網(wǎng)絡(luò)安全評(píng)估

1、網(wǎng) 絡(luò) 安 全 評(píng) 估（Network Security Assessment）,信息安全新技術(shù)專題之六,主要內(nèi)容,網(wǎng)絡(luò)安全評(píng)估概念信息安全生命周期網(wǎng)絡(luò)安全評(píng)估的意義和特點(diǎn)網(wǎng)絡(luò)安全脆弱性網(wǎng)絡(luò)安全評(píng)估標(biāo)準(zhǔn)網(wǎng)絡(luò)安全評(píng)估過(guò)程項(xiàng)目范圍文檔考慮的問(wèn)題網(wǎng)絡(luò)安全評(píng)估方法自頂向下的檢查自下而上的檢查網(wǎng)絡(luò)安全評(píng)估舉例XXXX大學(xué)校園網(wǎng)絡(luò)安全評(píng)估,要求,掌握網(wǎng)絡(luò)安全評(píng)估概念了解網(wǎng)絡(luò)安全評(píng)估的過(guò)程了解網(wǎng)絡(luò)安全評(píng)估的方法認(rèn)識(shí)信息

2、安全專業(yè)的就業(yè)方向,概念,CONCEPT,信息安全的生命周期,風(fēng)險(xiǎn)分析（Risk Analysis）,實(shí)現(xiàn)（Implementation）,脆弱性評(píng)估（Vulnerability Assessment）,,,,網(wǎng)絡(luò)安全評(píng)估(Network Security Assessment),定義,風(fēng)險(xiǎn)分析網(wǎng)絡(luò)安全評(píng)估,目標(biāo),測(cè)試所有可能的項(xiàng)目產(chǎn)生評(píng)估報(bào)告,特點(diǎn),全面性評(píng)估效果與評(píng)估者的經(jīng)驗(yàn)相關(guān)評(píng)估結(jié)果可再現(xiàn)性評(píng)估對(duì)象的多樣性,網(wǎng)絡(luò)脆弱

3、性（Network Vulnerability）,脆弱性也叫漏洞，是網(wǎng)絡(luò)安全評(píng)估的對(duì)象分類：軟漏洞（Soft）是由于配置錯(cuò)誤而引起的硬漏洞（Hard）是由于軟件編程人員的編程錯(cuò)誤引起的,網(wǎng)絡(luò)脆弱性的生命周期,,,受 攻 擊 頻 率,時(shí)間,,,,,,軟件廠商發(fā)布補(bǔ)丁,漏洞公開(kāi),漏洞發(fā)布,發(fā)現(xiàn)漏洞,網(wǎng)絡(luò)安全評(píng)估標(biāo)準(zhǔn),ISO17799,網(wǎng)絡(luò)安全評(píng)估過(guò)程,PROCESS,明確評(píng)估項(xiàng)目的范圍,目的：明確評(píng)估對(duì)象，生成“項(xiàng)目范圍文檔”（Pr

4、oject Scope Document）組成項(xiàng)目概要（Project Overview Statement）任務(wù)列表（Task List）根據(jù)任務(wù)列表制訂的詳細(xì)評(píng)估任務(wù)范圍文檔,內(nèi)容,決定被評(píng)估信息和資源的價(jià)值時(shí)間安排確定評(píng)估團(tuán)隊(duì)確定計(jì)算機(jī)系統(tǒng)的安全威脅將安全威脅和風(fēng)險(xiǎn)評(píng)級(jí)制訂檢查項(xiàng)目列表,確定計(jì)算機(jī)系統(tǒng)的安全威脅,可以參考“計(jì)算機(jī)犯罪和安全調(diào)查”（Computer Crime and Security Survey

