第2章金融信息风险.pptxVIP

第2章 金融信息风险;金融信息风险 威胁利用我们的漏洞，引起一些事故，对我们的资产造成一些不良影响的可能性。 资产 对组织具有价值的信息或资源，安全策略保护的对象。 资产价值 资产重要程度或敏感程度表征； 资产的属重要性； 进行资产识别的主要依据和内容。 ;;;2.2 风险分类;安全学家Shirey将威胁按动机分为四大类： 泄露（破坏系统的机密性）：对信息的非授权访问。途径是一个非授权方系统进行攻击，破坏保密性。非授权方可以是一个人、一个程序、一台微机。攻击手段:搭线窃听、文件或程序的不正当拷贝。 破坏(破坏系统的可用性)：中断或妨碍正常操作。这包括机具、硬盘等硬件的毁坏、通信线路的切断、文件管理系统的瘫痪等。 篡夺：对系统某些部分非授权控制。在篡夺攻击中，一个非授权方不仅介入系统而且在系统中进行非法操作，如改变数据文件，改变程序使之不能正确执行，修改信件内容等。 欺骗：接受虚假数据，一个非授权方将伪造的“客体”植入系统中，如在网络中插入假信件，或者在文件中追加记录等。 ;;脆 弱 性;;脆弱性分类;;;2.3 金融信息风险模型;2.2 金融信息风险模型;;信息风险要素及关系;2.4 金融信息风险之识别;;;;;金融交易中的风险点;从一般金融业务流程看风险;风险分布描述;损失分布描述工具;;马尔可夫过程模型;2.5 风险的评估;2.5 风险的评估;2.5 金融股信息系统风险的评估;;;;;分级测量;;;风险计算;定量评估方法;;;;;评估结果（报告）;;;2.6 风险处置