信息安全管理第四章.pdf

第四章第四章第四章第四章 风险识别和评估风险识别和评估风险识别和评估风险识别和评估 引入: 人体的反应 0.与风险评估有关的概念 威胁威胁－－指可能对资产或组织造成损害的事故的潜指可能对资产或组织造成损害的事故的潜 在原因 薄弱点－－指资产或资产组中能被威胁利用的弱点 风险风险－－特定的威胁利用资产的特定的威胁利用资产的一种或种或一组薄弱组薄弱 点，导致资产的丢失或损害的潜在可能 性性，即特定威胁事件发生的可能性与后果即特定威胁事件发生的可能性与后果 的结合 风险评估 －－ 对 信 息 和 信 息 处 理 设 施 的 威 胁、影响和薄弱点及三者发生的 可能性的评估可能性的评估 风险险 管管 理－－以以可接受的费用识别接受的费用识别、控控 制制、降低降低 或消除可能影响信息系统的安全风 险的过程 安全控制 －－降 低 安 全 风 险 的 惯 例、程 序 或 机制机制 剩余风 险－－实 施 安 全 控 制 后， 剩 余 的 安全 风险 适用性 声 明 －－适 用 于 组 织 需 要 的 目标和控 制的评述。适用性声明是一个包 含组织所选择的控制目标与控制含组织所选择的控制目标与控制 方式的文件，相当于一个控制目 标与方式清单标与方式清单，其中应阐述选择其中应阐述选择 与不选择的理由 资产具有价值，并会受到威胁的潜在影响 薄弱点将资产暴露给威胁薄弱点将资产暴露给威胁，威胁利用薄弱点对资产威胁利用薄弱点对资产 造成影响 威胁与薄弱点的增加导致安全风险的增加 安全风险的存在对组织的信息安全提出要求安全风险的存在对组织的信息安全提出要求 安全控制应满足安全要求安全控制应满足安全要求 1.资产识别 管理者确认机构的信息资产管理者确认机构的信息资产，将它们归入各个不同将它们归入各个不同 的类，并根据它们在总体上的重要性划分优先级别 （（1））建建立信息资产清单信息资产清单 ①识别硬件、软件和网络资产 －－如果机构利用资产购买清单自动管理系统如果机构利用资产购买清单自动管理系统， CISO 或 CIO 的责任就是确定哪种软件包最适 合机构的需要合机构的需要 －－没有使用清单自动管理系统的机构就必须建立 起类似的人工操作过程起类似的人工操作过程 －－重要的是重要的是，必须确定每必须确定每一种信息资产的哪些属种信息资产的哪些属 性需要受到追踪  命名：一张设备或程序常用名单  IPIP 地址地址：：该属性对网络设备和服务器很有用该属性对网络设备和服务器很有用， 但很少对软件有所影响  媒体访问控制（MAC）地址：硬件地址  产品序列号产品序列号：：一种识别特定设备的惟种识别特定设备的惟一序列号序列号， 一些软件商也给机构许可的每个程 序分配一个软件序列号  资产类型：用于描述每一种资产的功能或作用  制造商制造商：：当某个制造商公布其产品漏洞时当某个制造商公布其产品漏洞时，该属该属 性有助于分析潜在威胁  制造型号或部件编号：该编号能正确识别资产， 在漏洞分析中很有用  软件版本号、更新修订版号或域变更通知号  物理位置：该属性并不属于软件要素。但一些机 构可能指出在何处可以使用软件的许 可条款可条款  逻辑位置逻辑位置：用以指定资产在机构内部网络中的位用以指定资产在机构内部网络中的位