信息安全风险评估_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
信息安全风险评估
上传于|0|0|文档简介
&&学校机房信息安全风险评估
阅读已结束，如果下载本文需要使用1下载券
想免费下载本文？
定制HR最喜欢的简历
下载文档到电脑，查找使用更方便
还剩17页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢比特客户端
您的位置：
详解大数据
详解大数据
详解大数据
详解大数据
如何看待网络安全风险评估
关键字：安全管理 风险防范 风险评估 评估机制
　　风险评估机制和手段的引入使得体系具有了反馈控制和快速反应能力。下面让我们来看一下专家是如何看待风险评估的：
　　是一个相对的概念
　　1.我们知道网络是一个特殊的质管实体，信息既有相对性的属性又有动态性的特征，如何看待网络上存在的安全问题？
　　对于网络而言，目前看来在设计或建设阶段尚不能满足绝对安全的需要，因此，其“免疫力”的后天形成机制，决定了安全风险评估是系统全生存周期中不可或缺的重要环节。现在的络通常被认为存在五类基本安全问题：协同与信任的矛盾，有效性与安全性的矛盾，实时性与完全性的矛盾，网络的扩张性带来的不确定性以及网络的互联互通性造成的“短板效应”。
　　同时，网络安全问题又具有很强的动态特征，即使在网络建设初期达到了某种设定的安全指标，但随着网络设备的升级、网络服务的增加以及应用系统的更新，特别是五花八门的各种“手段”也在发展之中，安全威胁会伴随网络应用的全过程，现在还看不出有一劳永逸解决问题的可能。
　　2.加强信息网络安全风险评估，对弥补网络“先天不足”，提高防范能力有什么促进作用？
　　如何确切掌握网络和信息系统的安全程度、分析安全威胁来自何方、安全风险有多大、影响程度如何，加强信息安全保障工作应采取哪些措施，要投入多少人力、财力和物力，要如何改进、完善、提高和发展相关的技术手段;确定已采取的信息安全措施是否有效以及提出按照相应信息安全等级进行安全建设和管理的依据等一系列具体问题。
　　风险评估是解决上述问题的重要前提和基础性工作。一般来说，系统的安全性可通过风险大小来度量，科学地分析系统在保密性、完整性、可用性、可扩展性等方面所面临的威胁，及时地发现系统安全的主要问题和矛盾，就能够在安全风险的预防、减少、转移、补偿和分散之间做出实时适当的决策或抉择，最大程度地提高亡羊补牢的速度和效果。
　　正确认识网络安全风险评估
　　1.当前，加强信息网络风险评估面临的主要障碍是什么？
　　主要还是思想认识上的障碍。目前，在网络安全风险评估方面主要存在以下4种认识误区：
　　一是“怕担责任”，一些单位的领导害怕风险评估暴露本单位信息安全管理中的问题，更害怕责任追究制度，不是防患于未然，而是防不出事于未然，防不出通报于未然。
　　二是“怕找麻烦”，有的单位担心在进行安全风险评估过程中发现问题后要对网络系统和使用习惯进行改造或修正，由此可能会出现应用系统工作不稳定或业务流程变化影响到方方面面的工作;有的担心如果增加新的技术系统或装置可能会引入新的安全风险。
　　三是“感觉良好”，片面听信一些设备供应商夸张性的广告宣传，主观地认为本单位防范系统已是“铜墙铁壁”，缺少按评估体系科学办事的精神。
　　四是“讳疾忌医”，把安全评估当作“找茬”、“找麻烦”，拒绝进行正规的安全评估;个别单位的领导、人员在出现安全问题后，甚至有组织地涂改系统日志信息、更换硬盘或消除历史痕迹，试图掩盖问题，而全然不顾可能存在着的更大风险。这种行为属于恶意违规蓄意犯法，在法律和纪律处理层面应当罪加一等、严惩不贷。
　　2.加强信息网络安全风险评估应确立什么样的工作指导思想？
　　一句话，从系统着眼，从细节入手。从系统的角度看，信息安全风险评估有助于军队建设的有序开展，促进信息安全保障体系的完善，提高信息系统的安全防护能力。其目的是，借助科学的评估体系和技术方法，弄清本单位信息安全的基本态势和网络环境安全状况，及时采取或完善安全保障措施，确保信息安全策略和方针在常态化中得到贯彻与执行。从细节的角度看，必须突出重点。要加快法制建设和技术标准建设，加强风险评估核心技术研究与攻关，加强信息安全风险意识的宣传教育，普及信息安全风险评估知识，加快培养信息安全风险评估的专门人才。
