- 1、本文档共95页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
信息安全评估
版本:4.2
刘鹏深信服
课程内容
安全评估基础
信息安全评估安全评估实施
信息系统审计
知识域知识子域
2
知识子域:安全评估基础
v安全评估概念
§了解安全评估的定义、价值、风险评估工作内容及安全评估工具类型;
§了解安全评估标准的发展;
3
安全评估基本概念
v什么是安全评估
§针对潜在影响资产正常执行其职能的行为产生干扰或者破坏的因素进行
识别、评价的过程
v对安全评估的理解
§狭义指对一个具有特定功能的工作系统中固有的或潜在的危险及其严重程度所进
行的分析与评估,并以既定指数、等级或概率值作出定量的表示,最后根据定量
值决定采取的预防或防护对策。
§广义指利用系统工程原理和方法对拟建或已有工程、系统可能存在的危险性及其
可能产生的后果进行综合评价和预测,并根据可能导致的事故风险的大小,提出
相应的安全对策措施,以达到工程、系统安全目标的过程。
风险评估是确定安全需
求的重要途径!
4
安全评估工作内容
v风险评估工作包括以下方面:
§资产梳理,资产赋值
§威胁识别
§脆弱性识别
§风险分析
§不可接受风险处置计划
v确定保护的对象(保护资产)是什么?它们直接和间接价值?
v资产面临哪些潜在威胁?导致威胁的问题所在?威胁发生的可能性有多大?
v资产中存在哪里弱点可能会被威胁所利用?利用的容易程度又如何?
v一旦威胁事件发生,组织会遭受怎样的损失或者面临怎样的负面影响?
v组织应该采取怎样的安全措施才能将风险带来的损失降低到最低程序。
5
安全评估的价值
v安全建设的起点和基础(规避、减少、转移、接受间做正确判断)
v信息安全建设和管理的科学方法(管理层和决策层得以了解组织信息
安全,再去做决策)
v倡导适度安全
v保护网络空间安全的核心要素和重要手段
§提高安全针对性。
§降低安全成本。
§提供适度的安全。
6
风险评估工具
v风险评估与管理工具(基于信息安全标准,知识,模型)
§一套集成了风险评估各类知识和判据的管理信息系统,以规范风险评估
的过程和操作方法;或者是用于收集评估所需要的数据和资料,基于专
家经验,对输入输出进行模型分析
v系统基础平台风险评估工具(脆弱性扫描工具和渗透测试工具)
§主要用于对信息系统的主要部件(如操作系统、数据库系统、网络设备
等)的脆弱性进行分析,或实施基于脆弱性的攻击
v风险评估辅助工具(入侵检测,安全审计,拓扑发现,资产收集)
§实现对数据的采集、现状分析和趋势分析等单项功能,为风险评估各要
素的赋值、定级提供依据
7
知识子域:安全评估标准
v安全评估标准
§
您可能关注的文档
- 网络安全监管_V4.2.pdf
- 物理与网络通信安全_V4.2.pdf
- 信息安全支撑技术_V4.2.pdf
- 课后练习-安全工程与运营1.2.pdf
- 课后练习-计算环境安全.pdf
- 课后练习-软件开发安全.pdf
- 课后练习-网络安全监管.pdf
- 课后练习-物理与网络通信安全.pdf
- 课后练习-信息安全保障.pdf
- 课后练习-信息安全管理1.1.pdf
- 中国行业标准 GM/T 0126-2023HTML密码应用置标语法.pdf
- 《JJF 2121-2024恒转速源校准规范》.pdf
- 餐饮服务中20条处理要点.docx
- 《GM/T 0011-2023可信计算 可信密码支撑平台功能与接口规范》.pdf
- 《JJF 2134-2024旋转流变仪校准规范》.pdf
- JJF 2121-2024恒转速源校准规范.pdf
- 计量规程规范 JJF 2121-2024恒转速源校准规范.pdf
- 《JJF 2118-2024压力式六氟化硫气体密度控制器校验仪校准规范》.pdf
- JJF 2134-2024旋转流变仪校准规范.pdf
- 计量规程规范 JJF 2134-2024旋转流变仪校准规范.pdf
文档评论(0)