采用CWVE方法进行安全风险评估
安全风险评估方法
安全风险评估方法一、引言安全风险评估是指对特定系统、组织或者活动进行全面的风险识别、分析和评估,以确定可能存在的安全风险,并提供相应的控制措施和管理建议。
本文将介绍一种常用的安全风险评估方法,以匡助组织有效识别和管理潜在的安全风险。
二、背景在当今数字化时代,各种信息系统的安全风险日益增加。
恶意攻击、数据泄露、自然灾害等安全威胁对组织的稳定运营和财产安全造成为了巨大威胁。
因此,通过安全风险评估,组织可以全面了解其面临的安全风险,并采取相应的控制措施,保护其重要资产和利益。
三、安全风险评估方法1. 建立评估目标和范围:明确评估的目标和范围,确定评估的重点和关注点。
例如,评估一个电子商务网站的安全风险,可以将目标设定为保护用户个人信息的安全,范围包括用户注册、支付系统、数据存储等。
2. 采集信息:采集与评估目标相关的信息,包括系统架构、业务流程、技术设备、安全策略等。
可以通过面谈、文件分析、系统扫描等方式获取信息。
3. 识别潜在威胁:基于采集到的信息,识别可能存在的安全威胁和漏洞。
例如,系统的弱密码策略、缺乏访问控制机制等。
4. 评估风险概率:根据已识别的潜在威胁,评估每一个威胁发生的概率。
可以使用定性或者定量的方法进行评估,如基于历史数据的统计分析或者专家判断。
5. 评估风险影响:评估每一个潜在威胁发生时对组织的影响程度。
这包括财务损失、声誉受损、法律责任等方面的影响。
6. 评估风险级别:根据风险概率和影响程度,计算每一个潜在威胁的风险级别。
可以使用风险矩阵或者其他评估模型进行评估。
7. 制定控制措施:根据评估结果,制定相应的控制措施来降低风险。
控制措施可以包括技术措施、管理措施和教育培训等方面。
8. 评估控制效果:对已实施的控制措施进行评估,确定其对风险的减轻效果。
如果控制措施效果不佳,需要进行调整和改进。
9. 定期复评:安全风险评估是一个动态的过程,组织应定期进行复评,以识别新的安全威胁和变化,并采取相应的控制措施。
网络安全风险评估与防护技术
网络安全风险评估与防护技术【正文】网络安全风险评估与防护技术网络安全已成为当今信息社会不可忽视的问题,各种黑客攻击、数据泄露等网络安全风险对个人、组织和国家都构成了威胁。
因此,进行网络安全风险评估,并采取相应的防护技术非常重要。
一、网络安全风险评估网络安全风险评估是指对网络系统、信息系统和相关设备进行分析、检测,以确定潜在的网络安全威胁和漏洞。
网络安全风险评估的主要目的是识别和评估潜在的网络安全风险,为制定合理有效的安全措施提供决策依据。
在进行网络安全风险评估时,可以采用以下方法:1. 漏洞扫描:通过自动化工具对系统、网络及应用程序进行全面的扫描,发现系统中存在的漏洞。
2. 风险评估:基于漏洞扫描的结果,对系统中的漏洞进行分析评估,确定漏洞的威胁级别和可能造成的影响。
3. 攻击测试:通过模拟真实的攻击行为,评估系统的安全性和抵御能力。
二、网络安全防护技术网络安全防护技术是指采取各种措施和技术手段来预防网络安全威胁的发生,并保障网络系统的安全性和可用性。
常用的网络安全防护技术包括以下几个方面:1. 防火墙技术:设置网络防火墙来限制和监控网络流量,提高网络的安全性。
2. 入侵检测与防御系统(IDS/IPS):通过监控和分析网络流量,及时发现并抵御网络入侵行为。
3. 数据加密技术:通过对数据进行加密,确保数据在传输和存储中的安全性。
4. 访问控制技术:建立合理的权限管理制度,限制不同用户对网络资源的访问权限。
5. 安全策略与管理:制定、实施和监控网络安全策略,定期检查和更新安全措施。
6. 安全培训与教育:提高用户对网络安全的意识,加强网络安全教育与培训。
三、网络安全风险评估与防护技术的联合应用网络安全风险评估和防护技术是相辅相成的。
仅仅进行一次网络安全风险评估是不够的,一旦发现问题,还需要及时采取相应的防护技术进行修复和防范。
在进行网络安全风险评估的基础上,可以根据评估结果制定相应的网络安全计划,明确所需的防护措施和技术,并及时进行实施。
