第05讲 信息安全风险评估

第05讲 信息安全风险评估

ID:6148901

大小:218.50 KB

页数:79页

时间:2017-11-14

第05讲 信息安全风险评估_第1页
第05讲 信息安全风险评估_第2页
第05讲 信息安全风险评估_第3页
第05讲 信息安全风险评估_第4页
第05讲 信息安全风险评估_第5页
资源描述:

《第05讲 信息安全风险评估》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全工程学五、信息安全风险评估信息安全风险评估风险评估,是发掘信息保护需要的重要步骤风险评估并非仅在发掘需要阶段进行,后续阶段根据需要也会进行风险评估例如在定义架构阶段的有效性评估中就需要对已定义的架构进行风险评估,检查结构性漏洞风险评估可以是对待建的信息系统的评估,也可以是对已有的信息系统的评估。对已有系统的评估是PDCA的第二次循环,或以后的各次循环中进行的。每次的PDCA循环,相当于一个新的信息安全工程过程。信息安全风险评估风险管理的概念风险评估的方法风险评估的过程风险评估的工具风险评估中的难点风险管理的

2、概念定义风险管理是一个过程。通过这个过程,信息系统管理者能够综合衡量安全措施和实施成本,并通过为信息系统提供安全防护,促进组织的业务能力提升。(NISTSP800-30)包括三个过程风险评估风险消减(控制措施的选用)风险监控(监视风险,定期再评估)风险管理的概念风险管理与信息安全管理信息安全管理是以风险为驱动的。可以看到,PDCA的各个阶段,主要工作是对信息系统的风险来做识别、评估、控制、检查等动作。从概念上讲,“信息安全管理”的外延更广,人事管理、财务管理等组织管理的其它部分也有信息安全管理的因素渗透其中。我们所

3、关心的信息安全管理,是以风险为核心的信息安全管理。从这个概念上讲,信息安全管理和风险管理二者的大部分细节都是一致的。风险管理的概念PlanActionCheckDo风险评估风险监控风险消减PDCA信息安全管理过程风险管理过程风险管理的概念风险管理中的基本概念(1)资产(Asset):任何对组织具有价值的东西,包括计算机硬件、通信设施、建筑物、数据库、文档信息、软件、信息服务和人员等。威胁(Threat):某威胁源成功利用特定脆弱点的潜在可能。脆弱点(Vulnerability):资产或资产组中存在的可被威胁利用的缺

4、点。脆弱点本身并不能构成伤害,它只是威胁利用来实施影响的一个条件。风险(Risk):特定威胁利用资产的脆弱点给资产带来损害的潜在可能性。风险管理的概念风险管理中的基本概念(2)可能性(Likelihood):对威胁事件发生的几率(Probability)或频率(Frequency)的描述。影响(Impact)或者后果(Consequence):意外事件发生给组织带来的直接或间接的损失或伤害。安全措施(Safeguard)/控制措施(control)/对策(countermeasure):通过防范威胁、减少弱点、限制

5、意外事件带来影响等途径来消减风险的机制、方法和措施。剩余风险(ResidualRisk):在实施安全措施之后仍然存在的风险。风险管理的概念威胁脆弱点安全措施风险资产系统安全需求价值利用导致暴露防范采取减少提出增加具有DefineSystemSecurityRequirements信息安全风险评估风险管理的概念风险评估的方法风险评估的过程风险评估的工具风险评估中的难点风险评估的方法按照分析对象分类以安全措施为主:基线评估以实际系统为主:详细评估组合评估按照精确程度分类量化评估定性评估按照思路分类基于知识专家的方法基于

6、模型的方法基线评估组织根据自己的实际情况(所在行业、业务环境与性质等),对信息系统进行安全基线检查安全基线:在诸多标准规范中规定的一组安全控制措施或者惯例,例如BS7799-1、ISO13335-4,德国联邦安全局IT基线保护手册等。如果环境和商务目标较为典型,组织也可以自行建立基线,而不是直接采用现行标准。基线检查:拿现有的安全措施与安全基线规定的措施进行比较,找出其中的差距适用情况组织的商业运作不是很复杂,并且组织对信息处理和网络的依赖程度不是很高组织信息系统多采用普遍且标准化的模式基线评估基线评估的优点需要的

7、资源少,周期短,操作简单对于环境相似且安全需求相当的诸多组织,基线评估是最经济有效的风险评估途径。基线评估的缺点基线水平的高低难以设定。过高可能导致资源浪费和限制过度,过低则可能难以达到充分的安全,在管理安全相关的变化方面,基线评估比较困难。基线评估的目标是建立一套满足信息安全基本目标的最小的对策集合详细评估要求对资产进行详细识别和评价,对可能引起风险的威胁和脆弱点进行评估。详细评估的优点可以对信息安全风险有一个精确的认识,从而能够准确定义出组织目前的安全水平和安全需求详细评估的结果可用来管理安全变化。详细评估的缺

8、点可能是非常耗费资源的过程,包括时间、精力和技术。因此,组织应该仔细设定待评估的信息系统范围,明确商务环境、操作和信息资产的边界。稍后讲述的评估过程,主要针对的是详细评估。组合评估基线风险评估耗费资源少、周期短、操作简单,但不够准确适合一般环境的评估详细风险评估准确而细致,但耗费资源较多适合严格限定边界的较小范围内的评估组合评估:二者相结合。对所有的系统进行

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。