下载文档原格式
信息系统安全评测与风险评估试题姓名分数19716-200520269 信息系统安全管理要求20270 网络基础安全技术要求20271 信息系统通用安全技术要求资产赋值风险赋值一:填空题(36分)1.信息安全评测实际上蕴含着丰富的思想内涵,严肃的(),严谨的(),严格的()以及极具魅力的评测技巧,是一个科学和艺术圆满结合的领域。
2.在评测一个信息系统的数据安全时,国家标准要求从数据完整性,数据(保密性)和数据的(备份)与恢复三个环节来考虑。
3.资产分类的方法较多,大体归纳为2种,一种是“自然形态”,即按照系统组成成分和服务内容来分类,如分成“数据,软件(硬件),服务(人员),其他”六大类,还可以按照“信息形态”将资产分为“信息,(信息载体)和(信息环境)三大类。
4.资产识别包括资产分类和(资产赋值)两个环节。
5.威胁的识别可以分为重点识别和(全面识别)6.脆弱性识别分为脆弱性发现(脆弱性分类)脆弱性验证和(脆弱性赋值)7.风险的三个要素是资产(脆弱性)和(威胁)8.应急响应计划应包含准则,()预防和预警机制()()和附件6个基本要素。
9.信息安全风险评估的原则包括可控性原则、完整性原则、最小影响原则、保密原则10.信息安全风险评估概念信息安全风险评估是依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程,它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响11.信息安全风险评估和风险管理的关系信息安全风险评估是信息安全风险管理的一个阶段,只是在更大的风险管理流程中的一个评估风险的一个阶段12.信息安全风险评估的分类基线风险评估、详细风险评估、联合风险评估13.二:问答题:(64分)1.什么是安全域?目前中国划分安全域的方法大致有哪些?(10分)1.安全域是将一个大型信息系统中具有某种相似性的子系统聚集在一起。
《信息安全体系结构与安全测评》实验报告姓名:学号:班级:指导教师:****年**月**日目录31 实验目的 .....................................................................................32 实验环境 .....................................................................................33 实验内容 .....................................................................................44 实验步骤 .....................................................................................44.1 主机运行状态评估 .......................................................................54.2 主机安全扫描 ...........................................................................84.3 主机攻击扫描 ...........................................................................94.4 安全评估测试 ...........................................................................105 评估报告 .....................................................................................6 安全建议 .....................................................................................10错误!未定义书签。
信息安全评估与测试方法信息安全在当今社会已经变得至关重要。
无论是个人用户还是企业组织,对信息安全都有着迫切的需求。
为了保护信息安全,评估和测试方法成为了必不可少的手段。
本文将介绍几种常见的信息安全评估与测试方法。
一、风险评估方法风险评估是信息安全工作的重要组成部分。
通过风险评估,可以全面了解信息系统的弱点和威胁,确定关键资产的价值,为安全措施的部署提供依据。
常见的风险评估方法包括:1. 漏洞扫描:使用专业工具对信息系统进行全面扫描,检测系统中存在的安全漏洞。