威格电器安全风险评估
威格电器安全风险评估1、对企业从事电气管理员工、电气操作人员情况进行分析评估管理人员:1)现有技术管理人员1人,经过专门培训考试并取得电气进网操作许可证,持证上岗2)持有技师证、电气助工或工程师证电气操作人员:1)现有电气操作人员39人,经过专门培训考试并取得电气进网操作许可证,持证上岗2)每月进行一次安全或技术培训,并考试3)严格执行《电业安全规程》中的规定4)熟悉本岗位运行规程分析:管理人员熟悉业务,电气操作人员综合评价能胜任本职工作2、对企业电气主接线及运行方式进行分析评估主接线:我公司有两条35KV进线电源------水化甲线和水化乙线,1台35KV自发电。
水化甲线供35KV乙母排,水化乙线供35KV甲母排;自发电热电3#供35KV乙母排。
35KV甲母排和35KV乙母排之间有联络开关。
35KV甲母排下接2台离子膜整流变压器、1台35K.V/6KV变压器、1台35KV/10KV主动力变压器(1#)35KV乙母排下接2台隔整流变压器、1台35KV/6KV变压器、1台35KV/10KV主动力变压器(2#)、一台离子膜整流变压器1#主动力变压器供10KV甲母排,2#主动力变压器供10KV乙母排,10KV甲母排和10KV乙母排之间有联络开关运行方式:平时35KV水化甲线和水化乙线并列运行,如果水化甲线或水化乙线一路电源断电,35KV联络开关合上,保证另一个母排电源供电。
35KV/10KV主动力1#、2#变压器平时都运行,一旦任何一台变压器有问题,另一台变压器能将10KV所有负荷带起来(通过10KV 联络开关将10KV甲、乙母排连接起来。
分析:现有的电气主接线和运行方式,符合化工企业对电源的要求,动力主变中的一台、进线电源中的一路电源断电,利用母联开关都能保证重要符合的正常供电,从而保证了公司的安全运行。
网络安全的风险评估方法介绍
网络安全的风险评估方法介绍随着互联网的不断发展,网络安全问题日益凸显。
为了有效地应对各种潜在的网络威胁,企业和组织需要进行全面的风险评估。
本文将介绍一些常见的网络安全风险评估方法,帮助读者了解如何全面评估网络安全风险并采取相应的防护措施。
一、安全检查与审计安全检查与审计是一种常见的网络安全风险评估方法。
通过审查网络基础设施、系统配置、安全策略和操作流程等方面,可以发现潜在的漏洞和问题。
安全检查与审计的过程通常包括以下几个步骤:1. 收集信息:收集与目标网络相关的各种信息,包括网络拓扑图、系统配置文件、日志记录等。
2. 审查配置:审查网络设备和系统的配置,确保其符合最佳实践和安全标准。
3. 评估风险:根据已收集的信息和审查的结果,对网络安全风险进行评估,并制定相应的改进计划。
4. 提供建议:基于评估结果,提供针对性的安全建议和改进措施,帮助组织提高网络安全水平。
二、威胁建模与分析威胁建模与分析是一种系统化的网络安全风险评估方法。
通过建立威胁模型,分析可能的攻击路径和威胁来源,帮助组织识别关键资源和系统的威胁等级,并采取相应的保护措施。
1. 确定威胁模型:根据网络基础设施和组织需求,建立一个完整的威胁模型,包括潜在的攻击者、攻击方式和攻击目标等。
2. 评估威胁等级:根据威胁模型,评估每个威胁的潜在损害程度和影响范围,并确定其威胁等级。
3. 制定防护策略:根据威胁等级,制定相应的防护策略和安全措施,包括物理安全、网络安全和应用程序安全等方面。
三、漏洞扫描与渗透测试漏洞扫描与渗透测试是一种常见的网络安全风险评估方法,通过检测和利用网络系统中的漏洞,模拟潜在攻击者对系统进行攻击,测试系统的安全性。
1. 漏洞扫描:使用专门的工具对网络系统进行扫描,发现潜在的漏洞和弱点。
2. 渗透测试:验证和利用已发现的漏洞,模拟真实攻击场景,检测系统抵御攻击的能力。
3. 分析结果:根据漏洞扫描和渗透测试的结果,评估系统的安全性,并提出相应的修复建议。
安全风险评估方法
安全风险评估方法一、引言安全风险评估是指对特定系统、设备或环境中存在的潜在安全威胁进行识别、分析和评估的过程。
