立即发布信息
·北京 [切换]

    风险评估涉及到资产、威胁、脆弱性、安全措施、风险等各个要素,各要素之间相互作用,如下图。资产因为其价值而受到威胁,威胁者利用资产的脆弱性构成威胁。安全措施则是对资产进行保护,修补资产的脆弱性,从而可降低资产的风险。

    信息系统安全风险评估解决方案


     主要工作内容

    1.       资产识别。

    资产识别包含“资产分类”和“资产赋值”两个步骤。前者给出评估所考虑的具体对象,确认资产种类和清单,是整个风险评估工作的基础。

    2.       安全策略与安全机制的分析。

    验证信息系统内主体对客体的访问是否按照安全策略进行,是否存在越权访问以及非法访问,验证信息系统的身份认证等机制是否符合国家及金融行业相关标准对于认证强度的要求。

    3.       安全管理规章制度及安全管理流程的检查。

    检查唐山商行是否制定相应的信息安全管理制度,安全管理流程是否得到落实,是否能够控制信息系统无法通过技术手段避免的风险。

    4.       威胁来源识别。

    从威胁来源、威胁途径和威胁意图等方面充分识别唐山商行信息系统的风险。

    5.       核心业务系统、网上银行系统和门户网站安全漏洞扫描。

    主要包括OWASP TOP 10中的注入、失效的身份认证和会话管理、跨站脚本、不安全的直接对象引用、安全配置错误和敏感信息泄露等严重漏洞。

    6.       网络拓扑结构分析。

    分析网络拓扑结构是否合理、是否存在单点故障等。

    7.       网络和主机系统漏洞扫描。

    主要包括已公开的网络设备操作系统、主机操作系统安全漏洞。

    8.       主机、网络和数据库安全配置检查。

    检查主机、网络、安全设备以及数据库是否达到行业最佳安全实践的安全基准线。

    9.       所采取安全防护措施调查和有效性确认。

    分析验证已经采取的管理和技术安全防护措施是否有效。

    10.   从互联网向银行业务系统进行渗透测试。

    从互联网接入,利用已知及未知漏洞,对银行业务系统进行渗透测试。

    11.   从内网向内部主机、应用和数据库系统进行渗透测试。

    模拟黑客接入内部网络,对内部主机、应用和数据库系统进行渗透测试。

    12.   从开发测试网络(第三方)进行渗透测试。

    开发测试网络为非可信网络,模拟黑客从开发测试网络向银行内部进行渗透测试。

    13.   进行风险分析、风险计算、风险评估、提出风险控制建议、主机加固建议、网络设备和数据库系统加固建议。

    14.   撰写相关报告。


      免责声明:
      本栏目内容均为会员或第三方自行发布,所发布信息不代表本站的立场和意思表达,对于内容的真实性、可靠性无法进行实质审核,请广大网友自行甄别,由此引发的任何不良后果,创优网对此不承担任何法律责任!
      友情提醒:
      1.让您提前汇款,或者价格明显低于市价,均有骗子嫌疑,不要轻易相信。
      2.任何要求您预付定金(订金)或付款到个人账号的行为,均有可能存在诈骗风险,请提高警惕,一定远离!
      警示内容:
      根据国家安全机关要求,特别提醒网站用户,在使用本网站过程中,注意甄别对方(招聘方,放贷方,交友对象)等身份,谨防被境外人员以招聘,放贷方,交友等为名诱骗提供涉密信息或从事情报收集活动,发现可疑情况请及时拨打国家安全机关举报热线12339进行举报。
    • 您可能感兴趣
    • 用户级别:CY免费会员
    • 信用等级:信用值:0
    • 实名认证:
    • 联系人名:世纪先承
    • 联系电话:400-080****8 点击查看完整号码
     fzts