第三方访问安全控制 系统建设安全控制
脆弱性识别方法-漏洞扫描
多种扫描工具优化组合
扫描内容
u 服务与端口开放情况 u 枚举帐号/组 u 检测弱口令 u 各种系统、服务和协议漏洞 u ……
脆弱性识别方法-渗透测试
什么是渗透测试 模拟黑客对网络中的核心效劳器及重要的网络设备,包括
效劳器、网络设备、防火墙等进展非破坏性质的攻击行为, 以发现系统深层次的漏洞,并将整个过程与细节报告给用 渗户透。测试的必要性
调查问卷及其他 ?需求文档清单? ?文档交接单? ?资产调查问卷? ?资产识别清单? ?重要资产清单?
风险评估流程
风险评估准备
资产识别
威胁识别
脆弱性识别
已有安全措施的确认 风险分析
实施风险管理
资产识别
主要任务
u 资产信息搜集 u 资产分类 u 资产赋值
资产分类
资产类别
u 网络设备(包括路由器、交换机等) u 安全设备(包括防火墙、入侵检测系统、防病毒软件等) u 主机(包括服务器、PC终端等) u 机房及相关设施 (如UPS、门禁、灭火器、温湿计) u 重要数据(如计费数据、用户信息数据、用户帐单) u 管理制度及文档 u 人员
通过一套审计问题列表问答的形式对企业信息资产所有人和管理人员
进展访谈
信息安全现状总体评估
信息安全管理组织
10
桌面系统安全控制
信息安全风险管理
8
应用系统安全控制
6
信息安全管理制度
4
操作系统、数据库与
2
基础信息系统
安全控制
0
信息安全审计监督
网络安全控制
人员信息安全控制
物理和环境安全控制 系统运维安全控制