企業視頻展播,請點擊播放視頻作者:多面魔方(北京)技術服務有限公司
安全評估服務——網絡安全評估
在信息化建設中,往往要對所采購的貨物、工程和服務等就是否滿足網絡需求進行評估。這里我們將被評估的對象分為貨物、工程和服務等,是引用《采購法》中的類別。當然,也可以采用不同的類別,不論如何分類,為了滿足網絡安全的需求,除了對它們進行常規指標(如運算速度、容量、價格……)
漏洞掃描介紹
企業視頻展播,請點擊播放
視頻作者:多面魔方(北京)技術服務有限公司
安全評估服務——網絡安全評估
在信息化建設中,往往要對所采購的貨物、工程和服務等就是否滿足網絡需求進行評估。這里我們將被評估的對象分為貨物、工程和服務等,是引用《采購法》中的類別。當然,也可以采用不同的類別,不論如何分類,為了滿足網絡安全的需求,除了對它們進行常規指標(如運算速度、容量、價格……)的評估外,還需要進行專門的評估,目前這方面通常提出的要求是“自主可控、可靠”。也有人員提出要求“自主可控、可信”,這兩種提法很接近,是否需要加以細分還有待于研究。
安全評估服務的作用
信息安全風險評估是信息安全保障的基礎性工作和重要環節,貫穿于網絡和信息系統建設運行的全過程。服務提供者通過對信息系統提供風險評估服務,系統地分析網絡與信息系統所面臨的威脅及其存在的脆弱性,評估安全事件一旦發生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和安全整改措施,防范和消除信息安全風險,或將風險控制在可接受的水平,為網絡和信息安全保障提供科學依據。
風險評估中脆弱性有哪些分類
一、技術脆弱性
1、物理環境
從機房場地、機房防火、機房供配電、機房房防靜電、機房接地與防雷、電磁防、通信線路的保護、機房區域防護、機房設備管理等方面進行識別。
2、網絡結構
從網絡結構設計、邊界保護、外部訪問控制策略、內部訪問控制策略、網絡設備安全配置等方面進行識別。
3、系統軟件
從補丁安裝、物理保護、用戶賬號、口令策略、資源共享、事件審計、訪問控制、新系統配置、注冊表加固、網絡安全、系統管理等方面進行識別。
4、應用中間件
從協議安全、交易完整性、數據完整性等方面進行識別。
5、應用系統
從審計機制、審計存儲、訪問控制策略、數據完整性、通信、鑒別機制、密保保護等方面進行識別。
二、管理脆弱性
1、技術管理
從物理和環境安全、通信與操作管理、訪問控制、系統開發與維護、業務連續性等方面進行識別。
2、組織管理
從安全策略、組織安全、資產分類與控制、人員安全、符合性等方面進行識別。
-->
