ImageVerifierCode 换一换
格式:PPT , 页数:92 ,大小:1.44MB ,
资源ID:12879727      下载积分:18 金币
快捷注册下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

开通VIP
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.zixin.com.cn/docdown/12879727.html】到电脑端继续下载(重复下载【60天内】不扣币)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

开通VIP折扣优惠下载文档

            查看会员权益                  [ 下载后找不到文档?]

填表反馈(24小时):  下载求助     关注领币    退款申请

开具发票请登录PC端进行申请

   平台协调中心        【在线客服】        免费申请共赢上传

权利声明

1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前可先查看【教您几个在下载文档中可以更好的避免被坑】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时联系平台进行协调解决,联系【微信客服】、【QQ客服】,若有其他问题请点击或扫码反馈【服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【版权申诉】”,意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:0574-28810668;投诉电话:18658249818。

注意事项

本文(信息安全风险管理知识点标注版.ppt)为本站上传会员【精***】主动上传,咨信网仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知咨信网(发送邮件至1219186828@qq.com、拔打电话4009-655-100或【 微信客服】、【 QQ客服】),核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载【60天内】不扣币。 服务填表

信息安全风险管理知识点标注版.ppt

1、单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,单击此处编辑母版标题样式,信息安全风险管理,1,课程内容,知识体,知识域,知识子域,信息安全,风险管理,信息安全风险,管理主要内容,信息安全风险管理的基本内容和过程,信息安全风险管理概述,风险相关基本概念,信息系统生命周期与信息安全风险管理,信息安全风险,管理基础,信息安全风险相关政策与标准,信息安全风险,评估,风险评估工作形式,风险评估方法,风险评估的实施流程,风险评估工具,2,2,知识域:信息安全风险管理基础,知识子域:风险相关基础概念,理解风险的概念,理解资产、威胁、脆弱性、业务战略、安全事件、安全需求、安全措施等风险相关概

2、念,理解风险准则、风险评估、风险处理、风险管理、残余风险的概念,掌握信息安全风险评估的概念,理解风险相关要素之间的关系,3,3,风险,,指事态的概率及其结果的组合,(,GB/Z 24364-2009,信息安全风险管理指南,),信息安全风险,,指人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响,(,GB/T 20984-2007,信息安全风险评估规范,),信息安全风险会破坏组织信息资产的保密性、完整性或可用性等属性,风险、信息安全风险的概念,4,4,风险的构成包括五个方面:起源(威胁源)、方式(威胁行为)、途径(脆弱性)、受体(资产)和后果(影响),风

3、险的构成,5,5,风险相关术语,资产(,Asset,),威胁(,Threat,),脆弱性(,Vunerability,),可能性(,Likelihood,Probability,),安全措施,/,控制措施(,Countermeasure,safeguard,control,),业务战略,安全事件,安全需求,风险准则,风险评估,风险处理,风险管理,残余风险(,Residental Risk,),信息安全风险评估,6,6,资产,资产任何对组织有价值的东西,是要保护的对象,资产以多种形式存在(多种分类方法),物理,的(如计算设备、网络设备和存储介质等)和,逻辑,的(如体系结构、通信协议、计算程序和数

4、据文件等),硬件,的(如计算机主板、机箱、显示器、键盘和鼠标等)和,软件,的(如操作系统软件、数据库管理软件、工具软件和应用软件等),有形,的(如机房、设备和人员等)和,无形,的(如品牌、信心和名誉等),静态,的(如设施和规程等)和动态的(如人员和过程等),技术,的(如计算机硬件、软件和固件等)和,管理,的(如业务目标、战略、策略、规程、过程、计划和人员等)等,7,7,威胁,可能导致对系统或组织危害的不希望事故潜在起因,引起风险的外因,威胁源采取恰当的威胁方式才可能引发风险,威胁举例,操作失误,滥用授权,行为抵赖,身份假冒,口令攻击,密钥分析,漏洞利用,拒绝服务,窃取数据,物理破坏,社会工程,

