信息安全讲义概述.

格式：ppt
大小：1.89 MB
文档页数：32

下载文档原格式

《信息安全概述》PPT课件 (2)

(1). 早在20 世纪初期，通信技术还不发达，面对、电报、等信息交换过程中存在的安全问题，人们强调的主要是信息的保密性，对安全理论和技术的研究也只侧重于密码学，这一阶段的信息安全可以简单称为通信安全，即COMSEC（Communication Security）。
1.4 信息安全发展的过程
1.2 信息安全的概念
A. 信息安全就是关注信息本身的安全，而不管是否应用了计算机作为信息处理的手段。信息安全的任务是保护信息资源，以防止偶然的或未授权者对信息的恶意泄露、修改和破坏，从而导致信息的不可靠或无法处理等。这样可以使得人们在最大限度地利用信息的同时损失最小。
1.2 信息安全的概念
前言
A. 上述事实说明，在信息时代，信息系统的安全性已经成为非常重要的研究课题。利用计算机进行信息犯罪已经侵入到政府机关、军事部门、商业、企业等单位。
B. 如果不加以遏制，轻则干扰人们的日常生活，重则造成巨大的经济损失，甚至威胁到国家的安全，所以信息安全已经引起许多国家，尤其是发达国家的高度重视，他们不惜在此领域投入大量的人力、物力和财力，以达到提高计算机信息系统安全的目的。
要保证信息的安全就必须想办法在一定程度上克服以上的种种威胁。需要指出的是，无论采取何种防
范措施都不能保证信息的绝对安全。安全是相对的，
不安全才是绝对的。
1.4 信息安全发展的过程
信息安全自古以来就是受到人们关注的问题，但在不同的发展时期，信息安全的侧重点
和控制方式是有所不同的。大致说来，信息安全在其发展过程中经历了3个阶段。
前言
1988年11月2日，美国康奈尔大学的学生罗伯特·莫里斯释放多个蠕虫病毒，造成因特网上近 6 000台主机瘫痪，据称损失高达几千万美元。

