收藏
下载资源

等级保护制度下的风险评估

上传人:lizhe****0920 文档编号:26268024 上传时间:2017-12-24 格式:PPT 页数:22 大小:267.01KB
返回 下载 相关 举报
等级保护制度下的风险评估_第1页
第1页 / 共22页
等级保护制度下的风险评估_第2页
第2页 / 共22页
等级保护制度下的风险评估_第3页
第3页 / 共22页
等级保护制度下的风险评估_第4页
第4页 / 共22页
等级保护制度下的风险评估_第5页
第5页 / 共22页
点击查看更多>>
资源描述

《等级保护制度下的风险评估》由会员分享,可在线阅读,更多相关《等级保护制度下的风险评估(22页珍藏版)》请在金锄头文库上搜索。

1、等级保护制度下的风险评估,卫士通信息产业股份有限公司安全服务事业部刘鹏2005年12月,汇报内容,等级保护制度下风险评估的特点科学管理风险评估的实施过程用风险诊断与预警实现风险的持续管理卫士通信息资产风险诊断预警系统,等级保护制度下风险评估的特点,等级保护制度下,风险评估呈现一些新的特点:同样的资产,在保护等级不同的情况下,其价值应该有所不同;对评估资产的划分,应该与保护对象的划分保持一致;安全需求的制定依据,不再仅仅以风险评估结果为主,而应该是等级保护要求、风险评估、安全规划等方面的综合结果。,等级保护下风险评估实施框架,保护对象划分和定级,网络系统划分和定级,资产,脆弱性,威胁,风险分析,

2、基本安全要求,等级保护管理办法、指南信息安全政策、标准、法律法规,安全需求,风险列表,安全规划,风险评估,资产划分方法对风险评估的影响,以表现形式和技术类型为主线的资产划分:网络设备1、主机设备1、操作系统3、应用软件n、信息、服务风险评估适宜从脆弱性开始一般由安全专家主导以保护对象为主线的资产划分:网络平台1、业务系统n风险评估适宜从威胁开始一般由管理和业务人员主导,风险列表在等级保护中的作用,风险列表,基本安全要求,保护等级,修正,安全规划,修正,安全需求,科学管理风险评估的实施过程,有效的风险评估,需要解决以下几个问题:风险评估方法的多样性,导致不同的方法产生的结果,可能具有较大的差异。

3、传统以技术为主线的风险评估,可能产生庞大的风险列表,导致结果不可用。如果仅对关键资产进行评估,又可能导致评估结果不全面。风险评估实施者的能力、经验和倾向,将极大地影响评估结果的准确性。,遵循标准,遵循标准是保证风险评估方法科学性、结果准确性的基础。国标信息安全风险评估指南的尽早出台,是规范风险评估的重要保证。,设计科学、实用的评估流程,面向管理和业务特征进行资产划分、资产识别,提高风险评估结果可用性。采用简洁、清楚、可操作的风险评估流程,是风险评估成功实施的关键。,卫士通风险评估流程,保护对象划分,保护对象威胁分析,威胁1,威胁发生可能性,威胁所利用的脆弱性分析,威胁动机分析,威胁产生的影响,

4、风险1及其等级,威胁影响到的资产价值分析,资产被威胁所破坏程度分析,威胁n,风险n及其等级,多方参与保证评估结果的准确,风险评估在许多方面依赖于评估者的素质,包括:资产识别与划分、威胁识别与动机分析、脆弱性识别等方面的知识与经验;威胁发生可能性赋值等方面的能力、经验与客观公证立场,其中包括脆弱性被威胁利用的可能性的分析;威胁产生的影响赋值等方面的能力、经验与客观公证立场,其中包括威胁影响到的资产价值分析、资产被威胁所破坏的程度的分析。,多方参与保证评估结果的准确,由IT安全管理部门、业务部门、用户、安全服务商等方面的代表组成的风险评估团队,是保证评估结果准确性的关键。资产划分与资产识别:多方共

5、同参与;威胁识别:以安全服务商为主;威胁发生可能性分析:以安全服务商为主;威胁产生的影响分析:以被评估单位为主。,多方参与保证评估结果的准确,实施办法:风险评估团队成员分别进行分析和评估赋值;对差异大的地方,采用讨论会、取平均值、取多数认可等方法确定最终的结果。我们的理念:风险评估不仅要准确反映信息系统的风险状态,其实施过程也能加深对信息安全各方面了解程度,并且还是寻求一致认识的重要手段。,用风险诊断与预警实现风险持续管理,由风险评估结果得到风险控制措施的方法有:传统方法:专家经验更科学的方法:风险诊断依据风险评估结果制定风险缓解策略的方法有:传统方法:专家经验更科学的方法:风险预警,风险诊断

6、与专家知识库,风险诊断方法:对风险进行反向诊断,得到该威胁利用的脆弱性列表、威胁发生对资产的破坏程度,最终得到风险控制措施列表,供决策者选择。风险控制措施列表包括:降低破坏程度措施:例如备份、区域隔离等;脆弱性弥补措施:例如增加安全设备、安全配置、局部更换、改变管理或业务流程等。决策者不需要选择全部的措施,只需要选择有效、容易实施、投资小的措施即可。,风险诊断与专家知识库,风险诊断关键:专家知识库,威胁轮廓,威胁利用脆弱性(漏洞库),威胁影响库,脆弱性弥补措施(漏洞措施库),影响降低措施(影响措施库),控制措施库,风险预警与风险状态,掌握风险状态:是制定风险缓解策略的依据;是提高安全信心的手段

7、。风险预警:是掌握风险状态的手段。,风险预警与风险状态,风险预警的作用:反映信息系统发生变化时,风险状态的变化资产的增减管理和业务流程的变化安全措施的变化反映外部环境发生变化时,风险状态的变化新的威胁的出现国际、国内社会环境和政治环境的突变反映安全策略发生大的变化时,风险策略的变化风险预警基线调整,风险预警与风险状态,风险预警有两种方式:阀值预警:体现风险的横向状态比较增量预警:体现横向的历史状态比较,卫士通信息资产风险诊断预警系统,系统管理,信息资产管理,风险管理,资产配置管理,综合查询,信息资产风险管理系统框架,系统管理,信息资产管理,资产配置管理,日志管理,保护对象管理,权限管理,业务系统,网络平台,硬件设备,软件信息,人员信息,办公数据,业务数据,物理环境,网络信息,风险管理,综合查询,风险要素管理,风险评估,风险列表,风险诊断,风险预警(阀值),风险预警(增量),安全运行管理措施,安全技术措施,残余风险评估,威胁管理,脆弱性管理,评估组织管理,统计分析,资产价值量化管理,保护对象安全措施管理,卫士通信息资产风险诊断预警系统功能模块,风险管理,谢谢!,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 商业/管理/HR > 质量控制/管理

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号