安全三要素与如何实施安全评估?

一、安全三要素

是安全的基本组成元素,分别是机密性(Confidentiality)、完整性(Integrity)、可用性(Availability)。

====================

二、如何实施安全评估

一个安全评估的过程,可以简单地分为4个阶段:资产等级划分、威胁分析、风险分析、确认解决方案

1、资产等级划分:资产等级划分是所有工作的基础,这项工作能够帮助我们明确目标是什么,要保护什么?互联网安全的核心问题,是数据安全的问题。因为对互联网公司拥有的资产进行等级划分,就是对数据做等级划分。

2、威胁分析:在安全领域里,我们把可能造成危害的来源称为威胁(Threat),而把可能会出现的损失称为风险(Risk)。

什么是威胁分析?威胁分析就是把所有的威胁都找出来。在本书中介绍一种威胁建模的方法,它最早是由微软提出的,叫做STRIDE模型。

3、风险分析

影响风险高低的因素,除了造成损失的大小外,还需要考虑到发生的可能性。

在微软提出的DREAD模型里,每一个因素都可以分为高、中、低三个等级。在上表中,高、中、低三个等级分别以3、2、1的分数代表其权重值,因此,我们可以具体计算出某一个威胁的风险值。

4、确认解决方案

安全评估的产出物,就是安全解决方案。解决方案一定要有针对性,这种针对性是由资产等级划分、威胁分析、风险分析等阶段的结果给出的。

最终,一个优秀的安全方案应该具备以下特点:

能够有效解决问题;

用户体验好;

高性能;

低耦合;

易于扩展与升级。

====================

相关推荐
风途科技~1 小时前
河道流量监测不用下水!雷达水流测速仪非接触测流更安全
人工智能·安全
味悲1 小时前
XSS、CSRF、SSRF学习笔记
安全·xss·csrf
万点科技码农1 小时前
紧跟7月9日行业变革,西安万点网络科技一体化服务助力企业数字化安全转型
安全
Chengbei111 小时前
SoloXSS:一款现代化的自托管 XSS平台
人工智能·安全·web安全·网络安全·自动化·xss·安全架构
white_ant2 小时前
安全认证与 API 网关
安全
xixixi7777712 小时前
三大 AI 安全里程碑:Akamai 高危风险预警、智能体水印强制落地、PQC 量子安全全产业链统一
大数据·人工智能·安全·ai·大模型·智能体·政策
hz5678915 小时前
电子远程评标系统哪家好?安全、合规、易用平台评测指南
安全·云计算·音视频·实时音视频·信息与通信
MartinYeung515 小时前
[论文学习]大语言模型安全综述:攻击、防御、对齐、度量与护栏的深度解析
学习·安全·语言模型
卓豪终端管理17 小时前
企业数据防泄漏:现代设备控制如何成为终端安全的关键防线
安全
技术不好的崎鸣同学20 小时前
[GXYCTF2019]Ping Ping Ping 思路及解法
网络·安全·web安全