(Safety assessment ) 網絡安全評估又叫安全評價。 壹個組織的信息系統經常會面臨內部和外部威脅的風險。 隨著黑客技術的日趨先進,沒有這些黑客技術的經驗與知識很難充分保護您的系統。 安全評估利用大量安全性行業經驗和漏洞掃描的最先進技術,從內部和外部兩個角度,對企業信息系統進行全面的評估。[1] 由於各種平臺、應用、連接與變更的速度和有限的資源組合在壹起,因此采取所有必要措施保護組織的資產比以往任何時候都困難。環境越復雜,就越需要這種措施和控制來保證組織業務流程的連續性。 安全評估分狹義和廣義二種。狹義指對壹個具有特定功能的工作系統中固有的或潛在的危險及其嚴重程度所進行的分析與評估,並以既定指數、等級或概率值作出定量的表示,最後根據定量值的大小決定采取預防或防護對策。廣義指利用系統工程原理和方法對擬建或已有工程、系統可能存在的危險性及其可能產生的後果進行綜合評價和預測,並根據可能導致的事故風險的大小,提出相應的安全對策措施,以達到工程、系統安全的過程。安全評估又稱風險評估、危險評估,或稱安全評價、風險評價和危險評價。
安全評估目標
在項目評估階段,為了充分了解企業專用網絡信息系統的當前安全狀況(安全隱患),因此需要對網絡系統進行安全狀況分析。經我系安全小組和該企業信息中心的雙方確認,對如下被選定的項目進行評估。 · 管理制度的評估 · 物理安全的評估 · 計算機系統安全評估 · 網絡與通信安全的評估 · 日誌與統計安全的評估 · 安全保障措施的評估 · 總體評估
安全加固
安全加固概述
網絡與應用系統加固和優化服務是實現客戶信息系統安全的關鍵環節。通過使用該項服務,將在客戶信息系統的網絡層、主機層和應用層等層次建立符合客戶安全需求的安全狀態,並以此作為保證客戶信息系統安全的起點。
網絡與應用系統加固的對象,往往存在以下安全問題:
1. 安裝、配置不符合安全需求;
2. 參數配置錯誤;
3. 使用、維護不符合安全需求;
4. 系統完整性被破壞;
5. 被註入木馬程序;
6. 帳戶/口令問題;
7. 安全漏洞沒有及時修補;
8. 應用服務和應用程序濫用;
9. 應用程序開發存在安全問題等。
網絡與應用系統加固和優化服務的目的是通過對主機和網絡設備所存在安全問題執行以下操作:
1. 正確的安裝;
2. 安裝最新和全部OS和應用軟件的安全補丁;
3. 操作系統和應用軟件的安全配置;
4. 系統安全風險防範;
5. 提供系統使用和維護建議;
6. 系統功能測試;
7. 系統安全風險測試;
8. 系統完整性備份;
9. 必要時重建系統等。
上述工作的結果決定了網絡與應用系統加固和優化的流程、實施的內容、步驟和復雜程度。具體說,則可以歸納為:
1. 明確加固目標也就確定系統在做過加固和優化後,達到的安全級別,通常不同環境下的系統對安全級別的要求不同,由此采用的加固方案也不同. 明確加固目標的結果必須能夠明確做加固和優化的系統如何在功能性與安全性之間尋求平衡,即加固後能達到的安全程度可以滿足用戶需求。
2. 明確系統運行狀況的內容包括:
a) 系統的具體用途,即明確系統在工作環境下所必需開放的端口和服務等。
b) 系統上運行的應用系統及其正常所必需的服務。
c) 我們是從網絡掃描及人工評估裏來收集系統的運行狀況的。
3. 明確加固風險:網絡與應用系統加固是有壹定風險的,壹般可能的風險包括停機、應用程序不能正常使用、最嚴重的情況是系統被破壞無法使用。這些風險壹般是由於系統運行狀況調查不清導致,也有因為加固方案的代價分析不準確,誤操作引起。因此在加固前做好系統備份是非常重要的。
4. 系統備份:備份內容包括:文件系統、關鍵數據、配置信息、口令、用戶權限、等內容;最好做系統全備份以便快速恢復。
加固和優化流程概述
網絡與應用系統加固和優化的流程主要由以下四個環節構成:
1. 狀態調查
對系統的狀態調查的過程主要是導入以下服務的結果:
a) 系統安全需求分析
b) 系統安全策略制訂
c) 系統安全風險評估(網絡掃描和人工評估)
對於新建的系統而言,主要是導入系統安全需求分析和系統安全策略制訂這兩項服務的結果。在導入上述服務的結果後,應確定被加固系統的安全級別,即確定被加固系統所能達到的安全程度。同時,也必須在分析上述服務結果的基礎上確定對網絡與應用系統加固和優化的代價。
2. 制訂加固方案
制訂加固方案的主要內容是根據系統狀態調查所產生的結果制訂對系統實施加固和優化的內容、步驟和時間表
3. 實施加固
對系統實施加固和優化主要內容包含以下兩個方面:
a) 對系統進行加固
b) 對系統進行測試
對系統進行測試的目的是檢驗在對系統使是安全加固後,系統在安全性和功能性上是否能夠滿足客戶的需求。上述兩個方面的工作是壹個反復的過程,即,每完成壹個加固或優化步驟後就要測試系統的功能性要求和安全性要求是否滿足客戶需求;如果其中壹方面的要求不能滿足,該加固步驟就要重新進行。
對有些系統會存在加固失敗的情況,如果發生加固失敗,則根據客戶的選擇,要麽放棄加固,要麽重建系統。
4. 生成加固報告
加固報告是向用戶提供完成網絡與應用系統加固和優化服務後的最終報告。其中包含以下內容:
a) 加固過程的完整記錄
b) 有關系統安全管理方面的建議或解決方案
c) 對加固系統安全審計結果