信息安全风险评估

随着政府部门、金融机构、企事业单位、商业组织等对信息系统依赖程度的日益增强，信息安全问题受到普遍关注。运用风险评估去识别安全风险，解决信息安全问题得到了广泛的认识和应用。
信息安全分析评估:就是从风险管理角度，运用科学的方法和手段，系统地:分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件--旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施，为防范和化解信息安全风险，将风险控制在可接受的水平，最大限度地:保障信息安全提供科学依据。
信息安全风险评估作为信息安全保障工作的基础性工作和重要环节，要贯穿于信息系统的规划、设计、实施、运行维护以及废弃各个阶段，是信息安全等级保护制度建设的重要科学方法之一。

网站的风险，大多来自于漏洞！

漏洞扫描

漏洞扫描内容

网络设备

• 版本漏洞，包括但不限于iOS存在的漏洞，涉及包括所有在线网络设备及安全设备。
• 开放服务，包括但不限于路由器开放的web管理界面、其他管理方式等。
• 空弱口令，例如空/弱telnet口令、snmp口令等。
• 网络资源的访问控制：检测到无线访问点
• 域名系统，ISC BIND SIG资源记录无效过期时间拒绝服务攻击漏洞，Microsoft Windows DNS拒绝服务攻击
• 路由器，Cisco IOS Web配置接口安全认证可被绕过，Nortel交换机/路由器缺省口令漏洞，华为网络设备没有设置口令

操作系统

• 操作系统（包括Windows、AIX和Linux、HPUX、Solaris、VMware等）的系统补丁、漏洞、病毒等各类异常缺陷
• 空/弱口令系统账户检测，例如：身份认证：通过telnet进行口令猜测
• 访问控制：注册表 HKEY_LOCAL_MACHINE普通用户可写，远程主机允许匿名FTP登录，ftp服务器存在匿名可写目录
• 系统漏洞：System V系统login远程缓冲区溢出漏洞，Microsoft Windows Locator服务远程缓冲区溢出漏洞
• 安全配置问题，部分SMB用户存在薄弱口令，试图使用rsh登录进入远程系统

应用层

• 应用程序（包括但不限于数据库Oracle、DB2、MS SQL、Web服务，如Apache、WebSphere、Tomcat、IIS等，其他SSH、FTP等）缺失补丁或版本漏洞检测
• 空弱口令应用账户检测
• 数据库软件，Oracle tnslsnr没有设置口令，Microsoft SQL Server 2000 Resolution服务多个安全漏洞
• Web服务器，Apache Mod_SSL/Apache-SSL远程缓冲区溢出漏洞，Microsoft IIS5.0 printer ISAPI远程缓冲区溢出，Sun ONE/iPlanet Web服务程序分块编码传输漏洞
• 电子邮件系统，Sendmail头处理远程溢出漏洞，Microsoft Windows 2000 SMTP服务认证错误漏洞
• 防火墙及应用网管系统，Axent Raptor防火墙拒绝服务漏洞
• 其他网络服务系统，Wingate POP3 USER命令远程溢出漏洞，Linux系统LPRng远程格式化串漏洞

漏洞扫描原理

探测存活主机

扫描器三项功能：发现主机、发现主机上的服务、发现服务的漏洞。

扫描器首先探测目标系统的活动主机，探测方式默认采用ICMP ping和TCP ping，可以选用UDP ping。

判断端口及服务

通过TCP端口扫描方式，确定目标主机开放的端口，默认通过CONNECT方式，可选用SYN方式，同时根据协议指纹技术识别出主机的操作系统类型。

判断漏洞

扫描器对开放端口进行网络服务类型的识别，确定其提供的网络服务。漏洞扫描器根据目标系统的操作系统平台和提供的网络服务，调用漏洞资料库中已知的各种漏洞进行逐一检测，通过对探测响应数据包的分析判断是否存在已知安全漏洞。

攻击风险及误报

在漏洞的检测过程中，扫描器会基于自身数据库中payload（漏洞利用程序）向目标发送信息，基于返回的数据包来确定漏洞是否存在，虽然是非攻击性的payload的， 但此过程仍存在一 定的风险。

有些漏洞是没有payload，或者扫描器自身数据库中没有此漏洞的payload，这时，扫描器就会基于扫描出来的目标系统的服务版本来判断是否存在漏洞,如扫描出目标主机存在Oracle 11g数据库，而此时扫描器没有此版本的payload，扫描器就会把数据库中所有低于此版本的漏洞全部呈现出来。同时，在判断目标系统的服务版本中，可能也会出现偏差，最终也会导致漏洞误报。

信息安全风险评估

安全服务的方向

风险评估服务

风险评估是对信息资产所存在的脆弱性，面临的威胁， 造成的影响，及三者综合作用所带来的风险的可能性评估。

等级测评服务

国家信息安全等级保护

安全咨询服务

以行业特点为核心，从技术、运维、管理、策略等方面提供有针对性的安全技术与管理咨询服务

安全审计服务

了解现有环境是否根据既定的安全策略得到妥善的保护

运维管理服务

应急响应、驻场安全运维、巡检、渗透评估、安全

安全培训服务

安全管理培训、安全技能培训、安全认证培训

安全服务的内容

脆弱性：漏洞扫描、配置核查、安全加固、渗透测试、代码审计

威胁：网络架构分析、安全巡检、日志分析、恶意代码排查

事件：应急演练、应急响应、安全监测、安全值守

体系设计：ISMS体系建设、安全体系规划、应急体系建设、安全域划分、应用开发安全生命周期

合规咨询：等级保护咨询、行业合规咨询

安全评估：系统上线前检查、风险评估、业务安全评估、无线安全评估、虚拟化安全评估

安全培训：安全意识培训、安全管理培训、安全技能培训

安全研究：安全课题研究

风险评估的依据

GB/T 20984-2007 信息安全技术 信息安全风险评估规范

什么是信息安全风险评估

信息安全风险是指在信息化建设中，各类应用系统及其赖以运行的基础网络、处理的数据和信息，由于其可能存在的软硬件缺陷、系统集成缺陷等，以及信息安全管理中潜在的薄弱环节，而导致的不同程度的安全风险。
信息安全风险评估是从风险管理的角度，运用科学的手段，系统的分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，为防范和化解信息安全风险，或者将风险控制在可以接受的水平，制定有针对性的抵御威胁的防护对策和整改措施以最大限度的保障网络和信息安全提供科学依据。

风险评估的