信息安全模型讲义

信息安全模型讲义信息安全模型是指在信息系统中，通过建立安全策略和安全控制措施来保护信息资源的技术体系和理论模型。

它以解决信息系统中的安全问题为目标，为实现信息系统的安全性提供了一种全面、系统的方法和手段。

本篇文章将对信息安全模型进行详细的讲解。

一、信息安全概述信息安全是指保护信息资源不受未经授权的访问、使用、泄露、破坏、篡改或丢失的能力。

在信息化快速发展的今天，信息安全已经成为一个非常重要的问题。

信息资源安全主要包括机密性、完整性和可用性三个方面。

1. 机密性：信息的机密性是指只有经过授权的用户才能访问和使用信息，未经授权的用户无法获取和使用信息。

2. 完整性：信息的完整性是指信息在传输和存储过程中，不受篡改和损坏的保证，保证信息真实、完整和正确。

3. 可用性：信息的可用性是指信息能够在需要的时候正常地使用，不受拒绝服务攻击和其他因素的影响。

二、信息安全模型的基本概念信息安全模型是指在信息系统中，通过建立安全策略和安全控制措施来保护信息资源的技术体系和理论模型。

它以解决信息系统中的安全问题为目标，为实现信息系统的安全性提供了一种全面、系统的方法和手段。

信息安全模型主要包括安全策略、安全目标、访问控制和身份验证等要素。

1. 安全策略：安全策略是指为了保护信息系统中的信息资源安全而制定的一系列规则和措施。

它包括安全目标的确定、安全政策的制定和安全规则的建立等。

2. 安全目标：安全目标是制定和实施安全策略的目的和依据，主要包括保密性、完整性和可用性等安全目标。

3. 访问控制：访问控制是指通过建立安全机制和措施，对信息系统中的用户进行身份验证和授权访问。

它包括访问控制策略、访问控制模型、访问控制机制等。

4. 身份验证：身份验证是确认用户的身份是否合法和可信的过程。

常用的身份验证方式包括用户名和密码、生物特征识别、数字证书等。

三、信息安全模型的分类信息安全模型根据安全策略的不同，可以分为强制访问控制（MAC）、自主访问控制（DAC）和角色访问控制（RBAC）等。

《信息安全概述》课件

木马攻击
伪装成合法软件或文件，潜入计算机系统并窃取信息或控制计算机。
漏洞利用
利用软件或系统中的漏洞，突破安全措施并对系统进行非法操作。
社会工程学攻击
通过欺骗、误导和社交技巧获取目标的敏感信息或迫使其执行操作。
信息安全的应急响应
应急响应计划
制定应急响应计划，包括预防措施、事件检测和响应步骤，以及恢复业务功能的方法。
建立由政策、流程和组织结构组成的信息安全管理框架，以确保信息安全的实施和监督。
2
安全技术体系
采用各种安全技术和措施来保护信息系统和数据的安全，如网络安全、应用安全和数据安全。
3
安全保障体系
通过培训、意识提升和演练来增强组织成员的信息安全意识和应对能力。
信息安全的常见攻击方式
病毒攻击
通过植入恶意代码感染计算机系统，破坏文件和系统正常运行。
应急响应流程
建立明确的应急响应流程，包括事件报告、分析、处置和恢复阶段。
应急响应工具
使用各种安全工具和技术来检测和应对信息安全事件，如入侵检测系统和数据备份。
信息安全的发展趋势
1 人工智能与信息安全
人工智能技术的应用使得信息安全更具智能化，但也带来了新的安全挑战。
2 区块链与信息安全
区块链技术的去中心化特性提供了更高的数据安全性和可信度。
3 量子计算与信息安全
量子计算的突破性进展可能破解当前的加密算法，对信息安全提出了新的挑战。
总结
1 信息安全的重要性
在数字化时代，信息安全是企业和个人的核心关注点。
2 信息安全的应用领域
信息安全涉及各行各业，包括金融、电子商务、医疗保健和政府等。
3 未来信息安全的发展方向

信息安全概述PPT课件

11
信息安全概念（四）
信息安全？ ISO的定义为：为数据处理系统建立和采取的
技术和管理的安全保护，保护计算机硬件、软件和数据不因偶然和恶意的原因而遭到破坏、更改和显露。
12
信息系统安全概念
确保以电磁信号为主要形式的，在计算机网络化系统中进行获取、处理、存储、传输和利用的信息内容，在各个物理位置、逻辑区域、存储和传输介质中，处于动态和静态过程中的机密性、完整性、可用性、可审查性和抗抵赖性的，与人、网络、环境有关的技术和管理规程的有机集合。
为某一特定目的授权使用一个系统的人却将该系统用作其它未授权的目的
攻击者发掘系统的缺陷或安全脆弱性
对信息或其它资源的合法访问被无条件的拒绝或推迟与时间密切相关的操作
信息从被监视的通信过程中泄露出去
信息从电子或机电设备所发出的无线射频或其它电磁场辐射中被提取出来
资源被某个未授权的人或者以未授权的方式使用
56
发达国家的信息安全策略（一）
➢ 美国成立了直属总统的关键基础设施保护委员会负责保护美国的信息安全。
➢ 俄罗斯则把信息安全提到国家战略的高度予以重视。
使用不会被不正当地拒绝
38
系统可控性 ➢ 能够控制使用资源的人或实体的
使用方式
39
可靠性
可靠性保证所传输的信息不属于无用信息
40
访问控制保证网络资源不被非法使用和非常访问
41
抗抵赖性
➢ 也称不可否认性：建立有效的责任机制，防止实体否认其行为
42
可审查性对出现的网络安全问题提供调查的依据和手段
得当提供特定的输入数据时，允许违反安全策略。
29
目前存在的信息威胁（七）
➢ 潜在的威胁对于信息泄露的基本威胁，有以下的潜在威胁：

信息安全课程内容

信息安全课程内容信息安全是当今社会中非常重要的一个领域，它涉及到保护个人、组织和国家的信息资产免受未经授权的访问、使用、泄漏、破坏和干扰。

信息安全课程旨在培养学生对信息安全的基本概念、原则和技术的理解，以及应对信息安全威胁和风险的能力。

一、信息安全概述信息安全是指保护信息免受未经授权的访问、使用、泄漏、破坏和干扰。

它包括保护数据的机密性、完整性和可用性。

信息安全的基本原则包括保密性、完整性、可用性和不可抵赖性。

保密性确保只有授权人员可以访问信息，完整性确保信息在传输和存储过程中不被篡改，可用性确保信息可以被授权人员及时访问和使用，不可抵赖性确保信息的发送者和接收者都无法否认其行为。