通过安全风险评估,可以及时发现和解决潜在的安全风险,保障系统和环境的安全性。
本文将介绍一种常用的安全风险评估方法,以帮助您更好地了解和应对安全风险。
二、安全风险评估方法的步骤1. 确定评估目标:首先,需要明确评估的目标是什么。
例如,评估某个系统的安全性,或者评估某个设备的潜在安全风险等。
明确评估目标有助于确定评估的范围和重点。
2. 收集信息:在进行安全风险评估之前,需要收集相关的信息。
这包括系统或设备的技术规格、安全政策和流程、已知的安全漏洞和威胁等。
通过收集信息,可以更全面地了解评估对象的特点和潜在风险。
3. 识别潜在威胁:在这一步骤中,需要对评估对象进行全面的分析和识别潜在的安全威胁。
可以使用各种方法,如威胁模型、攻击树等,来帮助识别潜在的威胁。
同时,还可以参考已知的安全漏洞和攻击案例,以确定可能存在的安全风险。
4. 评估风险等级:在识别潜在威胁之后,需要对这些威胁进行评估,并确定其风险等级。
评估风险等级时,可以考虑威胁的概率、影响程度和可控性等因素。
通常,可以将风险等级划分为高、中、低三个级别,以便更好地指导后续的安全措施。
5. 提出建议措施:根据评估结果,需要提出相应的建议措施来降低或消除潜在的安全风险。
建议措施可以包括技术措施、管理措施和培训措施等。
建议措施应该具体、可行,并且能够有效地解决潜在的安全问题。
6. 实施和监控:最后,需要将建议措施付诸实施,并进行监控和评估。
实施建议措施后,需要持续监控系统或设备的安全状况,并及时调整和改进措施,以保证安全风险的控制和管理。
三、案例分析为了更好地理解安全风险评估方法的应用,以下是一个案例分析:假设某公司拥有一套关键业务系统,为了保障系统的安全性,该公司决定进行安全风险评估。
根据上述方法,可以按照以下步骤进行评估:1. 确定评估目标:评估目标是该公司的关键业务系统的安全性。
Web安全风险评估与防护策略
Web安全风险评估与防护策略Web安全在当今数字化时代的信息交流中起着至关重要的作用。
然而,随着技术的不断发展和网络环境的复杂性增加,Web安全风险也愈发严重。
为了保护网站和用户的安全,进行Web安全风险评估并采取相应的防护策略至关重要。
一、Web安全风险评估Web安全风险评估是指对Web应用程序和系统进行系统化的风险分析和评估的过程。
它的目的是帮助识别潜在的漏洞和弱点,以及评估已采取的安全措施的有效性。
以下是进行Web安全风险评估的几个关键步骤:1. 收集信息:收集与Web应用程序相关的信息,包括功能和用途,技术规格,安全配置等。
同时也要收集已知的安全漏洞和攻击方式。
2. 识别潜在的漏洞:通过对Web应用程序和系统进行渗透测试、代码审查等方法,发现潜在的漏洞和弱点。
这可能包括未经身份验证的访问,注入攻击,跨站点脚本(XSS)等。
3. 评估风险级别:对发现的安全漏洞进行风险评估,根据漏洞的潜在危害程度,确定风险级别。
这可以帮助组织优先解决最严重的漏洞。
4. 提供报告和建议:最后,根据评估结果,撰写详细的报告,向组织提供可行的建议和措施,以修补漏洞并提高Web安全性。
二、Web安全防护策略针对评估中发现的漏洞和弱点,制定和实施相应的Web安全防护策略至关重要。
以下是几种常见的Web安全防护策略:1. 加强身份验证机制:确保只有经过身份验证的用户可以访问敏感信息。
这可以通过使用强密码要求、多因素身份验证等措施来实现。
2. 实施访问控制:限制对敏感资源和系统的访问权限,只授权给必要的人员。
这可以通过角色基础访问控制(RBAC)和横向权限分离等方法来实现。
3. 加密通信:使用安全套接字层(SSL)协议或传输层安全(TLS)协议来加密Web应用程序和用户之间的通信。
这可以有效防止数据在传输过程中被窃取或篡改。
4. 定期更新和修补:及时更新和修补Web应用程序和系统中的安全漏洞和弱点。
保持软件和系统处于最新版本,以减少已知漏洞的风险。
网络安全风险评估方法
网络安全风险评估方法
