日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

 作為公司信息安全咨詢崗上的小師妹兒，我對自己以后的安全路非常焦灼，到底該往哪個方向去發(fā)展?

成都創(chuàng)新互聯(lián)公司專業(yè)為企業(yè)提供烏拉特后網(wǎng)站建設(shè)、烏拉特后做網(wǎng)站、烏拉特后網(wǎng)站設(shè)計、烏拉特后網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計與制作、烏拉特后企業(yè)網(wǎng)站模板建站服務(wù)，10多年烏拉特后做網(wǎng)站經(jīng)驗，不只是建網(wǎng)站，更提供有價值的思路和整體網(wǎng)絡(luò)服務(wù)。

上了快半年的班，每天都會瀏覽相關(guān)的專業(yè)文檔，還要學(xué)習(xí)NIST的出版物，對等保、ISO 27001這些標(biāo)準(zhǔn)都要了解，這不，最近有空就在研究信安標(biāo)委出的國家網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)了?？戳艘幌逻@些標(biāo)準(zhǔn)清單，現(xiàn)在正式發(fā)布的國家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)粗略看了一下，共有268項，再搜索出一些自己感興趣的標(biāo)準(zhǔn)來看，突然發(fā)現(xiàn)，信息安全標(biāo)準(zhǔn)化這條路貌似還不錯，為了鞭勵自己，決定有時間就把自己看過的安全標(biāo)準(zhǔn)提煉出來分享給大家。并希望各位能夠指點一二。

今天想和大家交流的是《GB/T 31509 信息安全技術(shù) 信息安全風(fēng)險評估實施指南》。

該標(biāo)準(zhǔn)主要用來指導(dǎo)風(fēng)險評估項目的組織、實施、驗收等工作。并且規(guī)定了信息安全風(fēng)險評估實施的過程和方法。

一、該標(biāo)準(zhǔn)的框架結(jié)構(gòu)如下

二、風(fēng)險評估的基本原則

(一)、標(biāo)準(zhǔn)性原則

意思是要按照本標(biāo)準(zhǔn)中規(guī)定的評估流程來實施風(fēng)險評估。

(二)、關(guān)鍵業(yè)務(wù)原則

意思是要把被評估方的關(guān)鍵業(yè)務(wù)作為評估核心，圍繞這個核心的相關(guān)網(wǎng)絡(luò)與系統(tǒng)作為評估重點。

(三)、可控性原則

a)服務(wù)可控性(就是要提前和客戶溝通好評估服務(wù)的流程)

b)人員與信息可控性(就是說參與風(fēng)險評估項目的所有人都要簽個保密協(xié)議)

c)過程可控性(這點呢就是要求要成立一個實施團隊，項目組長負(fù)責(zé)制)

d)工具可控性(把實施過程中要使用的評估工具告訴客戶，提前通氣兒)

(四)、最小影響原則

在實施風(fēng)險評估時一定要盡可能地減小評估工作帶來的影響。

三、風(fēng)險評估的流程

1. 評估準(zhǔn)備階段：對評估實施有效性的保證，是評估工作的開始。

2. 風(fēng)險要素識別階段：對評估活動中的各類關(guān)鍵要素資產(chǎn)、威脅、脆弱性、安全措施進行識別與賦值。

3. 風(fēng)險分析階段：對識別階段中獲得的各類信息進行關(guān)聯(lián)分析，并計算風(fēng)險值。

4. 風(fēng)險處置建議：針對評估出的風(fēng)險，提出相應(yīng)的處置建議，以及按照處置建議實施安全加固后進行殘余風(fēng)險處置等內(nèi)容。

四、風(fēng)險評估的工作形式

兩種形式：自評估與檢查評估。自評估就是組織自身對信息系統(tǒng)進行的風(fēng)險評估，也可以委托第三方服務(wù)機構(gòu)來實施;檢查評估是信息系統(tǒng)上級管理部門或國家有關(guān)職能部門依法開展的風(fēng)險評估，一般來說，這種形式的評估采用的是抽樣評估，同樣也可以委托第三方服務(wù)機構(gòu)來實施(在選擇第三方單位時，應(yīng)審查評估單位、評估人員的資質(zhì)和資格)。