2. 威胁建模:通过分析可能的攻击者和攻击手段,对系统进行威胁建模,确定潜在威胁。
3. 安全测试:通过模拟攻击和渗透测试,检测系统在真实环境下的安全性能。
二、合规性测试方法合规性测试旨在确保信息系统和组织的运作符合相关法规和标准的要求。
常见的合规性测试方法包括:1. 安全策略审查:对组织的安全策略进行全面审查,评估其与相关法规和标准的合规性。
2. 确认性测试:检查组织是否按照安全策略制定了相应的措施,并对其有效性进行测试。
3. 文件审核:检查组织对安全管理的文档、记录和报告等是否符合相关法规和标准的要求。
三、安全性能评估方法安全性能评估旨在评估信息系统在抵御恶意攻击和未授权访问等方面的能力。
常见的安全性能评估方法包括:1. 网络拓扑评估:评估网络基础设施的可用性、完整性和保密性,并提供相应改进建议。
2. 安全配置审查:检查信息系统的安全配置,评估是否存在安全漏洞和不安全设置。
3. 认证与授权测试:测试系统的身份认证和访问授权机制,评估其在真实环境下的有效性和可行性。
四、安全意识评估方法安全意识评估是评估组织成员对信息安全的认知和行为的方法。
常见的安全意识评估方法包括:1. 安全行为观察:通过观察组织成员在日常工作中的安全行为,评估其对信息安全的重视程度。
2. 调查问卷:设计相关的问卷调查,了解组织成员对信息安全的知识和态度。
五、移动设备安全评估方法随着移动设备的普及,移动设备的安全性评估显得尤为重要。
信息安全等级测评信息安全等级测评是指对一个系统、网络或组织的信息安全状况进行评估和等级划分的过程。
在当今信息化社会,信息安全已经成为各个行业和企业面临的重要挑战之一。
因此,对信息安全等级进行科学、全面的测评,对于保障信息安全、防范信息泄露和网络攻击具有重要意义。
信息安全等级测评的目的在于通过对信息系统安全性的评估,为组织提供信息系统的安全等级,帮助组织了解其信息系统的安全状况,为组织提供安全建议和改进建议。
信息安全等级测评主要包括对信息系统的物理安全、网络安全、数据安全、应用安全、运维安全等方面进行评估,以确定信息系统的安全等级。
在进行信息安全等级测评时,需要考虑以下几个方面:1. 安全性能:评估信息系统的安全性能,包括系统的完整性、可用性、保密性等方面。
2. 安全风险:评估信息系统所面临的安全风险,包括外部攻击、内部威胁、数据泄露等风险。
3. 安全措施:评估信息系统的安全措施,包括防火墙、入侵检测系统、加密技术等安全措施的有效性和完整性。
4. 安全管理:评估信息系统的安全管理制度和安全管理人员的能力,包括安全策略、安全培训、安全监控等方面。
信息安全等级测评的过程主要包括以下几个步骤:1. 确定测评目标:确定测评的范围和目标,包括测评的对象、测评的内容、测评的标准等。
2. 收集信息:收集信息系统的相关资料和数据,包括系统架构、安全策略、安全事件记录等。
3. 进行评估:对信息系统进行安全性能评估、安全风险评估、安全措施评估和安全管理评估。
4. 制定建议:根据评估结果,制定信息系统的安全建议和改进建议,包括安全加固措施、安全培训计划等。
5. 编写报告:将评估结果和建议整理成报告,提交给组织管理者和相关人员。
信息安全等级测评的意义在于帮助组织了解其信息系统的安全状况,发现安全隐患和问题,并提供安全建议和改进建议,从而提高信息系统的安全性。
同时,信息安全等级测评也有助于组织满足法律法规和标准的要求,保护组织的核心信息资产,降低信息安全风险,提高组织的竞争力和可信度。
信息安全管理体系的建设与评估随着互联网的快速发展,信息安全问题日益凸显,信息安全管理也变得至关重要。
信息安全管理体系的建设与评估成为了解决信息安全问题的关键。
信息安全管理体系是指组织制定和实施的为管理信息安全而建立的制度、政策、流程、措施等一系列相关要素的组合体。
它的主要目标是确保组织的信息资产得到合理保护,防止信息泄露、损毁和未经授权的访问。
下面将介绍信息安全管理体系的建设和评估的具体步骤。
信息安全管理体系的建设需要明确的目标和策略。
组织需要根据自身的需求和风险评估来确定期望的安全目标,并制定相应的策略来实现这些目标。
例如,制定保密政策、密码策略和数据备份策略等。
建设信息安全管理体系需要制定相应的制度和流程。
这些制度和流程应包括组织内信息安全责任的明确、相关人员的培训和教育、安全事件报告和处理的机制等。
通过建立明确的制度和流程,可以为信息安全管理提供规范和操作指南。
第三,建设信息安全管理体系还需要进行风险评估和治理。
风险评估是确定可能出现的风险和漏洞,并提出相应的治理措施的过程。
组织可以采用多种方法来进行风险评估,如安全漏洞扫描、渗透测试和安全演练等,以确保信息系统的安全性。
第四,建设信息安全管理体系还需要制定安全控制措施。