二、常见的信息安全威胁1. 病毒和恶意软件：病毒和恶意软件是指能够在计算机系统中复制和传播的恶意代码，它们可以破坏数据和系统，并窃取用户的个人信息。

2. 黑客攻击：黑客通过攻击网络系统和应用程序，获取非法访问权限，并窃取、篡改或破坏数据。

3. 网络钓鱼：网络钓鱼是指攻击者通过伪装成可信的实体，诱导用户提供个人敏感信息，如密码、信用卡号等。

4. 数据泄露：数据泄露是指未经授权的个人或组织获得敏感信息并将其公开或出售，导致个人隐私受到侵犯。

5. 信息泄露：信息泄露是指未经授权的个人或组织将敏感信息传递给不应该知道这些信息的人，导致信息的保密性受到威胁。

三、信息安全技术与措施1. 访问控制：访问控制是指通过身份验证、授权和审计等手段，限制对信息系统和数据的访问。

2. 数据加密：数据加密是一种保护数据机密性的技术，它将明文数据转换为密文，只有授权的用户才能解密并查看数据。

3. 防火墙：防火墙是一种网络安全设备，用于监控和控制进出网络的数据流量，阻止未经授权的访问和恶意攻击。

4. 安全审计：安全审计是一种监测和记录系统活动的方法，以便发现和调查安全事件，并提供证据以支持调查和审计。

5. 安全培训和意识：安全培训和意识是指向员工提供关于信息安全的培训和教育，以提高其对信息安全的认识和保护意识。

信息安全概述(PPT 39页)

无法防御通过80端口的HTTP攻击
75%的攻击特征：通过80端口、无特征码、攻击动态网页事后恢复没有解决问题，需要进行事前保护
第三十六页，共38页。
Web应用(yìngyòng)防火墙——WAF
防御网页篡改
合规性检查(jiǎnchá)
防止(fángzhǐ)网站挂马
保护Web服务器
内置防病毒网关
• 第一级：用户自主保护级 • 第二级：系统(xìtǒng)审计保护级 • 第三级：安全标记保护级 • 第四级：结构化保护级 • 第五级：访问验证保护级
第十五页，共38页。
信息安全核心——密码技术
数字签名: RSA、ECC
信息抵赖
加密技术： RC4、3DES、AES
信息(xìnxī)窃取
信息篡改
完整性技术： MD5、SHA1
• 第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害
• 第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害
• 第五级，信息系统受到破坏后，会对国家安全造成特别严重损害
第十四页，共38页。
计算机信息系统安全保护等级划分(huà fēn) 准则（GB 17859-1999）
• 交互式提交(tíjiāo)表单页面，易遭受表单滥用
• 因交互逻辑太复杂，整改代码变得较难实施或者需要较长时间的整改期
• 频繁变动以满足业务发展的需要，增加引入漏洞的概率
第三十五页，共38页。
现有(xiàn yǒu)Web安全架构的缺陷
？
75%的攻击，现有(xiàn yǒu)投资无法解决！
网页防篡改
适合静态网页，无法恢复动态网页事后恢复没有解决问题，网站可能(kěnéng)再次被黑如果被篡改页面已经传播出去，则无法修复影响无法满足合规性检查要求

