第5讲风险评估与测评.pptVIP

第5讲 风险评估分析与测评 5.1 资产识别 略 5.2 威胁识别 威胁（threat）：指可能导致对系统或组织危害的事故潜在起因。 威胁识别（threat recognition）：指分析事故潜在起因的过程。 重点识别：按照资产的重要性进行排序，从而决定投入威胁识别的资源多少。 5.2.1 威胁分类 威胁来源分类 威胁分类 威胁赋值（历史记录、现场取证、权威发布） 5.2.2 威胁识别案例分析 信息环境——软环境威胁识别 信息环境——硬环境威胁识别 公用信息载体威胁识别 专用信息载体威胁识别 威胁输出报告 信息环境——软环境威胁识别 人员资产威胁识别：欺骗威胁、窃密、权限滥用 信息环境——软环境威胁识别 管理制度威胁识别 信息环境——硬环境威胁识别 机房及保障设备威胁分类及其严重程度赋值 5.2.3 公用信息载体威胁识别 通信设备威胁识别 5.2.3 公用信息载体威胁识别 安全防护设备威胁识别 5.2.4 专用信息载体威胁识别 5.2.5 威胁识别输出报告 5.3 脆弱性识别 脆弱性（vnlnerability），指可能被威胁所利用的资产或若干资产的薄弱环节。 管理脆弱性大体上可以分为两类：一类是结构脆弱性，即信息安全管理体系不完备。如一个组织的信息系统只有安全管理岗位，没有安全审计员岗位等。第二类是操作脆弱性，在其位不谋其政。各种管理制度虽然完整，但并