金融信息安全(2)-信息风险.pptVIP

金融信息安全-信息风险 李改成 lgc@ss.pku.edu.cn 主要内容 信息风险模型 金融信息风险识别 定性评估 分级测量 定量方法 风险评估报告 风险处置 信息风险模型 ISO13335 信息风险要素及其关系 资产 威胁 脆弱性 风险 信息风险模型 资产 资产是对组织具有价值的信息或资源，是安全策略保护的对象。 资产价值 资产的重要程度或敏感程度的表征。 资产的属性 进行资产识别的主要内容。 信息资产的构成包括有形资产和无形财产。 从成本和收益两个角度考虑资产的价值 获取、开发、维护和保护该资产所需的成本 该资产对所有者、用户和竞争对手所具有的价值： 该资产不可用情况下所造成的损失 考察信息资产，不能只停留在静态的一个点或者一个层面上。 威胁 威胁是一种可能导致资产对象出现安全问题的活动或者能力，可能引起对我们的系统、组织和财富的不良影响。 威胁作用形式 对信息系统直接或间接的攻击，在机密性、完整性或可用性等方面造成损害； 也可能是偶发的或蓄意的事件。 威胁动机 安全学家Shirey 泄露 破坏 篡夺 欺骗 威胁来源 威胁 脆弱性 脆弱性就是存在于系统的各方面，可能被威胁所利用的资产或若干资产的弱点。 安全和非安全部分均有可能存在脆弱性。 脆弱性是对象的一种固有属性，就好比它的资产价值等等一样。 可透支和易复制