日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

 作為公司信息安全咨詢崗上的小師妹兒，我對自己以后的安全路非常焦灼，到底該往哪個方向去發(fā)展?

成都創(chuàng)新互聯(lián)公司專業(yè)為企業(yè)提供烏拉特后網(wǎng)站建設、烏拉特后做網(wǎng)站、烏拉特后網(wǎng)站設計、烏拉特后網(wǎng)站制作等企業(yè)網(wǎng)站建設、網(wǎng)頁設計與制作、烏拉特后企業(yè)網(wǎng)站模板建站服務，10多年烏拉特后做網(wǎng)站經驗，不只是建網(wǎng)站，更提供有價值的思路和整體網(wǎng)絡服務。

上了快半年的班，每天都會瀏覽相關的專業(yè)文檔，還要學習NIST的出版物，對等保、ISO 27001這些標準都要了解，這不，最近有空就在研究信安標委出的國家網(wǎng)絡安全相關標準了。看了一下這些標準清單，現(xiàn)在正式發(fā)布的國家網(wǎng)絡安全標準粗略看了一下，共有268項，再搜索出一些自己感興趣的標準來看，突然發(fā)現(xiàn)，信息安全標準化這條路貌似還不錯，為了鞭勵自己，決定有時間就把自己看過的安全標準提煉出來分享給大家。并希望各位能夠指點一二。

今天想和大家交流的是《GB/T 31509 信息安全技術 信息安全風險評估實施指南》。

該標準主要用來指導風險評估項目的組織、實施、驗收等工作。并且規(guī)定了信息安全風險評估實施的過程和方法。

一、該標準的框架結構如下

二、風險評估的基本原則

(一)、標準性原則

意思是要按照本標準中規(guī)定的評估流程來實施風險評估。

(二)、關鍵業(yè)務原則

意思是要把被評估方的關鍵業(yè)務作為評估核心，圍繞這個核心的相關網(wǎng)絡與系統(tǒng)作為評估重點。

(三)、可控性原則

a)服務可控性(就是要提前和客戶溝通好評估服務的流程)

b)人員與信息可控性(就是說參與風險評估項目的所有人都要簽個保密協(xié)議)

c)過程可控性(這點呢就是要求要成立一個實施團隊，項目組長負責制)

d)工具可控性(把實施過程中要使用的評估工具告訴客戶，提前通氣兒)

(四)、最小影響原則

在實施風險評估時一定要盡可能地減小評估工作帶來的影響。

三、風險評估的流程

1. 評估準備階段：對評估實施有效性的保證，是評估工作的開始。

2. 風險要素識別階段：對評估活動中的各類關鍵要素資產、威脅、脆弱性、安全措施進行識別與賦值。

3. 風險分析階段：對識別階段中獲得的各類信息進行關聯(lián)分析，并計算風險值。

4. 風險處置建議：針對評估出的風險，提出相應的處置建議，以及按照處置建議實施安全加固后進行殘余風險處置等內容。

四、風險評估的工作形式

兩種形式：自評估與檢查評估。自評估就是組織自身對信息系統(tǒng)進行的風險評估，也可以委托第三方服務機構來實施;檢查評估是信息系統(tǒng)上級管理部門或國家有關職能部門依法開展的風險評估，一般來說，這種形式的評估采用的是抽樣評估，同樣也可以委托第三方服務機構來實施(在選擇第三方單位時，應審查評估單位、評估人員的資質和資格)。

五、信息系統(tǒng)生命周期內的風險評估

信息系統(tǒng)生命周期一般包括以下五個階段：

根據(jù)各個階段的評估對象以及安全需求的不同，風險評估的目的也各不相同。

1. 規(guī)劃階段：識別系統(tǒng)的業(yè)務戰(zhàn)略，支撐系統(tǒng)安全需求及安全戰(zhàn)略。

2. 設計階段：評估安全設計方案是否滿足信息系統(tǒng)安全功能的需求。

3. 實施階段：對系統(tǒng)開發(fā)、實施過程進行風險識別，對建成后的系統(tǒng)安全功能進行驗證。

4. 運維階段：了解和控制系統(tǒng)運行過程中的安全風險。

5. 廢棄階段：分析廢棄資產對組織的影響。

六、風險評估的實施

在第三節(jié)我們已經講過了風險評估的基本流程，這里主要是風險評估的具體實施。

(一)準備階段

1.工作內容

這是評估工作的開始，分八步來完成準備工作

這幾步都很好理解，其中需要注意的有以下幾點

首先、確定評估范圍時，需合理定義評估對象和評估范圍邊界，一般劃分原則為：

a) 業(yè)務系統(tǒng)的業(yè)務邏輯邊界;

b) 網(wǎng)絡及設備載體邊界;

c) 物理環(huán)境邊界;

d) 組織管理權限邊界;