5、8,脆弱性,可能被威胁所利用的资产或若干资产的薄弱环节,造成风险的内因,脆弱性本身并不对资产构成危害,但是在一定条件得到满足时,脆弱性会被威胁源利用恰当的威胁方式对信息资产造成危害,脆弱性举例,系统程序代码缺陷,系统设备安全配置错误,系统操作流程有缺陷,维护人员安全意识不足,9,可能性,某件事发生的机会,威胁源,利用,脆弱性,造成不良后果的机会,举例,脆弱性只有国家级测试人员采用专业工具才能利用,发生不良后果的机会,很小,系统存在漏洞,但只在与互联网物理隔离的局域网运行,发生不良后果的机会,较小,互联网公开漏洞且有相应的测试工具,发生不良后果的机会,很大,10,对风险概念的理解,威胁源,采用某

6、种威胁方式利用,脆弱性,造成对,资产,不良后果的严重性,网站存在,SQL,注入漏洞,,,普通攻击者,利用自动化攻击工具很容易,控制网站,修改网站内容,从而损害国家政府部门声誉,威胁源,威胁方式,脆弱性,风险,采取,利用,造成,11,对信息安全风险的理解,信息安全风险是指一种特定的威胁利用一种或一组脆弱性造成组织的信息相关资产损失或损害的可能性,信息安全风险是指信息资产的保密性、完整性和可用性遭到破坏的可能性,信息安全风险只考虑那些对组织有负面影响的事件,12,信息安全风险评估,是依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过

7、程,它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响,13,风险处理、风险管理,风险处理是选择并且执行措施来更改风险的过程,风险管理是识别、控制、消除或最小化可能影响系统资源不确定因素的过程,14,14,安全措施,/,控制措施,保护资产,抵御威胁,减少脆弱性,降低安全事件的影响,以及打击信息犯罪而实施的各种实践、规程和机制,它是管理风险的具体手段和方法,根据安全需求部署,用来防范威胁,降低风险的措施,举例,部署防火墙、入侵检测、审计系统,测试环节,操作审批环节,应急体系,终端,U,盘管理制度,15,15,残余风险

8、采取安全措施后,信息系统仍然可能存在的风险,有些残余风险是在综合考虑了安全成本与效益后不去控制的风险,残余风险应受到密切监视,它可能会在将来诱发新的安全事件,举例,风险列表中有,10,项风险,根据风险成本效益分析,只有前,8,项需要控制,则前,8,项处理后剩余的风险加上另,2,项风险为残余风险,一段时间内系统处于风险可接受水平,16,16,风险相关要素之间的关系,17,17,知识域:信息安全风险管理基础,知识子域:信息安全风险管理概述,理解实施风险管理的主要原则,理解风险管理的范围和对象,18,18,实施风险管理的主要原则,风险管理创造和保护价值,风险管理是所有组织过程不可分割的一个部分,促

9、进组织的持续改进,风险管理是透明的,参与人员应包含广泛,同时考虑人员和文化因素,风险管理是定制的,并具有体系化、结构化的特点,风险管理是动态的、反复的和响应变化的,19,风险管理的范围和对象,信息安全的概念涵盖了,信息、信息载体,和,信息环境,三个方面的安全,信息载体指承载信息的媒介,即用于记录、传输、积累和保存信息的实体,如纸张、硬盘、网线等,信息环境指信息及信息载体所处的环境,包括物理平台、系统平台、网络平台和应用平台等硬环境和软环境,信息安全风险管理涉及信息安全上述三个方面包含的所有相关对象,对于一个具体的信息系统,风险管理选择的范围和对象重点应有所不同,20,20,知识域:信息安全风险

10、管理基础,知识子域:信息安全风险相关政策与标准,了解我国有关信息安全风险管理的政策要求,了解信息安全风险管理相关的国内外标准,21,21,我国有关信息安全风险管理的政策要求,国家信息化领导小组关于加强信息安全保障工作的意见(中办发,2003,27,号)明确提出要重视信息安全风险评估工作,将风险评估作为提高我国信息安全保障水平的一项重要举措,关于开展信息安全风险评估工作的意见(国信办,20065,号),就信息安全风险评估工作的基本内容和原则,以及开展信息安全风险评估工作的有关安排等做出规定和部署,关于加强国家电子政务工程建设项目信息安全风险评估工作的通知(发改高技,20082071,号),规范了

