信息安全风险管理理论

信息安全风险管理理论

ID:25085102

大小:58.50 KB

页数:6页

时间:2018-11-18

信息安全风险管理理论_第1页
信息安全风险管理理论_第2页
信息安全风险管理理论_第3页
信息安全风险管理理论_第4页
信息安全风险管理理论_第5页
资源描述:

《信息安全风险管理理论》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、信息安全风险管理理论摘要:随着宽带网络和用户规模的不断增长,用户对宽带接入业务的高可用性要求不断增强,对电信运营商在IP城域、接入网络和支撑系统提出了更高的安全性要求。本文从信息安全管理的理念、方法学和相关技术入手,结合电信IP城域网,提出电信IP城域网安全管理、风险评估和加固的实践方法建议。关键字(KeyationGathering(信息搜集)c)RiskAnalysis(风险分析)uAssetsIdentificationvaluation(资产鉴别与资产评估)uThreatAnalysis(威胁分析)uVulnerabilityAnalysis(弱点分析)u资产/威胁/弱点的

2、映射表uImpactLikelihoodAssessment(影响和可能性评估)uRiskResultAnalysis(风险结果分析)d)IdentifyingSelectingSafeguards(鉴别和选择防护措施)e)MonitoringImplementation(监控和实施)f)Effectestimation(效果检查与评估)(4)实施和运营初步的ISMS体系(5)对ISMS运营的过程和效果进行监控(6)在运营中对ISMS进行不断优化3IP宽带网络安全风险管理主要实践步骤目前,宽带IP网络所接入的客户对网络可用性和自身信息系统的安全性需求越来越高,且IP宽带网络及客户所

3、处的信息安全环境和所面临的主要安全威胁又在不断变化。IP宽带网络的运营者意识到有必要对IP宽带网络进行系统的安全管理,以使得能够动态的了解、管理和控制各种可能存在的安全风险。由于网络运营者目前对于信息安全管理还缺乏相应的管理经验和人才队伍,所以一般采用信息安全咨询外包的方式来建立IP宽带网络的信息安全管理体系。此类咨询项目一般按照以下几个阶段,进行项目实践:3.1项目准备阶段。a)主要搜集和分析与项目相关的背景信息;b)和客户沟通并明确项目范围、目标与蓝图;c)建议并明确项目成员组成和分工;d)对项目约束条件和风险进行声明;e)对客户领导和项目成员进行意识、知识或工具培训;f)汇报

4、项目进度计划并获得客户领导批准等。3.2项目执行阶段。a)在项目范围内进行安全域划分;b)分安全域进行资料搜集和访谈,包括用户规模、用户分布、网络结构、路由协议与策略、认证协议与策略、DNS服务策略、相关主机和数据库配置信息、机房和环境安全条件、已有的安全防护措施、曾经发生过的安全事件信息等;c)在各个安全域进行资产鉴别、价值分析、威胁分析、弱点分析、可能性分析和影响分析,形成资产表、威胁评估表、风险评估表和风险关系映射表;d)对存在的主要风险进行风险等级综合评价,并按照重要次序,给出相应的防护措施选择和风险处置建议。3.3项目总结阶段a)项目中产生的策略、指南等文档进行审核和批准

5、;b)对项目资产鉴别报告、风险分析报告进行审核和批准;c)对需要进行的相关风险处置建议进行项目安排;4IP宽带网络安全风险管理实践要点分析运营商IP宽带网络和常见的针对以主机为核心的IT系统的安全风险管理不同,其覆盖的范围和影响因素有很大差异性。所以不能直接套用通用的风险管理的方法和资料。在项目执行的不同阶段,需要特别注意以下要点:4.1安全目标充分保证自身IP宽带网络及相关管理支撑系统的安全性、保证客户的业务可用性和质量。4.2项目范畴应该包含宽带IP骨干网、IP城域网、IP接入网及接入网关设备、管理支撑系统:如网管系统、AAA平台、DNS等。4.3项目成员应该得到运营商高层领导

6、的明确支持,项目组长应该具备管理大型安全咨询项目经验的人承担,且项目成员除了包含一些专业安全评估人员之外,还应该包含与宽带IP相关的业务与网络规划、设备与系统维护、业务管理和相关系统集成商和软件开发商人员。4.4背景信息搜集:背景信息搜集之前,应该对信息搜集对象进行分组,即分为IP骨干网小组、IP接入网小组、管理支撑系统小组等。分组搜集的信息应包含:a)IP宽带网络总体架构b)城域网结构和配置c)接入网结构和配置d)AAA平台系统结构和配置e)DNS系统结构和配置f)相关主机和设备的软硬件信息g)相关业务操作规范、流程和接口h)相关业务数据的生成、存储和安全需求信息i)已有的安全事

7、故记录j)已有的安全产品和已经部署的安全控制措施k)相关机房的物理环境信息l)已有的安全管理策略、规定和指南m)其它相关4.5资产鉴别资产鉴别应该自顶向下进行鉴别,必须具备层次性。最顶层可以将资产鉴别为城域网、接入网、AAA平台、DNS平台、网管系统等一级资产组;然后可以在一级资产组内,按照功能或地域进行划分二级资产组,如AAA平台一级资产组可以划分为RADIUS组、DB组、计费组、网络通信设备组等二级资产组;进一步可以针对各个二级资产组的每个设备进行更为细致的资产鉴

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。