信息安全风险评估基础知识.pdf

国 家 信 息 技 术 安 全 研 究 中 心 解放军信息技术安全研究中心 锁 延 锋 主要内容 一． 关于我们 二． 风险评估基础 三． 风险评估实施 四． 脆弱性检测技术概论暨国家重 要信息系统中的主要风险 五． 风险评估组织 六． 做法和体会 一、关于我们 1. 中心属性 2. 职能任务 3. 检测手段 4. 服务项目 1.中心属性 国家信息技术安全研究中心 解放军信息技术安全研究中心 是根据中央首长指示，经中央编委 和中央军委批准，依托***技术优势组建 的从事信息安全核心、敏感技术研究的、 军民一体的国家级科研机构。 2.职能任务 中心履行国家信息安全现实保障 和科研攻关双重职能： • 承担国家下达的信息安全保障任务 • 承担国家基础网络与重要信息系统风 险评估任务 • 承担信息技术产品安全性测评任务 2.职能任务 • 开展信息技术产品/系统漏洞分析研究 • 开展信息安全检测技术研究 • 开展信息安全可控技术研究 • 开展硬件安全性解剖分析研究 • 开展软件安全性逆向分析研究 • 开展网络入侵监测技术研究 • 开展密码安全性分析研究 • 开展信息安全理论与前沿技术研究 3.检测手段 M＋N检测模式 脆弱性检测 N M 常规检测 深度检测 特殊检测 测 检 性 测 弱 检 脆 性 理 测 弱 物 检 脆 性 络 测 弱 网 检 脆 性 统 测 弱 系 检 脆 性 用 弱 应 测 脆 检 理 性 管 弱 脆 码 测 密 证 检 验 马 透 木 测 渗 检 络 络 网 测 网 检 线 谱 无 频 磁 电 3.检测手段 •常规检测手段 •深度检测手段 •特种检测手段 常 规 检 测 手段 • 物理脆弱性检测： 对场所环境、电磁环境、网络布线、 设备和媒体介质等安全性的全面检测。 • 网络脆弱性检测： 对网络交换设备、结构、网管系统、 安全防护措施等安全性的全面检测。 常规检测手段 • 系统脆弱性检测： 对操作系统、数据库等信息系统的全面检测。 • 应用脆弱性检测： 对应用系统中各类一般应用软件和专业应用软件 安全性的全面检测。 • 管理脆弱性检测： 对运行管理、行政管理等安全情况的全面核查。 深 度 检 测 手段 • 渗透性检测： 对网络与信息系统存在的漏洞和隐患 实施本地或远程渗透性检测与验证，为控 制外部入侵风险提供依据。 • 木马威胁性检测： 对计算机主机可能存在的 “木马”威 胁实施专项检测，发掘并清除恶意 “木马 病毒”和 “间谍软件”。 深 度 检 测 手段 • 密码安全性分析： 对认证、算法、密钥管理、安全协 议等密码方面的安全性进行检测，发现 安全漏洞和脆弱点，为控制密码安全风 险提供依据。 特 种 检 测 手段 • 电信基础网络安全性检测： 对光纤、卫星、微波、移动通信网络的安 性进行检测与评估。 • 无线局域网安全性检测：