1. 网络安全风险评估概述
- 依据有关信息安全技术和管理标准,对网络系统的保密性、完整性、可控性和和等安全数据进行科学评价的过程。
- 网络安全风险评估模式
-
- 自评估:依靠自身的能力对自有的网络进行风险评估活动
- 检查评估:由网络安全主管机关或业务主管机关发起(根据法律法规,安全标准进行检查)
- 委托评估:网络系统使用单位委托具有风险评估能力的专业评估机构实施的评估活动
2. 网络安全风险评估过程
- 网络安全风险评估主要包括:网络安全风险评估的准备、资产识别、威胁识别、脆弱性识别、已有的网络安全措施分析、网络安全风险分析、网络安全风险处置与管理等
-
- 评估的准备:网络系统拓扑、网络通讯协议、网络地址分配、网络设备、网络业务、网络安全防范措施、网络操作系统、网络相关人员网络物理环境、网上业务类型与信息流程
- 资产识别:网络资产鉴定、网络资产价值估算
- 威胁识别:对网络资产有可能收到的安全有害进行分析,一般从威胁来源、威胁途径、威胁能力、威胁效果、威胁频率等方面来分析。
- 脆弱性识别:技术脆弱性评估、管理脆弱性评估
-
-
- 技术脆弱性评估:主要从现有安全技术措施合理性和有效性方面进行评估
- 管理脆弱性评估:从网络信息安全管理上分析评估存在的脆弱点,并标识其严重程度
-
-
- 已有安全措施确认:对评估对象已采取各种预防性和安全保护措施的有效性进行确认,评估安全措施能否防止脆弱性被利用,能否抵御已确认的安全威胁
- 网络安全风险分析:在资产评估、威胁评估、脆弱性评估、安全管理评估、安全影响评估基础上综合利用定性和定量的分析方法,选择适当的风险计算方法或工具确定风险大小与风险等级
- 网络安全风险处置与管理:给出具体的风险控制建议,其目标在于降低网络系统的安全风险
3. 网络安全风险评估技术方法与工具
- 资产信息收集:通过调查表形式,对被评估的网络信息系统的资产信息进行收集。
- 网络拓扑发现:网络拓扑发现工具有ping、tracertroute以及网络管理平台
- 网络安全漏洞扫描:可以自动搜索集待评估对象的漏洞信息,以评估其脆弱性
- 人工检查:进行人工检查前要事先设计好检查表。
- 渗透测试:在活动法律授权后,模拟黑客攻击网络系统,以发现深层次的安全问题
- 问卷调查:采用书面的形式获得被评估信息系统的相关信息
- 访谈:通过安全专家和网络系统使用人员,管理人员等相关人员进行直接交谈,以考查和证实网络系统安全策略的实施、规则制度的执行和管理一系列情况
- 审计数据分析:采用数据统计、特征模式匹配等技术,从审计数据中寻找安全事件有关信息
- 入侵检测:将入侵监测或设备接入到待评估网络中,然后采用集评估对象的威胁信息和安全状态
4. 网络安全风险评估项目流程和工作内容
- 主要包括评估工程前期准备、评估方案设计与论证、评估方案实施、评估方案撰写、评估结果评审与认可等
-
- 工程前期准备:评估对象的确认、评估范围界定、评估的粒度和评估的时间、签订合同和保密协议、成立评估小组、选择评估模式
- 方案设计与论证:确认评估方法、评估人员组织、评估工具选择、预期风险分析、评估实施计划
- 方案实施:对象的基本情况调查、确定具体操作的步骤、书面记录操作过程和相关数据、实施必须有工作备忘录并记录环境描述,操作详细记录,问题简要分析,相关数据保存等
- 方案撰写:根据实施情况和所收集到的信息完成评估报告撰写,评估报告时风险评估结果的记录文件,是主要的依据
- 结果评审与认可:最高层或委托机构组织召开评估工作会议,总结评估工作。
扫一扫
1093
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
