资产因遭受泄露、修改、不可用和破坏所带来的任何影响做出一个风险测量的列表,以便识别与选择适当和正确的安全控制方式。通过分析所评估的数据,进行风险值计算。
网络安全风险分析的主要步骤如下:
一、对资产进行识别,并对资产的价值进行赋值。
二、对威胁进行识别,描述威胁的属性,并对威胁出现的频率赋值。
三、对脆弱性进行识别,并对具体资产的脆弱性的严重程度赋值。
四、根据威胁及威胁利用脆弱性的难易程度判断安全事件发生的可能性
五、根据脆弱性的严重程度及安全事件所作用的资产价值计算安全事件的损失。
六、根据安全事件发生的可能性及安全事件出现后的损失,计算安全事件一旦发生对组织的影响,即网络安全风险值。其中,安全事件损失是指确定已经鉴定的资产受到损害所带来的影响。
网络安全学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
需要网络安全学习路线和视频教程的可以在评论区留言哦~
最后
- 如果你确实想自学的话,我可以把我自己整理收藏的这些教程分享给你,里面不仅有web安全,还有渗透测试等等内容,包含电子书、面试题、pdf文档、视频以及相关的课件笔记,我都已经学过了,都可以免费分享给大家!
给小伙伴们的意见是想清楚,自学网络安全没有捷径,相比而言系统的网络安全是最节省成本的方式,因为能够帮你节省大量的时间和精力成本。坚持住,既然已经走到这条路上,虽然前途看似困难重重,只要咬牙坚持,最终会收到你想要的效果。
黑客工具&SRC技术文档&PDF书籍&web安全等(可分享)
结语
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
特别声明:
此教程为纯技术分享!本教程的目的决不是为那些怀有不良动机的人提供及技术支持!也不承担因为技术被滥用所产生的连带责任!本教程的目的在于最大限度地唤醒大家对网络安全的重视,并采取相应的安全措施,从而减少由网络安全而带来的经济损失
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
