1、网 络 安 全 评 估(Network Security Assessment)信息安全新技术专题之六1主要内容网络安全评估概念信息安全生命周期网络安全评估的意义和特点网络安全脆弱性网络安全评估标准网络安全评估过程项目范围文档考虑的问题网络安全评估方法自顶向下的检查自下而上的检查网络安全评估举例XXXX大学校园网络安全评估2要求掌握网络安全评估概念了解网络安全评估的过程了解网络安全评估的方法认识信息安全专业的就业方向3概念CONCEPT4信息安全的生命周期风险分析(Risk Analysis)实现(Implementation)脆弱性评估(Vulnerability Assessment)网络
2、安全评估(Network Security Assessment)5定义风险分析网络安全评估6目标测试所有可能的项目产生评估报告7特点全面性评估效果与评估者的经验相关评估结果可再现性评估对象的多样性8网络脆弱性(Network Vulnerability)脆弱性也叫漏洞,是网络安全评估的对象分类:软漏洞(Soft)是由于配置错误而引起的硬漏洞(Hard)是由于软件编程人员的编程错误引起的9网络脆弱性的生命周期受 攻 击 频 率时间软件厂商发布补丁漏洞公开漏洞发布发现漏洞10网络安全评估标准ISO1779911网络安全评估过程PROCESS12明确评估项目的范围目的:明确评估对象,生成“项目范围
3、文档”(Project Scope Document)组成项目概要(Project Overview Statement)任务列表(Task List)根据任务列表制订的详细评估任务范围文档13内容决定被评估信息和资源的价值时间安排确定评估团队确定计算机系统的安全威胁将安全威胁和风险评级制订检查项目列表14确定计算机系统的安全威胁可以参考“计算机犯罪和安全调查”(Computer Crime and Security Survey:)15将安全威胁和风险评级将安全威胁按照“产生的影响”和“产生的可能性”进行评级16制订检查项目列表根据信息安全的四个关键问题来制订完整性保密性抗否认性可用性可以根
4、据ISO17799的“自评估调查表”17评估方法METHODOLODY18概念审查安全策略用户面谈企业文化ISO17799,HIPAA,GLBA,GASSP,CERT,CIAC等定义的安全威胁产生测试网络运行工具生成报告自顶向下的检查(Top-Down Examination)策略检查自下而上的检查(Bottom-Up Examination)技术性检查19自顶向下的检查(Top-Down Examination)依据ISO17799的网络安全评价范围审查网络安全策略网络安全存在与否?如果存在,内容合适否?网络安全策略分类一般策略特定的策略特定系统和软件的策略网络安全策略组成标题范围责任人适应
5、性审查内容What?Who?Where?How?When?Why?20自下而上的检查(Bottom-Up Examination)技术性检查步骤网络调查网络类型、拓扑结构、设备、操作系统类型、网络协议类型、服务器类型、物理安全制订测试计划整理测试工具测试测试结果分析生成文档需要测试者掌握网络攻击的方法21安安全全评估估过程程导航航测试和穿透和穿透测试 安全要素安全要素评估估构件构件组装安全性装安全性评估估 安全保安全保证评估估 形成原始形成原始评估估证据据 安全策略是否能安全策略是否能够满足其安全需求,是否适足其安全需求,是否适应评估估对象的威象的威胁环境境 技技术安全措施是否符合有关安全措施
6、是否符合有关标准的要求准的要求 安全保安全保证是否符合有关是否符合有关标准的要求准的要求 物理安全物理安全环境是否符合有关的物理安全境是否符合有关的物理安全标准准 组织管理是否符合有关的安全管理要求管理是否符合有关的安全管理要求 安全建安全建议 确定确定评估估对象能象能够到达的安全保到达的安全保护等等级 评估估资料收集料收集通通过问卷卷调查获取取评估所需的基本信息估所需的基本信息评估估对象象预分析分析审查评估估资料的有效性、完料的有效性、完备性;性;根据根据对评估估对象安全象安全环境、安全需求及安全策略的分境、安全需求及安全策略的分析,确定析,确定评估估环境与假境与假设;确定系确定系统拓扑,拓
7、扑,标识系系统中包含的构件,中包含的构件,标识系系统中中存在的存在的访问路径路径 区域划分区域划分 22举例CASE STUDY23介绍时间:2015年10月21日10月28日评估者:SNERT(XXX大学网络应急响应小组)20人评估对象:XXXX大学校园网上提供对外服务的Web服务器(38个网站)评估地点:信息安全实验室评估目的:发现评估对象明显的安全威胁,提供加固建议,为“迎评创优”做贡献评估结果:XXXX大学校园网安全评估申请、XXXX大学校园网安全评估方案、校园网安全评估操作承诺书、XXXX大学校园网络安全评估建议书2425特点采用了自下而上的方法,未采用自顶向下的方法测试是由服务器网络的外部发起的由于时间和技术水平的限制,测试方法和测试内容的完备性比较差标准化差26
浙ICP备2021020529号-1 | 浙B2-20240490 