　　构建网络安全风险评估机制
　　1.加强我军信息安全风险的着力点是什么？
　　关键是要建立和完善信息安全风险评估机制，也就是要构建一个“发现隐患、制定对策、提升强度、效果认证”的闭环式、反馈型、非线性的评估系统。同时，信息网络在建设规划阶段必须进行风险评估以确定系统的安全目标;在工程验收阶段一定要进行效果认证和风险再评估以判定系统的安全目标达成与否;在运行维护阶段要针对安全形势和问题，进行制度化的风险评估工作，以确定安全措施的有效性和决定是否采取隔离或实施升级行动，以确保安全保障态势始终维持在期望的目标水平之上。
　　2.如何从制度层面保障我军信息网络安全风险评估机制的落实？
　　从总体上讲，要加强信息网络安全风险评估的组织领导，建议在全军保密委之下成立信息安全管理专门委员会，统筹规划、创新手段，强化风险评估的各项机制，监督各项制度措施的落实，及时反馈各种相关信息。从个体上讲，每个人都要树立正确的风险防范意识，正确区分违规行为和网络安全事件，对于严格按规定操作而遭到网络攻击的情形，应及时上报，人人都要成为网络信息安全的“探测器”、系统漏洞的“挖掘器”。及时上报安全漏洞应当常态化制度化，现阶段给予适当形式的鼓励有利于形成必要的氛围。
　　对于谎报、瞒报，甚至消除上网痕迹、掩盖网络漏洞的，应视为严重违规行为，要严惩不贷;对恶意消除办公计算机历史信息，故意破坏日志信息完整性的，应该按照故意泄密行为从重处分。同时，还要加强军事信息安全的法制化建设，通过常态化的风险评估来对我军信息安全的相关制度进行修订，核心技术进行研发，评价标准进行升级，全方位地提高安全风险评估机制对军队信息化建设的保障和支撑作用。
　　网络安全需要完善的风险评估机制和健全的技术手段，因为它能能从体系上保障或支撑我军信息化建设的有序展开，不断提高建网、用网和管网的水平。
[ 责任编辑：小石潭记 ]
去年，手机江湖里的竞争格局还是…
甲骨文的云战略已经完成第一阶段…
软件信息化周刊
比特软件信息化周刊提供以数据库、操作系统和管理软件为重点的全面软件信息化产业热点、应用方案推荐、实用技巧分享等。以最新的软件资讯，最新的软件技巧，最新的软件与服务业内动态来为IT用户找到软捷径。
商务办公周刊
比特商务周刊是一个及行业资讯、深度分析、企业导购等为一体的综合性周刊。其中，与中国计量科学研究院合力打造的比特实验室可以为商业用户提供最权威的采购指南。是企业用户不可缺少的智选周刊！
比特网络周刊向企业网管员以及网络技术和产品使用者提供关于网络产业动态、技术热点、组网、建网、网络管理、网络运维等最新技术和实用技巧，帮助网管答疑解惑，成为网管好帮手。
服务器周刊
比特服务器周刊作为比特网的重点频道之一，主要关注x86服务器，RISC架构服务器以及高性能计算机行业的产品及发展动态。通过最独到的编辑观点和业界动态分析，让您第一时间了解服务器行业的趋势。
比特存储周刊长期以来，为读者提供企业存储领域高质量的原创内容，及时、全面的资讯、技术、方案以及案例文章，力求成为业界领先的存储媒体。比特存储周刊始终致力于用户的企业信息化建设、存储业务、数据保护与容灾构建以及数据管理部署等方面服务。
比特安全周刊通过专业的信息安全内容建设，为企业级用户打造最具商业价值的信息沟通平台，并为安全厂商提供多层面、多维度的媒体宣传手段。与其他同类网站信息安全内容相比，比特安全周刊运作模式更加独立，对信息安全界的动态新闻更新更快。
新闻中心热点推荐
新闻中心以独特视角精选一周内最具影响力的行业重大事件或圈内精彩故事，为企业级用户打造重点突出，可读性强，商业价值高的信息共享平台；同时为互联网、IT业界及通信厂商提供一条精准快捷，渗透力强，覆盖面广的媒体传播途径。
云计算周刊
比特云计算周刊关注云计算产业热点技术应用与趋势发展，全方位报道云计算领域最新动态。为用户与企业架设起沟通交流平台。包括IaaS、PaaS、SaaS各种不同的服务类型以及相关的安全与管理内容介绍。
CIO俱乐部周刊
比特CIO俱乐部周刊以大量高端CIO沙龙或专题研讨会以及对明星CIO的深入采访为依托，汇聚中国500强CIO的集体智慧。旨为中国杰出的CIO提供一个良好的互融互通 、促进交流的平台，并持续提供丰富的资讯和服务，探讨信息化建设，推动中国信息化发展引领CIO未来职业发展。
IT专家新闻邮件长期以来，以定向、分众、整合的商业模式，为企业IT专业人士以及IT系统采购决策者提供高质量的原创内容，包括IT新闻、评论、专家答疑、技巧和白皮书。此外，IT专家网还为读者提供包括咨询、社区、论坛、线下会议、读者沙龙等多种服务。
X周刊是一份IT人的技术娱乐周刊，给用户实时传递I最新T资讯、IT段子、技术技巧、畅销书籍，同时用户还能参与我们推荐的互动游戏，给广大的IT技术人士忙碌工作之余带来轻松休闲一刻。
微信扫一扫
关注Chinabyte当前位置：
信息安全_风险评估_检查流程_数据库安全评估检查表_SQL_Server
来源： 联系QQ： 作者： <
发布时间： 13/03/16
【网学网提醒】：会员编辑为广大网友搜集整理了：信息安全_风险评估_检查流程_数据库安全评估检查表_SQL_Server绩等信息，祝愿广大网友取得需要的信息，参考。&&&&主机安全检查SQLServer安全检查流程&&&& Cnliuy免费&&&&1.设备编号规则&&&&编号规则：设备类型_客户名称_部门名称_数字编号。设备类型（SV－服务器；PC-终端；FW－防火墙，RO-路由器，SW-交换机）；客户名称（拼音缩写）；部门名称（拼音缩写）；数字编号使用三位数字顺序号。&&&&2.主机信息&&&&主机信息表设备名称设备位置正式域名/主机名外部IP地址网关操作系统内部IP地址域名服务器版本号设备编号&&&&中央处理器外部存储设备&&&&内存&&&&名称&&&&应用服务及版本情况&&&&其他信息&&&&-2-&&&& Cnliuy免费&&&&3.安全检查&&&&3.1.获取应用服务信息&&&&编号：SQL-01001名称：获取版本号与启动策略编号：名称说明：说明：获取SQLServer的版本号与启动策略检查方法：检查方法开始菜单-&-&MicrosoftSQLServer-&企业管理器-&控制台目录-&MicrosoftSQLServers-&SQLServer组，在要查看的服务器上右键查看“属性”-&“常规”检查风险（对系统的影响，请具体描述）：检查风险（对系统的影响，请具体描述）无检查结果：检查结果：适用版本：All备注：8.0就是SQLServer2000编号：SQL-01002名称：获取服务运行权限编号：名称说明：说明：获取SQLServer服务使用用户权限检查方法：检查方法“开始菜单”-&“运行”-&“Services.msc”-&“MSSQLServer”-&“属性”-&“登录”检查风险（对系统的影响，请具体描述）：检查风险（对系统的影响，请具体描述）无检查结果：检查结果：适用版本：All备注：&&&&编号：编号：SQL-01003名称：名称获取服务监听端口和地址说明：说明：获取SQLServer所监听端口和地址检查方法：检查方法开始菜单-&-&MicrosoftSQLServer-&企业管理器-&控制台目录-&MicrosoftSQLServers-&SQLServer组，在要查看的服务器上右键查看“属性”&&&&-3-&&&& Cnliuy免费&&&&-&“常规”-&网络配置，选中“启用协议”中相关协议，察看“属性”检查风险（对系统的影响，请具体描述）：检查风险（对系统的影响，请具体描述）无检查结果：检查结果：适用版本：All备注：&&&&编号：SQL-01005名称：获取与SQLServer相关应用编号：名称说明：说明：获取与SQLServer相关联服务信息检查方法：检查方法询问管理员网络中需要使用此SQLServer的应用名称、数据重要程度检查风险（对系统的影响，请具体描述）：检查风险（对系统的影响，请具体描述）无检查结果：检查结果：适用版本：All备注：&&&&编号：SQL-01006名称：获取数据库维护人员信息编号：名称说明：说明：获取与SQLServer所有数据库维护人&&&&员以及主机维护人员名单检查方法：检查方法询问相关人员：每个数据库的管理员是谁？系统管理员是谁？检查风险（对系统的影响，请具体描述）检查风险（对系统的影响，请具体描述）：无检查结果：检查结果：适用版本：All备注：&&&&编号：编号：说明：说明：&&&&SQL-01007&&&&名称：名称&&&&获取数据库备份方式&&&&-4-&&&& Cnliuy免费&&&&获取与SQLServer数据库备份方式检查方法：检查方法询问相关人员：谁在什么时候用什么方法把哪些数据备份到什么地方？谁在什么情况下决定用什么方法把哪些地方如何恢复？检查风险（对系统的影响，请具体描述）：检查风险（对系统的影响，请具体描述）无检查结果：检查结果：适用版本：All备注：&&&&3.2.补丁安装情况&&&&编号：SQL-02001名称：获取补丁安装情况编号：名称说明：说明：获取系统中安装了哪些SQLServer补丁，缺少了哪些SQLServer补丁检查方法：检查方法HFNetChk检查风险（对系统的影响，请具体描述）：检查风险（对系统的影响，请具体描述）无检查结果：检查结果：适用版本：All备注：安装工具HFNetChk需要1MB硬盘空间；使用工具HFNetChk需要网络连接和额外的5MB硬盘空间；补丁信息文件需要的时间依网络速度而定；&&&&3.3.帐号和口令&&&&编号：SQL-03001名称：获取SQLServer系统中账号编号：名称说明：说明：获取当前SQLServer系统中所有用户信息检查方法：检查方法开始菜单-&-&MicrosoftSQLServer-&SQL查询分析器，登录后在中输入：usemaster&&&&-5-&&&& Cnliuy免费&&&&Selectname,passwordfromsysloginsorderbyname检查风险（对系统的影响，请具体描述）：检查风险（对系统的影响，请具体描述）无检查结果：检查结果：适用版本：All备注：&&&&编号：SQL-03003名称：获取无密码用户列表编号：名称说明：说明：获取当前SQLServer系统中所有无密码用户检查方法：检查方法开始菜单-&程序-&MicrosoftSQLServer-&SQL查询分析器，登录后在中输入：UsemasterSelectname,passwordfromsysloginswherepasswordisnullorderbyname检查风险（对系统的影响，请具体描述）：检查风险（对系统的影响，请具体描述）无检查结果：检查结果：适用版本：All备注：编号：SQL-03004名称：用户访问许可编号：名称说明：说明：获取用户访问许可检查方法：检查方法开始菜单-&-&MicrosoftSQLServer-&企业管理器-&控制台目录-&MicrosoftSQLServers-&SQLServer组，选择要查看的服务器中“用户”检查风险（对系统的影响，请具体描述）：检查风险（对系统的影&&&&响，请具体描述）无检查结果：检查结果：适用版本：&&&&-6-&&&& Cnliuy免费&&&&All备注：&&&&3.4.服务安全&&&&编号：SQL-04001名称：使用的通讯协议编号：名称说明：说明：检查SQLServer是否使用了除TCP/IP以外的通讯协议检查方法：检查方法开始菜单-&-&MicrosoftSQLServer-&企业管理器-&控制台目录-&MicrosoftSQLServers-&SQLServer组，在要查看的服务器上右键查看“属性”-&“常规”-&网络配置检查风险（对系统的影响，请具体描述）：检查风险（对系统的影响，请具体描述）无检查结果：检查结果：适用版本：All备注：&&&&3.5.&&&&文件系统&&&&编号：SQL-05001名称：获取操作系统文件类型编号：名称说明：说明：查看SQLServer程序和数据文件所在分区文件系统格式检查方法：检查方法察看磁盘分区属性：我的电脑中选中要查看的分区，然后同时按下Alt+Enter键检查风险（对系统的影响，请具体描述）：检查风险（对系统的影响，请具体描述）无检查结果：检查结果：适用版本：All备注：如果数据文件和文件分布在多个分区，请查看多次编号：SQL-05002名称：获取操作系统文件权限编号：名称说明：说明：&&&&-7-&&&& Cnliuy免费&&&&查看SQLServer程序和数据文件所在分区文件系统权限分配检查方法：检查方法察看文件系统权限分配：在控制台中切换到SQLServer文件所在目录，输入cacls*.*/t&bin.txt在控制台中切换到SQLServer数据文件所在目录，输入cacls*.*/t&data.txt检查风险（对系统的影响，请具体描述）：检查风险（对系统的影响，请具体描述）无检查结果：检查结果：适用版本：All备注：注意保存生成的两个文件bin.txt和data.txt编号：SQL-05003名称：获取备份数据访问权限编号：名称说明：说明：调查数据库备份访问权限检查方法：检查方法询问管理员：数据库备份存放在什么位置？是否有防护措施（例如：铁门、锁）？谁可以绕过这些防护措施（例如：钥匙所有者）访问数据库备份？数据库备份如何销毁？检查风险（对系统的影响，请具体描述）检查风险（对系统的影响，请具体描述）：无检查结果：检查结果：适用版本：All备注：&&&&3.6.日志审核&&&&编号：编号：SQL-06001名称：名称登录失败和对象访问失败的日志设置&&&&说明：说明：获取SQLServer登录和对象访问失败的设置检查方法：检查方法开始菜单-&-&MicrosoftSQLServer-&企业管理器-&控制台目录-&MicrosoftSQLServers-&SQLServer组，在要查看的服务器上右键查看“属性”-&“安全性”检查风险（对系统&&&&的影响，请具体描述）：检查风险（对系统的影响，请具体描述）无&&&&-8-&&&& Cnliuy免费&&&&检查结果：检查结果：适用版本：All备注：&&&&编号：SQL-06003名称：编号：名称说明：说明：获取SQLServer日志检查情况设置检查方法：检查方法询问管理员察看日志的周期检查风险（对系统的影响，请具体描述）：检查风险（对系统的影响，请具体描述）无检查结果：检查结果：适用版本：All备注：&&&&日志检查情况&&&&3.7.安全增强性&&&&编号：SQL-07001编号：说明：说明：获取SQLServer当前存储过程检查方法：检查方法名称：名称获取存储过程列表&&&&检查风险（对系统的影响，请具体描述）：检查风险（对系统的影响，请具体描述）无检查结果：检查结果：适用版本：All备注：&&&&编号：SQL-07002名称：获取注册表访问权限编号：名称说明：说明：获取表下列相关权限设置：HKEY_CURRENT_USER\SOFTWARE\Microsoft\MSSQLServer\&&&&-9-&&&& Cnliuy免费&&&&检查方法：检查方法察看该注册表项的访问列表检查风险（对系统的影响，请具体描述）：检查风险（对系统的影响，请具体描述）无检查结果：检查结果：适用版本：All备注：&&&&编号：编号：&&&&SQL-07003&&&&名称：名称&&&&存储过程和扩展存储过程访问权限&&&&说明：说明：开始菜单-&-&MicrosoftSQLServer-&企业管理器-&控制台目录-&MicrosoftSQLServers-&SQLServer组，选择要查看的服务器中“存储过程”和“扩展存储过程”，右键选择“导出列表”检查方法：检查方法察看该注册表项的访问列表检查风险（对系统的影响，请具体描述）：检查风险（对系统的影响，请具体描述）无检查结果：检查结果：适用版本：All备注：注意保存导出的两个列表文件。&&&&-10-&&&& &&&&
上一篇资讯：
下一篇资讯：
文章排行榜读书笔记（139）
信息系统项目管理师笔记（56）
安全风险识别