11、国家电子政务工程建设项目信息安全风险评估工作,22,关于开展信息安全风险评估工作的意见,(国信办,20065,号)的实施要求,信息安全风险评估工作应当贯穿信息系统,全生命周期,。规划设计阶段、验收时均应实施风险评估;运行后应定期实施,应通过信息安全风险评估为信息系统确定安全等级提供依据,根据,风险评估的结果,检验网络与信息系统的防护水平,是否符合等级保护的要求,23,23,关于开展信息安全风险评估工作的意见,(国信办,20065,号)的管理要求,为规避由于风险评估工作而引入新的安全风险,必须高度重视信息安全风险评估的组织管理工作。要求:,参与信息安全风险评估工作的单位及其有关人员必须遵守国家有

12、关信息安全的法律法规,并承担相应的责任和义务,风险评估工作的发起方必须采取相应保密措施,并与参与评估的有关单位或人员签订具有法律约束力的保密协议,对关系国计民生和社会稳定的基础信息网络和重要信息系统的信息安全风险评估工作必须遵循国家的有关规定进行,24,24,关于加强国家电子政务工程建设项目信息安全风险评估工作的通知,(,发改高技,【2008】2071,号),电子政务工程建设项目应开展信息安全风险评估工作,项目建设单位应在试运行期间开展风险评估工作,作为项目验收的重要依据,项目验收申请时,应提交信息安全风险评估报告,系统投入运行后,应定期开展信息安全风险评估,25,25,信息安全风险管理相关的

13、国内外标准,GB/T 20984-2007,信息安全风险评估规范,GB/Z 24364-2009,信息安全风险管理指南,ISO/IEC 27005:2011,信息安全风险管理,ISO GUIDE 73:2009,风险管理术语,ISO 31000:2009,风险管理主要原则和指南,IEC/ISO 31010:2009,风险管理风险评估技术,NIST SP800-30(2012),实施风险评估指南,NIST SP800-39(2011),管理信息安全风险:组织、使命和信息系统梗概,NIST SP800-37(2010),联邦信息系统应用风险管理框架指南:安全生命周期方法,NIST SP800-53

14、2010),为联邦信息系统和组织推荐的安全控制措施,NIST SP800-53A(2010),联邦信息系统和组织安全控制措施评估指南:建立有效的安全评估计划,26,知识域:信息安全风险管理主要内容,知识子域:信息安全风险管理的基本内容和过程,理解背景建立的主要工作内容,理解风险评估的主要工作内容,理解风险处理的主要工作内容,理解批准监督的主要工作内容,理解监控审查的主要工作内容,理解沟通咨询的主要工作内容,27,27,信息安全风险管理工作内容,背景,建立,风险评估,风险处理,批准监督,监控审查,沟通咨询,GB/Z 24364,信息安全风险管理指南,:四个阶段,两个贯穿,28,背景建立,背景建

15、立是信息安全风险管理的第一步骤,确定风险管理的对象和范围,确立实施风险管理的准备,进行相关信息的调查和分析,风险管理准备,:确定对象、组建团队、制定计划、获得支持,信息系统调查,:信息系统的业务目标、技术和管理上的特点,信息系统分析,:信息系统的体系结构、关键要素,信息安全分析,:分析安全要求、分析安全环境,29,背景建立过程,30,风险评估,信息安全风险管理要依靠风险评估的结果来确定随后的风险处理和批准监督活动,风险评估准备,:制定风险评估方案、选择评估方法,风险要素识别,:发现系统存在的威胁、脆弱性和控制措施,风险分析,:判断风险发生的可能性和影响的程度,风险结果判定,:综合分析结果判定风

16、险等级,31,风险评估过程,32,32,风险处理,风险处理是为了将风险始终控制在可接受的范围内。,现存风险判断:判断信息系统中哪些风险可以接受,哪些不可以,处理目标确认:不可接受的风险需要控制到怎样的程度,处理措施选择:选择风险处理方式,确定风险控制措施,处理措施实施:制定具体安全方案,部署控制措施,33,风险处理过程,34,减低风险,转移风险,规避风险,接受风险,常用的四类风险处置方法,35,减低风险,通过对面临风险的资产采取保护措施来降低风险,首先应当考虑的风险处置措施,通常在安全投入小于负面影响价值的情况下采用,保护措施可以从构成风险的五个方面(即威胁源、威胁行为、脆弱性、资产和影响)来

