信息安全风险评估

最新推荐文章于 2024-07-23 11:41:58 发布
最新推荐文章于 2024-07-23 11:41:58 发布
阅读量6.3k 收藏 55
点赞数 5
分类专栏: 等保测评 网络安全 文章标签: 信息安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LQ12369/article/details/112393068
版权
信息安全风险评估是识别和管理安全风险的关键步骤,涉及到漏洞扫描、风险计算、安全服务等多个方面。通过分析网络设备、操作系统和应用层的漏洞,评估潜在威胁并采取相应措施,以确保系统的安全性。风险评估包括资产识别、脆弱性识别、风险计算等流程,旨在将风险控制在可接受水平。
摘要由CSDN通过智能技术生成

随着政府部门、金融机构、企事业单位、商业组织等对信息系统依赖程度的日益增强,信息安全问题受到普遍关注。运用风险评估去识别安全风险,解决信息安全问题得到了广泛的认识和应用。
信息安全分析评估:就是从风险管理角度,运用科学的方法和手段,系统地:分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件--旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,为防范和化解信息安全风险,将风险控制在可接受的水平,最大限度地:保障信息安全提供科学依据。
信息安全风险评估作为信息安全保障工作的基础性工作和重要环节,要贯穿于信息系统的规划、设计、实施、运行维护以及废弃各个阶段,是信息安全等级保护制度建设的重要科学方法之一。

网站的风险,大多来自于漏洞!

漏洞扫描

漏洞扫描内容

网络设备

  • 版本漏洞,包括但不限于iOS存在的漏洞,涉及包括所有在线网络设备及安全设备。
  • 开放服务,包括但不限于路由器开放的web管理界面、其他管理方式等。
  • 空弱口令,例如空/弱telnet口令、snmp口令等。
  • 网络资源的访问控制:检测到无线访问点
  • 域名系统,ISC BIND SIG资源记录无效过期时间拒绝服务攻击漏洞,Microsoft Windows DNS拒绝服务攻击
  • 路由器,Cisco IOS Web配置接口安全认证可被绕过,Nortel交换机/路由器缺省口令漏洞,华为网络设备没有设置口令

操作系统

  • 操作系统(包括Windows、AIX和Linux、HPUX、Solaris、VMware等)的系统补丁、漏洞、病毒等各类异常缺陷
  • 空/弱口令系统账户检测,例如:身份认证:通过telnet进行口令猜测
  • 访问控制:注册表 HKEY_LOCAL_MACHINE普通用户可写,远程主机允许匿名FTP登录,ftp服务器存在匿名可写目录
  • 系统漏洞:System V系统login远程缓冲区溢出漏洞,Microsoft Windows Locator服务远程缓冲区溢出漏洞
  • 安全配置问题,部分SMB用户存在薄弱口令,试图使用rsh登录进入远程系统

应用层

  • 应用程序(包括但不限于数据库Oracle、DB2、MS SQL、Web服务,如Apache、WebSphere、Tomcat、IIS等,其他SSH、FTP等)缺失补丁或版本漏洞检测
  • 空弱口令应用账户检测
  • 数据库软件,Oracle tnslsnr没有设置口令,Microsoft SQL Server 2000 Resolution服务多个安全漏洞
  • Web服务器,Apache Mod_SSL/Apache-SSL远程缓冲区溢出漏洞,Microsoft IIS5.0 printer ISAPI远程缓冲区溢出,Sun ONE/iPlanet Web服务程序分块编码传输漏洞
  • 电子邮件系统,Sendmail头处理远程溢出漏洞,Microsoft Windows 2000 SMTP服务认证错误漏洞
  • 防火墙及应用网管系统,Axent Raptor防火墙拒绝服务漏洞
  • 其他网络服务系统,Wingate POP3 USER命令远程溢出漏洞,Linux系统LPRng远程格式化串漏洞