信息安全概述第一讲3-PPT文档资料

第1章信息安全概述
图 1-1-1 信息安全威胁的分类
ቤተ መጻሕፍቲ ባይዱ1章信息安全概述
1.
人为因素的威胁分为无意识的威胁和有意识的威胁两种。无意识的威胁是指因管理的疏忽或使用者的操作失误而造成的信息泄露或破坏。有意识的威胁是指行为人主观上恶意攻击信息系统或获取
他人秘密资料，客观上造成信息系统出现故障或运行速度减慢
第1章信息安全概述
2. 非人为因素的威胁包括自然灾害、系统故障和技术缺陷
等。自然灾害包括地震、雷击、洪水等，可直接导致物理设
备的损坏或零部件故障，这类威胁具有突发性、自然性和不可抗拒性等特点。自然灾害还包括环境的干扰，如温度过高
或过低、电压异常波动、电磁辐射干扰等，这些情况都可能
造成系统运行的异常或破坏系统。系统故障指因设备老化、零部件磨损而造成的威胁。技术缺陷指因受技术水平和能力的限制而造成的威胁，如操作系统漏洞、应用软件瑕疵等。这里的划分是针对信息系统的使用者而言的。
第1章信息安全概述
2019年7月，京东、雅虎、Linkedin和安卓论坛累计超过800万用户信息泄密，而且让人堪忧的是，部分网站的密码和用户名称是以未加密的方式储存在纯文字档案内，意味着所有人都可使用这些信息。 2019年7月，三星电子员工向LGD泄密AMOLED技术被起诉。 2019年8月，银行外包后台成泄密重灾区，江苏银行1个月卖千份客户资料。同月，上海数十万条新生儿信息遭倒卖，出自市卫生局数据库外包维护工作人员。 2019年9月，美国媒体报道：有黑客组织声称破解了联邦调查局（FBI）主管的笔记本电脑，获得了1200万苹果iOS用户UDID、用户名、设备名称、设备类型、苹果推送通知服务记录、电话号码、地址、等重要内容。

