网络安全评估重点.ppt

网 络 安 全 评 估（Network Security Assessment） 信息安全新技术专题之六 主要内容 网络安全评估概念 信息安全生命周期 网络安全评估的意义和特点 网络安全脆弱性 网络安全评估标准 网络安全评估过程 项目范围文档 考虑的问题 网络安全评估方法 自顶向下的检查 自下而上的检查 网络安全评估举例 XXXX大学校园网络安全评估 要求 掌握网络安全评估概念 了解网络安全评估的过程 了解网络安全评估的方法 认识信息安全专业的就业方向 概念 CONCEPT 信息安全的生命周期 风险分析（Risk Analysis） 实现（Implementation） 脆弱性评估（Vulnerability Assessment） 网络安全评估(Network Security Assessment) 定义 风险分析 网络安全评估 目标 测试所有可能的项目 产生评估报告 特点 全面性 评估效果与评估者的经验相关 评估结果可再现性 评估对象的多样性 网络脆弱性（Network Vulnerability） 脆弱性也叫漏洞，是网络安全评估的对象 分类： 软漏洞（Soft）是由于配置错误而引起的 硬漏洞（Hard）是由于软件编程人员的编程错误引起的 网络脆弱性的生命周期 受 攻 击 频 率 时间 软件厂商发布补丁 漏洞公开 漏洞发布 发现漏洞 网络安全评估标准 ISO17799 网络安全评估过程 PROCESS 明确评估项目的范围 目的：明确评估对象，生成“项目范围文档”（Project Scope Document） 组成 项目概要（Project Overview Statement） 任务列表（Task List） 根据任务列表制订的详细评估任务范围文档 内容 决定被评估信息和资源的价值 时间安排 确定评估团队 确定计算机系统的安全威胁 将安全威胁和风险评级 制订检查项目列表 确定计算机系统的安全威胁 可以参考“计算机犯罪和安全调查”（Computer Crime and Security Survey: ） 将安全威胁和风险评级 将安全威胁按照“产生的影响”和“产生的可能性”进行评级 制订检查项目列表 根据信息安全的四个关键问题来制订 完整性 必威体育官网网址性 抗否认性 可用性 可以根据ISO17799的“自评估调查表” 评估方法 METHODOLODY 概念 审查安全策略 用户面谈 企业文化 ISO17799, HIPAA, GLBA, GASSP, CERT, CIAC等 定义的安全威胁 产生 测试网络 运行工具 生成报告 自顶向下的检查 (Top-Down Examination) 策略检查 自下而上的检查 (Bottom-Up Examination) 技术性检查 自顶向下的检查(Top-Down Examination) 依据ISO17799的网络安全评价范围 审查网络安全策略 网络安全存在与否？ 如果存在，内容合适否？ 网络安全策略分类 一般策略 特定的策略 特定系统和软件的策略 网络安全策略组成 标题 范围 责任人 适应性 审查内容 What? Who? Where? How? When? Why? 自下而上的检查(Bottom-Up Examination) 技术性检查 步骤 网络调查 网络类型、拓扑结构、设备、操作系统类型、网络协议类型、服务器类型、物理安全 制订测试计划 整理测试工具 测试 测试结果分析 生成文档 需要测试者掌握网络攻击的方法 安全评估过程 导航测试和穿透测试 安全要素评估 构件组装安全性评估 安全保证评估 形成原始评估证据 安全策略是否能够满足其安全需求，是否适应评估对象的威胁环境 技术安全措施是否符合有关标准的要求 安全保证是否符合有关标准的要求 物理安全环境是否符合有关的物理安全标准 组织管理是否符合有关的安全管理要求 安全建议 确定评估对象能够到达的安全保护等级 评估资料收集 通过问卷调查获取评估所需的基本信息 评估对象预分析 审查评估资料的有效性、完备性； 根据对评估对象安全环境、安全需求及安全策略的分析，确定评估环境与假设； 确定系统拓扑，标识系统中包含的构件，标识系统中存在的访问路径 区域划分 举例 CASE STUDY 介绍 时间：2015年10月21日～10月28日 评估者：SNERT（XXX大学网络应急响应小组）20人 评估对象：XXXX大学校园网上提供对外服务的Web服务器（38个网站） 评估地点：信息安全实验室 评估目的：发现评估对象明显的安全威胁，提供加固建议，为“迎评创优”做贡献 评估结果：《XXXX大学校园网安全评估申请》、《XXXX大学校园网安全评估方案》、《校园网安全评估操作承诺书》、《XXXX大学校园网络安全评估建议书》 特