網(wǎng)絡(luò)安全評估

1、網(wǎng) 絡(luò) 安 全 評 估（Network Security Assessment）,信息安全新技術(shù)專題之六,主要內(nèi)容,網(wǎng)絡(luò)安全評估概念信息安全生命周期網(wǎng)絡(luò)安全評估的意義和特點(diǎn)網(wǎng)絡(luò)安全脆弱性網(wǎng)絡(luò)安全評估標(biāo)準(zhǔn)網(wǎng)絡(luò)安全評估過程項(xiàng)目范圍文檔考慮的問題網(wǎng)絡(luò)安全評估方法自頂向下的檢查自下而上的檢查網(wǎng)絡(luò)安全評估舉例XXXX大學(xué)校園網(wǎng)絡(luò)安全評估,要求,掌握網(wǎng)絡(luò)安全評估概念了解網(wǎng)絡(luò)安全評估的過程了解網(wǎng)絡(luò)安全評估的方法認(rèn)識信息

2、安全專業(yè)的就業(yè)方向,概念,CONCEPT,信息安全的生命周期,風(fēng)險分析（Risk Analysis）,實(shí)現(xiàn)（Implementation）,脆弱性評估（Vulnerability Assessment）,,,,網(wǎng)絡(luò)安全評估(Network Security Assessment),定義,風(fēng)險分析網(wǎng)絡(luò)安全評估,目標(biāo),測試所有可能的項(xiàng)目產(chǎn)生評估報告,特點(diǎn),全面性評估效果與評估者的經(jīng)驗(yàn)相關(guān)評估結(jié)果可再現(xiàn)性評估對象的多樣性,網(wǎng)絡(luò)脆弱

3、性（Network Vulnerability）,脆弱性也叫漏洞，是網(wǎng)絡(luò)安全評估的對象分類：軟漏洞（Soft）是由于配置錯誤而引起的硬漏洞（Hard）是由于軟件編程人員的編程錯誤引起的,網(wǎng)絡(luò)脆弱性的生命周期,,,受 攻 擊 頻 率,時間,,,,,,軟件廠商發(fā)布補(bǔ)丁,漏洞公開,漏洞發(fā)布,發(fā)現(xiàn)漏洞,網(wǎng)絡(luò)安全評估標(biāo)準(zhǔn),ISO17799,網(wǎng)絡(luò)安全評估過程,PROCESS,明確評估項(xiàng)目的范圍,目的：明確評估對象，生成“項(xiàng)目范圍文檔”（Pr

4、oject Scope Document）組成項(xiàng)目概要（Project Overview Statement）任務(wù)列表（Task List）根據(jù)任務(wù)列表制訂的詳細(xì)評估任務(wù)范圍文檔,內(nèi)容,決定被評估信息和資源的價值時間安排確定評估團(tuán)隊(duì)確定計算機(jī)系統(tǒng)的安全威脅將安全威脅和風(fēng)險評級制訂檢查項(xiàng)目列表,確定計算機(jī)系統(tǒng)的安全威脅,可以參考“計算機(jī)犯罪和安全調(diào)查”（Computer Crime and Security Survey

5、: www.gocsi.com）,將安全威脅和風(fēng)險評級,將安全威脅按照“產(chǎn)生的影響”和“產(chǎn)生的可能性”進(jìn)行評級,制訂檢查項(xiàng)目列表,根據(jù)信息安全的四個關(guān)鍵問題來制訂完整性保密性抗否認(rèn)性可用性可以根據(jù)ISO17799的“自評估調(diào)查表”,評估方法,METHODOLODY,概念,審查安全策略用戶面談企業(yè)文化,ISO17799, HIPAA, GLBA, GASSP, CERT, CIAC等定義的安全威脅,產(chǎn)生,測試網(wǎng)絡(luò)運(yùn)行工具

6、生成報告,,自頂向下的檢查(Top-Down Examination)策略檢查,自下而上的檢查(Bottom-Up Examination)技術(shù)性檢查,自頂向下的檢查(Top-Down Examination),依據(jù)ISO17799的網(wǎng)絡(luò)安全評價范圍審查網(wǎng)絡(luò)安全策略網(wǎng)絡(luò)安全存在與否？如果存在，內(nèi)容合適否？網(wǎng)絡(luò)安全策略分類一般策略特定的策略特定系統(tǒng)和軟件的策略網(wǎng)絡(luò)安全策略組成標(biāo)題范圍責(zé)任人適應(yīng)性審查內(nèi)

7、容What? Who? Where? How? When? Why?,自下而上的檢查(Bottom-Up Examination),技術(shù)性檢查步驟網(wǎng)絡(luò)調(diào)查網(wǎng)絡(luò)類型、拓?fù)浣Y(jié)構(gòu)、設(shè)備、操作系統(tǒng)類型、網(wǎng)絡(luò)協(xié)議類型、服務(wù)器類型、物理安全制訂測試計劃整理測試工具測試測試結(jié)果分析生成文檔需要測試者掌握網(wǎng)絡(luò)攻擊的方法,安全評估過程,導(dǎo)航測試和穿透測試 安全要素評估構(gòu)件組裝安全性評估 安全保證評估 形成原始評估證據(jù),安全策

8、略是否能夠滿足其安全需求，是否適應(yīng)評估對象的威脅環(huán)境 技術(shù)安全措施是否符合有關(guān)標(biāo)準(zhǔn)的要求 安全保證是否符合有關(guān)標(biāo)準(zhǔn)的要求 物理安全環(huán)境是否符合有關(guān)的物理安全標(biāo)準(zhǔn) 組織管理是否符合有關(guān)的安全管理要求 安全建議 確定評估對象能夠到達(dá)的安全保護(hù)等級,評估資料收集通過問卷調(diào)查獲取評估所需的基本信息評估對象預(yù)分析審查評估資料的有效性、完備性；根據(jù)對評估對象安全環(huán)境、安全需求及安全策略的分析，確定評估環(huán)境與假設(shè)；確定系統(tǒng)拓?fù)洌?/p>

9、標(biāo)識系統(tǒng)中包含的構(gòu)件，標(biāo)識系統(tǒng)中存在的訪問路徑 區(qū)域劃分,,舉例,CASE STUDY,介紹,時間：2015年10月21日～10月28日評估者：SNERT（XXX大學(xué)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組）20人評估對象：XXXX大學(xué)校園網(wǎng)上提供對外服務(wù)的Web服務(wù)器（38個網(wǎng)站）評估地點(diǎn)：信息安全實(shí)驗(yàn)室評估目的：發(fā)現(xiàn)評估對象明顯的安全威脅，提供加固建議，為“迎評創(chuàng)優(yōu)”做貢獻(xiàn)評估結(jié)果：《XXXX大學(xué)校園網(wǎng)安全評估申請》、《XXXX大學(xué)校園網(wǎng)安全評