信息系统安全和保密大作业参考资料.pptxVIP

第三章 信息安全风险评定与管理 风险管理基本概念 风险评定与管理流程 风险评定方法和技术 课程内容 信息系统安全和保密大作业参考资料 第1页 资产类别 名称 关键程度 硬件 多媒体电脑 高 4 投影仪 高 4 控制台 中 3 供电设备 高 4 投影幕 低 2 空调 中 3 网络电缆及接口 低 2 软件 系统软件 中 3 课件播放软件 中 3 应用软件 中 3 杀毒软件 低 2 信息 多媒体课件 低 2 演示程序 低 2 人员 课室管理人员 中 3 技术支持人员 中 3 安全保卫人员 低 2 附：案例分析 经过分析多媒体教学系统在硬件、软件信息、相关人员等方面资产信息，并考查这些资产价值以及对信息系统关键程度。 经识别与分析后，相关资产及其关键程度如表所表示。 信息系统安全和保密大作业参考资料 第2页 经过对上述各类资产面临主要安全威胁进行分析，并依据其出现可能性大小对各类威胁进行评定，结果以下表所表示。 威胁类型 威胁表现形式 评定等级 自然威胁 地震 、飓风 、火山 、洪水、海啸 、泥石流、暴风雪 、雪崩 、雷电等 很低 1 环境威胁 供电中止 中 3 火灾、供水故障、污染、极端温度或湿度 低 2 系统威胁 电脑、投影仪硬件故障 低 2 网络故障 中 3 系统软件、应用软件故障、课件播放软件故障 高 4 恶意代码 很高 5 人员威胁 偷窃 高 4 物理硬件有意破坏 中 3 误操作 很高 5 疾病或其它原因造成不能及时到岗 中 3 信息系统安全和保密大作业参考资料 第3页 人 员 利 用 网 络 访 问 威 胁 树 信息系统安全和保密大作业参考资料 第4页 脆弱点识别内容表 信息系统安全和保密大作业参考资料 第5页 脆弱点识别，应对针对已识他人每一类资产，考虑可能存在脆弱点，它包含技术脆弱点与管理脆弱点 本例中因为技术问题简单，因而主要表现为管理方面脆弱性。为提升效率 脆弱点识别还应结合威胁识别结果，重点考查可能造成安全事件威胁-脆弱点对，在脆弱点识别后，再依据脆弱点严重程度对脆弱点进行评定。评定结果以下表所表示。 可能威胁 脆弱点 评定等级 供电中止 没有备用电源 高 4 偷窃、物理破坏 安全保卫机制不健全 很高 5 疾病或其它原因造成不能及时到岗 课室钥匙管理人员无“备份” 高 4 多媒体技术支持人员无“备份” 高 4 误操作 老师对多媒体课室使用注意事项不熟悉 很高 5 火灾 未布署防火设施 很高 5 极端温度及湿度 未安装空调及除湿设备 高 4 软件故障 软件安装与卸载权限管理机制不严 高 4 恶意代码 杀毒软件不能及时升级 低 2 自然威胁 硬件物理保护不够 很高 5 硬件故障 硬件使用寿命有限或其它原因 高 4 信息系统安全和保密大作业参考资料 第6页 风险标识 资产 威胁 脆弱点 影响分析 影响等级 R1 多媒体 系统 供电中止 没有备用电源 系统无法使用 高 4 R2 误操作 老师对多媒体课室使用注意事项不熟悉 硬件损害或软件误删除 很高 5 R3 自然威胁 硬件物理保护不够 设备物理破坏 很高 5 R4 硬件 偷窃、物理破坏 安全保卫机制不健全 硬件被破坏或被盗 很高 5 R5 火灾 未布署防火设施 系统被烧毁 很高 5 R6 极端温度及湿度 未安装空调及除湿设备 系统使用不正常 中 3 R7 硬件故障 硬件使用寿命有限或其它原因 硬件不能正常使用 高 4 R8 软件 软件故障 软件安装与卸载权限管理机制不严 所需软件被卸载，不能正常使用 高 4 R9 恶意代码 杀毒软件不能及时升级 系统运行很慢 低 2 R10 人员 疾病或其它原因造成不能及时到岗 钥匙管理人员不可达，无“备份” 多媒体课室门不能及时打开 高 4 R11 多媒体技术支持人员无“备份” 技术支持不能及时到位 中 3 信息系统安全和保密大作业参考资料 第7页 可能性分析主要依据威胁评定等级。最终依据影响分析及可能性分析结果来进行风险评定，此处采取“风险=可能性×影响”方法来计算风险。风险评定结果如表所表示。 风险标识 资产 威胁 影响评定 可能性评定 风险值 风险等级 R1 多媒体 系统 供电中止 4 3 12 中 R2 误操作 5 5 25 很高 R3 自然威胁 5 1 5 低 R4 硬件 偷窃、物理破坏 5 4 20 很高 R5 火灾 5 2 10 中 R6 极端温度及湿度 3 2 6 低 R7 硬件故障 4 2 8 中 R8 软件 软件故障 4 4 16 高 R9 恶意代码 2 5 10 中 R10 人员 疾病或其它原因造成不能及时到岗 4 3 12 中 R11 3 3 9 中 信息系统安全和保密大作业参考资料 第8页 风险标识 资产 威胁 风险等级 安全方法 R1 多媒体 系统 供电中止 中 配置备用电