论坛公告:应用容器安全指南(SP800-190)中文版   美国政府宣布禁用卡巴斯基软件   《中华人民共和国网络安全法》讨论帖   新手报到专用帖   【论坛公告】关于本站广告贴泛滥问题的整理通知   

当前时区为 UTC + 8 小时


发表新帖 回复这个主题  [ 26 篇帖子 ]  前往页数 1, 2  下一页
作者 内容
 文章标题 : 关于风险评估前期威胁如何分析?
帖子发表于 : 2006-11-08 14:18 
离线
中级用户

注册: 2006-07-18 16:26
最近: 2013-11-02 09:03
拥有: 205.10 安全币

奖励: 367 安全币
在线: 1421 点
帖子: 104
地址: 广州
我想大概可以分为2类:技术和管理的角度。
虽然我自己也想了一些。但是总感觉不够全面。
大家发表下意见!


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2006-11-16 10:29 
离线
新手

注册: 2006-05-10 21:35
最近: 2012-02-04 11:17
拥有: 143.50 安全币

奖励: 0 安全币
在线: 691 点
帖子: 13
也就这2大方面了,不过你也说得也太简单了点。
技术方面:主要是通过安全扫描和人工评估加上对运维管理人员的访谈和调查,综合自己的经验对技术上存在的威胁进行分析。
管理方面:主要是通过对领导和员工的访谈,以及进行资产的调查,这需要甲方的人员积极配合,然后结合自己的经验对管理上存在的风险进行分析。
其实通常模板可以起到提高工作效率的作用,不过要想做的好还是需要自己认真的进行归纳、总结分析才行。


--------本帖迄今已累计获得25安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2006-11-17 12:22 
离线
中级用户

注册: 2006-07-18 16:26
最近: 2013-11-02 09:03
拥有: 205.10 安全币

奖励: 367 安全币
在线: 1421 点
帖子: 104
地址: 广州
通过和几个网上的朋友的沟通,我自己也慢慢清晰,但是总归感觉不够全面,现在我把我自己的想法和大家沟通一下。
技术角度:入侵渗透,网络架构,扫描,网络层面的权限分配(信息数据浏览修改权限以及人员帐号等),安全域划分,人员安全意识测试。主要手段人工访谈和安全扫描,以及察看随机PC,人员,服务器测试和调查
管理角度:管理制度(可以察看现有的规章制度和ISMS体系规定),责任分配,物理环境,有无专门机构来应急可持续性。主要手段人工现场察看,以及可以采用环境模拟。
法律角度:是否适合现在的国际标准,以及国内的标准。如SOX法案,国内的一些GB/T的一些规定,以及27号规定。
思想还不够成熟,不敢高谈阔论,所以一直潜水。。


--------本帖迄今已累计获得28安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2006-11-17 15:18 
离线
初级用户

注册: 2005-06-09 11:14
最近: 2014-08-04 17:18
拥有: 303.70 安全币

奖励: 0 安全币
在线: 1771 点
帖子: 47
地址: 深圳
我觉得楼主所说的应该已经属于脆弱性分析的阶段了。威胁分析的话,我觉得应该从被评估单位的业务流程入手,在信息系统中根据业务流程的数据流向,结合当前流行的攻击威胁的趋势和在现实环境中安全设备日志的取样分析,做威胁评估分析。


--------本帖迄今已累计获得16安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2006-11-21 14:29 
离线
高级用户

注册: 2003-11-14 13:53
最近: 2014-09-15 09:52
拥有: 5,142.40 安全币

奖励: 649 安全币
在线: 6241 点
帖子: 224
如果LZ问的是威胁分析的话,按我的看法来说,主要做的是:
1.业务调查:各主要业务中存在哪些威胁源
2.环境调查:内部、外部环境中存在哪些威胁源
3.系统调查:应用和系统中存在哪些威胁源

主要的手段是访谈、问卷、头脑风暴,目的是找到所有的威胁源(人为威胁、自然威胁),分析其影响方式、可能性,评估其危害。

要注意与脆弱性分析的区别。脆弱性倒是可从技术和管理两方面分析的。


--------本帖迄今已累计获得18安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2006-11-21 16:14 
离线
初级用户

