信息安全评估

评估基础

安全评估是什么?

是针对潜在影响正常执行其职能的行为产色产生干扰或破坏的因素进行识别、评价的过程

广义上是综合的包括测试、检测、测评、审核、评估检查等进行综合评价和预测;狭义的就是某个信息安全风险风评

为什么要做安全评估?

是信息安全建设的起点和基础,倡导适度安全。

提高安全针对性,降低安全成本;确定差异性,提供适度安全避免一刀切。

怎么做安全评估?

结合风险评估与管理工具、系统基础平台风险评估工具,辅助工具,分别对过程和操作方法进行模型分析,对主要部件的脆弱性分析,对采集的数据现状趋势进行分析。

评估标准

通用准则CC

TCSEC 、ITSEC、FC发展到2005年被国际标准《通用准则(CC)》取代

TCSEC是美国国防部可信计算机系统 评估准则(Trusted Computer System Evaluation Criteria),是国防部彩虹系列核心,又称橙皮书。

TCSEC分级:D-最小保护,C-选择保护,B-强制保护,A-验证保护

从B1级开始操作系统实施强制保护,安全标签

ITSEC信息技术安全评估准则(Information Technology Security Evaluation Criteria )欧洲共同体

ITSEC内容分为功能与功能评估两部分。首次提出CIA-保密性,完整性,可用性

功能F1-F10共10类,评估E1-E6共6个级别

FC美国信息技术安全联邦准则,引入保护轮廓PP概念。

PP3部分---包括功能部分,开发保证部分,测评部分

通用标准CC

信息技术安全评估标准(Common Criteria  for Information Technology Security Evaluation),

主要包括:简介和一般模型,安全功能要求,安全保证要求

组织结构:类,子类,组件,元素

类--用户数据保护,是安全要求最高层次组合

子类--访问控制,是若干组安全要求的组合

组件--子集访问控制,一个特定的安全要求集,是CC结构中最小的可选安全要求集

元素--子集访问控制,组件最小单元,有原子性

特点:

开放性,普适性,实用性,通用性,权威性,标准化,扩展性,兼容性

适用范围:

自身威胁,环境威胁,人为威胁;不包括行政管理、物流环境、密码算法

中国信息安全测评中心要求EAL3+及以上

CC应用:评估对象TOE、保护轮廓PP、安全目标ST、评估保护等级EAL
主要概念--评估对象--TOE(Target of Evaluation):

TOE是评估对象、开发对象、采购对象

产品:防火墙,网关,IDS,芯片

系统:操作系统,数据库,中间件,邮件系统,OA

平台:云平台、数据资源平台、大数据平台

子系统:产品或系统的组成部分

有关文档:开发过程需求,设计,测试等文档

有关环境:运行物理、网络、管理环境

主要概念--保护轮廓--PP(Protection Profile):

满足用户安全需求概要描述,与具体实现无关。技术与需求的内在完备性。

主要概念--安全目标--ST(Security Target):

包括TOE保护对象的一组安全要求和概要规范。

一个PP可以通过过个ST实现,适用于产品和系统

主要概念--评估保护等级--EAL:

EAL1-7有7个级别

标准应用:开发,评估,采购

CC测评针对技术机制原理开发实现验证,侧重于微观,指标更细更严格,EAL1-7共7级;

