- 发布
- 多面魔方(北京)技术服务有限公司
- 电话
- 010-62962822
- 手机
- 18511298320
- 发布时间
- 2023-04-02 13:48:52
风险评估中脆弱性有哪些分类
一、技术脆弱性
1、物理环境
从机房场地、机房防火、机房供配电、机房房防静电、机房接地与防雷、电磁防、通信线路的保护、机房区域防护、机房设备管理等方面进行识别。
2、网络结构
从网络结构设计、边界保护、外部访问控制策略、内部访问控制策略、网络设备安全配置等方面进行识别。
3、系统软件
从补丁安装、物理保护、用户账号、口令策略、资源共享、事件审计、访问控制、新系统配置、注册表加固、网络安全、系统管理等方面进行识别。
4、应用中间件
从协议安全、交易完整性、数据完整性等方面进行识别。
5、应用系统
从审计机制、审计存储、访问控制策略、数据完整性、通信、鉴别机制、密保保护等方面进行识别。
二、管理脆弱性
1、技术管理
从物理和环境安全、通信与操作管理、访问控制、系统开发与维护、业务连续性等方面进行识别。
2、组织管理
从安全策略、组织安全、资产分类与控制、人员安全、符合性等方面进行识别。
什么是风险分析
风险是指特定的威胁利用资产的一种或一组脆弱性,系统风险评估,导致资产的丢失或损害的潜在可能性,系统风险评估公司,即特定威胁事件发生的可能性与后果的结合。风险只能预防、避免、降低、转移和接受,但不可能完全被消灭。
风险分析中要涉及资产、威胁、脆弱性三个基本要素。每个要素有各自的属性,资产的属性是资产价值;威胁的属性可以是威胁主体、影响对象、出现频率、动机等;脆弱性的属性是资产弱点的严重程度。
网络安全风险评估
网络安全所面临的问题?
1、对现阶段安全建设效果不明确;
2、对现阶段的安全缺陷及隐患不明确;
3、对后期安全建设没有方向。
1、已有控制措施识别及效力测试;
2、资产、威胁、脆弱性关联分析;
3、根据评估结果设计建设方案。
1、安全防护能力评估结果;
2、风险评估报告;
3、安全建设方案。