`
leng_cn
  • 浏览: 301960 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

信息安全风险评估数据获取与收集方法(转载)

阅读更多

一、概述<o:p></o:p>

<o:p> </o:p>

在对IT系统的风险进行评估中,第一步是定义工作范围。在这一步中,要确定IT系统的边界,以及组成系统的资源和信息。对IT系统的特征进行描述确立了风险评估工作的范围,描述了操作批准(或认可)边界,并对风险定义提供了必要的信息(如硬件、软件、系统连通性、负责部门或支持人员)。<o:p></o:p>

成功的收集安全相关数据是进行信息技术系统安全风险分析与评估的关键。用于安全风险分析的数据来源有统计数据和专家分析。统计基于客观方式,而专家分析基于主观方式,必须有效地将这两种方式有机地结合起来。

二、系统相关信息<o:p></o:p>

<o:p> </o:p>

识别IT系统风险要求对系统运行的环境有着非常深入的理解。因此从事风险评估的人员必须首先收集系统相关信息,通常这些信息分为如下几类:(物理安全、管理安全、主机安全、网络安全)。<o:p></o:p>

1)       硬件;<o:p></o:p>

2)       软件;<o:p></o:p>

3)       系统界面(如内部和外部连接);<o:p></o:p>

4)       数据和信息;<o:p></o:p>

5)       支持和使用该IT系统的人员;<o:p></o:p>

6)       系统使命(如该IT系统运行的过程);<o:p></o:p>

7)       系统和数据的关键性(如系统对于机构的价值或重要性);<o:p></o:p>

8)       系统和数据的敏感性;<o:p></o:p>

9)       其他的和IT系统及其数据库操作环境相关的信息包括但不限于以下;<o:p></o:p>

10)    IT系统的功能的需求;<o:p></o:p>

11)    系统的用户(如为IT系统提供技术支持的系统用户,使用IT系统完成业务功能的应用用户等);<o:p></o:p>

12)    管理IT系统的系统安全策略(机构策略、法律、行业惯例等);<o:p></o:p>

13)    系统安全体系结构;<o:p></o:p>

14)    当前拓扑结构(如网络拓扑图);<o:p></o:p>

15)    保护系统和数据的可用性、完整性、和保密性的信息存储保护;<o:p></o:p>

16)    IT系统中的信息流(如系统接口、系统输入和输出的流程图);<o:p></o:p>

17)    用于IT系统的技术类控制(如内置或外挂的用来对标识和鉴别、自主或强制的访问控制、审计、残余信息保护、加密方法等提供支持的安全产品);<o:p></o:p>

18)    用于IT系统的管理类控制(如行为规则、安全计划等);<o:p></o:p>

19)    用于IT系统的操作类控制(如人员安全、备份、应急和恢复操作、系统维护、异地存储、用户帐号的创建和删除流程、用户功能隔离的控制,比如特权用户访问和标准用户访问等);<o:p></o:p>

20)    IT系统的物理安全环境(如设施安全、数据中心策略等);<o:p></o:p>

21)    针对IT系统处理环境而实现的环境安全(如对温度、水、电、污染和化学物品的控制)。<o:p></o:p>

对于那些在启动或设计阶段的系统,系统信息可以从设计或要求文档中提取。对于处于开发阶段的系统,有必要为未来的IT系统定义计划好关键的安全规则和属性。系统设计文档和系统安全计划可以为开发中系统提供在安全方面的有用信息。<o:p></o:p>

对于运行中的IT系统,要从其操作环境中收集IT系统的数据,包括系统配置、连接、归档或为归档的流程和实践方面的数据。因此,对系统描述可以基于有基础设施所提供的安全之上,或基于IT系统的未来安全计划之上。<o:p></o:p>

<o:p> </o:p>

三、信息收集技术<o:p></o:p>

<o:p> </o:p>

可以使用下列技术的一项或几项在某操作边界内获取IT系统相关的信息。这些技术的应用并不是固定不变的,要根据情况的不同综合运用:<o:p></o:p>

1)调查问卷:<o:p></o:p>

要收集相关信息,风险评估人员可以设计一套关于IT系统中计划的或正在使用的管理或操作控制的调查问卷。可将这套调查问卷发给那些设计或支持IT系统的技术或非技术管理人员。调查问卷也可以在现场或面谈时使用。<o:p></o:p>