17、降低风险,36,36,减低风险的具体办法,减少威胁源,采用法律的手段制裁计算机犯罪,发挥法律的威慑作用,从而有效遏制威胁源的动机,减低威胁能力,采取身份认证措施,从而抵制身份假冒这种威胁行为的能力,减少脆弱性,及时给系统打补丁,关闭无用的网络服务端口,从而减少系统的脆弱性,降低被利用的可能性,防护资产,采用各种防护措施,建立资产的安全域,从而保证资产不受侵犯,其价值得到保持,降低负面影响,采取容灾备份、应急响应和业务连续计划等措施,从而减少安全事件造成的影响程度,37,转移风险,通过将面临风险的资产或其价值转移到更安全的地方来避免或降低风险,通常只有当风险不能被降低或避免、且被第三方(被转嫁方

18、接受时才被采用。一般用于那些低概率、但一旦风险发生时会对组织产生重大影响的风险,购买保险,服务外包,38,规避风险,通过不使用面临风险的资产来避免风险。比如:,在没有足够安全保障的信息系统中,不处理特别敏感的信息,从而防止敏感信息的泄漏,对于只处理内部业务的信息系统,不使用互联网,从而避免外部的有害入侵和不良攻击,通常在风险的损失无法接受,又难以通过控制措施减低风险的情况下,39,接受风险,接受风险是选择对风险不采取进一步的处理措施,接受风险可能带来的结果,用于那些在采取了降低风险和避免风险措施后,出于实际和经济方面的原因,只要组织进行运营,就必然存在并必须接受的风险,接受风险不意味着不闻不

19、问,需要对风险态势变化进行持续的监控,一旦发展为无法接受的风险就要进一步采取措施,40,批准监督,批准:,是指机构的决策层依据风险评估和风险处理的结果是否满足信息系统的安全要求,做出是否,认可风险管理活动的决定,监督:是指检查机构及其信息系统以及信息安全相关的环境有无变化,监督变化因素,是否有可能引入新风险,41,批准监督过程,42,监控审查的意义,监控与审查,可以及时发现已经出现或即将出现的,变化、偏差和延误等问题,,并采取适当的措施,进行控制和纠正,,从而减少因此造成的损失,保证信息安全风险管理主循环的有效性,类似信息系统工程中的监理,43,监控审查过程,44,44,沟通咨询,通过畅通的交

20、流和充分的沟通,保持行动的协调和一致;通过有效的培训和方便的咨询,保证行动者具有足够的知识和技能,就是沟通咨询的意义所在,沟通咨询,与领导沟通,以得到理解和批准,单位内部各有关部门相互沟通,以得到理解和协作,与支持单位和系统用户沟通,以得到了解和支持,为所有层面的相关人员提供咨询和培训等,以提高人员的安全意识、知识和技能,45,沟通咨询过程,46,46,知识域:信息安全风险管理主要内容,知识子域:信息系统使命周期与信息安全风险管理,理解信息系统生命周期与信息安全风险管理的关系,理解系统规划阶段的风险管理工作内容,理解系统设计阶段的风险管理工作内容,理解系统实施阶段的风险管理工作内容,理解系统运

21、行维护阶段的风险管理工作内容,理解系统废弃阶段的风险管理工作内容,47,47,信息系统生命周期与信息安全风险管理的关系,信息系统生命周期的每个阶段,有不同的信息安全目标,为了达到其安全目标,每一阶段都需要相应的风险管理手段作为支持,信息安全目标就是要实现信息系统的基本安全特性(即信息安全基本属性),并达到所需的保障级别,48,规划,设计,实施,运维,废弃,系统规划阶段的安全目标,明确信息系统安全建设的目的,对信息系统安全建设实现的可能性进行分析论证并设计出总体安全规划方案,为了保证安全目标的实现,需要对信息系统规划阶段中可能引入安全风险的环节进行风险管理,从而降低在项目后期处理相同安全风险所带

22、来的高额成本,49,49,序号,风险管理活动,风险管理工作内容,1,明确安全总体方针,背景建立,2,安全需求分析,背景建立,4,风险评估准则达成一致,风险评估,5,安全实现论证分析,风险处理、批准监督,系统规划阶段的信息安全风险管理,50,系统设计阶段的安全目标,规划,设计,实施,运维,废弃,依据规划阶段输出的总体安全规划方案来,设计信息系统安全的实现结构,(包括功能划分、接口协议和性能指标等),和实施方案,(包括实现技术、设备选型和系统集成等),在设计信息系统的实现结构和实施方案时,在技术的选择、配合、管理等众多的环节均容易引入安全风险,因此对关键的环节应提出必要的安全要求并有针对性地进行安

