《信息安全管理与风险评估》全套教学课件.pptx

第1章信息安全风险评估的基本概念

第2章信息安全风险评估的流程与分析方法

第3章信息风险相关技术标准和工具

第4章基于层次分析法的信息安全风险评估

第5章基于网络层次分析法的信息安全风险分析研究

第6章基于风险因子的信息安全风险评估模型

第7章基于三角模糊数信息安全风险评估模型

第8章基于灰关联分析方法的风险评估

;1.1信息安全

1.2信息安全风险评估的概念

1.3信息安全风险管理体系

1.4信息安全风险评估现状;1.1信息安全;信息安全是指为数据处理系统采取的技术和管理上的安全保护，保护计算机硬件、软件、数据不因偶然的或恶意的原因而遭到破坏、更改、显露，系统连续可靠正常地运行，信息服务不中断。这里既包含了层面的概念，又包含了属性的概念。

1.1.1信息安全技术

为了保障信息的机密性、完整性、可用性和可控性，必须采用相关的技术手段。这些技术手段是信息安全体系中直观的部分，任何一方面薄弱都会产生巨大的危险。因此，应该合理部署、互相联动，使其成为一个有机的整体。具体用到的信息安全技术介绍如下：

(1)加解密技术。在传输过程或存储过程中进行信息数据的加解密，典型的加密体制可采用对称加密和非对称加密。

(2)VPN技术。VPN即虚拟专用网，通过一个公用网络(通常是因特网)建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道。通常VPN是对企业内部网的扩展，可以帮助远程用户、公司分支机构、商业伙伴及供应商与公司的内部网建立可信的安全连接，并保证数据的安全传输。

(3)防火墙技术。防火墙在某种意义上可以说是一种访问控制产品。它在内部网络与不安全的外部网络之间设置障碍，防止外界对内部资源的非法访问，以及内部对外部的不安全访问。

(4)入侵检测技术。入侵检测技术是防火墙的合理补充，帮助系统防御网络攻击，扩展系统管理员的安全管理能力，提高信息安全基础结构的完整性。入侵检测技术是从计算机网络系统中的若干关键点收集信息，并进行分析，检查网络中是否有违反安全策略的行为和遭到袭击的迹象。

;(5)安全审计技术。安全审计包含日志审计和行为审计。日志审计协助管理员在受到攻击后查看网络日志，从而评估网络配置的合理性和安全策略的有效性，追溯、分析安全攻击轨迹，并能为实时防御提供手段。通过对员工或用户的网络行为进行审计，可确认行为的规范性，确保管理的安全。

1.1.2信息安全管理

信息安全管理是指通过维护信息的机密性、完整性和可用性来管理及保护信息资产，是对信息安全保障进行指导、规范和管理的一系列活动与过程，具体包括以下几个方面。

1.信息安全风险管理

信息安全风险管理是一个过程，而不是一个产品，其本质是风险管理。信息安全风险管理可以看成是一个不断降低安全风险的过程，最终目的是使安全风险降低到一个可接受的程度，使用户和决策者可以接受剩余的风险。信息安全风险管理贯穿信息系统生命周期的全部过程。信息系统生命周期包括规划、设计、实施、运维和废弃五个阶段。每个阶段都存在相关风险，需要采用同样的信息安全风险管理的方法加以控制。

信息安全风险管理是为保护信息及其相关资产，指导和控制一个组织相关信息安全风险的协调活动。我国《信息安全风险管理指南》指出，信息安全风险管理包括对象确立、风险评估、风险控制、审核批准、监控与审查、沟通与咨询六个方面，其中前四项是信息安全风险管理的基本步骤，监控与审查和沟通与咨询则贯穿于前四个步骤中。

;2.设施的安全管理

设施的安全管理包括网络的安全管理、保密设备的安全管理、硬件设施的安全管理、场地设施的安全管理等。

（1）网络的安全管理。网络管理系统是一个用于收集、传输、处理和存储有关信息系统与网络的维护、运行和管理信息的、高度自动化网络化的综合管理系统。它包括性能管理、配置管理、故障管理、计费管理、安全管理等功能。而安全管理又包括系统的安全管理、安全服务管理、安全机制管理、安全事件处理管理、安全审计管理、安全恢复管理等。

（2）保密设备的安全管理。保密设备的安全管理主要包括保密性能指标的管理，工作状态的管理，保密设备类型、数量、分配、使用者状况的管理及密钥的管理。

（3）硬件设施的安全管理。对硬件设施的安全管理主要考虑配置管理、使用管理、维修管理、存储管理、网络连接管理。常见的网络设备需要防止电磁辐射、电磁泄漏和自然老化；对集线器、交换机、网关设备或路由器，还需防止受到拒绝服务、访问控制、后门缺陷等威胁；对传输介质还需防止电磁干扰、搭线窃听和人为破坏；对卫星信道、微波接力信道等需防止对信道的窃听及人为破坏。

（4）场地设施的安全管理。机房和场地设施的安全管理需满足防水、防火、防静电、防雷击、防辐射、防盗窃等国家标准。其中：人员