计算机系统安全风险评估

《计算机系统安全风险评估》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、第9章计算机系统安全风险评估9/16/20211信息安全原理与技术本章主要内容计算机系统安全风险评估的目的和意义安全风险评估途径安全风险评估方法安全风险评估手段安全风险评估的基本过程CyberCopScanner安全评估工具的使用信息系统安全风险的评估实例9/16/20212信息安全原理与技术9.1计算机系统安全风险评估的目的和意义风险评估是分析确定风险的过程信息安全风险评估是信息安全建设的起点和基础信息安全风险评估是需求主导和突出重点原则的具体体现重视风险评估是信息化比较发达的国家的基本经验9/16/20213信息安全原理与技术基线评估(BaselineRiskAssessm

2、ent)详细评估组合评估9.2安全风险评估途径9/16/20214信息安全原理与技术基于知识的评估方法基于模型的评估方法定量评估方法定性分析方法定性与定量相结合的综合评估方法9.3安全风险评估方法9/16/20215信息安全原理与技术调查问卷检查列表人员访谈漏洞扫描器渗透测试9.4安全风险评估手段9/16/20216信息安全原理与技术COBRACRAMMASSETCORACCtools目前常见的自动化风险评估工具介绍如下：9/16/20217信息安全原理与技术计划和准备具体应当包括以下内容：◇目标◇范围和边界◇系统描述◇角色和责任◇风险评估行动计划◇风险接受标准

3、◇风险评估适用表格9.5安全风险评估的基本过程9/16/20218信息安全原理与技术确定资产信息资产的存在形式有多种，包括：•各种文档•纸质文件•软件资产•物理资产•人员•服务•组织形象与声誉9/16/20219信息安全原理与技术威胁分析威胁源通常：·人员威胁：包括故意破坏(如网络攻击等)和无意失误(如误操作等)。·系统威胁：系统、网络或服务的故障(如软件故障、硬件故障等)。·环境威胁：电源故障、液体泄漏、火灾等。·自然威胁：洪水、地震、台风等。9/16/202110信息安全原理与技术脆弱点分析常见的弱点有三类：•技术性弱点•操作性弱点•管理性弱点9/16/202111信息

4、安全原理与技术分析并评估现有的安全控制措施安全控制措施可以分为：•管理性(Administrative)•操作性(Operational)•技术性(Technical)从控制的功能来看，安全控制措施又可以分为以下几类：•威慑性(Deterrent)•预防性(Preventive)•检测性(Detective)•纠正性(Corrective)9/16/202112信息安全原理与技术评估安全风险评估风险有两个关键因素，一个是威胁对信息资产造成的影响，另一个是威胁发生的可能性，前者通过资产识别与评估已经得到了确认(即资产受影响的敏感度)，而后者还需要根据威胁评估、弱点评

5、估、现有控制的评估来进行认定。9/16/202113信息安全原理与技术报告实施报告内容包括：•概述•评估结果•推荐安全控制措施，提出建设性的解决方案。9/16/202114信息安全原理与技术风险的评判风险事件发生的概率Ps风险事件发生后影响程度Cf的模糊综合评判风险度Rs的计算案例9.7信息系统安全风险的评估实例9/16/202115信息安全原理与技术思考与练习9.1请谈谈计算机信息系统安全风险评估在信息安全建设中的地位和重要意义。9.2简述在风险评估时从哪些方面来收集风险评估的数据。9.3简述运用模糊综合评估法对信息系统进行风险评估的基本过程。9.4参考其他文献，列举其他对

6、信息系统进行安全风险评估的方法，比较它们的优缺点，并选择一种评估方法对本单位(学校、院系)的系统安全作一次风险评估。9/16/202116信息安全原理与技术9.5实验：CyberCopScanner安全扫描工具使用。实验内容：安装CyberCopScanner软件；扫描的配置；分析扫描报告；使用软件的附带工具。9/16/202117信息安全原理与技术