返回
信息安全风险管理(PPT33页).ppt

信息安全风险管理(PPT33页).ppt

ID:50765129

大小:73.50 KB

页数:33页

时间:2020-03-14

信息安全风险管理(PPT33页).ppt_第1页
信息安全风险管理(PPT33页).ppt_第2页
信息安全风险管理(PPT33页).ppt_第3页
信息安全风险管理(PPT33页).ppt_第4页
信息安全风险管理(PPT33页).ppt_第5页
资源描述:

《信息安全风险管理(PPT33页).ppt》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、第三章信息安全风险管理学习目标:定义风险管理、风险识别、风险控制;理解如何识别和评估风险;评估风险发生的可能性及其对机构的影响;通过创建风险评估机制,掌握描述风险的基本方法;描述控制风险的风险减轻策略;识别控制的类别;承认评估风险控制存在的概念框架,并能清楚地阐述成本收益分析;理解如何维护风险控制3.1引言风险管理:识别和控制机构面临风险的过程。1.风险识别:检查和说明机构信息技术的安全态势和机构面临的风险。(风险评估就是说明风险识别的结果)2.风险控制:采取控制手段,减少机构数据和信息系统的风险。风险管理整个过程:找出机构信息系统中的漏洞,采取适当的步骤,确保机构信息系统中所有组成部分

2、的机密性、完整性和有效性。3.2风险管理概述3.2.1知己识别、检查和熟悉机构中当前的信息及系统。3.2.2知彼识别、检查和熟悉机构面临的威胁。3.2.3利益团体的作用1.信息安全信息安全团队组成:最了解把风险带入机构的威胁和攻击的成员2.管理人员确保给信息安全和信息技术团体分配充足资源(经费和人员),以满足机构的安全需要。3.信息技术建立安全的系统,并且安全地操作这些系统信息安全保护的对象是什么?资产资产是各种威胁以及威胁代理的目标。风险管理的目标就是保护资产不受威胁。3.3风险识别风险识别:规划并组织过程、对系统组件进行分类、列出资产清单并分类、识别出威胁、指出易受攻击的资产。风险评

3、估:为资产受到的攻击赋值、评估漏洞攻击的可能性、计算资产的相对风险因素、检查可能的控制措施、记录所发现的事件。规划并组织过程对系统组件进行分类列出资产清单并分类识别出威胁指出易受攻击的资产风险识别为资产受到的攻击赋值评估漏洞攻击的可能性计算资产的相对风险因素检查可能的控制措施记录所发现的事件风险评估3.3.1资产识别和评估1.人员、过程及数据资产的识别(1)人员(2)过程(3)数据2.硬件、软件和网络资产的识别3.3.2信息资产分类传统的系统组成SecSDLC及管理系统的组成人员员工信任的员工其他员工非员工信任机构的人员陌生人过程过程IT及商业标准过程IT及商业敏感过程数据信息传输处理存

4、储软件软件应用程序操作系统安全组件硬件系统设备及外设系统及外设安全设备网络组件内部连网组建因特网或DMZ组件3.3.3信息资产评估评估资产的价值。评估价值标准:1.哪一项信息资产对于成功是最关键的?2.那一项信息资产创造的收效最多?3.哪一项资产的获利最多?4.哪一项信息资产在替换时最昂贵?5.哪一项信息资产的保护费用最高?6.哪一项信息资产是最麻烦的,或者泄漏后麻烦最大?3.3.4安全调查数据分类技术——个人安全调查机构给每一个数据用户分配一个单一的授权等级3.3.5分类数据管理1.数据的存储2.数据的分布移植3.数据的销毁清洁桌面政策:要求员工在下半时将所有的信息放到适当的存储器中。

5、3.3.6威胁识别和威胁评估威胁实例1.人为过时或失败行为意外事故、员工过失2.侵害知识产权盗版、版权侵害3.间谍或人侵蓄意行为未授权访问和收集数据4.蓄意信息敲诈行为以泄露信息为要挟进行勒索5.蓄意破坏行为破坏系统或信息6.蓄意窃取行为非法使用硬件设备或信息7.蓄意软件攻击病毒、蠕虫、宏、拒绝服务8.自然灾害火灾、水灾、地震、闪电9.服务提供商的服务质量差电源及WAN服务问题10.技术硬件故障或错误设备故障11.技术软件故障或错误漏洞、代码问题、未知问题12.技术淘汰陈旧或过时的技术威胁评估过程:一、针对每种威胁提出同样问题:(1)在给定的环境下,哪一种威胁对机构的资产而言是危险的?(

6、2)哪一种威胁对机构的信息而言是最危险的?(3)从成功的攻击中恢复需要多少费用?(4)防范哪一种威胁的花费最大?二、通过提问的答案,建立威胁评估构架3.3.7漏洞识别漏洞:威胁代理能够用来攻击信息资产的特定途径。在按照威胁评估标准,检查每项威胁,建立漏洞表。3.4风险评估3.4.1风险评估概述风险=出现漏洞的可能性×信息资产的价值-当前控制减轻的风险几率+对漏洞了解的不确定性漏洞的可能性是什么?漏洞成功攻击机构内部的概率。(0.1~1.0)3.4.2信息安全风险评估原则1.自主机构内部人员管理的信息安全风险评估2.适应量度一个灵活的评估过程可以适应不断变化的技术和进展;既不会受限当前威胁

7、源的严格模型,也不会受限于当前公认的“最佳”实践。3.已定义过程描述了信息安全评估程序依赖于已定义的标准化评估规程的需要。4.连续过程的基础机构必须实施基于实践安全策略和计划,以逐渐改进自身的安全状态。3.4.3风险评估的过程1.信息资产评估使用信息资产的识别过程中的到的信息,就可以为机构中每项信息资产的价值指定权重分数(1~100)。(举例:一些资产会导致整个公司停止运作,说明资产比重较高)2.风险的确定利用风险公式:3.识别可能

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。