网络安全风险评估是指对组织的网络系统及其相关资源进行分析和评估,确认潜在的安全风险,并提供相应的安全措施和建议。
下面是网络安全风险评估的一种常用方法:
1. 收集信息:收集与网络安全相关的信息,包括网络拓扑、用户权限、网络应用、系统配置、数据存储等。
2. 识别潜在的风险点:通过对收集的信息进行分析,识别出潜在的安全风险点,包括网络设备配置不当、密码过于简单、系统漏洞等。
3. 评估风险程度:评估各个潜在风险点的风险程度,根据风险的可能性和影响程度进行综合评估。
4. 确定风险处理策略:对于高风险的风险点,制定相应的风险处理策略,包括补丁更新、加强访问控制、加密传输等。
5. 实施风险控制措施:按照风险处理策略,实施相应的技术手段和安全措施,以减轻风险的发生可能性和降低风险的影响程度。
6. 监控和追踪:建立网络安全监控系统,及时发现和追踪网络攻击和异常行为,保障网络安全状态的实时掌握。
7. 定期审查和更新:定期对网络安全风险评估进行审查和更新,适应网络安全形势的变化和技术的发展。
网络安全风险评估应该是一个持续和循环的过程,通过不断地评估、处理和监控,及时发现和纠正存在的风险,并进行系统的改进和完善,从而保证网络系统的安全性。
同时,还需要专业的网络安全人员和工具的支持,以确保评估结果的准确性和全面性。
网络安全风险评估技巧与工具使用方法
网络安全风险评估技巧与工具使用方法随着互联网的快速发展和普及,网络安全的重要性愈发凸显。
面对日益复杂和智能化的网络威胁,企业和个人需要进行网络安全风险评估,以了解自身的安全风险水平,并采取相应的防护措施。
本文将介绍网络安全风险评估的技巧和常用的工具使用方法。
一、网络安全风险评估的技巧1. 定义评估目标和范围:在进行网络安全风险评估之前,需要明确评估的目标和范围。
评估目标可以是确定系统的安全风险等级,评估范围可以是特定的网络系统或整个网络架构。
2. 收集信息:进行网络安全风险评估需要收集相关的信息,包括网络拓扑结构、系统配置、安全策略和措施等。
可以通过网络扫描、日志分析和安全审计等方法获取这些信息。
3. 风险识别与分类:在收集到信息之后,需要对网络中的风险进行识别和分类。
风险可以包括系统漏洞、恶意软件、不安全的网络设备等。
将风险按照严重性和可能性进行分类,以确定最具威胁的风险。
4. 评估风险的影响和可能性:对于已经识别的风险,需要评估其对系统的影响和可能性。
影响可以包括数据泄露、系统瘫痪、财产损失等,可能性可以根据历史数据和专家经验进行估计。
5. 评估现有的安全措施:在评估风险的同时,还需要评估现有的安全措施是否足够应对已识别的风险。
例如,是否存在有效的防火墙和入侵检测系统,是否有恰当的访问控制机制等。
评估结果可用于确定存在的安全漏洞和改进方案。
6. 提出建议和制定计划:最后,根据风险评估的结果,提出相应的建议和制定改进计划。
建议可以包括加强密码策略、更新系统和应用程序补丁、加强培训和意识教育等。
制定计划时,需要考虑资源投入、优先级和时间安排等因素。
二、常用的网络安全风险评估工具1. Nessus:Nessus是一款常用的漏洞扫描工具,可以对网络中的主机和服务进行全面的漏洞扫描,并生成相应的报告。
该工具支持多种操作系统和应用程序的漏洞检测,并提供了强大的定制和配置选项。
2. Nmap:Nmap是一款网络扫描工具,可用于探测和识别网络中的主机和开放的端口。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
调查内容第 24 页
Do 3:漏洞扫描与渗透测试
调查人员
审计工程师
抽样本地审计 根据不同的攻击路径
调查内容
远程扫描 渗透测试
配合人员
系统管理员
第 25 页
Do 4:事件调查与沙盘推演
调查人员
管理咨询顾问、审计工程师
已知安全事件调查 网络威胁监控 潜在安全威胁推演
安全策略文件 适用性声明 风险评估报告 安全需求报告 风险管理方案 验证报告
安全需求 技术限制、资源限制
安全需求、 实施效果
国内目前安全风险评估的操作
第9页
为什么要“回归”技术型评估?
