返回
等级保护制度下的风险评估

等级保护制度下的风险评估

ID:18652405

大小:267.00 KB

页数:22页

时间:2018-09-19

等级保护制度下的风险评估_第1页
等级保护制度下的风险评估_第2页
等级保护制度下的风险评估_第3页
等级保护制度下的风险评估_第4页
等级保护制度下的风险评估_第5页
资源描述:

《等级保护制度下的风险评估》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、等级保护制度下的风险评估卫士通信息产业股份有限公司安全服务事业部 刘鹏2005年12月汇报内容等级保护制度下风险评估的特点科学管理风险评估的实施过程用风险诊断与预警实现风险的持续管理卫士通信息资产风险诊断预警系统等级保护制度下风险评估的特点等级保护制度下,风险评估呈现一些新的特点:同样的资产,在保护等级不同的情况下,其价值应该有所不同;对评估资产的划分,应该与保护对象的划分保持一致;安全需求的制定依据,不再仅仅以风险评估结果为主,而应该是等级保护要求、风险评估、安全规划等方面的综合结果。等级保护下风险评估实施框架保护对象划分和定级网络系统划分和定级资产脆弱性威胁风险分析

2、基本安全要求等级保护管理办法、指南信息安全政策、标准、法律法规安全需求风险列表安全规划风险评估资产划分方法对风险评估的影响以表现形式和技术类型为主线的资产划分:网络设备1、主机设备1、操作系统3、应用软件n、信息、服务……风险评估适宜从脆弱性开始一般由安全专家主导以保护对象为主线的资产划分:网络平台1、业务系统n……风险评估适宜从威胁开始一般由管理和业务人员主导风险列表在等级保护中的作用风险列表基本安全要求保护等级修正安全规划修正安全需求科学管理风险评估的实施过程有效的风险评估,需要解决以下几个问题:风险评估方法的多样性,导致不同的方法产生的结果,可能具有较大的差异。传

3、统以技术为主线的风险评估,可能产生庞大的风险列表,导致结果不可用。如果仅对关键资产进行评估,又可能导致评估结果不全面。风险评估实施者的能力、经验和倾向,将极大地影响评估结果的准确性。遵循标准遵循标准是保证风险评估方法科学性、结果准确性的基础。国标《信息安全风险评估指南》的尽早出台,是规范风险评估的重要保证。设计科学、实用的评估流程面向管理和业务特征进行资产划分、资产识别,提高风险评估结果可用性。采用简洁、清楚、可操作的风险评估流程,是风险评估成功实施的关键。卫士通风险评估流程保护对象划分保护对象威胁分析威胁1威胁发生可能性威胁所利用的脆弱性分析威胁动机分析威胁产生的影响

4、风险1及其等级威胁影响到的资产价值分析资产被威胁所破坏程度分析威胁n风险n及其等级多方参与保证评估结果的准确风险评估在许多方面依赖于评估者的素质,包括:资产识别与划分、威胁识别与动机分析、脆弱性识别等方面的知识与经验;威胁发生可能性赋值等方面的能力、经验与客观公证立场,其中包括脆弱性被威胁利用的可能性的分析;威胁产生的影响赋值等方面的能力、经验与客观公证立场,其中包括威胁影响到的资产价值分析、资产被威胁所破坏的程度的分析。多方参与保证评估结果的准确由IT安全管理部门、业务部门、用户、安全服务商等方面的代表组成的风险评估团队,是保证评估结果准确性的关键。资产划分与资产识别

5、:多方共同参与;威胁识别:以安全服务商为主;威胁发生可能性分析:以安全服务商为主;威胁产生的影响分析:以被评估单位为主。多方参与保证评估结果的准确实施办法:风险评估团队成员分别进行分析和评估赋值;对差异大的地方,采用讨论会、取平均值、取多数认可等方法确定最终的结果。我们的理念:风险评估不仅要准确反映信息系统的风险状态,其实施过程也能加深对信息安全各方面了解程度,并且还是寻求一致认识的重要手段。用风险诊断与预警实现风险持续管理由风险评估结果得到风险控制措施的方法有:传统方法:专家经验更科学的方法:风险诊断依据风险评估结果制定风险缓解策略的方法有:传统方法:专家经验更科学的

6、方法:风险预警风险诊断与专家知识库风险诊断方法:对风险进行反向诊断,得到该威胁利用的脆弱性列表、威胁发生对资产的破坏程度,最终得到风险控制措施列表,供决策者选择。风险控制措施列表包括:降低破坏程度措施:例如备份、区域隔离等;脆弱性弥补措施:例如增加安全设备、安全配置、局部更换、改变管理或业务流程等。决策者不需要选择全部的措施,只需要选择有效、容易实施、投资小的措施即可。风险诊断与专家知识库风险诊断关键:专家知识库威胁轮廓威胁利用脆弱性(漏洞库)威胁影响库脆弱性弥补措施(漏洞措施库)影响降低措施(影响措施库)控制措施库风险预警与风险状态掌握风险状态:是制定风险缓解策略的依

7、据;是提高安全信心的手段。风险预警:是掌握风险状态的手段。风险预警与风险状态风险预警的作用:反映信息系统发生变化时,风险状态的变化资产的增减管理和业务流程的变化安全措施的变化反映外部环境发生变化时,风险状态的变化新的威胁的出现国际、国内社会环境和政治环境的突变反映安全策略发生大的变化时,风险策略的变化风险预警基线调整风险预警与风险状态风险预警有两种方式:阀值预警:体现风险的横向状态比较增量预警:体现横向的历史状态比较卫士通信息资产风险诊断预警系统系统管理信息资产管理风险管理资产配置管理综合查询信息资产风险管理系统框架系统管理信息资产管理资

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。