23、全风险管理,51,51,系统设计阶段的信息安全风险管理,序号,风险管理活动,风险管理工作内容,1,设计方案分析论证,背景建立、风险评估,2,安全技术选择,风险处理,3,安全产品选择,风险处理,4,自开发软件设计风险处理,风险处理,52,系统实施阶段的安全目标,规划,设计,实施,运维,废弃,按照规划和设计阶段所定义的信息系统安全实施方案,采购,设备和软件,,开发,定制功能,集成、部署、配置和测试,信息系统的安全机制,培训人员,对,是否允许系统投入运行,进行批准监督,53,系统实施阶段的信息安全风险管理,序号,风险管理活动,风险管理工作内容,1,安全测试,风险评估,2,检查与配置,风险处理,3,人

24、员培训,风险处理,4,授权系统运行,批准监督,54,在信息系统经过授权投入运行之后,确保在运行过程中,以及信息系统或其运行环境发生变化时维持系统的正常运行和安全性,系统运维阶段的安全目标,规划,设计,实施,运维,废弃,55,系统运维阶段的信息安全风险管理,序号,风险管理活动,风险管理工作内容,1,安全运行和管理,风险评估、风险处理,2,变更管理,风险评估、风险处理,3,风险再评估,风险评估、风险处理,4,定期重新审批,批准监督,56,确保对信息系统的过时或无用部分进行安全报废处理,防止信息系统的安全要求和安全功能遭到破坏,系统废弃阶段的安全目标,规划,设计,实施,运维,废弃,57,信息系统废弃

25、阶段的风险管理,序号,风险管理活动,风险管理工作内容,1,确定废弃对象,背景建立,2,废弃对象的风险评估,风险评估,3,废弃过程的风险处理,风险处理,4,废弃后的评审,批准监督,58,知识域:信息安全风险评估,知识子域:风险评估工作形式,理解自评估和检查评估的风险评估工作形式,理解自评估和检查评估的区别及优缺点,理解风险评估、检查评估和等级保护测评之间的关系,59,59,风险评估工作形式,信息安全风险评估分为,自评估、检查评估,两种形式,自评估为主,,自评估和检查评估相互结合、互为补充,自评估和检查评估可依托自身技术力量进行,也可委托第三方机构提供技术支持,60,自评估,信息系统拥有、运营或使

26、用单位发起的对本单位信息系统进行的风险评估,由发起方实施,优点,有利于降低实施的费用,有利于保密,有利于发挥行业和部门内人员的业务特长,有利于提高相关人员的安全意识和评估能力,缺点,可能结果不够深入准确,客观性易受影响,由受委托方实施,优点,过程比较规范,客观性比较好,缺点,对业务了解存在局限性,不利于保密,61,61,检查评估,信息系统上级管理部门组织的或国家有关职能部门依法开展的风险评估,优点,具权威性,通过行政手段加强信息安全,,具强制性,缺点,间隔时间较长,难以贯穿信息系统的生命周期,一般是以抽样的方式进行,难以覆盖全部评估对象,62,62,风险评估、检查评估和等级保护测评之间的关系,

27、等保测评、安全检查都是在既定安全基线的基础上开展的符合性测评,其中等保测评是符合国家安全要求的测评,安全检查是符合行业主管安全要求的符合性测评,而风险评估是在国家、行业安全要求的基础上,以被评估系统特定安全要求为目标而开展的风险识别、风险分析、风险评价活动,63,63,知识域:信息安全风险评估,知识子域:风险评估方法,理解定性风险分析方法,理解定量风险分析方法,掌握年度预期损失(,ALE,)的计算方法,理解半定量风险分析方法,理解定性和定量风险分析方法的优缺点,64,64,定性风险分析,定性风险分析在风险评价时,往往需要凭借分析者的经验和直觉,或者业界的标准和惯例,为风险诸要素的大小或高低程度