五、信息系統(tǒng)生命周期內(nèi)的風(fēng)險評估

信息系統(tǒng)生命周期一般包括以下五個階段：

根據(jù)各個階段的評估對象以及安全需求的不同，風(fēng)險評估的目的也各不相同。

1. 規(guī)劃階段：識別系統(tǒng)的業(yè)務(wù)戰(zhàn)略，支撐系統(tǒng)安全需求及安全戰(zhàn)略。

2. 設(shè)計階段：評估安全設(shè)計方案是否滿足信息系統(tǒng)安全功能的需求。

3. 實施階段：對系統(tǒng)開發(fā)、實施過程進行風(fēng)險識別，對建成后的系統(tǒng)安全功能進行驗證。

4. 運維階段：了解和控制系統(tǒng)運行過程中的安全風(fēng)險。

5. 廢棄階段：分析廢棄資產(chǎn)對組織的影響。

六、風(fēng)險評估的實施

在第三節(jié)我們已經(jīng)講過了風(fēng)險評估的基本流程，這里主要是風(fēng)險評估的具體實施。

(一)準(zhǔn)備階段

1.工作內(nèi)容

這是評估工作的開始，分八步來完成準(zhǔn)備工作

這幾步都很好理解，其中需要注意的有以下幾點

首先、確定評估范圍時，需合理定義評估對象和評估范圍邊界，一般劃分原則為：

a) 業(yè)務(wù)系統(tǒng)的業(yè)務(wù)邏輯邊界;

b) 網(wǎng)絡(luò)及設(shè)備載體邊界;

c) 物理環(huán)境邊界;

d) 組織管理權(quán)限邊界;

第二、風(fēng)險評估團隊由被評估單位、評估機構(gòu)共同組建風(fēng)險評估小組，由被評估單位領(lǐng)導(dǎo)、相關(guān)部門負(fù)責(zé)人，以及評估機構(gòu)相關(guān)人員成立風(fēng)險評估領(lǐng)導(dǎo)小組;聘請相關(guān)專業(yè)的技術(shù)專家和技術(shù)骨干組成專家組。風(fēng)險評估小組應(yīng)完成評估前的表格、文檔、檢測工具等各項準(zhǔn)備工作;進行風(fēng)險評估技術(shù)培訓(xùn)和保密教育;制定風(fēng)險評估過程管理相關(guān)規(guī)定;編制應(yīng)急預(yù)案等，同時雙方應(yīng)簽署保密協(xié)議，適情簽署個人保密協(xié)議。

第三、信息系統(tǒng)調(diào)研的內(nèi)容包括：

a) 信息系統(tǒng)安全保護等級;

b) 主要的業(yè)務(wù)功能和要求;

c) 網(wǎng)絡(luò)結(jié)構(gòu)與網(wǎng)絡(luò)環(huán)境，包括內(nèi)部連接和外部連接;

d) 系統(tǒng)邊界，包括業(yè)務(wù)邏輯邊界、網(wǎng)絡(luò)及設(shè)備載體邊界、物理環(huán)境邊界、組織管理權(quán)限邊界等;

e) 主要的硬件、軟件;

f) 數(shù)據(jù)和信息;

g) 系統(tǒng)和數(shù)據(jù)的敏感性;

h) 支持和使用系統(tǒng)的人員;

i) 信息安全管理組織建設(shè)和人員配備情況;

j) 信息安全管理制度;

k) 法律法規(guī)及服務(wù)合同;

第四、評估依據(jù)包括：

a) 適用的法律、法規(guī);

b) 現(xiàn)有國際標(biāo)準(zhǔn)、國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn);

c) 行業(yè)主管機關(guān)的業(yè)務(wù)系統(tǒng)的要求和制度;

d) 與信息系統(tǒng)安全保護等級相應(yīng)的基本要求;

e) 被評估組織的安全要求;

f) 系統(tǒng)自身的實時性或性能要求等。

第五、合理選擇相應(yīng)的評估工具，遵循如下原則：

a) 對于系統(tǒng)脆弱性評估工具，應(yīng)具備全面的已知系統(tǒng)脆弱性核查與檢測能力;

b) 評估工具的檢測規(guī)則庫應(yīng)具備更新功能，能夠及時更新;

c) 評估工具使用的檢測策略和檢測方式不應(yīng)對信息系統(tǒng)造成不正常影響;

d) 可采用多種評估工具對同一測試對象進行檢測，如果出現(xiàn)檢測結(jié)果不一致的情況，應(yīng)進一步采用必要的人工檢測和關(guān)聯(lián)分析，并給出與實際情況最為相符的結(jié)果判定;

