【愚公系列】软考高级-架构设计师 066-信息安全的保证体系和评估方法

🏆 作者简介，愚公搬代码 🏆《头衔》：华为云特约编辑，华为云云享专家，华为开发者专家，华为产品云测专家，CSDN博客专家，CSDN商业化专家，阿里云专家博主，阿里云签约作者，腾讯云优秀博主，腾讯云内容共创官，掘金优秀博主，亚马逊技领云博主，51CTO博客专家等。 🏆《近期荣誉》：2022年度博客之星TOP2，2023年度博客之星TOP2，2022年华为云十佳博主，2023年华为云十佳博主等。

🏆《博客内容》：.NET、Java、Python、Go、Node、前端、IOS、Android、鸿蒙、Linux、物联网、网络安全、大数据、人工智能、U3D游戏、小程序等相关领域知识。

🏆🎉欢迎 👍点赞✍评论⭐收藏

🚀前言

信息安全的保证体系和评估方法是确保信息系统和数据受到充分保护的关键方面。以下是这两个概念的基本定义：

信息安全的保证体系：

• 定义： 信息安全的保证体系是指组织为确保信息系统和数据的保密性、完整性和可用性而建立的一系列管理措施、技术措施和组织机构。
• 重要性： 信息安全的保证体系是组织确保信息资产受到适当保护的基础，涉及到管理层面的决策、人员培训、技术控制等方面。
• 内容： 包括信息安全策略和规程的建立、信息安全团队的组建、人员培训和意识提升、技术控制的部署、物理安全的保障以及应急响应计划的制定。

信息安全的评估方法：

• 定义： 信息安全的评估方法是指对信息系统和数据进行全面评估，以发现潜在的安全风险、漏洞和问题，并提出改进建议的一系列方法和工具。
• 目的： 评估方法旨在帮助组织了解其信息系统的安全状况，发现安全漏洞并及时修复，从而提高信息系统的安全性和可靠性。
• 常见方法： 包括风险评估、安全审计、渗透测试、合规性检查、安全评估工具的使用，以及邀请第三方机构进行独立审查等。

通过建立健全的信息安全保证体系，并采用有效的评估方法，组织可以有效保护其信息系统和数据，降低遭受安全威胁的风险，确保信息安全的持续性和可靠性。

🚀一、信息安全的保证体系和评估方法

🔎1.安全保护等级

GB17859--999 标准规定了计算机系统安全保护能力的五个等级：

🦋1.1 用户自主保护级（第一级）

• 计算机信息系统可信计算基隔离用户与数据，使用户能够自主保护。
• 实施自主访问控制，控制用户对系统中对象的访问。

🦋1.2 系统审计保护级（第二级）

• 实施更细粒度的自主访问控制，通过登录规程和审计安全事件监控用户行为。
• 控制访问权限扩散，使用户对自己的行为负责。

🦋1.3 安全标记保护级（第三级）

• 具备系统审计保护级功能，提供安全策略模型、数据标记和主体对客体的强制访问控制描述。
• 实施强制访问控制，标记输出信息，消除测试中发现的错误。

🦋1.4 结构化保护级（第四级）

• 建立在明确定义的形式化安全策略模型之上，扩展自主和强制访问控制。
• 考虑隐蔽通道，实施对所有资源的强制访问控制。

🦋1.5 访问验证保护级（第五级）

• 满足访问监控器需求，仲裁主体对客体的全部访问。
• 自主访问控制机制根据用户指定方式或默认方式，阻止非授权用户访问客体。

🔎2.安全风险管理

• 在风险评估实施前，应该考虑： ① 确定风险评估的范围 。 ② 确定风险评估的目标。 ③ 建立适当的组织结构。 ④ 建立系统性的风险评估方法。 ⑤ 获得最高管理者对风险评估策划的批准。
• 风险评估的基本要素为脆弱性、资产、威胁、风险和安全措施，与这些要素相关的属性分别为业务战略、 资产价值、安全需求、安全事件和残余风险，这些也是风险评估要素的一部分。
• 风险计算模型包含信息资产、弱点/脆弱性、威胁等关键要素。每个要素有各自的属性，信息资产的属 性是资产价值，弱点的属性是弱点被威胁利用后对资产带来的影响的严重程度，威胁的属性是威胁发生 的可能性 。风险计算的过程如下 。

① 对信息资产进行识别， 并对资产赋值 。

② 对威胁进行分析， 并对威胁发生的可能性赋值。

③ 识别信息资产的脆弱性，并对弱点的严重程度赋值。

④ 根据威胁和脆弱性计算安全事件发生的可能性。

⑤ 结合信息资产的重要性和发生安全事件的可能性，计算信息资产的风险值。