風險評估流程

2022-11-17 23:39:02 字數 2288 閱讀 8679

1.確定評估範圍

正式進行具體安全評估首先進行的工作就是業務調查,通過調查客戶資訊系統上執行的所有業務和應用,了解主要業務的流程,清楚的掌握支援業務執行的網路系統基本結構和安全現狀,收集評估所需的裝置ip資訊。結合業務調查的同時,還要對安全評估的評估範圍進行分析界定。在這個階段,乙個明確定義了邊界的系統對於防止不必要的工作及改進評估的質量都是很重要的。

2.資產識別與估價

安全風險評估的物件是乙個機構、組織或部門中風險評估範圍內的所有資產。這些資產容易受到安全威脅的侵害,給機構、組織或部門造成不同程度的損害。因此正確地管理這些資產對於乙個機構或組織部門來說是非常重要的,它也是所有級別安全管理的責任之所在。

由此可見,為了進行風險評估,就必須對評估範圍內的相關資產進行識別鑑定,根據資產在業務和應用流程中的作用進行估價。

3.威脅評估

威脅是指可能對資產或組織造成損害事故的潛在原因。作為風險評估的重要因素,威脅是乙個客觀存在的事物,無論對於多麼安全的資訊系統,它都存在。

在這一過程中,首先要對組織需要保護的每一項關鍵資產進行威脅識別。在威脅識別過程中,應根據資產所處的環境條件和資產以前遭受威脅損害的情況來判斷,一項資產可能面臨著多個威脅,同樣乙個威脅可能對不同的資產造成影響。識別出威脅由誰或什麼事物引發以及威脅影響的資產是什麼,即確認威脅的主體和客體。

威脅可能源於意外的,或有預謀的事件。用於威脅評估的資訊能夠從資訊保安管理的有關人員,以及相關的商業過程中獲得,這些人可能是人事部的職員、裝置策劃和it專家,也包括組織內部負責安全的人員。

4.脆弱性評估

脆弱性是指資產或資產組中能被威脅所利用的弱點,它包括物理環境、組織機構、業務流程、人員、管理、硬體、軟體及通訊設施等各個方面,這些都可能被各種安全威脅利用來侵害乙個組織機構內的有關資產及這些資產所支援的業務系統。這些表現出來的各種安全薄弱環節自身並不會造成什麼危害,它們只有在被各種安全威脅利用後才可能造成相應的危害。那些沒有安全威脅的弱點可以不需要實施安全保護措施,但它們必須記錄下來以確保當環境、條件有所變化時能隨之加以改變。

需要注意的是不正確的、起不到應有作用的或沒有正確實施的安全保護措施本身就可能是乙個安全薄弱環節。

4.1 安全掃瞄

在網路安全體系的建設中, 安全掃瞄工具花費低、效果好、見效快、與網路的執行相對獨立、安裝執行簡單,可以大規模減少安全管理員的手工勞動,有利於保持全網安全政策的統一和穩定,是進行風險分析的有力工具。安全掃瞄技術基本上也可分為基於主機的和基於網路的兩種,前者主要關注軟體所在主機上的風險與漏洞,而後者則是通過網路遠端探測其他主機的安全風險與漏洞。

4.2 滲透測試

滲透測試是指在獲取使用者授權後,通過真實模擬黑客使用的工具、分析方法來進行實際的漏洞發現和利用的安全測試方法。這種測試方法可以非常有效的發現最嚴重的安全漏洞,尤其是與全面的**審計相比,其使用的時間更短,也更有效率。在測試過程中,使用者可以選擇滲透測試的強度,例如不允許測試人員對某些伺服器或者應用進行測試或影響其正常執行。

通過對某些重點伺服器進行準確、全面的測試,可以發現系統最脆弱的環節,以便對危害性嚴重的漏洞及時修補,以免後患。

4.3 人工檢查

系統掃瞄是利用安全評估工具對絕大多數評估範圍內的主機、網路裝置等方面進行漏洞的掃瞄。但是,評估範圍內的網路裝置安全策略的弱點和部分主機的安全配置錯誤等並不能被掃瞄器全面發現,因此有必要對評估工具掃瞄範圍之外的系統和裝置進行手工檢查。

4.4 安全審計

安全管理機制定義了如何管理和維護網路的安全保護機制,確保這些安全保護機制正常且正確地發揮其應有的作用。本次評估遵循bs 7799資訊保安管理標準的要求,通過人工檢查的方式對安全管理方面的脆弱性進行評估。

4.5 安全策略評估

安全策略是對整個網路在安全控制、安全管理、安全使用等最全面、最詳細的策略性描述,它是整個網路安全的依據。不同的網路需要不同的策略,它必須能回答整個網路中與安全相關的所有問題,例如,如何在網路層實現安全性?如何控制遠端使用者訪問的安全性、在廣域網上的資料傳輸實現安全加密傳輸和使用者的認證,等等。

對這些問題做出詳細回答,並確定相應的防護手段和實施辦法,就是針對整個網路的乙份完整的安全策略。策略一旦制訂,應當作為整個網路安全行為的準則。

5 風險的分析

風險是指特定的威脅利用資產的一種或一組脆弱性,導致資產的丟失或損害的潛在可能性,即特定威脅事件發生的可能性與後果的結合。風險只能降低、轉移、拒絕、接受,但不可能完全被消滅。在完成資產、威脅和脆弱性的評估後,才會進入安全風險的評估階段。

在這個過程中,綠盟科技將根據上面評估的結果,選擇適當的風險測量方法或工具確定風險的大小與風險等級,即對資訊系統安全管理範圍內的每一資訊資產因遭受洩露、修改、不可用和破壞所帶來的任何影響做出乙個風險測量的列表,以便識別與選擇適當和正確的安全控制方式,這也將是客戶網路系統策劃資訊保安管理體系的重要步驟。

企業風險評估流程

企業風險評估管理 企業內部控制的風險評估,進行風險評估體系的搭建,確定全面風險管理的目標,具體步驟1 收集風險管理資訊,廣泛 持續不斷的收集與企業風險管理相關的內外部資訊,包括歷史資料 和未來 把初始資訊的職責分工落實到各職能和業務部門。環境的風險 1.在財務風險方面,收集如 負債率 償債能力 現金...

資訊保安風險評估流程

1 概述 風險管理是辨別出本公司潛在的風險,對其進行評估,並採取措施將其降低到可以接受的水平的過程,而風險評估是其中最重要的環節。2 目的 本規定旨在為本公司資訊保安人員執行週期性的資訊保安風險評估提供標準,幫助其正確判斷出漏洞區域,並採取適當的補救措施。3 範圍 本規定適用於本公司資訊保安人員對本...

手術風險評估制度及流程

為了保證醫療質量,保障患者生命安全,使患者手術效果得到科學客觀的評估,使患者得到及時 科學有效的 我院特制定患者手術風險評估制度。一 手術患者都應進行手術風險評估。二 醫生 麻醉師對病人進行手術風險評估時要嚴格根據病史 體格檢查 影像與實驗室資料 臨床診斷 擬施手術風險與利弊進行綜合評估。三 術前主...