每一方面具體評估方法一般包括如下幾個部分:
一、文檔審閱——收集評估范圍內的各種信息,包括各應用系統開發、部署、運行和維護文檔,各關鍵設備的安裝配置和維護等文檔,進程查閱整理與信息安全相關的信息。
二、人員訪談——與各系統管理人員進行溝通,聽取各系統管理人員介紹信息系統安全需求,核實所收集的信息是否真實的反映了組織當前信息系統的真實情況,確認有缺失、有疑問的信息。
三、工具評估——使用漏洞掃描等安全工具,對各關鍵設備進行檢測、收集系統可能存在的弱點。
四、手工評估——以管理員權限登錄各關鍵設備,通過使用腳本程序、命令行、抓取控制臺操作界面等方式,按照檢測列表中的要求,提取各關鍵設備中各項評估信息。
五、綜合分析——分析和整理通過上述評估過程所收集的各項信息,找出評估范圍內各評估對象的相互關聯,相互配合中存在的缺陷和安全風險。
六、評估報告——根據分析結果,撰寫、提交評估報告,與各IT管理員確認評估結果。
配置檢查方法:
配置檢查內容:
一、對路由/交換設備的風險評估涵蓋了(但不僅限于)以下的內容:
二、防火墻配置檢查:
三、入侵檢測系統配置檢查:
四、防病毒系統配置檢查:
五、主機系統配置檢查:
六、數據庫系統配置檢查:
七、應用系統配置檢查: