信息安全技术 信息安全风险评估方法 汇总

news2024/12/25 0:19:10

概述

风险评估应贯穿于评估对象生命周期
各阶段中。评估对象生命周期各阶段中涉及的风险评估原则和方法昆一致的,但由干各阶段实施内容对象、安全需求不同.使得风险评估的对象、目的、要求等各方面也有所不同。在规划设计阶段,通过风险评估以确定评估对象的安全目标;在建设验收阶段,通过风险评估以确定评估对象的安全目标达成与否;在运行维护阶段,要持续的实施风险评估以识别评估对象面临的不断变化的风险和脆弱性
,从而确定安全措施的有效性,确保安全目标得以实现。因此,每个阶段风险评估的具体实施应根据该阶段的特点有所侧重的进行。规划阶段的风险评估
规划阶段风险评估的目的是识别评估对象的业务规划,以支撑评估对象安全需求及安全规划等。
规划阶段的评估应能够描述评估对象建成后对现有业务模式的作用.包括技术、管理等方面.并根据其作用确定评估对象建设应达到的安全目标。
本阶段评估中,资产、脆弱性不需要识别;威胁应根据未来应用对象、应用环境、业务状况、操作要求等方面进行分析。评估着重在以下几方面∶
a) 是否依据相关规则,建立了与业务规划相一致的安全规划,并得到最高管理者的认可;
b) 是否依据业务建立与之相契合的安全策略.并得到最高安全管理
者的认可c) 系统规划中是否明确评估对象开发的组织、业务变更的管理、开发优先级;
d) 系统规划中是否考虑评估对象的威胁、环境,并制定总体的安全方针;
e) 系统规划中是否描述评估对象预期使用的信息,包括预期的信息系统、资产的重要性、潜在的价值、可能的使用限制、对业务的支持程度等;
f) 系统规划中是否描述所有与评估对象安全相关的运行环境,包括物理和人员的安全配置,以及明确相关的法规、组织安全策略、专门技术和知识等。规划阶段的评估结果应体现在评估对象整体规划或项目建议书中。

设计阶段的风险评估

设计阶段的风险评估需要根据规划阶段所明确的运行环境、业务重要性、资产重要性,提出安全功能需求设计阶段的风险评估结果应对设计方案中所提供的安全功能符合性进行判断∶作为实施过程风险控制的依据。
本阶段评估中;应详细评估设让方案中面临威胁的描述,将评估对象使用的具体设备、软件等资产及其安全功能形成需求列表。对设计方案的评估着重在以下几方面;
a) 设计方案是否符合评估对象建设规划,并得到最高管理者的认可;
b) 设计方案是否对评估对象建设后面临的威胁进行了分析,重点分析来自物理环境和自然的威胁,以及由于内、外部入侵等造成的威胁;
c) 设计方案中的安全需求是否符合规划阶段的安全目标;并基于威胁的分析,制定评估对象的总体安全策略;
d) 设计方案是否采取了一定的手段来应对可能的故障;
e) 设计方案是否对设计原型中的技术实现以及人员、组织管理等方面的脆弱性进行评估.包括设计过程中的管理脆弱性和技术平台固有的脆弱性;
f)设计方案是否考虑随着其他系统接入而可能产生的风险;
g) 系统性能是否满足用户需求,并考虑到峰值的影响,是否在技术上考虑了满足系统性能要求的方法∶
h) 应用系统(含数据库)是否根据业务需要进行了安全设计;
i) 设计方案是否根据开发的规模、时间及系统的特点选择开发方法,并根据设计开发计划及用户需求,对系统涉及的软件、硬件与网络进行分析和选型;
j) 设计活动中所采用的安全控制措施、安全技术保障手段对风险的影响。在安全需求变更和设计变更后,也需要重复这项评估。
设计阶段的评估可以以安全建设方案评审的方式进行,判定方案所提供的安全功能与信息技术安全技术标准的符合性。评估结果应体现在评估对象需求分析报告或建设实施方案中。

