安全評(píng)估與安全管理ppt課件

1、信息平安講座平安評(píng)價(jià)與平安管理 平安評(píng)價(jià)與平安管理平安風(fēng)險(xiǎn)分析平安風(fēng)險(xiǎn)評(píng)價(jià)方法和實(shí)例平安風(fēng)險(xiǎn)控制整體平安戰(zhàn)略的設(shè)計(jì)和部署應(yīng)急呼應(yīng)處置一、平安風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析概述風(fēng)險(xiǎn)分析的目的和意義風(fēng)險(xiǎn)分析的原那么和規(guī)范風(fēng)險(xiǎn)分析方法風(fēng)險(xiǎn)分析要素風(fēng)險(xiǎn)識(shí)別一、風(fēng)險(xiǎn)分析概述平安以風(fēng)險(xiǎn)方式存在，沒(méi)有絕對(duì)的平安High RiskLow Risk 平安目的 平安縫隙高風(fēng)險(xiǎn)低風(fēng)險(xiǎn)當(dāng)前平安形狀一、風(fēng)險(xiǎn)分析概述1.1 信息平安風(fēng)險(xiǎn)平安風(fēng)險(xiǎn)是信息平安問(wèn)題的表現(xiàn)方式，即由于系統(tǒng)存在的脆弱性，人為或自然的要挾導(dǎo)致平安事件發(fā)生的能夠性及其呵斥的影響。風(fēng)險(xiǎn)評(píng)價(jià)是對(duì)各方面風(fēng)險(xiǎn)進(jìn)展辨識(shí)和分析的過(guò)程，是對(duì)要挾、影響、脆弱性及三者發(fā)生的能夠性的評(píng)

2、價(jià)。它是確認(rèn)平安風(fēng)險(xiǎn)及其大小的過(guò)程。 一、風(fēng)險(xiǎn)分析概述1.2 對(duì)風(fēng)險(xiǎn)分析的認(rèn)識(shí) 從微觀上講，風(fēng)險(xiǎn)評(píng)價(jià)是“一種度量信息安情況的方法和工具，風(fēng)險(xiǎn)評(píng)價(jià)經(jīng)過(guò)對(duì)網(wǎng)絡(luò)和信息系統(tǒng)潛在風(fēng)險(xiǎn)的識(shí)別、分析、評(píng)價(jià)以及控制和緩解措施等要素，度量網(wǎng)絡(luò)和信息系統(tǒng)的平安情況。風(fēng)險(xiǎn)評(píng)價(jià)是風(fēng)險(xiǎn)管理的根底。一、風(fēng)險(xiǎn)分析概述1.3 信息平安風(fēng)險(xiǎn)相關(guān)要素的關(guān)系信息資產(chǎn)信息資產(chǎn)信息資產(chǎn)資產(chǎn)防護(hù)措施平安措施平安措施安全措施要挾要挾要挾要挾脆弱性脆弱性脆弱性脆弱性脆弱性剩余風(fēng)險(xiǎn)風(fēng)險(xiǎn)剩余風(fēng)險(xiǎn)剩余風(fēng)險(xiǎn)二、風(fēng)險(xiǎn)分析的目的和意義 風(fēng)險(xiǎn)評(píng)價(jià)是處理“最根本平安問(wèn)題的根底 信息系統(tǒng)的平安情況究竟如何？ 用風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果描畫(huà)系統(tǒng)平安情況。 能否有一致的建立

3、規(guī)范，一致的平安要求？ 風(fēng)險(xiǎn)評(píng)價(jià)是制定一致規(guī)范，一致要求的根底。 什么樣的信息平安方案合理，建立到什么程度適宜？ 風(fēng)險(xiǎn)評(píng)價(jià)是制定方案的重要根據(jù)。 現(xiàn)有的平安體系能否保證系統(tǒng)的平安？ 經(jīng)過(guò)風(fēng)險(xiǎn)評(píng)價(jià)來(lái)檢驗(yàn)平安體系。二、風(fēng)險(xiǎn)分析的目的和意義2.1 風(fēng)險(xiǎn)分析的目的 平安建立必需先“正確認(rèn)識(shí)平安問(wèn)題；準(zhǔn)確了解平安形狀，信息系統(tǒng)平安測(cè)評(píng)就是對(duì)信息系統(tǒng)平安的“度量，是做好信息平安保證的重要根底。 二、風(fēng)險(xiǎn)分析的目的和意義2.1 風(fēng)險(xiǎn)分析的目的 風(fēng)險(xiǎn)分析是對(duì)信息系統(tǒng)及由其處置、傳輸和存儲(chǔ)的信息的性、完好性和可用性等平安屬性進(jìn)展評(píng)價(jià)的過(guò)程。 評(píng)價(jià)資產(chǎn)面臨的要挾以及要挾利用脆弱性導(dǎo)致平安事件的能夠性，并結(jié)合平安事

