7*24小时服务热线:
010-62929228
本阶段是涉密信息系统安全风险评估的重要环节,其主要内容包括以下几种。
1、窃密威胁分析
(1)窃密对象的资产价值。
(2)秘密可能被接触的范围和频率。
(3)潜在威胁源的窃密动机和窃密能力。
2、脆弱性分析
(1)制度缺陷
(2)管理缺陷
(3)技术缺陷(如设计、实现、实施等发面)。
(4)脆弱性被窃密者利用的难易程度。这一点是由多种因素综合确定的,包括脆弱性的严重程度,是否存在可被利用的途径等。
(5)脆弱性之间的相互影响关系。某些失、泄密渠道有可能成为其他泄密渠道产生的前提条件,或者使这些失泄密渠道被利用的可能性增加。因此,分析保密脆弱性时,必须考虑脆弱性之间的相互影响关系。这一点可通过事件树或故障树模型加以=分析。
3、已有安保措施下的失泄密影响分析
识别脆弱性的目的在于明确安保改进的对象和重点。脆弱性分析所采用的方法主要有问卷调查、人员问询、工具扫描、手动检查、文档审查、渗透测试等。已有安保措施下的失泄密影响分析是明确在采取安保措施下失、泄密后可能造成的相对损失。