日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯(lián)網營銷解決方案
如何對系統(tǒng)中的網絡安全漏洞進行評級?

在啟用漏洞管理程序后不久,企業(yè)往往會發(fā)現自己面臨著海量的網絡安全漏洞數據。掃描這些結果可能讓企業(yè)看到分布在各種不同的系統(tǒng)和應用中的數百甚至數千個漏洞。

成都創(chuàng)新互聯(lián)公司自成立以來,一直致力于為企業(yè)提供從網站策劃、網站設計、做網站、成都網站制作、電子商務、網站推廣、網站優(yōu)化到為企業(yè)提供個性化軟件開發(fā)等基于互聯(lián)網的全面整合營銷服務。公司擁有豐富的網站建設和互聯(lián)網應用系統(tǒng)開發(fā)管理經驗、成熟的應用系統(tǒng)解決方案、優(yōu)秀的網站開發(fā)工程師團隊及專業(yè)的網站設計師團隊。

安全專業(yè)人員應該如何解決這個風險問題?在本文中,我們將研究一種三角叉式優(yōu)先級方案,其中整合了外部關鍵性評估、數據敏感度和現有控制環(huán)境來幫助企業(yè)成功地對漏洞進行評級,同時優(yōu)化整治工作。

這種三步驟過程是假定你已經獲取了關于環(huán)境中存在的網絡安全漏洞的信息、由系統(tǒng)和應用處理的信息的敏感度以及環(huán)境中現有安全控制的狀態(tài)。這些信息可能來自不同的漏洞管理程序,包括Web和網絡漏洞掃描器、數據丟失防護系統(tǒng)和配置管理軟件等。

步驟1:確定漏洞的嚴重程度

你首先需要的數據元素是評估你環(huán)境中存在的每個漏洞的嚴重程度。在很多情況下,你可以從漏洞管理工具供應商的數據feed來獲取這種嚴重程度的信息。

這種嚴重程度評估應該基于一個成功的漏洞利用可能造成的潛在的損害。例如,允許攻擊者獲取對系統(tǒng)的管理訪問權限的漏洞比導致拒絕服務的漏洞要嚴重得多。嚴重程度信息也可能會考慮現實世界中存在的漏洞利用;與沒有已知漏洞利用的理論漏洞相比,惡意軟件使用的漏洞更嚴重。

對于我們模型的目的,我們將假設你在使用具有5級漏洞評級系統(tǒng)的產品,其中,具有最高破壞性的漏洞被評為5級。

步驟2:確定數據的敏感度

漏洞帶來的風險會因為包含該漏洞的系統(tǒng)上的信息的敏感程度而加倍。例如,與僅包含公開信息的系統(tǒng)相比,包含社會安全號碼或者信用卡數據的系統(tǒng)應該得到更多的關注和更多保護。

然而,這并不意味著,企業(yè)只需要管理好包含敏感信息的系統(tǒng),因為如果面向公眾的網站受到攻擊,你的企業(yè)將會遭受與敏感信息泄漏相同的聲譽損失。不過,敏感信息的存在確實放大了攻擊的影響力。

收集有關數據敏感度的信息可能會非常棘手,這取決于你的信息分類機制的成熟度。如果你才剛剛起步,你最好使用相對簡單的模型,根據數據的敏感度將數據分類:

高敏感度信息即受到嚴格監(jiān)管的信息,或者如果泄漏將對企業(yè)帶來嚴重破壞的數據。我們信息安全機制的“御寶”包含這些數據元素:信用卡數據、受保護的醫(yī)療信息和銀行賬戶詳細信息。

內部信息是指不符合“高度敏感”類別但也不應該被公開發(fā)布的信息。此類別可能看起來過于寬泛,它也是最難定義的類別。如果你沒有數據分類機制,將所有這些數據歸為一類是最合適的開始方式。如果企業(yè)需要分類,可以考慮以后再細分類別。

公開信息是指你的企業(yè)愿意透露給公眾的信息,例如產品文獻、你的公共網站上的數據以及發(fā)布的財務報表。

當對系統(tǒng)進行數據敏感度評級時,你的評估應該基于系統(tǒng)存儲或處理的信息的最高敏感度水平。處理高敏感度信息的系統(tǒng)被評為5級,而處理內部信息的系統(tǒng)可能被評為2級、3級或3級,這取決于敏感度水平。所有其他系統(tǒng)都被評為1級。

步驟3:評估現有控制

這個過程的最后一步是評估現有控制—這些控制保護潛在易受攻擊的系統(tǒng)免受攻擊。根據你企業(yè)需要的具體控制的不同,你用來進行評級的方法也會有所不同。例如,如果你有一個高度安全的網絡用于極度敏感的系統(tǒng),對于5級控制評級標準,你可能會將這些系統(tǒng)評為5級。同樣地,如果使用公共IP地址的系統(tǒng)可以通過互聯(lián)網從web應用訪問,而沒有受到web應用防火墻保護,這種系統(tǒng)可能被評為1級或者2級。你應該選擇能夠準確反映你的環(huán)境中預期控制的評級標準,然后對具有強大安全控制的系統(tǒng)評為較高等級。

整合這些數據

在收集了所有這些信息后,你可以利用它們來評估你的報告中出現的漏洞。而且,在你將所有這些數據收集在一起后,你可以對系統(tǒng)中存在的每個漏洞執(zhí)行下面這個簡單的計算:

風險數=(漏洞嚴重程度*數據敏感度)/現有控制

如果每個選項都是5分制,這個漏洞評級范圍將是從最低0.2分(在僅包含公共信息的良好控制的系統(tǒng)中存在的的嚴重性漏洞)到最高25分(包含高敏感度信息而缺乏安全控制的系統(tǒng)中存在高嚴重性漏洞)。

雖然這看起來需要收集大量數據以及執(zhí)行大量計算,你可以找到方法來自動化這個過程并改進你的漏洞優(yōu)先級工作。例如,你可以創(chuàng)建一個數據庫來存儲關于所有服務器資產的數據敏感度和控制狀態(tài)信息。

同樣地,你可以利用腳本來分析供應商報告,以自動化提取漏洞嚴重度信息,從數據庫中提取相關信息并計算風險分數。

我們有很多方法來為企業(yè)定制網絡安全漏洞優(yōu)先級系統(tǒng)。無論你做出怎樣的調整,對于任何想要降低IT安全風險的企業(yè)而言,基于風險優(yōu)先級決策的有效的漏洞管理程序都是一個必須因素。簡化用來執(zhí)行漏洞風險分析的程序,讓企業(yè)更容易開始和維護這樣一個程序。


網站標題:如何對系統(tǒng)中的網絡安全漏洞進行評級?
URL標題:http://www.5511xx.com/article/dpeecjg.html