安全评估基础
安全评估概念
安全评估基本概念
安全评估的价值
- 信息安全风险评估是信息安全建设的起点和基础
- 信息安全风险评估是信息安全建设和管理的科学方法
- 风险评估实际上是在倡导一种适度安全
- 保护网络空间安全的核心要素和重要手段
安全评估工具
- 风险评估与管理工具
- 系统基础平台风险评估工具
- 风险评估辅助工具
安全评估标准
安全评估标准的发展
可信计算机系统评估标准(TCSEC)
- 基本目标和要求
- 分级
- D
- C
- C1
- C4
- B
- B1
- B2
- B3
- A
- A1
- 超越A1
信息技术安全评估标准(ITSEC)
- F6
- F7
- F8
- F9
- F10
- E1
- E2
- E3
- E4
- E5
- E6
信息技术安全评估通用标准(CC)
信息安全评估准则(CC)
- 通用准则的结构
- 目标读者
- 关键概念
- 评估对象(TOE)
- 保护轮廓(PP)
- 安全目标(ST)
- 功能
- 保证
- 包
- 评估保证级(EAL)
- 使用 CC 进行评估的基本过程
- 通用评估方法(CEM)
信息系统安全等级保护测评标准
安全评估实施
风险评估相关要素
资产
- 资产类型
- 资产分类
威胁
信息安全风险
安全措施
残余风险
风险评估各要素的关系
风险评估途径与方式方法
风险评估途径
- 基线评估
- 详细评估
- 组合评估
风险评估方式
- 自评估
- 检查评估
风险评估方法
- 基于知识的分析方法
- 定量分析
- 定性分析
- 定性与定量分析的区别
风险评估基本过程
风险评估准备
- 确定风险评估的目标
- 确定风险评估的范围
- 组件适当的评估管理与实施团队
- 进行系统调研
- 确定评估依据和方法
- 制定风险评估方案
- 获得最高管理者对风险评估工作的支持
风险识别
- 资产识别
- 威胁识别
- 脆弱性识别
- 确认已有的控制措施
风险分析
- 计算安全事件发生的可能性
- 计算安全事件发生后造成的损失
- 计算风险值
风险结果判定
- 评估风险的等级
- 综合评估风险状况
风险处理计划
残余风险评估
风险评估文档
信息系统审计
审计原则与方法
审计职能
- 充分性
- 有效性
- 适宜性
审计流程
- 计划
- 现场工作和文件
- 问题发现和验证
- 开发解决方案
- 报告起草和执行
- 问题跟踪
内部控制
审计标准
审计技术控制
脆弱性测试
渗透测试
战争驾驶
其他漏洞类型
日志
合成交易
滥用用例测试
代码审查
接口测试
审计管理控制
账户管理
备份验证
灾难恢复和业务连续性
安全培训和安全意识培训
关键绩效和风险指标
审计报告
SAS 70
SOC
