@Allure
2年前 提问
1个回答

信息安全脆弱性识别可以从哪些方面查找

Simon
2年前

信息安全脆弱性识别可以从以下方面查找:

  • 信息资产的物理环境方面:可从资产所在的物理环境,与资产相关的设备安全性和存储介质安全性等方面查找其脆弱性。其中,物理环境包括物理位置、物理访问控制、温湿度控制、电力供应、防火、防水、防潮、防静电、防雷击、电磁防护等;设备安全性涉及设备的采购、安装、访问、废弃等环节;存储介质安全性涉及日常管理、使用、销毁等环节。

  • 信息资产所在的网络环境方面:可以从网络结构设计的安全性、网络边界、网络设备安全功能及使用情况、网络访问控制、网络连接等方面发现其脆弱性。在信息资产所在的网络环境方面,可以从网络结构设计的安全性、网络边界、网络设备安全功能及使用情况、网络访问控制、网络连接等方面发现其脆弱性。

  • 应用安全方面:主要是指组织采用的应用系统的设计、开发安全,包括应用系统架构与设计安全、账户安全、访问控制、身份鉴别、数据的安全性、密码支持、备份与故障恢复、异常处理等。

  • 管理方面:又分为技术管理和组织管理。其中,技术管理主要是指日常操作与维护管理、变更管理、备份与故障恢复、应急处理、业务持续性管理、认证/认可等;组织管理主要包括组织架构、安全策略、安全运行制度、人员安全、第三方组织与外包安全、信息资产的分类分级等。

  • 数据库方面:大量的Web应用程序在后台使用数据库来保存数据。数据库的应用使得Web从静态的HTML页面发展到动态的、广泛用于信息检索和电子商务的媒介,网站根据用户的请求动态生成页面,然后发送给客户端,而这些动态数据主要保存在数据库中。由于网站后台数据库中保存了大量的应用数据,因此它常常成为攻击者的目标。最常见的网站数据库攻击手段就是SQL注入攻击。