返回
信息安全风险管理方法研究.pdf

信息安全风险管理方法研究.pdf

ID:54368140

大小:682.27 KB

页数:15页

时间:2020-04-29

信息安全风险管理方法研究.pdf_第1页
信息安全风险管理方法研究.pdf_第2页
信息安全风险管理方法研究.pdf_第3页
信息安全风险管理方法研究.pdf_第4页
信息安全风险管理方法研究.pdf_第5页
资源描述:

《信息安全风险管理方法研究.pdf》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、信息安全风险管理方法研究李焱(工业和信息化部计算机与微电子发展研究中心,北京100048)摘要:信息安全风险管理的目标就是平衡"安全成本"和"安全级别",将风险控制在可接受程度,保护信息及相关资产。本文主要阐述如何适度和有效地进行信息安全的风险的管理和控制方法。关键词:风险控制;风险评估;漏洞扫描;系统加固;渗透测试中图分类号:TP309文献标识码:AResearchonmethodofinformationsecurityriskmanagementLiYan(ResearchCenterforComputerandMicroelectronicsIndustr

2、yDevelopmentMIIT,Beijing100048,China)AbstractInformationsecurityriskmanagementobjectiveistobalance"securitycosts"and"securitylevel"willbecontrolledatanacceptablelevelofrisk,protectionofinformationandrelatedassets.Thisarticlefocusesonhowtoappropriatelyandeffectivelymanageandcontrolinfo

3、rmationsecurityrisks.KeywordsRiskcontrol;RiskAssessment;Vulnerabilityscanning;SystemReinforcement;PenetrationTesting-1-一、引言风险管理(RiskManagement)旨在对企业潜在的机会和风险进行识别、估测、分析、评价,及时采取有效的措施进行防范和控制Preventionandcontrol。有效地对各种风险进行管理,对企业各环节相关的风险进行识别(Identification)、估测(Estimation)、分析(Analysis)、评价(Ev

4、aluation)、防范(Prevention)、控制(Control)及信息交流(Informationexchange),可以将企业的损失减小到最低程度而使商机达到最大程度。风险管理既是为了发现商业机会,同样也是为了避免或减轻损失。风险管理过程(RiskManagementProcess)是指系统地将管理方针、程序和实施应用于风险的环境建立、识别、估测、分析、评价、防范、控制及信息交流等任务。风险管理(Riskmanagement)的理念和方法论同样适用于信息安全(Informationsecurity)的领域。信息安全是保障现代企业信息系统顺利运行的关键安全

5、保障因素。企业普遍对信息安全缺乏有效的控制(Control)和管理(management),过度的风险管理,不但花费大量不必要的人力、物力和金钱的、而且会严重降低工作效率(workefficiency)。如何对信息安全的风险进行适度有效的管理和控制,是企业迫切面临的首要任务。-2-图1:开销和安全提升关系对应图安全水平(levelofsecurity)的提升(或安全风险Safetyrisk的降低)与相对应的开销的关系,如上图所示。安全水平在较高层面,需要巨大的开销才能得到细小的提高,开销甚至超过了所保护资产的价值。通过对的资产和风险的精细评估,企业就可以在投资提升

6、安全风险降低(riskreduction)、风险承受(risktolerance)、风险转移(risktransfer)等做出准确的选择。本文中描述的风险的评估过程主要包括风险管理过程中的识别、估测、分析、评价、处理等任务,它是一个非常复杂的工作过程,风险出现的概率、风险的表现形式(Form)、风险造成的后果(Consequence)以及风险的来源(Source)等千差万别,需要缜密的思考和科学的分析模型。本文描述即是阐明风险评估过程的理念和方法论,以作为安全服务的标准方法论和理论基础,指导和规范安全风险安全服务工作。-3-二、信息安全风险管理方法1.参考标准与方

7、法[1]在《信息安全评估指南》评估模型如下图所示:特点是以风险为核心。图2:《信息安全评估指南》评估模型[2]在ISO/IEC27001中,安全评估模型如下图所示:特点是以风险为核心。-4-图3:ISO/IEC27001信息安全评估模型[3]在国际标准ISO13335中,安全评估模型如下图所示,特点是以风险为核心。图4:ISO13335安全模型[4]在国际标准ISO15408中,安全模型如下图所示,其特点是强调了模型的-5-对抗性和动态性。图5:ISO15408安全模型2.风险分析方法的选择定性分析(qualitativeanalysis)、定量分析(quanti

8、tativ

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。