安全服务组织管理和质量保证能力情况表 安全服务专业水平和质量保证说明(每项不越过4 0 0 字),相关文档记录作为附件3 。 1、评估系统安全威胁的能力(描述如何识别系统所面临的各种安全威胁及其性质和特征,以及对威胁的可能性进行评估) 系统安全威胁来自于两个方面:人为威胁,自然威胁。人为威胁分两部分:一是由偶然原因引起的人为威胁;二是由故意行为引起的人为威胁。自然威胁指由自然引起的有关威胁如地震、海啸和台风等。在服务项目的相关人员参与下,根据威胁的可能性评估方法和定性标准,经过充分的分析和评价,进行识别系统所面临的各种安全威胁,并描述其性质和特征。通过识别工作,找出合适的自然威胁列表。对人为威胁应描述其威胁如何发生的,测试其威胁相关事件的可能性。同时进行评估性工作,如评估由人为原因引起的威胁作用力的技能和效力;评估威胁事件可能性。在评估威胁事件可能性时,要考虑多种因素,而且注意在不同的安全服务项目中,各因素出现的概率不同。 2、评估系统脆弱性的能力(描述如何对系统的脆弱性进行评估,包括所选择的分析方法、工具,收集、合成系统的脆弱性数据;提供一份具体项目中关于系统脆弱性评估的相应文档记录,包括系统脆弱性清单、攻击测试报告等) 对某一具体系统环境资源和性质分析,根据具体情况识别寻找和提出系统安全脆弱性的方法,包括分析、报告、跟踪过程。可定量或定性分析脆弱性;采用分析和测试的方法来识别脆弱性。在选择脆弱性测试工具时,可考虑使用合适的扫描产品和国内、国际漏洞库。通过脆弱性识别,可获得系统中的脆弱性清单,以及相应的攻击测试结果。根据系统环境的具体情况,建立相应的脆弱性数据库,同时注意脆弱性的迁移和不确定性。系统中的脆弱性来自于三个方面:实现过程中遗留的漏洞;设计中遗留的漏洞;配置中留下的漏洞。通过脆弱性评估报告和攻击报告评估并综合系统脆弱性。脆弱性评估报告包括对系统造成问题的脆弱性的定性或定量的描述,这些问题是攻击的可能性、攻击成功的可能性及攻击产生的影响。攻击报告指的是对已发现的脆弱性、被开发的潜在可能性和脆弱性利用的分析过程和结果进行书面总结。具体文档见附件4 之一 3、评估安全对系统的影响的能力(描述如何识别安全对所实施的系统的影响,并对发生影响的可能性进行评估;提供一份具体项目中关于评估安全对系统的影响的相应文档记录,如系统优先级清单、系统资产分析表等) 影响是意外事件对...
