第十一章資訊安全風(fēng)險評估與管理_第1頁
已閱讀1頁,還剩26頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、第十一章 資訊安全風(fēng)險評估與管理,11-1 風(fēng)險評估與管理基本概念11-2 風(fēng)險評估過程11-3 風(fēng)險控制過程11-4 風(fēng)險評估與管理方法,11-1 風(fēng)險評估與管理基本概念,什麼時候才能阻止網(wǎng)路駭客入侵?人類文明已有四千年歷史,何時才能讓犯罪成為絕響?答案是:永遠(yuǎn)不會。網(wǎng)路世界也是一樣的道理,我們最多能做的就是儘可能管理風(fēng)險,將風(fēng)險降到最低,一如在實體世界的做法。,11-1-1 與風(fēng)險評估有關(guān)的概念,1.威脅(Threat),是指

2、可能對資產(chǎn)或組織造成損害事故的潛在原因。 2.薄弱點(Vulnerability),是指資產(chǎn)或資產(chǎn)組中能被威脅利用的弱點。 3.風(fēng)險(Risk)是特定威脅事件發(fā)生的可能性與後果的結(jié)合。 4.風(fēng)險評估(Risk Assessment),對資訊和資訊處理設(shè)施的威脅、影響和薄弱點及三者發(fā)生可能性的評估。,11-1-2 與風(fēng)險管理有關(guān)的概念,1.風(fēng)險管理(Risk Management),以可接受的費用識別、控制、降低或消除可能影響資訊

3、系統(tǒng)的安全風(fēng)險的過程。 2.安全控制(Security Control),降低安全風(fēng)險的慣例、程序或機(jī)制。3.剩餘風(fēng)險(Residual Risk),實施安全控制後,剩下的安全風(fēng)險。4.適用性聲明(Applicability Statement),適用於組織需要的目標(biāo)和控制的評述。,11-1-3 術(shù)語概念之間的關(guān)係,資產(chǎn)具有價值,並會受到威脅的潛在影響。薄弱點將資產(chǎn)暴露給威脅,威脅利用薄弱點對資產(chǎn)造成影響。威脅與薄弱點的增加導(dǎo)

4、致安全風(fēng)險的增加。安全風(fēng)險的存在對組織的資訊安全提出要求。安全控制應(yīng)滿足安全要求。組織通過實施安全控制防範(fàn)威脅,以降低安全風(fēng)險。,11-2 風(fēng)險評估過程,風(fēng)險評估(也稱風(fēng)險分析)是風(fēng)險管理的基礎(chǔ),是組織確認(rèn)資訊安全要求的途徑之一,屬於組織資訊安全管理體系策劃的過程。透過風(fēng)險評估識別組織所面臨的安全風(fēng)險並確認(rèn)風(fēng)險控制的優(yōu)先等級,進(jìn)而對其實施有效控制,將風(fēng)險控制在組織可以接受的範(fàn)圍之內(nèi)。,11-2-1 風(fēng)險評估的基本步驟,1.風(fēng)險評

5、估應(yīng)考慮的因素 2.風(fēng)險評估的基本步驟 3.進(jìn)行風(fēng)險評估時,應(yīng)考慮的對應(yīng)關(guān)係,風(fēng)險評估過程圖,11-2-2 資產(chǎn)識別與估價,為了明確被保護(hù)的資訊資產(chǎn),組織應(yīng)列出與資訊安全有關(guān)的資產(chǎn)清單,對每一項資產(chǎn)進(jìn)行確認(rèn)和適當(dāng)?shù)脑u估。為了防止資產(chǎn)被忽視或遺忘,在識別資產(chǎn)之前應(yīng)確定風(fēng)險評估範(fàn)圍。列出對組織或組織的特定部門的業(yè)務(wù)過程有價值的任何事物,以便根據(jù)組織的商務(wù)流程來識別資訊資產(chǎn)。,11-2-3 威脅識別與評價,對組織需要保護(hù)的每一項關(guān)鍵

