返回
信息安全风险评估(上

信息安全风险评估(上

ID:42342563

大小:3.00 MB

页数:105页

时间:2019-09-13

信息安全风险评估(上_第1页
信息安全风险评估(上_第2页
信息安全风险评估(上_第3页
信息安全风险评估(上_第4页
信息安全风险评估(上_第5页
资源描述:

《信息安全风险评估(上》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、第2讲信息安全风险评估(一)北京邮电大学计算机学院副教授郭燕慧概述风险评估方法详细风险评估流程风险计算方法风险评估简例本讲提纲1概述1.1信息安全风险评估相关要素1.2信息安全风险评估1.3风险要素相互间关系1.1信息安全风险评估相关要素资产威胁脆弱点风险影响安全措施安全需求资产根据ISO/IEC13335-1,资产是指任何对组织有价值的东西,资产包括:物理资产(如,计算机硬件,通讯设施,建筑物);信息/数据(如,文件,数据库);软件;提供产品和服务的能力;人员;无形资产(如,信誉,形象)。我国

2、的《信息安全风险评估指南》认为资产是指对组织具有价值的信息资源,是安全策略保护的对象。它能够以多种形式存在,有无形的、有形的,有硬件、软件,有文档、代码,也有服务、形象等。根据资产的表现形式,可将资产分为数据、软件、硬件、文档、服务、人员等类,如表3-1所示分类示例数据存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册等软件系统软件:操作系统、语言包、工具软件、各种库等应用软件:外部购买的应用软件,外包开发的应用软件等源程序:各种共享源代码、可执行

3、程序、自行或合作开发的各种程序等硬件网络设备:路由器、网关、交换机等计算机设备:大型机、服务器、工作站、台式计算机、移动计算机等存储设备:磁带机、磁盘阵列等移动存储设备:磁带、光盘、软盘、U盘、移动硬盘等传输线路:光纤、双绞线等保障设备:动力保障设备(UPS、变电设备等)、空调、保险柜、文件柜、门禁、消防设施等安全保障设备:防火墙、入侵检测系统、身份验证等其他电子设备:打印机、复印机、扫描仪、传真机等服务办公服务:为提高效率而开发的管理信息系统(MIS),它包括各种内部配置管理、文件流转管理等服

4、务网络服务:各种网络设备、设施提供的网络连接服务信息服务:对外依赖该系统开展服务而取得业务收入的服务文档纸质的各种文件、传真、电报、财务报告、发展计划等人员掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目经理及网络研发人员等其它企业形象,客户关系等两种看法之比较:两种定义基本上是一致的,所包含的内容也基本是一致的,主要的区别在于后者把资产限定在“信息资源”范围内,这是基于信息安全风险评估应的特殊性的考虑,信息安全风险评估应重点分析信息资产面临的风险。从具体分类明细看,后者还是

5、包含了其他内容,如保障设备、人员、企业形象、客户关系等,这些未必都能视为信息资产。威胁威胁是可能对资产或组织造成损害的潜在原因。威胁有潜力导致不期望发生的事件发生,该事件可能对系统或组织及其资产造成损害。这些损害可能是蓄意的对信息系统和服务所处理信息的直接或间接攻击。也可能是偶发事件。根据威胁源的不同,威胁可分为:自然威胁:指自然界的不可抗力导致的威胁环境威胁:指信息系统运行环境中出现的重大灾害或事故所带来的威胁系统威胁:指系统软硬件故障所引发的威胁人员威胁:包含内部人员与外部人员,由于内部人员

6、熟悉系统的运行规则,内部人员的威胁更为严重表2给出了需识别的威胁源以及其威胁的表现形式。威胁源常见表现形式自然威胁地震、飓风、火山、洪水、海啸、泥石流、暴风雪、雪崩、雷电、其他环境威胁火灾、战争、重大疫情、恐怖主义、供电故障、供水故障、其他公共设施中断、危险物质泄漏、重大事故(如交通工具碰撞等)、污染、温度或湿度、其他系统威胁网络故障、硬件故障、软件故障、恶意代码、存储介质的老化、其他外部人员网络窃听、拒绝服务攻击、用户身份仿冒、系统入侵、盗窃、物理破坏、信息篡改、泄密、抵赖、其他。内部人员未经

7、授权信息发布、未经授权的信息读写、抵赖、电子攻击(如利用系统漏洞提升权限)、物理破坏(系统或存储介质损坏)、盗窃、越权或滥用、误操作根据威胁的动机人员威胁又可分为恶意和无意两种,但无论是无意行为还是恶意行为,都可能对信息系统构成严重的损害,两者都应该予以重视脆弱点脆弱点是一个或一组资产所具有的,可能被威胁利用对资产造成损害的薄弱环节。如操作系统存在漏洞、数据库的访问没有访问控制机制、系统机房任何人都可进入等等。脆弱点是资产本身存在的,如果没有相应的威胁出现,单纯的脆弱点本身不会对资产造成损害。另

8、一方面如果系统足够强健,再严重的威胁也不会导致安全事件,并造成损失。即:威胁总是要利用资产的弱点才可能造成危害。资产的脆弱点具有隐蔽性,有些弱点只有在一定条件和环境下才能显现,这是脆弱点识别中最为困难的部分。需要注意的是,不正确的、起不到应有作用的或没有正确实施的安全措施本身就可能是一个脆弱点。脆弱点主要表现在从技术和管理两个方面技术脆弱点是指信息系统在设计、实现、运行时在技术方面存在的缺陷或弱点。管理脆弱点则是指组织管理制度、流程等方面存在的缺陷或不足。例如:安装杀毒软件或病毒库未及时升级操作

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。