軟件系統(tǒng)風(fēng)險(xiǎn)規(guī)避措施

漏洞掃描風(fēng)險(xiǎn)規(guī)避措施一、編制目的根據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T22239-2008）的規(guī)定，對(duì)二級(jí)及二級(jí)以上信息系統(tǒng)測評(píng)時(shí)，需要對(duì)信息系統(tǒng)進(jìn)行安全測試，在安全測試的過程中，漏洞掃描設(shè)備根據(jù)漏洞的原理對(duì)操作系統(tǒng)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備和數(shù)據(jù)庫系統(tǒng)進(jìn)行漏洞掃描，以發(fā)現(xiàn)信息系統(tǒng)中存在的漏洞，在漏洞發(fā)掘的過程中可能會(huì)對(duì)操作系統(tǒng)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備和數(shù)據(jù)庫系統(tǒng)造成一定的風(fēng)險(xiǎn)，為了保障XXXXXXXX公司XXXX系統(tǒng)、主營業(yè)務(wù)系統(tǒng)和數(shù)據(jù)系統(tǒng)的正常運(yùn)行，減少突發(fā)事件造成的損失和影響，現(xiàn)結(jié)合河XXXXX公司XXX中心的實(shí)際情況，制定風(fēng)險(xiǎn)規(guī)避方法和造成風(fēng)險(xiǎn)后的風(fēng)險(xiǎn)響應(yīng)機(jī)制。二、風(fēng)險(xiǎn)分析本次漏洞掃描采用XXXX公司專業(yè)的漏洞掃描設(shè)備進(jìn)行掃描，掃描分為三個(gè)部分：服務(wù)器漏洞掃描、WEB應(yīng)用漏洞掃描和數(shù)據(jù)庫漏洞掃描，依次使用的工具為：XXXX安全評(píng)估系統(tǒng)、XXXX安全評(píng)估系統(tǒng)WEB掃描器和XXX數(shù)據(jù)庫漏洞掃描系統(tǒng)，因掃描設(shè)備采用漏洞的原理進(jìn)行嘗試，根據(jù)不同類型的系統(tǒng)可能會(huì)造成以下風(fēng)險(xiǎn)：1、操作系統(tǒng)風(fēng)險(xiǎn)點(diǎn)漏洞掃描可能會(huì)導(dǎo)致服務(wù)器操作系統(tǒng)宕機(jī)；漏洞掃描可能會(huì)導(dǎo)致操作系統(tǒng)反應(yīng)速度變慢；漏洞掃描可能會(huì)導(dǎo)致服務(wù)器操作系統(tǒng)損壞；漏洞掃描可能會(huì)導(dǎo)致應(yīng)用系統(tǒng)反應(yīng)速度變慢；漏洞掃描可能會(huì)導(dǎo)致應(yīng)用系統(tǒng)無響應(yīng)。2、數(shù)據(jù)庫系統(tǒng)風(fēng)險(xiǎn)點(diǎn)漏洞掃描可能會(huì)導(dǎo)致數(shù)據(jù)庫系統(tǒng)反應(yīng)速度變慢；漏洞掃描可能會(huì)導(dǎo)致數(shù)據(jù)庫系統(tǒng)無響應(yīng)；漏洞掃描可能會(huì)導(dǎo)致數(shù)據(jù)庫系統(tǒng)癱瘓；漏洞掃描可能會(huì)導(dǎo)致數(shù)據(jù)庫系統(tǒng)損壞；漏洞掃描可能會(huì)導(dǎo)致數(shù)據(jù)庫系統(tǒng)數(shù)據(jù)丟失；3、網(wǎng)絡(luò)設(shè)備風(fēng)險(xiǎn)點(diǎn)漏洞掃描可能會(huì)導(dǎo)致網(wǎng)絡(luò)設(shè)備變慢或宕機(jī)；漏洞掃描可能會(huì)導(dǎo)致網(wǎng)絡(luò)設(shè)備配置文件丟失。