返回
信息安全风险评估自评估方法·

信息安全风险评估自评估方法·

ID:43842994

大小:314.84 KB

页数:8页

时间:2019-10-15

信息安全风险评估自评估方法·_第1页
信息安全风险评估自评估方法·_第2页
信息安全风险评估自评估方法·_第3页
信息安全风险评估自评估方法·_第4页
信息安全风险评估自评估方法·_第5页
资源描述:

《信息安全风险评估自评估方法·》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、套国网络与信息安全技术研讨会’嬲信息安全风险评估自评估方法·崇小蕾张玉清中国科学院研究生院国家计算机网络入侵防范中心,北京,100043摘要:风险评估分为自评估和他评估两种类型,其中,自评估是组织为了定期了解自身安全状态而进行的一种评估活动,在组织信息安全管理中有着重要的作用。为了使组织自我的风险评估工作更具科学性和合理性,有必要在进行评估前确定一个评估实施的流程和方法。本文在研究了国内外相关标准的前提下提出了一套自评估的方法,并对具体的实施进行了分析,这些对具体的评估活动有着重要的指导作用。关

2、键宇:信息安全:风险评估;自评估MethodofInformationSecurityRiskSelf-assessmentChongXiaoleiZhangYuqingNationalComputerNetworkIntrusionProtectionCenter,Bc日hlg’100043Abstract:Theself-assessmentisanevaluatingactivitythatcBnmakeorganizationrealizeitssecuritystate,self-as

3、sessmenthaveimportanteffectintheinformationsecuritymanagement.Inordertomaketheriskevaluationmorescientificandreasonable。itiSessentialtoconfirmamethodofevaluation.Basedontheresearchofcorrelativestandard,weadvancedasetofself-assessmentmethod,andanalyze

4、dtheimplementindetail,allthesehavedirectiveeffecttotheriskevaluation.Keywords:InformationSecurity;IUskEvaluation;Self-evaluation1引言信息系统的特点决定了它将会遭受木马、恶意代码、人为破坏等各个方面的威胁,存在各种风险。为了最大地保护信息系统的安全,需要对信息系统进行安全风险管理,而对信息系统进行风险评估是安‘基金项目:国家高技术研究发展863计划(课题编号2005AA

5、l42150)2002一研I-A-007作者简介l崇小蕾,女,1980年生,北京,硕士研究生。张玉清,男,1966年生,副研究员全国网络与信息安全技术研讨会’2005·33t·全风险管理的第一步⋯。目前,国内外的风险评估大致有两种评估模式,即自评估和他评估。其中自评估是指组织自身利用最小的资源(人力、物力、资金等)消耗来了解目前组织的安全状态以及安全流程和控制措施的有效性,以便对组织本身进行综合的判断和投资来减小其风险使它尽快达到一个可被接受的水平。幢1为了使组织自我的风险评估工作更具科学性和合

6、理性,同时也为了提高整个评估的效率,有必要在进行评估前确定一套评估实施方法。许多国家或风险评估组织都提出了自己的一套风险评估的理论、方法和流程,但还没有相对统一的国际标准。我们在对NIST800~30、BS7799等标准的研究以及分析风险评估中各要素的分级、分类的基础上提出了一套自评估的方法和流程,并对该流程具体的实施进行了详细地分析。2术语和定义下面是风险评估中要用到的重要术语”1:●资产(Asset)任何对组织具有价值的东西,包括计算机硬件、通信设施、建筑物、数据库、文档信息、’软件、信息服

7、务和人员等,所有这些资产都需要妥善保护。●威胁(Threat)就是可能对资产或组织造成损害的意外事件的潜在原因,即某种威胁源(threatsource)或威胁代理(threatagent)成功利用特定弱点对资产造成负面影响的潜在可能。风险评估关心的是威胁发生的可能性。●脆弱点(Vulnerability)也被称作漏洞或脆弱性,即资产或资产组中存在的可被威胁利用的缺点,脆弱点一旦被利用,就可能对资产造成损害。脆弱点本身并不能构成伤害,它只是威胁利用来实施影响的一个条件。●风险(Risk)特定威胁利

8、用资产的弱点给资产或资产组带来损害的潜在可能性。单个或者多个威胁可以利用单个或者多个弱点。风险是威胁事件发生的可能性与影响综合作用的结果。3风险评估流程和方法依据风险评估流程实施评估是实现科学有效的风险评估的重要前提,我们设计的流程如图l所示。具体包括准备、识别安全要素、确认安全措施、风险计算等主要步骤。其中,风险评估的准备过程是组织进行风险评估的基础和前提条件。资产识别是确定组织的关键资产并对其进行评估,这是后续步骤的基础。威胁识别是确定组织需要保护的每一项关键资产存在的威胁并对其发生的可能性

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。