返回
信息安全风险评估实践与探索

信息安全风险评估实践与探索

ID:42343056

大小:2.80 MB

页数:23页

时间:2019-09-13

信息安全风险评估实践与探索_第1页
信息安全风险评估实践与探索_第2页
信息安全风险评估实践与探索_第3页
信息安全风险评估实践与探索_第4页
信息安全风险评估实践与探索_第5页
资源描述:

《信息安全风险评估实践与探索》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全风险评估实践与探索国家信息中心信息安全研究与服务中心安全评估事业部禄凯Tel:(010)68557159Fax:(010)68557158Email:lukai@mx.cei.gov.cnhttp://www.infosec.org.cnInformationSecurityResearch&ServiceInstitutionOfStateInformationCenter汇报内容一、网络空间安全与风险评估二、评估实践的一些体会三、案例分析四、安全服务中心业务开展情况7/15/20212一、网络空间安全与风险评估拿到Web后台管理账户结果80端口I

2、E或其他浏览器工具SQL注入方法威胁无处不在:一种常见的攻击资产威胁页面篡改数据失密数据丢失…….政治影响经济影响风险漏洞索引内容:特殊字符7/15/20213一、网络空间安全与风险评估安全威胁日益严重复合威胁:蠕虫、病毒、特洛伊木马黑客攻击基础设施Flash威胁大规模蠕虫侵入分布式Dos攻击可加载病毒和蠕虫(如脚本病毒….)7/15/20214面对层出不穷的安全漏洞和各式各样的威胁,简单的产品堆叠无法保证您的信息安全!一、网络空间安全与风险评估要保护什么达到什么安全程度?是否达到了考核标准?员工Hacks/Cracks自然界和环境威胁内部人员的操作失误或恶

3、意行为系统故障信息及相关资源其他问题蠕虫、木马病毒泛滥7/15/20215一、网络空间安全与风险评估2005年2月,美国总统信息技术顾问委员会(PITAC)向美国总统提交了一份最新报告--《网络空间安全:迫在眉睫的危机》。提出美国目前网络空间安全所面对的重大问题包括:1、IT基础设施在恐怖和敌对攻击面前非常脆弱;2、网络漏洞和网络攻击增长速度非常快;(20%-40%)3、无所不在的互联意味着处处可能存在安全漏洞;4、软件是主要漏洞所在;5、无穷无尽的打补丁并不是好的解决办法;6、需要新的基础性安全模型和方法;7、联邦政府在研发工作中的核心地位;8、网络空间安

4、全的非技术因素。7/15/20216一、网络空间安全与风险评估为了应对这些威胁,在《网络空间安全:迫在眉睫的危机》报告中,PITAC提出了10大优先研究项目,其中信息安全风险评估位列其中。其主要研究内容包括:(1)开发网络空间安全测试方法、评估标准;(2)风险分析方法和基于不同领域的评估方法(政治、军事、经济等);(3)安全风险以及一致性检查的自动评估工具的研发;(4)对易受到攻击对象的评估研究工作,如源代码扫描工具;(5)通过研究过程管理、配置管理和补丁管理的最佳策略方案,来发现并提供有效的安全管理实施方案。7/15/20217二、评估实践的一些体会(一)

5、风险评估工作的实质是什么?以被评估单位的业务为核心,围绕相关资产,对其所具有弱点和所面临的威胁展开分析工作;同时分析和确认该单位已经部署安全措施是否发挥了应有的效力;最终找到风险所在,并提出风险消减解决方案……7/15/20218二、评估实践的一些体会(二)评估实施的五个关键阶段7/15/20219二、评估实践的一些体会(三)两种常用评估计算方法相关性分析Ti低0中1高2Ri低0中1高2低0中1高2低0中1高2Ai001212323411232343452234345456334545656744565676781、预设矩阵方法【5×5×5】【5×3×3】【

6、2×2×2】Ti:威胁赋值Ri:脆弱性赋值Vi:资产赋值相关性分析Ti低0高1Ri低0高1低0高1Ai0012311234简化7/15/202110二、评估实践的一些体会2、二元法则:Risk(风险)=Impact(影响)×Possibility(可能性)ImpactPossibility123451123452246810336912154481216205510152025Impact=威胁对资产的危害程度,f(V,T)Possibility=威胁利用资产脆弱性的可能程度,g(T,R)Risk级别说明已达标:1--5可容忍:6--10须整改:12-257

7、/15/202111二、评估实践的一些体会(四)《信息安全风险评估指南》对实践的指导作用:以国标的形式描述了有关风险评估所涉及到的概念以及外延边界;定义了评估所必须的诸元素的等级划分,并易于在工作中引用;评估指南标准是一个广泛普适的方法论,对各行业的评估工作具有很好的指导作用。在此基础上结合各行业的特殊性,便于形成行业规范或行业标准;对等级保护的实施具有很好的技术支撑作用。7/15/202112二、评估实践的一些体会(五)如何规避评估自身带来的风险信息泄密问题评估结果的效力问题评估过程难于控制问题把握好定性与定量程度问题法律合同评估单位资质评估单位性质从业人

8、员的资质执行的标准评估单位的资质……管理层的意识参与

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。