漏洞扫描原理

探测存活主机

扫描器三项功能:发现主机、发现主机上的服务、发现服务的漏洞。

扫描器首先探测目标系统的活动主机,探测方式默认采用ICMP ping和TCP ping,可以选用UDP ping。

判断端口及服务

通过TCP端口扫描方式,确定目标主机开放的端口,默认通过CONNECT方式,可选用SYN方式,同时根据协议指纹技术识别出主机的操作系统类型。

判断漏洞

扫描器对开放端口进行网络服务类型的识别,确定其提供的网络服务。漏洞扫描器根据目标系统的操作系统平台和提供的网络服务,调用漏洞资料库中已知的各种漏洞进行逐一检测,通过对探测响应数据包的分析判断是否存在已知安全漏洞。

攻击风险及误报

在漏洞的检测过程中,扫描器会基于自身数据库中payload(漏洞利用程序)向目标发送信息,基于返回的数据包来确定漏洞是否存在,虽然是非攻击性的payload的, 但此过程仍存在一 定的风险。

有些漏洞是没有payload,或者扫描器自身数据库中没有此漏洞的payload,这时,扫描器就会基于扫描出来的目标系统的服务版本来判断是否存在漏洞,如扫描出目标主机存在Oracle 11g数据库,而此时扫描器没有此版本的payload,扫描器就会把数据库中所有低于此版本的漏洞全部呈现出来。同时,在判断目标系统的服务版本中,可能也会出现偏差,最终也会导致漏洞误报。

信息安全风险评估

安全服务的方向

风险评估服务

风险评估是对信息资产所存在的脆弱性,面临的威胁, 造成的影响,及三者综合作用所带来的风险的可能性评估。

等级测评服务

国家信息安全等级保护

安全咨询服务

以行业特点为核心,从技术、运维、管理、策略等方面提供有针对性的安全技术与管理咨询服务

安全审计服务

了解现有环境是否根据既定的安全策略得到妥善的保护

运维管理服务

应急响应、驻场安全运维、巡检、渗透评估、安全

安全培训服务

安全管理培训、安全技能培训、安全认证培训

安全服务的内容

脆弱性:漏洞扫描配置核查安全加固渗透测试、代码审计

威胁:网络架构分析、安全巡检、日志分析、恶意代码排查

事件:应急演练、应急响应、安全监测、安全值守

体系设计:ISMS体系建设、安全体系规划、应急体系建设、安全域划分、应用开发安全生命周期

合规咨询:等级保护咨询、行业合规咨询

安全评估:系统上线前检查、风险评估、业务安全评估、无线安全评估、虚拟化安全评估

安全培训:安全意识培训、安全管理培训、安全技能培训

安全研究:安全课题研究

风险评估的依据

GB/T 20984-2007 信息安全技术 信息安全风险评估规范

什么是信息安全风险评估

信息安全风险是指在信息化建设中,各类应用系统及其赖以运行的基础网络、处理的数据和信息,由于其可能存在的软硬件缺陷、系统集成缺陷等,以及信息安全管理中潜在的薄弱环节,而导致的不同程度的安全风险。
信息安全风险评估是从风险管理的角度,运用科学的手段,系统的分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,为防范和化解信息安全风险,或者将风险控制在可以接受的水平,制定有针对性的抵御威胁的防护对策和整改措施以最大限度的保障网络和信息安全提供科学依据。

