信息安全风险评估

最新推荐文章于 2024-09-18 14:52:37 发布
最新推荐文章于 2024-09-18 14:52:37 发布
阅读量6.4k 收藏 55
点赞数 5
分类专栏: 等保测评 网络安全 文章标签: 信息安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lq12369/article/details/112393068
版权
信息安全风险评估是识别和管理安全风险的关键步骤,涉及到漏洞扫描、风险计算、安全服务等多个方面。通过分析网络设备、操作系统和应用层的漏洞,评估潜在威胁并采取相应措施,以确保系统的安全性。风险评估包括资产识别、脆弱性识别、风险计算等流程,旨在将风险控制在可接受水平。
摘要由CSDN通过智能技术生成

随着政府部门、金融机构、企事业单位、商业组织等对信息系统依赖程度的日益增强,信息安全问题受到普遍关注。运用风险评估去识别安全风险,解决信息安全问题得到了广泛的认识和应用。
信息安全分析评估:就是从风险管理角度,运用科学的方法和手段,系统地:分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件--旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,为防范和化解信息安全风险,将风险控制在可接受的水平,最大限度地:保障信息安全提供科学依据。
信息安全风险评估作为信息安全保障工作的基础性工作和重要环节,要贯穿于信息系统的规划、设计、实施、运行维护以及废弃各个阶段,是信息安全等级保护制度建设的重要科学方法之一。

网站的风险,大多来自于漏洞!

漏洞扫描

漏洞扫描内容

网络设备

  • 版本漏洞,包括但不限于iOS存在的漏洞,涉及包括所有在线网络设备及安全设备。
  • 开放服务,包括但不限于路由器开放的web管理界面、其他管理方式等。
  • 空弱口令,例如空/弱telnet口令、snmp口令等。
  • 网络资源的访问控制:检测到无线访问点
  • 域名系统,ISC BIND SIG资源记录无效过期时间拒绝服务攻击漏洞,Microsoft Windows DNS拒绝服务攻击
  • 路由器,Cisco IOS Web配置接口安全认证可被绕过,Nortel交换机/路由器缺省口令漏洞,华为网络设备没有设置口令

操作系统

  • 操作系统(包括Windows、AIX和Linux、HPUX、Solaris、VMware等)的系统补丁、漏洞、病毒等各类异常缺陷
  • 空/弱口令系统账户检测,例如:身份认证:通过telnet进行口令猜测
  • 访问控制:注册表 HKEY_LOCAL_MACHINE普通用户可写,远程主机允许匿名FTP登录,ftp服务器存在匿名可写目录
  • 系统漏洞:System V系统login远程缓冲区溢出漏洞,Microsoft Windows Locator服务远程缓冲区溢出漏洞
  • 安全配置问题,部分SMB用户存在薄弱口令,试图使用rsh登录进入远程系统

应用层

  • 应用程序(包括但不限于数据库Oracle、DB2、MS SQL、Web服务,如Apache、WebSphere、Tomcat、IIS等,其他SSH、FTP等)缺失补丁或版本漏洞检测
  • 空弱口令应用账户检测
  • 数据库软件,Oracle tnslsnr没有设置口令,Microsoft SQL Server 2000 Resolution服务多个安全漏洞
  • Web服务器,Apache Mod_SSL/Apache-SSL远程缓冲区溢出漏洞,Microsoft IIS5.0 printer ISAPI远程缓冲区溢出,Sun ONE/iPlanet Web服务程序分块编码传输漏洞
  • 电子邮件系统,Sendmail头处理远程溢出漏洞,Microsoft Windows 2000 SMTP服务认证错误漏洞
  • 防火墙及应用网管系统,Axent Raptor防火墙拒绝服务漏洞
  • 其他网络服务系统,Wingate POP3 USER命令远程溢出漏洞,Linux系统LPRng远程格式化串漏洞