第二、風險評估團隊由被評估單位、評估機構共同組建風險評估小組，由被評估單位領導、相關部門負責人，以及評估機構相關人員成立風險評估領導小組;聘請相關專業(yè)的技術專家和技術骨干組成專家組。風險評估小組應完成評估前的表格、文檔、檢測工具等各項準備工作;進行風險評估技術培訓和保密教育;制定風險評估過程管理相關規(guī)定;編制應急預案等，同時雙方應簽署保密協(xié)議，適情簽署個人保密協(xié)議。

第三、信息系統(tǒng)調研的內容包括：

a) 信息系統(tǒng)安全保護等級;

b) 主要的業(yè)務功能和要求;

c) 網(wǎng)絡結構與網(wǎng)絡環(huán)境，包括內部連接和外部連接;

d) 系統(tǒng)邊界，包括業(yè)務邏輯邊界、網(wǎng)絡及設備載體邊界、物理環(huán)境邊界、組織管理權限邊界等;

e) 主要的硬件、軟件;

f) 數(shù)據(jù)和信息;

g) 系統(tǒng)和數(shù)據(jù)的敏感性;

h) 支持和使用系統(tǒng)的人員;

i) 信息安全管理組織建設和人員配備情況;

j) 信息安全管理制度;

k) 法律法規(guī)及服務合同;

第四、評估依據(jù)包括：

a) 適用的法律、法規(guī);

b) 現(xiàn)有國際標準、國家標準、行業(yè)標準;

c) 行業(yè)主管機關的業(yè)務系統(tǒng)的要求和制度;

d) 與信息系統(tǒng)安全保護等級相應的基本要求;

e) 被評估組織的安全要求;

f) 系統(tǒng)自身的實時性或性能要求等。

第五、合理選擇相應的評估工具，遵循如下原則：

a) 對于系統(tǒng)脆弱性評估工具，應具備全面的已知系統(tǒng)脆弱性核查與檢測能力;

b) 評估工具的檢測規(guī)則庫應具備更新功能，能夠及時更新;

c) 評估工具使用的檢測策略和檢測方式不應對信息系統(tǒng)造成不正常影響;

d) 可采用多種評估工具對同一測試對象進行檢測，如果出現(xiàn)檢測結果不一致的情況，應進一步采用必要的人工檢測和關聯(lián)分析，并給出與實際情況最為相符的結果判定;

第六、風險評估方案的內容應包括：

a) 風險評估工作框架：包括評估目標、評估范圍、評估依據(jù)等;

b) 評估團隊組織：包括評估小組成員、組織結構、角色、責任;如有必要還應包括風險評估領導小組和專家組組建介紹等;

c) 評估工作計劃：包括各階段工作內容、工作形式、工作成果等;

d) 風險規(guī)避：包括保密協(xié)議、評估工作環(huán)境要求、評估方法、工具選擇、應急預案等;

e) 時間進度安排：評估工作實施的時間進度安排;

2.工作保障

(二)識別階段

這個階段差不多是整個風險評估工作中很重要的一個階段了，首先還是先畫一個結構圖來了解一下。

1.資產識別

風險的重要因素是以資產為中心，威脅、脆弱性以及風險都是針對資產而客觀存在的。

一般識別流程如下：

(1)資產分類：一般來說，我們把資產分為硬件、軟件、數(shù)據(jù)、服務、人員以及其他6大類。

(2)資產調查：識別組織和信息系統(tǒng)中資產(包括資產屬性)的重要途徑。一般情況下，可通過查閱信息系統(tǒng)需求說明書、可行性的研究報告、設計方案、實施方案、安裝手冊、用戶使用手冊、測試報告、運行報告、安全策略文件、安全管理制度文件、操作流程文件、制度落實的記錄文件、資產清單、網(wǎng)絡拓撲圖以及訪談相關人員等，識別組織和信息系統(tǒng)的資產。

(3)資產賦值：依據(jù)資產保密性、完整性和可用性等安全屬性為資產賦值。一般來說，根據(jù)以下幾個因素綜合來為資產資產賦值:

a) 資產所承載信息系統(tǒng)的重要性;

b) 資產所承載信息系統(tǒng)的安全等級;

c) 資產對所承載信息安全正常運行的重要程度;

d) 資產保密性、完整性、可用性等安全屬性對信息系統(tǒng)，以及相關業(yè)務的重要程度。

(4)資產賦值報告：根據(jù)資產賦值情況，形成資產列表和資產賦值報告。

2.威脅識別

威脅是指可能導致危害系統(tǒng)或組織的不希望事故的潛在起因。在信息安全領域，不存在絕對的安全。

威脅的一般識別流程如下：

(1)威脅分類：威脅分為軟硬件故障、物理環(huán)境影響、無作為或操作失誤、管理不到位、惡意代碼、越權或濫用、網(wǎng)絡攻擊、物理攻擊、泄密、篡改、抵賴11類。如果根據(jù)威脅產生的起因、表現(xiàn)和后果不同，威脅又可分為有害程序、網(wǎng)絡攻擊、信息破壞、信息內容攻擊、設備設施故障、災害性破壞、其他威脅7類。

