专注在线职业教育23年
下载APP
小程序
希赛网小程序
导航

预约成功后,不错过重要时期

点击预约

信息安全工程师考试重点:网络安全风险评估实施

责编:胡媛 2019-07-03

【考法分析】

本知识点主要是对网络安全风险评估实施的相关内容进行考查。

【要点分析】

1.网络安全风险评估基本原则:标准性原则、可控性原则、最小影响原则。

2.识别阶段是风险评估工作的重要工作阶段,对组织和信息系统中资产、威胁、脆弱性等要素的识别,是进行信息系统安全风险分析的前提。

3.在风险评估工作中,风险的重要因素都已资产为中心,威胁、脆弱性以及风险都是针对资产而客观存在的。

4.威胁利用资产自身脆弱性,是的安全事件的发生成为可能,从而形成了安全风险。

5.把资产分为硬件、软件、数据、服务、人员、其他。

6.威胁分类方法:软硬件故障、物理环境影响、无作为或者操作实物、管理不到位、恶意代码、越权或滥用、网络共计、物理共计、泄密、篡改、抵赖。

7.根据威胁产生起因、表现、后果,分为:有害程序、网络攻击、信息破坏、信息内容攻击、设备设施故障、灾害性破坏、其他威胁。

8.威胁调查工作包括:威胁源动机及其能力、威胁途径、威胁可能性及其影响。

9.脆弱性是资产自身存在的,本身不会对资产造成损害;脆弱性可从技术、管理两个方面进行识别。

10.脆弱性识别所采用的方法:文档查阅、问卷调查、人工核查、工具检测、渗透测试。

11.风险评估是以围绕被评估组织核心业务开展为原则的,评估业务所面临的安全风险。

12.风险分析的主要方法是对业务相关的资产、威胁、脆弱性、其他各项属性的关联分析

13.风险分析模型:

威胁识别 → 威胁出现的频率 → 安全事件的可能性 → 风险值;

脆弱性识别 → 脆弱性的严重程度 → 安全事件的可能性、造成的损失 → 风险值;

资产识别 → 资产价值 → 安全事件造成的损失 → 风险值。

14.风险分析分为定性、定量,一般风险计算多采用定性计算方法。

15.风险处置方式一般包括接受、消减、转移、规避。

16.安全整改:非常严重、需立即降低且加固措施易于实施的安全风险,建议被评估组织立即采取安全整改措施;非常严重、需立即降低,但加固措施不便于实施的安全风险,建立被评估组织立即制定安全整改实施方案,尽快实施安全整改,整改前应对相关安全隐患进行严密监控,并做好应急预案。比较严重、需降低且加固措施不易于实施的安全风险,建议被评估组织指定限期实施的整改方案,整改前应对相关安全隐患进行监控。

【备知识点拨】

了解并理解相关知识点内容。

热点推荐:2021年软考报名时间及入口汇总表(全国)

相关推荐:2021年软考考试时间安排

更多资料
更多课程
更多真题
温馨提示:因考试政策、内容不断变化与调整,本网站提供的以上信息仅供参考,如有异议,请考生以权威部门公布的内容为准!
相关阅读
查看更多

加群交流

公众号

客服咨询

考试资料

每日一练