要收集相关信息,风险评估人员可以设计一套关于IT系统中计划的或正在使用的管理或 *** 作控制的调查问卷。可将这套调查问卷发给那些设计或支持IT系统的技术或非技术管理人员。调查问卷也可以在现场或面谈时使用。
(2)现场面谈:
和IT系统的支持或管理人员面谈有助于风险评估人员收集IT系统有用的信息(如系统是如何 *** 作和管理的)。现场参观也能让风险评估人员观察并收集到IT系统在物理、环境、和 *** 作方面的信息。对于那些仍然在设计阶段的系统,现场参观将是面对面的数据收集过程并可提供机会来评价IT系统将运行的物理环境。
(3)文档检查:
策略文档(如法律文档、方针等)、系统文档(如系统用户指南、管理员手册、系统设计和需求文档等),安全相关的文档(如以前的审计报告、风险评估报告、系统测试结果、系统安全计划、安全策略等)可以提供关于IT系统已经使用或计划使用的安全控制方面的有用信息。机构使命影响分析或资产关键性评估提供了关于系统和数据关键性和敏感性方面的信息。
(4)使用自动扫描工具(采用漏洞检查工具):
一些主动的技术方法可以被用来有效的收集系统信息。比如,一个网络映射工具可以识别出运行在一大群主机上的服务,并提供一个快捷的方法来为目标IT系统建立个体轮廓。比较优秀的扫描工具有:
a)SAFESuite套件
SAFESuite套件是Internet Security System(简称ISS)公司开发的网络脆弱点检测软件,它由Internet扫描器、系统扫描器、数据库扫描器、实时监控和SAFESuite套件决策软件所构成,是一个完整的信息系统评估系统。
b)Kane Security Analyst
Kane Security Analyst系统安全分析软件是Intrusion公司的产品,它能够从六个关键的安全领域对系统进行检查,分别是:口令字强度、访问权限控制、用户帐号限制、系统监控、数据完整性和数据保密强度。此软件不仅针对特定的脆弱点进行检查,而且针对系统的必要安全防御措施进行检查。
c)WebTrends Security Analyzer
WebTrends Security Analyzer主要针对Web站点安全的检测和分析软件,它是NetIQ-WebTrends公司的系列产品。其系列产品为企业提供一套完整的、可升级的、模块式的、易于使用的解决方案。产品系列包括:WebTrends Reporting Center、Analysis Suite、WebTrends Log Analyzer、Security Analyzer、WebTrends Firewall Suite、and WebTrends Live等,它可以找出大量隐藏在Linux和Windows服务器、防火墙、路由器等软件中的威胁和脆弱点,并可针对Web和防火墙日志进行分析,由它生成的HTML格式的报告被认为是目前市场上做得最好的。报告里对找到的每个脆弱点进行了说明,并根据脆弱点的优先级进行了分类,除此以外,报告还包括一些消除风险、保护系统的建议。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)