等保测评针对网络系统整体建设工程运营安全性,侧重宏观,指标相对比较少,粒度比较粗,1-5级。

风险评估实施

风险要素:资产、威胁、脆弱性、安全风险、安全措施、残余风险

资产---3个安全属性---业务属性、安全属性、分类方法。有形-无形,物理-逻辑,静态-动态,硬件-软件,技术-管理

威胁---外因--3个分类---人为和环境威胁,故意和非故意威胁,自然和物理因素;来源、动机、方式、对象、频率、程度。

脆弱性---内因---4要素---主体、机制、可利用性、危害;2个分类---技术、管理脆弱性

安全措施---预防性,检测性,纠正性,威胁性措施----保护资产、抵御威胁、减少脆弱性     

        安全风险---事件发生对组织影响

        残余风险---采取安全措施后依旧存在的风险,需要跟踪监视

评估途径与方法

途径:基线评估、详细评估、组织评估

方式:自评估、检查评估

要求:自评估为主,自评估和检查评估结合

风险分析与方法

知识分析
模型分析
定量分析

        资产价值AV,暴露因子EF,单一预期损失SLE,年度发生率ARO,年度预期损失ALE

        单次预期损失值 SLE=AV*EF

       年度预期损失值 ALE=SLE*ARO=AV*EF*ARO

       处置成本及安全收益ROSI=实施控制前ALE-实施控制后ALE-年控制成本

定性分析

     依赖分析者经验知识

半定量半定性分析:数据类比法

风险评估阶段

4阶段:准备、要素识别、风险分析、风险报告

准备---团队组织、工作计划

要素识别---资产,威胁、脆弱性、安全措施
风险分析---风险值

风险报告---结果判定---什么风险,什么等级,什么影响,什么处理建议

风险处理--方式和措施

方式:降低,规避,转移,接受

措施:管理措施、技术措施

风险处理--残余风险

可接受残余风险,无法处理残余风险

需要进行监视、跟踪

风险评估文档管理

系统审计

原则:严肃、严格、严谨

作用:对被审单位信息系统的真实性、合法性、效益性和安全性进行检查监督的活动

内容:

总体审计、安全技术控制审计、安全管理控制审计

建设管理评价、建设经济评级、效益评价

审计流程:审计准备、审计实施、审计报告、审计跟踪

准备----目标、范围、依据、团队

实施----执行,现场审计,文档化

报告----正面结果、负面结果,沟通审计发现发成一致,形成书面报告

跟踪---审计建议书、风险提醒函、在规定时间对不符合项进行跟踪审计

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/591234.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

3个值得推荐的WPF UI组件库

WPF介绍 WPF 是一个强大的桌面应用程序框架,用于构建具有丰富用户界面的 Windows 应用。它提供了灵活的布局、数据绑定、样式和模板、动画效果等功能,让开发者可以创建出吸引人且交互性强的应用程序。 HandyControl HandyControl是一套WPF控件库&…

DevC++ easyx实现视口编辑--像素绘图板与贴图系统

到了最终成果阶段了,虽然中间有一些代码讲起来没有意思,纯靠debug,1-1解决贴图网格不重合问题,这次是一个分支结束。 想着就是把瓦片贴进大地图里。 延续这几篇帖子,开发时间也从2023年的4月16到了6月2号,80小时基本…

机器学习(二) -- 数据预处理(2)

系列文章目录 机器学习(一) -- 概述 机器学习(二) -- 数据预处理(1-3) 未完待续…… 目录 系列文章目录 前言 四、【数据清洗】 1、缺失数据的检测与处理 1.1、检测与统计 1.2、处理 1.2.1、删除缺…

Postgresql源码(119)PL/pgSQL中ExprContext的生命周期

前言 在PL/pgSQL语言中,执行任何SQL都需要通过SPI调用SQL层解析执行,例如在SQL层执行表达式的入口: static bool exec_eval_simple_expr(PLpgSQL_execstate *estate,PLpgSQL_expr *expr,Datum *result,bool *isNull,Oid *rettype,int32 *re…

助力成长的开源项目 —— 筑梦之路

闯关式 SQL 自学:sql-mother 免费的闯关式 SQL 自学教程网站,从 0 到 1 带大家掌握常用 SQL 语法,目前一共有 30 多个关卡,希望你在通关的时候,变身为一个 SQL 高手。除了闯关模式之外,这个项目支持自由选…

VuePress、VuePress-theme-hope 搭建个人博客 1【快速上手】 —— 防止踩坑篇

vuePress官网地址 👉 首页 | VuePress 手动安装 这一章节会帮助你从头搭建一个简单的 VuePress 文档网站。如果你想在一个现有项目中使用 VuePress 管理文档,从步骤 3 开始。 步骤 1: 创建并进入一个新目录 mkdir vuepress-starter cd vuepress-star…

创建x11vnc系统进程

为方便使用vnc,所以寻找到一个比较好用的vnc服务端那就是x11vnc,索性就创建了一个系统进程 一、环境 系统:银河麒麟v4-sp2-server 软件:x11vnc【linux下】、VNCviewer【win下】 二、安装x11vnc 1、挂载光盘源并修改apt源 mou…

