关于信息安全评估,需要get的重点

测定信息安全风险的最佳方法是什么?最佳方法是马上检测所有系统和应用程序的漏洞;这跟通过磁共振成像、血液分析等检查人体健康一样。有些人将这些工作称为IT安全审计。有些人则称为渗透测试。然而,对环境执行深度分析并不是简单地对比所制定政策与实际运行情况——IT安全审计,也不是通过攻击证明某个位置的安全——渗透测试,因此我更愿意将这些工作称为信息安全评估。它们的涵义更宽泛一些、更中肯一些,它们有助于证明安全策略和流程在哪里方面有问题。

安全测试的语义可能让人难以理解,但是最终目标是在有人遇到之前找到和修复漏洞。安全专家的职责就是保证用正确的步骤去检查所有问题,从而使发现的风险能够让人理解、解决或者作为一个问题进入信息风险管理周期。下面列举了有效信息安全评估中所包含的关键组成部分。要抛开派别和偏见,保证所有这些方面都在考虑范围之内并且得到足够的重视:

支持

如果没有管理层的支持,则不会出现一个好的信息安全评估项目,也不会实现长期的成功目标。其中的原因很简单。如果领导层不愿意投入所需要的资源实实在在地审视企业信息系统环境,那么所有其他工作都很难开展。要注重并保持任用正确的人员。工作职责不在于管理层,而在于IT和安全成员和领导人员。

范围

理论上,这是一个扎实信息安全评估的最重要阶段。我曾经看到过无数的错误例子,他们把系统、应用程序甚至整个网络环境者排队在安全测试之外。这样的原因总是一样:“没有足够的时间或金钱,”以及“我们不需要测试这些那些系统。”设定范围是正确的,但是你必须保证要覆盖所有关键系统——要尽快而不是留到以后。最后,你需要检查整个环境,因为往往就是一个看似正常的系统、网络片段或安全流程致使所有方面出现问题。一定要考虑外部系统、内部系统和在第三方云中托管的系统——包括营销网站。此外,一定要在操作系统和Web应用程序上都授权执行安全测试。保证所有方面都进行公平的测试——包括人员、流程和物理安全系统。

测试

要从漏洞扫描开始,筛选扫描结果,进行人工分析,然后在你的环境和业务中查看有哪些漏洞可能被攻击。从大的角度看,确实就是这么简单。这个阶段应该包括破解密码、无线网络分析及特别重要的网络钓鱼邮件。有很多书描述了这个安全评估阶段应该要做的全部工作,如我自己写的书《Hacking
For
Dummies》(黑客入门)。一定要以恶意用户的角度去看待整个企业环境,寻找有哪些可以攻击点,然后演示可能造成的后果,这样才能分析问题和在需要的时候解决问题。

报告

漏洞扫描程序产生的500页PDF报告并不是重点。要有一个清晰具体的安全评估报告概括描述按优化级划分、浅显易懂的结果和建议。最终报告并不一定要很长。只需要抓住重点,概括出从安全专家角度需要注意的具体漏洞——同样,要考虑系统和业务所处的环境。报告中可以加入渗透测试和IT安全审计方面的元素。我并不推崇盲目跟从供应商漏洞优先级列表的常见做法。漏洞扫描程序就是一个例子,它通常都遵从常见漏洞打分系统(Common
Vulnerability Scoring
System)或类似的排名方式,它通常将非关键网络打印机上用默认通信字符启动的简单网络管理协议标记为严重级别。如果这种结果也标记为严重,那么更严重的防火墙密码、核心Web应用程序的SQL注入或关键服务器缺少防止远程攻击的补丁又该标记为什么级别呢?关键是要根据所在的环境及常识。最糟糕的信息安全评估就是没能产生一份正式报表的评估,因为无法知道到底出现哪些问题,更不用说解决问题了。

