@
2年前 提问
1个回答

信息安全主要的安全评估方式有哪些

在下炳尚
2年前

信息安全主要的安全评估方式有以下这些:

  • 安全审计方式:以审计概念为核心的安全评估思想认为存在关于安全的最佳实践(BestPractices)。以通过最佳实践的实施与否及其程度来测量IT系统的安全性。主要针对的是信息系统安全措施的落实和安全管理,是一种符合性的测量,是静态、瞬间的评估。

  • 风险评估方式:风险评估模型是从风险管理角度进行安全分析。一般通过调查要保护的IT资产,假设这些资产存在的安全威胁、漏洞,以及这些威胁和漏洞对资产可能造成的影响进行评价,经过数学的概率统计得出对安全性的测量,大部分以可能产生的损失来量化。从而提出降低风险,将安全风险控制在可以接受的范围内的风险控制措施。风险分析是一种动态的、反复的评估。

  • 能力成熟度方式:能力成熟度模型认为通过过程(Process)来保证安全。最著名的SSE-CMM系统安全工程能力成熟模型,其思想来源于卡耐基梅隆的软件工程能力成熟模型(SW-CMM)。它将安全能力划分为5个等级,从低到高,低等级是不成熟的、难以控制和重复的,中等级是可管理的、可控的,高等级是可量化、可测量的。能力成熟模型是一种动态的、螺旋式上升的模型。

  • 安全测评方式:安全测评是从安全技术、功能、机制角度来进行安全评估。前面提到的橘皮书TCSEC标准提出了度量计算机安全特性的分级方法。TCSEC定义了7个等级组成的A、B、C、D四个类别,类A中的级别A1是最高安全级别,类D中的级别D1是最低安全级别。类别用来度量提供安全保护的程度,每一个级别和类别都是在前一个基础上增加条款形成的。TCSEC主要从安全功能角度来描述和度量安全级别。它比较适合于对计算机安全,特别是操作系统,进行安全度量,但不适合网络化的IT安全测量。CC为安全技术的分级测量提供很好的方法,特别是信息安全产品。CC定义了安全功能要求的类、族和部件结构划分。用户可以从该结构中选择合适的条款来定义他们对产品的安全功能要求。CC也定义安全保证要求的类、族和部件结构划分,此外,安全保证要求使用评估保证级别(EAL)进行区分。

实现对于信息安全威胁的防范措施有以下这些:

  • 在局域网络内,对不同的信息进行区域规划,执行严格的授权访问机制。将拥有不同安全访问权限的用户划分至不同的VLAN,并在Trunk端口限制授权访问的VLAN,将一些敏感信息与其他子网络相隔离。

  • 将所有敏感信息都集中保存在网络内的文件服务器中,既可以有效保证敏感信息的存储安全,又可以保证在共享文件的同时,严格控制其访问权限。需要注意的是,应杜绝将敏感信息保存在个人计算机上。

  • 制定严格的文件访问权限。敏感文件必须存储在NTFS系统分区,并且为不同用户或用户组设置严格的NTFS文件权限、NTFS文件夹权限和共享文件权限。

  • 将不同类型的用户划分于不同的用户组或组织单位,并为用户组和组织单位指定相应的访问权限,既可以减化文件权限管理的难度,又不会因疏忽大意导致访问权限划分错误。

  • 安装RMS服务,严格限制对敏感文件的操作。权限管理服务(WindowsRights Management)作为组织内的权限策略管理系统提供一个平台,是在组织中搭建权限管理系统的重要组成部分。

  • 其他基于交换机和路由器的安全措施。例如,采用IEEE 802.1x身份认证、IP地址与MAC地址绑定、安全端口、IP或MAC地址访问列表等技术,限制用户登录到网络,或者限制其对敏感区域的访问。