信息安全风险评估作为信息安全保障工作的基础性工作和重要环节,应贯穿于网络和信息系统建设运行的全过程。
国家对开展信息安全风险评估工作做出明确规定,要求对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估。 (推荐学习:web前端视频教程)
《网络安全法》规定,关键信息基础设施运营者应当自行或者委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估。
网络安全评估是指针对公共网络所存在的漏洞及漏洞披露方式进行的一种技术评估。
这是一种纯粹的技术评估方法学,他会让人们对现今的公共网络所面临的威胁、所存在的漏洞及漏洞披露方式有一个更为深刻的理解。
在系统安全领域,所进行的数以万计的渗透测试的目的是“识别被测系统的技术漏洞,以便纠正这些漏洞或者降低由这些漏洞所带来的风险”。对于为什么要进行渗透测试而言,这是一个清晰、简明但也是错误的理由。
会逐渐认识到,大多数情况下漏洞及其披露缘于系统管理不善、没有及时打补丁、弱口令策略、不完善的存取控制机制,等等。
因此,进行渗透测试的主要原因和目的应该是识别和纠正系统管理过程的失效,正是这种失效导致了系统漏洞的出现,并在渗透测试的过程中被披露出来。
最常见的系统管理过程失效包括:
* 系统软件配置的失效
* 应用程序软件配置的失效
* 软件维护的失效
* 用户管理和系统管理的失效
以上是网络安全检测评估多久一次的详细内容。更多信息请关注PHP中文网其他相关文章!
