信息安全风险评估技术.pptx

第6章 信息安全风险评估技术;6.1 系统安全需求分析;6.2 信息安全风险识别;6.2.1 人为因素;6.2.2 自然灾害;6.2.3 基础架构故障;6.3 信息安全威胁分析;6.4 信息安全威胁分析方法;6.4.1 通过定量分析方法进行威胁分析;6.4.2 构建攻击模型;6.5 系统漏洞识别与评估;6.5.1 硬件系统漏洞;6.5.2 软件系统漏洞;控制软件漏洞 主流的通信协议集的开放式架构策略中都存在着一些漏洞，目前存在的网络攻击都是由于这些漏洞所引起的。 修补难度大：1.支出大；2.补丁的速度跟不上发现漏洞的速度；3.兼容性问题 策略，规程和实践 安全策略用于描述系统中用户必须遵守的规范 规程阐述了怎样在系统中具体地执行安全策略 实践就是日复一日地去执行规程;6.7 安全监控与审计;监控工具的功能 数据收集：在大量的事件中选择合适的事件进行监控 信息分析:捕获系统关键数据并进行分析，分析出有用信息后在合适的时间呈现给系统用户 审计：计算机系统安全评估的重要工具 审计步骤 审阅系统起始状态下所有的系统数据； 审阅所有已识别的安全威胁； 选择审计的频率，以日、周或月为单位； 审阅所有的系统行为确保其没有违背系统准则。;6.8 安全评估工具使用;创建新评估;报表信息;;第6章 信息安全风险评估技术;6.1 系统安全需求分析;6.2 信息安全风险识别;6.2.1 人为因素;6.2.2 自然灾害;6.2.3 基础架构故障;6.3 信息安全威胁分析;6.4 信息安全威胁分析方法;6.4.1 通过定量分析方法进行威胁分析;6.4.2 构建攻击模型;6.5 系统漏洞识别与评估;6.5.1 硬件系统漏洞;6.5.2 软件系统漏洞;控制软件漏洞 主流的通信协议集的开放式架构策略中都存在着一些漏洞，目前存在的网络攻击都是由于这些漏洞所引起的。 修补难度大：1.支出大；2.补丁的速度跟不上发现漏洞的速度；3.兼容性问题 策略，规程和实践 安全策略用于描述系统中用户必须遵守的规范 规程阐述了怎样在系统中具体地执行安全策略 实践就是日复一日地去执行规程;6.7 安全监控与审计;监控工具的功能 数据收集：在大量的事件中选择合适的事件进行监控 信息分析:捕获系统关键数据并进行分析，分析出有用信息后在合适的时间呈现给系统用户 审计：计算机系统安全评估的重要工具 审计步骤 审阅系统起始状态下所有的系统数据； 审阅所有已识别的安全威胁； 选择审计的频率，以日、周或月为单位； 审阅所有的系统行为确保其没有违背系统准则。;6.8 安全评估工具使用;创建新评估;报表信息;;