2020/1/3,第6章信息安全风险评估技术,6.1系统安全需求分析6.2信息安全威胁因素6.3信息安全威胁分析6.4系统漏洞识别与评估6.5安全监控与审计,6.1系统安全需求分析,系统安全要求详细说明组织中每个用户或系统资源的安全特性,人员与资源之间由一个安全访问矩阵连接起来。确定安全需求的步骤对于用户:包含用户姓名,位置和系统负责人的电话号码,同时还要确定安全忠诚等级,允许访问的用户集,系统用户的最小权限。对于资源:包含资源的种类,要简要描述正在使用的安全操作系统。,2020/1/3,6.2信息安全风险识别,6.3.1人为因素6.3.2自然灾害6.3.3基础架构故障,2020/1/3,6.2.1人为因素,人为因素源于人类的感知观念和处理事物能力,其行为有可能增加系统的安全风险具体因素操作人员业务能力不足操作人员不按规定操作管理员对系统配置不当管理制度不严使外部人员有机会接触系统,2020/1/3,6.2.2自然灾害,自然灾害导致安全威胁的因素常见的有地震,火灾,洪水,台风,龙卷风,雷电等。应对方法异地备份,2020/1/3,6.2.3基础架构故障,硬件故障原因:磨损、温度过高、湿度