用可视化案例讲Rust编程1. 怎么能学会Rust

用可视化案例讲Rust编程 1. 怎么能学会Rust 如果要列举Rust的优势,恐怕写个十条八条是写不完的,而且不管写哪条优势,都有很多同学跳起来反驳,比如我们说Rust比C/C内存安全,肯定有同学说C 20也支持内存安全&#xff0…

message: 没有找到可以构建的 NPM 包,请确认需要参与构建的 npm 都在 `miniprogra

第一步:修改 project.config.json 文件 "packNpmRelationList": [{"packageJsonPath": "./package.json","miniprogramNpmDistDir": "./miniprogram/"}], "packNpmManually": true 第二步:…

机器人活动区域 - 华为OD统一考试

OD统一考试 题解: Java / Python / C++ 题目描述 现有一个机器人,可放置于 M x N 的网格中任意位置,每个网格包含一个非负整数编号,当相邻网格的数字编号差值的绝对值小于等于 1 时机器人可以在网格间移动。 问题: 求机器人可活动的最大范围对应的网格点数目。 说明: 网格…

Android Studio xml布局代码补全功能失效问题

这里写目录标题 前言:问题描述原因分析:解决方案:1.更新 Android Studio 版本2.原版本解决XML补全失效 小结 前言: 在开发过程中,你可能遇到很多奇奇怪怪的问题。Android Studio 编译器出现问题也是常有的事情&#x…

单片机开发--keil5

一.keil5 Keil uVision5是一个集成开发环境(IDE),用于对嵌入式系统中的微控制器进行编程。它是一个软件套件,包括源代码编辑器、项目经理、调试器以及微控制器开发、调试和编程所需的其他工具。Keil uVision5 IDE主要用于对基于A…

线性代数基础知识

计算机视觉一些算法中常会用到线性代数的一些知识,为了便于理解和快速回忆,博主这边对常用的一些知识点做下整理,主要来源于如下这本书籍。 1. 矩阵不仅仅是数字排列而已,不然也不会有那么大精力研究它。其可以表示一种映射 关于…

Linux Debian12安装和使用ImageMagick图像处理工具 常见图片png、jpg格式转webp格式

一、ImageMagick简介 ImageMagick是一套功能强大、稳定而且免费的工具集和开发包。可以用来读、写和图像格式转换,可以处理超过100种图像格式,包括流行的TIFF, JPEG, GIF, PNG, PDF以及PhotoCD等格式。对图片的操作,即可以通过命令行进行&am…

Bert模型from_pretrained报网络错误解决办法

问题描述: 服务器或者本地运行以下代码时报网络连接错误: from transformers import AutoTokenizermodel_checkpoint "distilbert-base-uncased" tokenizer AutoTokenizer.from_pretrained(model_checkpoint, use_fastTrue, cache_dir./cac…

python解决一维动态规划问题,寻找丑数

对于一维动态规划问题中,还有一个可能会经常遇到的问题,就是寻找丑数。 对于丑数的概念是,把只包含质因子2、3和5的数称作丑数(Ugly Number)。 添加图片注释,不超过 140 字(可选) 添…

Vue-响应式数据

一、ref创建基本类型的响应式数据 vue3可以使用ref、reactive去定义响应式数数据。 知识点汇总 使用ref需要先引入ref,import {ref} from vue在模板 template 中使用了添加ref 的响应式数据,变量的后面不用添加.value所有js代码里面,去操作r…

【web】vue 播放后端(flask)发送的 mp3 文件

文章目录 演示后端(flask)前端(vue3)重要说明 演示 后端(flask) 后端返回的是 mp3 文件的 url,是可以直接在浏览器上打开后播放的处理跨域请求pip install flask-cors后端代码from flask impor…

Python - 数据结构与算法之 排列与组合

目录 一.引言 二.排列 A-Permute ◆ 定义 ◆ 计算 ◆ 性质 ◆ 实现 三.组合 C-Combine ◆ 定义 ◆ 计算 ◆ 性质 ◆ 实现 四.经典算法题目 1.全排列 [无重复] 2.全排列 [有重复] 3.组合 [可重复] 4.子集 [无重复] 5.子集 [有重复] 五.总结 一.引言 关于排列…

云原生十二问

一、什么是云原生? 云原生是在云计算环境中构建、部署和管理现代应用程序的软件方法。现代企业希望构建高度可扩展、灵活且具有弹性的应用程序,可以快速更新以满足客户需求。为此,他们使用现代工具和技术,这些工具和技术本质上支…