(2)威脅調查：調查工作包括威脅源動機及其能力、威脅途徑、威脅可能性及其影響;威脅調查的方法是多樣化的，根據(jù)組織和信息系統(tǒng)自身的特點，發(fā)生的歷史安全事件記錄(數(shù)據(jù))，面臨威脅分析等方法進行調查。

(3)威脅分析：基于前面的威脅調查作出分析。同樣也可對威脅的可能性進行賦值，威脅賦值分為很高、高、中等、低、很低5個級別，級別越高表示威脅發(fā)生的可能性越高。

(4)威脅分析報告：報告內容包括威脅名稱、威脅類型、威脅源攻擊能力、攻擊動機、威脅發(fā)生概率、影響程度、威脅發(fā)生的可能性、威脅賦值以及嚴重威脅說明等。

3.脆弱性識別

脆弱性可從技術和管理兩個方面進行識別。

技術方面，可從物理環(huán)境、網(wǎng)絡、主機系統(tǒng)、應用系統(tǒng)、數(shù)據(jù)等方面識別資產的脆弱性;管理方面，可從技術管理脆弱性和組織管理脆弱性兩方面識別資產的脆弱性，技術管理脆弱性與具體技術活動相關，組織管理脆弱性與管理環(huán)境相關。

脆弱性識別所采用的方法主要有：文檔查閱、問卷調查、人工核查、工具檢測、滲透性測試等。

(1)安全技術脆弱性核查

(2)安全管理脆弱性核查

安全管理核查主要通過查閱文檔、抽樣調查和詢問等方法，并核查信息安全規(guī)章制度的合理性、完整性、適用性等。

4.工作保障

(三)風險分析階段

1.信息安全風險分析原理：

2.風險值的計算方法

風險計算方法一般分為定性計算方法和定量計算方法兩大類。

(1)定性計算方法：將風險的各要素資產、威脅、脆弱性等的相關屬性進行量化(或等級化)賦值，然后選用具體的計算方法(如相乘法或矩陣法)進行風險計算;

(2)定量計算方法：通過將資產價值和風險等量化為財務價值的方式來進行計算的一種方法。由于定量計算法需要等量化財務價值，在實際操作中往往難以實現(xiàn)，所以一般不采用該計算方法。

3.風險分析與評價

通過對風險的等級劃分，來確定總體的風險狀況。

4.風險評估報告

報告內容包括：風險對組織、業(yè)務及系統(tǒng)的影響范圍、影響程度;依據(jù)的法規(guī)和證據(jù);風險評價結論。

5.工作保障

(四)風險處置建議

這個階段是圍繞風險評估報告來進行的風險處置，還是有5點內容。

1.處置原則

將風險控制在可接受范圍內，具體處置時，可依據(jù)等級保護相關要求實施的安全風險加固工作，應滿足等級保護相應等級的安全技術和管理要求;對于因不能夠滿足該等級安全要求產生的風險則不能夠適用適度接受風險的原則。

2.安全整改建議

風險處置方式一般包括接受、消減、轉移、規(guī)避等，安全整改屬于風險消減方法。整改建議根據(jù)安全等級有所不同：

a)對于非常嚴重、需立即降低且加固措施易于實施的安全風險，建議被評估組織立即采取安全整改措施。

b)對于非常嚴重、需立即降低，但加固措施不便于實施的安全風險，建議被評估組織立即制定安全整改實施方案，盡快實施安全整改;整改前應對相關安全隱患進行嚴密監(jiān)控，并作好應急預案。

c)對于比較嚴重、需降低且加固措施不易于實施的安全風險，建議被評估組織制定限期實施的整改方案;整改前應對相關安全隱患進行監(jiān)控。

3.組織評審會

評估項目結束時召開評審會，參與人員一般包括：被評估組織、評估機構及專家等。

評估項目驗收文檔如下：

4.殘余風險處置

殘余風險處置是對仍然存在的安全風險進行識別、控制和管理的活動。

5.工作保障

本文名稱：小師妹聊一聊安全標準
文章起源：http://m.5511xx.com/article/cdpdssh.html