分析安全風險 全文在線閱讀

■

第1章安全設計簡介■

第2章

創(chuàng)建網絡安全計劃■

第3章

確定網絡安全威脅

■

第4章

分析安全風險■

第5章

創(chuàng)建物理資源安全

設計■

第6章創(chuàng)建計算機安全設計■

第7章

創(chuàng)建賬戶安全設計■

第8章

創(chuàng)建身份驗證安全

設計創(chuàng)建數(shù)據(jù)安全設計創(chuàng)建數(shù)據(jù)傳輸安全設創(chuàng)建網絡周邊安全設

設計安全事件應對措

可接受使用策略的設網絡管理策略的設計安全管理的運營框架

設計CHAP

、MS-CHAP

和CHAP

v2

中的■

第9章■

第10章計■

第11章計■

第12章施■附錄A計■附錄B■附錄C■

附錄DMS-網絡安全設計身份驗證■風險管理簡介■創(chuàng)建風險管理計劃第4章

分析安全風險風險管理簡介4.1風險管理簡介■風險管理要素■風險管理的重要性■需要保護的常見資產■資產分類■計算資產的價值■課堂練習:資產分類■定量分析使用真實的

財務數(shù)據(jù)舉例：

網站收入=

$700,000/月風險管理是確定

、分析并管

理風險的流程■定性分析估算資產價值舉例:網站的重要性=高風險管理計劃風險管理要素4.1.1風險管理要素風險管理使你能夠：?

指定安全風險優(yōu)先級?

確定適度的安全性?

驗證成本的合理性?

文檔化所有的潛在安全事件?

創(chuàng)建衡量標準風險管理的重要性4.1.2風險管理的重要性類型舉例硬件

·臺式計算機和便攜式計算機

·路由器和交換機

·備份介質

軟件

·軟件安裝光盤·操作系統(tǒng)映像

·客戶軟件代碼

文件·安全策略和過程·網絡示意圖和構建計劃數(shù)據(jù)·商業(yè)機密·員工信息·客戶信息需要保護的常見資產4.1.3需要保護的常見資產公共私人機密絕密類型舉例受到威脅的對象公共·公共網站

·新聞發(fā)布 ·信任

·銷售

私人·內部網站·與合作伙伴之間

的電子郵件

·私人信息·合作伙伴機密·工資信息·客戶信息·收入·內部操作客戶信息網站商業(yè)機密內部網?資產分類4.1.4資產分類為了確定資產的價值

，

你需要：

確定資產對企業(yè)的總價值

計算資產損失的直接財務影響

計算資產損失的間接業(yè)務影響價值x暴露系數(shù)

=$12,000廣告+客戶流失=$27,520每年$17,520,000電子商務網

站每年6小時=.000685%直接影響間接影響計算資產的價值資產價值資產暴露系數(shù)4.1.5計算資產的價值舉例閱讀資產列表把各項資產分為公共

、私人

、機密

、絕密等類別全班一起討論答案課堂練習資產分類4.1.6課堂練習資產分類123匹配■風險管理簡介■創(chuàng)建風險管理計劃第4章

分析安全風險■MOF風險管理流程簡介■確定資產風險■分析資產風險■為風險管理作計劃■跟蹤風險管理計劃的變更■風險管理控制■創(chuàng)建風險管理計劃的指導原則■課堂練習:分析風險管理計劃創(chuàng)建風險管理計劃4

.2

創(chuàng)建風險管理計劃MOF風險管理流程簡介4.2.1MOF風險管理流程簡介3計劃5控制4跟蹤1確定2分析風險聲明對各項風險：對威脅源和潛在故障模式進行分類

創(chuàng)建風險聲明舉例……導致收入減少、信任度降低和負面公眾影響如果一個蠕蟲病毒感染了我們的電子商務網站…………重建網絡服務器需要6個小時,在這段時間里,客戶不能進行網上購物……確定風險聲明的組

成部分風險聲明財務和業(yè)務影響條件操作結果確定資產風險4

.2

.2確定資產風險1確定定義舉例1.單一損失預期單個風險事件的損失總額財務影響：$12,000

+業(yè)務影響：$27,520=$39,5202.年度發(fā)生率估計此風險每年發(fā)生的

次數(shù)一年兩次3.年度損失預期此風險每年可造成的財務損失總額損失總額：$39,520x2

=

79

040估計每年某風險發(fā)生的成本

基于此結果創(chuàng)建風險管理策略分析資產風險4.2.3分析資產風險2分析$

,針對各風險：創(chuàng)建風險管理策略

創(chuàng)建應急計劃和觸發(fā)器使用防病毒軟件讓外部經銷商管理網站將網站從Internet上移走預先改變資產對風險的暴

露程度將一部分風險責任轉移給另一方消除風險源,或使資產不再暴露3計劃不主動采取任何行動承認風險存在為風險管理作計劃舉例定義降低轉移規(guī)避接受為風險管理作計劃策略4.2.4建立流程以監(jiān)測：風險條件

、風險發(fā)生的概率和影響降低風險的措施是否有效應急計劃和觸發(fā)器是否有效發(fā)生重大安全事件后審核計劃舉例計劃每季度審核風險管理計劃不間斷地監(jiān)測網站的應用程序跟蹤風險管理計劃的變4.5跟蹤不定時監(jiān)測跟蹤風險管理計劃的變

更監(jiān)測時間模式周期性監(jiān)測實時監(jiān)測4建立控制

，

更新以下內容：?

風險聲明?

風險分析?

管理策略和應急計劃?

安全監(jiān)測流程控制風險管理控制4

.2

.6風險管理控制5指導原則: 獲取上級管理層的批準和支持 確定風險管理計劃的范圍 及時實施風險管理計劃 發(fā)生變化時，更新風險管理計劃 使用風險管理計劃來指定負責人并分配資源創(chuàng)建風險管理計劃的指導原則則4.2.7創(chuàng)建風險管理計劃的指導原1

閱讀風險聲明2

確定最合適的風險管理策略3