《IT风险评估的系统性量化评估体系》由会员分享,可在线阅读,更多相关《IT风险评估的系统性量化评估体系(37页珍藏版)》请在金锄头文库上搜索。
1、风险评估的系统性量化评估体系评估方法论系统性信息安全保障和评估的基础系统性信息安全量化评估模型系统性信息安全评估工具信息安全量化评估流程2主要内容3系统性信息安全量化评估体系框架评评估估架架构构方法学方法学系统论系统论控制论控制论数学数学计算机科学计算机科学基础理论基础理论计算机发展计算机发展信息安全标准发展信息安全标准发展基于过程基于过程基于技术基于技术基于管理基于管理评估模型评估模型威胁树模型威胁树模型层次分析模型层次分析模型模糊数学模型模糊数学模型控制反馈模型控制反馈模型保护轮廓模型保护轮廓模型综合应用综合应用评估工具评估工具管理问讯表管理问讯表技术检测技术检测标准分解标准分解模型方法库
2、模型方法库评估软件原形评估软件原形评估量表体系评估量表体系评估流程评估流程支持性数据采集、融合、处理流程支持性数据采集、融合、处理流程核心核心OCTAVE 流程流程量化评估量化评估系系统统性性信信息息安安全全量量化化评评估估体体系系4评估体系方法论评评估估架架构构方法学方法学系统论系统论控制论控制论数学数学计算机科学计算机科学基础理论基础理论计算机发展计算机发展信息安全标准发展信息安全标准发展基于过程基于过程基于技术基于技术基于管理基于管理评估模型评估模型威胁树模型威胁树模型层次分析模型层次分析模型模糊数学模型模糊数学模型控制反馈模型控制反馈模型保护轮廓模型保护轮廓模型综合应用综合应用评估工具
3、评估工具管理问讯表管理问讯表技术检测技术检测标准分解标准分解模型方法库模型方法库评估软件原形评估软件原形评估量表体系评估量表体系评估流程评估流程量化评估量化评估系系统统性性信信息息安安全全量量化化评评估估体体系系支持性数据采集、融合、处理流程支持性数据采集、融合、处理流程核心核心OCTAVE 流程流程5系统性信息安全量化评估基础评评估估架架构构方法学方法学系统论系统论控制论控制论数学数学计算机科学计算机科学基础理论基础理论计算机发展计算机发展信息安全标准发展信息安全标准发展基于过程基于过程基于技术基于技术基于管理基于管理评估模型评估模型威胁树模型威胁树模型层次分析模型层次分析模型模糊数学模型模
4、糊数学模型控制反馈模型控制反馈模型保护轮廓模型保护轮廓模型综合应用综合应用评估工具评估工具管理问讯表管理问讯表技术检测技术检测标准分解标准分解模型方法库模型方法库评估软件原形评估软件原形评估量表体系评估量表体系评估流程评估流程支持性数据采集、融合、处理流程支持性数据采集、融合、处理流程核心核心OCTAVE 流程流程量化评估量化评估系系统统性性信信息息安安全全量量化化评评估估体体系系6系统性信息安全量化评估模型评评估估架架构构方法学方法学系统论系统论控制论控制论数学数学计算机科学计算机科学基础理论基础理论计算机发展计算机发展信息安全标准发展信息安全标准发展基于过程基于过程基于技术基于技术基于管理
5、基于管理评估模型评估模型威胁树模型威胁树模型层次分析模型层次分析模型模糊数学模型模糊数学模型控制反馈模型控制反馈模型保护轮廓模型保护轮廓模型综合应用综合应用评估工具评估工具管理问讯表管理问讯表技术检测技术检测标准分解标准分解模型方法库模型方法库评估软件原形评估软件原形评估量表体系评估量表体系评估流程评估流程支持性数据采集、融合、处理流程支持性数据采集、融合、处理流程核心核心OCTAVE 流程流程量化评估量化评估系系统统性性信信息息安安全全量量化化评评估估体体系系7系统性信息安全量化评估工具评评估估架架构构方法学方法学系统论系统论控制论控制论数学数学计算机科学计算机科学基础理论基础理论计算机发展
6、计算机发展信息安全标准发展信息安全标准发展基于过程基于过程基于技术基于技术基于管理基于管理评估模型评估模型威胁树模型威胁树模型层次分析模型层次分析模型模糊数学模型模糊数学模型控制反馈模型控制反馈模型保护轮廓模型保护轮廓模型综合应用综合应用评估工具评估工具管理问讯表管理问讯表技术检测技术检测标准分解标准分解模型方法库模型方法库评估软件原形评估软件原形评估量表体系评估量表体系评估流程评估流程支持性数据采集、融合、处理流程支持性数据采集、融合、处理流程核心核心OCTAVE 流程流程量化评估量化评估系系统统性性信信息息安安全全量量化化评评估估体体系系8系统性信息安全量化评估流程评评估估架架构构方法学方
7、法学系统论系统论控制论控制论数学数学计算机科学计算机科学基础理论基础理论计算机发展计算机发展信息安全标准发展信息安全标准发展基于过程基于过程基于技术基于技术基于管理基于管理评估模型评估模型威胁树模型威胁树模型层次分析模型层次分析模型模糊数学模型模糊数学模型控制反馈模型控制反馈模型保护轮廓模型保护轮廓模型综合应用综合应用评估工具评估工具管理问讯表管理问讯表技术检测技术检测标准分解标准分解模型方法库模型方法库评估软件原形评估软件原形评估量表体系评估量表体系评估流程评估流程支持性数据采集、融合、处理流程支持性数据采集、融合、处理流程核心核心OCTAVE 流程流程量化评估量化评估系系统统性性信信息息安
8、安全全量量化化评评估估体体系系9系统性信息安全量化评估体系评评估估架架构构方法学方法学系统论系统论控制论控制论数学数学计算机科学计算机科学基础理论基础理论计算机发展计算机发展信息安全标准发展信息安全标准发展基于过程基于过程基于技术基于技术基于管理基于管理评估模型评估模型威胁树模型威胁树模型层次分析模型层次分析模型模糊数学模型模糊数学模型控制反馈模型控制反馈模型保护轮廓模型保护轮廓模型综合应用综合应用评估工具评估工具管理问讯表管理问讯表技术检测技术检测标准分解标准分解模型方法库模型方法库评估软件原形评估软件原形评估量表体系评估量表体系评估流程评估流程支持性数据采集、融合、处理流程支持性数据采集、
9、融合、处理流程核心核心OCTAVE 流程流程量化评估量化评估系系统统性性信信息息安安全全量量化化评评估估体体系系10用综合集成系统思路进行评估体系的建设 11研究思路 信息技术安全管理方针 (ISO13335) ISO17799(BS7799:1999 )12基于管理的信息安全度量基准 四大评估方法四大评估方法基准方法知识经验方法详细量化方法联合方法模型对比13技术型检测工具主机风险评估软件网络风险评估软件数据库扫描器、系统扫描器、互联网扫描器COBRAASSET等 管理型评估工具OCTAVE工具中国国家信息安全测评中心量表北京市信息安全测评中心量表 14国内外安全测评工具的现状 15量化工具
10、整体模型 16评估软件:安装登陆17评估软件:输入评估评估流程研究标准性原则规范性原则可控性原则整体性原则最小影响原则保密性原则19风险评估的原则20风险评估逻辑流程21风险评估的过程22风险分析与评估流程图23风险调查和分析软件24风险排序25风险分类26措施筛选定量和定性分析方法的具体应用28信息系统分析风险分析模型29关键资产30序号资产名称选择原因相关组件1网站应用系统核心系统WEB Server,数据服务器,应用服务器,备份服务器,用户终端,网站数据与信息2办公自动化系统重要业务系统数据服务器,应用服务器,备份服务器,用户终端,数据与信息3其它应用系统业务系统数据服务器,应用服务器,
11、备份服务器,用户终端,数据与信息4安全设施安全设备,影响到系统的安全运行和网络链路的畅通。防火墙、入侵检测、防病毒系统威胁分析及其量化脆弱性分析及其量化威胁事件分析及其量化31量化分析过程量化表32一一二二三三四四五五威威胁胁因因素素存存在在但但发发生生的的可能性极小可能性极小威威胁胁因因素素存存在在且且发发生生的的可能性较小可能性较小威威胁胁因因素素存存在在且且有有一一定定的的发发生生可可能能性性威威胁胁因因素素存存在在且且发发生生的的可能性较大可能性较大威威胁胁因因素素存存在在且且发发生生的的可能性极大可能性极大威胁因素威胁因素量化表量化表管理脆弱性管理脆弱性量化表量化表技术脆弱性技术脆弱
12、性量化表量化表一一二二三三四四五五组组织织管管理理中中没没有有相相关关的的薄薄弱弱环环节节,很难被利用很难被利用组组织织管管理理中中没没有有相相应应的的薄薄弱弱环环节节,难以被利用难以被利用组组织织管管理理中中没没有有明明显显的的薄薄弱弱环环节节,可以被利用可以被利用组组织织管管理理中中存存在在着着薄薄弱弱环环节节,比比较较容易被利用容易被利用组组织织管管理理中中存存在在着着明明显显的的薄薄弱弱环环节节,并并且且很很容容易易被利用被利用一一二二三三四四五五技技术术方方面面存存在在着着低低等等级级缺缺陷陷,从从技技术术角角度度很很难难被利用被利用技技术术方方面面存存在在着着低低等等级级缺缺陷陷,从从技技术术角角度度难难以以被利用被利用技技术术方方面面存存在在着着一一般般缺缺陷陷,从从技技术术角角度度可可以以被被利用利用技技术术方方面面存存在在着着严严重重的的缺缺陷陷,比比较较容易被利用容易被利用技技术术方方面面存存在在着着非非常常严严重重的的缺缺陷陷,很很容容易易被被利利用用量化分析工具33技术风险34风险综合评估管理风险35风险综合评估量化分析结果36优先考虑的措施近期需要考虑的措施长期还需考虑的措施37安全策略建议
