风险评估技术与方法脆弱性与已有控制措施识别.pdf

信息安全风险管理与评估 ——风险评估技术和方法介绍_脆弱性与已有控制措施识别 江苏省信息安全测评中心 介绍的内容 一、脆弱性识别 二、安全控制措施识别和确认 三、风险分析和风险计算 四、评估工具介绍 五、案例分析 2 1.脆弱性识别  脆弱性——可能被威胁所利用的资产或若干资产 的薄弱环节。[国标]  弱点是资产本身存在的，它可以被威胁利用、引 起资产或商业目标的损害。  脆弱性识别是风险评估中最重要的一个环节。脆 弱性识别可以以资产为核心，针对每一项需要保 护的资产,识别可能被威胁利用的弱点，并对脆弱 性的严重程度进行评估；也可以从物理、网络、 系统、应用等层次进行识别，然后与资产、威胁 对应起来。 3 脆弱性识别工作内容  脆弱性识别 通过扫描工具或手工等不同方式，识别当前系统 中存在的脆弱性。  识别结果整理与展示 实际评估项目中，被评估组织往往会要求评估单 位提交脆弱性识别活动的阶段成果，所以在脆弱 性识别阶段，还应将脆弱性识别结果以合理的方 式展现给被评估组织。  脆弱性赋值 根据一定的赋值准则，对被识别的脆弱性进行赋 值。 4 脆弱性识别内容和依据  脆弱性识别主要从技术和管理两个方面进行，技 术脆弱性涉及物理层、网络层、系统层、应用层 等各个层面的安全问题。管理脆弱性又可分为技 术管理脆弱性和组织管理脆弱性两方面，前者与 具体技术活动相关，后者与管理环境相关。  应用在不同环境中的相同的弱点，其脆弱性严重 程度是不同的，评估者应从组织安全策略的角度 考虑、判断资产的脆弱性及其严重程度。信息系 统所采用的协议、应用流程的完备与否、与其他 网络的互联等也应考虑在内。  脆弱性识别的依据可以是国际或国家安全标准， 也可以是行业规范、应用流程的安全要求。 5 脆弱性识别内容表(GBT20984) 类型 识别对象 识别内容 从机房场地、机房防火、机房供配电、机房防静电、机房接地与 物理环境 防雷、电磁防护、通信线路的保护、机房区域防护、机房设 备管理等方面进行识别。 从网络结构设计、边界保护、外部访问控制策略、内部访问控制 网络结构 策略、网络设备安全配置等方面进行识别。 从补丁安装、物理保护、用户账号、口令策略、资源共享、事件 技术脆弱性 系统软件 审计、访问控制、新系统配置、注册表加固、网络安全、系 统管理等方面进行识别。 从补丁安装、鉴别机制、口令机制、访问控制、网络和服务设置、 数据库软件 备份恢复机制、审计机制等方面进行识别。 应用中间件 从协议安全、交易完整性、数据完整性等方面进行识别。