安全认证相关名词解释--简要版.docxVIP

安全评估介绍：定义　　(Safety assessment ) 网络安全评估又叫安全评价。 　　一个组织的信息系统经常会面临内部和外部威胁的风险。 随着黑客技术的日趋先进，没有这些黑客技术的经验与知识很难充分保护您的系统。 安全评估利用大量安全性行业经验和漏洞扫描的最先进技术，从内部和外部两个角度，对企业信息系统进行全面的评估。　　由于各种平台、应用、连接与变更的速度和有限的资源组合在一起，因此采取所有必要措施保护组织的资产比以往任何时候都困难。环境越复杂，就越需要这种措施和控制来保证组织业务流程的连续性。 安全评估分狭义和广义二种。狭义指对一个具有特定功能的工作系统中固有的或潜在的危险及其严重程度所进行的分析与评估，并以既定指数、等级或概率值作出定量的表示，最后根据定量值的大小决定采取预防或防护对策。广义指利用系统工程原理和方法对拟建或已有工程、系统可能存在的危险性及其可能产生的后果进行综合评价和预测，并根据可能导致的事故风险的大小，提出相应的安全对策措施，以达到工程、系统安全的过程。安全评估又称风险评估、危险评估，或称安全评价、风险评价和危险评价。安全评估目标　　在项目评估阶段，为了充分了解企业专用网络信息系统的当前安全状况（安全隐患），因此需要对网络系统进行安全状况分析。经我系安全小组和该企业信息中心的双方确认，对如下被选定的项目进行评估。 　　· 管理制度的评估 　　· 物理安全的评估 　　· 计算机系统安全评估 　　· 网络与通信安全的评估 　　· 日志与统计安全的评估 　　· 安全保障措施的评估 　　· 总体评估1 安全评估作用 网络安全是什么？准确的回答也许没有，但做好安全却有一个前提，就是必须能够回答或明确以下问题： 　　 什么是最关键的信息资产？ 　　 目前您的网络有那些安全问题？ 　　 网络设备是否安全？ 　　 操作系统、数据库系统是否安全？ 　　 您的网络面临的最大威胁是什么？ 　　 哪些安全问题对您的的业务发展具有影响？ 　　 您的业务有什么样的安全需求？ 　　 您在系统中采用了哪些安全措施？这些措施是否有效？ 　　 目前的安全管理制度是否完善？ 　　 您需要什么风险控制手段？ 　　 您需要什么安全技术保障？ 　　 目前的人员是否可以应付处理网络安全事件？ 　　 对于安全事故，是否具备应急响应与恢复能力？ 　　 …… 　　 应该保护什么？ 　　 应该如何保护？ 　　 安全的投入多少合适？ 　　 …… 　　 要回答这些问题需要――安全评估。2 安全评估的目标 安全评估的目的通常包括以下几个方面： ★确定可能对资产造成危害的威胁，包括入侵者、罪犯、不满员工、恐怖分子和自然灾害； ★通过对历史资料和专家的经验确定威胁实施的可能性； ★对可能受到威胁影响的资产确定其价值、敏感性和严重性，以及相应的级别，确定哪些资产是最重要的； ★对最重要的、最敏感的资产，确定一旦威胁发生其潜在的损失或破坏。 ★准确了解企业网的网络和系统安全现状； ★明晰企业网的安全需求； ★制定网络和系统的安全策略； ★制定网络和系统的安全解决方案； ★指导企业网未来的建设和投入； ★通过项目实施和培训，培养用户自己的安全队伍。3 安全评估的原则 在安全评估中必须遵循以下一些原则： (1) 标准性原则 评估方案的设计和具体实施都依据国内和国外的相关标准进行及理论模型。 (2) 可控性原则 扫描评估所使用的工具具有可控性。可控性主要表现在评估项目所采用的网络漏洞扫描软件都是根据评估的具体要求和企业的具体网络特点定制的，具有完全的自主版权。 (3) 整体性原则 分单个IP安全性和IP所在段安全威胁分析列出报表；确保涉及到主机和网络设备的各个层面；由单机和网络相结合分析得出风险值；避免由于遗漏造成未来安全隐患；根据主机风险值和网段风险级别得出综合安全风险值。 (4) 最小影响原则 评估工作应尽可能小的影响系统和网络的正常运行，不能对现网的运行和业务的正常提供产生显著影响。 (5) 必威体育官网网址性原则 人员安排：扫描和渗透测试全部由我公司人员独立完成；在评估过程中对评估数据严格必威体育官网网址；在评估结束以后不利用评估中的任何数据进行其他有损甲方利益的用途，双方签署必威体育官网网址协议。 4 安全评估内容简述 (1) 专业安全评估服务 服务目标： 专业安全评估服务对目标系统通过工具扫描和人工检查，进行专业安全的技术评定，并根据评估结果提供评估报告。 系统类型： 目标系统主要是主流UNIX及NT系统（包括Solaris、AIX、IRIX、HP-UX、RedHat-linux、*BSD、NT4.0、 W2K），主流数据库系统（包括Oracle、SQL Server、Sybase、MySQL、Informix），以及主流的网络设备（包括CISCO、华为、防火墙设备和其它设备）。 评估方式