信息安全风险评估

信息安全风险评估 P2.4 组织安全 信息安全协作 信息安全的基本架构 P2.5 组织安全 信息安全责任的分配 信息安全的基本架构 P2.6 组织安全 信息处理方法的授权过程 信息安全的基本架构 P2.7 组织安全 专家信息安全建议 信息安全的基本架构 P2.8 组织安全 信息安全的独立检查 信息安全的基本架构 P2.9 组织安全 判断第三方访问的风险 第三方访问的安全 P2.10 资产分类和管理 信息标识和处理 信息分类 P2.11 人员安全 把安全包括在工作责任中 工作定义和外包的安全 P2.12 人员安全 人员筛选和策略 工作定义和外包的安全 P2.13 人员安全 保密协议 工作定义和外包的安全 P2.14 人员安全 用工条款 工作定义和外包的安全 P2.15 通信和运营管理 记录在案的操作过程 操作过程和责任 P2.16 通信和运营管理 操作员日志 内务管理 P2.17 通信和运营管理 事故记录 内务管理 P2.18 访问控制 访问控制策略 访问控制的业务需要 P2.19 访问控制 事件记录 检测系统访问和使用 P2.20 系统的开发与维护 安全性要求分析和规范 系统的安全需要 P2.21 系统的开发与维护 使用密码控制措施的策略 密码管理措施 P2.22 符合性 符合安全策略 安全策略和技术符合性检查 P2.23 符合性 技术符合性检测 安全策略和技术符合性检查 P2.24 符合性 系统审查管理程序 系统审查相关事项 P3.1 物理 门禁 防止非法闯入 P3.2 物理 视频 操作监视 P3.2 物理 空调 防温度异常 P3.4 物理 恒湿 防湿度 P3.5 物理 静电地板 防静电 P3.6 物理 防雷 防雷击 P3.7 物理 防火设施 防火 P3.8 物理 屏蔽机房 防电磁泄漏 P3.9 物理 干扰器 防电磁泄漏 P4.1 边界 防火墙 边界访问控制 P4.2 VPN 边界 边界接入控制 P4.3 边界 入侵检测 入侵检测 P4.4 边界 入侵保护 入侵保护 P4.5 边界 网关防病毒 网关病毒过滤 P4.6 边界 邮件网关 邮件病毒过滤 P5.1 网络 线路冗余 线路备份 P5.2 网络 网络审计 审计网络信息 P5.3 网络 接入控制 网络接入控制 P5.4 网络 线路干扰器 防电磁泄漏 P5.5 网络 屏蔽线 防电磁泄漏 P5.6 网络 访问控制 路由、协议、端口、流量控制 P6.1 计算环境 防病毒 防止病毒侵袭 P6.2 计算环境 审计 审计用户访问信息 P6.3 计算环境 主机入侵检测 主机入侵防护 P6.4 计算环境 主机访问控制 主机访问控制 P6.5 计算环境 补丁自动分发 补丁管理 P6.6 计算环境 终端控制 控制终端访问 P6.7 计算环境 完整性保护软件 保护软件完整性 P6.8 PKI/KMI 基础设施 数字证书技术 P6.9 基础设施 令牌 动态口令技术 C1.1 人员安全 报告安全事故 对安全事故和故障做出反应 C1.2 人员安全 报告软件故障 对安全事故和故障做出反应 C1.3 人员安全 报告安全缺陷 对安全事故和故障做出反应 C1.4 人员安全 吸取事故教训 对安全事故和故障做出反应 C1.5 人员安全 惩处程序 对安全事故和故障做出反应 C1.6 通信和运营管理 意外事故管理程序 操作过程和责任 C1.7 通信和运营管理 网络管理措施 网络管理 C1.8 通信和运营管理 信息备份 内务管理 C1.9 通信和运营管理 对可移动的计算机存储介质的备份介质处理和安全 管理 C1.10 通信和运营管理 存储介质的处置 备份介质处理和安全 C1.11 通信和运营管理 信息处理程序 备份介质处理和安全 C1.12 通信和运营管理 系统文件的安全 备份介质处理和安全 C1.13 访问控制 检测系统使用 检测系统访问和使用 C1.14 系统的开发与维护 输出数据验证 应用软件系统中的安全 C1.15 业务连续性管理 业务连续性管理程序 业务连续性管理的几个方面 C1.16 业务连续性管理 业务连续性和影响分析 业务连续性管理的几个方面 C1.17 业务连续性管理 编写和执行连续性 计划 项目进度计划表范例计划下载计划下载计划下载课程教学计划下载 业务连续性管理的几个方面 C1.18 业务连续性管理 业务连续性计划框架 业务连续性管理的几个方面 C1.19 业务连续性管理 测试、维护和重新评估业务连续业务连续性管理的几个方面 性计划 C1.20 符合性 证据的搜集 符合法律要求 C2.1 技术 网络监视 网络监视措施 