安全风险评估
2020-06-07 16:54:52 0 举报AI智能生成
信息系统安全风险评估
作者其他创作
大纲/内容
赋值
➢ 风险值=风险发生的可能性×风险产生后果
➢ 风险发生的可能性=SQRT(资产威胁×资产脆弱性)
➢ 风险产生后果=SQRT(资产价值×资产脆弱性)
➢ 风险发生的可能性=SQRT(资产威胁×资产脆弱性)
➢ 风险产生后果=SQRT(资产价值×资产脆弱性)
资产类型与赋值
机密性
完整性
可用性
威胁分类与赋值
操作失误
滥用权限
行为抵赖
身份假冒
密码分析
安全漏洞
拒绝服务
恶意代码
窃听数据
物理破坏
社会工程
意外故障
通信中断
电源中断
脆弱性分类与赋值
根据实际脆弱性进行赋值
安全设备有无
密码复杂度
登录失败处理等
参考标准
《ISO/IEC 27001-2013 信息技术-安全技术-信息安全管理体系》
《GB/T 20984-2007 信息安全技术-信息安全风险评估规范》
《信息安全技术 信息系统安全等级保护测评要求》
《信息安全技术 信息系统安全等级保护测评过程指南》
评估对象
系统物理环境安全
系统网络安全
系统主机安全
系统应用安全
系统管理制度
评估内容
资产评估
威胁评估
网络脆弱性检测
系统脆弱性检测
应用脆弱性检测
物理脆弱性检测
管理脆弱性检测
主机漏洞检测
评估方法
现场访谈/查看
日志分析
漏洞扫描
渗透测试验证
管理制度和记录
0 条评论
下一页
为你推荐
查看更多