最低0.47元/天 解锁文章
Mr. Rich
关注
专栏目录
信息安全风险评估
12-12
信息安全风险评估
评估安全信息有哪些/评估信息安全状况-小白网络安全笔记
程序员六七的博客
05-31 485
前言信息安全风险评估作为信息系统的安全保障措施,已经在交通、金融、能源、政务等各个领域广泛实施,信息安全风险评估国家标准也于2022年进行了修订,由GB/T 20984-
信息安全等级保护测评(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
m0_71744044的博客
07-23 1084
等保测评旨在评估信息系统的安全性,并根据评估结果给予相应的安全等级。该等级反映了信息系统在保护国家安全、经济安全、社会公共利益以及个人合法权益方面的能力。通过等保测评,可以确保信息系统符合国家法律法规的要求,提升信息系统的安全性能,防范各类网络攻击和安全威胁,保护国家重要信息基础设施的安全。给小伙伴们的意见是想清楚,自学网络安全没有捷径,相比而言系统的网络安全是最节省成本的方式,因为能够帮你节省大量的时间和精力成本。
一文讲透信息安全风险评估
qq_25099525的博客
12-15 1904
图4 资产完整性赋值表。
网络信息安全风险评估
小旺的博客
06-04 8874
网络信息安全风险评估是指依据国家风险评估有关管理要求和技术标准,对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。通过对信息及信息系统的重要性、面临的威胁、其自身的脆弱性以及已采取安全措施有效性的分析,判断脆弱性被威胁源利用后可能发生的安全事件及其所造成的负面影响程度来识别信息安全安全风险。网络信息系统的风险评估是对威胁、脆弱点以及由此带来的风险大小的评估。对系统进行风险分析和评估的目的就是:了解系统目前与未来的风险所在,评估这些风险可能带来的安全威胁
关于信息安全风险评估,你需要知道的
xinzhouqifu6的博客
10-27 1270
什么是信息安全风险评估信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于IT领域时,就是对信息安全风险评估。 系统存在着脆弱性,就是我们常说的技术上的漏洞,可以被利用的漏洞,我们有时候讲脆弱性。再加上人为或自然的威胁,导致一些信息安全事件的发生的可能性及其造成的影响,特别是负面影响。也就是说脆弱性和威胁是原因,可能性和影响是结果,当然还有一些其他的要素
信息安全风险评估报告.doc
12-17
信息安全风险评估是对组织信息资产面临的威胁、存在的脆弱性以及由此可能导致的风险进行系统、全面的分析和评估的过程。此报告详细阐述了2020年度某单位进行的风险评估活动,旨在根据ISO27001:2013标准建立信息安全...
信息安全风险评估报告
11-11
本次信息安全风险评估采用定量的方法对资产进行识别,并对资产自身价值、信息类别、保密性、完整性、可用性、法律法规合同及其它要求的符合性方面进行分类赋值,综合考虑资产在自身价值、保密性、完整性、可用性和...
信息安全风险评估规范
04-06
信息安全风险评估规范》是GB/T 20984-2007标准,它为信息安全服务者提供了全面的风险评估指南,适用于我国各行业的通用标准。这份规范旨在确保组织的信息系统安全,防止潜在威胁,保护重要数据,降低业务风险。 ...
信息安全风险评估介绍ppt
09-11
信息安全风险评估介绍ppt,从风险评估的流程,到风评的好处,风评的相关政策,全方位解读
信息系统资产风险评估表.xlsx
06-17
,,,,,,,,,,, ,,,,,,,,,,, ,,,,,,,,,,, 综合结算系统资产风险评估矩阵,,,,,,,,,,, 日期: 2011 年 8月 12日,,,,,,,,,,, 填表部门:,,,,,,,,,,, 序号,信息资产类别,资产详细名称,资产本身存在的弱点或漏洞,资产存在的外部威胁,威胁发生的可能性,威胁发生的后果,目前采取的控制措施,确定可能会出现的问题(风险),确定风险的优先级,风险的控制水平,提出整改建议 1,实物资产,"主机: spnode03 spnode04 spnode05 spnode06 P670A P670B",易受参数配置的影响产生错误,可能遭到非法访问或数据窜改,小,"1、业务连续性受到影响 2、业务数据的真实性受影响","1、适当设置安全参数并定期检查 2、正确设置其他参数 3、定期的参数复核检查流程",很低,,,无 ,,,硬件有一定的故障几率,设备硬件老化,小,"1、业务连续性受到影响 2、硬件重新购置的费用","1、维保合同 2、双机等冗余配置",很低,,,无 ,,,易受电源、温度等不稳定影响。,电源、温度、湿度不符合要求,小,"1、业务连续性
信息安全风险评估实施指南
06-30
本标准是对《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)中各阶段评估工作的细化,适用于从事信息安全风险评估活动的有关组织机构和人员,也可为组织内部进行信息安全风险评估提供指导和参考。
信息安全风险评估报告(模板).pdf
04-11
目 录 报告声明 ...................................................................................... 错误!未定义书签。 委托方信息 .................................................................................. 错误!未定义书签。 受托方信息 .................................................................................. 错误!未定义书签。 风险评估报告单 .......................................................................... 错误!未定义书签。 1. 风险评估项目概述 ................................................................ 错误!未定义书签。 1.1. 建设项目基本信息 .......................................................... 错误!未定义书签。 1.2. 风险评估实施单位基本情况 .......................................... 错误!未定义书签。 1.3. 风险评估活动概述 .......................................................... 错误!未定义书签。 1.3.1. 风险评估工作组织过程 ............................................ 错误!未定义书签。 1.3.2. 风险评估技术路线 .................................................... 错误!未定义书签。 1.3.3. 依据的技术标准及相关法规文件 ............................ 错误!未定义书签。 2. 评估对象构成 ........................................................................ 错误!未定义书签。 2.1. 评估对象描述 .................................................................. 错误!未定义书签。 2.2. 网络拓扑结构 .................................................................. 错误!未定义书签。 2.3. 网络边界描述 .................................................................. 错误!未定义书签。 2.4. 业务应用描述 .................................................................. 错误!未定义书签。 2.5. 子系统构成及定级 .......................................................... 错误!未定义书签。 3. 资产调查 ................................................................................ 错误!未定义书签。 3.1. 资产赋值 .......................................................................... 