信息系统安全风险评估培训材料2教程文件.ppt

渗透测试一般方法 远程溢出攻击测试 口令破解 Web脚本及应用测试（SQL注入、XSS等） 本地权限提升测试 网络嗅探监听 其它（社会工程学等） …… 渗透测试分类 黑盒测试 （”zero-knowledge testing”）渗透者完全处于对系统一无所知的状态。通常，这种类型的测试，最初的信息获取来自DNS、Web、Email及各种公开对外的服务器。 白盒测试 测试者可以通过正常渠道向被测单位取得各种资料，包括网络拓扑、员工资料甚至网站或其他程序的代码片段，也能与单位其他员工进行面对面的沟通这类的测试目的是模拟企业内部雇员的越权操作 渗透测试一般流程 计划与准备 测试计划 测试准备 侦查分析阶段 信息收集 目标判别 漏洞查找 攻击阶段 获取权限 权限提升 … … 脆弱性识别方法-人工审计 采用人工审计方式可以对漏洞扫描的结果进行验证和分析，也可以检查某些无法利用工具扫描的内容 人工审计内容 网络安全 网络拓扑结构 子网划分 网络边界 审计日志 网络流量与拥塞控制 网络设备的安全配置 ……. 主机安全 审计日志 自主访问控制功能 强制访问控制功能 目录与文件权限 口令设置 登陆设置 资源使用设置 进程与端口关联 ……. 人工审计内容（续） 专用业务/应用系统安全 通讯安全性 本地文件存储安全性 登陆过程安全性 自主访问控制功能有效性及安全策略配置 强制访问控制功能有效性及安全策略配置 用户权限 审计日志 并发会话数限制 …… 数据安全及备份 数据传输安全性 数据存储安全性 备份与恢复功能 备份数据(如用户帐单备份数据) 链路冗余 硬件冗余(如计费系统双机备份) 人工审计内容（续） 物理环境安全 防震、防风、防雨等能力 机房出入安全 区域隔离 防水防潮 防静电 防盗窃和防破坏 温湿度控制 …… 管理安全 管理制度 制定和发布 岗位设置 人员配备 人员录用、离岗 安全意识教育和培训 软件开发 测试验收 …… 审计示例 防护要求 脆弱性检查要点 (HP-UX) 检查结果记录 当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听； /etc/inet/services /etc/inet/inetd.conf … 口令应有复杂度要求并定期更换 /var/adm/userdb/ /etc/shadow … 审计范围应覆盖到服务器上的每个操作系统用户和数据库用户 /var/adm/userdb/ /etc/default/security … 脆弱性识别—工具 扫描工具 系统层： X-scan、 Nessus、极光漏洞扫描系统、天镜漏洞扫描系统 应用层： IBM Appscan、 Fortify 、 Acunetix Web Vulnerability Scanner 数据库： Shadow DataBase Scanner、 ISS Database Scanner … 脆弱性赋值 等级 标识 定义 5 很高 如果被威胁利用，将对资产造成完全损害 4 高 如果被威胁利用，将对资产造成重大损害 3 中等 如果被威胁利用，将对资产造成一般损害 2 低 如果被威胁利用，将对资产造成较小损害 1 很低 如果被威胁利用，对资产造成的损害可以忽略 脆弱性赋值表 　　 赋值方法 工作输出 《脆弱性列表》 类型、名称、描述、赋值… 风险评估流程 资产识别 脆弱性识别 威胁识别 已有安全措施的确认 风险分析 风险评估准备 实施风险管理 已有安全措施确认 安全措施 --预防性安全措施 --保护性安全措施 主要任务 --针对已识别的脆弱性确认已采取的安全措施并记录下来 工作输出 --《已有安全措施确认表 》 风险评估流程 资产识别 脆弱性识别 威胁识别 已有安全措施的确认 风险分析 风险评估准备 实施风险管理 通信网络信息安全风险评估培训 提 纲 基础概念 相关背景介绍 什么是风险评估 为什么要风险评估 风险评估意义 风险评估内容 相关术语 相关标准 风险评估通用流程及具体实施 实施要点及示例说明 我们的安全形势 怎么办？--风险评估 网络面临的最大威胁是什么？有哪些安全问题？ 什么是最关键的信息资产？ 网络设备是否安全？操作系统、数据库系统是否安全？ 您需要什么安全技术保障？风险控制手段？ 采用了哪些安全措施？是否有效？ 如何应对未来的威胁? …… 我们的网络有多安全 ?? 如何知道 ?? ----面临的问题 风险评估相关概念 脆弱性/ Vulnerability 资产/ Asset 存在 利用 破坏 威胁/Threat 风险/ Risk 什么是风险评估 国信办