6、資訊資產(chǎn)進(jìn)行威脅識別。在威脅識別過程中,應(yīng)根據(jù)資產(chǎn)所處的環(huán)境條件和資產(chǎn)以前遭受威脅損害的情況來判斷,一項資產(chǎn)可能面臨著多個威脅,同樣一個威脅可能對不同的資產(chǎn)造成影響。威脅識別應(yīng)確認(rèn)威脅由誰或什麼事物引發(fā)以及威脅影響的資產(chǎn)。,環(huán)境威脅發(fā)生的可能性,PTV= PT × PV,PTV—考慮資產(chǎn)薄弱點因素的威脅發(fā)生的可能性PT—未考慮資產(chǎn)薄弱點因素的威脅發(fā)生可能性Pv—資產(chǎn)的薄弱點被威脅利用的可能性,11-2-4 薄弱點評價

7、與已有控制措施的確認(rèn),1.薄弱點的識別與評價 組織應(yīng)針對每一項需要保護(hù)的資訊資產(chǎn),找出每一種威脅所能利用的薄弱點,並對薄弱點的嚴(yán)重性進(jìn)行評價。 2.對己有的安全控制進(jìn)行確認(rèn) 組織應(yīng)將已採取的控制措施進(jìn)行識別並對控制措施的有效性進(jìn)行確認(rèn)。,11-2-5 風(fēng)險評估,組織在經(jīng)過資產(chǎn)識別與估價、威脅與薄弱點的識別與評價、已有控制措施的確認(rèn)後,應(yīng)利用適當(dāng)?shù)娘L(fēng)險測量方法或工具確定風(fēng)險的大小與風(fēng)險等級,即對組織資訊安全管理範(fàn)圍內(nèi)的

8、每一資訊資產(chǎn)因遭受洩露、修改、不可用和破壞所帶來的任何影響做出一個風(fēng)險測量的列表,以便識別與選擇適當(dāng)和正確的安全控制方式。,風(fēng)險測量方法,風(fēng)險是資產(chǎn)所受到的威脅、存在的薄弱點及威脅利用薄弱點所造成的潛在影響三方面共同作用的結(jié)果。風(fēng)險是威脅發(fā)生的可能性、薄弱點被威脅利用的可能性和威脅的潛在影響的函數(shù),記為:,R= R(PT,PV,I),風(fēng)險區(qū)域示意圖,風(fēng)險優(yōu)先順序別確定,確定風(fēng)險數(shù)值的大小不是我們評估的最終目的,重要的是明確不同威脅對資產(chǎn)

9、所產(chǎn)生的風(fēng)險的相對值,即要確定不同風(fēng)險的優(yōu)先次序或等級,對於風(fēng)險等級高的資產(chǎn)應(yīng)被優(yōu)先分配資源進(jìn)行保護(hù)。,風(fēng)險評估一風(fēng)險管理工具的選擇,一旦風(fēng)險評估被完成,評估的結(jié)果(資產(chǎn)和它們的價值,威脅—薄弱點和風(fēng)險等級,以及被確認(rèn)的控制)應(yīng)該被保存和檔案化,例如,儲存在資料庫裡。企業(yè)組織或政府單位可以利用軟體支援工具進(jìn)行風(fēng)險評估活動,這可以使再評估活動更容易。,11-3 風(fēng)險控制過程,11-3-1 安全控制的識別和選擇,為了降低或消除資訊安全管理