信息安全基础知识概述

信息安全基础知识概述信息安全在数字化时代变得愈发重要。

随着互联网的普及和信息技术的迅猛发展，人们在日常生活和工作中对于信息安全的需求也日益增加。

了解和掌握信息安全的基础知识，对于保护个人隐私、企业机密和国家利益至关重要。

本文将对信息安全基础知识进行概述，帮助读者了解信息安全的重要性及其相关方面。

一、信息安全的定义和重要性信息安全指的是对信息的保护，包括保护信息的机密性、完整性和可用性。

信息安全的重要性在于保障个人、组织和国家的利益和声誉。

在今天的数字化环境中，信息安全面临着各种威胁和风险，如黑客攻击、病毒传播、数据泄露等。

因此，了解信息安全的基础知识，对于个人和组织来说都至关重要。

二、信息安全的基本原则1. 机密性：保护信息不被未经授权的人员访问、泄露或篡改。

保持机密性的措施包括加密、访问控制和安全审计等。

2. 完整性：确保信息不被篡改或损坏。

实施完整性的措施包括数据备份、数字签名和数据校验等。

3. 可用性：确保信息可以被授权的用户在需要时访问和使用。

保障可用性的措施包括冗余备份、容错系统和灾难恢复等。

三、信息安全的风险评估和管理信息安全风险评估是为了确定信息系统所面临的风险和威胁，并采取相应的措施进行管理和防范。

信息安全风险评估通常包括以下步骤：1. 确定资产：辨识出需要保护的信息和资源。

2. 评估威胁：识别潜在的威胁和攻击者，并评估其对信息安全的潜在威胁程度。

3. 评估漏洞：检测和评估存在的安全漏洞和弱点，以确定可能被利用的入口。

4. 评估影响：评估信息安全事件发生时可能对系统和组织造成的损失和影响。

5. 制定控制策略：根据评估结果，制定合适的信息安全控制措施，包括技术控制和管理控制。

6. 监测和改进：建立监测机制，及时发现和应对新的威胁和漏洞，并不断改进信息安全管理措施。

四、常见的信息安全威胁1. 网络攻击：如黑客攻击、拒绝服务攻击（DDoS）、病毒和蠕虫攻击等。

2. 社会工程学：攻击者通过欺骗、伪装等手段获取他人的敏感信息。

信息安全概述PPT104页

计算机应用人员掌握计算机安全知识，知法、懂法、守法。
第一章信息安全概述
6. 信息安全与技术
目前，出现的许多信息安全问题，从某种程度上讲，可以说是由技术上的原因造成的，因此，对付攻击也最好采用技术手段。如: 加密技术用来防止公共信道上的信息被窃
取; 完整性技术用来防止对传输或存储的信息进行篡改、伪造、删除或插入的攻击; 认证技术用来防止攻击者假冒通信方发送假信息; 数字签名技术用于防否认和抗抵赖。
信息安全威胁的分类如图1-1-1所示。
第一章信息安全概述
第一章信息安全概述
1.1.2 信息安全涉及的问题
许多人一提到信息安全，自然会联想到密码、黑客、病毒等专业技术问题。实际上，网络环境下的信息安全不仅涉及到这些技术问题，而且还涉及到法律、政策和管理问题，
技术问题虽然是最直接的保证信息安全的手段，但离开了法律、政策和管理的基础，纵有最先进的技术，信息安全也得不到保障。
“计算机信息系统的安全保护，应当保障计算机及其相关的和配套的设备、设施（含网络）的安全，运行环境的安全，保障信息的安全，保障计算机功能的正常发挥，以维护计算机信息系统的安全运行。”《中华人民共和国计算机信息系统安全保护条例》第三条
课程要求
了解信息安全方面存在的基本问题和解决方法。掌握加强计算机信息安全的基本技术。掌握信息安全工程与管理的基本概念。了解有关信息安全方面的基本法规。
第一章信息安全概述
3. 信息安全的广义解释
广义的信息安全是指网络系统的硬件、软件及其系统中的信息受到保护。它包括系统连续、可靠、正常地运行，网络服务不中断，系统中的信息不因偶然的或恶意的行为而遭
到破坏、更改和泄露。
网络安全侧重于网络传输的安全，信息安全侧重于信息自身的安全，可见，这与其所保护的对象有关。

信息安全培训讲义

信息安全培训讲义
第一部分：信息安全意识
1. 信息安全的重要性
- 介绍信息安全对个人、公司和社会的重要性，以及信息安全问题可能带来的风险和损失。

2. 常见的信息安全威胁
- 讲解常见的网络攻击方式，如病毒、恶意软件、钓鱼攻击等，让员工了解可能遇到的威胁。

第二部分：信息安全意识
1. 密码安全
- 介绍如何创建和管理安全的密码，以及密码泄露可能带来的风险。

2. 网络安全
- 关于在公共网络上发送个人信息和敏感信息的风险，以及如何保护自己和公司的信息安全。

3. 社交工程
- 介绍社交工程的概念和常见手段，让员工了解如何避免成为社交工程攻击的受害者。

第三部分：信息安全管理
1. 数据安全
- 介绍数据加密、备份和恢复等措施，让员工了解如何保护公司的重要数据。

2. 安全意识培训
- 员工需要定期接受信息安全意识培训，以保持对信息安全的警惕和认识。

3. 安全政策
- 公司应该制定和执行严格的安全政策，让员工清楚了解公司对信息安全的要求和规定。

结语
通过本次培训，希望大家能够增强信息安全意识，保护个人和公司的信息安全。

信息安全
是每个人的责任，只有每个人都认真对待，才能共同守护好我们的信息安全。

抱歉，我无
法满足你的要求。

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

信息门户系统建设与运行管理规定

管理体系门户建设

内部门户和外部门户栏目设置页面规范开发与测试内容管理系统管理权限管理信息保密

门户运行

信息安全

计算机网络互联技术规范

这个规范定了中石油计算机网络的体系结构，协议规范，命名规范，IP划分等内容
信息系统运行维护系列企业标准
信息系统安全管理规范

信息加密

指定适合的加密策略

运行安全

安全策略制定运行人员管理指定各类安全管理制度规范建立监控和审计规范
信息系统安全管理规范

访问控制

制定访问策略并按总公司规定实现访问控制

安全架构与评估灾难恢复应急响应

全网中断、大规模反动敌对宣传、四级以上信息系统瘫痪并造成严重后果为一级总部至各区域中心多条链路中断、内外网站全部中断、三级以上信息系统瘫痪为二级各企事业单位认定对本单位影响较大、但不影响中石油网络的情况，二级以上信息系统瘫痪为三级各单位认为可能造成较大后果，但不影响上级单位的为四级
信息系统运维管理规范
信息系统运维管理规范

五：问题管理：调查事件原因，制定解决方案防止事件再次发生的流程。本部分定义了问题管理的角色、流程和指标六：变更管理：定义了变更流程的角色、流程和度量方法七：配置管理：定义了配置的角色、流程、指标和管理报告
信息系统灾难恢复管理规范

