21、计算机安全评估与管理全解析

计算机安全评估与管理全解析

1. 计算机安全审计

计算机安全审计是对组织安全策略在特定场所实施情况进行的系统、可量化的技术和组织评估。通常进行此类审计是为了满足某些安全合规要求。安全审计人员会在充分了解组织情况的基础上开展工作，有时还会掌握大量内部信息，以便了解被审计的资源。

安全审计并非孤立进行，它是定义和维护有效安全策略这一持续过程的一部分。审计不只是会议室里的活动，组织内任何使用计算机资源的人员都可能参与其中。鉴于计算机配置和信息存储的动态性质，一些管理者可能会怀疑是否真的存在检查安全控制的有效方法，而安全审计就提供了这样一个公平且可量化的过程，用于检查实际的安全态势。

安全审计人员通过多种方式开展工作，包括：
- 个人访谈
- 漏洞扫描
- 检查操作系统设置
- 分析网络共享
- 分析历史数据

他们主要关注安全策略的实际实施情况。

2. 自我评估

自我评估是组织对自身安全状况进行评估的过程，通常是内部流程。它为组织提供了一种确定其信息安全计划当前状态并设定安全改进目标的方法。NIST SP 800 - 26自我评估指南使用了一份广泛的问卷，其中包含特定的控制目标和技术，可用于测试和衡量非机密系统或相互连接的系统组。这些控制目标和技术直接源自法规、政策和安全指南中的长期要求。

NIST自我评估问卷的用途如下：
- 了解机构系统和安全控制的管理者可以快速全面了解系统（主要应用程序或通用支持系统）、相互连接的系统组或整个机构所需的安全改进。
- 以问卷为指导，全面评估机构系统的安全性。全面审查的结果可可靠衡量安全有效性，并可用