C2.2 技术 网络管理 网络控制措施 C2.3 技术 系统监视 系统监视措施 C2.4 技术 系统管理 系统控制措施 C2.5 技术 备份与恢复 系统、网络备份措施 C2.6 技术 灾难备份与恢复 系统、网络备份措施 C2.7 技术 设备备件 设备措施 C2.8 技术 设备备份 设备措施 C2.9 技术 系统热备份 高可用措施 1 2 3 4 5 事件影响很小、局 事件影响不大、造 事件有一定的影事件影响很大、造 事件影响极大、造部系统受到轻微影成轻微的声誉损失、响、造成一定的声誉成声誉的很大损失、成声誉的重大损失响 造成轻微的经济损损失和一定的经济整体系统受到很大和巨大的经济损失、 失、局部系统受到一损失、整体系统受到影响 整体系统严重受到 些影响 一些影响 影响 1 2 3 4 5 技术方面存在着技术方面存在着 技术方面存在着 技术方面存在着技术方面存在着低等级缺陷、从技术低等级缺陷，从技术一般缺陷，从技术角严重的缺陷，比较容非常严重的缺陷，很角度很难被利用 角度很难被利用 度可以被利用 易被利用 容易被利用 1 2 3 4 5 组织管理中没有 组织管理中没有组织管理中没有组织管理中存在 组织管理中存在相关的薄弱环节，很相应的薄弱环节，难明显的薄弱环节，可着薄弱环节，比较容着明显的薄弱环节，难被利用 以被利用 以被利用 易被利用 并且很容易被利用 1 2 3 4 5 威胁因素存在但威胁因素存在且威胁因素存在且威胁因素存在且 威胁因素存在且发生的可能性极小，发生的可能性较小，有一定的发生可能发生的可能性较大，发生的可能性极大，1年少于1次 1年多于4次 性，1年多于12次 每周都会发生 几乎每天都会发生 1 2 3 4 5 未形成相应的风对风险事件有相 对风险事件有相对风险事件有相 对风险事件有相险控制机制 应的预防、处理措应的应对措施，有针应的应对措施，有针应的应对措施，有针 施，形成了经验 对性的监控、预防、对性的监控、预防、对性的监控、预防、 处理措施，并形成了处理措施，并形成了处理措施，形成了针 针对性的预案 针对性的量化考核对性的预案，并随变 体系 化进行优化改进 1 2 3 4 5 业务运转不依赖应用系统为系统， 业务主要依赖应 业务对应用系统 业务完全依赖应或很少依赖应用系业务主要以原有方用开展，同时保持原依赖程度很大，脱离用系统，一旦系统故统，脱离应用系统完式进行 有工作及生产模式，应用系统将导致生障就会导致生产中全可以正常组织生可以随时替代应用 产效率大幅下降，质断，工作不能进行下产 量不能得到保证 去 Unix主机安全配置检查表 调查日期 调查服务器IP 调查/记录人 调查操作人 调查 内容 财务内部控制制度的内容财务内部控制制度的内容人员招聘与配置的内容项目成本控制的内容消防安全演练内容 ：系统版本 操作步骤：执行如下指令查看系统版本信息 # uname-a 调查结果： 调查内容：系统补丁 操作步骤：执行如下指令查看系统补丁安装情况 # swlist-l product | grep PH 调查结果： 调查内容：系统运行级别 操作步骤：执行如下指令查看系统运行级别 # who-r 调查结果： 调查内容：系统启动、停止脚本 操作步骤：查看目录/sbin/rc[1-4].d下的配置文件 调查结果： 调查内容：系统运行服务 操作步骤：执行/usr/sbin/sam查看系统开启的服务 调查结果： 调查内容：系统审计 操作步骤：执行/user/sbin/sam 选择Auditing and Security->Audited Events 备 注：如果系统没有开启审计功能，可以在“Actions”下拉菜单中选择“Turn Auditing On” 启动审计功能；或执行指令“audsys”启动/停止系统审计。 调查结果： 调查内容：是否对所有账户进行审计 操作步骤：执行/usr/sbin/sam 选择Auditing and Security->Audited Users 备 注：系统应该对所有账户进行审计。 调查结果： 调查内容：系统审计文件属性 操作步骤：查看系统审计配置文件/etc/rc.config.d/auditing中审计文件的参数。 查看审计文件属性。 备 注：HP-UX系统审计日志默认存放在/.secure/etc/auditfile和/.secure/etc/auditfile2中。 只有被赋予审计权限的账户才能查看审计日志文件。 调查结果： 调查内容：root查找路径 操作步骤：以root账户执行# echo $PATH 备 注：root账户环境变量PATH中不应该包括当前路径（“.”） 