运行安全

病毒防护

终端计算机安全管理规范

补丁管理网络准入控制

安全检查，不得双网

介质控制监控审计备份
信息安全风险评估实施指南
信息安全风险评估实施指南
信息安全风险评估实施指南

收集信息

资产信息文档信息

安全管理文档技术设施文档应用系统文档机房环境文档
终端计算机安全管理规范

物理安全

主管部门管理，用户使用，用户离开应关闭电源并移去移动设备并妥善管理
使用正版软件实现注册管理，并绑定IP与MAC地址资产管理形成访问控制策略安全事件监控、定位和报警密码复杂性取消GUEST用户、远程桌面共享，设置自动锁屏建设统一的防毒系统用户不得传播病毒，安装黑客软件
信息技术专业安全系列企业标准

信息技术专业基础设施层系列企业标准共六项标准 ——Q/SY 1341— 2010《信息系统安全管理规范》； ——Q/SY 1342— 2010《终端计算机安全管理规范》； ——Q/SY 1343— 2010《信息安全风险评估实施指南》； ——Q/SY 1344— 2010《信息系统密码安全管理规范》； ——Q/SY 1345— 2010《计算机病毒与网络入侵应急响应规范》； ——Q/SY 1346— 2010《信息系统用户管理规范》；

组织机构风险分析业务影响分析灾难恢复需求恢复策略灾备中心设置恢复预案应急响应流程演练与培训
信息技术专业基础设施层系列企业标准

信息技术专业基础设施层系列企业标准共8项标准 ——Q/SY 1333— 2010《广域网建设与运行维护规范》； ——Q/SY 1334— 2010《互联网出口建设与运行维护规范》； ——Q/SY 1335— 2010《局域网建设与运行维护规范》； ——Q/SY 1336— 2010《数据中心机房建设规范》； ——Q/SY 1337— 2010《数据中心机房管理规范》； ——Q/SY 1338— 2010《电子邮件管理规范》； ——Q/SY 1339— 2010《计算机硬件选型规范》； ——Q/SY 1340— 2010《计算机软件选型规范》。

威胁概述威胁作用形式威胁来源
信息安全风险评估实施指南
信息安全风险评估实施指南

评估阶段

脆弱性识别本地审计

主机系统数据库系统路由器审计交换机审计防火墙审计渗透测试

人员访谈
信息安全风险评估实施指南

综合分析

资产赋值脆弱性赋值威胁赋值已有措施分析安全事件可能性赋值安全事件影响分析风险等级计算

—— Q/SY 1331-2010 《信息系统运维管理规范》 —— Q/SY 1332-2010 《信息系统灾难恢复管理规范》
信息系统运维管理规范

一：导则：规定了基本的原则及各部分关系二：热线帮助：热线的定义、角色、职责和响应流程三：监控管理：监控对象（设备、系统、用户），职责，角色，工作流程四：事件管理：定义了角色，流程，事件指标
信息系统安全管理规范

安全管理

管理职能部门

中国石油信息化工作领导小组是最高决策部门信息管理部是归口管理部门各单位信息管理部门负责本单位信息安全制定安全管理目标划分信息安全等级风险评估与管理用户管理规范信息系统安全教育与培训聘用、保密、解聘协议中加入信息安全条款

管理内容
信息安全讲义
中油新疆培训中心网络培训部
中石油信息专业企业标准

信息门户标准信息系统运维标准基础设施建设与运维标准信息安全标准
信息门户运行与维护系列企业标准

Q/SY 1020-2009 Q/SY 1021-2009
《信息门户系统建设与运行管理规定》《计算机网络互联技术规范》

信息系统安全管理规范

物理安全

根据国家规范制定安全策略，实施安全措施，确保人、设备、环境、介质的安全

网络安全

风险评估、安全分级、划分安全域涉密和非涉密网和计算机的物理隔离关键网络设备冗余实施安全域的安全保障与防护发现并修补安全漏洞身份鉴别审核设备运行状态，检查网络安全的合规性
信息安全风险评估实施指南

评估阶段

阅读文档调查问卷现场观察

应用系统观察：是否按角色授权、用户口令强度、变更管理要求、身份识别、是否加密等机房环境观察：选址、防盗、防尘、防雷击等被评估方工作观察：出入授权、安全机制展示
信息安全风险评估实施指南

评估阶段

资产识别威胁识别