注册: 2005-06-09 11:14
最近: 2014-08-04 17:18
拥有: 303.70 安全币

奖励: 0 安全币
在线: 1771 点
帖子: 47
地址: 深圳
风险评估项目中,比较难以下手的就是威胁分析这块。
现在类似的项目中,很多都是依靠评估人员的经验,根据当前流行一些攻击趋势结合被评估单位以前曾经发生过的一些安全事件,再分析一些安全设备的日志,以此来分析可能存在的威胁源及威胁的可能性。而且如果发生过一些安全事件,可以根据这些事件来做一些分析威胁。但是有些系统是新上的项目,运行时间不久,还没出现过安全事件,安全设备上的日志也很干净,没什么可疑的流量。这个时候威胁分析就有难度了。
现阶段的风险评估结果很大程度上与评估人员个人的经验有关。换一个评估人员,可能评估出来的结果完全不一样。这就存在评估结果的可信度问题。
现在缺乏一个比较全的基础性数据库,来支撑风险评估实施的科学性。


--------本帖迄今已累计获得18安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2006-11-23 16:00 
离线
高级用户

注册: 2003-11-14 13:53
最近: 2014-09-15 09:52
拥有: 5,142.40 安全币

奖励: 649 安全币
在线: 6241 点
帖子: 224
learn_abc 写道:
风险评估项目中,比较难以下手的就是威胁分析这块。


业内有一种观点,用事件来近似地代表威胁。而事件分析较之威胁分析就更有可操作性了。

事件之所以可以代替威胁,我的粗浅地理解是,安全事件实际是威胁的表现、后果,威胁的各种属性等虽然不能难以测量评估,但当其变成事件后就可以测量评估了。

我认为这种近似的等价转换方法在实际应用中还是很有意义的,有兴趣的朋友可以发表下自己对事件代替威胁的看法,一起探讨一下。


--------本帖迄今已累计获得18安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2006-11-24 01:38 
离线
中级用户

注册: 2006-01-25 00:34
最近: 2014-05-06 12:10
拥有: 708.50 安全币

奖励: 0 安全币
在线: 1349 点
帖子: 82
分析这个问题首先你得明确你风险评估的模型,到底是采用AVT,还是AST。不同的模型,威胁的含义和范围是大不相同的。其次,你得明晰威胁的本质是什么,如果威胁就是安全事件发生的可能性,那么什么可能发生,即威胁的类别,发生的机率有多大,即威胁的程度,都是必要的东西。当然分析威胁是还是必须结合系统的现状和流程进行分析,前面的兄弟都已经讲述我就不再多说了。最后威胁评估的手段主要包括顾问访谈、问卷调查、事故分析以及安全经验等等。


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2006-11-24 09:02 
离线
初级用户

注册: 2005-08-24 14:13
最近: 2013-02-18 17:15
拥有: 263.70 安全币

奖励: 0 安全币
在线: 2062 点
帖子: 48
在风险分析的前期是对企业成熟度进行考虑。若对企业的业务流程,实施IT战略的目标,都不熟悉的情况下,风险分析的结果往往无法到达企业需要的目标
在进行风险分析的过程中需要考虑
国家的政策,法律法规
企业的战略目标
IT技术
即从政策层、管理层、执行层进行考虑
若是为中小型企业考虑的信息系统进行风险分析
首要考虑的成本与效益分析

风险分析的目的是发现风险、进行成本效益计算从而得到最佳的结果


--------本帖迄今已累计获得13安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2006-11-24 09:51 
离线
中级用户

注册: 2006-01-25 00:34
最近: 2014-05-06 12:10
拥有: 708.50 安全币

奖励: 0 安全币
在线: 1349 点
帖子: 82
风险不能脱离业务,从企业业务流程出发的风险评估个人而言是非常认同的,但毕竟最熟悉业务的是客户本身,评估时间又有限。我能做的只能是在有限的时间找出最大的问题,你可以用ISO,国标、行业规范或者经验进行评估,但我承认评估出的问题不会企业全部的风险,但一定是部分最严重的问题。至于客户对结果接受与否,这个真的是不能一概而论了,或者真的应了那句“好的客户决定了好的项目。”一度对这句话不太认同,认为其实我们可以在主观上做得更好,弥补客户方面的问题,但最近的服务项目,让我对这句话有了更深的感悟。


--------本帖迄今已累计获得16安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2006-11-24 10:00 
离线
新手

