信息安全管理讲义.pptVIP

信息安全管理技术 信息安全管理引入与内涵 信息安全在其发展过程中经历的三个阶段： 20世纪80、90年代以前，面对信息交换过程中存在的安全问题，人们强调的主要是信息的保密性和完整性，该阶段称为通信保密阶段； 20世纪80、90年代，随着计算机和网络广泛应用，人们对信息安全的关注已经逐渐扩展为以保密性、完整性和可用性为目标，并利用密码、认证、访问控制、审计与监控等多种信息安全技术为信息和信息系统提供安全服务，该阶段称为信息安全阶段； 信息安全管理引入与内涵 信息安全在其发展过程中经历的三个阶段 20世纪90年代中后期，由于互联网技术的飞速发展，信息对内、对外都极大开放，由此产生的安全问题已经不仅仅是传统的保密性、完整性和可用性三个方面，人们把信息主体和管理引入信息安全，由此衍生出诸如可控性、抗抵赖性、真实性等安全原则和目标，信息安全也从单一的被动防护向全面而动态的防护、检测、响应和恢复等整体建设方向发展。该阶段称为信息安全保障阶段。 信息安全管理引入与内涵 信息安全技术与信息安全管理 信息安全规划 信息安全规划也称为信息安全计划，它用于在较高的层次上确定一个组织涉及信息安全的活动，主要内容： 信息安全风险识别与评估 信息安全风险来自人为或自然的威胁，是威胁利用信息系统的脆弱性造成安全事件的可能性及这类安全事件可能对信息资产等造成的负面影响。 信息安全风险识别与评估 信息安全风险评估： 也称信息安全风险分析，它是指对信息安全威胁进行分析和预测，评估这些威胁对信息资产造成的影响。 信息安全风险评估使信息系统的管理者可以在考虑风险的情况下估算信息资产的价值，为管理决策提供支持，也可为进一步实施系统安全防护提供依据。 资产的识别与估价 为了明确被保护的信息资产，组织应列出与信息安全有关的资产清单，对每一项资产进行确认和适当的评估。 为了防止资产被忽略或遗漏，在识别资产之前应确定风险评估范围。所有在评估范围之内的资产都应该被识别，因此要列出对组织或组织的特定部门的业务过程有价值的任何事物，以便根据组织的业务流程来识别信息资产。 资产的识别与估价 在列出所有信息资产后，应对每项资产赋予价值。资产估价是一个主观的过程，而且资产的价值应当由资产的所有者和相关用户来确定，只有他们最清楚资产对组织业务的重要性，从而能够准确地评估出资产的实际价值。 为确保资产估价的一致性和准确性，组织应建立一个资产的价值尺度（资产评估标准），以明确如何对资产进行赋值。 在信息系统中，采用精确的财务方式来给资产确定价值比较困难，一般采用定性分级的方式来建立资产的相对价值或重要度，即按照事先确定的价值尺度将资产的价值划分为不同等级，以相对价值作为确定重要资产及为这些资产投入多大资源进行保护的依据。 资产的识别与估价 威胁识别与评估 威胁识别与评估 威胁识别与评估 威胁识别与评估 威胁识别与评估 威胁识别与评估 威胁发生造成的后果或潜在影响 脆弱性识别与评估 仅有威胁还构不成风险。由于组织缺乏充分的安全控制，组织需要保护的信息资产或系统存在着可能被威胁所利用的弱点，即脆弱性。威胁只有利用了特定的脆弱性或者弱点，才可能对资产造成影响。 脆弱性识别与评估 脆弱性是资产本身存在的，威胁总是要利用资产的脆弱性才能造成危害。 资产的脆弱性具有隐蔽性，有些脆弱性只有在一定条件和环境下才能显现。 脆弱性识别可以资产为核心，即根据每个资产分别识别其存在的弱点，然后综合评价该资产的脆弱性；也可分物理、网络、系统、应用等层次进行识别。 脆弱性识别与评估 脆弱性识别与评估 评估脆弱性需要考虑的因素 脆弱性的严重程度（Severity）； 脆弱性的暴露程度（Exposure），即被威胁利用的可能性P， 这两个因素可采用分级赋值的方法。 例如对于脆弱性被威胁利用的可能性可以分级为： 非常可能= 4，很可能= 3，可能= 2，不太可能= 1，不可能= 0。 确认现有安全控制 在影响威胁事件发生的外部条件中，除了资产的弱点，再就是组织现有的安全控制措施。 在风险评估过程中，应当识别已有的（或已计划的）安全控制措施，分析安全控制措施的效力，有效的安全控制继续保持，而对于那些不适当的控制应当核查是否应被取消，或者用更合适的控制代替。 确认现有安全控制 确认现有安全控制 确认现有安全控制 安全控制应对风险各要素的情况 风险评价 风险评价就是利用适当的风险测量方法或工具确定风险的大小与等级，对组织信息安全