业务安全信息风险评估

最新推荐文章于 2023-09-06 21:46:32 发布
最新推荐文章于 2023-09-06 21:46:32 发布
阅读量1.3k 收藏 1
点赞数
文章标签: 任务 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xinshengjing/article/details/1717224
版权
信息安全的目标是保护信息的保密性(Confidentiality)、完整性(Integrity)和可用性(Availability)

保密性、完整性和可用性都是相对于业务而言的,即基于业务所要求来控制发布访问范围、按照业务的需要来授权信息的修改和保证信息为业务在需要的时候可用。

[separator]

 

因此信息安全首先必须清楚要保护的业务信息对象和这些对象可能遭遇的风险。业务信息风险评估(Risk Assessment)正是为此目的而执行的。在采取任何信息安全控制之前,如果缺乏充分的风险评估,那么所采取的安全控制则缺乏针对性,这样非常可能对应用的信息安全无济于事。

 

业务信息风险评估包括两个部分,一个部分是风险分析(Risk Analysis),其主要任务是识别保护业务对象、对保护对象的威胁和可能的风险。另一部分是风险评价(Risk Evaluation),其主要任务是根据预先定义的准则来评判风险的值和并根据风险值来确定风险处置的优先级。

风险评估方法论分析过程包括三个阶段:

 

其中:

   业务分析 业务分析阶段的主要目的是识别业务线(LOB)和支持业务线的关键信息资产和相关的关键IT资产(如数据服务器)。

   风险分析 风险分析阶段的主要目的是识别业务信息环境中存在的弱点(Vulnerability)、威胁(Threat)、威胁方(Threat agent)、威胁发生的可能性和发生对业务造成的影响。

   风险评估 风险评估阶段的主要目的是基于风险分析的结果和预先制定的规则(如高、中、低,或1~10风险程度值)来进行风险评价。评价的结果再基于业务的进行调整,得到符合业务需求的风险判断,然后排列出风险处置优先级。

