風險評估涉及到資產、威脅、脆弱性、安全措施、風險等各個要素,各要素之間相互作用,如下圖。資產因為其價值而受到威脅,威脅者利用資產的脆弱性構成威脅。安全措施則是對資產進行保護,修補資產的脆弱性,從而可降低資產的風險。
1. 資產識別。
資產識別包含“資產分類”和“資產賦值”兩個步驟。前者給出評估所考慮的具體對象,確認資產種類和清單,是整個風險評估工作的基礎。
2. 安全策略與安全機制的分析。
驗證信息系統內主體對客體的訪問是否按照安全策略進行,是否存在越權訪問以及非法訪問,驗證信息系統的身份認證等機制是否符合國家及金融行業相關標準對于認證強度的要求。
3. 安全管理規章制度及安全管理流程的檢查。
檢查唐山商行是否制定相應的信息安全管理制度,安全管理流程是否得到落實,是否能夠控制信息系統無法通過技術手段避免的風險。
4. 威脅來源識別。
從威脅來源、威脅途徑和威脅意圖等方面充分識別唐山商行信息系統的風險。
5. 核心業務系統、網上銀行系統和門戶網站安全漏洞掃描。
主要包括OWASP TOP 10中的注入、失效的身份認證和會話管理、跨站腳本、不安全的直接對象引用、安全配置錯誤和敏感信息泄露等嚴重漏洞。
6. 網絡拓撲結構分析。
分析網絡拓撲結構是否合理、是否存在單點故障等。
7. 網絡和主機系統漏洞掃描。
主要包括已公開的網絡設備操作系統、主機操作系統安全漏洞。
8. 主機、網絡和數據庫安全配置檢查。
檢查主機、網絡、安全設備以及數據庫是否達到行業最佳安全實踐的安全基準線。
9. 所采取安全防護措施調查和有效性確認。
分析驗證已經采取的管理和技術安全防護措施是否有效。
10. 從互聯網向銀行業務系統進行滲透測試。
從互聯網接入,利用已知及未知漏洞,對銀行業務系統進行滲透測試。
11. 從內網向內部主機、應用和數據庫系統進行滲透測試。
模擬黑客接入內部網絡,對內部主機、應用和數據庫系統進行滲透測試。
12. 從開發測試網絡(第三方)進行滲透測試。
開發測試網絡為非可信網絡,模擬黑客從開發測試網絡向銀行內部進行滲透測試。
13. 進行風險分析、風險計算、風險評估、提出風險控制建議、主機加固建議、網絡設備和數據庫系統加固建議。
14. 撰寫相關報告。
Copyright ?2019 ALL Rights Reserved 世紀先承 版權所有 京ICP備13022376號-1
掃一掃關注公眾號