网络安全评估

A. 如何对网络安全进行风险评估

安全风险分为四个颜色，红、蓝、黄、绿。
分别对应四个等级，其含义和用途：
（1）红色：表示禁止、停止，用于禁止标志、停止信号、车辆上的紧急制动手柄等；
（2）蓝色：表示指令、必须遵守的规定，一般用于指令标志；
（3）黄色：表示警告、注意，用于警告警戒标志、行车道中线等；
（4）绿色：表示提示安全状态、通行，用于提示标志、行人和车辆通行标志等。



(1)网络安全评估扩展阅读：
国家标准GB2893—82《 安全色》对安全色的含义及用途、照明要求、颜色范围以及检查与维修等均作了具体规定。
根据《安全色》（GB2893-2001），国家规定了四种传递安全信息的安全色：红色表示禁止、危险；黄色表示警告、注意；蓝色表示指令、遵守；绿色表示通行、安全。
安全风险评估
安全风险评估：就是从风险管理角度，运用科学的方法和手段，系统地分析网络与信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。
风险评估工作贯穿信息系统整个生命周期，包括规划阶段、设计阶段、实施阶段、运行阶段、废弃阶段等。
常用的安全风险评价方法：
1、工作危害分析（JHA）；
2、安全检查表分析（SCL）；
3、预危险性分析（PHA）；
4、危险与可操作性分析（HAZOP）；
5、失效模式与影响分析（FMEA）；
6、故障树分析（FTA）；
7、事件树分析（ETA）；
8、作业条件危险性分析（LEC）等方法。

B. 简述网络安全的相关评估标准.

1 我国评价标准

1999年月经过国家质量技术监督局批准发布的《计算机信息系统安全保护等级划分准则》将计算机安全保护划分为以下5个级别。
l 第1级为用户自主保护级（GB1安全级）：它的安全保护机制使用户具备自主安全保护的能力，保护用户的信息免受非法的读写破坏。
l 第2级为系统审计保护级（GB2安全级）：除具备第一级所有的安全保护功能外，要求创建和维护访问的审计跟踪记录，使所有的用户对自己的行为的合法性负责。
l 第3级为安全标记保护级（GB3安全级）：除继承前一个级别的安全功能外，还要求以访问对象标记的安全级别限制访问者的访问权限，实现对访问对象的强制保护。
l 第4级为结构化保护级（GB4安全级）：在继承前面安全级别安全功能的基础上，将安全保护机制划分为关键部分和非关键部分，对关键部分直接控制访问者对访问对象的存取，从而加强系统的抗渗透能力。
l 第5级为访问验证保护级（GB5安全级）：这一个级别特别增设了访问验证功能，负责仲裁访问者对访问对象的所有访问活动。
我国是国际标准化组织的成员国，信息安全标准化工作在各方面的努力下正在积极开展之中。从20世纪80年代中期开始，自主制定和采用了一批相应的信息安全标准。但是，应该承认，标准的制定需要较为广泛的应用经验和较为深入的研究背景。这两方面的差距，使我国的信息安全标准化工作与国际已有的工作相比，覆盖的范围还不够大，宏观和微观的指导作用也有待进一步提高。
2 国际评价标准

