內(nèi)容介紹
信息安全風(fēng)險評估是以IT資產(chǎn)為核心��,識別資產(chǎn)本身存在的安全漏洞����、面臨的安全威脅�、造成的影響,以及三者綜合作用所帶安全風(fēng)險的可能性的評估��。讓用戶對當(dāng)前IT資產(chǎn)的安全風(fēng)險狀況有全面的了解,并對所有評估發(fā)現(xiàn)的不可接受風(fēng)險給出對應(yīng)的安全處置和加固建議����,協(xié)助客戶提升對重要信息系統(tǒng)的安全風(fēng)險管理和安全保障能力����。
由資產(chǎn)的重要性、脆弱性的嚴(yán)重程度和威脅發(fā)生的頻率分析可能存在的安全風(fēng)險及風(fēng)險的重要程度����,根據(jù)客戶和管理層的可授受程度設(shè)置風(fēng)險處置計劃���,將風(fēng)險造成的損失盡可能降至最低。
風(fēng)險評估內(nèi)容
安全風(fēng)險評估內(nèi)容主要針對信息系統(tǒng)的物理環(huán)境�����、網(wǎng)絡(luò)架構(gòu)�、網(wǎng)絡(luò)及安全設(shè)備��、主機(jī)系統(tǒng)���、數(shù)據(jù)庫系統(tǒng)、應(yīng)用系統(tǒng)以及安全管理等信息資產(chǎn)內(nèi)容進(jìn)行全面有效的評估��。具體見下表:
| 評估類型 |
評估對象 |
評估內(nèi)容 |
評估方法 |
| 網(wǎng)絡(luò)結(jié)構(gòu)及網(wǎng)絡(luò)設(shè)備評估 |
網(wǎng)絡(luò)及安全設(shè)備(交換機(jī)、路由器�����、防火墻��、入侵檢測設(shè)��、安全審計等����。)
|
從網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計�、邊界保護(hù)�����、外部訪問控制策略、內(nèi)部訪問控制策略����、網(wǎng)絡(luò)設(shè)備安全配置等方面進(jìn)行識別評估�。
|
信息收集
工具掃描
基線檢查
人工審計
|
| 主機(jī)及數(shù)據(jù)系統(tǒng)評估 |
操作及數(shù)據(jù)庫系(Windows、Linux���、UnixOracle、informix�、ibm db2、spl server�、my sql 等。)
|
從補(bǔ)丁安裝�����、物理保護(hù)��、用戶賬號、口 令策略��、資源共享����、事件審計��、訪問控制��、新系統(tǒng)配置��、注冊表加固����、網(wǎng)絡(luò)安全、系統(tǒng)管理等方面進(jìn)行識別評估����。
|
信息收集
工具掃描
基線檢查
人工審計
|
| 應(yīng)用系統(tǒng)評估 |
應(yīng)用中間件(IISAPACHE�����、TOMCAT��、Weblogic等)和應(yīng)用系統(tǒng)軟件���。
|
從審計機(jī)制��、審計儲存����、訪問控制策略�、數(shù)據(jù)完整性��、通信、鑒別機(jī)制����、密碼保護(hù)、腳本漏洞等方面進(jìn)行識別評估。
|
工具掃描
滲透測試
基線檢查
人工審計
|
| 物理環(huán)境評估 |
物理環(huán)境基礎(chǔ)設(shè)施
|
從機(jī)房場地���、機(jī)房防火、機(jī)房供配電��、機(jī)房防靜電�、機(jī)房接地與防雷、電磁防護(hù)�、通信線路的保護(hù)、機(jī)房區(qū)域防護(hù)�����、機(jī)房設(shè)備管理等方面進(jìn)行識別評估。
|
信息收集
人工審計
|
| 安全管理 |
技術(shù)管理和組織管理
|
從以下幾方面分析被評估信息系統(tǒng)安全管理狀況:管理機(jī)構(gòu)、管理制度���、人員管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理�。
|
信息收集
人工審計
|
風(fēng)險評估流程
整個信息安全風(fēng)險評估的實(shí)施流程包括:資產(chǎn)評估、威脅評估��、脆弱性評估��、現(xiàn)有安全措施評估����、風(fēng)險計算和分析、風(fēng)險決策和安全建議等評估內(nèi)容�,并在風(fēng)險評估之后根據(jù)安全建議進(jìn)行安全加固�����。下圖是風(fēng)險評估實(shí)施的流程:
服務(wù)價值