调查结果： 调查内容：文件、目录缺省权限 操作步骤：执行如下指令查看系统文件和目录的缺省权限 # umask-S 备 注：在创建新文件和目录时，系统会为它们指定缺省的文件权限，umask的缺省设置 为0 （-rw-rw-rw-）。 调查结果： 调查内容： setuid文件 操作步骤：执行如下指令查看系统中的setuid文件 # find/-perm-4000 备 注：运行setuid或setgid程序会将进程的etuid或egid从与属主关联的ID更改为对 象的ID。所产生的进程从对象获得它们的属性，从而授予用户与程序属主和（或） 组相同的访问权限。 调查结果： 调查内容： setgid文件 操作步骤：执行如下指令查看系统中的setgid文件 # find/-perm-2000 调查结果： 调查内容： root账户 startup文件 操作步骤：以root账户在 root的 home目录下查看下面文件的属性 /.login、/.profile、/etc/profile、/.cshrc、/.kshrc、/.emacs、/.exrc、/.forward、/.rhosts、 /.dt-profile、/.Xdefaults 备 注：所有startup文件都应该是只有root可写（600或400）并且属于root。 调查结果： 调查内容： root可执行文件属性 操作步骤：执行如下指令查看文件、目录属性 # ls-ldb//sbin/etc/usr/bin/usr/sbin/usr/sbin/usr/lbin 备 注：上述文件、目录都应该属于root，并且对其他用户、组不可写 调查结果： 调查内容：是否存在重复GID 操作步骤：查看文件/etc/group中是否存在重复的GID 调查结果： 调查内容：是否存在重复UID 操作步骤：查看文件/etc/passwd中是否存在重复的UID 调查结果： 调查内容：是否禁止root账户远程登录 操作步骤：检查目录/etc/下是否存在文件securetty,以及文件属性和文件内容。 备 注：为了禁止root用户远程登录主机，执行如下指令 # echo“console”>/etc/securetty 调查结果： 调查内容：是否存在长期未登录账户 操作步骤：执行下面的脚本文件查看最近一个月没未登录的账户 # ！/bin/sh THIS_MONTH=date | awk’ {print $2 }’ Last | grep $ THIS_MONTH | awk’ {print $1 }’| sort-u > users1 $ $ cat/etc/passwd | awk-F:’ {print $1 }’| sort-u > users2 $ $ comm-13 users[12] $ $ rm-f users[12] $ $ 备 注：应该将长期未登录的账户删除 调查结果： 调查内容：查看syslog进程 操作步骤：执行如下指令查看syslog进程运行状态 # ps-eaf | grep syslog 调查结果： 调查内容：日志文件属性 操作步骤：执行如下指令查看日志文件属性 # ls-l/etc/syslog.conf 调查结果： 调查内容：日志文件内容 操作步骤：执行如下指令查看日志配置文件的内容 # more/etc/syslog.conf 调查结果： 调查内容：cron日志文件 操作步骤：执行如下指令查看cron日志文件属性 # ls-l/var/adm/cron/log 调查结果： 调查内容：cron配置文件 操作步骤：执行如下指令查看cron配置文件属性 # ls-l/var/adm/cron/cron.allow # ls-l/var/adm/cron/cron.deny 调查结果： 调查内容：系统提供服务 操作步骤：执行如下指令查看系统配置文件的属性以及登记启动的网络服务 # ls-l/etc/inetd.conf #more/etc/ inetd.conf 备 注：应该停止系统不需要的网络服务 调查结果： 调查内容：ftp用户 操作步骤：执行如下指令查看受限ftp用户 # more/etc/ftpd/ftpusers 备 注：如果文件/etc/ftpd/ftpusers不存在，ftpd将跳过安全检查 调查结果： 调查内容：ftp匿名登录 操作步骤：执行如下指令以匿名登录本机ftp # ftp localhost name ：anonymous 调查结果： 调查内容：sendmail服务 操作步骤：执行如下指令检查sendmail服务是否存在漏洞 # telnet localhost 25 如果连接成功，测试wiz、debug、kill指令是否可行 调查结果： 调查内容：netrc文件 操作步骤：执行如下指令查看系统是否存在netrc文件 # find /-name-exec ls-ld {}\；-exec more {}\； 备 注：安全的系统中不应该使用. netrc文件，因为它避开了远程登录的login验证过 程，甚至包括用户的未加密的口令。 