信息安全过程与最佳实践题稿.ppt

信息安全过程与最佳实践 邹方波 boris@ 广州嘉为计算机网络教育中心 议题 商业案例 安全性风险管理准则 深层防御 安全事件应对 攻击情形 最佳做法 十条永恒的安全法则 违反安全性所造成的影响 CSI/FBI 2003 调查 实施各项安全措施的成本不低，但却是出现安全事件后减轻影响的成本的一小部分。 议题 商业案例 安全性风险管理准则 深层防御 安全事件应对 攻击情形 最佳做法 十条永恒的安全法则 安全性风险管理准则 (SRMD) 过程 评估 评估和评价资产 确定安全性风险 分析安全性风险并确定其重要性 开发与实现 开发安全补救措施 测试安全补救措施 获取安全知识 实施 重新评估新的和变更的资产及安全性风险 稳定和部署新的或更改的对策 评估：评估和评价 评估：确定安全性威胁 - STRIDE 评估：分析安全性风险并确定其重要性 - DREAD DREAD 损害 (Damage) 再现性 (Reproducibility) 可利用性 (Exploitability) 受影响的用户 (Affected Users) 可发现性 (Discoverability) 风险 = 资产重要性 x 威胁等级 评估：跟踪、规划和调度安全性风险活动 开发与实现：开发安全补救措施 开发与实现：测试安全补救措施 开发与实现：获取安全知识 实施：重新评估资产和风险 新的和变更的资产及安全性风