信息安全是一個動態(tài)的復(fù)雜過程，它貫穿于信息資產(chǎn)和信息系統(tǒng)的整個生命周期。信息安全的威脅來自于內(nèi)部破壞、外部攻擊、內(nèi)外勾結(jié)進行的破壞以及自然危害。
   
    必須按照風(fēng)險管理的思想，對可能的威脅、脆弱性和需要保護的信息資源進行分析，依據(jù)風(fēng)險評估的結(jié)果為信息系統(tǒng)選擇適當(dāng)?shù)陌踩�措施，妥善�?yīng)對可能發(fā)生的風(fēng)險。
   
    安全掃描工具
   
    在網(wǎng)絡(luò)安全體系的建設(shè)中，安全掃描工具花費低、效果好、見效快。它與網(wǎng)絡(luò)的運行相對獨立且安裝運行簡單，可以大規(guī)模減少安全管理員的手工勞動，有利于保持全網(wǎng)安全政策的統(tǒng)一和穩(wěn)定，是進行風(fēng)險分析的有力工具。
   
    安全掃描技術(shù)基本上也可分為基于主機和基于網(wǎng)絡(luò)兩種，前者主要關(guān)注軟件所在主機上的風(fēng)險與漏洞，而后者則是通過網(wǎng)絡(luò)遠程探測其他主機的安全風(fēng)險與漏洞。
   
    人工安全檢查
   
    系統(tǒng)掃描是利用安全評估工具，對絕大多數(shù)評估范圍內(nèi)的主機、網(wǎng)絡(luò)設(shè)備等方面進行漏洞掃描。但是評估范圍內(nèi)的網(wǎng)絡(luò)設(shè)備安全策略弱點、部分主機的安全配置錯誤等并不能被掃描器全面發(fā)現(xiàn)，因此有必要對評估工具掃描范圍之外的系統(tǒng)和設(shè)備進行手工檢查。
   
    主要考慮以下幾個方面：
   
    1. 是否最優(yōu)地劃分了VLAN和不同的網(wǎng)段，保證了每個用戶的最小權(quán)限原則；
   
    2. 內(nèi)外網(wǎng)之間、重要的網(wǎng)段之間是否進行了必要的隔離措施；
   
    3. 路由器、交換機、主機等設(shè)備的配置是否最優(yōu)，是否配置了必需的安全參數(shù)；
   
    4. 安全設(shè)備的接入方式是否正確，是否最大化地利用了其安全功能而且又所占系統(tǒng)資源最小，是否影響了業(yè)務(wù)和系統(tǒng)的正常運行。
   
    滲透測試
   
    滲透測試是指在獲取用戶授權(quán)后，通過真實模擬黑客使用的工具、分析方法來進行實際的漏洞發(fā)現(xiàn)和利用的安全測試方法。這種測試方法可以非常有效地發(fā)現(xiàn)最嚴重的安全漏洞，尤其是與全面的代碼審計相比，其使用的時間更短，也更有效率。
   
    在測試過程中，用戶可以選擇滲透測試的強度。例如，不允許測試人員對某些服務(wù)器或者應(yīng)用進行測試或影響其正常運行。通過對某些重點服務(wù)器進行準確、全面的測試，可以發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)，以便對危害性嚴重的漏洞及時修補，以免出現(xiàn)后患。
   
    安全審計
   
    安全管理機制，定義了如何管理和維護網(wǎng)絡(luò)的安全保護機制，確保這些安全保護機制正常，而且正確地發(fā)揮其應(yīng)有的作用。
   
    安全服務(wù)提供方的安全評估和審計，不僅要完全遵循ISO17799信息安全管理標準的要求，而且需要通過問卷調(diào)查和顧問訪談等方式對信息系統(tǒng)的安全管理狀況進行調(diào)查，并進一步與國際信息安全管理標準進行差距分析，以尋求最佳解決方案。
   
    安全策略評估
   
    安全策略是對整個網(wǎng)絡(luò)在安全控制、管理、使用等最全面和最詳細的策略性描述，它是整個網(wǎng)絡(luò)安全的依據(jù)。不同的網(wǎng)絡(luò)需要不同的策略，它必須能回答整個網(wǎng)絡(luò)中與安全相關(guān)的所有問題。
   
    例如：如何在網(wǎng)絡(luò)層實現(xiàn)安全性？如何控制遠程用戶訪問的安全性？如何在廣域網(wǎng)上的數(shù)據(jù)傳輸實現(xiàn)安全加密傳輸和用戶認證等等。
   
    對這些問題做出詳細回答，并確定相應(yīng)的防護手段和實施辦法，就是針對整個網(wǎng)絡(luò)的一份完整的安全策略。這一步工作，就是從整體網(wǎng)絡(luò)安全的角度對現(xiàn)有的網(wǎng)絡(luò)安全策略進行全局性的評估，它也包含了技術(shù)和管理方面的內(nèi)容，具體包括：
   
    1. 安全策略是否全面覆蓋了整體網(wǎng)絡(luò)在各方面的安全性描述；
   
    2. 在安全策略中描述的所有安全控制、管理和使用措施是否正確和有效；
   
    3. 安全策略中的每一項內(nèi)容是否都得到確認和具體落實。

核心關(guān)注：拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業(yè)務(wù)管理理念，功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理，全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域，是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。

轉(zhuǎn)載請注明出處：拓步ERP資訊網(wǎng)http://www.ezxoed.cn/

本文標題：企業(yè)信息安全風(fēng)險評估要講方法

本文網(wǎng)址：http://www.ezxoed.cn/html/consultation/10820221574.html