文档介绍:: .
哪些网络
安全技术措施?哪些措施不能满足网络安全的需求?哪些安全措施没有充
分发挥作用?网络防病毒体系的完整性和有效性如何?
5)防火墙布控及外联业务安全状况分析。目前防火墙的布控方式是否
合理,发挥的作用如何?信息系统对外提供的服务有哪些?以何种形式对
外连接,是否采取了安全防护措施及采取了什么样的安全措施?
6)动态安全管理状况分析。是否使用过网络扫描软件对网络主机和关
键设备进行安全性分析和风险评估?操作系统和关键网络设备的软件补丁
是否及时安装?目前是否使用入侵检测系统对网络系统进行数据流监控和
行为分析,是否对系统日志进行周期性的审计和分析?
信息安全工程的设计步骤
安全风险分析与评估(续)
2.风险分析的内容(续)
7)链路、数据及应用加密情况分析。系统中关键的应用是否采取了应
用加密措施?网络综合布线是否符合安全标准?对关键线路是否有备份,
启用频度如何?在广域网线路方面是否采取了链路层或网络层加密措施,
应用系统对其有没有加密需求?
8)网络系统访问控制状况分析。系统用户是通过什么样的方法手段进
行控制的?关键服务器和设备的用户是否得到严格的控制和管理?在访问
控制方面除了简单的user & password认证外,还有没有采取其他的访问控
制措施?主要服务器和关键设备的管理员的权限是否得到了分离?是否有
内部拨号服务?访问控制措施是否得当?对网络资源的访问,是否有完整
的日志和审计功能?
9)模拟攻击测试。分析系统的抗攻击能力,测试系统能否经得住常见
的拒绝服务攻击、渗透入侵攻击?是否有缓冲区漏洞缺陷?对各种攻击的
反应如何?
信息安全工程的设计步骤
安全风险分析与评估(续)
3.风险分析的步骤
1)确定要保护的资产及价值。如果不知道要保护什么内容,或者不知
道要保护内容的情况,那就谈不上安全了。明确要保护的资产、资产的位
置以及资产的重要性是安全风险分析的关键。
2)分析信息资产之间的相互依赖性。由于某项资产的损失可能会导致
其他资产的失效,因此,在确定资产的时候还要考虑资产之间的关联性。
3)确定存在的风险和威胁。确定了要保护的资产后,就应该分析对资
产的潜在威胁以及受此威胁的可能性。威胁可以是任何可能对资产造成损
失的个人、对象或事件,威胁也可能是故意的或偶然的。明确存在哪些弱
点漏洞及这些弱点漏洞的风险级别,分析资产所面临的威胁、发生的可能
性以及一旦出现安全问题,可能造成什么样的影响等。
4)分析可能的入侵者。要分析他们存在的数量,进行攻击的可能性,
进行攻击威胁时有多大等。
信息安全工程的设计步骤
安全策略和需求分析
1.制定安全策略
安全策略是为发布、管理和保护敏感的信息资源而制定的一组法律、
法规和措施的总合,是对信息资源使用、管理规则的正式描述,是企业内
所有成员都必须遵守的规则。安全策略应该是一个详细的完备的指导方
针,包含的内容有:
1)保护的内容和目标
2)实施保护的方法
3)明确的责任
4)事故的处理
2.进行需求分析
要考虑五个层次的安全需求:1)管理层;2)物理层;3)系统层;
4)网络层;5)应用层。
10 : .
第15章信息安全工程
本章学****目标:
了解信息安全工程的概念