返回
信息安全风险评估培训(第十二期)

信息安全风险评估培训(第十二期)

ID:43572631

大小:5.17 MB

页数:72页

时间:2019-10-11

信息安全风险评估培训(第十二期)_第1页
信息安全风险评估培训(第十二期)_第2页
信息安全风险评估培训(第十二期)_第3页
信息安全风险评估培训(第十二期)_第4页
信息安全风险评估培训(第十二期)_第5页
资源描述:

《信息安全风险评估培训(第十二期)》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全风险评估程晓峰什么是风险评估?——从深夜一个回家的女孩开始讲起……风险评估的基本概念资产业务影响威胁脆弱性风险钱被偷100块没饭吃小偷打瞌睡服务器黑客软件漏洞被入侵数据失密风险评估通俗类比风险评估5风险风险管理(RiskManagement)就是以可接受的代价,识别、控制、减少或消除可能影响信息系统的安全风险的过程。在信息安全领域,风险(Risk)就是指各种威胁导致安全事件发生的可能性及其对组织所造成的负面影响。风险管理风险评估(RiskAssessment)就是对各方面风险进行辨识和分析的过程,它包括风险分析和风险评价,是确认安全风险及其大小的过程。风险RISKRISKRISKRIS

2、K风险原有风险采取措施后的剩余风险影响威胁脆弱性影响威胁脆弱性风险管理的目标风险评估和风险管理的关系风险评估是风险管理的关键环节,在风险管理循环中,必须依靠风险评估来确定随后的风险控制与改进活动。资产分类方法分类示例数据保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等软件系统软件:操作系统、数据库管理系统、语句包、开发系统等应用软件:办公软件、数据库软件、各类工具软件等源程序:各种共享源代码、自行或合作开发的各种代码等硬件网络设备:路由器、网关、交换机等计算机设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等存储

3、设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等传输线路:光纤、双绞线等保障设备:UPS、变电设备等、空调、保险柜、文件柜、门禁、消防设施等安全保障:防火墙、入侵检测系统、身份鉴别等其他:打印机、复印机、扫描仪、传真机等资产分类方法分类示例服务信息服务:对外依赖该系统开展的各类服务网络服务:各种网络设备、设施提供的网络连接服务办公服务:为提高效率而开发的管理信息系统,包括各种内部配置管理、文件流转管理等服务人员掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目经理等其它企业形象、客户关系等资产识别模型网络层机房、通信链路网络设备1操作系统、主机设备软件OA人员、文档、制度

4、业务层物理层主机层应用层管理层EAI/EIP工程管理物资管理生产管理营销系统人力资源综合管理操作系统、主机设备网络设备2数据软件软件软件数据数据数据数据数据数据数据数据层信息安全属性保密性CONFIDENTIALATY确保信息只能由那些被授权使用的人获取完整性INTEGRITY保护信息及其处理方法的准确性和完整性可用性AVAILABILITY确保被授权使用人在需要时可以获取信息和使用相关的资产资产保密性赋值资产完整性赋值资产可用性赋值资产等级计算公式AV=F(AC,AI,AA)AssetValue资产价值AssetConfidentiality资产保密性赋值AssetIntegrity资产完整

5、性赋值AssetAvailability资产可用性赋值例1:AV=MAX(AC,AI,AA)例2:AV=AC+AI+AA例3:AV=AC×AI×AA资产价值赋值可用性确保获得授权的用户可访问信息并使用相关信息资产完整性保护信息和处理方法的准确和完整确保只有获得授权的人才能访问信息保密性进不来拿不走改不了跑不了看不懂可审查不可抵赖曾经完成的操作和承诺不可抵赖性可控制网络信息传播及内容可控性确保硬件、软件、环境各方面的运行可以审计可审计性信息安全属性威胁来源列表来源描述环境因素断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外事故等环境危害或自然灾害,以及软件、硬件、数据、通

6、讯线路等方面的故障人为因素恶意人员不满的或有预谋的内部人员对信息系统进行恶意破坏;采用自主或内外勾结的方式盗窃机密信息或进行篡改,获取利益外部人员利用信息系统的脆弱性,对网络或系统的机密性、完整性和可用性进行破坏,以获取利益或炫耀能力非恶意人员内部人员由于缺乏责任心,或者由于不关心和不专注,或者没有遵循规章制度和操作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击。威胁分类表威胁赋值脆弱性识别内容表脆弱性赋值风险分析原理LFR风险值=R(A,T,V)=R(L(T,V),F(Ia,Va))其中,R表示安全风险计算函数;A表示资产;T表示威

7、胁;V表示脆弱性;Ia表示安全事件所作用的资产价值;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件发生的可能性;F表示安全事件发生后产生的损失。一般风险计算方法:矩阵法和相乘法风险计算方法矩阵法矩阵法风险计算风险等级表风险评价示例28降低风险(ReduceRisk)——采取适当的控制措施来降低风险,包括技术手段和管理手段,如安装防火墙,杀毒软件,或是改善不规范的工作流程、制定业务连

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。