实施阶段的风险评估

实施阶段风险评估的目的是根据安全需求和运行环境对系统开发,实施过程进行风险识别,并对建成后的安全功能进行验证。根据设计阶段分析的威胁和制定的安全措施。在实施及验收时进行质量控制。
基于设计阶段的资产列表、安全措施.实施阶段应对规划阶段的安全威胁进行进一步细分,同时评估安全措施的实现程度;从而确定安全措施能否抵御现有威胁、脆弱性的影响。实施阶段风险评估主要对业务及其相关信息系统的开发、技术与产品获取,系统交付实施两个过程进行评估。开发、技术与产
品获取过程的评估要点包括∶
a) 法律、政策、适用标准和指导方针;直接或间接影响评估对象安全需求的特定法律;影响评估对
象安全需求、产品选择的政府政策、国际或国家标准;
b) 评估对象的功能需要∶安全需求是否有效地支持系统的功能;
c) 成本效益风险;是否根据评估对象的资产、威胁和脆弱性的分析结果,确定在符合相关法律、政
策、标准和功能需要的前提下选择最合适的安全措施;
d) 评估保证级别∶是否明确系统建设后应进行怎样的测试和检查,从而确定是否满足项目建设、
实施规范的要求。

交付阶段的风险评估

系统交付实施过程的评估要点包括;
a) 根据实际建设的系统,详细分析资产、面临的威胁和脆弱性;
b) 根据系统建设目标和安全需求,对系统的安全功能进行验收测试;评价安全措施能否抵御安全威胁;
c) 评估是否建立了与整体安全策略一致的组织管理制度;
d) 对系统实现的风险控制效果与预期设计的符合性进行判断,如存在较大的不符合,应重新进行评估对象安全策略的设计与调整。
本阶段风险评估可以采取对照实施方案和标准要求的方式,对实际建设结果进行测试、分析。

运行阶段的风险评估

运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险,是一种较为全面的风险评估评估内容包括对真实运行的资产、威胁、脆弱性等各方面。
a) 资产评估∶包括对业务、系统资产、系统组件和单元资产的评估。业务评估包括业务定位、业务关联性、完整性、业务流程分析;系统资产评估包括系统分类和业务承载连续性的评估∶系统组件和单元资产是在真实环境下较为细致的评估,包括实施阶段采购的软硬件资产、系统运行过
程中生成的信息资产、相关的人员与服务等,本阶段资产识别是前期资产识别的补充与增加。
b) 威胁评估∶应全面地分析威胁的可能性和严重程度。对威胁导致安全事件的评估可以参照威胁来源动机、能力和安全事件的发生频率。
c) 脆弱性评估∶是全面的脆弱性评估。包括运行环境中物理、网络、系统、应用、安全保障设备,管理等各方面的脆弱性。技术脆弱性评估可以采取核查、扫描、案例验证、渗透性测试的方式实施;安全保障设备的脆弱性评估∶应包括安全功能的实现情况和安全保障设备本身的脆弱性;
管理脆弱性评估可以采取文档、记录核查等方式进行验证。
d) 风险计算∶根据本文件的相关方法,对风险进行定性或定量的风险分析.描述不同业务、系统资产的风险高低状况。
运行维护阶段的风险评估应定期执行∶当组织的业务流程、系统状况发生重大变更时,也应进行风险评估,重大变更包括以下情况(但不限于)∶
a)增加新的应用或应用发生较大变更∶
b)网络结构和连接状况发生较大变更∶
c) 技术平台大规模的更新;
d) 系统扩容或改造∶
e) 发生重大安全事件后,或基于某些运行记录怀疑将发生重大安全事件;
f) 组织结构发生重大变动对系统产生了影响。

