返回
计算机系统安全原理与技术 第9章 计算机系统安全风险评估课件

计算机系统安全原理与技术 第9章 计算机系统安全风险评估课件

ID:5466998

大小:236.01 KB

页数:24页

时间:2017-12-13

计算机系统安全原理与技术 第9章 计算机系统安全风险评估课件_第1页
计算机系统安全原理与技术 第9章 计算机系统安全风险评估课件_第2页
计算机系统安全原理与技术 第9章 计算机系统安全风险评估课件_第3页
计算机系统安全原理与技术 第9章 计算机系统安全风险评估课件_第4页
计算机系统安全原理与技术 第9章 计算机系统安全风险评估课件_第5页
资源描述:

《计算机系统安全原理与技术 第9章 计算机系统安全风险评估课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第9章计算机系统安全风险评估6/15/20211计算机系统安全原理与技术(第2版)本章主要内容9.1计算机系统安全风险评估的目的和意义9.2安全风险评估途径9.3安全风险评估基本方法9.4安全风险评估工具9.5安全风险评估的依据和过程9.6信息系统安全风险评估实例6/15/20212计算机系统安全原理与技术(第2版)9.1计算机系统安全风险评估的目的和意义安全风险评估是科学分析并确定风险的过程信息安全风险评估:就是从风险管理的角度,运用科学的方法和手段,系统地分析网络和信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的

2、危害程度,提出有针对性的防护对策和整改措施,将风险控制在可接受的水平,最大程度地保障计算机网络信息系统安全提供科学依据.2.信息安全风险评估是信息安全建设的起点和基础3.信息安全风险评估是需求主导和突出重点原则的具体体现4.重视风险评估是信息化比较发达的国家的基本经验6/15/20213计算机系统安全原理与技术(第2版)9.2安全风险评估途径基线评估(BaselineRiskAssessment)详细评估组合评估6/15/20214计算机系统安全原理与技术(第2版)9.3安全风险评估基本方法基于知识的评估方法基于模型的评估方法定量评估方

3、法定性分析方法定性与定量相结合的综合评估方法6/15/20215计算机系统安全原理与技术(第2版)9.4安全风险评估工具1.风险评估与管理工具1)基于信息安全标准的风险评估与管理工具。2)基于知识的风险评估与管理工具。3)基于模型的风险评估与管理工具。6/15/20216计算机系统安全原理与技术(第2版)9.4安全风险评估工具2.系统基础平台风险评估工具系统基础平台风险评估工具包括脆弱性扫描工具和渗透性测试工具。脆弱性扫描工具主要用于对信息系统的主要部件(如操作系统、数据库系统、网络设备等)的脆弱性进行分析,目前常见的脆弱性扫描工具有以

4、下几种类型。1)基于网络的扫描器。在网络中运行,能够检测如防火墙错误配置或连接到网络上的易受攻击的网络服务器的关键漏洞。6/15/20217计算机系统安全原理与技术(第2版)9.4安全风险评估工具2.系统基础平台风险评估工具目前常见的脆弱性扫描工具有以下几种类型。2)基于主机的扫描器。发现主机的操作系统、特殊服务和配置的细节,发现潜在的用户行为风险,如密码强度不够,也可实施对文件系统的检查。3)分布式网络扫描器。由远程扫描代理、对这些代理的即插即用更新机制、中心管理点三部分构成,用于企业级网络的脆弱性评估,分布和位于不同的位置、城市甚至

5、不同的国家。4)数据库脆弱性扫描器。6/15/20218计算机系统安全原理与技术(第2版)9.4安全风险评估工具2.系统基础平台风险评估工具渗透性测试工具是根据脆弱性扫描工具扫描的结果进行模拟攻击测试,判断被非法访问者利用的可能性。这类工具通常包括黑客工具、脚本文件。渗透性测试的目的是检测已发现的脆弱性是否真正会给系统或网络带来影响。通常渗透性工具与脆弱性扫描工具一起使用,并可能会对被评估系统的运行带来一定影响。6/15/20219计算机系统安全原理与技术(第2版)9.4安全风险评估工具3.风险评估辅助工具风险评估需要大量的实践和经验数

6、据的支持,这些数据的积累是风险评估科学性的基础。风险评估辅助工具可以实现对数据的采集、现状分析和趋势分析等单项功能,为风险评估各要素的赋值、定级提供依据。常用的辅助工具有:检查列表。入侵检测系统。安全审计工具。拓扑发现工具。资产信息收集系统。其他。6/15/202110计算机系统安全原理与技术(第2版)9.4安全风险评估工具一些专用的自动化的风险评估工具COBRACRAMMASSETCORACCtools6/15/202111计算机系统安全原理与技术(第2版)9.5安全风险评估的依据和过程9.5.1风险评估依据1)政策法规。2)国际标准

7、。3)国家标准。4)行业通用标准。5)其他。6/15/202112计算机系统安全原理与技术(第2版)9.5安全风险评估的依据和过程9.5.2风险要素6/15/202113计算机系统安全原理与技术(第2版)9.5安全风险评估的依据和过程9.5.3风险评估过程6/15/202114计算机系统安全原理与技术(第2版)9.5安全风险评估的依据和过程1.风险评估准备风险评估准备是整个风险评估过程有效性的保证。在正式进行风险评估之前,阻止应该制定一个有效的风险评估计划,确定安全风险评估的目标、范围,建立相关的组织机构,并选择系统性的安全风险评估方法

8、来收集风险评估所需的信息和数据。具体主要包括以下内容。1)确定风险评估的目标。2)确定风险评估的范围。3)组建适当的评估管理与实施团队。4)进行系统调研。5)确定评估依据和方法。6)制定风险评估方案。7)获

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。