4、件所涉及的資產(chǎn)價(jià)值來(lái)判別平安事件一旦發(fā)生對(duì)組織呵斥的影響。評(píng)價(jià)能否實(shí)施和維護(hù)了適當(dāng)?shù)钠桨泊胧?，鑒別存在的風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)發(fā)生的能夠性和影響，從而選擇可將風(fēng)險(xiǎn)降低到組織可接受級(jí)別的平安措施。二、風(fēng)險(xiǎn)分析的目的和意義 平安評(píng)價(jià)的目的了解系統(tǒng), 掌握資產(chǎn)系統(tǒng)業(yè)務(wù)功能、數(shù)據(jù)和流程描畫(huà)用戶(hù)情況系統(tǒng)構(gòu)造和配置邊境的完好性二、風(fēng)險(xiǎn)分析的目的和意義 風(fēng)險(xiǎn)評(píng)價(jià)的目的了解系統(tǒng)平安情況系統(tǒng)的重要性面臨的要挾技術(shù)脆弱性和技術(shù)措施運(yùn)轉(zhuǎn)和管理問(wèn)題風(fēng)險(xiǎn)情況二、風(fēng)險(xiǎn)分析的目的和意義 風(fēng)險(xiǎn)評(píng)價(jià)的目的規(guī)劃域構(gòu)造，界定邊境和責(zé)任二、風(fēng)險(xiǎn)分析的目的和意義政務(wù)專(zhuān)網(wǎng)平臺(tái)非涉密光纖網(wǎng)絡(luò)(專(zhuān)網(wǎng)2芯)業(yè)務(wù)處置域A業(yè)務(wù)處置域B公眾用戶(hù)域電子政務(wù)域電

5、子政務(wù)網(wǎng)絡(luò)域公鑰根底設(shè)備異地容災(zāi)應(yīng)急呼應(yīng)電子政務(wù)根底效力域公共網(wǎng)絡(luò)域政務(wù)內(nèi)網(wǎng)域涉密域業(yè)務(wù)單位政務(wù)外網(wǎng)域業(yè)務(wù)單位公眾效力域政務(wù)內(nèi)網(wǎng)通訊網(wǎng)絡(luò)政務(wù)外網(wǎng)通訊網(wǎng)絡(luò)業(yè)務(wù)單位政務(wù)內(nèi)網(wǎng)域政務(wù)外網(wǎng)域非涉密域企業(yè)/其它機(jī)構(gòu)信息系統(tǒng)公共通訊網(wǎng)平安測(cè)評(píng)二、風(fēng)險(xiǎn)分析的目的和意義 風(fēng)險(xiǎn)評(píng)價(jià)的目的建立風(fēng)險(xiǎn)管理體系風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)管理控制、緩解、轉(zhuǎn)移風(fēng)險(xiǎn)評(píng)價(jià)二、風(fēng)險(xiǎn)分析的目的和意義 風(fēng)險(xiǎn)管理是指經(jīng)過(guò)風(fēng)險(xiǎn)評(píng)價(jià)標(biāo)識(shí)系統(tǒng)中的風(fēng)險(xiǎn)、解釋風(fēng)險(xiǎn)并實(shí)施方案以降低風(fēng)險(xiǎn)至可接受程度的一個(gè)繼續(xù)過(guò)程。 風(fēng)險(xiǎn)評(píng)價(jià)是風(fēng)險(xiǎn)管理的一個(gè)重要環(huán)節(jié)，是分析評(píng)價(jià)信息系統(tǒng)平安形狀的重要方法和工具。二、風(fēng)險(xiǎn)分析的目的和意義風(fēng)險(xiǎn)評(píng)價(jià)對(duì)信息系統(tǒng)生命周期的支持

