国家计算机网络入侵防范中心-信息系统安全风险模型 —RC模型.pptVIP

国家计算机网络入侵防范中心/ 内容摘要 第一 背景知识 第二 主要模型介绍 第三 RC模型 第四 RC模型的应用 第一、背景知识 资产（Asset）是指企业、机构直接赋予了价值并需要保护的东西 脆弱点（Vulnerability）是指资产或资产组中能够被威胁利用的弱点 威胁（Threat）是指可能对资产或组织造成损害的事故的潜在原因 第一、背景知识—续1 风险（Risk）就是特定的威胁利用资产的一种或一组脆弱点，导致资产的丢失或损害的潜在可能性，即特定威胁事件发生的可能性与后果的结合 识别、分析、评估、缓减或转移风险的过程通常定义为风险管理。风险管理包括风险分析与评估、风险缓减、风险持续评估 第二、主要模型介绍 第二、主要模型介绍—续1 第二、主要模型介绍—续2 两个模型都正确地描述了信息系统的风险 两个模型都解释以下问题： 风险如何产生 风险受那些因素影响 如何降低风险等 第二、主要模型介绍—续3 两个模型都存在以下不足 ： 没有直观地反映出在整个信息系统生命周期中风险的变化 模型没有地说明风险管理和风险分析与评估对信息系统风险的影响 没有从风险时间变化的宏观高度动态地把握风险 第三、RC模型 第三、RC模型—续1 RC模型以风险管理为基础，从风险时间变化的宏观角度出发描述风险风险如何产生，具有以下优点： 从较高的层次（信息系统生命周期）直观地描述风险——