信息安全风险评估丨

上传人:夏** 文档编号:563396318 上传时间:2023-10-30 格式:DOCX 页数:7 大小:78.69KB
返回 下载 相关 举报
信息安全风险评估丨_第1页
第1页 / 共7页
信息安全风险评估丨_第2页
第2页 / 共7页
信息安全风险评估丨_第3页
第3页 / 共7页
信息安全风险评估丨_第4页
第4页 / 共7页
信息安全风险评估丨_第5页
第5页 / 共7页
点击查看更多>>
资源描述

《信息安全风险评估丨》由会员分享,可在线阅读,更多相关《信息安全风险评估丨(7页珍藏版)》请在金锄头文库上搜索。

1、信息安全风险评估李伟伟20174/25信息安全风险评估一、范围1 基本概念信息安全风险评估实践为基础,围绕评估工作中各阶段的实际操作,分 基本知识、技术与方法、产品与工具、案例四个部分2要素关系信息安全风险评估的基本要素包括资产、威胁、脆弱性、风险等3分析原理4实施流程5评估方法6不同周期的实施要点7工作形式二、索引文件(国家衡量标准)1 GB/T 9631计算机场地安全要求2GB/T 17859-1999计算机信息系统安全保护等级规划准则3 GB/T 18336-2001信息技术安全技术信息技术安全性评估准则4GB/T 19716-2005信息技术信息安全管理使用规则三、风险评估框架及流程1

2、 风险要素关系依輟安全措施腕弱性JHi降低演变抵怡.安全事件残余风险满资产利用成木威胁增加可能锈发导出2风险分析原理凤险值图2风险分析原理图3实施流程图209K42007资产识别凤险评估准备1威胁识别脆弱性识别己 仃安全措/范的确认凤险计算评估过程文档:保持己TT的安全措施4现睦是否接熒制定和实施凤险处理 计划并评估残余凤险V是否接受殛氽风险实施凤险管理!凤险评估文件记录;图3凤险评估实施新程图四、风险评估实施1 风险评估准备1 准备过程目标范围组建团队系统调研确认依据制定方案2资产识别1 人员主机维护主管、网络维护主管、应用项目经理2 服务信息服务:对外依赖该系统开展的各类服务网络服务:各类

3、网络设备、设施提供的网络连接服务办公服务:管理信息系统、包括内部的配置管理、文件流转管理 等服务3 其他企业形象、客户关系等4 数据保存在媒介上的各类数据资料、包括源代码、数据库数据、系统 文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等5 软件系统软件:操作系统、数据库管理系统、语句包、开发系统等 应用软件:办公软件、数据库软件、各类工具软件等 源程序:何种共享源代码、自行或合作开发的各种代码等6 硬件网络设备:路由器、网关、交换机、防火墙等计算机设备:大型机、小型机、服务器、工作站、台式机、便携 计算机等存储设备:磁带机、磁盘阵列、磁带、CD、U盘、移动硬盘等 传输线路:光钎、网

4、线、双绞线等保障设备:UPS、配电柜、空调、门禁、防静电、消防等安全保障设备:防火墙、入侵检测系统、身份鉴别等其他:打印机、复印机、扫描仪、传真机等3威胁识别1 威胁类别來源描述坏境因索閒电、肋电.扳也潮湿、盜度、亂蚁欧害电雜干扰洪気 y猊.览蕊、意外 爭枚導环境危害或自無灵害.以&软件、阻件、敌据、述讯凯辟畀方丽购故隔A为1川素瘫意人员不満的或有磔谍的内部人员对信息乘统进行趣意磯炜:采用白主或内外勾対的力式 盘窃机密信息或址行期改”我駁利益外歆丸员利用怡息羸址的胧胸性.对网皓或碱的机密性.宛摧fl曲冋用性进忏破 坏.以烧取利益或炫羅能力拓恶总人员內噩丸员i:i F-缺乏責柱心”或者由F不羌心