第六、風(fēng)險評估方案的內(nèi)容應(yīng)包括：

a) 風(fēng)險評估工作框架：包括評估目標(biāo)、評估范圍、評估依據(jù)等;

b) 評估團隊組織：包括評估小組成員、組織結(jié)構(gòu)、角色、責(zé)任;如有必要還應(yīng)包括風(fēng)險評估領(lǐng)導(dǎo)小組和專家組組建介紹等;

c) 評估工作計劃：包括各階段工作內(nèi)容、工作形式、工作成果等;

d) 風(fēng)險規(guī)避：包括保密協(xié)議、評估工作環(huán)境要求、評估方法、工具選擇、應(yīng)急預(yù)案等;

e) 時間進度安排：評估工作實施的時間進度安排;

2.工作保障

(二)識別階段

這個階段差不多是整個風(fēng)險評估工作中很重要的一個階段了，首先還是先畫一個結(jié)構(gòu)圖來了解一下。

1.資產(chǎn)識別

風(fēng)險的重要因素是以資產(chǎn)為中心，威脅、脆弱性以及風(fēng)險都是針對資產(chǎn)而客觀存在的。

一般識別流程如下：

(1)資產(chǎn)分類：一般來說，我們把資產(chǎn)分為硬件、軟件、數(shù)據(jù)、服務(wù)、人員以及其他6大類。

(2)資產(chǎn)調(diào)查：識別組織和信息系統(tǒng)中資產(chǎn)(包括資產(chǎn)屬性)的重要途徑。一般情況下，可通過查閱信息系統(tǒng)需求說明書、可行性的研究報告、設(shè)計方案、實施方案、安裝手冊、用戶使用手冊、測試報告、運行報告、安全策略文件、安全管理制度文件、操作流程文件、制度落實的記錄文件、資產(chǎn)清單、網(wǎng)絡(luò)拓?fù)鋱D以及訪談相關(guān)人員等，識別組織和信息系統(tǒng)的資產(chǎn)。

(3)資產(chǎn)賦值：依據(jù)資產(chǎn)保密性、完整性和可用性等安全屬性為資產(chǎn)賦值。一般來說，根據(jù)以下幾個因素綜合來為資產(chǎn)資產(chǎn)賦值:

a) 資產(chǎn)所承載信息系統(tǒng)的重要性;

b) 資產(chǎn)所承載信息系統(tǒng)的安全等級;

c) 資產(chǎn)對所承載信息安全正常運行的重要程度;

d) 資產(chǎn)保密性、完整性、可用性等安全屬性對信息系統(tǒng)，以及相關(guān)業(yè)務(wù)的重要程度。

(4)資產(chǎn)賦值報告：根據(jù)資產(chǎn)賦值情況，形成資產(chǎn)列表和資產(chǎn)賦值報告。

2.威脅識別

威脅是指可能導(dǎo)致危害系統(tǒng)或組織的不希望事故的潛在起因。在信息安全領(lǐng)域，不存在絕對的安全。

威脅的一般識別流程如下：

(1)威脅分類：威脅分為軟硬件故障、物理環(huán)境影響、無作為或操作失誤、管理不到位、惡意代碼、越權(quán)或濫用、網(wǎng)絡(luò)攻擊、物理攻擊、泄密、篡改、抵賴11類。如果根據(jù)威脅產(chǎn)生的起因、表現(xiàn)和后果不同，威脅又可分為有害程序、網(wǎng)絡(luò)攻擊、信息破壞、信息內(nèi)容攻擊、設(shè)備設(shè)施故障、災(zāi)害性破壞、其他威脅7類。

(2)威脅調(diào)查：調(diào)查工作包括威脅源動機及其能力、威脅途徑、威脅可能性及其影響;威脅調(diào)查的方法是多樣化的，根據(jù)組織和信息系統(tǒng)自身的特點，發(fā)生的歷史安全事件記錄(數(shù)據(jù))，面臨威脅分析等方法進行調(diào)查。

(3)威脅分析：基于前面的威脅調(diào)查作出分析。同樣也可對威脅的可能性進行賦值，威脅賦值分為很高、高、中等、低、很低5個級別，級別越高表示威脅發(fā)生的可能性越高。

