返回
信息安全风险分析

信息安全风险分析

ID:11467945

大小:4.40 MB

页数:138页

时间:2018-07-12

信息安全风险分析_第1页
信息安全风险分析_第2页
信息安全风险分析_第3页
信息安全风险分析_第4页
信息安全风险分析_第5页
资源描述:

《信息安全风险分析》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全审计和风险分析曹鹏资深安全顾问,CISP,CCID安全专栏作家东软NETEYE策划部北京caopeng@neusoft.com©2003Neteye.Allrightsreserved.Confidential–DoNotCopyorDistribute四月2003风险综述在系统工程过程中,风险是对达到属于技术性能,成本和进度方面的目的和目标的不确定性的一种量度。风险等级用事件和事件结果的概率来分类。对获取程序,系统在产品和过程方面进行风险评价。风险源包括技术的(可行性,可操作性,生产性,测试性和系统的有效性)

2、;成本(预算,目标),计划表(即技术资料的可用性,技术成就,里程碑);和规划(即资源、合同)。四月份对中国网站的攻击(443次)五月1-7日对美国网站的攻击(1041次)五月1-7日对中国网站的攻击(147次)(1)系统太脆弱,太容易受攻击;(2)被攻击时很难及时发现和制止;(3)有组织有计划的入侵无论在数量上还是在质量上都呈现快速增长趋势;(4)在规模和复杂程度上不断扩展网络而很少考虑其安全状况的变化情况;(5)因信息系统安全导致的巨大损失并没有得到充分重视,而有组织的犯罪、情报和恐怖组织却深谙这种破坏的威力。信息系

3、统安全领域存在的挑战互联网存在的六大问题无主管的自由王国(有害信息、非法联络、违规行为)不设防的网络空间(国家安全、企业利益、个人隐私)法律约束脆弱(黑客犯罪、知识侵权、避税)跨国协调困难(过境信息控制、跨国黑客打击、关税)民族化和国际化的冲突(文化传统、价值观、语言文字)网络资源紧缺(IP地址、域名、带宽)文化安全信息安全系统安全物理安全网络信息安全涉及哪些因素?因特网的安全涉及哪些因素系统安全信息安全文化安全物理安全又称实体安全又称运行安全又称数据安全又称内容安全关于物理安全作用点:对计算机网络与计算机系统的物理装

4、备的威胁,主要表现在自然灾害、电磁辐射与恶劣工作环境方面。外显行为:通信干扰,危害信息注入,信号辐射,信号替换,恶劣操作环境。防范措施:抗干扰系统,防辐射系统,隐身系统,加固系统,数据备份。关于系统安全作用点:对计算机网络与计算机系统可用性与可控性进行攻击。外显行为:网络被阻塞,黑客行为,非法使用资源等,计算机病毒,使得依赖于信息系统的管理或控制体系陷于瘫痪。防范措施:防止入侵,检测入侵,攻击反应,系统恢复。关于信息安全作用点:对所处理的信息机密性与完整性的威胁,主要表现在加密方面。外显行为:窃取信息,篡改信息,冒充信

5、息,信息抵赖。防范措施:加密,完整性技术,认证,数字签名。作用点:有害信息的传播对我国的政治制度及传统文化的威胁,主要表现在舆论宣传方面。外显行为:淫秽暴力信息泛滥、敌对的意识形态信息涌入、英语文化的“泛洪现象”对民族文化的冲击,互联网被利用作为串联工具,传播迅速,影响范围广。防范措施:设置因特网关,监测、控管。关于文化安全系统风险管理系统风险管理是一个识别什么会出错,测定和评价有关的风险,实现和控制避免或处理被识别出的每个风险的适当手段的一种有组织的分析过程。风险在系统定义,系统规范,系统设计,系统实现或系统操作和支

6、持期内的任何时候都要被识别出来。技术风险管理技术风险管理计划是系统工程管理计划的基本部分。安全风险和安全风险管理安全风险可被认为是满足系统安全技术要求的不确定性的度量。安全风险管理是识别安全攻击及其相关结果的可能性,然后,如果需要,可动用资源,使系统的安全风险降低到可接受的水平。系统风险分析模型网络系统风险分析详解风险分析一览表鉴别技术访问控制技术加密技术安全策略风险分析与评估应用安全系统安全网络平台安全响应调整安全技术控制安全风险控制模型安全状态审计信息安全工程安全管理法律性管理技术性管理安全总需求策略实施风险控制及

7、安全评估安全风险监测风险关系模型增加(increase)抗击(protectagainst)降低(reduce)被满足(metby)引出indicate增加(increase)增加(increase)使暴露(expose)拥有(have)利用(exploit)需求影响资产漏洞威胁控制风险信息安全的特点(ISO17799中的定义)保密性:确保只有经过授权的人才能访问信息;完整性:保护信息和信息的处理方法准确而完整;可用性:确保经过授权的用户在需要是可以访问信息并使用相关信息资产。信息安全是通过实施一整套适当的控制措施实现

8、的。控制措施包括策略、实践、步骤、组织结构和软件功能。必须建立起一整套的控制措施,确保满足组织特定的安全目标。信息安全管理纲要CodeofpracticeforinformationsecuritymanagementBS7799/ISO17799信息安全政策安全组织资产分类及控制人员安全物理及环境安全计算机及系统管理系统访问控制

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。