漏洞扫描原理

探测存活主机

扫描器三项功能:发现主机、发现主机上的服务、发现服务的漏洞。

扫描器首先探测目标系统的活动主机,探测方式默认采用ICMP ping和TCP ping,可以选用UDP ping。

判断端口及服务

通过TCP端口扫描方式,确定目标主机开放的端口,默认通过CONNECT方式,可选用SYN方式,同时根据协议指纹技术识别出主机的操作系统类型。

判断漏洞

扫描器对开放端口进行网络服务类型的识别,确定其提供的网络服务。漏洞扫描器根据目标系统的操作系统平台和提供的网络服务,调用漏洞资料库中已知的各种漏洞进行逐一检测,通过对探测响应数据包的分析判断是否存在已知安全漏洞。

攻击风险及误报

在漏洞的检测过程中,扫描器会基于自身数据库中payload(漏洞利用程序)向目标发送信息,基于返回的数据包来确定漏洞是否存在,虽然是非攻击性的payload的, 但此过程仍存在一 定的风险。

有些漏洞是没有payload,或者扫描器自身数据库中没有此漏洞的payload,这时,扫描器就会基于扫描出来的目标系统的服务版本来判断是否存在漏洞,如扫描出目标主机存在Oracle 11g数据库,而此时扫描器没有此版本的payload,扫描器就会把数据库中所有低于此版本的漏洞全部呈现出来。同时,在判断目标系统的服务版本中,可能也会出现偏差,最终也会导致漏洞误报。

信息安全风险评估

安全服务的方向

风险评估服务

风险评估是对信息资产所存在的脆弱性,面临的威胁, 造成的影响,及三者综合作用所带来的风险的可能性评估。

等级测评服务

国家信息安全等级保护

安全咨询服务

以行业特点为核心,从技术、运维、管理、策略等方面提供有针对性的安全技术与管理咨询服务

安全审计服务

了解现有环境是否根据既定的安全策略得到妥善的保护

运维管理服务

应急响应、驻场安全运维、巡检、渗透评估、安全

安全培训服务

安全管理培训、安全技能培训、安全认证培训

安全服务的内容

脆弱性:漏洞扫描配置核查安全加固渗透测试、代码审计

威胁:网络架构分析、安全巡检、日志分析、恶意代码排查

事件:应急演练、应急响应、安全监测、安全值守

体系设计:ISMS体系建设、安全体系规划、应急体系建设、安全域划分、应用开发安全生命周期

合规咨询:等级保护咨询、行业合规咨询

安全评估:系统上线前检查、风险评估、业务安全评估、无线安全评估、虚拟化安全评估

安全培训:安全意识培训、安全管理培训、安全技能培训

安全研究:安全课题研究

风险评估的依据

GB/T 20984-2007 信息安全技术 信息安全风险评估规范

什么是信息安全风险评估

信息安全风险是指在信息化建设中,各类应用系统及其赖以运行的基础网络、处理的数据和信息,由于其可能存在的软硬件缺陷、系统集成缺陷等,以及信息安全管理中潜在的薄弱环节,而导致的不同程度的安全风险。
信息安全风险评估是从风险管理的角度,运用科学的手段,系统的分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,为防范和化解信息安全风险,或者将风险控制在可以接受的水平,制定有针对性的抵御威胁的防护对策和整改措施以最大限度的保障网络和信息安全提供科学依据。