5、: www.gocsi.com）,將安全威脅和風(fēng)險(xiǎn)評(píng)級(jí),將安全威脅按照“產(chǎn)生的影響”和“產(chǎn)生的可能性”進(jìn)行評(píng)級(jí),制訂檢查項(xiàng)目列表,根據(jù)信息安全的四個(gè)關(guān)鍵問(wèn)題來(lái)制訂完整性保密性抗否認(rèn)性可用性可以根據(jù)ISO17799的“自評(píng)估調(diào)查表”,評(píng)估方法,METHODOLODY,概念,審查安全策略用戶面談企業(yè)文化,ISO17799, HIPAA, GLBA, GASSP, CERT, CIAC等定義的安全威脅,產(chǎn)生,測(cè)試網(wǎng)絡(luò)運(yùn)行工具

6、生成報(bào)告,,自頂向下的檢查(Top-Down Examination)策略檢查,自下而上的檢查(Bottom-Up Examination)技術(shù)性檢查,自頂向下的檢查(Top-Down Examination),依據(jù)ISO17799的網(wǎng)絡(luò)安全評(píng)價(jià)范圍審查網(wǎng)絡(luò)安全策略網(wǎng)絡(luò)安全存在與否？如果存在，內(nèi)容合適否？網(wǎng)絡(luò)安全策略分類一般策略特定的策略特定系統(tǒng)和軟件的策略網(wǎng)絡(luò)安全策略組成標(biāo)題范圍責(zé)任人適應(yīng)性審查內(nèi)

7、容What? Who? Where? How? When? Why?,自下而上的檢查(Bottom-Up Examination),技術(shù)性檢查步驟網(wǎng)絡(luò)調(diào)查網(wǎng)絡(luò)類型、拓?fù)浣Y(jié)構(gòu)、設(shè)備、操作系統(tǒng)類型、網(wǎng)絡(luò)協(xié)議類型、服務(wù)器類型、物理安全制訂測(cè)試計(jì)劃整理測(cè)試工具測(cè)試測(cè)試結(jié)果分析生成文檔需要測(cè)試者掌握網(wǎng)絡(luò)攻擊的方法,安全評(píng)估過(guò)程,導(dǎo)航測(cè)試和穿透測(cè)試 安全要素評(píng)估構(gòu)件組裝安全性評(píng)估 安全保證評(píng)估 形成原始評(píng)估證據(jù),安全策

8、略是否能夠滿足其安全需求，是否適應(yīng)評(píng)估對(duì)象的威脅環(huán)境 技術(shù)安全措施是否符合有關(guān)標(biāo)準(zhǔn)的要求 安全保證是否符合有關(guān)標(biāo)準(zhǔn)的要求 物理安全環(huán)境是否符合有關(guān)的物理安全標(biāo)準(zhǔn) 組織管理是否符合有關(guān)的安全管理要求 安全建議 確定評(píng)估對(duì)象能夠到達(dá)的安全保護(hù)等級(jí),評(píng)估資料收集通過(guò)問(wèn)卷調(diào)查獲取評(píng)估所需的基本信息評(píng)估對(duì)象預(yù)分析審查評(píng)估資料的有效性、完備性；根據(jù)對(duì)評(píng)估對(duì)象安全環(huán)境、安全需求及安全策略的分析，確定評(píng)估環(huán)境與假設(shè)；確定系統(tǒng)拓?fù)洌?/p>

9、標(biāo)識(shí)系統(tǒng)中包含的構(gòu)件，標(biāo)識(shí)系統(tǒng)中存在的訪問(wèn)路徑 區(qū)域劃分,,舉例,CASE STUDY,介紹,時(shí)間：2015年10月21日～10月28日評(píng)估者：SNERT（XXX大學(xué)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組）20人評(píng)估對(duì)象：XXXX大學(xué)校園網(wǎng)上提供對(duì)外服務(wù)的Web服務(wù)器（38個(gè)網(wǎng)站）評(píng)估地點(diǎn)：信息安全實(shí)驗(yàn)室評(píng)估目的：發(fā)現(xiàn)評(píng)估對(duì)象明顯的安全威脅，提供加固建議，為“迎評(píng)創(chuàng)優(yōu)”做貢獻(xiàn)評(píng)估結(jié)果：《XXXX大學(xué)校園網(wǎng)安全評(píng)估申請(qǐng)》、《XXXX大學(xué)校園網(wǎng)安全評(píng)