返回
信息安全风险评估.ppt

信息安全风险评估.ppt

ID:55570670

大小:2.55 MB

页数:73页

时间:2020-05-18

信息安全风险评估.ppt_第1页
信息安全风险评估.ppt_第2页
信息安全风险评估.ppt_第3页
信息安全风险评估.ppt_第4页
信息安全风险评估.ppt_第5页
资源描述:

《信息安全风险评估.ppt》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、信息安全管理(第二版)授课内容:信息安全风险评估信息安全管理Informationsecuritymanagement第3章信息安全风险评估3.1概述3.2信息安全风险评估策略3.3信息安全风险评估流程3.4信息安全风险评估方法3.5风险评估案例3.6本章小结3.7习题从一个故事开始认识“风险”3.1概述故事梗概傻根在外地打工挣了钱,随身携带着10万元钱坐上了一辆混杂着很多小偷的长途火车回家。傻根把钱就放在了普通的布质书包里。傻根没有坐软卧包厢,而是坐在挤满了上百人的硬座车厢。有时候累了,就坐着打个瞌睡。一路上,葛优等小偷团伙频频

2、出手,尝试着偷这10万元钱。但是在好心人刘德华和刘若英等的保护下,葛优等小偷团伙未能得逞。好险啊,如果这钱被偷走了,傻根就娶不上媳妇了。天下无贼?3.1概述资产(asset)------对组织具有价值的任何东西[ISO/IECTR13335-1:2004]概念威胁(threat)------可能导致对系统或组织损害的不希望事故潜在起因[ISO/IECTR13335-1:2004]脆弱性(vulnerability)(也称脆弱点、漏洞)------可能会被威胁所利用的资产或若干资产的弱点[ISO/IECTR13335-1:2004]

3、3.1概述风险管理(riskmanagement)------在风险方面指挥或控制一个组织的协调活动,一般包括风险评估、风险处理、风险接受和风险传递[ISOGuide73:2002]风险(risk)------事件的概率及其结果的组合[ISOGuide73:2002]风险评价(riskevaluation)------对照风险准则比较被估计的风险,以确定风险严重性的过程[ISOGuide73:2002]概念3.1概述信息安全风险信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性。信息安全风险只考虑那些对组织有负面影响

4、的事件。风险值=资产价值×威胁可能性×脆弱性严重性(简单理解)3.1概述对信息和信息处理设施的威胁、影响(Impact,指安全事件所带来的直接和间接损失)和脆弱性及三者发生的可能性的评估。3.1概述风险评估(RiskAssessment)故事分析在火车开动到停止这段时间内,综合资产、脆弱性、威胁和安全措施等各方面因素进行风险评估的结果是:因为10万元钱不是一笔小数目(资产),葛优等小偷能力很强且决心坚决(威胁),且傻根对钱的保管手段(技术)和意识(管理)都不足(脆弱性),差一点发生“娶不上媳妇”这样的结果(风险)。因好心人刘德华和

5、刘若英等的保护到位(安全措施),最终钱保住了(风险消减)。3.1概述以风险为核心的安全模型(ISO13335)风险安全措施信息资产威胁脆弱性安全需求降低增加增加利用暴露价值拥有抗击增加引出被满足3.1概述信息安全风险评估的意义和作用信息安全中的风险评估是传统的风险理论和方法在信息系统中的运用,是科学地分析和理解信息与信息系统在保密性、完整性、可用性等方面所面临的风险,并在风险的减少、转移和规避等风险控制方法之间做出决策的过程。风险评估将导出信息系统的安全需求,因此,所有信息安全建设都应该以风险评估为起点。信息安全建设的最终目的是服

6、务于信息化,但其直接目的是为了控制安全风险。只有在正确、全面地了解和理解安全风险后,才能决定如何处理安全风险,从而在信息安全的投资、信息安全措施的选择、信息安全保障体系的建设等问题中做出合理的决策。持续的风险评估工作可以成为检查信息系统本身乃至信息系统拥有单位的绩效的有力手段,风险评估的结果能够供相关主管单位参考,并使主管单位通过行政手段对信息系统的立项、投资、运行产生影响,促进信息系统拥有单位加强信息安全建设。3.1概述3.1概述3.1.1信息安全风险评估相关要素信息安全风险评估的对象是信息系统,信息系统的资产、信息系统可能面对

7、的威胁、系统中存在的弱点(脆弱性)、系统中已有的安全措施等是影响信息安全风险的基本要素,它们和安全风险、安全风险对业务的影响以及系统安全需求等构成信息安全风险评估的要素。1.资产根据ISO/IEC13335-1,资产是指任何对组织有价值的东西,资产包括:物理资产、信息/数据、软件、提供产品和服务的能力、人员、无形资产。《信息安全风险评估规范》——资产是指对组织具有价值的信息资源,是安全策略保护的对象。以多种形式存在,有无形的、有形的,有硬件、软件,有文档、代码,也有服务、形象等。根据资产的表现形式,可将资产分为数据、软件、硬件、文

8、档、服务、人员等类。3.1概述2.威胁威胁是可能对资产或组织造成损害的潜在原因。威胁有潜力导致不期望发生的事件发生,该事件可能对系统或组织及其资产造成损害。这些损害可能是蓄意的对信息系统和服务所处理信息的直接或间接攻击。也可能是偶发事件。根据威胁源

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。