资源描述:
《信息系统脆弱性评估.doc》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、信息系统脆弱性评估信息系统:计算机硬件网络通讯设备软件信息资源用户和规章条例脆弱性评估标准:(1)物理环境脆弱性识别:GB/T9361-2000标准(2)操作系统与数据库:GB17895-1999(3)网络/主机/应用:GB/T18336-2008信息系统脆弱性评估(1)脆弱性识别方法:问卷调查,工具检测,人工核查,文档查阅(2)技术脆弱性:物理安全,网络结构,系统软件,应用系统类型识别识别内容技物理环境从机房场地,机房防火,机房内部装修,计算机机房组专用设备,火灾报警及消防设施,其他防护和安全管理方面进行识别术脆弱性网络脆弱性从身份鉴别,使用限制,邮件服务脆弱
2、性,FTP服务脆弱性,Web服务脆弱性,DNS服务脆弱性,其他已知TCP/IP服务脆弱性,PRC服务的脆弱性,NIS服务的脆弱性,SNMP服务的脆弱性,NT服务,木马检测,路由和交换机及防火墙的配置,目标端口和服务识别,攻击脆弱性,漏洞描述和修补系统脆弱性从审核策略脆弱性,共享脆弱性,口令策略脆弱性,注册表脆弱性,安全性,用户管理,安全审计,目标信息获取,产品补丁安装,升级方面进行识别数据库脆弱性从自主访问控制,身份鉴别,客体重用,审计,数据完整性,网络数据库用户密码,网络数据库服务器的版本号进行识别应用系统从通信管理,用户数据保密性,用户数据完整性,强制访问控
3、制策略,评估参数配置,鉴别机制方面进行识别脆弱性评估模型第一步:系统脆弱性识别内容第二步:是否需要进行工具检测第三步:a)漏洞检测(Y)脆弱性赋值b)标准检测(N)专家评分第四步:AHP评估第五步:脆弱性评估结果和安全建议信息系统脆弱性评估使用工具X-SCAN:Nmap:
