蓝盟-系统集成-蓝盟官网

蓝盟IT外包:聊聊资产的脆弱性评估

发布者：上海IT外包来源：www.linemore.com

脆弱性是指资产中能被威胁所利用的弱点，它存在于物理环境、硬件、软件、业务系统等各个方面，这些都可能被各种安全威胁利用来侵害用户的资产，让资产的价值受损。各种脆弱性自身并不会造成什么危害，只有在被各种安全威胁利用后才可能造成相应的危害。评估弱点时需要考虑两个因素，一个是弱点被威胁利用后产生影响或危害的严重程度，另一个是弱点的暴露程度，即被利用的容易程度。需要注意的是，弱点是威胁发生的直接条件，如果资产没有弱点或者弱点很轻微，威胁源就很难利用其损害资产，哪怕它的能力多高、动机多么强烈。因此评判脆弱性的级别不仅需要考虑被利用的破坏力，还需要考虑被利用的几率，经此分析出的弱点才更符合用户的实际情况。
具体的脆弱性评估主要工作如下：
调研访谈：调研访谈是针对特定环境下进行的一种信息安全内容的收集方式，针对用户现有的安全状态调研和安全措施发布了问卷或面对面交流沟通，通过问卷调查和人员访谈收集到相关信息后，可以分析出安全管理方面的建设现状及佐证安全技术建设的效果。
人工审核：通过人工的资料审阅、现场勘查、上机测试等方法，人为的对相关资料进行筛选核实与审批；人工审核可大幅度降低工具的误判率，并能发现一些自动化工具无法发现的一些管理层面、逻辑层面、工作流程层面的安全隐患。
漏洞扫描：使用专业的漏洞扫描工具，能够快速从内网和外网两个角度来查找网络结构、网络设备、服务器主机、数据和用户账号/口令等安全对象目标存在的安全漏洞，并给出关于安全隐患的详细信息。
基线配置核查：使用专业的工具进行快速的基线配置核查全自动检测，安全基线是一个信息系统的最小安全保证，即该信息系统最基本需要满足的安全配置要求。基线核查是信息系统及所属设备等在特定时期内，根据自身需求、部署环境和承载业务要求应满足的基本安全配置，全面集中检查和分析各类系统存在的本地安全配置问题。
渗透测试：通过用户授权的前提上模拟黑客的攻击方法，检测系统抵抗攻击的能力。整个过程包括情报收集、威胁建模、漏洞分析、渗透攻击、汇总报告等环节。其中对系统的任何弱点、技术缺陷或漏洞的主动分析尤为关键，这个分析是从一个攻击者的位置和角度进行的，更容易发现实际生产过程中危害较大的安全隐患及脆弱性利用路径及方式。
资产的脆弱性评估是安全风险评估工作中的重要一环，同时也是涉及到具体技术细节最多的一部分工作，正确合理的进行资产脆弱性评估，才能有效的识别风险，评估风险，控制风险。

微软云

IT采购

弱电工程

系统集成

客户故事

蓝盟IT外包:聊聊资产的脆弱性评估

400-635-8089