随着政府部门、金融机构、企事业单位、商业组织等对信息系统依赖程度的日益增强,信息安全问题受到普遍关注。运用风险评估去识别安全风险,解决信息安全问题得到了广泛的认识和应用。
信息安全分析评估:就是从风险管理角度,运用科学的方法和手段,系统地:分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件--旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,为防范和化解信息安全风险,将风险控制在可接受的水平,最大限度地:保障信息安全提供科学依据。
信息安全风险评估作为信息安全保障工作的基础性工作和重要环节,要贯穿于信息系统的规划、设计、实施、运行维护以及废弃各个阶段,是信息安全等级保护制度建设的重要科学方法之一。
网站的风险,大多来自于漏洞!
扫描器三项功能:发现主机、发现主机上的服务、发现服务的漏洞。
扫描器首先探测目标系统的活动主机,探测方式默认采用ICMP ping和TCP ping,可以选用UDP ping。
通过TCP端口扫描方式,确定目标主机开放的端口,默认通过CONNECT方式,可选用SYN方式,同时根据协议指纹技术识别出主机的操作系统类型。
扫描器对开放端口进行网络服务类型的识别,确定其提供的网络服务。漏洞扫描器根据目标系统的操作系统平台和提供的网络服务,调用漏洞资料库中已知的各种漏洞进行逐一检测,通过对探测响应数据包的分析判断是否存在已知安全漏洞。
在漏洞的检测过程中,扫描器会基于自身数据库中payload(漏洞利用程序)向目标发送信息,基于返回的数据包来确定漏洞是否存在,虽然是非攻击性的payload的, 但此过程仍存在一 定的风险。
有些漏洞是没有payload,或者扫描器自身数据库中没有此漏洞的payload,这时,扫描器就会基于扫描出来的目标系统的服务版本来判断是否存在漏洞,如扫描出目标主机存在Oracle 11g数据库,而此时扫描器没有此版本的payload,扫描器就会把数据库中所有低于此版本的漏洞全部呈现出来。同时,在判断目标系统的服务版本中,可能也会出现偏差,最终也会导致漏洞误报。
风险评估是对信息资产所存在的脆弱性,面临的威胁, 造成的影响,及三者综合作用所带来的风险的可能性评估。
国家信息安全等级保护
以行业特点为核心,从技术、运维、管理、策略等方面提供有针对性的安全技术与管理咨询服务
了解现有环境是否根据既定的安全策略得到妥善的保护
应急响应、驻场安全运维、巡检、渗透评估、安全
安全管理培训、安全技能培训、安全认证培训
脆弱性:漏洞扫描、配置核查、安全加固、渗透测试、代码审计
威胁:网络架构分析、安全巡检、日志分析、恶意代码排查
事件:应急演练、应急响应、安全监测、安全值守
体系设计:ISMS体系建设、安全体系规划、应急体系建设、安全域划分、应用开发安全生命周期
合规咨询:等级保护咨询、行业合规咨询
安全评估:系统上线前检查、风险评估、业务安全评估、无线安全评估、虚拟化安全评估
安全培训:安全意识培训、安全管理培训、安全技能培训
安全研究:安全课题研究
GB/T 20984-2007 信息安全技术 信息安全风险评估规范
信息安全风险是指在信息化建设中,各类应用系统及其赖以运行的基础网络、处理的数据和信息,由于其可能存在的软硬件缺陷、系统集成缺陷等,以及信息安全管理中潜在的薄弱环节,而导致的不同程度的安全风险。
信息安全风险评估是从风险管理的角度,运用科学的手段,系统的分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,为防范和化解信息安全风险,或者将风险控制在可以接受的水平,制定有针对性的抵御威胁的防护对策和整改措施以最大限度的保障网络和信息安全提供科学依据。