风险评估技术与方法--脆弱性与已有控制措施识别_精品文档资料下载.pdf

风险评估技术与方法--脆弱性与已有控制措施识别_精品文档资料下载.pdf

《风险评估技术与方法--脆弱性与已有控制措施识别_精品文档资料下载.pdf》由会员分享，可在线阅读，更多相关《风险评估技术与方法--脆弱性与已有控制措施识别_精品文档资料下载.pdf（54页珍藏版）》请在冰豆网上搜索。

对应起来。

4脆弱性识别工作内容脆弱性识别工作内容脆弱性识别脆弱性识别通过扫描工具或手工等不同方式，识别当前系统通过扫描工具或手工等不同方式，识别当前系统中存在的脆弱性。

中存在的脆弱性。

识别结果整理与展示识别结果整理与展示实际评估项目中，被评估组织往往会要求评估单实际评估项目中，被评估组织往往会要求评估单位提交脆弱性识别活动的阶段成果，所以在脆弱位提交脆弱性识别活动的阶段成果，所以在脆弱性识别阶段，还应将脆弱性识别结果以合理的方性识别阶段，还应将脆弱性识别结果以合理的方式展现给被评估组织。

式展现给被评估组织。

脆弱性赋值脆弱性赋值根据一定的赋值准则，对被识别的脆弱性进行赋根据一定的赋值准则，对被识别的脆弱性进行赋值。

值。

5脆弱性识别内容和依据脆弱性识别内容和依据脆弱性识别主要从技术和管理两个方面进行，技脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理层、网络层、系统层、应用层术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。

管理脆弱性又可分为技等各个层面的安全问题。

管理脆弱性又可分为技术管理脆弱性和组织管理脆弱性两方面，前者与术管理脆弱性和组织管理脆弱性两方面，前者与具体技术活动相关，后者与管理环境相关。

具体技术活动相关，后者与管理环境相关。

应用在不同环境中的相同的弱点，其脆弱性严重应用在不同环境中的相同的弱点，其脆弱性严重程度是不同的，评估者应从组织安全策略的角度程度是不同的，评估者应从组织安全策略的角度考虑、判断资产的脆弱性及其严重程度。

信息系考虑、判断资产的脆弱性及其严重程度。

信息系统所采用的协议、应用流程的完备与否、与其他统所采用的协议、应用流程的完备与否、与其他网络的互联等也应考虑在内。

网络的互联等也应考虑在内。

脆弱性识别的依据可以是国际或国家安全标准，脆弱性识别的依据可以是国际或国家安全标准，也可以是行业规范、应用流程的安全要求。

也可以是行业规范、应用流程的安全要求。

6脆弱性识别内容表脆弱性识别内容表（GBT20984）类型类型识别对象识别对象识别内容识别内容技术脆弱性技术脆弱性物理环境物理环境从机房场地、机房防火、机房供配电、机房防静电、机房接地与从机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面进行识别。

备管理等方面进行识别。

网络结构网络结构从网络结构设计、边界保护、外部访问控制策略、内部访问控制从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别。

策略、网络设备安全配置等方面进行识别。

系统软件系统软件从补丁安装、物理保护、用户账号、口令策略、资源共享、事件从补丁安装、物理保护、用户账号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别。

统管理等方面进行识别。

数据库软件数据库软件从补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、从补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、备份恢复机制、审计机制等方面进行识别。

备份恢复机制、审计机制等方面进行识别。

应用中间件应用中间件从协议安全、交易完整性、数据完整性等方面进行识别。

从协议安全、交易完整性、数据完整性等方面进行识别。

应用系统应用系统从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密码保护等方面进行识别。

别机制、密码保护等方面进行识别。

管理脆弱性管理脆弱性技术管理技术管理从物理和环境安全、通信与操作管理、访问控制、系统开发与维从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别。

护、业务连续性等方面进行识别。

组织管理组织管理从安全策略、组织安全、资产分类与控制、人员安全、符合性等从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别。

方面进行识别。

7脆弱性识别方法脆弱性识别方法脆弱性检测所采用的方法主要有：

脆弱性检测所采用的方法主要有：

问卷调查问卷调查文档查阅文档查阅工具检测工具检测人工检查人工检查渗透性测试渗透性测试8脆弱性识别方法工具检测脆弱性识别方法工具检测使用漏洞检测工具使用漏洞检测工具（或定制的脚本或定制的脚本）识别脆弱性，可以识别脆弱性，可以获得较高的检测效率，省去大量的手工重复操作。

因获得较高的检测效率，省去大量的手工重复操作。

因此，在实际评估项目中，大都会选用这种方式。

此，在实际评估项目中，大都会选用这种方式。

由于对被评估的实际业务系统进行工具扫描具有一定由于对被评估的实际业务系统进行工具扫描具有一定的危险性，可能会对被评估组织造成不良影响。

因此的危险性，可能会对被评估组织造成不良影响。

因此在执行扫描之前，应做好充分细致的计划和准备。

扫在执行扫描之前，应做好充分细致的计划和准备。

扫描计划至少包括以下几个方面的内容：

描计划至少包括以下几个方面的内容：

扫描对象或范围扫描对象或范围工具选择和使用工具选择和使用扫描任务计划扫描任务计划风险规避措施风险规避措施9脆弱性识别方法人工检查脆弱性识别方法人工检查尽管使用工具检测安全漏洞具有非常高的效率，尽管使用工具检测安全漏洞具有非常高的效率，但考虑到工具扫描具有一定风险，在对那些对可但考虑到工具扫描具有一定风险，在对那些对可用性要求较高的重要系统进行脆弱性识别时，经用性要求较高的重要系统进行脆弱性识别时，经常会使用人工检查的方式。