废弃阶段的风险评估

废弃阶段风险评估着重在以下几方面∶
a) 确保硬件和软件等资产及残留信息得到了适当的处置,并确保系统组件被合理地丢弃或更换;
b) 如果被废弃的系统是某个系统的一部分,或与其他系统存在物理或逻辑上的连接,还需考虑系
统废弃后与其他系统的连接是否被关闭;
c) 如果在系统变更中废弃,除对废弃部分外,还应对变更的部分进行评估.以确定是否会增加风
险或引入新的风险;
d) 是否建立了流程,确保更新过程在一个安全、系统化的状态下完成。
本阶段应重点对废弃资产对组织的影响进行分析,并根据不同的影响制定不同的处理方式。对由于系统废弃可能带来的新的威胁进行分析,并改进新系统或管理模式。对废弃资产的处理过程应在有效的监督之下实施,同时对废弃的执行人员进行安全教育,评估对象的维护技术人员和管理人员均应参
与此阶段的评估。

风险评估具体操作流程

在这里插入图片描述

参考链接

GB-T 20984-2022 信息安全技术 信息安全风险评估方法
GB-T 20272-2019 信息安全技术 操作系统安全技术要求

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/66976.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

(推荐阅读)H264, H265硬件编解码基础及码流分析

需求 在移动端做音视频开发不同于基本的UI业务逻辑工作,音视频开发需要你懂得音视频中一些基本概念,针对编解码而言,我们必须提前懂得编解码器的一些特性,码流的结构,码流中一些重要信息如sps,pps,vps,start code以及基本的工作原理,而大多同学都只是一知半解,所以导致代码中的…

JAVA-元注解和注解

故事背景:罗芭是一名正在学习java的妹子,最近看甲骨文的官方文档,学到了注解Annotation这里,发现注解我可以自定义,但罗芭不会诶。但是布洛特 亨德尔已经学习过了java注解。 罗芭,help me~ 唰唰唰&#xff…

Redis05:Redis高级部分

Redis高级部分SpringBoot整合Redis整合测试序列化配置解决乱码问题redis自定义RedisTemplateSpringBoot整合Redis 说明:在SpringBoot2.x之后,原来使用jedis被替换成了letttuce! jedis:采用的时直连,多个线程操作的话,是不安全的&a…

MySQL下载和安装(Windows)

前言:刚换了一台电脑,里面所有东西都需要重新配置,习惯了所有东西都配好的装配,突然需要自己从头来配才发现不知道如何下手,所以决定将这些步骤都做个记录,以便后续查看。仅限没有安装过的人使用&#xff0…

关于海量级存储用户标签体系架构

项目场景: 对于我们运营来说,需要给用户打上不同的身份标签。比如用户是否偏重,身高范围,是不是我们的会员。。。等等一些标签。 比如我们有100W用户。我们需要来给100W用户打上接近200个不同身份的标签应该如何去做&#xff1f…

【数据集NO.4】遥感图像数据集汇总

文章目录前言一、NWPU VHR-10卫星图像数据集二、RSOD三、DIOR四、DOTA五、HRSC2016六、UCAS AOD七、HRRSD八、SSDD九、DLR 3K Vehicle前言 数据集对应应用场景,不同的应用场景有不同的检测难点以及对应改进方法,本系列整理汇总领域内的数据集&#xff0…

《MySQL实战45讲》——学习笔记20 “幻读、全表扫描的加锁方式、间隙锁、next-key lock“

本篇介绍MySQL在可重复度RR隔离级别下,引入的一种锁机制:间隙锁 (Gap Lock);间隙锁与事务相关的表锁、行锁不同,它锁的是“往这个间隙中插入一个记录”这个操作,除此之外间隙锁之间都不存在冲突关系(因而有…

Spring @Autowire注解源码详解

目录 一:触发方式: 二:源码解析 2.1 扫描注入点 2.2 属性赋值 一:触发方式: 1.Spring容器在每个Bean实例化之后,调用AutowireAnnotationBeanPostProcessor的postProcessMergedBeanDefinition方法进行扫…

[附源码]计算机毕业设计美发店会员管理系统Springboot程序

项目运行 环境配置: Jdk1.8 Tomcat7.0 Mysql HBuilderX(Webstorm也行) Eclispe(IntelliJ IDEA,Eclispe,MyEclispe,Sts都支持)。 项目技术: SSM mybatis Maven Vue 等等组成,B/S模式 M…