管理上的原因
不是理想中的由最高层发起的评估 目标是解决技术问题,要求建立技术框架 希望了解技术建设的主导方向 可能付出的成本(费用及配合人力)较低
第 11 页
Controllable(IT风险趋势调查)
操作
工具
IT风险趋势调查软件 题库 经营风险概况 IT基础设施安全 应用程序安全 操作安全 人员安全
涉及内容
优点
将操作员与分析员分离,任何人都可以进行调查; 标准化; 权威性;
第 12 页
Workflow Analysis(业务流剖析)
资产盘点
资产盘点表 工具(游刃基线管理系统) 线条粗细 箭头指向 标注服务版本 明晰边界(包括人员)
业务流分析(简单范例)
第 13 页
Vulnerability Audit(脆弱性审计)
攻击路径分析(重点)
依据:Workflow Analysis的结果
漏洞扫描
正式审计
确定安全基线,确保当前不存在高危风险 为建立动态安全防护和纵深防御提出思路 为配置管理和补丁管理提出思路 指导未来三年内安全发展
从目标看评估粒度
第 20 页
示例:可能的项目周期
第 21 页
Plan:明确需求 制订计划
用户需求分析及讨论 计划编制与确认
第 22 页
Do 1:IT风险趋势调查
非正式的风险分析方法(FRAP,OCTAVE-S…)
详细风险分析的简化方法。 FRAP:前期预备会议,FRAP会议,风险分析报告撰写,总结会议; OCTAVE-S:建立基于资产的威胁档案,识别技术设施脆弱性, 开发 安全策略和计划。 对系统进行宏观分析,确定出高风险领域,进行详细的风险分析,其 它部分采用基线方法。 首先要核实系统范围内处于潜在高风险之中,或是对商业运作至关重 要的关键性资产进行详细的风险分析以获得相应的保护。其余‘一般 对待的’ 通过‘基本的风险评估’办法为其选择控制措施。
增加
增加
是
具有 敏感性 表示 丧失 机密性 可用性 完整性
被满足
是
非授权访问网络 非授权泄露信息 非授权篡改数据、信息和软件
网络功能的腐败(数据或服务不可用)
第4页
网络欺骗行为
什么是CWVE ®方法?
