9.CISP 4.1版本《信息安全评估》知识点总结信息安全培训.docxVIP

《信息安全评估》考前知识点串讲

安全评估基础

评估分类：广义和狭义的分类。

评估作用和意义：略。

评估标准：TCSEC标准、ITSEC标准、FC标准、CC标准（重点）

TCSEC标准

针对计算机系统安全进行评估。

分成了ABCD四个级别和7个小类（级别）。

从B1级开始强制保护和使用安全标签。

ITSEC标准

首次提出了保密性、完整性、可用性。

提出了安全功能和功能评估两大部分。

分为10类安全功能和6级的安全强度。

FC标准：首次提出了PP的概念（标准化的需求）。

CC标准

继承了PP、功能和保证分离等优势。ISO/IEC15408，GB/T18336。

通用性体现体系架构、使用者（研发、评估、用户）、国家共用。

CC标准包括三部分：简介和一般模型、安全功能要求、安全保证要求。

CC标准的概念：TOE、PP、ST、EAL（EAL1-EAL7）

安全评估实施

风险评估要素：

资产：业务、安全、分类等有关。分类中有形和无形、物理和逻辑、静态和动态、硬件和软件等分类。

威胁：安全风险的外部原因，来源、动机、方式、对象、程度和频率。

脆弱性：安全风险的内部原因，技术脆弱性和管理脆弱性，主体、程度、分布。

安全措施：防护、检测、纠正、威慑措施。

补充：残余风险，需要进行持续跟踪和监视。

风险评估的方法

途径：基线评估、详细评估和组合评估。

方式：以自评估为主，自评估和检查评估相互结合和互为补充。

分析：知识分析、模型分析、定量分析和定性分析。

风险分析

定量分析：ALE=SLE*ARO=AV*EF*ARO

定性分析：知识、理论、经验的决定性因素。

风险评估过程

准备：团队、目标、范围、计划、方案、方法、工具等。

要素识别：资产、威胁、脆弱性、安全措施。

风险分析：定量分析、定性分析，以及二者结合。

结果判定：什么风险、影响、等级、处理建议。

如上的四个阶段，每一个阶段产生的文档和记录。

信息系统审计

审计的作用：合规性（安全性、真实性、效益性、合法性的等方面）

审计的流程：目标、范围划定、确定依据、组建团队、实施审计、审计报告、后续活动。

审计报告：SAS70和SOC的区别（范围不同、周期不同，前者范围小和周期短）。

（END）