信息系统安全风险评估培训材料教案.ppt

风险评估相关概念 渗透测试一般流程 计划与准备 测试计划 测试准备 侦查分析阶段 信息收集 目标判别 漏洞查找 攻击阶段 获取权限 权限提升 … … 渗透测试一般方法 远程溢出攻击测试 口令破解 Web脚本及应用测试（SQL注入、XSS等） 本地权限提升测试 网络嗅探监听 其它（社会工程学等） …… 渗透测试分类 黑盒测试 （”zero-knowledge testing”）渗透者完全处于对系统一无所知的状态。通常，这种类型的测试，最初的信息获取来自DNS、Web、Email及各种公开对外的服务器。 白盒测试 测试者可以通过正常渠道向被测单位取得各种资料，包括网络拓扑、员工资料甚至网站或其他程序的代码片段，也能与单位其他员工进行面对面的沟通这类的测试目的是模拟企业内部雇员的越权操作 脆弱性识别方法-人工审计 采用人工审计方式可以对漏洞扫描的结果进行验证和分析，也可以检查某些无法利用工具扫描的内容 人工审计内容 网络安全 网络拓扑结构 子网划分 网络边界 审计日志 网络流量与拥塞控制 网络设备的安全配置 ……. 主机安全 审计日志 自主访问控制功能 强制访问控制功能 目录与文件权限 口令设置 登陆设置 资源使用设置 进程与端口关联 ……. 人工审计内容（续） 专用业务/应用系统安全 通讯安全性 本地文件存储安全性 登陆过程安全性 自主访问控制功能有效性及安全策略配置 强制访问控制功能有效性及安全策略配置 用户权限 审计日志 并发会话数限制 …… 数据安全及备份 数据传输安全性 数据存储安全性 备份与恢复功能 备份数据(如用户帐单备份数据) 链路冗余 硬件冗余(如计费系统双机备份) 人工审计内容（续） 物理环境安全 防震、防风、防雨等能力 机房出入安全 区域隔离 防水防潮 防静电 防盗窃和防破坏 温湿度控制 …… 管理安全 管理制度 制定和发布 岗位设置 人员配备 人员录用、离岗 安全意识教育和培训 软件开发 测试验收 …… 审计示例 防护要求 脆弱性检查要点 (HP-UX) 检查结果记录 当对服务器进行远程管理时，应采取必要措施，防止鉴别信息在网络传输过程中被窃听； /etc/inet/services /etc/inet/inetd.conf … 口令应有复杂度要求并定期更换 /var/adm/userdb/ /etc/shadow … 审计范围应覆盖到服务器上的每个操作系统用户和数据库用户 /var/adm/userdb/ /etc/default/security … 脆弱性识别—工具 扫描工具 系统层： X-scan、 Nessus、极光漏洞扫描系统、天镜漏洞扫描系统 应用层： IBM Appscan、 Fortify 、 Acunetix Web Vulnerability Scanner 数据库： Shadow DataBase Scanner、 ISS Database Scanner … 脆弱性赋值 等级 标识 定义 5 很高 如果被威胁利用，将对资产造成完全损害 4 高 如果被威胁利用，将对资产造成重大损害 3 中等 如果被威胁利用，将对资产造成一般损害 2 低 如果被威胁利用，将对资产造成较小损害 1 很低 如果被威胁利用，对资产造成的损害可以忽略 脆弱性赋值表 　　 赋值方法 工作输出 《脆弱性列表》 类型、名称、描述、赋值… 风险评估流程 资产识别 脆弱性识别 威胁识别 已有安全措施的确认 风险分析 风险评估准备 实施风险管理 已有安全措施确认 安全措施 --预防性安全措施 --保护性安全措施 主要任务 --针对已识别的脆弱性确认已采取的安全措施并记录下来 工作输出 --《已有安全措施确认表 》 风险评估流程 资产识别 脆弱性识别 威胁识别 已有安全措施的确认 风险分析 风险评估准备 实施风险管理 风险分析流程 保持已有安全措施 提出风险处理计划 是否接受风险 风险计算 是 否 风险阈值 风险计算 风险计算方法 　　 　１、 　 风险计算 风险计算方法（续） 相乘法：风险值 ＝ 资产价值 x 威胁值 x 脆弱性值 　　　 风险阈值的确定 风险阈值是风险是否可接受的判断依据 确定方法 对象的安全等级 1级 2级 3.1级 3.2级 4级 5级 风险阈值（风险值大于此阈值的风险视为不可接受） 设备类风险（包括设备、机房、数据、网络） 60 45 25 15 10 5 人员类风险 90 60 40 30 20 10 管理制度、文档类风险 80 50 30 20 10 5 风险处理建议 主要任务 　　 风险处理方式 降低风险——应用适当的控制措施 (预防性