@爆米花
2年前 提问
1个回答
如何对计算机系统做安全评估
GQQQy
2年前
计算机系统做安全评估基本过程如下:
计划和准备:主要包括目标、范围和边界、系统描述、角色和责任、风险评估行动计划、风险接受标准、风险评估适用表格;
确定资产:包括各种文档、纸质文件、软件资产、物理资产、人员、服务、组织形象与声誉;
威胁分析:威胁源主要有人员威胁包括故意破坏和无意失误,系统威胁包括系统网络或者服务的故障,环境威胁包括电源故障、液体泄漏、火灾等,自然威胁包括洪水、地震、台风等;
脆弱点分析:常见弱点有三类技术性弱点、操作性弱点、管理性弱点;
分析并评估现有的安全措施控制:主要分为管理性、操作性、技术性。从控制的功能来看安全控制措施又可以分为威慑性、预防性、检测性、纠正性;
评估安全风险:评估风险有两个关键因素,一个是威胁对信息资产造成的影响,另一个是威胁发生的可能性,前者通过资产识别与评估已经得到了确认,而后者还需要根据威胁评估、弱点评估、现有控制的苹果来进行认定;
报告实施:报告内容包括概述、评估结果、推荐安全控制措施,提出建设性的解决方案。