(5)、无线安全风险评估的主要评估项目
①、电磁辐射测试
②、802.11a/b/g无线网络安全风险评估
③、蓝牙安全性评估
④、无线输入输出设备安全性测试
⑤、无线手持设备安全性测试
⑥、无线设备接入或退出安全性测试
⑦、无线传输设备安全性测试
⑧、无线通信保密性测试
⑨、其它无线通信方式检测(如RFID及红外线连接等)
(6)、物理安全风险评估的主要评估项目
①、物理安全现状评估
②、物理安全访问控制的安全性测试
③、物理监控设备运行审查
④、警报响应审查
⑤、物理安全防范位置审查
⑥、计算机系统所处位置周边物理安全审查
⑦、计算机系统所处位置当地自然条件、环境因素调查
评估任务
评估任务就是指要达到某个风险评估项目的评估目标时,要具体进行的所有评估操作任务。评估任务与每个评估项目相对应,具体的评估任务可以由你和你的团队根据实际需求来决定。评估任务制定得全不全面,切不切合实际,会直接影响到信息系统安全风险评估的最终结果是否与风险评估的目标相一致。因此,当决定这些评估任务时,参与决定的人员不仅要有丰富的经验,而且手里要有充足的与评估对象相关的各种有效的资料;同时,要对目前的安全威胁,各种系统或设备的弱点和漏洞,各种攻击手段有充分的了解;而且,还要能仔细识别评估对象的资产类型及其重要性等。
由于评估任务是与具体的评估对象和评估项目来决定的,还与当前的安全威胁状况及发展趋势有关,同时由于文章篇幅的限制。因此,在本文中只能分别对这六个评估对象中的一到二个评估项目给出一些通用的评估任务。至于其它评估项目的评估任务,你和你的评估团队可以参考本文中给出的评估任务内容实例,使用头脑风暴的方法,通过分析收集到的各种有效资料来自行决定。
(1)、信息安全风险评估中隐私信息机密性审查的评估任务
隐私信息的机密性审查,主要是为了检测机构中员工及客户的隐私信息在使用、传输和存储过程中的完全性。由于这些隐私可能涉及到机构所在位置的某些法律条规,因此,在决定这个项目的评估任务时,要充分考虑机构所在区域的国家及地区法规。
通常,要进行一次全面的隐私机密性审查,应当完成下列所示的评估任务:
①、比对实际的隐私信息访问方式与隐私访问策略中规定的方式之间的差异;
②、检查隐私信息的监控保护方式符合当地的法律法规;
③、标识出存储的隐私信息的数据库类型和大小;
④、标识由机构收集到的各种隐私信息;
⑤、确定隐私信息存储的位置;
⑥、了解当前网络浏览时COOKIE保存类型和保留的时间;
⑦、识别保存在COOKIE中的各种隐私信息;
⑧、验证COOKIE使用的加密方法;
⑨、识别机构的WEB服务器可能产生错误的位置,了解错误发生时返回给浏览用户的信息类型。
(2)、信息安全风险评估中网络操作痕迹信息检查的评估任务
网络操作痕迹信息的检查,主要是为了调查机构内部某些员工在网络操作后留下的操作痕迹,用审查是否有一些与组织相关的机密信息遗留在互联网当中。这个评估项目是信息安全风险评估中非常重要的一个部分,要完成一次全面的互联网操作行为信息检查,下面这些评估任务是不能少的:
①、检查机构内部员工WEB数据库和缓存中的内容;
②、检查机构内部员工是否通过个人主页、博客、论坛,以及发布网络求职简历的方式,透露了机构的组织结构,或其它机构内部机密信息;
③、调查机构内部员工是否在使用私人电子邮箱,并且在法律允许的条件下,检查员工是否通过机构分配的电子邮件发送机构内部机密信息;
④、了解机构内部员工的计算机技术水平,以及了解计算机技术水平较高的员工所处的部门及其操作权限;
⑤、调查机构内部员工是否在工作时间使用即时通信工具,并在法律条件允许的条件下监控即时通信的内容;
⑥、使用互联网搜索引擎查找网络中是否存在与机构相关的机密信息,或者可以在各种特定的新闻组、论坛及博客中搜索;
⑦、检查机构内部员工是否在使用P2P软件,在法律条件允许下审查P2P通信内容。
(3)、网络安全风险评估中网络弱点及漏洞检测与验证的评估任务
网络弱点及漏洞检测与验证是为了找出网络中存的安全弱点和漏洞,并且验证这些弱点和漏洞是否可以真的被利用。在评估过程中使用一些基于网络的弱点扫描及渗透测试工具,能大大提高评估工作的效率。
但是,在使用弱点扫描工具时不能对它检测后的结果全盘接受,这是由于现在大部分的弱点扫描工具都是通过与自己的弱点和漏洞数据进行比对,来决定检测对象是否存某弱点或漏洞的。一旦工具的漏洞数据库不能及时更新,或不能包括所有目前已经发现的漏洞,那么,其检测结果就不一定完全可靠。并且,由于这些工具本身设计缺陷和能力限制,在使用过程中会出现误报和漏报的问题,误报会让我们白担心一场,而漏报却会让我们处于重大安全事故发生的边缘。因此,在弱点扫描后进行人工核查和渗透测试能减少漏报和误报的发生。
责任编辑:小草
您现在的位置: 