返回
安全评估与安全管理

安全评估与安全管理

ID:42945119

大小:973.50 KB

页数:76页

时间:2019-09-26

安全评估与安全管理_第1页
安全评估与安全管理_第2页
安全评估与安全管理_第3页
安全评估与安全管理_第4页
安全评估与安全管理_第5页
资源描述:

《安全评估与安全管理》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全讲座安全评估与安全管理安全评估与安全管理安全风险分析安全风险评估方法和实例安全风险控制整体安全策略的设计和部署应急响应处理一、安全风险分析风险分析概述风险分析的目的和意义风险分析的原则和标准风险分析方法风险分析要素风险识别一、风险分析概述安全以风险形式存在,没有绝对的安全HighRiskLowRisk安全目标安全缝隙高风险低风险当前安全状态一、风险分析概述1.1信息安全风险安全风险是信息安全问题的表现形式,即由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。风险评估是对各方面风险进行辨识和分析的过程,是对威胁、影响、脆弱性及三者发生的可能性的评估。它是确认安

2、全风险及其大小的过程。一、风险分析概述1.2对风险分析的认识从微观上讲,风险评估是“一种度量信息安状况的方法和工具”,风险评估通过对网络和信息系统潜在风险的识别、分析、评价以及控制和缓解措施等要素,度量网络和信息系统的安全状况。风险评估是风险管理的基础。一、风险分析概述1.3信息安全风险相关要素的关系信息资产信息资产信息资产资产防护措施安全措施安全措施安全措施威胁威胁威胁威胁脆弱性脆弱性脆弱性脆弱性脆弱性残余风险风险残余风险残余风险二、风险分析的目的和意义风险评估是解决“最基本安全问题”的基础信息系统的安全状况到底如何?——用风险评估结果描述系统安全状况。是否有统一的建设规范,统一的安全要求?

3、——风险评估是制定统一规范,统一要求的基础。什么样的信息安全方案合理,建设到什么程度合适?——风险评估是制定方案的重要依据。现有的安全体系能否保证系统的安全?——通过风险评估来检验安全体系。二、风险分析的目的和意义2.1风险分析的目的安全建设必需先“正确认识安全问题;准确了解安全状态”,信息系统安全测评就是对信息系统安全的“度量”,是做好信息安全保障的重要基础。二、风险分析的目的和意义2.1风险分析的目的风险分析是对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等安全属性进行评价的过程。评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断

4、安全事件一旦发生对组织造成的影响。评价是否实施和维护了适当的安全措施,鉴别存在的风险以及风险发生的可能性和影响,从而选择可将风险降低到组织可接受级别的安全措施。二、风险分析的目的和意义安全评估的目的——了解系统,掌握资产系统业务功能、数据和流程描述用户情况系统结构和配置边界的完整性二、风险分析的目的和意义风险评估的目的——了解系统安全状况系统的重要性面临的威胁技术脆弱性和技术措施运行和管理问题风险状况二、风险分析的目的和意义风险评估的目的——规划域结构,界定边界和责任二、风险分析的目的和意义政务专网平台非涉密光纤网络(专网2芯)业务处理域A业务处理域B公众用户域电子政务域电子政务网络域公钥基础

5、设施异地容灾应急响应电子政务基础服务域公共网络域政务内网域(涉密域)业务单位政务外网域业务单位公众服务域政务内网通信网络政务外网通信网络业务单位政务内网域政务外网域(非涉密域)企业/其它机构信息系统公共通信网安全测评二、风险分析的目的和意义风险评估的目的——建设风险管理体系风险识别风险分析风险评价风险管理(控制、缓解、转移…)风险评估二、风险分析的目的和意义风险管理是指通过风险评估标识系统中的风险、解释风险并实施计划以降低风险至可接受程度的一个持续过程。风险评估是风险管理的一个重要环节,是分析评价信息系统安全状态的重要方法和工具。二、风险分析的目的和意义风险评估对信息系统生命周期的支持支持安全

6、需求分析,安全保护等级确定项目规划工程实施工程验收分析设计支持系统架构的安全性分析评估对安全需求的实现周期性地确定系统的安全状态系统报废运行维护硬件、软件、数据的处置三、风险评估原则和标准保密原则标准性原则规范性原则可控性原则整体性原则最小影响原则三、风险评估原则和标准中华人民共和国保守国家秘密法》(1988年9月5日中华人民共和国主席令第6号公布)《中华人民共和国保守国家秘密法实施办法》(国家保密局文件国保发[1990]1号)《计算机信息系统保密管理暂行规定》(国家保密局文件国保发[1998]1号)《计算机信息系统安全保护等级划分准则》(1999年9月国家技术监督局发布)《信息安全风险评估指

7、南》国家标准报批稿四、风险评估过程和方法风险评估过程(1)硬件软件接口数据和信人员业务功能(1)系统分析和资产识别输入输出风险评估活动系统边界系统功能系统和数据的危险程度系统和数据的敏感程度识别关键资产系统受攻击的历史信息专业机构和媒体的数据(2)威胁分析识别威胁描述四、风险评估过程和方法风险评估过程(2)前期风险评估报告系统审计信息系统特性安全需求安全测试结果(3)脆弱性分析识别输入输出风险评估

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。