安全控制措施是指基于风险评估的结果,采取相应的措施来保障信息安全。
这些措施可以包括技术措施(如网络防火墙、入侵检测系统等)、物理措施(如门禁、视频监控等)和管理措施(如权限管理、安全审计等)等。
信息安全管理体系的评估是对建设的成果进行检查和评估的过程。
评估的目的是确认信息安全管理体系的有效性和合规性,并提出改进建议。
评估可以通过内部审计、第三方评估或合规认证等方式进行。
总之,信息安全管理体系的建设与评估是组织保护信息资产安全的基础工作。
通过制定明确的目标和策略,建立制度和流程,进行风险评估和治理,制定安全控制措施,并进行评估和改进,组织可以建立一个稳定、可靠的信息安全管理体系,提高信息安全保护的能力。
中国软件评测中心信息系统安全测评报告一、前言随着信息技术的飞速发展,信息系统已成为我国经济社会发展的重要支撑。
保障信息系统安全,对于维护国家安全、社会稳定和人民群众利益具有重要意义。
为了全面了解我国信息系统安全状况,提高信息安全防护能力,中国软件评测中心对某单位信息系统进行了安全测评。
二、测评背景1. 测评目的本次测评旨在全面了解某单位信息系统的安全状况,发现潜在的安全风险,为信息系统安全防护提供科学依据。
2. 测评依据测评依据主要包括以下标准:(1)GB/T 222392008《信息安全技术信息系统安全等级保护基本要求》(2)GB/T 250582010《信息安全技术信息安全风险评估规范》(3)ISO/IEC 27001:2013《信息安全管理系统》(4)其他相关法律法规、标准及最佳实践3. 测评范围本次测评范围包括某单位信息系统的硬件设备、软件系统、网络设备、安全设备、管理制度、人员安全意识等方面。
三、测评过程1. 测评准备(1)成立测评团队:由中国软件评测中心抽调具有丰富经验的测评人员组成。
(2)制定测评方案:根据测评目的、依据和范围,制定详细的测评方案。
(3)收集相关信息:收集某单位信息系统的相关资料,包括硬件设备、软件系统、网络设备、安全设备、管理制度等。
2. 测评实施(1)物理安全测评:对信息系统的硬件设备、网络设备等进行物理安全检查。
(2)网络安全测评:对信息系统的网络架构、网络设备、安全设备等进行安全测评。
(3)系统安全测评:对信息系统的操作系统、数据库、中间件等进行安全测评。
(4)应用安全测评:对信息系统的应用程序进行安全测评。
(5)管理制度测评:对信息系统的安全管理制度、应急预案等进行测评。
(6)人员安全意识测评:对信息系统使用人员进行安全意识测评。
3. 测评结果分析根据测评数据,分析信息系统存在的安全风险,形成测评报告。
四、测评发现的安全问题及整改建议1. 物理安全(1)问题描述:部分硬件设备存在损坏、老化现象,可能导致系统运行不稳定。
信息安全等级测评等级信息安全等级测评的等级标准是根据国家标准《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2019)确定的。
该标准将信息系统的安全等级分为五个等级,从一级到五级,一级最低,五级最高。
每个等级都有相应的安全要求和保护措施,包括物理安全、网络安全、主机安全、应用安全、数据安全等方面。
信息安全等级测评的等级标准是根据信息系统的业务重要性、信息资产价值、安全威胁和脆弱性等因素进行综合评估的。
评估过程中需要考虑信息系统的业务类型、业务规模、用户数量、数据敏感程度、安全事件影响等因素,以及信息系统所面临的安全威胁和脆弱性等因素。
下面是一些常见的确定信息系统安全等级的方法:业务重要性评估:评估信息系统对组织的业务运营、经济利益和社会影响的重要性。
这可以通过分析信息系统支持的业务流程、关键业务功能和数据的重要性来确定。
信息资产价值评估:评估信息系统中存储、处理和传输的信息资产的价值。
这包括评估数据的机密性、完整性和可用性要求,以及数据对组织的战略意义和商业价值。
安全威胁评估:评估信息系统面临的安全威胁,包括外部威胁和内部威胁。
这可以通过进行威胁建模、漏洞扫描和安全审计等方法来确定。
脆弱性评估:评估信息系统的安全脆弱性,包括技术漏洞、管理缺陷和人为因素等。
这可以通过进行漏洞扫描、安全评估和安全审计等方法来确定。
综合评估:将业务重要性、信息资产价值、安全威胁和脆弱性等因素进行综合评估,以确定信息系统的安全等级。
根据评估结果,确定信息系统的安全等级,并制定相应的安全保护策略和措施,以确保信息系统的安全性和可靠性。
信息安全等级测评的等级标准是信息安全等级保护制度的重要组成部分,对于信息系统的安全管理和保护具有重要意义。
某单位信息系统安全等级测评报告1. 测评目的本次测评旨在对某单位信息系统的安全等级进行全面评估,以发现潜在的安全风险,并提供改进建议,确保信息系统的安全可靠。
