返回
信息安全风险评估培训课件.ppt

信息安全风险评估培训课件.ppt

ID:57390147

大小:4.19 MB

页数:85页

时间:2020-08-15

信息安全风险评估培训课件.ppt_第1页
信息安全风险评估培训课件.ppt_第2页
信息安全风险评估培训课件.ppt_第3页
信息安全风险评估培训课件.ppt_第4页
信息安全风险评估培训课件.ppt_第5页
资源描述:

《信息安全风险评估培训课件.ppt》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全风险评估傅欲华什么是风险评估?——从深夜一个回家的女孩开始讲起……风险评估的基本概念各安全组件之间的关系资产影响威胁弱点风险钱被偷100块没饭吃小偷打瞌睡服务器黑客软件漏洞被入侵数据失密通俗的比喻风险评估6风险风险管理(RiskManagement)就是以可接受的代价,识别、控制、减少或消除可能影响信息系统的安全风险的过程。在信息安全领域,风险(Risk)就是指各种威胁导致安全事件发生的可能性及其对组织所造成的负面影响。风险管理风险评估(RiskAssessment)就是对各方面风险进行

2、辨识和分析的过程,它包括风险分析和风险评价,是确认安全风险及其大小的过程。概述相关概念资产(Asset)——任何对企业具有价值的东西,包括计算机硬件、通信设施、建筑物、数据库、文档信息、软件、信息服务和人员等,所有这些资产都需要妥善保护。威胁(Threat)——可能对资产或企业造成损害的某种安全事件发生的潜在原因,通常需要识别出威胁源(Threatsource)或威胁代理(Threatagent)。弱点(Vulnerability)——也被称作漏洞或脆弱性,即资产或资产组中存在的可被威胁利用的缺

3、点,弱点一旦被利用,就可能对资产造成损害。风险(Risk)——特定威胁利用资产弱点给资产或资产组带来损害的潜在可能性。可能性(Likelihood)——对威胁发生几率(Probability)或频率(Frequency)的定性描述。影响(Impact)——后果(Consequence),意外事件发生给企业带来的直接或间接的损失或伤害。安全措施(Safeguard)——控制措施(control)或对策(countermeasure),即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的

4、机制、方法和措施。残留风险(ResidualRisk)——在实施安全措施之后仍然存在的风险。风险RISKRISKRISKRISK风险原有风险采取措施后的剩余风险影响威胁脆弱性影响威胁脆弱性风险管理的目标资产分类方法分类示例数据保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等软件系统软件:操作系统、数据库管理系统、语句包、开发系统等应用软件:办公软件、数据库软件、各类工具软件等源程序:各种共享源代码、自行或合作开发的各种代码等硬

5、件网络设备:路由器、网关、交换机等计算机设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等传输线路:光纤、双绞线等保障设备:UPS、变电设备等、空调、保险柜、文件柜、门禁、消防设施等安全保障:防火墙、入侵检测系统、身份鉴别等其他:打印机、复印机、扫描仪、传真机等资产分类方法分类示例服务信息服务:对外依赖该系统开展的各类服务网络服务:各种网络设备、设施提供的网络连接服务办公服务:为提高效率而开发的管理信息系统,包括各种内部配置管理

6、、文件流转管理等服务人员掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目经理等其它企业形象、客户关系等资产识别模型网络层机房、通信链路网络设备1操作系统、主机设备软件OA人员、文档、制度业务层物理层主机层应用层管理层EAI/EIP工程管理物资管理生产管理营销系统人力资源综合管理操作系统、主机设备网络设备2数据软件软件软件数据数据数据数据数据数据数据数据层资产价值的评估信息安全属性保密性CONFIDENTIALATY确保信息只能由那些被授权使用的人获取完整性INTEGRITY保

7、护信息及其处理方法的准确性和完整性可用性AVAILABILITY确保被授权使用人在需要时可以获取信息和使用相关的资产资产等级计算公式AV=F(AC,AI,AA)例1:AV=MAX(AC,AI,AA)例2:AV=AC+AI+AA例3:AV=AC×AI×AA威胁来源列表来源描述环境因素断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外事故等环境危害或自然灾害,以及软件、硬件、数据、通讯线路等方面的故障人为因素恶意人员不满的或有预谋的内部人员对信息系统进行恶意破坏;采用自主或内外

8、勾结的方式盗窃机密信息或进行篡改,获取利益外部人员利用信息系统的脆弱性,对网络或系统的机密性、完整性和可用性进行破坏,以获取利益或炫耀能力非恶意人员内部人员由于缺乏责任心,或者由于不关心和不专注,或者没有遵循规章制度和操作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不具备岗位技能要求而导致信息系统故障或被攻击。威胁分类表脆弱性识别内容表威胁与脆弱性之间的关系风险分析原理定性风险分析风险计算方法风险值=R(A,T,V)=R(L(T,V),F(Ia,Va))其中,R表示安全风险计算

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。