注册: 2006-11-22 16:19
最近: 2008-07-02 19:48
拥有: 18.50 安全币

奖励: 0 安全币
在线: 678 点
帖子: 9
学习


回到顶部
 奖励本帖 用户资料  
 
 文章标题 : 个人观点
帖子发表于 : 2006-11-27 22:02 
离线
中级用户

注册: 2006-04-21 20:17
最近: 2011-02-14 10:44
拥有: 705.80 安全币

奖励: 0 安全币
在线: 1499 点
帖子: 88
地址: 北京
下面是个人观点拿出来献丑
前期对威胁的分析 前面兄弟说得对 主要针对业务来分析
大致注意的重点是 自然威胁源 和 人为威胁源
例如:许多企业是不允许出现断电现象的,一断电就可能产生巨大的损失,而供电方无法保证这个事情,特别是现在能源紧张的情况下,在这里我们排除人为破坏的可能,这就是 自然威胁,对业务产生巨大影响。
人为威胁源 是个最麻烦的事情,人是最复杂的,所以对于安全来说人是最难处理的,太谨慎的管理是对员工的不信任,太松散的管理是对企业的不负责,找到一个合适的度来满足不同企业的需要。再通俗的点说,等级化保护吧。 所以分析人为的时候一定要考虑 度的把握。

不管怎么分析这还只是一个定性的分析,怎么去定量?怎么用科学理论支撑你的定性分析?这个其实有很多经验科学蕴涵其中,论坛的牛人多,我就不献丑了。 希望我的话能给楼主帮助。
为了中国的信息安全建设而奋斗!


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-08-03 18:18 
离线
新手

注册: 2008-08-03 17:48
最近: 2012-07-26 11:28
拥有: 79.10 安全币

奖励: 0 安全币
在线: 236 点
帖子: 18
最近公司要申请计算机信息系统安全服务资质认证,来到这里可以好好学习一下


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2008-10-30 12:12 
离线
高级用户

注册: 2008-05-20 15:26
最近: 2015-12-30 23:24
拥有: 606.00 安全币

奖励: 48 安全币
在线: 1760 点
帖子: 182
学习中!


回到顶部
 奖励本帖 用户资料  
 
 文章标题 :
帖子发表于 : 2009-04-14 13:59 
离线
新手

注册: 2007-08-24 11:03
最近: 2016-01-11 16:43
拥有: 240.80 安全币

奖励: 79 安全币
在线: 403 点
帖子: 16
terry_yu 写道:
learn_abc 写道:
风险评估项目中,比较难以下手的就是威胁分析这块。


业内有一种观点,用事件来近似地代表威胁。而事件分析较之威胁分析就更有可操作性了。

事件之所以可以代替威胁,我的粗浅地理解是,安全事件实际是威胁的表现、后果,威胁的各种属性等虽然不能难以测量评估,但当其变成事件后就可以测量评估了。

我认为这种近似的等价转换方法在实际应用中还是很有意义的,有兴趣的朋友可以发表下自己对事件代替威胁的看法,一起探讨一下。

从安全事件和安全事件产生的影响来反推其中涉及的威胁,并由此对威胁的频率做定量分析是我认为在刚开始尝试做风险评估工作的同志的比较切实可行的选择;
首先可以从一些标准的威胁表中穷举与自已单位相关的威胁类别(虽然包含标准中所有类别也不见得就符合实际情况),然后通过对安全事件(这里以已发生或同类行业或同规模、同地域或IT建设规模相近的单位发生的安全事件为主)中所涉及的威胁分别进行头脑风暴等方式的识别,识别隐藏在安全事件背后的威胁因素出现的次数,这便是频率值。
(下面这段与学习、实践标准无关,纯属个人经验,因为标准中描述威胁的主要指标是频率)再次是通过从影响范围、影响程度、影响时长等方面来评估威胁的严重程度;影响范围有物理范围(实际空间范围)和逻辑范围(权限领域,组织机构范围等);影响程度主要是看对单位核心业务的影响程度,具体判别标准的划分要视公司对业务连续性的要求程度而定了;影响时长主要分突发事件涉及的威胁影响时长和长期威胁影响周期。


--------本帖迄今已累计获得27安全币用户奖励--------


回到顶部
 奖励本帖 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 26 篇帖子 ]  前往页数 1, 2  下一页

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 1 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
华安信达(CISPS.org) ©2003 - 2012