最低0.47元/天 解锁文章
Mr. Rich
关注
专栏目录
信息安全风险评估
12-12
信息安全风险评估
一文讲透信息安全风险评估
qq_25099525的博客
12-15 2565
图4 资产完整性赋值表。
2024最新最全:信息安全风险评估服务,零基础入门到精通,收藏这一篇就够了
最新发布
wholeliubei的博客
09-18 865
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。(都打包成一块的了,不能一一展开,总共300多集)
信息安全管理与评估_信息安全管理06_定性信息安全风险评估方法
weixin_39818550的博客
12-04 338
定性信息安全风险评估方法常用于专业安全评估团队对特定系统或平台的安全评估中,本文就以安全评估项目过程为主线,从评估准备、现状调研、现状分析、检查与测试、分析评价、评估报告六个阶段步骤,来介绍定性信息安全风险评估方法。一、评估准备评估准备阶段需要确定评估目标和范围、成立评估组、制定评估实施计划、收集整理开发各种评估工具。评估准备阶段的输出包括《安全评估计划》、《安全评估调查表》、《安全评估check...
信息安全风险评估报告.doc
12-17
信息安全风险评估是对组织信息资产面临的威胁、存在的脆弱性以及由此可能导致的风险进行系统、全面的分析和评估的过程。此报告详细阐述了2020年度某单位进行的风险评估活动,旨在根据ISO27001:2013标准建立信息安全...
信息安全风险评估报告模板.docx
08-14
《XXX公司信息安全风险评估报告》(版本号:V1.0)是一份详细记录了公司信息安全状况和潜在风险的专业文档,旨在确保公司的信息资产得到妥善保护。报告由XXX有限公司在XXXX年XXXX月编撰,旨在对公司的风险评估项目...
某公司信息安全风险评估报告.doc
08-14
《某公司信息安全风险评估报告》 信息安全风险评估是企业确保数据安全、防范潜在威胁的关键步骤。这份报告由北京子辉恒信科技有限公司于2012年11月为中石化石勘院进行,旨在全面分析和评估其信息系统可能面临的风险...
信息安全风险评估规范
04-06
信息安全风险评估规范》是GB/T 20984-2007标准,它为信息安全服务者提供了全面的风险评估指南,适用于我国各行业的通用标准。这份规范旨在确保组织的信息系统安全,防止潜在威胁,保护重要数据,降低业务风险。 ...
GBT20984-2022信息安全技术信息安全风险评估方法.pdf
03-20
《GBT20984-2022信息安全技术信息安全风险评估方法》是中国国家标准,旨在规范信息安全风险评估过程,确保组织的信息安全得到有效管理和保护。该标准替代了2007年的版本,反映了近年来信息技术和安全领域的最新发展...
信息安全风险评估报告(模板).pdf
04-11
目 录 报告声明 ...................................................................................... 错误!未定义书签。 委托方信息 .................................................................................. 错误!未定义书签。 受托方信息 .................................................................................. 错误!未定义书签。 风险评估报告单 .......................................................................... 错误!未定义书签。 1. 风险评估项目概述 ................................................................ 错误!未定义书签。 1.1. 建设项目基本信息 .......................................................... 错误!未定义书签。 1.2. 风险评估实施单位基本情况 .......................................... 错误!未定义书签。 1.3. 风险评估活动概述 .......................................................... 错误!未定义书签。 1.3.1. 风险评估工作组织过程 ............................................ 错误!未定义书签。 1.3.2. 风险评估技术路线 .................................................... 错误!未定义书签。 1.3.3. 依据的技术标准及相关法规文件 ............................ 错误!未定义书签。 2. 评估对象构成 ........................................................................ 错误!未定义书签。 2.1. 评估对象描述 .................................................................. 错误!未定义书签。 2.2. 网络拓扑结构 .................................................................. 错误!未定义书签。 2.3. 网络边界描述 .................................................................. 错误!未定义书签。 2.4. 业务应用描述 .................................................................. 错误!未定义书签。 2.5. 子系统构成及定级 .......................................................... 错误!未定义书签。 3. 资产调查 ................................................................................ 错误!未定义书签。 3.1. 资产赋值 .......................................................................... 错误!未定义书签。 3.2. 关键资产说明 .................................................................. 错误!未定义书签。 4. 威胁识别与分析 ...................................................................................................... 3 4.1. 关键资产安全需求 ............................................................................................ 3 4.2. 关键资产威胁概要 ............................................................................................ 7 4.3. 威胁描述汇总 .................................................................................................. 20 4.4. 威胁赋值 .......................................................................................................... 22 第 2 页共 94 页 5. 脆弱性识别与分析 ................................................................................................ 25 5.1. 常规脆弱性描述 .............................................................................................. 25 5.1.1. 管理脆弱性 ................................................................................................ 25 5.1.2. 网络脆弱性 ................................................................................................ 25 5.1.3. 系统脆弱性 ................................................................................................ 25 5.1.4. 应用脆弱性 ................................................................................................ 25 5.1.5. 数据处理和存储脆弱性 ............................................................................ 25 5.1.6. 灾备与应急响应脆弱性 ............................................................................ 25 5.1.7. 物理脆弱性 ................................................................................................ 25 5.2. 脆弱性专项检查 .............................................................................................. 25 5.2.1. 木马病毒专项检查 .................................................................................... 25 5.2.2. 服务器漏洞扫描专项检测 ........................................................................ 26 5.2.3. 安全设备漏洞扫描专项检测 .................................................................... 37 5.3. 脆弱性综合列表 .............................................................................................. 40 6. 风险分析 ................................................................................................................ 47 6.1. 关键资产的风险计算结果 .............................................................................. 47 6.2. 关键资产的风险等级 ...................................................................................... 51 6.2.1. 风险等级列表 ............................................................................................ 51 6.2.2. 风险等级统计 ............................................................................................ 52 6.2.3. 基于脆弱性的风险排名 ............................................................................ 52 6.2.4. 风险结果分析 ............................................................................................ 54 7. 综合分析与评价 .................................................................................................... 55 7.1. 综合风险评价 .................................................................................................. 55 7.2. 风险控制角度需要解决的问题 ...................................................................... 56 8. 整改意见 ..............................................
信息安全风险评估实施指南
06-30
本标准是对《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)中各阶段评估工作的细化,适用于从事信息安全风险评估活动的有关组织机构和人员,也可为组织内部进行信息安全风险评估提供指导和参考。
信息安全资产风险评估表.xls
11-13
等保信息安全资产评估表,内容很详细,希望对大家工作有帮助。自我国实施信息安全等保机制以来,信息安全等级保护制度在重要企业全面推广,本评估表针对信息安全等级保护要求制作,涵盖资产定义、威胁定义、脆弱性定义、风险定级等配套sheet表,可以大大缩短等保工作。为管理人员节省大量工作时间
网络信息安全风险评估
小旺的博客
06-04 8943
网络信息安全风险评估是指依据国家风险评估有关管理要求和技术标准,对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。通过对信息及信息系统的重要性、面临的威胁、其自身的脆弱性以及已采取安全措施有效性的分析,判断脆弱性被威胁源利用后可能发生的安全事件及其所造成的负面影响程度来识别信息安全安全风险。网络信息系统的风险评估是对威胁、脆弱点以及由此带来的风险大小的评估。对系统进行风险分析和评估的目的就是:了解系统目前与未来的风险所在,评估这些风险可能带来的安全威胁
信息安全信息安全风险评估
m0_49351255的博客
06-15 622
2021年5月因为机缘巧合,转换了工作环境,也完成了一轮新的职业变更,从风控审计转至安全管理,安全管理对于本人又是一个全新的领域,基于对安全领域的了解不够深入,把工作中的项目做一个总结分享给大家,若有不足,还请批评指正。 最近一段时间涉及到的工作内容主要是涉及信息安全风险评估,其重要目标是为了发现,分子公司日常业务运作过程中的安全风险,并加以收敛。 说到风险评估,业界常用的风险评估方式主要有两种: 1. 定量风险评估 2. 定性风险评估 而在实际风险评估的过程中,以上两种方式,多数时候可以说难以
关于信息安全风险评估,你需要知道的
xinzhouqifu6的博客
10-27 1293
什么是信息安全风险评估信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值、潜在威胁、薄弱环节、已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施的过程。当风险评估应用于IT领域时,就是对信息安全风险评估。 系统存在着脆弱性,就是我们常说的技术上的漏洞,可以被利用的漏洞,我们有时候讲脆弱性。再加上人为或自然的威胁,导致一些信息安全事件的发生的可能性及其造成的影响,特别是负面影响。也就是说脆弱性和威胁是原因,可能性和影响是结果,当然还有一些其他的要素
组织信息安全风险评估实施指南
"信息安全风险评估指南" 信息安全风险评估是确保组织信息系统安全的关键环节,它旨在识别、分析和量化潜在的风险,以便采取适当的控制措施来保护关键资产。本标准详细阐述了这一过程,适用于各类组织进行信息安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值