内部审计的安全评估及认证.pptVIP

第20章 安全认证和评估 20.1 风险管理 20.2 安全成熟度模型 20.3 威胁 20.4 安全评估方法 20.5 安全评估准则 20.6 本章小结 习题 针对内部和外部的攻击所采用的安全体系结构的能力需要认证和评估。技术在不断变化，新的应用正在开发，新的平台正在加到非军事区（DMZ），额外的端口正在加进防火墙。由于竞争，很多应用在市场的生存时间越来越短，软件开发生命周期中的测试和质量保证正在忽略。很多大的组织甚至没有一个完全的目录，将计算机、网络设备以及在网络上的各个应用编制进去，而只是将这些组件独自地进行配置。由于没有将安全测试作为软件质量保证的一个组成部分，应用的漏洞（脆弱性）不断发生。 安全评估认证安全体系结构是否能满足安全策略和最好的经营业务实际。一个典型的安全评估问题是它经常没有用于对经营业务的影响的评析。这里引入一个概念，称为安全成熟度模型（Security Maturity Model, SMM）,用来适当地测量一个给定的准则，该准则基于在工业界最佳的经营业务实际，且能将其反馈到经营业务。它还提供一个改进的方法，包括将不足之处列成清单。安全成熟度模型可测量企业安全体系结构的3个不同部分：计划、技术与配置、操作运行过程。 从经营业务的观点看，要求安全解决方案的性能价格比最好，即基于特定产业的最佳实际。在任何系统中的安全控制应预防经营业务的风险。然而