2022年第十五周：计算机安全策略与评估详解与实践

在2022年的优秀教学材料"第十五周-计算机安全策略与评估+安全服务+实验.pptx"中，课程涵盖了深入探讨计算机安全的关键领域。首先，章节17-18聚焦于安全框架与评估标准，包括风险评估的要素，如资产价值、威胁（如黑客入侵、病毒、自然灾害等）、脆弱性（如系统漏洞、程序错误和管理缺陷）以及现有的控制措施。风险评估的重要目的是理解组织的安全状况，确定需求，建立信息安全管理体系，并为制定安全策略提供依据。 课程提及了CC（Common Criteria）和BS7799这两个国际安全规范，它们为系统安全提供了指导。SSE-CMM（System Security Engineering Capability Maturity Model）作为一种评估模型，强调了组织在安全工程中的能力成熟度，确保了安全工程过程的质量和有效性。 此外，讨论了如何将安全设计与安全域或等级保护相结合，以实现全面而适度的安全性，区分技术层面和管理层面的重要性。课程介绍了OSI（Open Systems Interconnection）安全体系结构，它为网络信息系统安全提供了结构化的视角。信息安全评估被定义为对系统安全属性的技术评价，包括产品安全评估和信息系统安全评估，以验证其满足特定安全要求。 风险评估的四个要素被详细阐述，以帮助理解风险的本质。计算机系统等级保护制度也被提及，强调了定期和适时的风险评估对于确保信息系统的安全性至关重要。课程还提到了GB17859《计算机信息系统安全保护等级划分准则》这一国家标准，组织可以根据自身情况灵活规划和改进安全流程。 最后，课程强调了持续提升自我安全管理的重要性，引用了BS7799作为管理方面的十大关键要素之一，这表明了在保障计算机安全时，良好的管理和实践同样不可或缺。这份PPT内容丰富，旨在帮助学生深入了解和应用计算机安全策略，以应对不断变化的安全挑战。