  风险评估的输出包括业务清单、保护资产清单、风险清单。此外,一些支持性过程纪录包括在输出中。

  <script type="text/javascript"> </script><script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js"> </script>
xinshengjing
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
极客时间课程笔记:业务安全
Leonardo的博客
12-10 593
业务安全和基础安全在本质上就有很大的不同:在基础安全中,黑客将技术作为核心竞争力;在业务安全中,黑产将资源作为核心竞争力。谁能够以更低的成本掌握更多的资源,谁就能窃取公司更大的利益。因此,作为防守方,我们在关注业务安全的时候,也应当将关注的重点放在如何提高黑产的资源成本上,这样才能够为公司提供有力的业务安全防护。
何为业务安全业务安全部门的具体职责是什么?
GaleZhang的博客
10-28 2966
互联网安全的发展史 一提到互联网领域的安全问题,我想大多数人的第一反应是利用网络、软件的漏洞进行的各种攻击,或者用手指在键盘上跳舞的黑客们,这似乎是一个老生常谈的问题。 我们每个人都能随口说出几种攻击,比如SQL注入、中间人攻击、DDOS攻击等,然而每个概念在历史发展的不同阶段,却都有着迥异的内涵,互联网安全就是如此。 在互联网行业发展的初期,我们会更关注传统安全领域,如黑客,漏洞等上文所提到的内容,实际上这些大致可归类于操作系统、网络、应用软件层面的安全。再之前呢,我们的安全甚至会囊括硬件基础、设备层
业务安全
7hinkSource的博客
09-09 260
业务安全识别点 业务环节存在的安全风险 业务环节存在的安全风险指的是业务使用者可见的业务存在的安全风险,如注册、登录和密码找回等身份认证环节,是否存在完善的验证码机制、数据一致性校验机制、session和cookie校验机制,是否能规避验证码绕过、暴力破解和SQL注入等漏洞。 支持系统存在的安全风险 如用户访问控制机制是否完善,是否存在水平越权或垂直越权漏洞。系统内加密存储机制是否完善,业务数据是否明文传输。系统使用的业务接口是否可以未授权访问/调用,是否可以调用重放、遍历,接口调用参数是否可篡改等 业务
【WEB漏洞原理】业务安全
最新发布
过期的秋刀鱼
09-06 1302
近年来,随着信息化技术的迅速发展和全球一体化进程的不断加快,计算机和⽹络已经成为与所有⼈都息息相关的⼯具和媒介,个⼈的⼯作、⽣活和娱乐,企业的管理,乃⾄国家的发展和改⾰都⽆处其外。信息和互联⽹带来的不仅仅是便利和⾼效,⼤量隐私、敏感和⾼价值的信息数据和资产,成为恶意攻击者攻击和威胁的主要⽬标,从早期以极客为核⼼的⿊客⻩⾦时代,到现在利益链驱动的庞⼤⿊⾊产业,⽹络安全已经成为任何个⼈、企业、组织和国家所必须⾯临的重要问题。
业务安全-01】业务安全概述及其测试流程
cc
03-20 1703
近年来,随着信息化技术的迅速发展和全球一体化进程的不断加快,计算机和网络已经成为与所有人都息息相关的工具和媒介,个人的工作、生活和娱乐,企业的管理乃至国家的发展和改革都无处其外。信息和互联网带来的不仅仅是便利和高效,大量隐私、敏感和高价值的信息数据和资产,成为恶意攻击者攻击和威胁的主要目标,从早期以极客为核心的黑客黄金时代,到现在利益链驱动的庞大黑色产业,网络安全已经成为任何个人、企业、组织和国家所必须面临的重要问题。
信息安全风险评估
江南落花雨
01-11 6280
网站的风险,大多来自于漏洞! 漏洞扫描 漏洞扫描内容 网络设备 版本漏洞,包括但不限于iOS存在的漏洞,涉及包括所有在线网络设备及安全设备。 开放服务,包括但不限于路由器开放的web管理界面、其他管理方式等。 空弱口令,例如空/弱telnet口令、snmp口令等。 网络资源的访问控制:检测到无线访问点 域名系统,ISC BIND SIG资源记录无效过期时间拒绝服务攻击漏洞,Microsoft Windows DNS拒绝服务攻击 路由器,Cisco IOS Web配置接口安全认证可被绕过,N
信息安全风险评估规范
04-06
信息安全风险评估规范》的实施,对于企业来说,能够提升信息安全管理水平,增强组织对潜在威胁的防御能力,促进业务的稳定和持续发展。同时,它也为员工提供了一个统一的风险评估框架,帮助他们在日常工作中更好地...
信息安全风险评估.pdf
03-16
评估通常由信息安全专业人员进行,目的在于识别和评估信息安全风险,并提出相应的风险处理计划,以减少或消除安全风险业务和数据的影响。 信息安全风险评估的原则包括标准性原则、可控性原则、评估人员多样...
安全模型和业务安全体系
01-06
网络安全业务安全 网络安全中,攻击者往往通过技术手段,以非正常的技术(XSS、Injection、Penestrating等),影响业务正常运行,窃取敏感数据。比如:某黑客通过SSRF进入内网,并在内网横向扩张,最终脱库成功。 业务安全中,黑灰产基于非正常的资源(IP、手机号、身份信息等),通过正常的产品流程,获取利益,影响业务正常运营。比如:黑灰产通过大量手机号注册新号,获取企业新户奖励,最终批量套现。 网络安全中,攻击者的意图多种多样:有挖漏洞卖钱的,有卖隐私数据赚钱的,有恶意报复的,也有纯粹炫技的。但对于业务安全,黑灰产的目的其实很直接,就是钱。 由于国外网络安全发展较早,且国外对于
风险评估报告模板-非涉密信息系统信息安全风险评估报告
05-31
一、风险评估项目概述 1 1.1 工程项目概况 1 1.1.1 建设项目基本信息 1 1.1.2 建设单位基本信息 1 1.1.3承建单位基本信息 2 1.2 风险评估实施单位基本情况 2 二、风险评估活动概述 2 2.1 风险评估工作组织管理 2 2.2 风险评估工作过程 2 2.3 依据的技术标准及相关法规文件 2 2.4 保障与限制条件 3 三、评估对象 3 3.1 评估对象构成与定级 3 3.1.1 网络结构 3 3.1.2 业务应用 3 3.1.3 子系统构成及定级 3 3.2 评估对象等级保护措施 3 3.2.1 XX子系统的等级保护措施 3 3.2.2 子系统N的等级保护措施 3 四、资产识别与分析 4 4.1 资产类型与赋值 4 4.1.1资产类型 4 4.1.2资产赋值 4 4.2 关键资产说明 4 五、威胁识别与分析 4 5.1 威胁数据采集 5 5.2 威胁描述与分析 5 5.2.1 威胁源分析 5 5.2.2 威胁行为分析 5 5.2.3 威胁能量分析 5 5.3 威胁赋值 5 六、脆弱性识别与分析 5 6.1 常规脆弱性描述 5 6.1.1 管理脆弱性 5 6.1.2 网络脆弱性 5 6.1.3系统脆弱性 5 6.1.4应用脆弱性 5 6.1.5数据处理和存储脆弱性 6 6.1.6运行维护脆弱性 6 6.1.7灾备与应急响应脆弱性 6 6.1.8物理脆弱性 6 6.2脆弱性专项检测 6 6.2.1木马病毒专项检查 6 6.2.2渗透与攻击性专项测试 6 6.2.3关键设备安全性专项测试 6 6.2.4设备采购和维保服务专项检测 6 6.2.5其他专项检测 6 6.2.6安全保护效果综合验证 6 6.3 脆弱性综合列表 6 七、风险分析 6 7.1 关键资产的风险计算结果 6 7.2 关键资产的风险等级 7 7.2.1 风险等级列表 7 7.2.2 风险等级统计 7 7.2.3 基于脆弱性的风险排名 7 7.2.4 风险结果分析 7 八、综合分析与评价 7 九、整改意见 7 附件1:管理措施表 8 附件2:技术措施表 9 附件3:资产类型与赋值表 11 附件4:威胁赋值表 11 附件5:脆弱性分析赋值表 12
