网络风险评估报告范文.pdf

.,〇〇六年二月声明:本文档是深圳市大成天下信息技术有限公司(简称大成科技)解决方案的一部分,版权归大成科技所有,任何对文档的修改、发布、传播等行为都需获得大成科技书面授权,大成科技保留对违反以上声明的组织或个人追究责任,直至诉诸法律的权力。未知驱动探索专注成就专业版权说明©版权所有2004-2006,深圳市大成天下信息技术有限公司本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属深圳市大成天下信息技术有限公司所有,受到有关产权及版权法保护。任何个人、机构未经深圳市大成天下信息技术有限公司的书面授权许可,不得以任何方式复制或引用本文件的任何片断。商标信息大成天下、大成科技、游刃、铁卷等是深圳市大成天下信息技术有限公司注册商标,受商标法保护。-02-03复审人黄鑫复审日期2006-02-04适用范围本文件是深圳市大成天下信息技术有限公司(简称大成科技)系列白皮书的一部份,供需要风险评估服务的客户、合作伙伴决策参考。分发控制编号读者文档权限与文档的主要关系1大成科技项目组创建、修改、读取项目组成员,负责编制、修改、审核本文件2王娟批准项目的负责人,负责本文档的批准程序3吴鲁加标准化审核项目标准化负责人,-02-。凭借多年的从业经验,大成科技聚集了一批优秀的专业人才,在华南信息安全领域中具有独到的地位。目前,大成科技的研究人员通过多年的专业安全服务经验,开发出包括游刃基线安全(***)系统、铁卷电子文档保护系统等多款产品,涉及的研究领域涵盖安全评估、内容安全、接入安全等多方面,并取得多项科研技术成果。作为专业信息安全技术与产品提供商,大成天下致力于利用自身的信息安全专业知识和经验,以帮助客户成功保障他们的资产安全。本白皮书描述了大成天下安全服务体系中的一个重要部分——风险评估服务。本文主要面向企业的技术决策者、安全维护人员和基础结构工程人员。,要想更好地理解风险评估,首先要了解风险管理。风险管理以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。是一个识别、控制、降低或消除安全风险的活动,通过风险评估来识别风险大小,通过制定信息安全方针,采取适当的控制目标与控制方式对风险进行控制,使风险被避免、转移或降至一个可被接受的水平。:z了解组织的管理、网络和系统安全现状;z确定可能对资产造成危害的威胁,包括入侵者、罪犯、不满员工、恐怖分子和自然灾害;z通过对历史资料和专家的经验确定威胁实施的可能性;深圳市大成天下信息技术有限公司未知驱动探索专注成就专业z对可能受到威胁影响的资产确定其价值、敏感性和严重性,以及相应的级别,确定哪些资产是最重要的;z对最重要的、最敏感的资产,确定一旦威胁发生其潜在的损失或破坏;z明晰组织的安全需求,指导组织建立安全管理框架,提出安全建议,合理规划未来的安全建设和投入。:z通过网络弱点检测,识别信息系统在技术层面存在的安全弱点。z通过采集本地安全信息,获得目前操作系统安全、网络设备、各种安全管理、安全控制、人员、安全策略、应用系统、业务系统等方面的信息,并进行相应的分析。z通过对组织的人员、制度等相关安全管理措施的分析,了解组织现有的信息安全管理状况。z通过对以上各种安全风险的分析和汇总,形成组织安全风险评估报告。z根据组织安全风险评估报告和安全现状,提出相应的安全建议,指导下一步的信息安全建设。,准确把握网络拓扑上的安全隐患,重点是网络边界面临的安全隐患。z***使用***工具从局域网内部进行远程漏洞检查,使用最性的漏洞检测库,发现最新的安全隐患。z人工审计通过现场分析,发现远程自动扫描工具无法发现的安全隐患。通过现场调查分析的方法进行。z渗透测试深圳市大成天下信息技术有限公司未知驱动探索专注成就专业由安全工程师模拟黑客的行为模式,采用黑客最可能采用的漏洞发现技术和尽可