等级保护

我国信息系统为五级：

用户自主保护级 系统审计保护级 安全标记保护级 结构化保护级 访问验证保护级

网络系统等级保护划分为：自主保护级 指导保护级 监督保护级 强制保护级 专控保护级

TCSEC将系统的安全等级分为：验证保护类 强制保护类 自主保护类 最低保护类

Windows 满足TESEC的 C2安全性要求

CC（通用评估标准）分为 简介和一般模型 安全功能要求 和安全保证要求

信息系统的等级保护分为5个环节 ： 定级 备案 安全建设整改 等级测评 监督检查

定级的对象主要包括：信息系统、通信网络、数据资源

安全通用要求中的技术包括：安全物理环境、安全通信网络、安全区域边界、安全计算环境

网络安全等级保护由两个定级要素决定：受侵害的客体 对客体的侵害程度

风险评估

我国开展信息安全风险评估工作遵循的国家标准是：信息安全风险评估规范

风险评估的方法有 定性、定量、定性+定量

资产赋值的过程也就是对资产在机密性、完整性和可用性的要求进行分析，并在此基础上得出综合结果的过程。

常用的风险值计算方法有：相乘法和矩阵法

风险评估的工具可以分为：基于信息安全标准的风险评估工具 基于知识的风险评估工具 基于模型的风险评估工具

资产的价值不是以资产的经济价值来衡量，而是由资产在 机密性 完整性 可用性 这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的

威胁识别后需要对 威胁频率 进行赋值

常用的风险值计算方法有：相乘法 和 矩阵法。

定量评估方法

运用数量指标对风险进行评估：

分析过程：
1.识别资产并为资产赋值

2.确定EF（暴露因子，也称估计损失程度） 3.确定ARO（每年发生的概率） 4.确定SLE（总资产*EF） 5.确定ALE（SLE*ARO）

相乘法计算风险：

1.计算安全事件发生的可能性

威胁（发生的频率）*脆弱性

2.计算安全事件的损失：

资产*脆弱性

3.计算风险值

取上面两步结果的乘积

4.结果判定：

根据风险值进行风险等级判定