根据美国国防部开发的计算机安全标准——可信任计算机标准评价准则（Trusted Computer Standards Evaluation Criteria，TCSEC），即网络安全橙皮书，一些计算机安全级别被用来评价一个计算机系统的安全性。
自从1985年橙皮书成为美国国防部的标准以来，就一直没有改变过，多年以来一直是评估多用户主机和小型操作系统的主要方法。其他子系统（如数据库和网络）也一直用橙皮书来解释评估。橙皮书把安全的级别从低到高分成4个类别：D类、C类、B类和A类，每类又分几个级别，如表1-1所示。
表 安全 级 别
类 别
级 别
名 称
主 要 特 征
D
D
低级保护
没有安全保护
C
C1
自主安全保护
自主存储控制
C2
受控存储控制
单独的可查性，安全标识
B
B1
标识的安全保护
强制存取控制，安全标识
B2
结构化保护
面向安全的体系结构，较好的抗渗透能力
B3
安全区域
存取监控、高抗渗透能力
A
A
验证设计
形式化的最高级描述和验证
D级是最低的安全级别，拥有这个级别的操作系统就像一个门户大开的房子，任何人都可以自由进出，是完全不可信任的。对于硬件来说，没有任何保护措施，操作系统容易受到损害，没有系统访问限制和数据访问限制，任何人不需任何账户都可以进入系统，不受任何限制可以访问他人的数据文件。属于这个级别的操作系统有DOS和Windows 98等。
C1是C类的一个安全子级。C1又称选择性安全保护（Discretionary Security Protection）系统，它描述了一个典型的用在UNIX系统上安全级别。这种级别的系统对硬件又有某种程度的保护，如用户拥有注册账号和口令，系统通过账号和口令来识别用户是否合法，并决定用户对程序和信息拥有什么样的访问权，但硬件受到损害的可能性仍然存在。
用户拥有的访问权是指对文件和目标的访问权。文件的拥有者和超级用户可以改变文件的访问属性，从而对不同的用户授予不通的访问权限。
C2级除了包含C1级的特征外，应该具有访问控制环境（Controlled Access Environment）权力。该环境具有进一步限制用户执行某些命令或者访问某些文件的权限，而且还加入了身份认证等级。另外，系统对发生的事情加以审计，并写入日志中，如什么时候开机，哪个用户在什么时候从什么地方登录，等等，这样通过查看日志，就可以发现入侵的痕迹，如多次登录失败，也可以大致推测出可能有人想入侵系统。审计除了可以记录下系统管理员执行的活动以外，还加入了身份认证级别，这样就可以知道谁在执行这些命令。审计的缺点在于它需要额外的处理时间和磁盘空间。
使用附加身份验证就可以让一个C2级系统用户在不是超级用户的情况下有权执行系统管理任务。授权分级使系统管理员能够给用户分组，授予他们访问某些程序的权限或访问特定的目录。能够达到C2级别的常见操作系统有如下几种：
（1）UNIX系统；
（2）Novell 3.X或者更高版本；
（3）Windows NT，Windows 2000和Windows 2003。
B级中有三个级别，B1级即标志安全保护（Labeled Security Protection），是支持多级安全（例如：秘密和绝密）的第一个级别，这个级别说明处于强制性访问控制之下的对象，系统不允许文件的拥有者改变其许可权限。
安全级别存在秘密和绝密级别，这种安全级别的计算机系统一般在政府机构中，比如国防部和国家安全局的计算机系统。
B2级，又叫结构保护（Structured Protection）级别，它要求计算机系统中所有的对象都要加上标签，而且给设备（磁盘、磁带和终端）分配单个或者多个安全级别。
B3级，又叫做安全域（Security Domain）级别，使用安装硬件的方式来加强域的安全，例如，内存管理硬件用于保护安全域免遭无授权访问或更改其他安全域的对象。该级别也要求用户通过一条可信任途径连接到系统上。
A级，又称验证设计（Verified Design）级别，是当前橙皮书的最高级别，它包含了一个严格的设计、控制和验证过程。该级别包含较低级别的所有的安全特性。
安全级别设计必须从数学角度上进行验证，而且必须进行秘密通道和可信任分布分析。可信任分布（Trusted Distribution）的含义是：硬件和软件在物理传输过程中已经受到保护，以防止破坏安全系统。橙皮书也存在不足，TCSEC是针对孤立计算机系统，特别是小型机和主机系统。假设有一定的物理保障，该标准适合政府和军队，不适合企业，这个模型是静态的。

