信息安全风险评估实例.ppt

资产 资产 价值 威胁 威胁 频率 脆弱性 严重 程度 安全事件 可能性 可能性 等级 安全事件 损失 损失 等级 风险 值 风险 等级 A-01 1 T-02 2 VULN-01 3 10 2 6 2 8 2 T-03 5 VULN-02 3 17 4 6 2 15 3 A-02 2 T-02 2 VULN-03 4 13 3 12 3 13 3 T-04 2 VULN-04 4 13 3 12 3 13 3 A-03 3 T-03 5 VULN-05 3 17 4 11 3 17 3 A-04 3 T-03 5 VULN-06 3 17 4 11 3 17 3 VULN-07 3 17 4 11 3 17 3 A-05 4 T-03 5 VULN-08 4 20 4 19 4 20 4 VULN-09 4 20 4 19 4 20 4 A-06 4 T-04 2 VULN-10 5 17 4 22 5 23 4 VULN-11 5 17 4 22 5 23 4 A-07 3 T-02 1 VULN-12 5 14 3 20 4 16 3 VULN-13 4 11 2 15 3 9 2 A-08 3 T-07 3 VULN-14 5 20 4 20 4 20 4 表8-10 风险计算表1 资产 资产 价值 威胁 威胁 频率 脆弱性 严重 程度 安全事件 可能性 可能性 等级 安全事件 损失 损失 等级 风险 值 风险 等级 A-09 3 T-06 3 VULN-15 5 20 4 20 4 20 4 T-01 1 VULN-16 5 14 3 20 4 16 3 T-02 4 VULN-17 5 22 5 20 4 23 4 T-05 4 VULN-18 4 18 4 15 3 17 3 A-10 4 T-04 2 VULN-19 5 17 4 22 5 23 4 T-02 4 VULN-20 5 22 5 22 5 25 5 T-06 3 VULN-21 5 20 4 22 5 23 4 T-08 4 VULN-22 4 18 4 19 4 20 4 A-11 4 T-04 2 VULN-23 5 17 4 22 5 23 4 T-02 4 VULN-24 5 22 5 22 5 25 5 T-06 3 VULN-25 5 20 4 22 5 23 4 T-03 5 VULN-26 4 20 4 19 4 20 4 VULN-27 5 25 5 22 5 25 5 A-12 4 T-06 3 VULN-28 5 20 4 22 5 23 4 T-10 3 VULN-29 5 20 4 22 5 23 4 A-13 4 T-06 3 VULN-30 5 20 4 22 5 23 4 T-10 3 VULN-31 4 16 3 19 4 16 3 T-09 4 VULN-32 5 22 5 22 5 25 5 A-14 4 T-01 1 VULN-33 5 14 3 22 5 20 4 A-15 3 T-01 1 VULN-34 5 14 3 20 4 16 3 8.6.2 使用相乘法计算风险 使用相乘法计算风险等级，计算结果如表8-11风险计算表2 (右图)所示。 8.7风险处理 　　　8.7.1现存风险判断 　　　内容依据风险评估结果，假设风险等级在4级以上不可接受，通过分析，发现有21个不可接受风险。分析结果如表8-12所示。 信息安全风险评估实例 本章概要： 之前介绍了信息安全风险评估的基本过程，本章以某信息系统为例详细介绍信息安全风险评估的实施过程。依据GB/T 20984—2007《信息安全技术 信息安全风险评估规范》和信息安全风险评估的基本过程，将信息安全风险评估的实施过程分为评估准备、识别并评价资产、识别并评估威胁、识别并评估脆弱性、分析可能性和影响、风险计算、风险处理、编写信息安全风险评估报告等阶段。 本章目录 1 评估准备 2 识别并评价资产 3 识别并评估威胁 4 识别并评估脆弱性 5 分析可能性和影响 6 风险计算 7 风险处理 8 编写信息安全风险评估报告 上机实验 1 评估准备 　　　依据GB/T 20984—2007《信息安全技术 信息安全风险评估规范》，在风险评估实施前，应确定风险评估的目标，确定评估范围，组建评估管理与实施团队，进行系统调研，确定评估依据和方法，制定评估方案，获得最高管理者的支持。 　　　1.1 ?确定信息安全风险评估的目标 　　××信息系统风险评估目标是通过风险评估，分析信息系统的安全状况，全面了解和掌握信息系统面临的安全风险，评估信息系统的风险，提出风险控制建议，为下一步完善管理制度