第9章 计算机系统安全风险评估课品.pptVIP

计算机系统安全原理与技术(第2版) 第9章 计算机系统安全风险评估 本章主要内容 计算机系统安全风险评估的目的和意义 安全风险评估途径 安全风险评估基本方法 安全风险评估工具 安全风险评估的依据和过程 信息系统安全风险评估实例 9.1计算机系统安全风险评估的目的和意义 安全风险评估是科学分析并确定风险的过程 信息安全风险评估是信息安全建设的起点和基础 信息安全风险评估是需求主导和突出重点原则的具体体现 重视风险评估是信息化比较发达的国家的基本经验 9.2 安全风险评估途径 基线评估(Baseline Risk Assessment) 详细评估 组合评估 9.3 安全风险评估基本方法 基于知识的评估方法 基于模型的评估方法 定量评估方法 定性分析方法 定性与定量相结合的综合评估方法 9.4 安全风险评估工具 1．风险评估与管理工具 1）基于信息安全标准的风险评估与管理工具。 2）基于知识的风险评估与管理工具。 3）基于模型的风险评估与管理工具。 9.4 安全风险评估工具 2．系统基础平台风险评估工具 系统基础平台风险评估工具包括脆弱性扫描工具和渗透性测试工具。 脆弱性扫描工具主要用于对信息系统的主要部件（如操作系统、数据库系统、网络设备等）的脆弱性进行分析，目前常见的脆弱性扫描工具有以下几种类型。 1）基于网络的扫描器。在网络中运行，能够检测如防火墙错误配置或连