调查结果： 调查内容：进程占用系统资源情况 操作步骤：执行如下指令查看系统进程占用资源情况 # top 调查结果： 调查内容：系统swap使用情况 操作步骤：执行如下指令查看系统swap使用情况 # swapinfo 调查结果： 调查内容：系统内存使用情况 操作步骤：执行如下指令查看系统内存使用情况 # vmstat 调查结果： 调查内容：文件系统使用情况 操作步骤：执行如下指令查看文件系统使用情况 # bdf 调查结果： Windows 调查日期： 年 月 日 调查设备IP： 调查记录人： 调查操作人： 被调查设备说明： 被调查设备账号数： 编内容 检查项目 操作方法 结 果 号 主机分 分区采用的文件系统 查看分区属性 C：?NTFS ?FAT32 ?其他 1 区设置 D：?NTFS ?FAT32 ?其他 E：?NTFS ?FAT32 ?其他 F：?NTFS ?FAT32 ?其他 系统所在分区信息 查看分区属性（分区文件系统、分区大小、剩余系统分区 空间……） 分区大小 剩余空间 Web应用等所在分查看分区属性（分区文件系统、分区大小、剩余Web分区 区信息 空间……） 分区大小 剩余空间 共享情况 查看本机目前共享情况： 默认共享 ?存在 ?已停止 通过分区属性查看管理共享； 普通共享通过net share 命令查看 其他共享目录 启动的服务（是否启 使用services.msc查看。 服务列表： 服务设置 2 动了不必要的服务） 具体操作： 操作->导出列表，获得当前服务状况列表文件。 （重 点 注意：Windows Time、Task Scheduler、Remote Registry Service、 RunAs Service及 IIS等服务） 查看是否有不合理服查看服务配置，特别是 务配置 IIS等主要服务 编内容 检查项目 操作方法 结 果 号 安全策 主要重要目录及文件查看文件及目录安全属性（例如system32目录3 安全设置 属性） 略检查 注册表安全设置 使用regedt32查看重要注册表项安全属性 主机上组及用户权限检查是否存在用户或组拥有权限过高（安装了终 端服务的），特别关注普通用户端服务登录权限设置 是否去掉 密码策略设置 使用本地安全策略查看主机上的口令安全策略情密码必须符合复杂性要求： 况 本地设置 有效设置 密码长度最小值： 本地设置 有效设置 密码最长存留期： 本地设置 有效设置 密码最短存留期： 本地设置 有效设置 强制密码历史： 本地设置 有效设置 为域中所有用户使用可还原的加 密来存储密码： 本地设置 有效设置 账户锁定策略 使用本地安全策略查看 复位账户锁定计数器： 本地设置 有效设置 账户锁定时间： 本地设置 有效设置 账户锁定阀值： 本地设置 有效设置 编内容 检查项目 操作方法 结 果 号 审核策略更改： 安全策 安全审计情（是否对使用本地安全策略查看 3 本地设置 有效设置 重要事情有计） 略检查 审核登录事件： 本地设置 有效设置 审核对象访问： 本地设置 有效设置 审核过程追踪： 本地设置 有效设置 审核目录服务访问： 本地设置 有效设置 审核特权使用： 本地设置 有效设置 审核系统事件： 本地设置 有效设置 审核账户登录事件： 本地设置 有效设置 审核账户管理： 本地设置 有效设置 用户权利指派 使用本地安全策略导出列表 导出列表附在本调查表后 导出列表附在本调查表后 安全选项 使用本地安全策略导出列表 安全服务器（要求安全设置） IP安全策略 使用本地安全策略查看 策略指派 客户端（只响应） 策略指派 服务器（请求安全设置） 策略指派 防病毒软件 其他安 防病毒 检查防病毒措施（安装了什么其他安全软件，4 安装路径 运行状况如何） 全措施 备份目录 病毒特征库 已安装的补丁包 安全补丁 查看我的电脑属性了解补丁安装情况 已安装的hotfix 主机防火墙 其他安全软件 查看安装的其他安全软件 主机入侵检测 日志分析 其他