28、定性分级,定性风险分析更具主观性,后果或影响的定性量度(示例),等级,描述,详细情形,1,可以忽略,无伤害,低财务损失,2,较小,立即受控制,中等财务损失,3,中等,受控,高财务损失,4,较大,大伤害,失去生产能力有较大财务损失,5,灾难性,持续能力中断,巨大财务损失,65,可能性的定性量度(示例),等级,描述,详细情形,A,几乎肯定,预期在大多数情况发生,B,很可能,在大多数情况下很可能会发生,C,可能,在某个时间可能会发生,D,不太可能,在某个时间能够发生,E,罕见,仅在例外的情况下可能发生,定性风险分析,66,66,根据预设的等级划分规则判定风险结果,依此类推,得到所有重要资产的风险值,

29、并根据风险等级划分表,确定风险等级,可能性,影响,可以忽略,1,较小,2,中等,3,较大,4,灾难性,5,A,(几乎肯定),H,H,E,E,E,B,(很可能),M,H,H,E,E,C (,可能),L,M,H,E,E,D,(不太可能),L,L,M,H,E,E,(罕见),L,L,M,H,H,E,:极度风险,H,:高风险,M,:中等风险,L:,低风险,定性风险分析,矩阵法,67,67,定量风险分析,定量风险分析试图是在风险评估与成本效益分析期间收集的各个组成部分计算客观数字值,定量风险分析更具客观性,例如,用替换成本、生产率损失成本、品牌名誉成本以及其他直接和间接商业价值来估计各项资产的真实价值,定

30、量分析主要试图从财务数字上对安全风险进行评估,得出可以量化的风险分析结果,准确度量风险的可能性和损失量,因为定量分析处理数字和金额价值,它必须有公式,68,68,定量风险分析,年度预期损失法,步骤,1-,评估资产:根据资产价值,(,AV,),清单,计算资产总价值及资产损失对财务的直接和间接影响,步骤,2-,确定单一预期损失,SLE,SLE,是指发生一次风险引起的收入损失总额,SLE,是分配给单个事件的金额,代表一个具体威胁利用漏洞时将面临的潜在损失(,SLE,类似于定性风险分析的影响),将资产价值与暴露系数相乘,(EF),计算出,SLE,。暴露系数表示为现实威胁对某个资产造成的损失百分比,步骤

31、3-,确定年发生率,ARO,ARO,是一年中风险发生的次数,69,69,步骤,4-,确定年预期损失,ALE,ALE,是不采取任何减轻风险的措施在一年中可能损失的总金额。,SLE,乘以,ARO,即可计算出该值(,ALE,类似于定性风险分析的相对级别),ALE=SLE*ARO=AV*EF*ARO,步骤,5-,确定控制成本,控制成本就是为了规避企业所存在风险的发生而应投入的费用,步骤,6-,安全投资收益,ROSI,ROSI=(,实施控制前的,ALE,),(实施控制后的,ALE,),(年控制成本),定量风险分析,年度预期损失法(续),70,定性分析与定量分析,定量,定性,优点,结果可用货币值和具体数

32、据(如百分比)来表达,按财务影响确定风险优先级;按财务价值确定资产优先级,通过安全投资收益分析推动风险管理,随着组织建立的历史数据记录而获得经验,其精确度将随时间的推移而提高,可以对风险的处置排定优先顺序,更容易达成一致意见,无需量化威胁频率,无需确定资产的财务价值,更便于非安全或计算机专业人员的参与,缺点,分配给风险的影响值以参与者的主观意见为基础,达成可靠结果和一致意见的流程非常耗时,计算可能会非常复杂且耗时,流程专业技术性强,参与者若未获指导则无法轻松执行流程,在重要的风险之间没有足够的区别,没有为成本效益分析,难以证明投资控制措施是否正确,结果取决于风险管理团队的素质、经验和知识技能,

33、71,在风险分析过程中综合使用定性和定量风险分析技术对风险要素赋值的方式,实现对风险各要素的度量数值化,在实际的风险分析活动中,经常采用半定量的风险分析方法,半定量风险分析,72,半定量风险分析,相乘法,可能性,影响,可以忽略,1,较小,2,中等,3,较大,4,灾难性,5,5,(几乎肯定),5,10,15,20,25,4,(很可能),4,8,12,16,20,3 (,可能),3,6,9,12,15,2,(不太可能),2,4,6,8,10,1,(罕见),1,2,3,4,5,73,73,知识域:信息安全风险评估,知识子域:风险评估的实施流程,掌握风险评估准备阶段的工作内容,掌握风险要素识别阶段的工

