ch08系统风险评估与脆奔跑弱性分析.pptVIP

本章要点 针对信息系统，特别是网络系统，要先了解系统的安全弱点，才能进行安全加固。 本章在系统风险评估的理念指导下，首先解决系统的脆弱性检查，发现问题后再通过后续章节介绍的具体技术解决安全问题。 一、系统风险评估 1、风险评估的概念 通过风险评估能够清楚信息系统的安全需求，了解信息系统的脆弱性，从而达到信息安全建设的最终目的——满足信息系统的安全需求和降低信息系统的安全风险。 所谓风险评估，就是对信息资产面临的威胁、存在的弱点、造成的影响，以及三者综合作用而带来风险的可能性的评估。 作为风险管理的基础，风险评估是组织确定信息安全需求的一个重要途径，属于组织信息安全管理体系策划的过程。 一、系统风险评估 2、风险评估目的和基本要素 风险评估的目的 （1）了解组织的安全现状 （2）分析组织的安全需求 （3）建立信息安全管理体系的要求 （4）制订安全策略和实施安防措施的依据 （5）组织实现信息安全的必要的、重要的步骤 风险评估的四大要素 （1）资产及其价值 （2）威胁 （3）脆弱性 （4）现有的和计划的控制措施 一、系统风险评估 3、风险评估标准和工具 风险评估的标准 （1）ISO 13335 《信息安全管理方针》 （2）ISO 15408 《信息技术安全性通用评估准则》 （3）SSE-CMM 《系统安全工程成熟度模型》 （4）SP800-30 《信息系统安全风险管理》 （5）I