1、信息安全评估 主主讲讲人:刘静人:刘静 1.第二次课w一一.风险评风险评估内容估内容 w要求:会要求:会识别风险识别风险三要素:三要素:资产资产、威、威胁胁、脆弱性。脆弱性。2.复习:网络中存在的安全威胁 网网络络内部、外部泄密内部、外部泄密拒拒绝绝服服务务攻攻击击逻辑逻辑炸炸弹弹特洛伊木特洛伊木马马黑客攻黑客攻击击计计算机病毒算机病毒信息信息丢丢失、失、篡篡改、改、销销毁毁后后门门、隐隐蔽通道蔽通道蠕虫蠕虫3.w风险评估是风险管理的第一步安全问题(风险评估)安全需求BS7799控制措施BS7799控制目标保护措施保护措施提出/确定由实现选择安全措施信息安全风险评估和风险管理4.信息安全风险评
2、估和风险管理风险评风险评估是信息安全管理体系和信息安全估是信息安全管理体系和信息安全风险风险管理的基管理的基础础信息安全信息安全风险风险管理要依靠管理要依靠风险评风险评估的估的结结果来确定随后的果来确定随后的风风险险控制和控制和审审核批准活核批准活动动w使得机构能使得机构能够够准确准确“定位定位”风险风险管理的策略、管理的策略、实实践和工具践和工具w能能够够将安全活将安全活动动的重点放在重要的的重点放在重要的问题问题上上w能能够选择够选择成本效益合理的和适用的安全成本效益合理的和适用的安全对对策策5.信息安全风险评估和风险管理w风险评估确定安全风险及其大小的过程风险分析w系统地使用信息以识别起
3、源并估计风险风险评价w将评估的风险与给的风险原则进行比较以决定重大风险的过程w风险处理w修改风险手段的选择和实施的处理过程6.风险的要素w资产及其价值w威胁w脆弱性w现有的和计划的控制措施(对策)7.风险的要素资产w资产是任何对组织有价值的东西w资产的分类软软件:基件:基础应础应用用软软件(如数据件(如数据库软库软件)、操作系件)、操作系统统硬件硬件设设施:主机、路由器、防火施:主机、路由器、防火墙墙、交、交换换机等机等实实体信息:合同、体信息:合同、传传真、真、电报电报、财务报财务报告、企告、企业发业发展展计计划,磁划,磁带带,光,光盘盘打印机、复印机等打印机、复印机等人人员员:包括各:包括
4、各级级安全安全组织组织,安全人,安全人员员、各、各级级管理人管理人员员,网管,网管员员,系,系统统管理管理员员,业务业务操作人操作人员员,第三方人,第三方人员员等等电电子数据:所有通子数据:所有通过过网网络络能能访问访问到的数据到的数据服服务务性性设设施:施:电电源、空源、空调调、保、保险险柜、文件柜、柜、文件柜、门门禁、消防禁、消防设设施、照明施、照明等等其他:公司形象、公司信誉和客其他:公司形象、公司信誉和客户户关系关系8.风险的要素威胁w威胁是可能导致信息安全事故和组织信息资产损失的活动,威胁是利用脆弱性来造成后果w威胁举例自然威自然威胁胁:洪水、地震、:洪水、地震、飓风飓风、泥石流、雪
5、崩、泥石流、雪崩、电风电风暴暴及其他及其他类类似事件。似事件。人人为为威威胁胁:由人激:由人激发发或引或引发发的事件,例如无意的事件,例如无意识识行行为为(粗心的数据(粗心的数据录录入)或故意行入)或故意行为为(网(网络络攻攻击击、恶恶意意软软件件上上传传、对对秘密信息的未授秘密信息的未授权访问权访问)环环境威境威胁胁:长时间电长时间电力故障、力故障、污污染、化学、液体泄漏等。染、化学、液体泄漏等。9.风险的要素脆弱性w与信息资产有关的弱点或安全隐患,w脆弱性本身并不对资产构成危害,但是在一定条件得到满足时,脆弱性会被威胁加以利用来对信息资产造成危害。w脆弱性举例系系统统漏洞漏洞配置不当配置不当程序程序Bug专业专业人人员员缺乏缺乏弱口令弱口令缺乏安全意缺乏安全意识识后后门门10.资产、威胁和脆弱性对应关系资产资产威威胁胁A威威胁胁B来源来源A1来源来源A2来源来源B1来源来源B2脆弱点脆弱点A1脆弱点脆弱点A2。脆弱点脆弱点B1脆弱点脆弱点B2。每一每一项资产项资产可能存在多个威可能存在多个威胁胁;每一威;每一威胁胁可能利用一个或数个脆弱点可能利用一个或数个脆弱点11.12.实验:w三人一组,对所在的小组机柜系统进行威胁、脆弱性描述,并记录。13.谢谢观看!
浙ICP备2021020529号-1 | 浙B2-20240490 
