大事件保障和应急.ppt

* 风险立方体 不确定性 大事件保障 应何之急 大事件保障和应急 启明星辰 CSO 潘柱廷 2008年4月8日 关于大事件保障的问题 大事件保障和我们经常说的、也是经常做的一个信息系统的保障有什么区别？ 这里说的大事件，如：奥运会等大型赛事、世博会等大型活动… … 如果有区别，那么在保障上是否应当有所特别？ 持续地问那个根本性的问题 信息安全 到底是什么？ 根本特点到底是什么？ 根本原则到底是什么？ … … GB中的风险10要素 最精简的风险管理３要素 业务 资产 保障 措施 威胁 A: 资产影响 T→A S(T→A) 风险立方体-Risk Cube 资产 威胁 措施 风险立方体中的安全工作 资产 威胁 措施 注：此图中的坐标轴不代表程度 风险立方体中的安全工作 资产 威胁 措施 电子票务系统 互联网攻击 互联网防入侵 FW, IDS, IPS, 防SQL注入 注：此图中的坐标轴不代表程度 三要素对风险的影响 风险示意 时间 威胁更强 保障更强 业务变化 价值更大 保障的副作用 安全的难点 安全的难点并不是 攻击所采用的高级技术 攻击者的优势资源 自身的投入不足 … … 安全难就难在… … 潜在性 复杂性 模糊性 动态性 看看：风险管理的定义 风险的定义 对目标有所影响的某件事情发生的可能性 [摘自AS/NZS4360] 风险三要素的不确定性 资产的 不确定性 威胁的 不确定性 措施的 不确定性 业务变化的不可知 系统内在不确定性，如复杂性导致 采用新技术的不确定性影响 … 未知的自然和不可抗力 人为失误 针对性攻击的不可知 … 措施有效性的难于评价 措施失效 措施体系复杂性 … 从层次模型看复杂性 如：你有自己IT系统的地图吗 一般风险管理策略 风险示意 措施示意 涵盖应急意识的风险变化 风险示意 措施示意 由于突发威胁增大 大事件的风险变化 风险示意 措施示意 由于大事件开始 大事件结束 大事件保障的几个不确定性 风险变化的时间点是否可预期 风险变化的幅度是否可预期 风险要素之间的交互影响是否可预期 … … 应急 风险示意 措施示意 未知时间点 未知风险变化幅度 大事件保障 风险示意 措施示意 已知时间点 已知风险变化幅度 关键解决方案 风险立方体的三维视角 观察“不确定性” 了解风险变化的诱因和机理 建立IT系统的全局地图 建立全局监控系统 建立协调中心 形成中央分析和决策机构 疏通快速响应和工作流机制 恰当的冗余 防护程度的冗余 响应时间要求的冗余 适当的止损 谢谢 * * * * 风险立方体 不确定性 大事件保障 应何之急 大事件保障和应急 * * *