本文详细介绍了CISP考试中关于信息安全评估的知识,包括安全评估基础、实施过程和信息系统审计。安全评估涉及到资产识别、威胁分析、脆弱性评估、风险计算和处理。同时,文章提到了多种评估标准,如TCSEC、ITSEC、CC等,并强调了风险评估在信息安全建设中的重要性。此外,还讨论了审计原则、方法和技术,如脆弱性测试、渗透测试和审计报告的编制。
第 6 章 知识域:信息安全评估
CISP 考试教材《第 1 章 知识域:信息安全保障》知识整理
CISP 考试教材《第 2 章 知识域:网络安全监管》知识整理
CISP 考试教材《第 3 章 知识域:信息安全管理》知识整理
CISP 考试教材《第 4 章 知识域:业务连续性》知识整理
CISP 考试教材《第 5 章 知识域:安全工程与运营》知识整理
CISP 考试教材《第 6 章 知识域:信息安全评估》知识整理
CISP 考试教材《第 7 章 知识域:信息安全支撑技术》知识整理
CISP 考试教材《第 8 章 知识域:物理与网络通信安全》知识整理
CISP 考试教材《第 9 章 知识域:计算环境安全》知识整理
CISP 考试教材《第 10 章 知识域:软件开发安全》知识整理
目录
6.1 知识子域:安全评估基础
6.1.1 安全评估概念
1.安全评估基本概念
安全评估也称作安全风险评估,是针对资产潜在影响正常执行其职能的行为产生干扰或者破坏的因素进行识别、评价的过程
风险评估工作包括以下方面
-
确定保护的对象是什么?它们的直接和间接价值是什么?
-
资产面临哪些威胁?威胁类型及存在原因?可能性有多大?
-
资产中存在哪些弱点可能会被威胁所利用?利用的难易程度如何?
-
一旦威胁事件发生,组织会遭受怎样的损失或者面临怎样的负面影响?
-
组织应该采取怎样的安全措施才能将风险带来的损失降到最低程度
2.安全评估的价值
(1)信息安全风险评估是信息安全建设的起点和基础
分析其在保密性、完整性、可用性等方面所面临的风险,揭示组织机构的风险状况并提出改进风险状况的建议的工作
(2)信息安全风险评估是信息安全建设和管理的科学方法
信息系统的安全性取决于系统的资产、脆弱性、威胁、已有措施等多种安全要素,取决于这些要素之间的关系以及与系统环境的关系
风险评估是一种理论与实践相结合的工作方法
(3)风险评估实际上是在倡导一种适度安全
(4)保护网络空间安全的核心要素和重要手段
3.安全评估工具
风险评估的工具可以分成风险评估与管理工具、系统基础平台风险评估工具、风险评估辅助工具 3 类
(1)风险评估与管理工具
综合类工具
根据实现方法的不同,风险评估与管理工具可以分为 3 类:基于信息安全标准的风险评估与管理工具,基于知识的风险评估与管理工具和基于模型的风险评估与管理工具
(2)系统基础平台风险评估工具
基于特定厂商或产品的工具
此类工具包括脆弱性扫描工具和渗透性测试工具
(3)风险评估辅助工具
专项工具
风险评估辅助工具则实现对数据的采集、现状分析和趋势分析等单项功能,为风险评估各要素的赋值、定级提供依据
6.1.2 安全评估标准
1.安全评估标准的发展
信息技术安全通用评估准则,简称 CC 标准
2.可信计算机系统评估标准(TCSEC)
可信计算机系统评估标准(Trusted Computer System Evaluation Criteria,TCSEC)是美国政府国防部(Department of Defense,DoD)标准
(1)基本目标和要求
TESEC 基本目标和要求包括策略、问责、保证和文档
(2)分级
TCSEC 通过分级的方式建立评价指标,其定义了 4 个级别:D(最小保护)、C(选择保护)、B(强制保护)和 A(验证保护),其中 A 级具有最高的安全性
3.信息技术安全评估标准(ITSEC)
信息技术安全评估标准(Information Technology Security Evaluation Criteria,ITSEC)
将安全概念分为功能与功能评估两部分
ITSEC 提出评估对象(TOE)的概念,评估对象分产品和系统两大类
4.信息技术安全评估通用标准(CC)
信息技术安全评估通用标准(Common Criteria for Information Technology Security Evaluation)简称通用标准或 CC,是计算机安全认证的国际标准(ISO/IEC 15408)
CC 是最全面的信息技术安全评估准则
CC 充分突出了 ”保护轮廓“ 这一概念,将评估过程分”功能“和”保证“两部分
5.信息技术安全性评估准则(CC)
《信息技术安全性评估准则》是我国在2008年等同采用《ISO/IEC 15408:2005 信息技术-安全技术-信息技
最低0.47元/天 解锁文章
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