2)现场面谈:<o:p></o:p>

IT系统的支持或管理人员面谈有助于风险评估人员收集IT系统有用的信息(如系统是如何操作和管理的)。现场参观也能让风险评估人员观察并收集到IT系统在物理、环境、和操作方面的信息。对于那些仍然在设计阶段的系统,现场参观将是面对面的数据收集过程并可提供机会来评价IT系统将运行的物理环境。<o:p></o:p>

3)文档检查:<o:p></o:p>

策略文档(如法律文档、方针等)、系统文档(如系统用户指南、管理员手册、系统设计和需求文档等),安全相关的文档(如以前的审计报告、风险评估报告、系统测试结果、系统安全计划、安全策略等)可以提供关于IT系统已经使用或计划使用的安全控制方面的有用信息。机构使命影响分析或资产关键性评估提供了关于系统和数据关键性和敏感性方面的信息。<o:p></o:p>

4)使用自动扫描工具(采用漏洞检查工具):<o:p></o:p>

一些主动的技术方法可以被用来有效的收集系统信息。比如,一个网络映射工具可以识别出运行在一大群主机上的服务,并提供一个快捷的方法来为目标IT系统建立个体轮廓。比较优秀的扫描工具有:<o:p></o:p>

aSAFESuite套件<o:p></o:p>

SAFESuite套件是Internet Security System(简称ISS)公司开发的网络脆弱点检测软件,它由Internet扫描器、系统扫描器、数据库扫描器、实时监控和SAFESuite套件决策软件所构成,是一个完整的信息系统评估系统。<o:p></o:p>

bKane Security Analyst<o:p></o:p>

Kane Security Analyst系统安全分析软件是Intrusion公司的产品,它能够从六个关键的安全领域对系统进行检查,分别是:口令字强度、访问权限控制、用户帐号限制、系统监控、数据完整性和数据保密强度。此软件不仅针对特定的脆弱点进行检查,而且针对系统的必要安全防御措施进行检查。<o:p></o:p>

cWebTrends Security Analyzer<o:p></o:p>

WebTrends Security Analyzer主要针对Web站点安全的检测和分析软件,它是NetIQ-WebTrends公司的系列产品。其系列产品为企业提供一套完整的、可升级的、模块式的、易于使用的解决方案。产品系列包括:WebTrends Reporting CenterAnalysis SuiteWebTrends Log AnalyzerSecurity AnalyzerWebTrends Firewall Suiteand WebTrends Live等,它可以找出大量隐藏在LinuxWindows服务器、防火墙、路由器等软件中的威胁和脆弱点,并可针对Web和防火墙日志进行分析,由它生成的HTML格式的报告被认为是目前市场上做得最好的。报告里对找到的每个脆弱点进行了说明,并根据脆弱点的优先级进行了分类,除此以外,报告还包括一些消除风险、保护系统的建议。<o:p></o:p>

除了以上这些工具外,还有很多的免费的自由软件如NmapNessus等扫描器都可以作为信息收集的辅助工具。
转载地址:http://blog.csdn.net/purpleforest/archive/2007/04/13/1563124.aspx
分享到:
评论

相关推荐

    信息安全技术 数据安全风险评估方法(征求意见稿)

    《信息安全技术 数据安全风险评估方法(征求意见稿)》是一份重要的标准文件,旨在规范和指导数据处理者和第三方评估机构进行数据安全风险评估。该文件着重于数据的保密性、完整性、可用性和数据处理的合理性,旨在...

    数据安全风险评估方法及实施指南.zip

    信息安全风险评估理论 风险评估是数据安全风险管理的起点 风险评估关注的安全要素 风险评估基本过程 基于风险控制的数据安全管理体系 新形势催生以数据为中心的安全风险评估 数据资产识别是数据安全风险评估的基础 ...

    电信领域数据安全风险评估规范.pdf

    电信领域数据安全风险评估规范 电信领域数据安全风险评估规范 电信领域数据安全风险评估规范 电信领域数据安全风险评估规范 电信领域数据安全风险评估规范 电信领域数据安全风险评估规范 电信领域数据安全风险评估...

    YDT3801-2020电信网和互联网数据安全风险评估实施方法.pdf

    2. 风险评估各要素之间的关系:数据安全风险评估应考虑到风险评估各要素之间的关系,包括风险评估的目标、风险评估的方法、风险评估的结果等。 3. 风险评估原理:数据安全风险评估原理包括风险评估的定义、风险评估...

