技术设施,如主机、网络设备等支持组织信息系统的正常运行。组织的信息安全策略,许多最终也需要通过对技术设施进行适当设置来落实,如,通过对防火墙进行设置,从而只允许授权人员访问特定服务。此外,许多非法攻击,通常也是利用技术设施存在的安全隐患发起的,如技术设施上存在的默认密码。因此,保持技术设施的安全运行,是整个组织信息安全的基础。通过对技术设施进行安全评估,将使得组织的技术人员全面了解技术设施上存在的安全隐患,从而能够采取相应的措施以降低这些安全隐患被非法利用的可能性。
技术设施安全评估指采用科学、系统的方法对被评估单位的关键技术设施(操作系统、数据库、应用服务器、网络设备等)的安全状况进行评估,以发现关键技术设施在安装部署、认证授权、安全审计、运行维护等方面存在的技术安全隐患,并提出相应的整改建议。
3.服务内容
技术设施安全评估服务包括如下内容:
1) 确定被评估单位所拥有的关键技术设施;
2) 通过文档审阅、脆弱性扫描、本地审计、人员访谈等方式,获取评估范围内关键技术设施与信息安全相关的信息;
3) 综合分析所收集的相关信息,鉴别关键技术设施存在的安全问题,提出相应的整改建议;
4) 基于综合分析结果,汇总整理形成被评估单位技术设施安全评估报告。
通过所提供的技术设施安全评估服务,被评估单位可以:
-
清晰理解技术设施所面临的信息安全问题
-
前瞻性地处理技术设施所面临的安全问题
-
在信息安全投资上的决策更加科学
-
提高技术人员对信息安全的认识
1) 清晰理解技术设施所面临的信息安全问题
通过技术设施安全评估,评估人员将向被评估单位详细阐述被评估单位技术设施所存在的安全问题,从而使得被评估单位将清晰认识技术设施所存在的安全缺陷。
2) 前瞻性地处理技术设施所面临的安全问题
被评估单位根据评估人员所提出的建议,基于自身的信息安全需求、预算等实际情况,实施相应的控制措施,从而可以最大程度地降低技术安全问题被利用的可能性。
3) 在信息安全投资上的决策更加科学
评估所获得的数据是通过文档审阅、脆弱性扫描、本地审计、人员访谈等多种方式获得的,体现了被评估单位的实际状况。基于这些数据,评估人员分析被评估单位所面临的安全问题,从而提出相应的建议,而不是单纯从理想的信息安全体系来对技术设施提出建设建议,因此技术设施安全评估结果将是信息安全投资的可靠依据。
4) 提高技术人员对信息安全的认识
评估过程中评估人员将与被评估单位技术人员密切合作。通过回答评估人员提出的有针对性的问题、确认由现状所获得的评估发现等,被评估单位的技术人员将逐步提高对信息安全的认识。
5.方法流程
技术设施安全评估服务分为计划准备、现场评估、分析报告、项目验收4个阶段,每个阶段由不同的任务组成,如下图所示:
6.工作成果
技术设施安全评估服务的最终成果是技术设施安全评估报告。根据不同的评估对象,评估报告内容将有所不同。