6、支持平安需求分析，平安維護(hù)等級(jí)確定工程規(guī)劃工程實(shí)施工程驗(yàn)收分析設(shè)計(jì)支持系統(tǒng)架構(gòu)的平安性分析評(píng)價(jià)對(duì)平安需求的實(shí)現(xiàn)周期性地確定系統(tǒng)的平安形狀系統(tǒng)報(bào)廢運(yùn)轉(zhuǎn)維護(hù)硬件、軟件、數(shù)據(jù)的處置三、風(fēng)險(xiǎn)評(píng)價(jià)原那么和規(guī)范嚴(yán)密原那么 規(guī)范性原那么 規(guī)范性原那么 可控性原那么 整體性原那么 最小影響原那么 三、風(fēng)險(xiǎn)評(píng)價(jià)原那么和規(guī)范中華人民共和國(guó)保守國(guó)家法 (1988年9月5日中華人民共和國(guó)主席令第6號(hào)公布)國(guó)家嚴(yán)密局文件 國(guó)保發(fā) 1990 1 號(hào) 國(guó)家嚴(yán)密局文件 國(guó)保發(fā)1998 1 號(hào)1999年9月國(guó)家技術(shù)監(jiān)視局發(fā)布國(guó)家規(guī)范報(bào)批稿四、風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程和方法風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程(1)硬件軟件接口數(shù)據(jù)和信人員業(yè)務(wù)功能1系統(tǒng)分析和資產(chǎn)識(shí)

7、別輸入輸出風(fēng)險(xiǎn)評(píng)價(jià)活動(dòng)系統(tǒng)邊境系統(tǒng)功能系統(tǒng)和數(shù)據(jù) 的危險(xiǎn)程度系統(tǒng)和數(shù)據(jù)的敏感程度識(shí)別關(guān)鍵資產(chǎn)系統(tǒng)受攻擊的歷史信息專(zhuān)業(yè)機(jī)構(gòu)和媒體的數(shù)據(jù)2要挾分析識(shí)別要挾描畫(huà)四、風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程和方法風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程(2)前期風(fēng)險(xiǎn)評(píng)價(jià)報(bào)告系統(tǒng)審計(jì)信息系統(tǒng)特性平安需求平安測(cè)試結(jié)果3脆弱性分析識(shí)別輸入輸出風(fēng)險(xiǎn)評(píng)價(jià)活動(dòng)潛在的脆弱性列表當(dāng)前的平安措施方案的平安措施4平安措施分析當(dāng)前和方案的平安措施列表四、風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程和方法風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程(3)要挾動(dòng)機(jī)要挾才干脆弱性本質(zhì)當(dāng)前平安措施5能夠性分析輸入輸出風(fēng)險(xiǎn)評(píng)價(jià)活動(dòng)能夠性級(jí)別四、風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程和方法風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程(4)業(yè)務(wù)影響分析資產(chǎn)危險(xiǎn)性分析數(shù)據(jù)危險(xiǎn)性數(shù)據(jù)敏感性6影響分析輸入輸出風(fēng)險(xiǎn)評(píng)價(jià)

8、活動(dòng)影響級(jí)別要挾發(fā)生的能夠性影響的量級(jí)當(dāng)前和方案的平安措施7風(fēng)險(xiǎn)斷定綜合分析風(fēng)險(xiǎn)和相應(yīng)的風(fēng)險(xiǎn)等級(jí)四、風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程和方法風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程(5)8平安措施建議輸入輸出風(fēng)險(xiǎn)評(píng)價(jià)活動(dòng)建議的平安措施9結(jié)果報(bào)告風(fēng)險(xiǎn)評(píng)價(jià)報(bào)告四、風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程和方法風(fēng)險(xiǎn)評(píng)價(jià)的根本方法初級(jí)風(fēng)險(xiǎn)分析Preliminary Risk Analysis 風(fēng)險(xiǎn)評(píng)價(jià)指數(shù)Risk Assessment Codes 失效方式及影響分析Failure Mode and Effects Analysis(FMEA/FMECA) 基于樹(shù)的技術(shù)Tree Based Techniques 動(dòng)態(tài)系統(tǒng)技術(shù)Techniques for Dynamic syste

9、m 四、風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程和方法風(fēng)險(xiǎn)計(jì)算矩陣法矩陣法原理計(jì)算例如風(fēng)險(xiǎn)計(jì)算相乘法相乘法原理計(jì)算實(shí)例動(dòng)態(tài)樹(shù)四、風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程和方法矩陣法概念矩陣法適用范圍矩陣法構(gòu)造方式矩陣法特點(diǎn)四、風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程和方法Z=f(x,y)。函數(shù)f采用矩陣方式表示。以要素x和要素y的取值構(gòu)建一個(gè)二維矩陣，矩陣內(nèi)m*n個(gè)值即為要素Z的取值四、風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程和方法矩陣法主要適用于由兩個(gè)要素值確定一個(gè)要素值的情形。 在風(fēng)險(xiǎn)值計(jì)算中，通常需求對(duì)兩個(gè)要素確定的另一個(gè)要素值進(jìn)展計(jì)算，例如由要挾和脆弱性確定平安事件發(fā)生能夠性值、由資產(chǎn)和脆弱性確定平安事件的損失值等，同時(shí)需求整體掌握風(fēng)險(xiǎn)值確實(shí)定，因此矩陣法在風(fēng)險(xiǎn)分析中得到廣泛采用。四、風(fēng)險(xiǎn)評(píng)價(jià)過(guò)

10、程和方法首先需求確定二維計(jì)算矩陣，矩陣內(nèi)各個(gè)要素的值根據(jù)詳細(xì)情況和函數(shù)遞增情況采用數(shù)學(xué)方法確定，然后將兩個(gè)元素的值在矩陣中進(jìn)展比對(duì)，行列交叉處即為所確定的計(jì)算結(jié)果。矩陣的計(jì)算需求根據(jù)實(shí)踐情況確定，矩陣內(nèi)值的計(jì)算不一定遵照一致的計(jì)算公式，但必需具有一致的增減趨勢(shì)，即假設(shè)是遞增函數(shù)，Z值應(yīng)隨著x與y的值遞增，反之亦然。 四、風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程和方法矩陣法特點(diǎn)矩陣法的特點(diǎn)在于經(jīng)過(guò)構(gòu)造兩兩要素計(jì)算矩陣，可以明晰羅列要素的變化趨勢(shì)，具備良好靈敏性。四、風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程和方法矩陣法計(jì)算例如(1)資產(chǎn)：共有三個(gè)重要資產(chǎn)，資產(chǎn)A1、資產(chǎn)A2和資產(chǎn)A3；資產(chǎn)價(jià)值分別是：資產(chǎn)A1=2，資產(chǎn)A2=3，資產(chǎn)A3=5；要挾：資產(chǎn)

11、A1面臨兩個(gè)主要要挾，要挾T1和要挾T2；資產(chǎn)A2面臨一個(gè)主要要挾，要挾T3；資產(chǎn)A3面臨兩個(gè)主要要挾，要挾T4和T5；要挾發(fā)生頻率分別是：要挾T1=2，要挾T2=1，要挾T3=2，要挾T4=5，要挾T5=4；四、風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程和方法矩陣法計(jì)算例如(2)脆弱性：要挾T1可以利用的資產(chǎn)A1存在的兩個(gè)脆弱性，脆弱性V1和脆弱性V2；要挾T2可以利用的資產(chǎn)A1存在的三個(gè)脆弱性，脆弱性V3、脆弱性V4和脆弱性V5；要挾T3可以利用的資產(chǎn)A2存在的兩個(gè)脆弱性，脆弱性V6和脆弱性V7；要挾T4可以利用的資產(chǎn)A3存在的一個(gè)脆弱性，脆弱性V8；要挾T5可以利用的資產(chǎn)A3存在的一個(gè)脆弱性，脆弱性V9。脆弱性嚴(yán)重程

12、度分別是：脆弱性V1=2，脆弱性V2=3，脆弱性V3=1，脆弱性V4=4，脆弱性V5=2，脆弱性V6=4，脆弱性V7=2，脆弱性V8=3，脆弱性V9=5。四、風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程和方法例如計(jì)算過(guò)程風(fēng)險(xiǎn)計(jì)算過(guò)程1計(jì)算平安事件發(fā)生能夠性2計(jì)算平安事件呵斥的損失3計(jì)算風(fēng)險(xiǎn)值4結(jié)果斷定 以下以資產(chǎn)A1面臨的要挾T1可以利用的脆弱性V1為例，計(jì)算平安風(fēng)險(xiǎn)值 。四、風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程和方法計(jì)算平安事件發(fā)生的能夠性1構(gòu)建平安事件發(fā)生能夠性矩陣；2根據(jù)要挾發(fā)生頻率值和脆弱性嚴(yán)重程度值在矩陣中進(jìn)展對(duì)照，確定平安事件發(fā)生能夠性值 ；3對(duì)計(jì)算得到的平安風(fēng)險(xiǎn)事件發(fā)生能夠性進(jìn)展等級(jí)劃分 。四、風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程和方法計(jì)算平安事件發(fā)生的能夠

13、性四、風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程和方法計(jì)算平安事件的損失1構(gòu)建平安事件損失矩陣 ；2根據(jù)資產(chǎn)價(jià)值和脆弱性嚴(yán)重程度值在矩陣中進(jìn)展對(duì)照，確定平安事件損失值 ；3對(duì)計(jì)算得到的平安事件損失進(jìn)展等級(jí)劃分 。四、風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程和方法計(jì)算平安事件的損失四、風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程和方法四、風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程和方法1構(gòu)建風(fēng)險(xiǎn)矩陣 ；2根據(jù)平安事件發(fā)生能夠性和平安事件損失在矩陣中進(jìn)展對(duì)照，確定平安事件風(fēng)險(xiǎn) ；四、風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程和方法計(jì)算風(fēng)險(xiǎn)值四、風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程和方法風(fēng)險(xiǎn)結(jié)果斷定根據(jù)預(yù)設(shè)的等級(jí)劃分規(guī)那么斷定風(fēng)險(xiǎn)結(jié)果。依此類(lèi)推，得到一切重要資產(chǎn)的風(fēng)險(xiǎn)值，并根據(jù)風(fēng)險(xiǎn)等級(jí)劃分表，確定風(fēng)險(xiǎn)等級(jí)。 四、風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程和方法矩陣法風(fēng)險(xiǎn)計(jì)算過(guò)程小結(jié)計(jì)算平安事件發(fā)生能

14、夠性1構(gòu)建平安事件發(fā)生能夠性矩陣；2根據(jù)要挾發(fā)生頻率值和脆弱性嚴(yán)重程度值在矩陣中進(jìn)展對(duì)照，確定平安事件發(fā)生能夠性值 ；3對(duì)計(jì)算得到的平安風(fēng)險(xiǎn)事件發(fā)生能夠性進(jìn)展等級(jí)劃分 。 計(jì)算平安事件的損失1構(gòu)建平安事件損失矩陣 ；2根據(jù)資產(chǎn)價(jià)值和脆弱性嚴(yán)重程度值在矩陣中進(jìn)展對(duì)照，確定平安事件損失值 ；3對(duì)計(jì)算得到的平安事件損失進(jìn)展等級(jí)劃分 。計(jì)算風(fēng)險(xiǎn)值1構(gòu)建風(fēng)險(xiǎn)矩陣 ；2根據(jù)平安事件發(fā)生能夠性和平安事件損失在矩陣中進(jìn)展對(duì)照，確定平安事件風(fēng)險(xiǎn) ；風(fēng)險(xiǎn)結(jié)果斷定四、風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程和方法風(fēng)險(xiǎn)計(jì)算相乘法根本原理相乘法原理： ，當(dāng)f為增量函數(shù)時(shí)， 可以為直接相乘，也可以為相乘后取模等 。相乘法的特點(diǎn)：簡(jiǎn)單明確，直接按照一

15、致公式計(jì)算，即可得到所需結(jié)果。相乘法適用范圍：在風(fēng)險(xiǎn)值計(jì)算中，通常需求對(duì)兩個(gè)要素確定的另一個(gè)要素值進(jìn)展計(jì)算，因此相乘法在風(fēng)險(xiǎn)分析中得到廣泛采用。四、風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析 系統(tǒng)調(diào)查系統(tǒng)業(yè)務(wù)模型網(wǎng)絡(luò)和系統(tǒng)環(huán)境用戶(hù)、構(gòu)造和邊境等平安體系構(gòu)造設(shè)計(jì)與實(shí)現(xiàn)文檔四、風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析四、風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析 (系統(tǒng)平臺(tái)分析)網(wǎng)絡(luò)通訊效力機(jī)構(gòu)機(jī)構(gòu)公用網(wǎng)絡(luò)支持性根底設(shè)備: 平安管理、密碼管理等公共網(wǎng)絡(luò)運(yùn)用系統(tǒng)邊境運(yùn)用區(qū)域圖例:涉密網(wǎng)絡(luò)四、風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析評(píng)價(jià)(網(wǎng)絡(luò)平臺(tái)分析)Network ManagementDirectory

16、ServicesNetworkIDSDomain NameServersNominal NetworkNetwork Nodes (Routers/Switches)Backbone Boundary ProtectionNetwork Links (Fiber, Cable, Wireless, Satellite)Local Network通訊網(wǎng)絡(luò)銜接資源子網(wǎng)網(wǎng)絡(luò)節(jié)點(diǎn) (路由器/交換機(jī))骨干邊境維護(hù)網(wǎng)絡(luò)銜接 (光纖, 電纜, 無(wú)線, 衛(wèi)星)資源子網(wǎng)邊境Local Network局域網(wǎng)資源子網(wǎng)目錄效力域名效力網(wǎng)絡(luò)和根底設(shè)備包括局域網(wǎng)內(nèi)的網(wǎng)絡(luò)設(shè)備網(wǎng)絡(luò)管理四、風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)

17、分析 (要挾分析)攻擊主體攻擊類(lèi)型、方式與途徑資產(chǎn)危脅本質(zhì)破壞內(nèi)部人員外部人員惡意代碼缺點(diǎn)災(zāi)難偵聽(tīng)與破譯攻擊與破壞利用與欺詐物理破壞數(shù)據(jù)庫(kù)操作系統(tǒng)網(wǎng)絡(luò)物理設(shè)備運(yùn)用系統(tǒng)未授權(quán)訪問(wèn)冒充回絕效力性完好性可用性可控性真實(shí)性數(shù)據(jù)業(yè)務(wù)四、風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析 (平安功能測(cè)試) 標(biāo)識(shí)鑒別 審計(jì) 通訊 密碼支持 用戶(hù)數(shù)據(jù)維護(hù) 平安管理 平安功能維護(hù) 資源利用 評(píng)價(jià)對(duì)象訪問(wèn) 可信途徑/信道功能驗(yàn)證信息系統(tǒng)測(cè)試結(jié)果配置檢查運(yùn)用系統(tǒng)公共平臺(tái)系統(tǒng)平臺(tái)網(wǎng)絡(luò)平臺(tái)測(cè)試方法、用例功能分析四、風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析(脆弱性檢測(cè))網(wǎng)絡(luò)掃描 端口掃描 操作系統(tǒng)棧指紋掃描 破綻掃描主機(jī)掃描 基于

18、主機(jī)上的Agent準(zhǔn)確發(fā)現(xiàn)破綻運(yùn)用掃描 遠(yuǎn)程分析Web系統(tǒng)構(gòu)造，可以對(duì)各種運(yùn)用程序特有及普遍存在的破綻進(jìn)展評(píng)價(jià)。配置核對(duì) 核對(duì)列表四、風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析(系統(tǒng)體系構(gòu)造分析) 信息平安相關(guān)法律、法規(guī)、政策、規(guī)范和規(guī)范的符合性 平安體系構(gòu)造的合理性和對(duì)需求的符合性 設(shè)計(jì)與實(shí)現(xiàn)的一致性 相關(guān)文檔資料的齊備性四、風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析(脆弱性分析)四、風(fēng)險(xiǎn)評(píng)價(jià)過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)評(píng)價(jià)關(guān)鍵資產(chǎn)系統(tǒng)單元 相關(guān)脆弱性 相關(guān)措施 個(gè)人所得稅業(yè)務(wù)和數(shù)據(jù)數(shù)據(jù)庫(kù)效力器運(yùn)用效力器防火墻OS脆弱性數(shù)據(jù)庫(kù)脆弱性運(yùn)用脆弱性防病毒 權(quán)限管理補(bǔ)丁管理審計(jì)戰(zhàn)略 備份戰(zhàn)略報(bào)警呼應(yīng) 平

19、安風(fēng)險(xiǎn)平安風(fēng)險(xiǎn)平安風(fēng)險(xiǎn)平安風(fēng)險(xiǎn)數(shù)據(jù)泄露非授權(quán)訪問(wèn)數(shù)據(jù)篡改破壞效力冒充回絕效力多余開(kāi)放端口默許翻開(kāi)效力更新不及時(shí) 四、風(fēng)險(xiǎn)評(píng)價(jià)要素資產(chǎn)識(shí)別要挾識(shí)別脆弱性識(shí)別四、風(fēng)險(xiǎn)評(píng)價(jià)要素識(shí)別相互聯(lián)絡(luò)平安措施 抵御業(yè)務(wù)戰(zhàn)略脆弱性平安需求要挾風(fēng)險(xiǎn)剩余風(fēng)險(xiǎn)平安事件依賴(lài)具有被滿(mǎn)足利用暴露降低添加加依賴(lài)添加導(dǎo)出演化 未被滿(mǎn)足未控制能夠誘發(fā)殘留本錢(qián)資產(chǎn)資產(chǎn)價(jià)值四、風(fēng)險(xiǎn)評(píng)價(jià)要素識(shí)別相互聯(lián)絡(luò)1業(yè)務(wù)戰(zhàn)略依賴(lài)資產(chǎn)去實(shí)現(xiàn)；2資產(chǎn)是有價(jià)值的，組織的業(yè)務(wù)戰(zhàn)略對(duì)資產(chǎn)的依賴(lài)度越高，資產(chǎn)價(jià)值就越大；3資產(chǎn)價(jià)值越大那么其面臨的風(fēng)險(xiǎn)越大；4風(fēng)險(xiǎn)是由要挾引發(fā)的，資產(chǎn)面臨的要挾越多那么風(fēng)險(xiǎn)越大，并能夠演化成平安事件；5弱點(diǎn)越多，要挾利用脆弱性導(dǎo)致平

20、安事件的能夠性越大；6脆弱性是未被滿(mǎn)足的平安需求，要挾要經(jīng)過(guò)利用脆弱性來(lái)危害資產(chǎn)，從而構(gòu)成風(fēng)險(xiǎn)；四、風(fēng)險(xiǎn)評(píng)價(jià)要素識(shí)別相互聯(lián)絡(luò)7風(fēng)險(xiǎn)的存在及對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)導(dǎo)出平安需求；8平安需求可經(jīng)過(guò)平安措施得以滿(mǎn)足，需求結(jié)合資產(chǎn)價(jià)值思索實(shí)施本錢(qián)；9平安措施可抵御要挾，降低平安事件的發(fā)生的能夠性，并減少影響；10風(fēng)險(xiǎn)不能夠也沒(méi)有必要降為零，在實(shí)施了平安措施后還會(huì)有殘留下來(lái)的風(fēng)險(xiǎn)。有些剩余風(fēng)險(xiǎn)來(lái)自于平安措施能夠不當(dāng)或無(wú)效,在以后需求繼續(xù)控制，而有些剩余風(fēng)險(xiǎn)那么是在綜合思索了平安本錢(qián)與效益后未控制的風(fēng)險(xiǎn)，是可以被接受的；11剩余風(fēng)險(xiǎn)應(yīng)遭到親密監(jiān)視，它能夠會(huì)在未來(lái)誘發(fā)新的平安事件四、風(fēng)險(xiǎn)評(píng)價(jià)要素資產(chǎn)資產(chǎn)是具有價(jià)值的信息

21、或資源，是平安戰(zhàn)略維護(hù)的對(duì)象。它可以以多種方式存在，有無(wú)形的、有形的，有硬件、軟件，有文檔、代碼，也有效力、籠統(tǒng)等。性、完好性和可用性是評(píng)價(jià)資產(chǎn)的三個(gè)平安屬性。 四、風(fēng)險(xiǎn)評(píng)價(jià)要素資產(chǎn)分類(lèi)數(shù)據(jù)軟件硬件效力文檔人員四、風(fēng)險(xiǎn)評(píng)價(jià)要素資產(chǎn)賦值方法對(duì)資產(chǎn)的賦值不僅要思索資產(chǎn)本身的價(jià)值，更重要的是要思索資產(chǎn)的平安情況對(duì)于組織的重要性，即由資產(chǎn)在其三個(gè)平安屬性上的達(dá)成程度決議。為確保資產(chǎn)賦值時(shí)的一致性和準(zhǔn)確性，組織應(yīng)建立一個(gè)資產(chǎn)價(jià)值評(píng)價(jià)尺度，以指點(diǎn)資產(chǎn)賦值。資產(chǎn)賦值的過(guò)程也就是對(duì)資產(chǎn)在性、完好性和可用性上的達(dá)成程度進(jìn)展分析，并在此根底上得出一個(gè)綜合結(jié)果的過(guò)程。四、風(fēng)險(xiǎn)評(píng)價(jià)要素資產(chǎn)賦值性賦值賦值標(biāo)識(shí)定義5極高

22、包含組織最重要的秘密，關(guān)系未來(lái)發(fā)展的前途命運(yùn)，對(duì)組根本利益有著決定性影響，如果泄漏會(huì)造成災(zāi)難性的損害 4高包含組織的重要秘密，其泄露會(huì)使組織的安全和利益遭受?chē)?yán)重?fù)p害3中等包含組織的一般性秘密，其泄露會(huì)使組織的安全和利益受到損害2低包含僅能在組織內(nèi)部或在組織某一部門(mén)內(nèi)部公開(kāi)的信息，向外擴(kuò)散有可能對(duì)組織的利益造成損害1可忽略包含可對(duì)社會(huì)公開(kāi)的信息，公用的信息處理設(shè)備和系統(tǒng)資源等四、風(fēng)險(xiǎn)評(píng)價(jià)要素資產(chǎn)賦值完好性賦值賦值標(biāo)識(shí)定義5極高完整性?xún)r(jià)值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大的或無(wú)法接受的影響，對(duì)業(yè)務(wù)沖擊重大，并可能造成嚴(yán)重的業(yè)務(wù)中斷，難以彌補(bǔ)4高完整性?xún)r(jià)值較高，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組

23、織造成重大影響，對(duì)業(yè)務(wù)沖擊嚴(yán)重，比較難以彌補(bǔ)3中等完整性?xún)r(jià)值中等，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成影響，對(duì)業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)2低完整性?xún)r(jià)值較低，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成輕微影響，可以忍受，對(duì)業(yè)務(wù)沖擊輕微，容易彌補(bǔ)1可忽略完整性?xún)r(jià)值非常低，未經(jīng)授權(quán)的修改或破壞對(duì)組織造成的影響可以忽略，對(duì)業(yè)務(wù)沖擊可以忽略五、信息平安管理體系定義平安管理原那么制定平安維護(hù)機(jī)制制定信息平安戰(zhàn)略確定審查角色和責(zé)任？往復(fù)推進(jìn),不斷提升？五、信息平安管理體系平安管理戰(zhàn)略組成身份完好性性可用性審計(jì)五、信息平安管理體系信息平安管理國(guó)際規(guī)范ISO 17799ISO 27001:2005為建立,實(shí)施,運(yùn)作,監(jiān)視,評(píng)審

24、,堅(jiān)持,和改良信息平安管理體系(ISMS)提供了模型。采用PDCA “規(guī)劃執(zhí)行控制改良“過(guò)程方式。五、信息平安管理體系平安維護(hù)機(jī)制平安保證體系構(gòu)造圖五、信息平安管理體系平安維護(hù)機(jī)制經(jīng)過(guò)人、管理和技術(shù)手段三大要素，構(gòu)成動(dòng)態(tài)的信息與網(wǎng)絡(luò)平安保證體系框架PDR模型，實(shí)現(xiàn)網(wǎng)絡(luò)和運(yùn)用平安保證。PDR模型三個(gè)概念框之間存在著一定的因果和依存關(guān)系，在網(wǎng)絡(luò)平安防護(hù)上實(shí)現(xiàn)了多層平安防護(hù)，構(gòu)成一個(gè)整體。五、信息平安管理體系平安戰(zhàn)略物理平安戰(zhàn)略邊境控制戰(zhàn)略信息加密戰(zhàn)略數(shù)據(jù)備份戰(zhàn)略數(shù)據(jù)恢復(fù)戰(zhàn)略平安管理戰(zhàn)略五、信息平安管理體系物理平安戰(zhàn)略物理平安戰(zhàn)略的目的是維護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)效力器、打印機(jī)等硬件實(shí)體和通訊鏈路免受自然災(zāi)禍、人為破壞和搭線攻擊；驗(yàn)證用