- 1、本文档共6页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
风险评估准备:确定评估范围、组织评估小组、评估目标、评估工具和评估方法。
风险因素识别:资产识别、威胁识别、脆弱点识别
风险评估方法:采用的方法主要:问卷调查、工具、查、文档查、渗透测试等。 是否能够容纳具有不同密钥长度的各种加密机制? ? ? ? 是否为加密后的数据再采用签名以确保初始化矢量的完整性不被破坏?(加密算法中使用的初始化矢量虽然可以解决为给定密钥和数据创建相同密文的安全问题,但初始化矢量本身也可能被修改,使上述问题再次出现。) 是否采用的多种签名格式? 加密的工具对递归深度或请求使用资源数量是否做限制? 选择采用的合适的预防措施以免受任何潜在的拒绝服务的攻击。
(3)重要性程度的赋值:
应用头脑风暴法,即根据风险预测和风险识别的目的和要求,组成专家组,通过会议形式让大家畅所欲言,而后对各位专家的意见进行汇总、综合,以得出最后的结论。
资产评估值=Round{log 2 [2机密性+2完整性+2可用性]}
机密性∈(0.4),完整性∈(0.4),可用性∈(0.4),资产评估值∈(0.4)
威胁评估
威胁的确定:
通过对应用系统、网络系统、文档和数据、软件、物理环境设计调查问卷,根据答案的汇总进行确定
如:
网络层次 安全要素 身份鉴别 自主访问控制 标记 强制访问控制 数据流控制 安全审计 数据完整性 数据保密性 可信路径 抗抵赖 网络安全监控
网络安全功能基本要求:
身份鉴别:
用户识别 在SSF实施所要求的动作之前,是否对提出该动作要求的用户进行标识? 所标识用户在信息系统生存周期内是否具有唯一性? 对用户标识信息的管理、维护是否可被非授权地访问、修改或删除? 用户鉴别 在SSF实施所要求的动作之前,是否对提出该动作要求的用户进行鉴别? 是否检测并防止使用伪造或复制的鉴别数据 能否提供一次性使用鉴别数据操作的鉴别机制? 能否提供不同的鉴别机制?根据所描述的多种鉴别机制如何提供鉴别的规则? 能否规定需要重新鉴别用户的事件? 用户-主体绑定 对一个已识别和鉴别的用户,是否通过用户-主体绑定将该用户与该主体相关联?
自主访问控制:
访问控制策略 是否按确定的自主访问控制安全策略实现主体与客体建操作的控制? 是否有多个自主访问控制安全策略,且多个策略独立命名? 访问控制功能 能否在安全属性或命名的安全属性组的客体上执行访问控制SFP? 在基于安全属性的允许主体对客体访问的规则的基础上,能否允许主体对客体的访问? 在基于安全属性的拒绝主体对客体访问的规则的基础上,能否拒绝主体对客体的访问? 访问控制范围 1、每个确定的自主访问控制,SSF是否覆盖网络系统中所定义的主体、客体及其之间的操作? 2、每个确定的自主访问控制,SSF是否覆盖网络系统中所有的主体、客体及其之间的操作? 访问控制粒度 1、网络系统中自主访问控制粒度为粗粒度/中粒度/细粒度?
标记:
主体标记 是否为强制访问控制的主体指定敏感标记? 客体标记 2、是否为强制访问控制的客体指定敏感标记? 标记完整性 敏感标记能否准确表示特定主体或客体的访问控制属性? 有标记信息
的输出 将一客体信息输出到一个具有多级安全的I/O设备时,与客体有关的敏感标记也可输出? 对于单级安全设备,授权用户能否可靠地实现指定的安全级的信息通信?
强制访问控制
访问控制策略 是否为强制访问控制的主体指定敏感标记? 客体标记 2、是否为强制访问控制的客体指定敏感标记? 标记完整性 敏感标记能否准确表示特定主体或客体的访问控制属性? 有标记信息
的输出 将一客体信息输出到一个具有多级安全的I/O设备时,与客体有关的敏感标记也可输出? 对于单级安全设备,授权用户能否可靠地实现指定的安全级的信息通信?