七周成为数据分析师 | 数据可视化

一.常见的初级图表 维度:描述分析的角度和属性,分类数据(时间,地理位置,产品类型等) 度量:具体的参考数值,数值数据(元,销量,销售金额等&#x…

windows监控linux服务器资源grafana+prometheus+node_exporter

Windows环境监控Linux服务器资源grafanaprometheusnode_exporter 1.安装包下载 链接:https://pan.baidu.com/s/1xqdIYNtadt2tRSN-XlELUw 提取码:12342.安装grafana (1)将压缩包解压后,在bin文件目录下,点…

【Linux】shell命令以及运行原理和Linux权限详解

本期主题:Linux权限详解博客主页:小峰同学分享小编的在Linux中学习到的知识和遇到的问题小编的能力有限,出现错误希望大家不吝赐 目录 🍁1.shell命令以及运行结果 🍁2. Linux用户管理 🍁3. Linux权限管理 …

Python进阶学习之阅读代码

起因 在这个过程中,学习到了一些东西,同时整理了自己以前的一些收获,然后分享给大家,有不对的地方还望海涵、指正。 阅读代码有助于处理bug 阅读代码是一项更重要的技能,在大学编程语言的考试中也有相关的考察——代…

Paper reading:Fine-Grained Head Pose Estimation Without Keypoints (CVPR2018)

Paper reading:Fine-Grained Head Pose Estimation Without Keypoints (CVPR2018) 一、 背景 为什么要读这篇论文,因为LZ之前要做头部姿态估计,看到一些传统的方法,都是先进行人脸检测,然后再…

Java基于JSP旅游网站系统的设计于实现

我国的旅游事业目前正处于一个科学技术日新月异飞速向前发展的环境中。信息技术和通信技术以令人目不暇接的速度发展,尤其是互联网络的广泛流行,使得各种服务信息已近乎透明,且个性突出的游客们已不再满足于死板的标准化的旅游项目&#xff0…

JavaScript-T2

JavaScript-T2 前言 本次主要讲解的知识点是: JavaScript自定义函数 JavaScript系统函数 JavaScript 事件 JavaScript 的常用事件 JavaScript自定义函数 函数就是为了完成程序中的某些特定功能而进行专门定义的一段程序代码 函数包括自定义函数和系统函数 使用函数…

Akka 学习(二)第一个入门程序

目录一 sbt 介绍1.1 Sbt1.2 下载安装1.3 sbt的特点1.4 Idea 配置Sbt开发工具二 构建定义2.1 指定版本2.2 build.sbt 设置三 代码实现3.1 Java版本3.2 Scala版本3.3 对比一 sbt 介绍 1.1 Sbt sbt 是为 Scala 和 Java 项目构建的。它是93.6%的 Scala 开发人员的首选构建工具&am…

2000-2021年各省GDP包括名义GDP、实际GDP、GDP平减指数(以2000年为基期)

全国31省市GDP平减指数(2000-2021年)及计算步骤 1、时间:2000-2021年 2、范围:31省 3、数据包括:2000-2021年各省市GDP平减指数,以2000年为基期,包括数据来源、计算方法、公式等。 4、计算步骤: 第一步…

物联卡采购注意要点有哪些

在这个万物互联的时代,针对于企业设备联网的物联卡就显得格外重要了,而共享单车,移动支付,智慧城市,自动售卖机等企业采购物联卡会面临着各种问题,低价陷阱,流量虚假,管理混乱&#…

sealos issue #2157 debug 思路流程记录

sealos issues#2157 debug思路流程前言分析issue剖析源码解决方案总结前言 这个项目蛮有意思的,sealos 是以 kubernetes 为内核的云操作系统发行版。 boss上看到 -> 沟通 -> 解决某个issue直接offer -> 舒服 本文记录解决 issue 的思路 分析issue BUG…