10、體系範(fàn)圍所涉及到的被評估的風(fēng)險,組織應(yīng)識別和選擇適宜且合理的安全控制。透過實施安全控制使風(fēng)險降低到組織可接受的程度。安全控制的選擇應(yīng)以風(fēng)險評估的結(jié)果作為依據(jù),判斷與威脅相關(guān)聯(lián)的薄弱點,決定什麼地方需要保護(hù),以及應(yīng)該採取何種形式的控制。,11-3-2 風(fēng)險控制,根據(jù)控制費用與風(fēng)險平衡的原則,組織對所選擇的安全控制應(yīng)嚴(yán)格實施並保持,即透過以下途徑達(dá)到風(fēng)險降低的目的:,(1)避免風(fēng)險 (2)轉(zhuǎn)移風(fēng)險 (3)減少威脅 (4)減少

11、薄弱點 (5)減少威脅可能的影響程度 (6)探測有害事故,11-3-3 風(fēng)險接受,組織在實施選擇的控制後,總是有殘留的風(fēng)險,稱之為殘留風(fēng)險或殘餘風(fēng)險。殘餘風(fēng)險也可能是某些資產(chǎn)未被有意保護(hù)所致,例如,假設(shè)的低風(fēng)險或者被提及的控制需要高費用而未採取應(yīng)有的控制。為確保組織的資訊安全,殘餘風(fēng)險應(yīng)在可接受的範(fàn)圍內(nèi)。,動態(tài)風(fēng)險評估的時機(jī),(1)當(dāng)組織新增資訊資產(chǎn)時(2)當(dāng)系統(tǒng)發(fā)生重大變更時(3)發(fā)生嚴(yán)重資訊安全事故時(4)組織認(rèn)為有必要

12、時,11-4 風(fēng)險評估與管理方法,為了達(dá)到自我安全的要求,定期的反省檢討安全措施是必要的步驟。 為了確認(rèn)定期檢討的內(nèi)容,也因此需要一套系統(tǒng)的分析方法,才能發(fā)現(xiàn)問題的所在。這樣一套有系統(tǒng)的方法即為風(fēng)險評估方法。在風(fēng)險評估和風(fēng)險管理方法被應(yīng)用的過程中,評估時間、強度,以及具體開展的深度應(yīng)與組織的環(huán)境和安全要求相稱。,11-4-1 基本的風(fēng)險評估,基本的風(fēng)險評估是一種直接和簡單的方法,包括對組織所考慮的資訊和財產(chǎn)安全要求的一個系統(tǒng)的評估,

13、識別那些令人滿意的控制目標(biāo)和對滿足這些目標(biāo)的一系列控制進(jìn)行選擇。 這種方法適用於商業(yè)運作不是非常複雜,並且組織對資訊處理和網(wǎng)路的依賴程度不高的組織。,11-4-2 詳細(xì)的風(fēng)險評估,這個方法包括對資產(chǎn)的詳細(xì)識別和估價,以及那些對資產(chǎn)形成威脅和相關(guān)薄弱點水平的評估,上述結(jié)果被用於評估風(fēng)險並隨後被用於安全控制的識別和選擇。詳細(xì)的風(fēng)險評估可能是非常耗費財力的過程,因此需要非常仔細(xì)制定被評估的資訊系統(tǒng)範(fàn)圍內(nèi)的商務(wù)環(huán)境、運作、資訊和資產(chǎn)的界限。

14、,11-4-3 聯(lián)合評估方法,這種方法首先使用基本的風(fēng)險評估方法,識別資訊安全管理範(fàn)圍內(nèi)具有潛在的高風(fēng)險或?qū)ι虡I(yè)運作來說極為關(guān)鍵的資產(chǎn),然後根據(jù)基本的風(fēng)險評估的結(jié)果,將資訊安全管理範(fàn)圍內(nèi)的資產(chǎn)分成兩類,一類需要應(yīng)用一個詳細(xì)的風(fēng)險評估方法以達(dá)到適當(dāng)保護(hù),另一類透過基本評估方法選擇的控制。,11-4-4 風(fēng)險評估和管理方法的選擇應(yīng)考慮的因素,組織可採取不同的風(fēng)險評估和風(fēng)險管理方法,一個方法是否適合於特定組織有很多影響因素,包括:,(1)商務(wù)

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論