常会使用人工检查的方式。

在对脆弱性进行人工检查之前，需要事先准备好在对脆弱性进行人工检查之前，需要事先准备好设备、系统或应用的检查列表。

设备、系统或应用的检查列表。

在进行具体的人工检查活动时，识别小组成员一在进行具体的人工检查活动时，识别小组成员一般只负责记录结果，而检查所需的操作通常由相般只负责记录结果，而检查所需的操作通常由相关管理员来完成关管理员来完成。

10脆弱性识别方法渗透性测试脆弱性识别方法渗透性测试渗透性测试是风险评估过程中脆弱性检查的一个渗透性测试是风险评估过程中脆弱性检查的一个特殊环节。

在确保被检测系统安全稳定运行的前特殊环节。

在确保被检测系统安全稳定运行的前提下，安全工程师尽可能完整地模拟黑客使用的提下，安全工程师尽可能完整地模拟黑客使用的漏洞发现技术和攻击手段，对目标网络、系统及漏洞发现技术和攻击手段，对目标网络、系统及应用的安全性进行深入的探测，发现系统最脆弱应用的安全性进行深入的探测，发现系统最脆弱的环节，并进行一定程度的的环节，并进行一定程度的验证验证。

渗透测试分为现场渗透测试和远程渗透测试两种渗透测试分为现场渗透测试和远程渗透测试两种方法。

方法。

11脆弱性识别工作的参与人员脆弱性识别工作的参与人员序号序号活动名称活动名称参与人员参与人员来自于评估单位来自于评估单位来自于被评估组织来自于被评估组织11脆弱性识别脆弱性识别项目负责人项目负责人脆弱性识别小组脆弱性识别小组项目负责人项目负责人识别活动中配合人识别活动中配合人员或访谈对象员或访谈对象22脆弱性识别脆弱性识别结果整理与结果整理与展现展现脆弱性识别小组脆弱性识别小组33脆弱性赋值脆弱性赋值脆弱性识别小组脆弱性识别小组12物理脆弱性识别物理脆弱性识别物理脆弱性识别主要关注各种与信息相关物理脆弱性识别主要关注各种与信息相关的设备和环境的安全风险，包括的设备和环境的安全风险，包括场所环境场所环境、电磁环境电磁环境、设备实体设备实体、线路线路四个方面。

检四个方面。

检测所依据的主要标准有测所依据的主要标准有GBGBT2887T288720002000电子计算机场地通用规范电子计算机场地通用规范、GB/TGB/T9361936120002000计算机场地安全要求计算机场地安全要求等，检等，检测的主要方式是问卷调查和现场查看。

测的主要方式是问卷调查和现场查看。

13物理脆弱性物理脆弱性场所环境场所环境内部环境内部环境网络节点中心等专用机房的环境脆弱性识网络节点中心等专用机房的环境脆弱性识别别外部环境外部环境考察核心区周边的安全情况考察核心区周边的安全情况计算机终端工作间环境计算机终端工作间环境计算机工作间环境情况检测计算机工作间环境情况检测14物理脆弱性物理脆弱性电磁环境电磁环境电磁环境的安全隐患主要体现在两个方面：

电磁环境的安全隐患主要体现在两个方面：

一是内部电磁信息泄漏二是外部电磁信一是内部电磁信息泄漏二是外部电磁信号的干扰或冲击。

号的干扰或冲击。

防护措施有两类：

一是对传导发射的防护，防护措施有两类：

一是对传导发射的防护，主要采取滤波措施。

二是对辐射的防护，主要采取滤波措施。

二是对辐射的防护，主要采取电磁屏蔽和干扰防护措施。

主要采取电磁屏蔽和干扰防护措施。

15物理脆弱性物理脆弱性设备实体设备实体设备实体主要指网络设备、安全防护设备、设备实体主要指网络设备、安全防护设备、办公设备等，设备实体的安全主要考察安办公设备等，设备实体的安全主要考察安放位置、保护措施、保密措施等方面的因放位置、保护措施、保密措施等方面的因素。

素。

16物理脆弱性物理脆弱性线路线路线路主要指光缆、电缆、网络线缆等。

光线路主要指光缆、电缆、网络线缆等。

光缆、电缆线路要有一定的保护、维护措施。

缆、电缆线路要有一定的保护、维护措施。

楼宇网络线路主要考虑楼宇网络线路主要考虑PDSPDS综合布线的安全综合布线的安全（电缆井、楼宇配线间、楼层配线间、主机电缆井、楼宇配线间、楼层配线间、主机房配线间等方面的安全房配线间等方面的安全）、外网线路与内部、外网线路与内部线路敷设安全线路敷设安全（同槽、同缆、同架同槽、同缆、同架）。

17网络脆弱性识别网络脆弱性识别网络脆弱性检测主要对组成网络各个要素的脆弱性进行检测，主要包括网络基础设施、网络安全体系和计算设备。

检测的主要方式是技术检测和登录查看，技术检测是指利用工具或运用技术手段发现网络中资产的脆弱性，登录查看是通过控制台远程或本地登录到设备上检测系统的配置是否安全。

18网络脆弱性网络脆弱性网络基础设施网络基础设施网络基础设施通常包括网络结构设计、网络设备网络基础设施通常包括网络结构设计、网络设备（包括路包括路由器、交换机、拨号服务器等由器、交换机、拨号服务器等）、网络管理系统。

、网络管理系统。

对网络结构设计脆弱性识别主要从网络结构设计及对网络结构设计脆弱性识别主要从网络结构设计及网段的划分、网络边界的保护等方面进行。

网段的划分、网络边界的保护等方面进行。

对交换机脆弱性识别从以下方面进行：

11、交换机运行状况，功能是否正常实现，这是确保一、交换机运行状况，功能是否正常实现，这是确保一切网络通信和网络