2. 测评范围本次测评的范围涵盖某单位的整体信息系统,包括网络设备、服务器、存储设备、应用系统、数据库、防火墙等相关硬件和软件设施。
3. 测评方法本次测评采用了常见的安全测评方法,包括渗透测试、漏洞扫描、安全策略审核等多种手段,全面分析信息系统的安全状态。
4. 测评结果经过多次测评和深入分析,发现了某单位信息系统存在以下安全风险:(1)网络设备存在弱密码和漏洞未及时修复的问题,容易受到恶意攻击的威胁;(2)服务器和存储设备的安全配置不当,存在信息泄露的风险;(3)应用系统和数据库存在权限控制不严格的问题,可能造成数据泄露和信息不当使用的隐患;(4)防火墙规则设置不合理,无法有效阻挡潜在的网络攻击。
5. 改进建议针对以上安全风险,提出了以下改进建议:(1)加强网络设备的安全管理,定期修改密码,及时更新漏洞补丁,提高网络安全性;(2)对服务器和存储设备进行安全配置优化,加强对敏感数据的保护,避免信息泄露;(3)加强应用系统和数据库的权限控制,限制非必要操作人员的访问权限,确保数据安全;(4)对防火墙规则进行调整,确保能够有效阻挡恶意攻击。
6. 结论通过本次信息系统安全等级测评,发现了某单位信息系统存在一定的安全风险,但也提供了相应的改进建议。
希望某单位能够重视信息系统安全,加强安全管理,并及时采取相应的措施,确保信息系统的安全性和可靠性。
对于某单位信息系统存在的安全风险,需要采取相应的措施来加强安全管理,以确保信息系统的安全性和可靠性。
以下是针对本次测评结果提出的改进建议的具体措施:1. 加强网络设备的安全管理针对网络设备存在弱密码和漏洞未及时修复的问题,建议对网络设备进行定期的安全审计和漏洞扫描,确保设备的安全性。
同时,加强对管理员账号和密码的管理,定期修改密码并强制设置复杂度要求。
信息系统安全等级测评报告经过对公司信息系统的全面测评,我们得出以下结论:一、整体安全等级评估公司信息系统整体安全等级被评定为中等。
虽然公司已经采取了一定的安全措施和预防措施,但在一些关键领域还存在一些漏洞和不足,需要进一步加强。
二、网络安全评估网络安全方面,公司已经建立了基本的防火墙和入侵检测系统,但需要进一步加强对外部攻击和内部威胁的防范,完善网络安全管理策略和技术手段。
三、数据安全评估在数据安全方面,公司已经建立了一定的权限管理和数据备份机制,但存在数据泄露和数据丢失的风险。
建议公司加强对数据的加密和访问控制,确保数据的完整性和保密性。
四、应用系统安全评估对公司的应用系统进行安全评估后发现,存在一些安全漏洞和弱点,需进一步加强应用系统的安全性和稳定性,及时修复漏洞和强化权限控制。
五、员工安全意识培训员工安全意识方面,公司需要加强安全培训和意识教育,提高员工对信息安全的重视程度,防范内部人员的不当操作和攻击行为。
综上所述,公司的信息系统安全等级评估报告显示了一些存在的安全问题和潜在风险,需要公司在未来加强信息系统安全管理,完善安全技术措施,提高员工安全意识,以确保信息系统的安全和稳定运行。
尊敬的公司领导和相关部门:在本次信息系统安全等级测评中,我们对公司的信息系统进行了全面的检测和评估,发现了一些安全隐患和风险。
在信息时代,信息系统的安全性尤为重要,不仅关乎公司的利益和声誉,还关系到客户的数据和隐私安全。
因此,在报告中我们提出了一些具体的建议和改善方案,希望能够引起公司的高度重视,并及时采取措施加以解决。
一、整体安全等级评估公司信息系统整体安全等级被评定为中等。
虽然公司已经采取了一定的安全措施和预防措施,但在一些关键领域还存在一些漏洞和不足,需要进一步加强。
为了提升公司整体安全等级,我们建议公司对信息系统的安全策略进行全面审查和升级,及时修复漏洞和加强安全防护措施。
二、网络安全评估在网络安全方面,公司已经建立了基本的防火墙和入侵检测系统,但需要进一步加强对外部攻击和内部威胁的防范,完善网络安全管理策略和技术手段。
《信息安全体系结构与安全测评》实验报告姓名:学号:班级:指导教师:****年**月**日目录1 实验目的 (3)2 实验环境 (3)3 实验内容 (3)4 实验步骤 (4)4.1主机运行状态评估 (4)4.2主机安全扫描 (5)4.3主机攻击扫描 (8)4.4安全评估测试 (9)5 评估报告 (10)6 安全建议 (10)7 附件1........................................................................................................ 错误!未定义书签。
8 附件2........................................................................................................ 错误!未定义书签。
