风险评估
基本术语与逻辑关系
资产
1、资产的分类:(根据国标20984标准要求)
业务应用
物理环境
人力资源
组织管理
硬件资产
软件资产
文档数据
服务资产
其他
2、资产属性保密性
GB/T 20984-2007《信息安全技术信息安全风险评估规范》
保密性:数据所具有的特性,即表示数据所达到的未提供或未泄露给非授权的个人、过程或其他实体的程度。
完整性:保证信息及信息系统不会被非授权更改或破坏的特性。包括数据完整性和系统完整性。·可用性:数据或资源的特性,被授权实体按要求能访问和使用数据或资源。
3、资产赋值
在识别出信息资产后,接着是为每项资产赋予价值。
CIA三性赋值——资产价值=Roundup[(C+I+A)/3]
保密性
完整性
可用性
漏洞
1、漏洞的分类
根据其对系统造成的潜在威胁以及被利用的可能性可将各种系统安全漏洞进行分级:
高级别漏洞:如大部分远程和本地管理员权限漏洞
中级别漏洞:如大部分普通用户权限、权限提升、读取受限文件、远程和本地拒绝服务漏洞
低级别漏洞:如大部分信息探测、信息泄露漏洞
2、存在的原因
网络安全漏洞是“不可避免”,这是由网络系统的高度复杂性所决定的。
(1)软件或协议设计和实现的缺陷,如不对输入数据的合法性进行检查。
(2)错误配置,如ftp服务器的匿名访问。
(3)软件测试不完善,甚至缺乏安全测试。
(4)安全意识薄弱,如选取简单口令。
(5)管理人员的疏忽,如没有良好的安全策略及执行制度,重技术,轻管理。
3、漏洞检测
直接测试:
直接测试是指利用漏洞特点发现系统漏洞的方法。
根据渗透方法的不同,可以将测试分为两种不同的类型:可以直接观察到的测试和只能间接观察到的测试直接测试的方法具有以下六大特点:
1)通常用于对Web业务及服务器漏洞进行检测。
2)能够准确地判断系统是否存在特定漏洞。
3)对于检测所需步骤较多的漏洞速度较慢。
4)攻击性较强,可能对存在漏洞的系统造成破坏,甚至引发系统崩溃。
5)对于DoS漏洞,测试方法会造成系统拒绝服务或系统崩溃。
6)不是所有漏洞的信息都能通过测试方法获得。
推断
推断是指不利用系统漏洞而判断漏洞是否存在的方法。它并不直接渗透漏洞,只是间接地寻找漏
洞存在的证据。
采用推断方法的检测手段主要有版本检查Version Check、程序行为分析、操作系统堆栈指纹分析和时序分析。
1)版本检查是推断方法中最简单的一个应用。
2)行为分析在需要推翻某个“风险假设”时非常有用。
带凭证的测试
凭证是指访问服务所需要的用户名或者密码,包括UNIX的登录权限和从网络调用Windows NT的API的能力。
风险评估报告
