风险评估涉及到资产、威胁、脆弱性、安全措施、风险等各个要素,各要素之间相互作用,如下图。资产因为其价值而受到威胁,威胁者利用资产的脆弱性构成威胁。安全措施则是对资产进行保护,修补资产的脆弱性,从而可降低资产的风险。
1. 资产识别。
资产识别包含“资产分类”和“资产赋值”两个步骤。前者给出评估所考虑的具体对象,确认资产种类和清单,是整个风险评估工作的基础。
2. 安全策略与安全机制的分析。
验证信息系统内主体对客体的访问是否按照安全策略进行,是否存在越权访问以及非法访问,验证信息系统的身份认证等机制是否符合国家及金融行业相关标准对于认证强度的要求。
3. 安全管理规章制度及安全管理流程的检查。
检查唐山商行是否制定相应的信息安全管理制度,安全管理流程是否得到落实,是否能够控制信息系统无法通过技术手段避免的风险。
4. 威胁来源识别。
从威胁来源、威胁途径和威胁意图等方面充分识别唐山商行信息系统的风险。
5. 核心业务系统、网上银行系统和门户网站安全漏洞扫描。
主要包括OWASP TOP 10中的注入、失效的身份认证和会话管理、跨站脚本、不安全的直接对象引用、安全配置错误和敏感信息泄露等严重漏洞。
6. 网络拓扑结构分析。
分析网络拓扑结构是否合理、是否存在单点故障等。
7. 网络和主机系统漏洞扫描。
主要包括已公开的网络设备操作系统、主机操作系统安全漏洞。
8. 主机、网络和数据库安全配置检查。
检查主机、网络、安全设备以及数据库是否达到行业最佳安全实践的安全基准线。
9. 所采取安全防护措施调查和有效性确认。
分析验证已经采取的管理和技术安全防护措施是否有效。
10. 从互联网向银行业务系统进行渗透测试。
从互联网接入,利用已知及未知漏洞,对银行业务系统进行渗透测试。
11. 从内网向内部主机、应用和数据库系统进行渗透测试。
模拟黑客接入内部网络,对内部主机、应用和数据库系统进行渗透测试。
12. 从开发测试网络(第三方)进行渗透测试。
开发测试网络为非可信网络,模拟黑客从开发测试网络向银行内部进行渗透测试。
13. 进行风险分析、风险计算、风险评估、提出风险控制建议、主机加固建议、网络设备和数据库系统加固建议。
14. 撰写相关报告。