C. 网络安全评估的意义

网络安全评估指标体系是网络安全评估体系的重要组成部分。网络安全评估指标是网络安全评估的工具，是反映评估对象安全属性的指示标志；网络安全评估指标体系则是根据评估目标和评估内容的要求构建的一组反映网络安全水平的相关指标，据以搜集评估对象的有关信息资料，反映评估对象的网络安全的基本面貌、素质和水平。
随着信息通信技术的演进和发展，网络信息安全的内涵需要不断地延伸，从最初的信息保密性发展到信息的完整性、可用性、可控性和不可否认性，进而又发展为“攻（攻击）、防（防范）、测（检测）、控（控制）、管（管理）、评（评估）”等多方面的基础理论和实施技术。网络信息安全风险评估则是进行网络信息安全管理和安全保障的基础和手段，是网络信息提供者、使用者判定安全风险级别的过程，也是应否实施额外的安全控制以进一步降低安全风险的依据。
加强信息安全保障工作的总体要求和主要原则，并对信息安全保障工作做了全面部署。其中信息安全风险评估是信息安全保障的重要基础性工作之一。
电信网络作为国民经济的基础设施，与国民经济各领域的联系日益紧密，网络安全问题对整个国民经济信息化进程有着举足轻重的战略作用。电信网网络安全作为国家信息安全的一个重要组成部分，要与国家信息安全总体要求和总体部署保持一致，要坚持积极防御、综合防范的方针，提高网络防护能力和风险识别能力，加强网络安全评估体系的研究。

D. 网络安全评估主要有哪些项目

网络安全评估，也称为网络评估、风险评估、网络风险评估、安全风险评估。一般回情况下，它包答括以下几个方面：
网络资产评估、网络架构评估、网络脆弱性评估、数据流评估、应用系统评估、终端主机评估、物理安全评估、管理安全评估，一共8个方面。

成都优创信安，专业的网络和信息安全服务提供商。

E. 网络安全风险评估多久一次

一般每年一次。
《中华人民共和国网络安全法》第三十八条 规定“关键信息基础设施的运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估，并将检测评估情况和改进措施报送相关负责关键信息基础设施安全保护工作的部门。”

F. 信息网络安全评估的方法

信息网络安全发展的时间是比较短的，所以，存在的问题还是比较多的、下面一起来看看信息网络安全风险评估的方法。
方法/步骤
1/6 分步阅读
定制适合的评估方法

在之前会有很多的评估方法，当我们需要评估的时候，应该将那些案例作为参考。然后，根据自己产品的特点，制定出适合的评估方法。

2/6
制定完整的框架

在做信息网络安全风险评估的时候，不只是要评估存在的风险，也是需要为管理提供一个基础的依据，整理出相关的数据。应该为产品设计一个1到2年的设计框架，这样才有一个基础的保证。

3/6
对用户的需求进行评估

不同的用户会有不用的需求，同时就会存在不同的风险，想要查找出风险，就需要和用户进行必要的沟通。多与用户沟通，对风险的评估有很大的帮助。

4/6
细致的分析

现在大多数的企业的系统都是比较复杂的，同时风险也是越来越隐蔽，越来越多的。所以，有必要对此进行一个细致深度的评估。找出了风险了以后，还需要找出为什么会存在风险，并找到解决方法。

5/6
系统的管理

对于评估信息网络安全风险并不是一个人就可以完成的，需要拥有一个专业的团队才可以及时有效的应对。拥有专业知识的团队是评估风险的一个保障、

6/6
计划好评估过程

在评估的时候一般是有前期，中期，后期这三个评估的过程的。在每一个过程都需要做不同的事情。同时也需要对风险评估有一个重要的认识，才可以准确的评估出风险。

G. 网络风险评估

网络风险评估，也称为安全风险评估、网络安全风险评估，它是指对网络中已专知或潜在的安全风属险、安全隐患，进行探测、识别、控制、消除的全过程，是企业网络安全管理工作的必备措施之一。通过网络安全评估，可以全面梳理网络中的资产，了解当前存在的安全风险和安全隐患，并有针对性地进行安全加固，从而保障网络的安全运行。

评估对象可以是面向整个网络的综合评估；也可以是针对网络某一部分的评估，如网络架构、重要业务系统、重要安全设备、重要终端主机等。

成都优创网络，专注于网络安全评估、网站安全检测、安全应急响应。