安全評估基本概念
對安全評估的理解
安全評估工作內容
安全評估的價值
風險評估工具
系統基礎平台風險評估工具
風險評估輔助工具
安全評估基礎
安全評估標準
tcsec(可信計算機系統評估標準)
基本目標和要求
分級itsec(資訊科技安全評估標準)
評估準則-分為6級
fc(聯邦(最低安全要求)評估準則)
保護輪廓包括
分級方式與tcsec不同,吸取了itsec,ctcpec中的優點
供美國**用,民用和商用
cc(資訊科技安全評估通用標準)
cc(資訊科技安全評估通用準則)
gb/t 18336.2 -2008
gb/t 18336.3 -2008
gb/t 18336(cc)的目標讀者
toe的開發者
toe的評估者
cc的關鍵概念
保護輪廓(pp)
安全目標(security target, st)
功能保證
包cc的意義
優勢cc的侷限性
風險的構成
風險評估相關要素-資產
風險評估相關要素-威脅
根據威脅的動機
風險評估相關要素-脆弱性
風險評估相關要素-資訊保安風險,安全措施
安全措施
殘餘風險
風險評估要素之間關係
風險評估途徑與方式
風險評估方式
風險評估的常用方法
風險評估常用方法-定量分析
概念的關係
定量風險分析的一種方法就是計算年度損失預期值(ale),計算公式如下
定量評估計算案例
由上述條件可計算風險組織的年度預期損失及rosi,為組織提供乙個良好的風險管理財務清單
根據歷史資料獲得ef
根據ef計算目前組織的sle
根據歷史資料中aro計算ale
此時獲得年度預期損失值,組織需根據該損失衡量風險可接受度,如果風險不可接受則需進一步計算風險的處置成本及安全收益
組織定義安全目標,假如組織希望火災發生後對組織的損失降低70%,則實施控制後的ale應為
至此,組織通過年投入12.6萬獲得每年29.4萬的安全投資收益
風險評估常用方法-定性分析
影響
風險評估文件
風險評估的基本過程
風險評估準備
風險評估準備工作
確定風險評估的目標
確定風險評估的範圍
組建適當的評估管理與實施團隊
進行系統調研
確定評估依據和方法
制定風險評估方案
獲得最高管理者對風險評估工作的支援
資產識別
資產形態
資產分級
制定資產重要性分級準則
威脅識別
威脅頻率級別
脆弱性識別
脆弱性識別的難點是什麼
脆弱性識別的方法有那些
確認已有的控制措施
確認已有的安全措施,包括
控制措施型別
在識別脆弱性的同時,評估人員應對已採取的安全措施的有效性進行確認,安全措施的確認應評估其有效性,對有效的安全措施繼續保持,以避免不必要的工作和費用,防止重複實施
風險分析
計算安全事件發生的可能性
計算安全事件發生後造成的損失
計算風險值
風險結果判定
綜合評估風險狀況
風險處理計畫
殘餘風險評估
風險評估文件
風險要素識別
風險分析
風險結果判定
資訊保安風險評估
谷安天下 it 風險管理軟體 itrm 合作夥伴會議邀請 尊敬的閣下 您好!北京谷安天下科技 是一家專業從事it風險管理領域專業服務及產品的廠商,致力於為客戶提供全面it風險管理解決方案及專業服務。谷安天下在國內率先提出了統一it風險管理框架的思想,基於資訊保安與it風險管理領域豐富的諮詢專案經驗,...
資訊保安風險評估實施
風險評估的實施過程包括資訊保安風險評估準備 資產識 別 威脅識別 脆弱性識別 已有安全措施確認和風險分析六個 階段。風險評估準備,隨後進行資產識別,威脅識別,脆弱性識別。三個識別通過後進行已有安全措施的確認,隨後進入風險分析 風險分析前準備評估過程文件,然後風險計算再準備評估過程文件。風險是否接,是...
安全評估中的路由資訊收集
在安全評估中,在對指定目標進行黑盒測試時,需要知道目標的路由資訊,方便進行旁註等測試。一般來說乙個網段總會有共享路由器,換句話來說。總會有很多站點是通過乙個最接近目標的路由出口。在進行評估時需要首先找到這個路由。找這個路由資訊很簡單,一種是有圖形介面顯示的叫visual tracert 啥的,具體名...