用户数据完整性
存储数据的完整性 是否对基于用户属性的所有客体,对用户数据进行完整性检测? 2、当检测到完整性错误时,能否采取必要的恢复、审计或报警措施? 传输数据的完整性 1、是否对被传输的用户数据进行检测? 2、数据交换恢复若没有可恢复复件,能否向源可信IT系统提供反馈信息? 处理数据的完整性 对信息系统处理中的数据,能否通过“回退”进行完整性保护?
用户数据保密性
存储数据的保密性 是否对存储在SSC内的用户数据进行保密性保护? 传输数据的保密性 1、是否对在SSC内的用户数据进行保密性保护? 客体安全重用 1、将安全控制范围之内的某个子集的客体资源分配给某一用户或进程时,是否会泄露该客体中的原有信息? 2、将安全控制范围之内的所有客体资源分配给某一用户或进程时,是否会泄露该客体中的原有信息?
如:
调查问卷
您可能关注的文档
- 非共同性斜视.ppt
- 非教学系部门评估原则指导意见.doc
- 非均匀加宽工作物质的增益系数.ppt
- 非量化部门绩效管理系统设计.ppt
- 非量化部门绩效管理系统设计1.ppt
- 非税收入管理(三).doc
- 非线性规划模型.ppt
- 非言语交际手段和言语交际手段不同.doc
- 非与是的诉起缓暂.doc
- 非政府组织参与居家养老.doc
- 国际标准 IEC 61169-47:2015 EN Radio-frequency connectors - Part 47: Sectional specification for radio-frequency coaxial connectors with clamp coupling, typically for use in 75 Ω cable networks (type F-Quick) 无线电频率连接器 - 第47部分:用于无线电频率同轴连接器的部分规范,.pdf
- 国际标准 IEC 61158-5-17:2007 EN 工业通信网络 - 现场总线规范 - 第5-17部分:应用层服务定义 - 类型17元素 Industrial communication networks - Fieldbus specifications - Part 5-17: Application layer service definition - Type 17 elements.pdf
- 国际标准 IEC 61158-5-17:2007 EN Industrial communication networks - Fieldbus specifications - Part 5-17: Application layer service definition - Type 17 elements 工业通信网络 - 现场总线规范 - 第5-17部分:应用层服务定义 - 类型17元素.pdf
- 国际标准 IEC 60939-2-2:2004 EN_D 完整抑制无线电干扰滤波器单元-第2-2部分:空白详细规范-用于抑制电磁干扰的被动滤波器单元-仅需进行安全测试的滤波器(安全测试) Complete filter units for radio interference suppression - Part 2-2: Blank detail specification - Passive filter uits for electromagnetic interference .pdf
- 国际标准 IEC 60939-2-2:2004 EN_D Complete filter units for radio interference suppression - Part 2-2: Blank detail specification - Passive filter uits for electromagnetic interference suppression - Filters for which safety tests are required (safety.pdf
- 国际标准 IEC 60670-23:2006 EN-FR Boxes and enclosures for electrical accessories for household and similar fixed electrical installations - Part 23: Particular requirements for floor boxes and enclosures 家用和类似固定电气安装用电器配件的盒子与封闭装置——第23部分:地板箱和封闭装置的要求.pdf
- 国际标准 IEC 60670-23:2006 EN-FR 家用和类似固定电气安装用电器配件的盒子与封闭装置——第23部分:地板箱和封闭装置的要求 Boxes and enclosures for electrical accessories for household and similar fixed electrical installations - Part 23: Particular requirements for floor boxes and enclosures.pdf
- 2024版完整的货物运输合同书.doc
- 2024版无财产的离婚协议书书模板.doc
- 2024版委托融资租赁合同书书.doc
文档评论(0)