惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

T
Threat Research - Cisco Blogs
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
V
Vulnerabilities – Threatpost
GbyAI
GbyAI
P
Proofpoint News Feed
L
LINUX DO - 热门话题
P
Palo Alto Networks Blog
A
About on SuperTechFans
T
Tenable Blog
M
MIT News - Artificial intelligence
IT之家
IT之家
I
Intezer
D
DataBreaches.Net
爱范儿
爱范儿
T
Threatpost
C
CERT Recently Published Vulnerability Notes
云风的 BLOG
云风的 BLOG
博客园 - 三生石上(FineUI控件)
WordPress大学
WordPress大学
K
Kaspersky official blog
大猫的无限游戏
大猫的无限游戏
A
Arctic Wolf
Y
Y Combinator Blog
Cyberwarzone
Cyberwarzone
酷 壳 – CoolShell
酷 壳 – CoolShell
D
Darknet – Hacking Tools, Hacker News & Cyber Security
H
Help Net Security
Microsoft Security Blog
Microsoft Security Blog
Spread Privacy
Spread Privacy
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
AWS News Blog
AWS News Blog
博客园 - 聂微东
C
Check Point Blog
S
Securelist
有赞技术团队
有赞技术团队
雷峰网
雷峰网
aimingoo的专栏
aimingoo的专栏
Last Week in AI
Last Week in AI
Stack Overflow Blog
Stack Overflow Blog
MongoDB | Blog
MongoDB | Blog
D
Docker
G
GRAHAM CLULEY
T
The Exploit Database - CXSecurity.com
C
Cybersecurity and Infrastructure Security Agency CISA
T
Tailwind CSS Blog
L
Lohrmann on Cybersecurity
G
Google Developers Blog
C
Cyber Attacks, Cyber Crime and Cyber Security
L
LangChain Blog

博客园 - 小辉

好久不来了。!!!! 迎接新生命!!! 关于加强国家电子政务工程建设项目信息安全风险评估工作的通知 利用IAT hook实现windows通用密码后门 果然是够懒的。。。半个多月过去了。 生日ing 懒惰啊,懒惰 挂马问题的补充 - 小辉 - 博客园 某头大牛的文章(解决挂马问题) 检索程序VBS SQL注入基础 - - 结婚了~~呵呵 目标!~~~ 期待2007年的5月!! 了解与防范"熊猫烧香"病毒 《星际争霸》与设计模式(3)——观察者模式 《星际争霸》与设计模式(2)——工厂方法模式 《星际争霸》与设计模式(1)——简单工厂模式 (转) 歌词-- Mssql高级注入笔记.txt (转自:慕容小雨BLOG)
通过风险评估掌握当前的安全状况
小辉 · 2008-10-27 · via 博客园 - 小辉

