信息安全是一個動態的復雜過程,它貫穿于信息資產和信息系統的整個生命周期。信息安全的威脅來自于內部破壞、外部攻擊、內外勾結進行的破壞以及自然危害。
必須按照風險管理的思想,對可能的威脅、脆弱性和需要保護的信息資源進行分析,依據風險評估的結果為信息系統選擇適當的安全措施,妥善應對可能發生的風險。
安全掃描工具
在網絡安全體系的建設中,安全掃描工具花費低、效果好、見效快。它與網絡的運行相對獨立且安裝運行簡單,可以大規模減少安全管理員的手工勞動,有利于保持全網安全政策的統一和穩定,是進行風險分析的有力工具。
安全掃描技術基本上也可分為基于主機和基于網絡兩種,前者主要關注軟件所在主機上的風險與漏洞,而后者則是通過網絡遠程探測其他主機的安全風險與漏洞。
人工安全檢查
系統掃描是利用安全評估工具,對絕大多數評估范圍內的主機、網絡設備等方面進行漏洞掃描。但是評估范圍內的網絡設備安全策略弱點、部分主機的安全配置錯誤等并不能被掃描器全面發現,因此有必要對評估工具掃描范圍之外的系統和設備進行手工檢查。
主要考慮以下幾個方面:
1. 是否最優地劃分了VLAN和不同的網段,保證了每個用戶的最小權限原則;
2. 內外網之間、重要的網段之間是否進行了必要的隔離措施;
3. 路由器、交換機、主機等設備的配置是否最優,是否配置了必需的安全參數;
4. 安全設備的接入方式是否正確,是否最大化地利用了其安全功能而且又所占系統資源最小,是否影響了業務和系統的正常運行。
滲透測試
滲透測試是指在獲取用戶授權后,通過真實模擬黑客使用的工具、分析方法來進行實際的漏洞發現和利用的安全測試方法。這種測試方法可以非常有效地發現最嚴重的安全漏洞,尤其是與全面的代碼審計相比,其使用的時間更短,也更有效率。
在測試過程中,用戶可以選擇滲透測試的強度。例如,不允許測試人員對某些服務器或者應用進行測試或影響其正常運行。通過對某些重點服務器進行準確、全面的測試,可以發現系統最脆弱的環節,以便對危害性嚴重的漏洞及時修補,以免出現后患。
安全審計
安全管理機制,定義了如何管理和維護網絡的安全保護機制,確保這些安全保護機制正常,而且正確地發揮其應有的作用。
安全服務提供方的安全評估和審計,不僅要完全遵循ISO17799信息安全管理標準的要求,而且需要通過問卷調查和顧問訪談等方式對信息系統的安全管理狀況進行調查,并進一步與國際信息安全管理標準進行差距分析,以尋求最佳解決方案。
安全策略評估
安全策略是對整個網絡在安全控制、管理、使用等最全面和最詳細的策略性描述,它是整個網絡安全的依據。不同的網絡需要不同的策略,它必須能回答整個網絡中與安全相關的所有問題。
例如:如何在網絡層實現安全性?如何控制遠程用戶訪問的安全性?如何在廣域網上的數據傳輸實現安全加密傳輸和用戶認證等等。
對這些問題做出詳細回答,并確定相應的防護手段和實施辦法,就是針對整個網絡的一份完整的安全策略。這一步工作,就是從整體網絡安全的角度對現有的網絡安全策略進行全局性的評估,它也包含了技術和管理方面的內容,具體包括:
1. 安全策略是否全面覆蓋了整體網絡在各方面的安全性描述;
2. 在安全策略中描述的所有安全控制、管理和使用措施是否正確和有效;
3. 安全策略中的每一項內容是否都得到確認和具體落實。
核心關注:拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業務管理理念,功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理,全面涵蓋了企業關注ERP管理系統的核心領域,是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。
轉載請注明出處:拓步ERP資訊網http://www.lukmueng.com/
本文標題:企業信息安全風險評估要講方法
本文網址:http://www.lukmueng.com/html/consultation/10820221574.html
相關文章