可管理的业务流弱点评估
Controllable Workflow Vulnerability Evaluation
综合方法( ISO 17799, OCTAVE …)
第7页
国际上常见的风险控制流程
法律、法规 系统任务和使命
系统建设阶段、规模 资产、威胁、 脆弱性、现有措施
法律、法规,系统 任务和使命、评估结果
制定安全策略 确定风险评估方法 风险评估 确定安全需求 选择风险控制措施 验证措施实施效果
第8页
详细的风险分析方法(SP800-30, …)
包括资产的深度鉴定和估价,对这些资产的威胁评估和脆弱性 评估。结果用于评估风险及选择合理的安全设施。 步骤:了解系统特征,识别威胁,识别脆弱性,分析安全控制, 确定可能性,分析影响,确定风险,对安全控制提出建议,记 录评估结果
第6页
国际风险评估理论和实践方法(2)
绿盟科技 李路、于慧龙、刘闻欢、付峥 华泰网安 李辉
共同完成国内最具影响力评估项目的伙伴
启明星辰 刘恒、廖飞鸣、黄凯峰、贾文军、金湘宇等
潘柱廷、欧阳梅雯、季昕华
在安全咨询方面给我带来影响的朋友
极其完美地完成一次评估项目,并带来CWVE ®灵感的弟兄
启明星辰深圳分公司 邓景云、肖立昕、吴菁
调查人员
管理咨询顾问
IT基础架构现状 应用程序及业务流现状 操作安全 人员安全 信息中心人员 主要业务负责及操作人员
第 23 页
调查内容
配合人员
Do 2:资产盘点及业务流分析
调查人员
管理咨询顾问
资产盘点(输出:资产盘点表) 业务流分析(输出:业务流示意图) 资产负责人(甚至财务人员) 业务操作者(甚至业务系统开发的集成商)
业务流 脆弱性 事件
方法的元素
第5页
国际风险评估理论和实践方法(1)
基准法 (德国IT Baseline…)
为系统各部分的保护度设立一个统一的基准,结合最佳实践 (BP)提供的安全措施制定解决方案。 适用范围:使用广泛的典型IT 系统。对保密性、完整性及可用 性为一般要求。在基础设施、组织、人事、技术及权宜安排方 面可采取标准安全措施。
调查内容
配合人员
安全管理员、网络管理员
第 26 页
Check:运行与监控
改进建议 即时加固 运行监测
第 27 页
Act:维护与改进
维护建议
新业务、新设备上线 配置管理 变更管理
周期性评估
持续改进计划
第 28 页
致谢
感谢朋友们,我的进步与你们密不可分!
最初与我一起学习、讨论并实践风险评估的朋友
采用CWVE ®方法进行安全风险评估
—技术型风险评估的操作实践(简版)
吴鲁加<wulujia@>
CWVE®风险评估方法
迄今最可操作的风险评估方法;
在OCTAVE、BS7799等方法与标准基础上提升; 摒弃了理论与方法中华而不实的部分; 工具成熟,可验证、可度量。
与企业/组织业务紧密结合; 可裁剪,容易适应不同规模企业; 建立、提高并持续维护企业/组织内部安全基线。
工具:游刃 检查漏洞:3700+ Unnoo Local Security Check Toolkit 平台:Solairs、HPUX、AIX、Linux、Windows
依据:攻击路径分析结果
第 14 页
本地审计
渗透测试
Even Survey(典型事件提炼)
手段
已知安全事件调查 网络威胁监控 潜在安全威胁分析
由多家大、中型企业风险评估实践锤炼得出;
CopyRight Unnoo Security Team
第2页
Agenda
风险评估概述 CWVE ®的具体操作和理论基础 评估实践
第3页
什么是风险评估?
黑客 新闻媒体 窃贼 组织罪犯 流氓 恶意雇员(用户,维护者 ,管理者,合同工) 工业(竞争对手) 恐怖主义
第 29 页
关于大成天下()
我们的产品
游刃基线安全系统 铁卷信息监控平台 网络安全评估 网络安全培训 信息安全监理 软件定制开发 渗透测试(Penetration testing) 网络架构评估与设计(Architecture review and design) 应用审计(Application audit) 源代码审计(Source code review) 黑箱测试(Online or Binary Black box testing) 审计、追踪与数据恢复(Forensics) 协议分析(Protocol analysis)
第 30 页
我们的服务
我们的技术专长
第 17 页
Agenda
风险评估概述 CWVE ®的具体操作和理论基础 评估实践
第 18 页
PDCA: 基于生命周期的过程方法
PDCA
最典型的过程改进方法之一 适用于风险评估
第 19 页
示例:中型企业风险评估
从数字看规模
人员:500+ PC数量:500+ 服务器数量:40+
威胁Agent
是 人 动机 机会 愿望 资源 能力 事件 用户失误 管理员失误 硬件故障 软件故障 工业故障 自然 自然灾害 超物理现象 生物现象
过程安全 (管理/组织) 人员安全 物理环境安全 系统安全 通讯安全 包涵 管理 运行 技术 保障 检测 防止 威胁
触发 利用 弱点 暴露 资产 分类为 安防措施 减少 安全风险 有 引出 价值 增加 引起 机密性 完整性 可用性 可审计性 物理安全 访问控制 安全需求 潜在影响 数据和信息 文件 声誉 硬件 人和技术 软件