信息安全评估知识点

《信息安全评估》考试知识点串讲

一、安全评估基础与标准

1、评估概念：广义和狭义的分类，狭义指信息安全风险评估。

2、评估意义：提高安全针对性，降低了成本，提供适度安全。

3、评估工具：包括系统、平台、分析等工具，但不包括：经验和物理环境工具。

4、TCSEC标准

（1）针对计算机系统安全进行评估。

（2）分成了ABCD四个级别和7个小类（级别D,C1,C2,B1,B2,B3,A1）。

（3）从B1级开始强制保护和使用安全标签。

5、ITSEC标准

（1）针对所有的IT产品或系统进行评估。

（2）首次提出了保密性、完整性、可用性。

（3）安全功能和评估（保证）部分，分为10类安全功能和6级的安全强度。

6、FC标准：

（1）针对所有IT产品或系统评估。

（2）首次提出了PP的概念（标准化的需求）。

（3）PP内容包括1-功能、2-保证、3-测评三个部分。

7、CC标准

（1）CC继承了TCSEC、FC、ITSEC等优势。

（2）CC发展为ISO/IEC 15408，中国GB/T 18336等同采用（idt）了ISO/IEC 15408。

（3）CC通用性：架构开放性、实用性（研发、评估、用户）、表达通用性、全球通用、所有IT产品。而不是独立性。

（4）CC标准包括：1-简介和一般模型、2-安全功能要求、3-安全保证要求。

（5）CC标准构成：功能和保证内容构成是“类-子类（族）-组件-元素”所构成的。

（6）CC标准概念：评估对象-TOE、保护轮廓-PP、安全目标-ST，*** EAL（EAL1-EAL7）

二、信息安全风险评估

1. 风险要素：

（1）资产：业务、安全、分类等有关。有形-无形、物理-逻辑、静态-动态、硬件-软件、技术-管理等分类。

（2）威胁：风险外因，因素包括来源、动机、方式、对象、频率，程度。

（3）脆弱性：风险内因，技术和管理脆弱性，主体、机制、可利用、程度。

（4）安全措施：1-防护、2-检测、3-纠正、4-威慑措施。

（5）补充：残余风险，需要进行跟踪和监视。

2. 风险评估方法

（1）途径：基线评估、详细评估和组合评估。

（2）方式：以自评估为主，自评估和检查评估相互结合和互为补充。

（3）分析：知识分析、模型分析、定量分析和定性分析。

3. 风险分析

（1）定量分析：ALE=SLE ARO= (AV EF ) * ARO

（2）定性分析：知识、理论、经验的决定性因素。

4. 风险评估过程

（1）准备：团队、目标、范围、计划、方案、方法、工具、协议、授权书等。

（2）要素识别：资产、威胁、脆弱性、安全措施。

（3）风险分析：定量分析、定性分析，以及二者结合，掌握分析图和公式。

风险值={资产，威胁，脆弱性}，并要求三要素具有相互作用的关系。

风险值 = R（A，T，V）= R（L（T，V），F（Ia，Va ））

（4）结果判定：什么风险、影响、等级、处理建议。

如上四个阶段，每一个阶段产生的文档和记录，其管理和阶段对应。

三、信息系统审计(CISACISP-A 高级会计师CPACMAPMPCISPCISSP)

1. 作用：安全性、真实性、效益性、合法性等方面监督审核活动。

2. 内容：总体审计、安全技术、安全管理、建设管理、建设经济性、效益评价。

3. 流程：1-目标、2-范围、3-依据、4-团队、5-实施、6-报告、7-后续活动。

4. 类型：SAS70和SOC的区别（范围不同、周期不同12月，了解即可）。

更新: 2025-03-11 12:30:41
原文: http://www.yuque.com/yuhui.net/network/yl148unw63msd6ng