    信息安全风险评估报告模板.docx

    《XXX公司信息安全风险评估报告》(版本号:V1.0)是一份详细记录了公司信息安全状况和潜在风险的专业文档,旨在确保公司的信息资产得到妥善保护。报告由XXX有限公司在XXXX年XXXX月编撰,旨在对公司的风险评估项目...

    江苏省数据安全风险评估规范

    总的来说,江苏省数据安全风险评估规范为该地区的组织提供了全面的数据安全框架,确保数据在收集、存储、处理和传输过程中的安全,促进合规性并降低潜在风险。通过遵循这一规范,组织能够更有效地管理和保护其重要...

    信息安全风险评估方法

    ### 信息安全风险评估方法 #### 一、引言与背景 信息安全风险评估是现代企业管理和保护数字资产不可或缺的一部分。随着信息技术的发展,数据泄露、网络攻击等安全威胁日益增多,因此,进行有效的信息安全风险评估...

    数据安全风险评估总结.docx

    同时,以《信息安全技术 信息安全风险评估规范》为参考,对数据安全风险进行评估和分析。 二、数据安全常见场景 数据安全风险评估需要关注各种常见的数据应用场景,例如开发测试场景、数据运维场景等。在这些场景...

    信息安全风险评估流程

    信息安全风险评估流程 信息安全风险评估流程是信息安全管理的重要组成部分。该流程的目的是为了识别和评估组织中的潜在风险,从而采取措施降低这些风险对组织的影响。下面是信息安全风险评估流程的详细介绍: 一、...

    信息安全风险评估标准GB20984

    GB20984标准是信息安全管理体系的重要组成部分,它提供了一套系统化、科学化的风险管理方法,帮助组织识别、分析、评估和处理信息安全风险。 一、信息安全风险评估基础概念 信息安全风险评估是对信息系统可能面临的...

    数据安全风险评估报告模板

    数据安全风险评估报告是企业在确保数据安全方面的重要文档,它详尽地分析了组织的数据安全状况,识别潜在的风险,并提出相应的防护措施。本报告模板旨在为初学者提供一个清晰的框架,以帮助他们有效地进行数据安全...

    GBT20984-2022信息安全技术信息安全风险评估方法.pdf

    《GBT20984-2022信息安全技术信息安全风险评估方法》是中国国家标准,旨在规范信息安全风险评估过程,确保组织的信息安全得到有效管理和保护。该标准替代了2007年的版本,反映了近年来信息技术和安全领域的最新发展...

    信息安全风险评估报告.doc

    信息安全风险评估是对组织信息资产面临的威胁、存在的脆弱性以及由此可能导致的风险进行系统、全面的分析和评估的过程。此报告详细阐述了2020年度某单位进行的风险评估活动,旨在根据ISO27001:2013标准建立信息安全...

    信息安全风险评估表

    信息安全风险评估表

    信息安全风险评估规范

    《信息安全风险评估规范》是GB/T 20984-2007标准,它为信息安全服务者提供了全面的风险评估指南,适用于我国各行业的通用标准。这份规范旨在确保组织的信息系统安全,防止潜在威胁,保护重要数据,降低业务风险。 ...

    数据安全风险评估方法及实施指南(深圳).pdf

    本文档《数据安全风险评估方法及实施指南(深圳).pdf》详细介绍了数据安全风险评估的理论、方法以及在国内外实施的案例和经验,特别是欧美在建立数据保护规则方面的经验。 首先,文档提到的风险评估理论为企业提供...

    信息安全风险评估方案模板.docx

    信息安全风险评估的目的在于保护企业或组织的信息资产免受各种威胁和攻击,包括恶意代码攻击、Unauthorized access、数据泄露、系统崩溃等。为了实现这个目的,需要对信息系统和资产进行风险评估和管理,包括识别和...

    信息安全风险评估介绍ppt

    信息安全风险评估介绍ppt,从风险评估的流程,到风评的好处,风评的相关政策,全方位解读

    论文研究-信息安全风险评估方法综述 .pdf

    在信息安全风险评估的方法中,基线风险评估与详细风险评估是最为常用的两种方法。基线风险评估是一种应用直接或简易方法达到基本安全水平的评估方式,它能满足组织及其业务环境的所有要求。基线风险评估的优点包括...

Global site tag (gtag.js) - Google Analytics