返回
信息系统安全风险评估培训材料

信息系统安全风险评估培训材料

ID:39278456

大小:1.63 MB

页数:52页

时间:2019-06-29

信息系统安全风险评估培训材料_第1页
信息系统安全风险评估培训材料_第2页
信息系统安全风险评估培训材料_第3页
信息系统安全风险评估培训材料_第4页
信息系统安全风险评估培训材料_第5页
资源描述:

《信息系统安全风险评估培训材料》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、通信网络信息安全风险评估培训提纲基础概念相关背景介绍什么是风险评估为什么要风险评估风险评估意义风险评估内容相关术语相关标准风险评估通用流程及具体实施实施要点及示例说明我们的安全形势威胁无处不在网络拒绝服务攻击逻辑炸弹特洛伊木马黑客攻击计算机病毒信息丢失、篡改、销毁后门、隐蔽通道怎么办?--风险评估网络面临的最大威胁是什么?有哪些安全问题?什么是最关键的信息资产?网络设备是否安全?操作系统、数据库系统是否安全?您需要什么安全技术保障?风险控制手段?采用了哪些安全措施?是否有效?如何应对未来的威胁?……我们的网络有多安全??如何知

2、道??----面临的问题风险评估相关概念脆弱性/Vulnerability资产/Asset存在利用破坏威胁/Threat风险/Risk什么是风险评估国信办[2006]5号文件风险评估(RiskAssessment)是从风险管理角度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。并为防范和化解信息安全风险,或者将风险控制在可接受的水平,从而最大限度地为保障网络和信息安全提供科学依据风险评估内容评估内容管理层面技术层面

3、部分相关标准评估项参照标准资产评估ISO17799/BS7799加拿大《威胁和风险评估工作指南》风险分析方法ISO13335IT风险管理系列风险分析模型《AS/NZS4360:2004风险管理标准》计算模型《AS/NZS4360:2004风险管理标准》GAO/AIMD-00-33《信息安全风险评估》评估过程GBT20984-2007《信息安全风险评估规范》NIST-SP800-26信息技术系统风险自评估指南NIST-SP800-30信息技术系统风险管理指南安全管理工作的评估ISO17799/BS7799ISO13335IT风险

4、管理系列物理安全评估ISO17799/BS7799GB50174-2008《电子信息系统机房设计规范》网络设备安全性ISO15408(CC)GB17859工信部安全防护系列标准提纲基础概念风险评估流程风险准备资产识别威胁识别脆弱性识别已有安全措施的确认风险分析实施要点及示例说明风险评估流程资产识别脆弱性识别威胁识别已有安全措施的确认风险分析风险评估准备实施风险管理风险评估准备工作内容风险评估准备《信息安全风险评估方案》检查记录表模板《支撑网安全评测检查记录表—业务安全》《支撑网安全评测检查记录表—网络安全》《支撑网安全评测检查

5、记录表—主机安全》《支撑网安全评测检查记录表—应用安全》《支撑网安全评测检查记录表—数据安全及备份恢复》《支撑网安全评测检查记录表—物理环境安全》《支撑网安全评测检查记录表—管理安全》《支撑网安全评测检查记录表—灾难备份及恢复》调查问卷及其他《需求文档清单》《文档交接单》《资产调查问卷》《资产识别清单》《重要资产清单》《脆弱性调查问卷》《现场配合人员名单》工作输出风险评估流程资产识别脆弱性识别威胁识别已有安全措施的确认风险分析风险评估准备实施风险管理主要任务资产识别资产信息搜集资产分类资产赋值资产类别网络设备(包括路由器、交换

6、机等)安全设备(包括防火墙、入侵检测系统、防病毒软件等)主机(包括服务器、PC终端等)机房及相关设施(如UPS、门禁、灭火器、温湿计)重要数据(如计费数据、用户信息数据、用户帐单)管理制度及文档人员资产分类安全属性赋值资产赋值社会影响力业务价值可用性资产赋值(示例)风险评估流程资产识别脆弱性识别威胁识别已有安全措施的确认风险分析风险评估准备实施风险管理威胁识别主要任务:---识别对系统、组织及其资产构成潜在破坏能力的可能性因素或者事件---威胁出现频率赋值(简称威胁赋值)威胁赋值通过被评估对象体的历史故障报告或记录,统计各种发

7、生过的威胁和其发生频率;通过网管或安全管理系统的数据统计和分析;通过整个社会同行业近年来曾发生过的威胁统计数据均值。赋值方法判断威胁出现频率,需要结合以下三个方面:威胁赋值资产识别脆弱性识别威胁识别已有安全措施的确认风险分析风险评估准备实施风险管理风险评估流程脆弱性识别主要任务---查找脆弱性---脆弱性严重程度赋值(简称脆弱性赋值)访谈现场勘察漏洞扫描渗透测试人工审计---文档检查---控制台审计以前的审计和评估结果…脆弱性识别相关方法脆弱性识别方法-访谈访谈可以采取现场访谈的方式,也可以采取调查问卷的方式,通常是两种方式的

8、结合通过一套审计问题列表问答的形式对企业信息资产所有人和管理人员进行访谈脆弱性识别方法-漏洞扫描多种扫描工具优化组合扫描内容服务与端口开放情况枚举帐号/组检测弱口令各种系统、服务和协议漏洞……脆弱性识别方法-渗透测试什么是渗透测试模拟黑客对网络中的核心服务器及重要的网络设备,

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。