解决问题

发现问题之后,要解决问题。我经常看到一些安全评估报告,其中所包含的具体结果一直处于未确认状态——或者至少在下一次安全评估之前仍未处理。这种问题很容易处理:将责任分配到人,保证所有人都各司其职。半年或一年后的下一次信息安全评估将确定之前的问题是否已经解决。此外,也可以考虑对严重和高优先级结果执行一次修复验证,作为安全评估的后续工作,时间可以设定为报告提交和任务分配之后30~45天左右。

疏忽

保证安全评估之间的持续安全性需要进行一些简单的工作,如调整现有系统和软件,实现一些新的技术控制,以及彻底改变一些策略和流程。不要试图实现一种完美的安全性,前进的目标应该是合理的安全性,使发现问题和解决问题的时间间隔越来越短。而且,管理层一定要保持介入。在合规性和合同义务等都需要由执行主管来决定。无论他们是否关注这个方面,都需要他们参与其中。要在安全评估周期中让必要人员准时出现。这不仅能证明他们的投资回报,也是持续参与的重要条件。否则,安全就会游离在他们的思想意识之外,不会得到应有的重视。

底线是每一个企业都有一些信息和计算资产可能受到黑客或恶意内部人员的攻击,也可能由于用户失误而遭受破坏。千万别天真地认为,自己不知道的信息风险是不会降临到自己的头上。企业不能只依靠IT安全审计或渗透测试。忽视安全评估并不是一种正确的职业方式。而且,发现信息风险但是不重视它是一种安全自杀行为——也可能导致职业生涯彻底失败。要投入足够的时间去规划信息安全评估,保证做完应该完成的工作,以及IT、开发、管理等相关人员都知道检查结果,这样问题才能得到解决。

由于有许多安全专家和供应商值得依赖,因此信息安全评估并非一种很难的工作,而且投资回报能够保证的情况下也不一定需要很大的投入。Warren

Buffett曾经说过:“只要你别做太多的错事,在你的生命中你只需要做一些为数不多的正确事情。”信息安全计划就是一种投入或不投入的体现,当然这其中也包括持续安全评估计划。要保证它处于优先执行的位置。即使周期性持续地执行,这些评估也不解决所有安全问题的完美方法。然而,可以肯定的一点是,如果选择忽视这些重要工作,历史悲剧肯定会再一次重复。

作者:Kevin Beave

来源:51CTO

时间: 2025-01-21 09:16:47

关于信息安全评估,需要get的重点的相关文章

重庆电信规范信息安全评估管理

随着"互联网+"的迅猛发展,各类新技术新业务新应用的信息安全风险不断加大.中国电信重庆公司近日按照工信部.集团公司有关规定,出台了<中国电信重庆公司新技术新业务信息安全评估管理办法(试行)>,从五个方面对新技术新业务的信息安全评估工作进行了明确和规范. 明确评估目标.信息安全评估是按照信息安全法律法规和评估规范要求,运用科学方法和手段,系统地识别和分析互联网技术.业务或应用可能引发的信息安全风险,评估信息安全事件一旦发生可能造成的危害程度,评估企业配套的信息安全保障能力是否

网络信息保护首次立法,重点保护个人电子信息

2012年12月28日,十一届http://www.aliyun.com/zixun/aggregation/25279.html">全国人大常委会第三十次会议通过了<全国人大常委会关于加强网络信息保护的决定>.专门为网络信息保护立法,这在我国尚属首次. 公民个人信息保护是重点,<决定>规定:"任何组织和个人不得窃取或者以其他非法方式获取公民个人电子信息,不得出售或者非法向他人提供公民个人电子信息."网络服务提供者和其他企业事业单位有保护个人电子

用户信息成黑客窃取重点

 本文讲的是 :  用户信息成黑客窃取重点  ,     [IT168 评论]客活动日趋频繁,网站后门.网络钓鱼.移动互联网恶意程序呈大幅增长态势--7月4日发布的<2012年中国互联网网络安全报告>显示,虽然我国互联网网络安全状况保持平稳状态,但国家.企业的网络信息系统安全仍然面临严峻挑战.其中,网络用户个人信息已经成为黑客窃取的重点. 7月4日,国家计算机网络应急技术处理协调中心发布了<2012年中国互联网网络安全报告>. 报告显示,2012年,我国未发生重大网络安全事件.然而

