信息安全风险评估培训第十二期.pptxVIP

信息安全风险评估培训第十二期第1页/共73页 什么是风险评估？——从深夜一个回家的女孩开始讲起……第2页/共73页 风险评估的基本概念第3页/共73页 资产业务影响威胁脆弱性风险钱被偷100块没饭吃小偷打瞌睡服务器黑客软件漏洞被入侵数据失密风险评估通俗类比第4页/共73页 风险评估5风险 风险管理（Risk Management）就是以可接受的代价，识别、控制、减少或消除可能影响信息系统的安全风险的过程。在信息安全领域，风险（Risk）就是指各种威胁导致安全事件发生的可能性及其对组织所造成的负面影响。风险管理 风险评估（Risk Assessment）就是对各方面风险进行辨识和分析的过程，它包括风险分析和风险评价，是确认安全风险及其大小的过程。第5页/共73页 风险RISKRISKRISKRISK风险原有风险采取措施后的剩余风险影响威胁脆弱性影响威胁脆弱性风险管理的目标第6页/共73页 风险评估和风险管理的关系风险评估是风险管理的关键环节，在风险管理循环中，必须依靠风险评估来确定随后的风险控制与改进活动。第7页/共73页 资产分类方法分类示例数据保存在信息媒介上的各种数据资料,包括源代码、数据库数据、系统文档、运行管理规程、 计划、报告、用户手册、各类纸质的文档等软件系统软件:操作系统、数据库管理系统、语句包、开发系统等 应用软件:办公软件、数据库软件、各类工具软件等 源程序:各种共享源代码、自行或合作开发的各种代码等硬件网络设备:路由器、网关、交换机等计算机设备:大型机、小型机、服务器、工作站、台式计算机、便携计算机等存储设备:磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等传输线路:光纤、双绞线等保障设备: UPS、变电设备等、空调、保险柜、文件柜、门禁、消防设施等安全保障：防火墙、入侵检测系统、身份鉴别等其他:打印机、复印机、扫描仪、传真机等第8页/共73页 资产分类方法分类示例服务信息服务:对外依赖该系统开展的各类服务 网络服务:各种网络设备、设施提供的网络连接服务 办公服务:为提高效率而开发的管理信息系统,包括各种内部配置管理、文件流转管理等服务人员掌握重要信息和核心业务的人员,如主机维护主管、网络维护主管及应用项目经理等其它企业形象、客户关系等第9页/共73页 资产识别模型网络层机房、通信链路网络设备1操作系统、主机设备软件OA人员、文档、制度业务层物理层主机层应用层管理层EAI/EIP工程管理物资管理生产管理营销系统人力资源综合管理操作系统、主机设备网络设备2数据软件软件软件数据数据数据数据数据数据数据数据层第10页/共73页 信息安全属性保密性CONFIDENTIALATY确保信息只能由那些被授权使用的人获取完整性INTEGRITY保护信息及其处理方法的准确性和完整性可用性AVAILABILITY确保被授权使用人在需要时可以获取信息和使用相关的资产第11页/共73页 资产保密性赋值第12页/共73页 资产完整性赋值第13页/共73页 资产可用性赋值第14页/共73页 资产等级计算公式AV=F(AC,AI,AA)Asset Value 资产价值Asset Confidentiality 资产保密性赋值Asset Integrity 资产完整性赋值Asset Availability 资产可用性赋值例1：AV=MAX(AC,AI,AA)例2：AV=AC+AI+AA例3：AV=AC×AI×AA第15页/共73页 资产价值赋值第16页/共73页 可用性确保获得授权的用户可访问信息并使用相关信息资产 完整性保护信息和处理方法的准确和完整 确保只有获得授权的人才能访问信息 保密性进不来拿不走改不了跑不了看不懂可审查不可抵赖曾经完成的操作和承诺不可抵赖性可控制网络信息传播及内容可控性确保硬件、软件、环境各方面的运行可以审计可审计性 信息安全属性第17页/共73页 威胁来源列表来源描述环境因素断电、静电、灰尘、潮湿、温度、鼠蚁虫害、电磁干扰、洪灾、火灾、地震、意外 事故等环境危害或自然灾害,以及软件、硬件、数据、通讯线路等方面的故障人为因素恶意人员不满的或有预谋的内部人员对信息系统进行恶意破坏;采用自主或内外勾结的方式 盗窃机密信息或进行篡改,获取利益外部人员利用信息系统的脆弱性,对网络或系统的机密性、完整性和可用性进行破 坏,以获取利益或炫耀能力非恶意人员内部人员由于缺乏责任心,或者由于不关心和不专注,或者没有遵循规章制度和操 作流程而导致故障或信息损坏;内部人员由于缺乏培训、专业技能不足、不具备岗 位技能要求而导致信息系统故障或被攻击。第18页/共73页 威胁分类表第19页/共73页 威胁赋值第20页/共73页 脆弱性识别内容表第21页/共73页 脆弱性赋值第22页/共73页 风险分析原理LFR第23页/共73页