信息安全是一个动态的复杂过程,它贯穿于信息资产和信息系统的整个生命周期。信息安全的威胁来自于内部破坏、外部攻击、内外勾结进行的破坏以及自然危害。
必须按照风险管理的思想,对可能的威胁、脆弱性和需要保护的信息资源进行分析,依据风险评估的结果为信息系统选择适当的安全措施,妥善应对可能发生的风险。
安全扫描工具
在网络安全体系的建设中,安全扫描工具花费低、效果好、见效快。它与网络的运行相对独立且安装运行简单,可以大规模减少安全管理员的手工劳动,有利于保持全网安全政策的统一和稳定,是进行风险分析的有力工具。
安全扫描技术基本上也可分为基于主机和基于网络两种,前者主要关注软件所在主机上的风险与漏洞,而后者则是通过网络远程探测其他主机的安全风险与漏洞。
人工安全检查
系统扫描是利用安全评估工具,对绝大多数评估范围内的主机、网络设备等方面进行漏洞扫描。但是评估范围内的网络设备安全策略弱点、部分主机的安全配置错误等并不能被扫描器全面发现,因此有必要对评估工具扫描范围之外的系统和设备进行手工检查。
主要考虑以下几个方面:
1. 是否最优地划分了VLAN和不同的网段,保证了每个用户的最小权限原则;
2. 内外网之间、重要的网段之间是否进行了必要的隔离措施;
3. 路由器、交换机、主机等设备的配置是否最优,是否配置了必需的安全参数;
4. 安全设备的接入方式是否正确,是否最大化地利用了其安全功能而且又所占系统资源最小,是否影响了业务和系统的正常运行。
渗透测试
渗透测试是指在获取用户授权后,通过真实模拟黑客使用的工具、分析方法来进行实际的漏洞发现和利用的安全测试方法。这种测试方法可以非常有效地发现最严重的安全漏洞,尤其是与全面的代码审计相比,其使用的时间更短,也更有效率。
在测试过程中,用户可以选择渗透测试的强度。例如,不允许测试人员对某些服务器或者应用进行测试或影响其正常运行。通过对某些重点服务器进行准确、全面的测试,可以发现系统最脆弱的环节,以便对危害性严重的漏洞及时修补,以免出现后患。
安全审计
安全管理机制,定义了如何管理和维护网络的安全保护机制,确保这些安全保护机制正常,而且正确地发挥其应有的作用。
安全服务提供方的安全评估和审计,不仅要完全遵循ISO17799信息安全管理标准的要求,而且需要通过问卷调查和顾问访谈等方式对信息系统的安全管理状况进行调查,并进一步与国际信息安全管理标准进行差距分析,以寻求最佳解决方案。
安全策略评估
安全策略是对整个网络在安全控制、管理、使用等最全面和最详细的策略性描述,它是整个网络安全的依据。不同的网络需要不同的策略,它必须能回答整个网络中与安全相关的所有问题。
例如:如何在网络层实现安全性?如何控制远程用户访问的安全性?如何在广域网上的数据传输实现安全加密传输和用户认证等等。
对这些问题做出详细回答,并确定相应的防护手段和实施办法,就是针对整个网络的一份完整的安全策略。这一步工作,就是从整体网络安全的角度对现有的网络安全策略进行全局性的评估,它也包含了技术和管理方面的内容,具体包括:
1. 安全策略是否全面覆盖了整体网络在各方面的安全性描述;
2. 在安全策略中描述的所有安全控制、管理和使用措施是否正确和有效;
3. 安全策略中的每一项内容是否都得到确认和具体落实。(T228)
