安全服务组织管理和质量保证能力情况表 安全服务专业水平和质量保证说明(每项不越过4 0 0 字),相关文档记录作为附件3
1、评估系统安全威胁的能力(描述如何识别系统所面临的各种安全威胁及其性质和特征,以及对威胁的可能性进行评估) 系统安全威胁来自于两个方面:人为威胁,自然威胁
人为威胁分两部分:一是由偶然原因引起的人为威胁;二是由故意行为引起的人为威胁
自然威胁指由自然引起的有关威胁如地震、海啸和台风等
在服务项目的相关人员参与下,根据威胁的可能性评估方法和定性标准,经过充分的分析和评价,进行识别系统所面临的各种安全威胁,并描述其性质和特征
通过识别工作,找出合适的自然威胁列表
对人为威胁应描述其威胁如何发生的,测试其威胁相关事件的可能性
同时进行评估性工作,如评估由人为原因引起的威胁作用力的技能和效力;评估威胁事件可能性
在评估威胁事件可能性时,要考虑多种因素,而且注意在不同的安全服务项目中,各因素出现的概率不同
2、评估系统脆弱性的能力(描述如何对系统的脆弱性进行评估,包括所选择的分析方法、工具,收集、合成系统的脆弱性数据;提供一份具体项目中关于系统脆弱性评估的相应文档记录,包括系统脆弱性清单、攻击测试报告等) 对某一具体系统环境资源和性质分析,根据具体情况识别寻找和提出系统安全脆弱性的方法,包括分析、报告、跟踪过程
可定量或定性分析脆弱性;采用分析和测试的方法来识别脆弱性
在选择脆弱性测试工具时,可考虑使用合适的扫描产品和国内、国际漏洞库
通过脆弱性识别,可获得系统中的脆弱性清单,以及相应的攻击测试结果
根据系统环境的具体情况,建立相应的脆弱性数据库,同时注意脆弱性的迁移和不确定性
系统中的脆弱性来自于三个方面:实现过程中遗留的漏洞;设计中遗留的漏洞;配置中留下的漏洞
通过脆弱性评估报告和攻击报告评估并综合系统脆弱性
脆弱性评估报告包括对系统造成问题的脆弱性的
