信息安全風(fēng)險(xiǎn)分析及安全需求挖掘詳解_第1頁(yè)
信息安全風(fēng)險(xiǎn)分析及安全需求挖掘詳解_第2頁(yè)
信息安全風(fēng)險(xiǎn)分析及安全需求挖掘詳解_第3頁(yè)
信息安全風(fēng)險(xiǎn)分析及安全需求挖掘詳解_第4頁(yè)
信息安全風(fēng)險(xiǎn)分析及安全需求挖掘詳解_第5頁(yè)
已閱讀5頁(yè),還剩16頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、信息安全(nqun)風(fēng)險(xiǎn)分析及安全(nqun)需求挖掘田坤山共二十一頁(yè)主要(zhyo)內(nèi)容現(xiàn)有的風(fēng)險(xiǎn)分析方法綜述風(fēng)險(xiǎn)分析中需要關(guān)注的一些問(wèn)題衛(wèi)士(wi sh)通風(fēng)險(xiǎn)分析流程及安全需求挖掘共二十一頁(yè) 現(xiàn)有的風(fēng)險(xiǎn)(fngxin)分析方法綜述共二十一頁(yè)風(fēng)險(xiǎn)分析(fnx)的兩大類型定量:準(zhǔn)確量化風(fēng)險(xiǎn)分析的各個(gè)要素 單次損失估算值 年發(fā)生率 年損失估算值 火災(zāi) $500,000 0.1 = $500,000 錯(cuò)誤操作 $50 1000 = $500,000 但是:資產(chǎn)價(jià)值的確定/發(fā)生概率的確定/最終數(shù)值的界定是比較困難(kn nn)的。 因此,真正使用此類方法來(lái)評(píng)估是很有難度的,需要專業(yè)性很強(qiáng)的公司介入

2、項(xiàng)目。定性:確定資產(chǎn)發(fā)現(xiàn)威脅得出脆弱性風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)控制共二十一頁(yè)一些(yxi)定性風(fēng)險(xiǎn)分析的方法基線法 (德國(guó)IT Baseline)為系統(tǒng)各部分的保護(hù)度設(shè)立一個(gè)統(tǒng)一的基準(zhǔn),結(jié)合最佳實(shí)踐(BP)提供的安全措施制定解決方案。適用范圍:使用廣泛的典型IT 系統(tǒng)。對(duì)保密性、完整性及可用性為一般要求。在基礎(chǔ)設(shè)施、組織、人事、技術(shù)及權(quán)宜安排方面可采取標(biāo)準(zhǔn)安全措施。詳細(xì)的風(fēng)險(xiǎn)分析方法(SP800-30, )包括資產(chǎn)的深度鑒定和估價(jià),對(duì)這些資產(chǎn)的威脅評(píng)估和脆弱性評(píng)估。結(jié)果用于評(píng)估風(fēng)險(xiǎn)及選擇合理的安全設(shè)施。步驟:了解系統(tǒng)特征,識(shí)別威脅,識(shí)別脆弱性,分析安全控制,確定可能性,分析影響,確定風(fēng)險(xiǎn),對(duì)安全控制提出建

3、議,記錄評(píng)估結(jié)果非正式的風(fēng)險(xiǎn)分析方法(FRAP,OCTAVE-S)詳細(xì)風(fēng)險(xiǎn)分析的簡(jiǎn)化方法。FRAP:前期預(yù)備會(huì)議,F(xiàn)RAP會(huì)議,風(fēng)險(xiǎn)分析報(bào)告撰寫(xiě),總結(jié)會(huì)議;OCTAVE-S:建立基于資產(chǎn)的威脅檔案,識(shí)別技術(shù)設(shè)施脆弱性, 開(kāi)發(fā)安全策略和計(jì)劃。綜合方法( ISO 17799, OCTAVE )對(duì)系統(tǒng)進(jìn)行宏觀分析,確定出高風(fēng)險(xiǎn)領(lǐng)域,進(jìn)行詳細(xì)的風(fēng)險(xiǎn)分析,其它部分采用基線方法。首先要核實(shí)(hsh)系統(tǒng)范圍內(nèi)處于潛在高風(fēng)險(xiǎn)之中,或是對(duì)商業(yè)運(yùn)作至關(guān)重要的關(guān)鍵性資產(chǎn)進(jìn)行詳細(xì)的風(fēng)險(xiǎn)分析以獲得相應(yīng)的保護(hù)。其余一般對(duì)待的 通過(guò)基本的風(fēng)險(xiǎn)評(píng)估辦法為其選擇控制措施。共二十一頁(yè) 風(fēng)險(xiǎn)(fngxin)分析中需要關(guān)注的一些問(wèn)

4、題共二十一頁(yè)如何協(xié)同考慮風(fēng)險(xiǎn)(fngxin)分析的各要素?威脅(wixi)等級(jí)威脅源動(dòng)機(jī)威脅發(fā)生可能性工具技能要求對(duì)系統(tǒng)造成的影響系統(tǒng)抗威脅攻擊能力等級(jí)系統(tǒng)脆弱性安全措施資產(chǎn)價(jià)值風(fēng)險(xiǎn)等級(jí)威脅共二十一頁(yè)如何確定(qudng)關(guān)鍵資產(chǎn)?是否要從關(guān)鍵資產(chǎn)入手開(kāi)始風(fēng)險(xiǎn)分析?(SP800-30就沒(méi)有說(shuō)列出關(guān)鍵資產(chǎn)) 如何確定系統(tǒng)中哪些是關(guān)鍵資產(chǎn)?資產(chǎn)敏感性及價(jià)值并對(duì)資產(chǎn)的分類(軟件、硬件、) -確定各種( zhn)威脅對(duì)資產(chǎn)造成的影響:信息財(cái)產(chǎn)未被授權(quán)的泄露、未被授權(quán)的修改、拒絕接受、在各種( zhn)時(shí)間段的不可恢復(fù)性破壞,考慮不利的商業(yè)影響的情況。共二十一頁(yè)如何(rh)確定威脅?威脅(wixi)li

5、st依據(jù)經(jīng)驗(yàn)具體分析自然威脅發(fā)生概率(關(guān)注的重點(diǎn))系統(tǒng)威脅組件質(zhì)量(硬件軟件系統(tǒng))偶然性人為威脅用戶類別、人員素質(zhì)、培訓(xùn)蓄意人為威脅財(cái)產(chǎn)的吸引力;財(cái)產(chǎn)轉(zhuǎn)化為報(bào)酬的難易程度;系統(tǒng)敏感性(好奇、破壞、影響);需要的技術(shù)能力;需要的工具;攻擊途徑共二十一頁(yè)如何(rh)確定脆弱性?主觀(zhgun)可控共二十一頁(yè)大中型組織詳細(xì)風(fēng)險(xiǎn)(fngxin)分析活動(dòng)有何異同?共二十一頁(yè)如何(rh)選擇風(fēng)險(xiǎn)分析方法?該組織的商業(yè)環(huán)境;該組織的業(yè)務(wù)性質(zhì)(xngzh)和重要性;該組織對(duì)信息系統(tǒng)的依賴程度;業(yè)務(wù)和支持系統(tǒng)、應(yīng)用程序及服務(wù)的復(fù)雜性;貿(mào)易伙伴的數(shù)量和對(duì)外業(yè)務(wù)及契約關(guān)系。共二十一頁(yè)不同(b tn)階段評(píng)估方法如

6、何選擇?系統(tǒng)安全構(gòu)建初期(chq)-綜合法/基準(zhǔn)法系統(tǒng)安全狀況評(píng)估-詳細(xì)風(fēng)險(xiǎn)分析法系統(tǒng)運(yùn)行期的安全優(yōu)化-非正式風(fēng)險(xiǎn)分析法共二十一頁(yè)衛(wèi)士通風(fēng)險(xiǎn)(fngxin)分析流程及安全需求挖掘共二十一頁(yè)部分(b fen)機(jī)構(gòu)/廠商的風(fēng)險(xiǎn)分析方法有廠商主要參照(cnzho)OCTAVE,同時(shí)利用掃描器,基于ISO17799的量化可視化的評(píng)估工具,并導(dǎo)入工具掃描結(jié)果生成信息庫(kù)及其它軟件等;有的廠商主要針對(duì)系統(tǒng)和網(wǎng)絡(luò)進(jìn)行風(fēng)險(xiǎn)評(píng)估,在技術(shù)上分析得比較多,技術(shù)弱點(diǎn)把握精確 ,但對(duì)管理上較弱,管理評(píng)估存在不足;有的廠商針對(duì)UNIX、NT等OS及DB、網(wǎng)絡(luò)設(shè)備進(jìn)行評(píng)估,使用評(píng)估工具并配合使用人工評(píng)估等,建立信息安全庫(kù)。共

7、二十一頁(yè)風(fēng)險(xiǎn)管理的一般(ybn)流程風(fēng)險(xiǎn)對(duì)策國(guó)家法律、法規(guī)或行業(yè)安全要求組織的原則、目標(biāo)及要求,合同要求風(fēng)險(xiǎn)評(píng)估識(shí)別關(guān)鍵資產(chǎn)識(shí)別威脅判定威脅發(fā)生的可能性。威脅發(fā)生的后果。識(shí)別脆弱性。識(shí)別現(xiàn)有的保護(hù)措施風(fēng)險(xiǎn)定級(jí)降低風(fēng)險(xiǎn)規(guī)避風(fēng)險(xiǎn)轉(zhuǎn)移風(fēng)險(xiǎn)接受風(fēng)險(xiǎn)準(zhǔn)備風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)策略接受風(fēng)險(xiǎn)安全需求轉(zhuǎn)移風(fēng)險(xiǎn)規(guī)避風(fēng)險(xiǎn)計(jì)劃目標(biāo)范圍確定組織的安全策略,系統(tǒng)安全等級(jí),安全目標(biāo)。評(píng)估選擇安全措施安全技術(shù)安全運(yùn)行安全管理實(shí)施認(rèn)證運(yùn)行維護(hù)系統(tǒng)優(yōu)化設(shè)計(jì)風(fēng)險(xiǎn)管理識(shí)別關(guān)鍵資產(chǎn)確定系統(tǒng)安全基線系統(tǒng)優(yōu)化運(yùn)行維護(hù)認(rèn)證后續(xù)活動(dòng)風(fēng)險(xiǎn)對(duì)策國(guó)家法律、法規(guī)或行業(yè)安全要求組織的原則、目標(biāo)及要求,合同要求風(fēng)險(xiǎn)分 析識(shí)別關(guān)鍵資產(chǎn)識(shí)別威脅判定威脅發(fā)生的可能性。

8、威脅發(fā)生的后果。識(shí)別脆弱性。識(shí)別現(xiàn)有的保護(hù)措施風(fēng)險(xiǎn)定級(jí)降低風(fēng)險(xiǎn)規(guī)避風(fēng)險(xiǎn)轉(zhuǎn)移風(fēng)險(xiǎn)接受風(fēng)險(xiǎn)接受風(fēng)險(xiǎn)安全需求轉(zhuǎn)移風(fēng)險(xiǎn)規(guī)避風(fēng)險(xiǎn)計(jì)劃目標(biāo)范圍確定組織的安全策略,系統(tǒng)安全等級(jí),安全目標(biāo)。評(píng)估選擇安全措施安全技術(shù)安全運(yùn)行安全管理實(shí)施認(rèn)證運(yùn)行維護(hù)系統(tǒng)優(yōu)化設(shè)計(jì)風(fēng)險(xiǎn)控制識(shí)別關(guān)鍵資產(chǎn)確定系統(tǒng)安全基線系統(tǒng)優(yōu)化運(yùn)行維護(hù)認(rèn)證后續(xù)活動(dòng)用戶(yngh)情況調(diào)查共二十一頁(yè)衛(wèi)士通的風(fēng)險(xiǎn)(fngxin)分析流程確定風(fēng)險(xiǎn)評(píng)估方法 風(fēng)險(xiǎn)評(píng)估確定安全需求法律、法規(guī)系統(tǒng)任務(wù)和使命系統(tǒng)建設(shè)階段、規(guī)模資產(chǎn)、威脅、脆弱性、現(xiàn)有措施法律、法規(guī),系統(tǒng)任務(wù)和使命、評(píng)估結(jié)果制定安全策略選擇風(fēng)險(xiǎn)控制措施驗(yàn)證措施實(shí)施效果安全需求技術(shù)限制、資源限制安全需求、

9、實(shí)施效果安全策略文件風(fēng)險(xiǎn)評(píng)估報(bào)告安全需求報(bào)告風(fēng)險(xiǎn)管理方案適用性聲明驗(yàn)證(ynzhng)報(bào)告共二十一頁(yè) 挖掘(wju)系統(tǒng)安全需求共二十一頁(yè)小結(jié)(xioji)目前有多種風(fēng)險(xiǎn)分析的方法,在實(shí)際工作中需要考慮系統(tǒng)的實(shí)際情況和不同的階段,靈活使用定性和定量、手工評(píng)估和輔助工具、技術(shù)(jsh)評(píng)估和系統(tǒng)組織評(píng)估、基于知識(shí)經(jīng)驗(yàn)和基于模型的評(píng)估等多種方法;依據(jù)國(guó)家法律法規(guī)和對(duì)系統(tǒng)的風(fēng)險(xiǎn)評(píng)估,確定系統(tǒng)的安全需求,采取相應(yīng)的安全措施對(duì)系統(tǒng)的風(fēng)險(xiǎn)進(jìn)行控制;信息安全是一個(gè)動(dòng)態(tài)的復(fù)雜過(guò)程,因此風(fēng)險(xiǎn)分析也是一個(gè)十分復(fù)雜的過(guò)程,如何做到以較小的代價(jià)較準(zhǔn)確客觀地評(píng)估出系統(tǒng)的風(fēng)險(xiǎn)需要我們共同探討。共二十一頁(yè)謝 謝!共二十一頁(yè)內(nèi)容摘要信息安全風(fēng)險(xiǎn)分析及安全需求挖掘。單次損失估算值 年發(fā)生率 年損失估算值?;馂?zāi) $500,000 0.1 = $500,000。但是:資產(chǎn)(zchn)價(jià)值的確定/發(fā)生概率的確定/最終數(shù)值的界定是比較困難的。因此,真正使用此類方法來(lái)評(píng)估是很有難度的,需要專業(yè)性很強(qiáng)的公司介入項(xiàng)目?;€法 (德國(guó)I

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論