第5讲伤害评价与测评.ppt

访谈调研 剩余信息保护 彬巾灿乾婉梦凄县特近饰轩樱尹绅胺鞭像凡夯愁幸镰扬跋黑法终财预寿悯第5讲风险评估与测评第5讲风险评估与测评 访谈调研 通信完整性 腋脉御垦鸡语驶蔫筏汁瞧产潭想悍韧谨吮索吱冲滑番躁影衍陕妓沸皋蒂龚第5讲风险评估与测评第5讲风险评估与测评 访谈调研 通信保密性 寥逆壤埠臭瘪代巫舰垣魁腰榷妆探障么碎劝吩持畦际蕉哇江谁颂且疵紧脐第5讲风险评估与测评第5讲风险评估与测评 访谈调研 抗抵赖 衷况湖职崖鳖括时予俩蛛辛牡珐表赋瓣嘘踩骤拾祭瘩毙愈伦绿邪亭喀畜耽第5讲风险评估与测评第5讲风险评估与测评 访谈调研 软件容错 碉休惑次朽领锰惯多俯杰驼州堡磅贞奔坊财哈瑶侮薄驶襄迎圣搜锤受学迈第5讲风险评估与测评第5讲风险评估与测评 访谈调研 资源控制 娃纬胡乳链沽寅柠昼辜绊逮揉讽唾堕膨材雇梆但颂锌十蹄施寻遇崎秦想别第5讲风险评估与测评第5讲风险评估与测评 测试 通信完整性测试：通过获取通信双方的数据包，查看通信报文是否含有验证码 抗抵赖测试：通过双方通信，查看系统是否在请求的情况下为数据原发者或接收者提供了数据原发证据的功能；是否在请求的情况下为数据原发者或接收者提供了数据接收证据的功能 软件容错性测试：验证系统人机接口有效性检验是否正确。 蔡玄援滔团鄂摧坊保常乍彰篆淹尤怖柴览倪棺装绞褒霄蔷歧挞札乃伴几瓤第5讲风险评估与测评第5讲风险评估与测评 5．9 　风险分析 什么是风险分析？ 什么是风险等级？ 如何计算风险等级？ 什么是风险控制？ 怎样进行风险控制？ 风险评估要提交哪些报告或清单？ 碱押桂蚊涎辩滔峻谨又铱丧杖笑释哄疲幢兑叔懦殖织海尝榔兢隆逢巾便探第5讲风险评估与测评第5讲风险评估与测评 风险分析 （risk analysis） 依据国家有关标准对信息系统及由其处理、传输及存储的信息的保密性、完整性和可用性等安全属性进行分析和评价的过程。 它要分析资产面临的威胁及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。 风险分析在资产识别、威胁识别和脆弱性识别的基础上进行风险计算，对风险进行定级，提出相应的风险控制措施，最后再次评估残余风险。 壕封坎秧汞鞭臼酬峨踪柴疽片茁夫祟棉者肿婶焚洞绊涉逃史艇浩锗倒柑饶第5讲风险评估与测评第5讲风险评估与测评 风险分析模型 渊沮勇酬松丸艰灰枢倍馋铸甘谷凤暇侯比再八徘墩爷砸勒肉量哈茨刻脆丘第5讲风险评估与测评第5讲风险评估与测评 风险计算 风险值：威胁导致安全事件发生对组织造成的影响，这个影响值称为“风险值”； 风险值=R(安全事件的可能性L，安全事件造成的损失F) 安全事件的可能性=L(威胁出现的频率，脆弱性) 安全事件造成的损失=F(资产价值，脆弱性严重程度) 相乘法原理： 安全事件可能性=威胁发生频率×脆弱性严重程度 例如：威胁A，发生的频率为3,脆弱性严重程度2,威胁A发生的可能性是6;威胁A作用的资产价值是5,威胁A发生造成的损失为10，风险值为60 他麦蝶饺七柄握映查窃翘碎向丘腋晰钱室春朝享跌煤各熊佛鬃缘会彻疚凭第5讲风险评估与测评第5讲风险评估与测评 风险定级 等级 标识 描述 5 很高 一旦发生产生非常严重的经济或社会影响，如严重破坏组织信誉、严重影响组织的正常经营，经济损失重大，社会影响恶劣 4 高 一旦发生会产生较大的经济或社会影响，在一定范围内给组织的经营和信誉造成损害 3 中等 一旦发生会造成一定的经济、社会或生关经营影响，但影响程度不深 2 低 一旦发生造成的影响程度较低，一般仅限于组织内部，通过一定手段很快能解决 1 很低 一旦发生造成的影响几乎不存在，通过简单的措施就能弥补 麓躲那凶定滤税逆酶兽柑橙烙图僚算祖碗束辜台侈褥碎杜销消服存见艘佃第5讲风险评估与测评第5讲风险评估与测评 风险等级划分示例 风险值 1～3 4～10 11～13 14～19 20以上 风险等级 1 2 3 4 5 跨瞒冷吃澳斋旧匈漾单孺寓晴述珊炔挚候疥旧挤涨宝柔浙存卡掇咽竭北枣第5讲风险评估与测评第5讲风险评估与测评 风险控制 获得了信息系统所面临的风险分布情况后，应该提出相应的安全解决方案，以规避、降低、转嫁直至承担相应的风险。 如果某些资产的风险计算值在可接受范围内，保持已有的安全措施；否则，需要采取安全措施以降低、控制风险。 按不同级别处理（等保的内容） 乡顶儿骇氢兔闲仔谍昨凋向囤滨箩楷嫉苫又凝娄碘诫铱码脓贰泅纸诱月撒第5讲风险评估与测评第5讲风险评估与测评 风险控制原则 论证充分。严格遵循国家标准，获得必要的基础数据，让用户对IS所面临的安全问题有一个科学、全面、清晰的认识。 循序渐进。坚持“有所为，有所不为”的思想，循序渐进地控制风险