一、 前言
  风险评估的极端重要性已经越来越被用户认同。在2000-2001年,大多数用户的安全评估需求主要集中于系统脆弱性评估和渗透性测试;在2001-2002年,多数用户的安全评估需求已经侧重于整个管理体系的评估和对特定应用系统的评估;从2002年开始,许多行业用户对全面风险评估提出了要求。
  二、 标准与理论
  我们在风险评估实践中,主要参考了BS 7799(ISO/IEC 17799)、ISO/IEC 15408-1999(等同GB/T 18336-2001)、ISO/IEC 13335、SSE-CMM等标准。另外,我们也参考了GB 17859-1999《计算机信息系统安全保护等级划分准则》、中国信息安全产品测评认证中心《信息系统安全保障等级评估准则》、公安部《信息系统安全等级保护评估指南》、GB9361-88《计算机场地安全要求》,以及CAV公共漏洞和暴露标准、CRAMM/OCTAVE/ …等标准和法规。
  信息安全管理标准BS 7799(ISO/IEC 17799)
  BS 7799是国内外现在比较流行的信息安全管理标准,其安全模型主要是建立在风险管理的基础上,通过风险分析的方法,使信息风险的发生概率和后果降低到可接受水平,并采取相应措施保证业务不会因安全事件的发生而中断。BS 7799给出了10类需要进行控制的部分:安全策略、安全组织、资产分类与控制、个人信息安全、物理和环境安全、通信和操作安全、访问控制、系统的开发和维护、商业持续规划、合法性要求等方面的安全风险评估和控制,以及127项控制细则。
  BS 7799中关于风险管理框架的构建过程对我们进行安全风险评估给予了宏观上的指导。
  信息安全通用准则ISO/IEC 15408-1999
  信息技术安全性评估通用准则ISO/IEC 15408-1999(等同GB/T 18336-2001),即通用准则CC,是评估信息技术产品和系统安全性的基础准则。该标准针对在安全性评估过程中信息技术产品和系统的安全功能及相应的保证措施提出一组通用要求,使各种相对独立的安全性评估结果具有可比性。
  ISO/IEC 15408对确定安全风险评估模型及关键风险因素具有指导意义,但更重要的是它能比较好的指导我们对系统安全功能的各方面进行安全检查和分析,保证了安全风险评估的全面性和完整性,也使得信息系统在技术上能够符合国家安全测评认证的要求。最后,我们可以根据这个标准生成针对信息系统安全的规范化的安全评估方案,或者更确切叫信息系统安全规范。
  系统安全工程能力成熟模型SSE-CMM
  SSE-CMM是“系统安全工程能力成熟模型”的缩写。系统安全工程旨在了解用户单位存在的安全风险,建立符合实际的安全需求,将安全需求转换为贯穿安全系统工程的实施指南。系统安全工程需要对安全机制的正确性和有效性做出验证,证明系统安全的信任度能够达到用户要求,以及未在安全基线内仍存在的安全问题连带的风险在用户可容许、或可控范围内。
  SSE-CMM针对风险评估过程提供了影响、风险、威胁和脆弱性的具体评估方法和过程,进一步为安全风险评估的实施提供了指导。
  应用SSE-CMM模型,我们在实践中,将整个安全风险评估工程划分为以下几个阶段:安全需求分析阶段、安全系统规划阶段、安全系统实施阶段、安全系统确认阶段和安全需求验证阶段,并在安全工程的整个生命周期过程中,严格按照SSE-CMM的要求进行实施,以保证整个项目工程的质量。
  信息安全管理指南ISO/IEC 13335
  ISO/IEC 13335是信息安全管理方面的规范,给出了如何有效地实施IT安全管理的建议和指南。
  ISO/IEC 13335为风险评估提供了方法上的支持,它所定义的安全概念全面覆盖了安全风险评估需要考虑的问题,使得最终生成的安全评估方案不但能够保证技术方面的完整,而且能够满足安全管理的要求。
  三、 风险评估模型
  资产由于自身的脆弱性,使得威胁的发生成为可能,从而造成了不同的影响,形成了风险。换句话说,风险分析的过程实际上就是对影响、威胁和脆弱性进行分析的过程,而且都紧紧围绕着资产。在风险评估中,资产的价值、资产被破坏后造成的影响、威胁的严重程度、威胁发生的可能性、资产的脆弱程度都是风险评估的关键因素。
  四、 风险评估的过程
  安全风险评估过程方案是安全风险模型的体现,传统的风险评估过程可以分为以下几个阶段:
  第一阶段:确定评估范围和资产识别阶段:调查并了解用户网络系统业务的流程和运行环境,确定评估范围的边界以及范围内的所有网络系统;识别和估价是对评估范围内的所有资产进行识别,并调查资产破坏后可能造成的影响大小,根据影响的大小对资产进行相对赋值;
  第二阶段:安全威胁/脆弱性评估阶段:评估资产所面临的每种威胁发生的可能性;脆弱性评估则从技术、管理、策略方面进行的脆弱程度检查,特别是技术方面,以远程和本地两种方式进行系统扫描和手动抽查的评估;
  第三阶段:风险的分析阶段:过分析上面所评估的数据,进行风险值计算、区分和确认高风险因素;
  第四阶段:分险的管理阶段:这一阶段主要是总结整个风险评估过程,制定相关风险控制策略,建立风险评估报告,实施某些紧急风险控制措施。

此内容由惯性聚合(RSS阅读器)自动聚合整理,仅供阅读参考。 原文来自 — 版权归原作者所有。