按照目前项目管理称谓，安全威胁也叫安全风险。风险是&#20540;特定的威胁或单位资产的脆弱性而导致单位资产损失或伤害的可能性，包括三方面内容：1.对信息或资产产生威胁；2.威胁的发生对资产产生影响；3.威胁具有发生的概率。
从风险来源划分，可分为自然事件风险、人为事件风险、软件风险、软件过程风险、项目管理风险、应用风险、用户使用风险等。
自然事件风险是不以人的一直未转移的不可抗的天灾人祸。
人为事件风险分为：意外人为事件风险和有意人为事件风险。有意人为事件风险包括：1.内部窃密和破坏；2.恶意的黑客行为；3.工业（商业）间谍；4.恶意代码；5.侵犯个人隐私；6.其他有意的人为事件威胁。
软件系统风险主要由软件系统体系结构的合理程度及其对外界变化的适应能力产生的各种风险，包括：1.兼容风险；2.维护风险；3.使用风险。
软件过程风险是在软件开发周期过程中可能出现的风险及软件实施过程中外部环境的变化可能引起的风险，包括：1.软件需求阶段的风险；2.设计阶段的风险；3.实施阶段的风险；4.维护阶段的风险。
项目管理风险主要来源于：1.应用软件产品的不可预见性；2.软件的生产过程不存在绝对正确的过程形式；3.信息系统应用项目的独特性。
应用风险主要是在应用系统或软件过程中，尤其在网络环境下，因网络连接或操作而产生的风险，主要包括：
1.安全性；2.未授权访问和改变数据；3.未授权远程访问；4.不精确的信息；5.错误或虚假的信息输入；6.授权的终端用户滥用；7.不完整的处理；8.重复数据处理；9.不及时处理；10.通信系统失败；11.不充分的测试；12.不充分的培训；13.不充分的支持；14.不充分的文档。
用户使用风险是指终端用户进行开发和应用过程中产生的风险，包括：1.不充分的使用资源；2.不兼容的系统分；3.冗余系统；4.无效的应用；5.职责不明；6.用户对开发阶段分析不全面；7.非授权访问数据与程序；8.侵犯版权；9.病毒破坏信息
安全威胁的对象是一个单位的有形资产和无形资产，主要是有形资产。资产的价&#20540;体现了它对一个单位业务的重要程度。资产的评估有利于区分资产的价&#20540;，根据资产价&#20540;进行保护性设置成为可能。
资产评估的步骤：
1.根据单位业务的横向和纵向，逐级划分资产的界限和交换界面
2.确定各个级别的资产隶属部门的岗位、责任人、干系人，核实各自责任、权限和落实情况，进行有限的监督和监管
3.确定各个级别资产的价&#20540;和重要性，以及可能受到威胁的强弱程度
4.确定获取、维护各个级别资产的费用。
资产的重要性程度：可忽略；较低；中等；较高；非常高
资产评估的最后一步是列出一个所有被评估坚定的资产清单，其中包括每种资产各方面的价&#20540;和重要性。
弱点是系统本身的因素，威胁是外界对系统的作用，影响是威胁对系统本身造成的后果，风险受这三者的影响，基本的模型是： 风险=威胁*弱点*影响
威胁只有利用弱点才可以对系统造成影响。
风险识别的常用方法：
2.财务报表法
3.流程图法
4.现场观察法
5.历史资料法
6.环境分析法
8.专家咨询
风险评估是对确定的风险因素进行的整体性评估，会详细的描述系统信息资源的相关威胁、脆弱性、出现概率。常用的评估方法有：
1.概率分布
3.定性评估
4.矩阵图分析
5.风险发展趋势评价方法
6.项目假设前提评价及数据准确度评估
进行风险定量评估的步骤：
1.将各种评估得到的结果制成矩阵，并分析得到一个综合的风险评估结果
2.通过测量安全风险的级别来划分安全威胁的级别
3.关注意外事故造成的影响，决定哪些系统给予较高的优先级
4.确定某一项资产或系统的安全风险是否在可接受范围内
选择性考察，客观性考察
&&相关文章推荐
* 以上用户言论只代表其个人观点，不代表CSDN网站的观点或立场
访问：193564次
积分：3779
积分：3779
排名：第8012名
原创：186篇
转载：16篇
评论：15条
(3)(10)(2)(15)(7)(20)(26)(2)(2)(4)(4)(7)(4)(1)(1)(4)(2)(1)(2)(3)(1)(1)(5)(16)(4)(2)(9)(6)(14)(2)(12)(4)(2)(8)(8)