I信息安全的基本概念.docVIP

1. 信息安全是指信息的保密性、完整性可用性和的保持。 2、信息安全的重要性 a.信息安全是国家安全的需要 b.信息安全是组织持续发展的需要 c.信息安全是保护个人隐私与财产的需要 3、如何确定组织信息安全的要求 a.法律法规与合同要求 b.风险评估的结果(保护程度与控制方式) c.组织的原则、目标与要求 8.风险评估与管理的术语关系图 （其实，安全控制与薄弱点间、安全控制与资产间、安全风险与资产间、威胁与资产间均存在有直接或间接的关系） 风险评估过程 a.风险评估应考虑的因素 （1）信息资产及其价值 （2）对这些资产的威胁，以及他们发生的可能性 （3）薄弱点 （4）已有的安全控制措施 b.风险评估的基本步骤 （1）按照组织商务运作流程进行信息资产识别， 并根据估价原则对资产进行估价 （2）根据资产所处的环境进行威胁识别与评价 （3）对应每一威胁，对资产或组织存在的薄弱点 进行识别与评价 （4）对已采取的安全控制进行确认 （5）建立风险测量的方法及风险等级评价原则， 确定风险的大小与等级 10.资产识别与估价 资产识别时常应考虑：（1）数据与文档 （2）书面文件 （3）软件资产 （4）实物资产（5）人员 （6）服务 资产估价的概念 资产估价是一个主观的过程，资产价值不是以资产的账面价格来衡量的，而是指其相对价值。在对资产进行估价时，不仅要考虑资产的账面价格，更重要的是考虑资产对于组织商务的重要性，即根据资产损失所引发的潜在的商务影响来决定。 12.PTV=PT*PV 式中 PTV——考虑资产薄弱点因素的威胁发生的可能性； PT——未考虑资产薄弱点因素的威胁发生的可能性，即这一威胁发生可能性的组织、行业、地区或社会均值； PV——资产的薄弱点被威胁利用的可能性 威胁的评价 评价威胁发生所造成的后果或潜在影响。不同的威胁对同一资产或组织所产生的影响不同，即导致的价值损失也不同，但损失的程度应以资产的相对价值（或重要度）为限。 威胁的潜在影响I=资产相对价值V*价值损失程度CL 价值损失程度CL是一个小于等于1大于0的系数，资产遭受安全事故后，其价值可能完全丧失（即CL=1），但不可能对资产价值没有任何影响（即CL≠0）。为简化评价过程，可以用资产的相对价值代替其所面临的威胁产生的影响，即用V代替I，让CL=1。 风险评估（重点） ①风险测量方法—风险大小和等级评价原则 风险是威胁发生的可能性,薄弱点被威胁利用的可能性和威胁的潜在影响的函数: R=R(PT,PV,I) 其中：R---资产受到某一威胁所拥有的风险 例2-3 使用风险矩阵表进行测量（预先价值矩阵） 例2-4 二元乘法风险测量，计算公式为：R=R(PTV,I)=PTV*I即利用威胁发生的真实可能性PTV和威胁的潜在影响I两个因素来评价风险，风险大小为两者因素值之乘积 例2-5 关于网络系统的风险测量举例 R=R(PTV,I)=I*PTV=V*CL*PTV=V*(1-PD)*(1-PO) 式中：V----系统的重要性 PO---防止威胁发生的可能性 , PTV = 1-PO PD---防止系统性能降低的可能性, CL= 1-PD 例2-6,7可接受的和不可接受的风险区分方法 ③风险优先级别确定 例2-8 利用区间的方法将例2-1计算的风险进行等级划分 15.安全控制的识别和选择： 选择依据①以风险评估的结果为依据②以费用因素为依据 16.风险控制： 降低风险途径①避免风险,也称规避风险,属去除威胁②转移风险③减少威胁④减少薄弱点⑤减少威胁可能的影响程度⑥探测有害事故，对其做出反应并恢复,属及时捕捉威胁 基本的风险评估 优点：（1）风险评估所需资源最少，简便易行 （2）同样或类似的控制能被许多信息安全管理体系所采用，不需要耗费很 大的精力。如果多个商业要求类似，并且在相同的环境中运作，这些控制可以提供一个经济有效的解决方案。 缺点：（1）如果安全水平被设置的太高，就可能需要过多的费用或控制过度；如果水平太低，对一些组织来说，可能会得不到充分的安全。（由于方法是基本的，不细，较粗，因此，评估结果可能也较粗，不够精确，有一定的出入） （2）对管理相关的安全进行更改可能有困难。如一个信息安全管理体系被升级，评估最初的控制是否仍然充分就有一定的困难。 18.详细的风险评估 优点：（1）能获得一个更精确的安全风险的认识，从而更为精确地识别反映组织安全要求的安全水平。 （2）可以从详细的风险评估中获得额外信息，