信息安全工程方案

课程名称

小组名称

学生姓名

学生学号

所 在 系

所学专业

年 月 日

信息安全管理与风险评估课程总结

第1章 信息安全管理概述

对信息安全与管理的基本概念予以阐述，让我们知道信息安全管理的目的以及要在实施时所遵循的规范与原则。

第2章 信息安全管理标准

这章主要对国外信息安全管理标准与我国信息安全管理标准的阐述和具体介绍，国外的主要介绍了：BS7799（BS7799-1，BS7799-2）、ISO/IEC13335（5部分构成，即ISO/IEC13335-1～5。主要安全管理过程包括；风险管理、风险评估、安全意识、监控与一致性检验等。独特的安全要素模型；资产、威胁、漏洞、影响、风险、防腐措施、剩余风险，约束。）、ISO/IEC27001:2005（以对业务的风险评估的方法、建立、实施、运行、监视、评审、保持、和改进其ｉｓｍｓ，确保信息资产的保密性、可用性和完整性。），CC准则（国际最通用的信息技术产品与系统安全评估标准）。

我国的信息安全管理标准：GB/T19715标准（为ＩＴ安全管理方案指南，而不是解决方案），GB/T19716-2005（对信息安全管理给出建议，供负责在其组织启动、实施或维护安全的人员使用。本标准为开发组织的安全标准和有效的安全管理做法提供公共基础，并提供组织间交往的信任。本标准的推荐内容应按照适用的我国法律和法规加以选择和使用。）

第3章 信息安全管理的实施

本节主要讲企业信息安全管理的现状进行了分析，得出了在标准实施中出

现的误区以及BS 7799信息安全管理实施案例的分析，BS7799 框架下的安全产品与技术的具体实现过程。

对于信息安全管理体系的实施最大意义不在于显著改善企业的安全风险水平，而是在于让企业拥有可控的风险管理架构、方案和保障落实机制。在不断变化的安全风险环境中，始终能够通过科学的方法和持续的改进，达到管理者可以接受的安全风险水平。

安全控制措框架下安全产品与技术实现；安全方针、组织安全、资产的分类与控制、人员安全、物理和环境的安全、通信和操作管理、访问控制、系统

开发和维护、业务持续性管理，符合性。但是这并没有教我们如何保障措施，所以把这些问题都留给了我们企业和专业厂商。

第4章 信息安全风险管理

通过对信息管理风险的概述，风险管理各个要素间关系了解。近而对风险管理AS/NZS4360:1999、NISTSP800-30、TheSecurityRiskManagementGui、 微软风险管理流程、GB/T20269-2006标准，内容及风险管理的解读。

第5章 信息安全风险管理

主要对信息风险与管理基本的概念和发展进行介绍，着重对风险评估的介

绍、国内外信息安全现状、我国信息风险评估标准与方法的进行了分析等。 风险评估的方法：

定量风险评估：（从数字上对安全风险进行分析评估）。

定性风险评估：（凭借分析者的经验和直觉，或者业界的标准和惯例为风险管理诸多要素的大小或高低城都定性分级）。 主要的信息安全标准体系 国内：

信息安全风险评估标准 （GB/T20984--2007）的介绍讲解，以及实施过程。 等级保护体系（GB 17859），信息安全保障体系（GB/T 20274） 国外：

信息安全风险评估标准（OCTAVE、SSE-CMM、GAO/AIMD-99-139） 技术体系（RFC、NIST-SP800） 管理体系（ISO27001/ISO27002） 评估体系（ISO108）

第6章 信息安全风险评估工具

本章主要讲风险评估与管理工具、系统基础平台风险评估工具、风险评估铺助工具、信息安全评估工具的发展方向等，进行了详细的分析。具体如下： 风险评估与管理工具：（MBSA、COBRA、CRAMM、ASSET、RIKEWATCH） 系统基础平台风险评估工具：脆弱性扫描工具、流光、极光远程安全评估系统······

风险评估铺助工具：（入侵检测工具、安全审计工具、拓扑发现工具以及评估指示库等）

第7章 信息安全风险评估基本过程

风险管理是辨别出公司潜在的风险，对其进行评估，并采取措施将其降低到可以接受的水平的过程，而风险评估是其中最重要的环节。 一、安全风险评估准备

1 制定风险评估策略 2 确定风险评估的范围 3 制定风险评估表 二、安全评估检测阶段

三、信息系统安全风险评估对象风险检测结果分析及给出评估报告阶段。

1、列出完成的评估任务清单；

2、列出评估对象目前存在的威胁和弱点，给出具体的安全和风险等级； 3、列出防范这些检测到的威胁和弱点的保障措施； 4、说明这些安全建议是属于物理、管理、还是技术控制； 5、说明实施这些给出的安全建议后会带来的效果；

6、说明每一个具体的安全建议，能将风险减少到什么程度； 7、安全修补后，评估对象能达到什么样的安全等级；

8、安全修补后，还有什么风险没能完全控制，应当如何进一步控制； 9、说明实施这些安全修补措施具体应当花费的安全成本。 四、后期安全维护阶段

后期安全维护其实只是信息系统安全风险评估过程中的一个附加阶段。对于专门的风险评估机构或安全公司来说，当给出具体的安全风险评估报告后，就表明此次风险评估任务全部结束。

第8章 信息安全风险评估实例

这章就是在上一章的基础上做的实例分析，通过上一章的学习，利用上一章的方法在实际实践中的应用扩展。