(4)威脅分析報告：報告內(nèi)容包括威脅名稱、威脅類型、威脅源攻擊能力、攻擊動機、威脅發(fā)生概率、影響程度、威脅發(fā)生的可能性、威脅賦值以及嚴(yán)重威脅說明等。

3.脆弱性識別

脆弱性可從技術(shù)和管理兩個方面進行識別。

技術(shù)方面，可從物理環(huán)境、網(wǎng)絡(luò)、主機系統(tǒng)、應(yīng)用系統(tǒng)、數(shù)據(jù)等方面識別資產(chǎn)的脆弱性;管理方面，可從技術(shù)管理脆弱性和組織管理脆弱性兩方面識別資產(chǎn)的脆弱性，技術(shù)管理脆弱性與具體技術(shù)活動相關(guān)，組織管理脆弱性與管理環(huán)境相關(guān)。

脆弱性識別所采用的方法主要有：文檔查閱、問卷調(diào)查、人工核查、工具檢測、滲透性測試等。

(1)安全技術(shù)脆弱性核查

(2)安全管理脆弱性核查

安全管理核查主要通過查閱文檔、抽樣調(diào)查和詢問等方法，并核查信息安全規(guī)章制度的合理性、完整性、適用性等。

4.工作保障

(三)風(fēng)險分析階段

1.信息安全風(fēng)險分析原理：

2.風(fēng)險值的計算方法

風(fēng)險計算方法一般分為定性計算方法和定量計算方法兩大類。

(1)定性計算方法：將風(fēng)險的各要素資產(chǎn)、威脅、脆弱性等的相關(guān)屬性進行量化(或等級化)賦值，然后選用具體的計算方法(如相乘法或矩陣法)進行風(fēng)險計算;

(2)定量計算方法：通過將資產(chǎn)價值和風(fēng)險等量化為財務(wù)價值的方式來進行計算的一種方法。由于定量計算法需要等量化財務(wù)價值，在實際操作中往往難以實現(xiàn)，所以一般不采用該計算方法。

3.風(fēng)險分析與評價

通過對風(fēng)險的等級劃分，來確定總體的風(fēng)險狀況。

4.風(fēng)險評估報告

報告內(nèi)容包括：風(fēng)險對組織、業(yè)務(wù)及系統(tǒng)的影響范圍、影響程度;依據(jù)的法規(guī)和證據(jù);風(fēng)險評價結(jié)論。

5.工作保障

(四)風(fēng)險處置建議

這個階段是圍繞風(fēng)險評估報告來進行的風(fēng)險處置，還是有5點內(nèi)容。

1.處置原則

將風(fēng)險控制在可接受范圍內(nèi)，具體處置時，可依據(jù)等級保護相關(guān)要求實施的安全風(fēng)險加固工作，應(yīng)滿足等級保護相應(yīng)等級的安全技術(shù)和管理要求;對于因不能夠滿足該等級安全要求產(chǎn)生的風(fēng)險則不能夠適用適度接受風(fēng)險的原則。

2.安全整改建議

風(fēng)險處置方式一般包括接受、消減、轉(zhuǎn)移、規(guī)避等，安全整改屬于風(fēng)險消減方法。整改建議根據(jù)安全等級有所不同：

a)對于非常嚴(yán)重、需立即降低且加固措施易于實施的安全風(fēng)險，建議被評估組織立即采取安全整改措施。

b)對于非常嚴(yán)重、需立即降低，但加固措施不便于實施的安全風(fēng)險，建議被評估組織立即制定安全整改實施方案，盡快實施安全整改;整改前應(yīng)對相關(guān)安全隱患進行嚴(yán)密監(jiān)控，并作好應(yīng)急預(yù)案。

c)對于比較嚴(yán)重、需降低且加固措施不易于實施的安全風(fēng)險，建議被評估組織制定限期實施的整改方案;整改前應(yīng)對相關(guān)安全隱患進行監(jiān)控。

3.組織評審會

評估項目結(jié)束時召開評審會，參與人員一般包括：被評估組織、評估機構(gòu)及專家等。

評估項目驗收文檔如下：

4.殘余風(fēng)險處置

殘余風(fēng)險處置是對仍然存在的安全風(fēng)險進行識別、控制和管理的活動。

5.工作保障

文章名稱：小師妹聊一聊安全標(biāo)準(zhǔn)
標(biāo)題來源：http://m.5511xx.com/article/cdpdssh.html