4、應(yīng)用系統(tǒng)風(fēng)險(xiǎn)點(diǎn)漏洞掃描可能會(huì)導(dǎo)致應(yīng)用系統(tǒng)反應(yīng)速度變慢；漏洞掃描可能會(huì)導(dǎo)致應(yīng)用系統(tǒng)無響應(yīng)。三、風(fēng)險(xiǎn)規(guī)避方法在多年的測試經(jīng)驗(yàn)中，我們針對(duì)安全測試可能產(chǎn)生的風(fēng)險(xiǎn)進(jìn)行分析，總結(jié)出了相應(yīng)規(guī)避方法，這些方法會(huì)將風(fēng)險(xiǎn)發(fā)生的幾率降至最低，具體風(fēng)險(xiǎn)規(guī)避的方法如下：安全測試的時(shí)間應(yīng)選擇在業(yè)務(wù)低峰期，當(dāng)發(fā)生安全事件后，可以有時(shí)間對(duì)系統(tǒng)進(jìn)行恢復(fù)；在安全測試開始前，對(duì)重要系統(tǒng)數(shù)據(jù)、重要操作系統(tǒng)、重要網(wǎng)絡(luò)設(shè)備配置和重要設(shè)備進(jìn)行備份，當(dāng)發(fā)生安全事件后，有冗余設(shè)備及時(shí)頂替工作，數(shù)據(jù)也為最新數(shù)據(jù)；對(duì)雙機(jī)冗余的設(shè)備只掃描其中一臺(tái)，保證另一臺(tái)可用；掃描前對(duì)各個(gè)接入點(diǎn)的IP地址、網(wǎng)絡(luò)接口和掃描對(duì)象進(jìn)行確認(rèn)；安全測試人員將掃描策略優(yōu)化至最小條數(shù)，縮短掃描時(shí)間；在安全測試前對(duì)操作系統(tǒng)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備和數(shù)據(jù)庫系統(tǒng)的狀態(tài)進(jìn)行檢查，確保各設(shè)備的狀態(tài)為正常；在安全測試后對(duì)操作系統(tǒng)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備和數(shù)據(jù)庫系統(tǒng)的狀態(tài)進(jìn)行檢查，確保各設(shè)備的狀態(tài)為正常；四、風(fēng)險(xiǎn)響應(yīng)方案在發(fā)生安全事故后，風(fēng)險(xiǎn)響應(yīng)范圍內(nèi)的單位應(yīng)及時(shí)采取有效的防范措施，控制網(wǎng)絡(luò)與信息安全事故的風(fēng)險(xiǎn)，避免網(wǎng)絡(luò)與信息安全事故的繼續(xù)產(chǎn)生，根據(jù)具體情況采取以下措施：當(dāng)服務(wù)器操作系統(tǒng)宕機(jī)或變慢時(shí)，應(yīng)由相關(guān)廠家人員對(duì)操作系統(tǒng)重新啟動(dòng)；當(dāng)服務(wù)器操作系統(tǒng)損壞時(shí)，應(yīng)由相關(guān)廠家人員對(duì)操作系統(tǒng)進(jìn)行安裝；當(dāng)應(yīng)用系統(tǒng)變慢或無響應(yīng)時(shí)，應(yīng)用相關(guān)廠家人員對(duì)應(yīng)用程序、中間件進(jìn)行重新啟動(dòng)；當(dāng)應(yīng)用系統(tǒng)損壞時(shí)，應(yīng)由相關(guān)廠家人員對(duì)應(yīng)用程序、中間件進(jìn)行安裝；當(dāng)數(shù)據(jù)庫系統(tǒng)無響應(yīng)或變慢時(shí)，應(yīng)用相關(guān)廠家人員對(duì)數(shù)據(jù)庫系統(tǒng)進(jìn)行重啟；當(dāng)數(shù)據(jù)庫癱瘓時(shí)，應(yīng)由相關(guān)廠家人員對(duì)數(shù)據(jù)庫進(jìn)行重裝并進(jìn)行數(shù)據(jù)庫恢復(fù)；當(dāng)網(wǎng)絡(luò)設(shè)備變慢或