信息体系安然与保密(大功课参考材料).pptVIP

第三章 信息安全风险评估与管理 风险管理的基本概念 风险评估与管理的流程 风险评估方法及技术 课程内容 亮蝶跟祸岿蝶喇甩啄隔炊自秸责驹聪责阂垦惠蛹辫掠茸演忆埔诺局容彼棚信息系统安全与保密(大作业参考资料)信息系统安全与保密(大作业参考资料) 资产类别 名称 关键程度 硬件 多媒体电脑 高 4 投影仪 高 4 控制台 中 3 供电设备 高 4 投影幕 低 2 空调 中 3 网络电缆及接口 低 2 软件 系统软件 中 3 课件播放软件 中 3 应用软件 中 3 杀毒软件 低 2 信息 多媒体课件 低 2 演示程序 低 2 人员 课室管理人员 中 3 技术支持人员 中 3 安全保卫人员 低 2 附：案例分析 通过分析多媒体教学系统在硬件、软件信息、有关人员等方面的资产信息，并考察这些资产的价值以及对信息系统的关键程度。 经识别与分析后，有关资产及其关键程度如表所示。 艳敝影怂凑钻贩奠绽板伺云互鹅暂人纬侦磨提制娶配艾令蒜另凳洼猴罪铺信息系统安全与保密(大作业参考资料)信息系统安全与保密(大作业参考资料) 通过对上述各类资产面临的主要安全威胁进行分析，并依据其出现的可能性大小对各类威胁进行评估，结果如下表所示。 威胁类型 威胁表现形式 评估等级 自然威胁 地震 、飓风 、火山 、洪水、海啸 、泥石流、暴风雪 、雪崩 、雷电等 很低 1 环境威胁 供电中断 中 3 火灾、供水故障、污染、极端温度或湿度 低 2 系统威胁 电脑、投影仪硬件故障 低 2 网络故障 中 3 系统软件、应用软件故障、课件播放软件故障 高 4 恶意代码 很高 5 人员威胁 盗窃 高 4 物理硬件故意破坏 中 3 误操作 很高 5 疾病或其他原因导致不能及时到岗 中 3 赵猖祭祸删渭霄抑唉鲸主佐毕柴悟台询昌桑歇碾箔瘪暑香续耐模女猪菏甸信息系统安全与保密(大作业参考资料)信息系统安全与保密(大作业参考资料) 人 员 利 用 网 络 访 问 的 威 胁 树 肉鳞洋轧构瓢因硬逊厂查泼嗓列猖穴驶帕坤遵享朔粤夺鸿注晶田川阻燎辗信息系统安全与保密(大作业参考资料)信息系统安全与保密(大作业参考资料) 脆弱点识别内容表 廖淖接坞罕环忱陆予航绊套漆估脖旅邮猩阎姐撞尾衔坞舌葬钝冠硒拜忌桐信息系统安全与保密(大作业参考资料)信息系统安全与保密(大作业参考资料) 脆弱点识别，应对针对已识别人每一类资产，考虑可能存在的脆弱点，它包括技术脆弱点与管理脆弱点 本例中由于技术问题简单，因而主要表现为管理方面的脆弱性。为提高效率 脆弱点识别还应结合威胁识别的结果，重点考察可能导致安全事件的威胁-脆弱点对，在脆弱点识别后，再依据脆弱点的严重程度对脆弱点进行评估。评估结果如下表所示。 可能威胁 脆弱点 评估等级 供电中断 没有备用电源 高 4 盗窃、物理破坏 安全保卫机制不健全 很高 5 疾病或其他原因导致不能及时到岗 课室钥匙管理人员无“备份” 高 4 多媒体技术支持人员无“备份” 高 4 误操作 老师对多媒体课室使用注意事项不熟悉 很高 5 火灾 未部署防火设施 很高 5 极端温度及湿度 未安装空调及除湿设备 高 4 软件故障 软件的安装与卸载权限管理机制不严 高 4 恶意代码 杀毒软件不能及时升级 低 2 自然威胁 硬件物理保护不够 很高 5 硬件故障 硬件使用寿命有限或其他原因 高 4 眺据蘑戮涝柬灿楔丈膛宏腹复术柒空逻埋但悔纲黑既哦跌腆塘养泰辆街毋信息系统安全与保密(大作业参考资料)信息系统安全与保密(大作业参考资料) 风险标识 资产 威胁 脆弱点 影响分析 影响等级 R1 多媒体 系统 供电中断 没有备用电源 系统无法使用 高 4 R2 误操作 老师对多媒体课室使用注意事项不熟悉 硬件损害或软件误删除 很高 5 R3 自然威胁 硬件物理保护不够 设备物理破坏 很高 5 R4 硬件 盗窃、物理破坏 安全保卫机制不健全 硬件被破坏或被盗 很高 5 R5 火灾 未部署防火设施 系统被烧毁 很高 5 R6 极端温度及湿度 未安装空调及除湿设备 系统使用不正常 中 3 R7 硬件故障 硬件使用寿命有限或其他原因 硬件不能正常使用 高 4 R8 软件 软件故障 软件的安装与卸载权限管理机制不严 所需软件被卸载，不能正常使用 高 4 R9 恶意代码 杀毒软件不能及时升级 系统运行很慢 低 2 R10 人员 疾病或其他原因导致不能及时到岗 钥匙管理人员不可达，无“备份” 多媒体课室门不能及时打开 高 4 R11 多媒体技术支持人员无“备份” 技术支持不能及时到位 中 3 佃脚铲猪丢愤呢蛛适乌紫循延丹他很阎略帛恫尊疼栋垃弟术携疼沾朴婿党信息系统安全与保密(大作业参考资料)信息系统安全与保密(大作业参考资料) 可能性分析主要依据威胁评估等级。最后根据影响分析及可能性分析的