5、和不老注”或若没有遵箱规竜制度和操 柞流程而导软故呻或信息损坏:内部丸员由丁峡乏用训、专业拽能不足,不耳备岗 位技能姿朮if i导软信息弟统故障诚械凶:2威胁赋值GB.T 2091H2007种类描述锻曲子类软腿件故FB对业务实拖硫汞统话疔产主影响的设备换杵故障、通 讯軽寤中斷“系统丰身戒软件缺陷造等问题设爺闸件故阳传输设备故馭 祁備媒休故肾“系统软件故肾“ 应闭牧件故阳、数据昨软件故服肝蛙环境故障物理坏境越軻対信息丢境N帘运It谊成影响的抽理环境问题和白 财害撕电、静电、茨尘.潮湿*温度 鼠蚁虫害“电磁干扰、洪庞、火 氛、地鬣尊応作为或操作失课应谙执行段有执行相应的掠作,或无总地执和J错 谒的

6、撫件雅护错误“撫件失谒等管理不到位安G管理无沱落实或不创位.从而犠坏蓿息系统il常 有序运行管嗨制蛍和集略不兗善、理則 按缺失、职击不呦确、监督控笆; 机制不牲仝等海意代叫故盘在沖獄机系班上执行態盘任备前程序代码病毒、特甫榊木耳、埔虫、暗门、同谏软件、窃听敕件需越权或谧用迪过采用一理播旋,超越自L1的桓隈访问本来无权 访M的碰鴻或背滥用H己的駅权”我出股坏信息系 绒的行为II:授权访问网琳贵瀬、卍披权访 问累统资环 淮用权限非正常修 改靈统配汪或裁据、滥m松眼泄 罪穆密信恳需网给攻击利用匸貝川捷术適过网塔刑信息系统进忏攻击和人 侵岡络採测川倚总采如、汩ihl攥测、 嗔探g户警、权限掌、ffl

7、户券粉宿造和欺驴、用户或业务 誌据的前取和破坏、果统追和:的 控制和麒坏等物理攻击通过脚理的接融造成对敕件、现件、数堀的菠坏抄理推铀*理破坏、靈谢導泄密信息汕需悄不应了雅前他人内韶信总泄需“蚪部信息汕曲呼篦改Ik法僭改信息”理坏信息的完整桃使系统的宾全性降 低或信息不可用赫仮网幽配用信备縣改系红配 賈信鼠 尊世豈全配置信臥 蘆用户身伽 息或业界数搦信息 零抵祕乍承认收到的佶息和所作的攝作和空期煙雄也做接收,第:.方牴4脆弱性识别1 技术脆弱物理环境:断电、静电、灰尘、潮湿、温度、鼠疫虫害、电磁 干扰、洪灾、火灾、地震、意外事故等环境危害或自然灾害网络结构:例如一些网关、路由器、交换机、防火墙、

8、服务器 这一类设备调试的是否合理系统软件:操作软件、数据库管理系统、语句软件以及开发软应用中间件:大多是指传输介质,例如网线、光钎、VGA线、 电源线等连接两台设备之间的传输介质应用系统:服务器系统、闭路电视系统、监控系统、开发系统 以及供应商提供的第三方软件等2管理脆弱技术管理:从物理和环境安全,通信与操作管理,访问控制, 系统开发与维护,业务连续性等方面进行识别应用管理:从安全策略,组织安全,资产分类与控制,人员安 全,符合性等方面进行识别3脆弱赋值很低:如果被威胁利用,对资产造成的伤害可以忽略不计低:如果被威胁利用,对资产造成较小的损害中等:如果被威胁利用,对资产造成一般损害高:如果被威

9、胁利用,对资产造成较大损害很高:如果被威胁利用,对资产造成完全损害5已有安全措施确认6风险分析7风险评估文档记录五、信息系统生命周期各阶段的风险评估1 规划阶段的风险评估在预定范围和目标前做出的风险评估2设计阶段的风险评估工作规划每一个阶段做出的风险评估3实施阶段的风险评估物理工作实施每一个阶段做出的风险评估4运维阶段的风险评估虚拟工作实施的每一个阶段做出的风险评估5废弃阶段的风险评估不可利用的设备、人员、软件以及硬件做出风险评估六、风险评估工具1 风险评估工具2系统和基础平台风险评估3风险评估辅助工具七、风险评估结算方法1 矩阵法计算风险评估2相乘法计算风险评估八、风险评估的工作方式1 自评估由甲方或者甲方所在公司参与信息安全风险评估项调查之为自评估 2检查评估有第三方人员或者第三方公司介入信息安全风险评估调查称之为检查 评估

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 学术论文 > 其它学术论文

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号