《7网络安全理论与技术（第七讲）》.pdf

网络安全理论与技术网络安全理论与技术 张卫东 西安电子科技大学通信工程学院信息工程系 E-mail: xd_zwd@ 1 第五章 网络安全处理 5.1 评估 5.2 策略制定 5.3 实施 55.44 安全培训安全培训 5.55.5 审计审计 5.6 网络安全实施流程 网络安全处理过程 网络安全处理过程是一个周而复始的连续过程， 它包含它包含55个关键的阶段个关键的阶段，，如下图所示如下图所示。。 每每一阶段的工阶段的工 作对组织的安全 都是有价值的， 然而只有将这些 阶段的工作协调 一致才能有效地一致才能有效地 管理网络安全的 事故风险事故风险。。 第五章 网络安全处理 55.11 评估评估 5.2 策略制定 5.3 实施 55.44 安全培训安全培训 5.5 审计 5.6 网络安全实施流程 “居安思危居安思危，，思则有备思则有备，， 有备无患有备无患，，敢以此规敢以此规。。”” 《《左传左传》》 安全风险评估同样蕴涵了这一思想。 5.1 评估网络 评估的作用是：确定一个组织的信息资产的价值， 识别与这些信息资产有关的威胁及漏洞大小识别与这些信息资产有关的威胁及漏洞大小，，确确 定总的风险对该组织的重要性。 评估是十分重要的，如果对一个组织的信息 资产当前的风险状态不清楚，就不可能有效地实 施合适的安全程序，以保护这些资产。 评估是通过风险管理计划来完成的评估是通过风险管理计划来完成的。。一旦识一旦识 别和量化了风险，就可以选择有效的、代价小的 预防措施以降低这些风险预防措施以降低这些风险。。 1.评估目的 归纳起来，网络信息安全评估有以下一些目的： 确定信息资产的价值确定信息资产的价值；； 确定对这些信息资产的机密性、完整性、可用 性和可审性的威胁性和可审性的威胁；； 确定该组织当前实际存在的漏洞； 识别与该组织信息资产有关的风险； 提出改变现状的建议，使风险减少到可接受的 水平； 提供一个构造合适的安全计划的基础。 2.评估类型 通常有5个通用的评估类型： 系统级漏洞评估检验计算机系统的已知漏洞及基本策略