信息安全评估_V4.2.pdf

信息安全评估

版本：4.2

刘鹏深信服

课程内容

安全评估基础

信息安全评估安全评估实施

信息系统审计

知识域知识子域

2

知识子域：安全评估基础

v安全评估概念

§了解安全评估的定义、价值、风险评估工作内容及安全评估工具类型；

§了解安全评估标准的发展；

3

安全评估基本概念

v什么是安全评估

§针对潜在影响资产正常执行其职能的行为产生干扰或者破坏的因素进行

识别、评价的过程

v对安全评估的理解

§狭义指对一个具有特定功能的工作系统中固有的或潜在的危险及其严重程度所进

行的分析与评估，并以既定指数、等级或概率值作出定量的表示，最后根据定量

值决定采取的预防或防护对策。

§广义指利用系统工程原理和方法对拟建或已有工程、系统可能存在的危险性及其

可能产生的后果进行综合评价和预测，并根据可能导致的事故风险的大小，提出

相应的安全对策措施，以达到工程、系统安全目标的过程。

风险评估是确定安全需

求的重要途径！

4

安全评估工作内容

v风险评估工作包括以下方面：

§资产梳理，资产赋值

§威胁识别

§脆弱性识别

§风险分析

§不可接受风险处置计划

v确定保护的对象（保护资产）是什么？它们直接和间接价值？

v资产面临哪些潜在威胁？导致威胁的问题所在？威胁发生的可能性有多大？

v资产中存在哪里弱点可能会被威胁所利用？利用的容易程度又如何？

v一旦威胁事件发生，组织会遭受怎样的损失或者面临怎样的负面影响？

v组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程序。

5

安全评估的价值

v安全建设的起点和基础（规避、减少、转移、接受间做正确判断）

v信息安全建设和管理的科学方法（管理层和决策层得以了解组织信息

安全，再去做决策）

v倡导适度安全

v保护网络空间安全的核心要素和重要手段

§提高安全针对性。

§降低安全成本。

§提供适度的安全。

6

风险评估工具

v风险评估与管理工具（基于信息安全标准，知识，模型）

§一套集成了风险评估各类知识和判据的管理信息系统，以规范风险评估

的过程和操作方法；或者是用于收集评估所需要的数据和资料，基于专

家经验，对输入输出进行模型分析

v系统基础平台风险评估工具（脆弱性扫描工具和渗透测试工具）

§主要用于对信息系统的主要部件（如操作系统、数据库系统、网络设备

等）的脆弱性进行分析，或实施基于脆弱性的攻击

v风险评估辅助工具（入侵检测，安全审计，拓扑发现，资产收集）

§实现对数据的采集、现状分析和趋势分析等单项功能，为风险评估各要

素的赋值、定级提供依据

7

知识子域：安全评估标准

v安全评估标准

§