系统安全需求分类

Question

我正在研究一种方法来对我们的系统进行分类(通过ip可以实现的所有系统)，它会有多糟糕，有多大可能，有人会利用漏洞获得未经授权的访问。

我这样做是为了确定我要用像OpenVAS这样的粗俗扫描仪检查它们的深度和频率。

到目前为止，我有以下标准：

• 在受影响的系统上是否有任何明文凭据或文件可以很容易解密以访问其他系统？
• 受影响系统上的用户是否有与其他系统连接和认证的特殊权限？
• 系统上是否有任何与个人有关的资料？
• 系统的丧失是否也影响到其他依赖它的系统？
• 如果攻击者破坏了系统或使其变得无用，那么更换系统的时间或金钱昂贵吗(软件)？
• 它是一个生产性的，还是只是一个演示/测试系统？
• 只有一个部门与系统的时间损失有关，还是多个部门？
• 受影响的部门是否一成不变地依赖该系统，还是可能在短时间内在没有该系统的情况下保持可操作性？
• 系统上的配置和软件是否经常发生变化，所以S更有可能出现错误配置或新的漏洞被修补到系统中？
• 它是物理系统还是虚拟机？

如果有人有一两点需要补充，或者已经有这样的系统分类标准，我会很感激。

Answer 1

这听起来像是在寻找CERT中涵盖的一些内容。

http://www.cert.org/resilience/products-services/cert-rmm/index.cfm

我怀疑弹性管理模型的范围可能会超过您当前的项目，但是您所描述的目标似乎是RMM编码的路径的一部分。另一个切线的好处是，您可以指出，您正在做的工作遵循一个文件和公布的系统。