信息安全风险评估指南
06-11
国家标准,全面规范了如何进行信息安全风险评估。介绍了风险评估的模型和流程,风险评估实施的准备、资产识别、威胁识别、脆弱性识别、已有安全措施的确认、风险识别(风险计算、风险等级、规避措施、残余风险评价)
信息安全风险评估报告.pdf
04-11
目 录 1 概述 ................................................................................................................................................. 5 1.1 项目背景 ................................................................................................................................ 5 1.2 工作方法 ................................................................................................................................ 5 1.3 评估范围 ................................................................................................................................ 5 1.4 基本信息 ................................................................................................................................ 5 2 业务系统分析 ................................................................................................................................. 6 2.1 业务系统职能 ........................................................................................................................ 6 2.2 网络拓扑结构 ........................................................................................................................ 6 2.3 边界数据流向 ........................................................................................................................ 6 3 资产分析 ......................................................................................................................................... 6 3.1 信息资产分析 ........................................................................................................................ 6 3.1.1 信息资产识别概述 ............................................................................................................ 6 3.1.2 信息资产识别 .................................................................................................................... 7 4 威胁分析 ......................................................................................................................................... 7 4.1 威胁分析概述 ........................................................................................................................ 7 4.2 威胁分类 ................................................................................................................................ 8 4.3 威胁主体 ................................................................................................................................ 8 4.4 威胁识别 ................................................................................................................................ 9 5 脆弱性分析 ..................................................................................................................................... 9 5.1 脆弱性分析概述 .................................................................................................................... 9 5.2 技术脆弱性分析 .................................................................................................................. 10 5.2.1 网络平台脆弱性分析 ...................................................................................................... 10 5.2.2 操作系统脆弱性分析 ...................................................................................................... 