34、作内容,掌握风险分析阶段的工作内容和工作步骤,掌握风险结果判定阶段的工作内容,74,74,风险评估准备,风险要素识别,风险分析,风险结果判定,风险评估实施流程,75,风险评估准备,76,76,风险要素识别,77,77,资产识别,资产识别在整个风险评估中起什么作用?,两点:是整个风险评估工作的起点和终点,资产识别的重点和难点是什么?,一线:业务战略 信息化战略 系统特征(管理,/,技术),资产识别的方法有哪些?,资产分类:树状法。自然形态分类(勾画资产树:管理、技术,逐步往下细化);信息形态分类(信息环境、信息载体、信息),78,78,按信息形态分类,79,资产识别,80,威胁识别,威胁识别与资

35、产识别是何关系?,点和面:重点识别和全面识别,威胁识别的重点和难点是什么,?,三问:“敌人”在哪儿?效果如何?如何取证?,威胁识别的方法有哪些?,日志分析,历史安全事件,专家经验,互联网信息检索,81,威胁分类,分为:,人为故意威胁,威胁意图评估、威胁能力评估、操作限制评估、威胁源特点评估,人为非故意威胁,判定威胁源、评估威胁源特点、评估威胁源环境、评估事故发生时间,自然威胁,地震、海啸、洪水,82,脆弱性识别,脆弱性识别的难点是什么?,三性:隐蔽性、欺骗性、复杂性,脆弱性识别的方法有哪些?,脆弱性分类,管理脆弱性(如缺少管理制度),结构脆弱性(如安全域划分不当),操作脆弱性(如安全审计员业务

36、生疏),技术脆弱性(如系统有,bug,),物理脆弱性(如一层的窗子没有防护栏),脆弱性识别与威胁识别是何关系?,验证:以资产为对象,对威胁识别进行验证,83,脆弱性识别内容,84,常见脆弱性识别工作方式,脆弱性识别方式,工作对象,安全配置核查,服务器、网络设备、终端、中间件、应用软件,漏洞扫描,主机、应用程序,渗透测试,系统各个层面,安全架构分析,系统各个层面,数据流分析,网络中的数据流,访谈,管理人员及系统开发、运维技术人员,.,85,确认已有的安全控制,考虑:,预防性措施,检测性措施,纠正性措施,威慑性措施,86,风险分析,87,风险分析,GB/T 20984-2007,信息安全风险评估规

37、范,给出信息安全风险分析思路,风险值,=R,(,A,,,T,,,V,),=R,(,L,(,T,,,V,),,F,(,Ia,,,Va,),R,表示安全风险计算函数,A,表示资产,T,表示威胁,V,表示脆弱性,Ia,表示安全事件所作用的资产价值,Va,表示脆弱性严重程度,L,表示威胁利用资产的脆弱性导致安全事件的可能性,F,表示安全事件发生后造成的损失,88,88,风险结果判定,89,知识域:信息安全风险评估,知识子域:风险评估工具,了解风险评估工具的分类,了解常用风险评估工具,90,90,风险评估工具,风险评估与管理工具,基于标准的工具,,如基于,NIST SP 800-30,或,ISO 27005,开发的工具,基于知识的工具,,综合各种风险分析方法,形成知识库,以此为基础完成综合评估,基于模型的工具,,对典型系统的资产、威胁、脆弱性建立量化或半量化的模型,系统基础平台风险评估工具,脆弱性扫描工具,:基于网络的扫描器、基于主机的扫描器、分布式网络扫描器、数据库脆弱性扫描器,渗透性测试工具,:黑客工具、脚本文件,风险评估辅助工具,检查列表、入侵检测系统、安全审计工具、拓扑发现工具和资产信息收集系统,用于评估过程参考的评估指标库、知识库、漏洞库、算法库和模型库,91,91,谢谢,请提问题!,92,

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        抽奖活动

©2010-2026 宁波自信网络信息技术有限公司  版权所有

客服电话:0574-28810668  投诉电话:18658249818

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :微信公众号    抖音    微博    LOFTER 

客服