定性信息安全风险评估方法常用于专业安全评估团队对特定系统或平台的安全评估中,本文就以安全评估项目过程为主线,从评估准备、现状调研、现状分析、检查与测试、分析评价、评估报告六个阶段步骤,来介绍定性信息安全风险评估方法。 一、评估准备 评估准备阶段需要确定评估目标和范围、成立评估组、制定评估实施计划、收集整理开发各种评估工具。 评估准备阶段的输出包括《安全评估计划》、《安全评估调查表》、《安全评估checklist》和《安全评价表》。 二、现状调研 现状调研的目的在于全面掌握评估对象的现状信息。现状调研的主要任务是收集评估对象相关信息资料,包括:信息平台中各个系统使命、网络及系统管理流程/文档、网络架构及部署、系统组成(产品)、信息平台应用业务流程及开发文档、应用业务系统和数据关键性等。
现状调研的输出包括网络、设备、系统、应用的描述信息以及《调查结果表》。 三、现状分析 现状分析阶段是通过对收集的资料进行整理,形成评估对象安全现状描述表。包括:安全管理描述表、网络现状描述表、设备信息描述表(包括各种设备,如:交换机、路由器、服务器、防火墙等)、应用描述表、应用业务路径描述表等。 依据整理出的安全现状描述表,结合评估对象网络架构及业务功能,总结评估对象安全目标与需求,从物理、网络、系统、应用、管理多个层面分析评估对象现有安全机制,形成现状报告。 四、检查与测试 检查与测试是通过现场及远程方式,手工或自动工具测试评估对象的安全功能,安全配置。包括:网络/系统安全扫描、网络/系统/应用现场安全检测、信息平台远程渗透测试等,并形成各种检查与测试报告。 检查与测试主要活动包括网络配置检查与扫描、系统配置检查与扫描、应用配置检查与扫描、数据库配置检查与扫描以及管理记录检查。检查与测试阶段输出包括各种扫描报告、安全配置检查报告和渗透测试报告。 五、分析评价 1、可能性确定
2、影响分析
3、风险确定
分析评价阶段输出《安全评价结果表》。 六、评估报告 评估报告是综合现状报告、各种测试报告、安全评价结果表来编制安全评估报告,对方法、过程以及评估结果进行汇总与描述,并针对评估发现的安全风险给出合理的整改建议。 文末福利:在公众号后台输入“评估报告”,可获得一份安全评估报告。 |
|