资源描述:
《信息安全的基本概念》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、1.信息安全是指信息的保密性、完整性、可用性和真实性的保持。2、信息安全的重要性a.信息安全是国家安全的需要b.信息安全是组织持续发展的需要c.信息安全是保护个人隐私与财产的需要3、如何确定组织信息安全的要求a.法律法规与合同要求b.风险评估的结果(保护程度与控制方式)c.组织的原则、目标与要求4.我国在信息安全管理方面存在的问题宏观:(1)法律法规问题。健全的信息安全法律法规体系是确保国家信息安全的基础,是信息安全的第一道防线.(2)管理问题。(包括三个层次:组织建设、制度建设和人员意识)(3)国家信息基础设施建设问题。目前,中国信息基础设施几乎完全是
2、建立在外国的核心信息技术之上的,导致我国在网络时代没有制网权.微观:(1)缺乏信息安全意识与明确的信息安全方针。(2)重视安全技术,轻视安全管理。(3)安全管理缺乏系统管理的思想。5.系统的信息安全管理原则:制订信息安全方针原则;风险评估原则;费用与风险平衡原则;预防为主原则;商务持续性原则;动态管理原则;全员参与的原则;PDCA原则6、系统信息安全管理与传统比较系统的信息安全管理是动态的、系统的、全员参与的、制度化的、预防为主的信息安全管理方式,用最低的成本,达到可接受的信息安全水平,从根本上保证业务的连续性,它完全不同于传统的信息安全管理模式:静态的
3、、局部的、少数人负责的、突击式的、事后纠正式的,不能从根本上避免、降低各类风险,也不能降低信息安全故障导致的综合损失,商务可能因此瘫痪,不能持续。6.与风险评估有关的概念a.威胁,是指可能对资产或组织造成损害的事故的潜在原因。b.薄弱点,是指资产或资产组中能被威胁利用的弱点。威胁与薄弱点的关系:威胁是利用薄弱点而对资产或组织造成损害的.c.风险,即特定威胁事件发生的可能性与后果的结合。d.风险评估,对信息和信息处理设施的威胁、影响和薄弱点及三者发生的可能性评估.它是确认安全风险及其大小的过程,即利用适当的风险评估工具,确定资产风险等级和优先控制顺序,所以
4、,风险评估也称为风险分析.7.与风险管理有关的概念风风险管理风险评估风险控制降低风险险管理,以可接受的费用识别、控制、降低或消除可能影响信息系统安全风险的过程。a.安全控制,降低安全风险的惯例、程序或机制。b.剩余风险,实施安全控制后,剩余的安全风险c.适用性声明,适用于组织需要的目标和控制的评述威胁利用薄弱点防范导致暴露导致安全控制安全风险资产达到指出增加具有安全要求资产价值和潜在影响降低8.风险评估与管理的术语关系图(其实,安全控制与薄弱点间、安全控制与资产间、安全风险与资产间、威胁与资产间均存在有直接或间接的关系)9.风险评估过程a.风险评估应考虑
5、的因素(1)信息资产及其价值(2)对这些资产的威胁,以及他们发生的可能性(3)薄弱点(4)已有的安全控制措施b.风险评估的基本步骤(1)按照组织商务运作流程进行信息资产识别,并根据估价原则对资产进行估价(2)根据资产所处的环境进行威胁识别与评价(3)对应每一威胁,对资产或组织存在的薄弱点进行识别与评价(4)对已采取的安全控制进行确认(5)建立风险测量的方法及风险等级评价原则,确定风险的大小与等级10.资产识别与估价资产识别时常应考虑:(1)数据与文档(2)书面文件(3)软件资产(4)实物资产(5)人员(6)服务11.资产估价的概念资产估价是一个主观的过程
6、,资产价值不是以资产的账面价格来衡量的,而是指其相对价值。在对资产进行估价时,不仅要考虑资产的账面价格,更重要的是考虑资产对于组织商务的重要性,即根据资产损失所引发的潜在的商务影响来决定。12.PTV=PT*PV式中PTV——考虑资产薄弱点因素的威胁发生的可能性;PT——未考虑资产薄弱点因素的威胁发生的可能性,即这一威胁发生可能性的组织、行业、地区或社会均值;PV——资产的薄弱点被威胁利用的可能性13.威胁的评价评价威胁发生所造成的后果或潜在影响。不同的威胁对同一资产或组织所产生的影响不同,即导致的价值损失也不同,但损失的程度应以资产的相对价值(或重要度
7、)为限。威胁的潜在影响I=资产相对价值V*价值损失程度CL价值损失程度CL是一个小于等于1大于0的系数,资产遭受安全事故后,其价值可能完全丧失(即CL=1),但不可能对资产价值没有任何影响(即CL≠0)。为简化评价过程,可以用资产的相对价值代替其所面临的威胁产生的影响,即用V代替I,让CL=1。13.风险评估(重点)①风险测量方法—风险大小和等级评价原则风险是威胁发生的可能性,薄弱点被威胁利用的可能性和威胁的潜在影响的函数:R=R(PT,PV,I)其中:R---资产受到某一威胁所拥有的风险例2-3使用风险矩阵表进行测量(预先价值矩阵)例2-4二元乘法风险
8、测量,计算公式为:R=R(PTV,I)=PTV*I即利用威胁发生的真实可能性PT