10 5.2.3 脆弱性扫描结果分析 ...................................................................................................... 11 5.2.3.1 扫描资产列表 ......................................................................................................... 11 5.2.3.2 高危漏洞分析 ......................................................................................................... 11 5.2.3.3 系统帐户分析 ......................................................................................................... 11 5.2.3.4 应用帐户分析 ......................................................................................................... 11 5.3 管理脆弱性分析 .................................................................................................................. 12 5.4 脆弱性识别 .......................................................................................................................... 13 6 风险分析 ....................................................................................................................................... 14 6.1 风险分析概述 ...................................................................................................................... 14 6.2 资产风险分布 ...................................................................................................................... 14 6.3 资产风险列表 ...................................................................................................................... 15 7 系统安全加固建议 ....................................................................................................................... 15 7.1 管理类建议 .......................................................................................................................... 15 7.2 技术类建议 .......................................................................................................................... 15 7.2.1 安全措施 .....
深圳市某局信息安全风险评估报告
03-22
深圳市某局信息安全风险评估报告 风险评估结论 1 评估工作概述 1.1评估范围 1.2评估组织 2 评估依据和标 3 资产识别 3.1资产识别内容和方法 3.2 重要资产的确定及三性赋值 4 威胁识别 5 脆弱性识别 5.1脆弱性识别内容及方法 5.2脆弱性识别结果 6 综合风险分析 6.1风险分析方法 6.2风险等级划分 6.3不可接受风险划分 6.4 风险分析结果 7 风险统计 8 不可接受风险处理计划
信息安全风险评估报告模板.docx
08-14
《XXX公司信息安全风险评估报告》(版本号:V1.0)是一份详细记录了公司信息安全状况和潜在风险的专业文档,旨在确保公司的信息资产得到妥善保护。报告由XXX有限公司在XXXX年XXXX月编撰,旨在对公司的风险评估项目...
25 | 业务安全体系:对比基础安全业务安全有哪些不同?
08-17 9475
从这一讲开始,我们讨论业务安全。近几年,随着互联网的快速发展,很多公司为了获取用户增长,在业务中投入了大量的资本。向来都是向钱看齐的黑客(在业务安全中,我们称之为黑产),自然就将攻击的重心放到了业务中。业务安全也变得越来越热门,成为各大公司安全投入的重心之一。 对比于传统的基础安全业务安全有哪些特点呢?为什么它能够成为一个独立的领域呢?在业务安全中,我们需要重点关注的防护方法又有哪些呢? 以上这些问题,在这个模块中我会详细来讲。今天,我们先从业务安全的特点和防护重点入手,让你对业务安全的体系和框架有一个.
[网络安全学习篇64]:业务安全
安全知识学习-该平台为唯一原作者平台,其他平台属冒名顶替,请勿相信上当受骗
05-11 4062
引言:我的系列博客[网络安全学习篇]上线了,小编也是初次创作博客,经验不足;对千峰网络信息安全开源的视频公开课程的学习整理的笔记整理的也比较粗糙,其实看到目录有300多集的时候,讲道理,有点怂了,所以我就想到了通过写博客(课程笔记)的形式去学习它,虽然写博客会让我多花几倍的时间去学习它,但是当我完成一篇博客所获得的成就感和你们对于我的认同感,让我很满足,能够鼓励我一天天的坚持下去,也希望和我一起学习本期视频的"同道"们也能给一直坚持下去。我们大家一起加油。由于作者本身也是网络信息安全小白,大部分知识点都是初
后台业务安全(一)
xxx
05-16 2200
后台业务安全(一) 学习业务安全的准备工作: 掌握一套成熟的业务安全测试的方式方法,消化吸收前人总结的宝贵经验,开拓自己的安全事业。 了解目标平台的业务流程。 测试技巧: 科学的测试方法 学会使用思维导图等工具 1、登录认证模块测试 1.1暴力破解测试 方法:根据需求,加载用户字典或密码字典进行穷举测试 步骤: 1、对浏览器进行HTTP代理配置,将浏览器访问...
天融信信息安全风险评估服务详解
"天融信信息安全风险评估服务深入解析" 天融信公司的信息安全风险评估服务是一种全面、系统地分析和管理信息安全风险的方法。该服务旨在帮助企业理解和应对信息安全领域中的潜在威胁,确保信息资产的安全,遵循国际...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值