网络安全评估
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
• 网络安全评估举例
– XXXX大学校园网络安全评估
要求
• • • • 掌握网络安全评估概念 了解网络安全评估的过程 了解网络安全评估的方法 认识信息安全专业的就业方向
概念
CONCEPT
信息安全的生命周期
风险分析(Risk Analysis)
脆弱性评估(Vulnerability Assessment)
特点
• 采用了自下而上的方法,未采用自顶向下 的方法 • 测试是由服务器网络的外部发起的 • 由于时间和技术水平的限制,测试方法和 测试内容的完备性比较差 • 标准化差
析,确定评估环境与假设; 确定系统拓扑,标识系统中包含的构件,标识系统中 存在的访问路径 评估推理 区域划分
评估报告
汇 总 报 告 阶 段
举例
CASE STUDY
介绍
• 时间:2015年10月21日~10月28日 • 评估者:SNERT(XXX大学网络应急响应小组) 20人 • 评估对象:XXXX大学校园网上提供对外服务的 Web服务器(38个网站) • 评估地点:信息安全实验室 • 评估目的:发现评估对象明显的安全威胁,提供 加固建议,为“迎评创优”做贡献 • 评估结果:《XXXX大学校园网安全评估申请》、 《XXXX大学校园网安全评估方案》、《校园网安 全评估操作承诺书》、《XXXX大学校园网络安全 评估建议书》
信息安全新技术专题之六
网络安全评估
(Network Security Assessment)
主要内容
• 网络安全评估概念
– – – – 信息安全生命周期 网络安全评估的意义和特点 网络安全脆弱性 网络安全评估标准
• 网络安全评估过程
– 项目范围文档 – 考虑的问题
• 网络安全评估方法
– 自顶向下的检查 – 自下而上的检查
• 审查内容
– What? Who? Where? How? When? Why?
自下而上的检查 (Bottom-Up Examination)
• 技术性检查 • 步骤
– 网络调查
• 网络类型、拓扑结构、设备、操作系统类型、网络协议类型、 服务器类型、物理安全
– – – – –
制订测试计划 整理测试工具 测试 测试结果分析 生成文档
确定计算机系统的安全威胁
• 可以参考“计算机犯罪和安全调查” (Computer Crime and Security Survey: www.gocsi.com)
将安全威胁和风险评级
• 将安全威胁按照“产生的影响”和“产生 的可能性”进行评级
制订检查项目列表
• 根据信息安全的四个关键问题来制订
– 完整性 – 保密性 – 抗否认性 – 可用性
• 可以根据ISO17799的“自评估调查表”
评估方法
METHODOLODY
概念
审查安全策略 用户面谈 企业文化 产 生 ISO17799, HIPAA, GLBA, GASSP, CERT, CIAC等 定义的安全威胁 自顶向下的检查 (Top-Down Examination) 策略检查 自下而上的检查 (Bottom-Up Examination) 技术性检查
安全保证是否符合有关标准的要求 评估资料收集 评 物理安全环境是否符合有关的物理安全标准 估 通过问卷调查获取评估所需的基本信息 信息库 实 导航测试+穿透测试 施 知识库 评估对象预分析 组织管理是否符合有关的安全管理要求 阶 安全 安全 构件 操作 应用 网络 段 审查评估资料的有效性、完备性; 要素 组装 安全建议 评估 评估 保证 平台 环境 环境 评估 工具箱 根据对评估对象安全环境、安全需求及安全策略的分 确定评估对象能够到达的安全保护等级
测试网络
运行工具 生成报告
自顶向下的检查 (Top-Down Examination)
• 依据ISO17799的网络安全评价范围 • 审查网络安全策略
– 网络安全存在与否? – 如果存在,内容合适否?
• 网络安全策略分类
– 一般策略 – 特定的策略 – 特定系统和软件的策略
• 网络安全策略组成
– – – – 标题 范围 责任人 适应性
实现(Implementation)
网络安全评估(Network Security Assessment)
定义
• 风险分析 • 网络安全评估
目标
• 测试所有可能的项目
• 产生评估报告
特点
• • • • 全面性 评估效果与评估者的经验相关 评估结果可再现性 评估对象的多样性
网络脆弱性 (Network Vulnerability)
PROCESS
ቤተ መጻሕፍቲ ባይዱ
明确评估项目的范围
• 目的:明确评估对象,生成“项目范围文 档”(Project Scope Document) • 组成
– 项目概要(Project Overview Statement) – 任务列表(Task List) – 根据任务列表制订的详细评估任务范围文档
内容
• • • • • • 决定被评估信息和资源的价值 时间安排 确定评估团队 确定计算机系统的安全威胁 将安全威胁和风险评级 制订检查项目列表
• 需要测试者掌握网络攻击的方法
安 全 评 估 过 程
问卷调查反馈信息 导航测试和穿透测试 准 安全要素评估 备 阶 评估资料收集 评估对象预分析 段 构件组装安全性评估 安全策略是否能够满足其安全需求,是否适应 产品 评估 确定评 标识 区域 评估 相关 评估 资料 估环境 构件、 划分 评估准则 安全保证评估 申请 文档 审查 与假设 路径 评估对象的威胁环境 数据 形成原始评估证据 技术安全措施是否符合有关标准的要求
• 脆弱性也叫漏洞,是网络安全评估的对象 • 分类:
– 软漏洞(Soft)是由于配置错误而引起的 – 硬漏洞(Hard)是由于软件编程人员的编程错 误引起的
网络脆弱性的生命周期
漏洞公开 软件厂商发布 补丁
受 攻 击 频 率
漏洞发布
发现漏洞
时间
网络安全评估标准
• ISO17799
网络安全评估过程