网络风险安全评估案例分析.pptxVIP

信息安全风险评估实例;本章概要：

之前介绍了信息安全风险评估的基本过程，本章以某信息系统为例详细介绍信息安全风险评估的实施过程。依据GB/T20984—《信息安全技术信息安全风险评估规范》和信息安全风险评估的基本过程，将信息安全风险评估的实施过程分为评估准备、识别并评价资产、识别并评估威胁、识别并评估脆弱性、分析可能性和影响、风险计算、风险处理、编写信息安全风险评估报告等阶段。;本章目录;1评估准备;;;;;;;;;8.1.6.2项目阶段划分

此次风险评估项目分项目准备、现状调研、检查与测试、分析评估及编制评估报告六个阶段，各阶段工作定义说明如下：

项目准备：项目实施前期工作，包括成立项目组，确定评估范围，制定项目实施计划，收集整理开发各种评估工具等。工作方式：研讨会。工作成果：《项目组成员信息表》、《评估范围说明》、《评估实施计划》。

现状调研：通过访谈调查，收集评估对象信息。工作方式：访谈、问卷调查。工作成果：《各种系统资料登记表单》。

检查与测试：手工或工具检查及测试。进行资产分析、威胁分析和脆弱性扫描。工作方式：访谈、问卷调查、测试、研讨会。工作成果：《资产评估报告》、《威胁评估报告》、《脆弱性评估报告》。;ID;8.1.7获得最高管理者对信息安全风险评估工作的支持

上述所有内容得到了相关管理者的同意，并对管理层和员工进行了传达。;8.2识别并评价资产;资产编号;;资产编号;;资产编号;8.3识别并评估威胁;威胁编号;8.4识别并评估脆弱性;表8-6技术脆弱性评估成果

;8.5分析可能性和影响;8.5.2分析脆弱性严重程度

脆弱性严重程度是指威胁一次成功地利用脆弱性后对组织造成的不期望的后果或损失的相对等级，表8-8给出了5个级别定义的描述。;8.6风险计算;资产;8.6.1使用矩阵法计算风险;资产;资产;8.6.2使用相乘法计算风险

使用相乘法计算风险等级，计算成果如表8-11风险计算表2(右图)所示。;8.7风险处理;资产ID0;资产ID0;8.7风险处理;8.7.2.2风险控制目标;8.7.3控制办法选择;编号;8.8编写信息安全风险评估???告;详细环节如下：

1．风险评估的准备工作。

⑴确定风险评估的目标；

⑵确定风险评估的范围；

⑶组建合适的评估管理与实施团队；

⑷进行系统调研；

⑸确定评估依据和方法；

⑹获得最高管理者对风险评估工作的支持

;2．识别并评价资产。

在划定的评估范围内，以网络拓扑结构图的业务系统为根本，列出所有网络上的物理资产、软件资产和数据资产，形成一个信息资产的清单。在识别出所有信息资产后，为每项资产赋值。对资产的保密性、完整性和可用性这三个安全属性分别赋值，根据三个安全属性的权值计算资产的价值。形成《系统信息资产识别清单》。确定关键资产，详细识别关键资产的安全属性，并对关键资产的重要性进行赋值，形成《系统重要信息资产评估报告》。

本阶段所采用的方法包括：

（1）会议：召集评估小组成员和相关人员进行资产分析会议；

（2）手工登记表格：通过资产调查表的填写确定信息资产状况。;3．识别并评估威胁。

识别核心资产所面临的威胁，及威胁对资产所产生的影响。形成《威胁列表》。本阶段所采用的方法涉及：

（1）IDS采样分析。使用IDS，通过对网络流量进行不间断的分析，从中发觉攻击、入侵或非法访问等行为。

（2）日志分析。通过检查不同起源的日志文件发觉曾经发生过的威胁，获取威胁信息。

（3）人员访谈。评估小组组员与规划编写人员及项目建设人员进行访谈交流。;进行全局性的评估，它也涉及了技术和管理方面的内容。脆弱性评估阶段形成文档《脆弱性列表》。

此阶段所采用的方法涉及：

（1）利用漏洞扫描工具进行扫描；

（2）渗入测试；

（3）各类检查列表。;演讲完毕，谢谢观看！