信息设计中的“父子关系”

交互设计工作核心在于信息架构和交互细节设计.信息架构包括信息分类以及信息展示逻辑设计;交互细节则多表现为控件的选择,交互效果的定义等.在信息设计中,遇到最棘手的问题就是信息量太多而显得设计结果不尽人意,那么在砍不掉需求的前提下(信息太多,也许是需求本身还有被精简的可能性),如何解决这类问题呢? 通常来说,信息设计的时候有很对可遵循的关系在,信息间互斥,信息间相辅相成,信息间属于包含与被包含关系等.那么今天要探讨的是"父子关系".所谓"父子关系"也就是核心信息与辅助信

国务院关于落实《政府工作报告》重点工作部门分工的意见

国务院各部委.各直属机构: 根据党中央关于2009年工作部署和十一届全国人大二次会议通过的<政府工作报告>,今年国务院工作总的要求是:高举中国特色社会主义伟大旗帜,以邓小平理论和"三个代表"重要思想为指导,深入贯彻落实科学发展观,把保持经济平稳较快发展作为经济工作的首要任务,加强和改善宏观调控,着力扩大国内需求特别是消费需求,着力转变发展方式.加快经济结构战略性调整,着力深化改革.提高对外开放水平,着力改善民生促进社会和谐,全面推进社会主义经济建设.政治建设.文化建设.社会

《不只是美:信息图表设计原理与经典案例》—— 1.1 理性乐观派观派

1.1 理性乐观派观派 不只是美:信息图表设计原理与经典案例 原本我打算在这章的开头讲述几个有关信息可视化.信息设计和信息图表的正式定义,但没有这样做,一些事情改变了我的想法.一次,我随意浏览<纽约时报>(The New York Times)网站时,一篇关于<理性乐观派:一部人类经济进步史>(The Rational Optimist: How Prospersity Evolves)(2010年)的评论引起了我的注意,该书的作者是英国科学评论家Matt Ridley. 这篇评论

IBM创新存储思维 开辟信息架构新时代

本文讲的是IBM创新存储思维 开辟信息架构新时代, [IT168 资讯]日前,IBM正式于中国发布了IBM企业信息架构策略以及30余种全新或升级的产品.技术及服务,并介绍了多项创新存储研发成果.IBM信息架构产品组合将帮助企业.政府及其他组织将存放在孤立系统中的静态数据转变为人们在云计算环境中随处皆可获取的更为动态的信息,使得其最终能够以服务的方式向顾客提供信息.通过20亿美金的投资,三年的研发成果,来自9个国家2500位存储专家的科研努力.2年间的诸多关键收购以及硬件.软件.服务及研发四大部门

量子信息跻身国家战略性项目

2月16日,科技部发布国家重点研发计划首批重点研发专项指南. 其发布的9个重点专项,包括纳米科技.量子调控与量子信息.大科学装置前沿研究等,引起广泛关注,特别是2015年起受市场热炒的"量子信息". 17日,21世纪经济报道记者采访科技部专家以及相关企业和投资人,解读该计划以及市场反应. 量子信息入列9大重点专项 作为国家重点研发计划组织实施的载体,上述项目聚焦了国家重大战略任务,是以目标为导向的项目集群,关乎一批国家重点布局产业. 科技部发布的9个重点专项,具体包括:纳米科技.量子调

广佛筹划信息同城:明年取消手机长途和漫游费

在国家区域规划的推动下,区域通信一体化不断浮出水面. 继长株潭三市电话并网升位后,广州.佛山两个毗邻城市的"信息同城化"也开始走出实质性步伐,成为珠三角通信一体化的前奏. "我们正在按照有关部门的部署,筹划广州.佛山客户资费同城化工作."8月6日,广州联通一位内部人士对记者表示. 广州.佛山客户资费同城化是"广佛信息同城化"的工作重点之一.根据广州市政府与广东联通于8月4日签署的战略合作框架协议,广州市政府将以"广佛信息同城化"