错误!未定义书签。 3.2. 关键资产说明 .................................................................. 错误!未定义书签。 4. 威胁识别与分析 ...................................................................................................... 3 4.1. 关键资产安全需求 ............................................................................................ 3 4.2. 关键资产威胁概要 ............................................................................................ 7 4.3. 威胁描述汇总 .................................................................................................. 20 4.4. 威胁赋值 .......................................................................................................... 22 第 2 页共 94 页 5. 脆弱性识别与分析 ................................................................................................ 25 5.1. 常规脆弱性描述 .............................................................................................. 25 5.1.1. 管理脆弱性 ................................................................................................ 25 5.1.2. 网络脆弱性 ................................................................................................ 25 5.1.3. 系统脆弱性 ................................................................................................ 25 5.1.4. 应用脆弱性 ................................................................................................ 25 5.1.5. 数据处理和存储脆弱性 ............................................................................ 25 5.1.6. 灾备与应急响应脆弱性 ............................................................................ 25 5.1.7. 物理脆弱性 ................................................................................................ 25 5.2. 脆弱性专项检查 .............................................................................................. 25 5.2.1. 木马病毒专项检查 .................................................................................... 25 5.2.2. 服务器漏洞扫描专项检测 ........................................................................ 26 5.2.3. 安全设备漏洞扫描专项检测 .................................................................... 37 5.3. 脆弱性综合列表 .............................................................................................. 40 6. 风险分析 ................................................................................................................ 47 6.1. 关键资产的风险计算结果 .............................................................................. 47 6.2. 关键资产的风险等级 ...................................................................................... 51 6.2.1. 风险等级列表 ............................................................................................ 51 6.2.2. 风险等级统计 ............................................................................................ 52 6.2.3. 基于脆弱性的风险排名 ............................................................................ 52 6.2.4. 风险结果分析 ............................................................................................ 54 7. 综合分析与评价 .................................................................................................... 55 7.1. 综合风险评价 .................................................................................................. 55 7.2. 风险控制角度需要解决的问题 ...................................................................... 56 8. 整改意见 ..............................................
信息安全等级保护培训试题集--带答案
10-22
信息安全等级保护培训试题集带答案
信息安全风险评估标准GB20984
01-27
信息安全风险评估标准GB20984
信息安全风险评估报告模板.docx
08-14
《XXX公司信息安全风险评估报告》(版本号:V1.0)是一份详细记录了公司信息安全状况和潜在风险的专业文档,旨在确保公司的信息资产得到妥善保护。报告由XXX有限公司在XXXX年XXXX月编撰,旨在对公司的风险评估项目...
信息安全风险评估计算方法】
weixin_47697875的博客
11-16 2487
信息安全风险评估风险分析阶段涉及到风险值的计算问题,计算方法包括矩阵法和相乘法两种,本文介绍了在信息安全风险评估过程的风险分析中矩阵法和相乘法的使用方法。
信息安全风险评估
weixin_47697875的博客
11-16 478
通过信息安全风险评估,可以预先了解被评估资产的安全状况以及存在的风险,从而进一步选择合适的安全措施,降低被评估系统的安全风险。信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值