工业互联网安全 课件 任务1 安全测试报告编写

任务1工业互联网安全风险

测试报告的编写测试报告主要提供给目标组织者阅读，针对其目标系统风险进行业务评估，并给出证据证明其风险的有效性，以及对应的安全策略建议。主要有三类人会阅读测试报告：高级管理人员、IT管理人员和IT技术人员。此外，有时候也会有专门的安全负责人、厂家技术、普通职员、宣传部门等人员会查看相应报告。任务描述本任务介绍的测试报告，单指在所有测试实施工作结束后，按照测试方案要求所需要输出提供的结论性报告文档，是安全测试工作的最重要成果。安全风险评估的概念和方法1知识导入信息安全风险定义为：人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。信息安全风险评估的定义为：依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。安全风险评估的概念和方法1工业互联网安全风险评估主要依据以下标准：GB/T20984—247信息安全技术信息安全风险评估规范；GB/T26333—2010工业控制网络安全风险评估规范；GB/T30976.1—2014工业控制系统信息安全第1部分：评估规范；GB/T33009.3—2016工业自动化和控制系统网络安全集散控制系统（DCS）第3部

分：评估指南；GB/T22239—2019信息安全技术网络安全等级保护基本要求。知识导入安全风险评估的概念和方法1（1）风险评估要素及其关系结合信息安全风险评估规范，并结合工业互联网特性，可知工业互联网的风险评估要素及其关系。知识导入安全风险评估的概念和方法1（2）工业互联网安全分析的原理工业互联网的安全分析涉及业务、资产、威胁、脆弱性、安全措施和风险六个基本要素，每个要素有各自的识别内容。知识导入安全风险评估的概念和方法1（3）安全风险评估的实施流程工业互联网安全风险评估的实施流程如图。根据流程中的各项工作内容，一般将风险评估划分为评估准备、风险要素识别、风险分析三个阶段。知识导入安全风险评估准备2①确定风险评估的目标。②确定风险评估的对象和范围。③组建适当的评估管理与实施团队。④对系统进行前期调研。知识导入风险评估的准备是风险评估过程有效性的保证。组织实施风险评估是一种战略性考虑，评估结果会受到组织战略、业务、业务流程、安全需求、系统规模和结构等因素的影响。因此，在实施风险评估前，应做如下准备：⑤确定评估的依据和方法。⑥制定风险评估实施方案。⑦获得最高管理者对风险评估工作的支持。知识导入安全风险信息收集3针对工业互联网进行现场检查与技术测试是风险信息收集中的重要一环，主要工作是利用技术检测工具对现场待评估的工业互联网的协议、漏洞、配置等情况进行分析，发现可能存在的技术风险。安全测试报告编写任务实施【任务目的】了解安全测试报告内容；掌握安全测试报告的编写方法。【步骤1】

测试报告编写要求执行摘要0102背景03整体情况执行摘要部分要与读者沟通安全测试的目标以及高层次的结果。应该解释安全测试的总体目的，并具体阐述在前期交互阶段中沟通确定的所有条款，包括潜在风险、对策、安全测试目标等。对安全测试过程整体流程以及安全测试者达到目标的总体情况进行叙述【步骤1】

测试报告编写要求风险评估与轮廓0405结果概要06改进建议概要进行整体上的风险评级、轮廓描述或者评分，并进行简要的解释。以一种基本统计的格式，来提供在安全测试过程中所发现安全问题的概要情况。为读者提供降低安全风险所需任务的高层次描述。07应对策略路线包含一个具有优先级排序的改进计划，来消除安全测试过程中发现的不安全因素，并提升组织安全防御的水平。【步骤2】

技术性报告技术性报告和读者沟通安全测试的技术细节，以及所有在前期交互阶段与目标组织商定的提交内容。技术性报告应该详细描述安全测试范围、获取信息、攻击线路、造成影响与改进建议。引言0102信息搜集03漏洞评估【步骤2】

技术性报告漏洞利用确认0405后测试阶段06风险披露具体详细地回顾用来确认安全漏洞的所有步骤。将安全测试能力和目标组织业务的实际风险联系起来。上述结果与风险值、信息关键度、企业估价进行组合，并从前期交互阶段推到业务影响严重程度。任务评价任务评价了解安全风险评估的概念和方法了解安全风险评估准备工作了解安全风险信息收集掌握安全测试报告的编写任务测验选择题

A.业务B.资产C.威胁D.脆弱性工业互联网的安全分析涉及的基本要素中，（）的识别内容是业务和资产弱点的严重程度。A.人员访谈B.搜索引擎C.现场检查D.技术检测在实施工业互联网安全风险评估前，需要获取支撑风险评估的基础信息，以下信处收集

方法错误的是？（）A.确定风险评估的目标B.确定风险评估的对象和范围

C.编写安全测试报告