网络系统安全评估及高危漏洞.ppt

;;;近年网络平安态势;任何组织都会遭受攻击;每年发现的漏洞数量飞速上升;发起攻击越来越容易、攻击能力越来越强;黑客的职业化之路;面临严峻的平安形势;网络平安事件造成巨大损失;网络平安事件类型;常用管理方法;;网络攻击产生原因分析;平安设计四步方法论;ISSF模型;平安设计和平安域/等级保护的结合(例如〕;网络系统平安风险评估;组织实现信息平安的必要的、重要的步骤;风险的四个要素：;脆弱性;风险分析矩阵—风险程度;国际上常见的风险控制流程;提供;风险评估要素关系模型;信息系统是一个巨型复杂系统〔系统要素、平安要素〕

信息系统受制于外部因素〔物理环境、行政管理、人员〕

作业连续性保证

威胁和风险在同领域内的相似性

自评估、委托评估、检察评估;风险评估的一般工作流程

;;;评估工具;;;通用准那么CC

(ISO/IEC15408、GB/T18336〕;;CC的适用范围;CC内容;CC的关键概念;CC的关键概念;CC的关键概念;CC的关键概念;CC的关键概念;CC的关键概念;CC的先进性;CC的先进性…;;CC内容之间的关系;保护轮廓与平安目标的关系;通用准那么CC;通用准那么CC：第一局部介绍和通用模型;CC第一局部内容〔1〕;CC第一局部内容〔2〕;通用准那么CC;通用准那么CC;通用准那么CC;通用准那么CC：保护轮廓内容结构;通用准那么CC;通用准那么CC：平安目标ST内容结构;通用准那么CC;通用准那么CC;通用准那么CC第二局部：平安功能要求;通用准那么CC第二局部：平安功能要求;通用准那么CC第二局部：平安功能要求;通用准那么CC第二局部：平安功能要求;通用准那么CC第二局部：平安功能要求;平安功能需求层次关系;通用准那么CC;通用准那么CC：第三局部评估方法;通用准那么CC：第三局部评估方法;通用准那么CC：第三局部评估方法;通用准那么CC：第三局部评估方法;通用准那么CC：第三局部评估方法;通用准那么CC：第三局部评估方法;通用准那么CC：第三局部评估方法;通用准那么CC;;通用准那么CC;通用准那么CC：EAL解释;通用准那么CC：EAL解释;CC的EAL与其他标准等级的比较;PP根本原理;威胁举例;平安目的举例;O.SINUSE;TOE平安功能要求举例;PP例如;通用准那么CC;BS7799、ISO17799

;历史沿革;BS7799内容：总那么;BS7799局部;十大管理要项BS7799-2:2002;十大管理要项BS7799-2:2002;十大管理要项BS7799-2:2002;BS7799与CC的比较;制订信息平安方针;第一步制订信息平安方针

BS7799-2对ISMS的要求：

组织应定义信息平安方针。

信息平安是指保证信息的保密性、完整性和可用性不受破坏。建立信息平安管理体系的目标是对公司的信息平安进行全面管理。

信息平安方针是由组织的最高管理者正式制订和发布的该组织的信息平安的目标和方向，用于指导信息平安管理体系的建立和实施过程。

要经最高管理者批准和发布

表达了最高管理者对信息平安的承诺与支持

要传达给组织内所有的员工

要定期和适时进行评审

目的和意义

为组织提供了关注的焦点，指明了方向，确定了目标；

确保信息平安管理体系被充分理解和贯彻实施；

统领整个信息平安管理体系。;第一步制订信息平安方针

信息平安方针的内容

包括但不限于：

组织对信息平安的定义

信息平安总体目标和范围

最高管理者对信息平安的承诺与支持的声明

符合相关标准、法律法规、和其它要求的声明

对信息平安管理的总体责任和具体责任的定义

相关支持文件

本卷须知

简单明了

易于理解

可实施

防止太具体;;第三步风险评估

BS7799-2对ISMS的要求：

组织应进行适当的风险评估，风险评估应识别资产所面对的威胁、脆弱性、以及对组织的潜在影响，并确定风险的等级。

是否执行了正式的和文件化的风险评估？

是否经过一定数量的员工验证其正确性？

风险评估是否识别了资产的威胁、脆弱性和对组织的潜在影响？

风险评估是否认期和适时进行？;第四步风险管理

BS7799-2对ISMS的要求：

组织应依据信息平安方针和组织要求的平安保证程度来确定需要管理的信息平安风险。

根据风险评估的结果，选择风险控制方法，将组织面临的风险控制在可以接受的范围之内。

是否认义了组织的风险管理方法？

是否认义了所需的信息平安保证程度？

是否给出了可选择的控制措施供管理层做决定？;第五步选择控制目标和控制措施

BS7799-2对ISMS的要求：

组织应选择适当的控制措施和控制目标来满足风险管理的要求，并证明选择结果的正确性。

选择控制措施的示意图