9 附件3........................................................................................................ 错误!未定义书签。
10 附件4........................................................................................................ 错误!未定义书签。
1实验目的掌握利用SecAnalyst对本地主机运行状态评估掌握利用MBSA 对本地状态综合评估掌握利用X-scan 模拟外部攻击对本地主机攻击扫描评估掌握利用MSAT 对主机进行安全评估掌握对网络进行安全评估分析的基本要点,并进行相关的安全措施改进,以实现对网络安全的整体规划及实现2实验环境Windows 7系统主机网络拓扑如图2.1所示;分别对不同网段进行扫描评估等操作,评估整个网络架构的安全性。
图 2.13实验内容利用实验的网络环境,首先学习利用工具对本地主机运行状态进行安全评估,分析本地主机安全隐患,并生成相应的报告文件。
对系统进行综合评估,发现主机应用服务状态,对外安全隐患。
利用X-Scan 扫描系统漏洞并分析,对漏洞进行防御。
最后,形成一个完整的评估报告,并对被分析的网络系统进行改进,提升其整体安全性。
4实验步骤4.1主机运行状态评估(1)查看扫描内容点击“插件”标签,即可查看本地运行状态评估所要检测的项目,列表如图4.1.1所示。
其中主要包括服务扫描、进程扫描、IE 安全扫描、驱动文件扫描、启动文件扫描。
图4.1.1(2) 扫描系统运行安全分析专家,点击“扫描”标签,开始对系统进行运行状态评估;点击“开始分析”即开始对系统进行扫描;扫描过程中会把扫描结果显示在软件中,其中包括非系统自带服务扫描、IE 被篡改的首页及其配置、非系统自带的驱动文件、自启动程序扫描,并会显示所属安全不同的危险等级,为管理员提供优先的解决方案的选择。
具体如图 4.1.2所示。
图4.1.2扫描结果如下:#T0 SecAnalyst分析报告版本:0, 4, 0, 47#操作系统: Professional Service Pack 1 (Build 7601) (CHS)#T2 请把报告贴到安全救援中心,我们的专家会为你做出诊断,另外,报告中的安全风险值仅仅表示可疑程度。
#O4 警告自启动:[hkey_local_machine\software\microsoft\windows\ currentversion\shell extensions\approved\360软件管家右键卸载Shell Extensnio]-d:\360安全卫士\360safe\softmgr\softmgrext.dll#O4 低风险自启动:[hkey_local_machine\software\microsoft\active setup\installedcomponents\BrowsingEnhancements]-"%programfiles(x86)%\windows mail\winmail.exe" ocinstalluserconfigoe [file not found]#O4 低风险自启动:[hkey_local_machine\software\microsoft\active setup\installed components\Internet Explorer Setup "%programfiles(x86)%\windows mail\winmail.exe" ocinstalluserconfigoe [file not found]#P0 危险进程:c:\windows\syswow64\vmnat.exe#P0 警告进程:d:\360安全卫士\360safe\deepscan\zhudongfangyu.exe#P0 警告进程:d:\program files (x86)\tencent\qq\bin\qq.exe#P0 警告进程:c:\program files (x86)\lenovo\lps\lpsz.exe#P0 低风险进程:c:\windows\syswow64\vmnetdhcp.exe#P0 低风险进程:d:\program files (x86)\sogouexplorer\sogexplor.exe#P0 低风险进程:c:\program files (x86)\common files\macrovision shared\flexnet publisher\fnplicensingservice.exe#P0 