信息安全评估概述.pdf

信息安全评估概述 1 目录 安全评估基础 信息安全评估 安全评估实施 信息系统审计 知识域 知识子域 2 知识子域：安全评估基础 安全评估概念  了解安全评估的定义、价值、风险评估工作内容及 安全评估工具类型；  了解安全评估标准的发展； 3 安全评估基本概念 什么是安全评估  针对事物潜在影响正常执行其职能的行为产生干扰 或者破坏的因素进行识别、评价的过程 对安全评估的理解  狭义  广义 风险评估是确定安全 需求的重要途径！ 4 安全评估工作内容 确定保护的对象 （保护资产）是什么？它们直接 和间接价值？ 资产面临哪些潜在威胁？导致威胁的问题所在？ 威胁发生的可能性有多大？ 资产中存在哪里弱点可能会被威胁所利用？利用 的容易程序又如何？ 一旦威胁事件发生，组织会遭受怎样的损失或者 面临怎样的负面影响？ 组织应该采取怎样的安全措施才能将风险带来的 损失降低到最低程序。 5 安全评估的价值 安全建设的起点和基础 信息安全建设和管理的科学方法 倡导适度安全 保护网络空间安全的核心要素和重要手段 6 风险评估工具 风险评估与管理工具  一套集成了风险评估各类知识和判据的管理信息系统，以规 范风险评估的过程和操作方法；或者是用于收集评估所需要 的数据和资料，基于专家经验，对输入输出进行模型分析 系统基础平台风险评估工具  主要用于对信息系统的主要部件 （如操作系统、数据库系统 、网络设备等）的脆弱性进行分析，或实施基于脆弱性的攻 击 风险评估辅助工具  实现对数据的采集、现状分析和趋势分析等单项功能，为风 险评估各要素的赋值、定级提供依据 7 知识子域：安全评估基础 安全评估标准  了解TCSEC基本目标和要求、分级等概念；  了解ITSEC标准的适用范围、功能准则和评估准则 的级别；  了解ISO 15408标准的适用范围、作用和使用中的 局限性；  了解GB/T 18336结构、作用及评估的过程；  理解评估对象 （TOE）、保护轮廓 （PP）、安全目 标 （ST）、评估保证级 （EAL）等关键概念；  了解信息安全等级测评的作用和过程。 8 TCSEC （可信计算机系统评估标准） 美国政府国防部 （DoD）标准，为评估计算机系统 内置的计算机安全功能的有效性设定了基本要求  国家安全局的国家计算机安全中心 （NCSC）于1983 年发布，1985年更新，作为国防部彩虹系列出版物 的核心，TCSEC经常被称为橙皮书。  TCSEC已被2005年最初公布的国际标准