信息安全工程教学全套课件 07 风险评估过程.ppt

信息安全工程教学全套课件 07 风险评估过程.ppt

ID:51974228

大小:790.00 KB

页数:26页

时间:2020-03-26

信息安全工程教学全套课件 07 风险评估过程.ppt_第1页
信息安全工程教学全套课件 07 风险评估过程.ppt_第2页
信息安全工程教学全套课件 07 风险评估过程.ppt_第3页
信息安全工程教学全套课件 07 风险评估过程.ppt_第4页
信息安全工程教学全套课件 07 风险评估过程.ppt_第5页
资源描述:

《信息安全工程教学全套课件 07 风险评估过程.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、1风险评估的过程风险评估基本步骤风险因素评估风险确定风险评价风险控制2风险评估的基本要素风险评估中要涉及资产、威胁、脆弱性等基本要素。每个要素有各自的属性资产的属性是资产价值威胁的属性是威胁出现的频率脆弱的属性是资产弱点的严重程度3基本步骤准备因素识别风险确定风险评价风险控制满足安全要求;满足法律法规要求;满足相关方要求。信息;资产;机构;系统;业务流程等。管理人员、信息系统管理骨干、信息安全业务骨干。对评估对象的资产分类、赋值。影响威胁因素;分析发生的威胁;威胁评估;弱点的严重性;弱点技术检测;网络架构与业务流程分析;策略与安全控制实施审计;现有安全

2、措施评估;综合风险分析。风险值(P.101)风险控制措施案例(P.102)4风险评估原则1、可控性原则人员可控性工具可控性项目过程可控性2、完整性原则严格按照委托单位的评估要求和指定的范围进行全面的评估服务。3、最小影响原则从项目管理层面和工具技术层面,力求将风险评估对信息系统的正常运行的可能影响降低到最低限度。4、保密原则5综合的风险评估过程初步的评估分析详细的风险评估分析选择合适的安全防护措施保存评估结果对系统边界进行界定制定安全防范措施风险评估总结信息系统所要达到的业务目的;机构业务对其依赖程度;成本的投入。包括对相关风险的鉴别及对它们的度量上的

3、评估。根据第二步的结果,选择一个安全防护措施添加在机构的安全计划及政策中。资产及价值的评估、安全威胁的评估、安全薄弱环节的评估、风险的评估结果应该妥善保存。信息资产;人员;环境;活动。制定的措施应该是全新的,即不包括已经存在的或者已经有计划但还没有完成的。6风险评估的过程风险评估基本步骤风险因素评估风险确定风险评价风险控制7资产识别资产是具有价值的信息或资源,是安全策略保护的对象。制定信息资产列表按照性质、业务类型分类资产赋值机密性完整性可用性8威胁评估影响威胁发生的因素威胁—对组织的资产引起不期望事件而造成损害的潜在可能性。因素资产的吸引力和曝光程度

4、资产转化成利润的容易度威胁的技术力量9威胁评估(续)威胁识别潜在分析—是指对用户信息安全方面潜在的威胁和可能的入侵做出全面的分析。(漏洞、威胁列表)威胁审计—是指利用审计工具对组织面临的威胁进行分析。(日志)入侵检测--是指利用入侵检测技术对组织面临的威胁进行分析。10威胁评估(续)威胁识别与建立威胁列表威胁列表日志检查确定威胁发生的可能性确定威胁产生的影响11威胁评估(续)威胁确定资产价值和威胁发生频率指数关系威胁描述资产价值威胁概率风险度量威胁顺序威胁A52102威胁B2483威胁C35151威胁D1335威胁E4144威胁F2483资产价值威胁发

5、生频率指数0123400123411234522345633456744567812弱点评估弱点弱点是资产本身存在的,它可以被威胁利用、引起资产或商业目标的损害。弱点包括物理环境、机构、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。弱点也可以称为脆弱性。13弱点评估(续)弱点识别将针对每一项需要保护的信息资产,找出每一种威胁所能利用的弱点,并对弱点的严重程度进行评估,为其赋相对等级值(高、中、低或者很高、高、中等、低、很低)。弱点识别所采用的方法主要为:问卷调查、人员问询、工具扫描、手动检查、文档审查、渗透测试等。14弱点严重性赋值参考赋

6、值简称说明4VH该弱点若被利用,可以造成资产全部损失或不可用、持续业务中断、巨大财务损失等3H该弱点若被利用,可以造成资产全部损失、业务中断、较大财务损失等2M该弱点若被利用,可以造成资产损失、业务受到损害、中等财务损失等1L该弱点若被利用,可以造成较小资产损失并立即可以控制、较小财务损失等0N该弱点若被利用造成资产损失可以忽略,对业务基本无损害,只造成轻微财务损失等15弱点评估(续)技术弱点检测扫描模拟渗透攻击网络架构与业务流程分析策略与安全控制审计管理弱点评估16风险评估的过程风险评估基本步骤风险因素评估风险确定风险评价风险控制17风险确定现有安全

7、措施安全技术措施安全策略审计风险分析安全风险评估报告18风险计算风险计算原理形式化描述为R=f(A,V,T)=f(Ia,L(Va,T))注:R表示风险;A表示资产;V表示脆弱性;T表示威胁;Ia表示资产发生安全事件后对机构业务的影响(也称为资产的重要程度);Va表示某一资产本身的脆弱性,L表示威胁利用资产的脆弱性造成安全事件发生的可能性。19风险确定(续)风险分析矩阵资产价值与弱点级别、威胁级别关系表威胁级别低中高弱点级别低中高低中高低中高资产价值00121232341123234345223434545633454565674456567678风险值

8、20风险评估的过程风险评估基本步骤风险因素评估风险确定风险评价风险控制21风险评价不可容忍的风

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。