02知己知彼百战不殆信息安全风险评估信息安全风险评估准备资.pptx

02知己知彼，百战不殆——信息安全风险评估信息安全风险评估准备资产识别威胁识别脆弱性识别风险分析与风险计算风险评估工具介绍

02信息安全风险评估——风险评估实施流程四川司法警官职业学院课前复习1、信息安全风险评估要素及风险评估实施流程

学完本节内容后，您将能够：理解资产的分类并能对信息系统做资产的识别掌握资产赋值的方法掌握资产赋值的定级方法目标

02信息安全风险评估——脆弱性识别四川司法警官职业学院引子：冷战结束后，特别是“海湾战争”的大获全胜，使得美国的科技实力、军事实力等达到了顶峰，给人一种坚不可摧的印象，然而本拉登的徒弟们却偷偷溜到纽约和华盛顿，将民航客机残忍地变成了“神风敢死队”，又让人感叹美利坚合众国内部处处是漏洞。拒绝服务攻击等屡见不鲜的安全事件带来的网络阻塞，使得人们人为Internet是弱不禁风的，但在“5.12”汶川大地震中（按照地震级别的分类，8.0级属于毁灭性地震），当所有的电话都是一片盲音的时候，却从震中地区阿坝州政府网站传来了求救的信息。千里之堤，以蝼蚁之穴溃；百尺之室，以突隙之烟焚。——韩非《韩非子.喻老》“坚固性”与“脆弱性”的矛盾：

02信息安全风险评估——风险评估实施流程四川司法警官职业学院风险评估准备工作12345确定目标确定范围组建团队系统调研制定方案

02信息安全风险评估——资产识别四川司法警官职业学院资产识别的诸方面21、资产分类首先要明确资产的价值不是指信息系统的经济价值，而是与组织的业务工作密切相关。思考：谁的资产价值更大？某企业的一台高端性能服务器，用于门户网站VS普通的PC终端但存储着该企业的核心技术资料

02信息安全风险评估——资产识别四川司法警官职业学院资产识别的诸方面21、资产分类首先要明确资产的价值不是指信息系统的经济价值，而是与组织的业务工作密切相关。思考：拓扑图中的资产有哪些？

02信息安全风险评估——资产识别四川司法警官职业学院分类示例数据保存在信息媒介上的各种数据资源，包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质文档等软件系统软件：操作系统、数据库管理系统、软件开发平台等应用软件：办公软件、数据库软件等源程序：各种共享源代码、自行或合作开发的各种代码等硬件网络设备：路由器、网关、交换机等计算机设备：大型机、小型机、服务器、工作站、台式计算机、便携式计算机等存储设备：磁带机、磁盘阵列、磁带、光盘、软盘、移动硬盘等传输介质：光纤、双绞线等保障设备：UPS、变电设备、空调、保险柜、文件柜、门禁、消防设备等安全设备：防火墻、入侵检测设备、身份鉴别设备等其他：打印机、复印机、扫描仪、传真机等服务信息服务：该系统对外开展的各种服务网络服务：各种网络设备、设施提供的网络连接服务办公服务：为提高效率而开发的管理信息系统，包括各种内部配置管理、文件流转管理等服务人员掌握重要形象和核心业务的人员，如主机维护主管、网络维护主管及应用项目经理等其他企业形象、客户关系等资产分类表

02信息安全风险评估——风险评估实施流程四川司法警官职业学院小提示：让“外行”的信息安全评估人员逐步了解评估单位的业务战略可采用“一读、二问、三查看”阅读获得并仔细分析被评估单位信息化建设的有关文档，如《信息化发展战略规划》、《信息化建设实施计划》等。询问与被评估单位分管信息化建设的领导、信息中心的领导和工作人员交流。查看到被评估单位各个业务部门实地考察信息系统的应用情况。

02信息安全风险评估——风险评估实施流程四川司法警官职业学院操作建议：1、被评估单位需要向评估人员提供信息系统的各种软、硬件资料，网络承建商和软件供应商的相关资料及信息系统有关的各类管理体系文档。2、根据实际情况进行实地调研，考察机房环境、核对网络拓扑、比对核心网络设备、各种服务器（数据库、Web、邮件、应用等）及安全设备型号及版本。？思考：一家信息化程度很高的汽车生产企业和政府税务部门的核心资产分别是什么？

02信息安全风险评估——资产赋值四川司法警官职业学院资产识别的诸方面22、资产赋值资产赋值首先分解为保密性赋值、完整性赋值、可用性赋值三个安全属性赋值，在这个基础上综合分析得出资产重要性等级。为了使得不同安全属性的资产赋值具有归一性，国家标准统一采用了“5级分级制”（正好与等保5个级别遥相呼应），即“很高”、“高”、“中等”、“低”、“很低”。

02信息安全风险评估——资产赋值四川司法警官职业学院资产保密性赋值表赋值标识定义5