低风险进程:c:\program files (x86)\intel\intel(r) rapid storage technology\iastordatamgrsvc.exe#P0 低风险进程:d:\vmware\vmware-authd.exe#S0 警告NT 服务: XLServicePlatform - ServiceDll - C:\Program Files (x86)\Common Files\Thunder Network\ServicePlatform\XLSP.dll#S0 警告NT 服务: fussvc - 启动方式: 手动- 当前状态: 已停止-- C:\windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe#S0 低风险NT 服务: RegSrvc - 启动方式: 自动- 当前状态: 已启动- C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe4.2主机安全扫描(1) 启动扫描启动MBSA,并对 1 台主机进行扫描,如图 4.2.1所示。
图 4.2.1(2) 设置扫描选项,开始扫描选择需要进行扫描的选项,其中包括Windows 本身漏洞,弱口令,IIS、sql 漏洞以及系统的安全更新,如图 4.2.2所示。
配置之后点击“Start scan”对系统进行扫描。
图 4.2.2(3) 更新扫描更新扫描会列举出系统是否安装的最新补丁,如图 4.2.3所示。
最新补丁为微软针对网络攻击和漏洞发布的修补程序,通过及时安装补丁程序,可以降低主机的遭遇攻击的风险性。
图 4.2.3(4) 系统扫描图 4.2.4系统扫描出扫描出系统常见的安全隐患,例如:文件系统是否为较为安全的NTFS 格式、本地帐户口令是否存在弱口令和空口令、是否开启自动更新、是否开启防火墙等等。
从如图 4.2.4所示的报告中我们可以看到,目标系统(即本机)采用的并非NTFS 格式,这是不安全的,容易让攻击者获得最大的文件读取权限。
(5) 系统组件扫描图 4.2.5如图 4.2.5所示,扫描报告会提示,系统安装了一些其它应用服务,并开启了一些文件共享目录。
这些警告提示,在网络攻击中,经常会被攻击者利用,从而可以进一步的控制系统。
管理员尽可能减少这些安全隐患,可以使主机更好的避免攻击者的攻击。
(6) 其它应用服务扫描图4.2.6当系统装有IIS 和SQL 的应用服务,MBSA会扫描出针对这些服务的安全隐患和漏洞,如图 4.2.6所示。
4.3主机攻击扫描针对由企业典型网络安全架构部署实验搭建的安全体系,启动X-Scan(如未安装WinPCap,先安装WinPCap 3.1 beta4 以上版本)。
(1) 填写需要扫描的IP(依次扫描主机和虚拟机),如图4.3.1 所示。
图 4.3.1(2) 选择需要扫描的模块,如图4.3.2 所示。
图 4.3.2(3) 其它设置可以自己进行设置以适合不同的情况。
(4) 设置完成后点击开始扫描。
扫描完毕后,X-Scan 会自动生成扫描报告(可以设置文件类型);扫描报告会列举所有端口/服务以及对应的安全漏洞和解决方案。
每一种安全漏洞都有具体描述、风险等级并给出了解决方案。
常见的安全漏洞有各种开放的服务/端口安全设置不妥带来的安全漏洞等(比如FTP 弱口令)。
4.4安全评估测试(1) 新建并编辑主机配置文件。
(2) 新建配置文件,并根据向导配置主机信息。
主要分为基本信息、基础架构安全、应用程序安全、运作安全、人员安全、环境配置。
(3) 通过勾选的方式,配置主机。
每一部分的配置会有 10 个不等的题目,需要完成这写题目,才能进行下一步的评估工作。
(4) 新建针对主机的评估,如图 4.4.1 所示。
图 4.4.1(5) 评估会根据以上几个部分进行安全评估,并最终生成报表文件。
(6) 填写评估配置。
评估主要针对一下几部分进行评估测试:基础架构:此部分的重点是网络应该如何工作,它必须支持哪些(内部或外部)业务流程,如何构建和部署计算机主机,以及如何有效管理和维护网络。
通过建立员工能够理解并遵循的健全的基础架构设计,组织可以轻松找出存在风险的区域并设计出缓解威胁的方法。
应用程序:此部分着眼于您环境中对业务起关键作用的应用程序,并从安全和可用性角度对它们进行评估。
此部分将对环境中所采用的增强纵深防御的技术进行检查。
运作:此部分会对组织在增强纵深防御战略,使其不仅仅包括技术防御时所遵循的运作经验、过程和准则进行评估。
它将检查环境中管理系统构建、网络文档、备份和恢复的区域。
人员:此部分会复查企业中用于管理公司安全策略、HR 流程、员工安全意识及培训的那些流程。
它还会关注如何对待安全的事宜,因为安全与日常运作相关。
