第05讲 信息安全风险评估
更新时间:2023-06-11 02:34:01 阅读量: 实用文档 文档下载
- 第05讲伤寒论推荐度:
- 相关推荐
信息安全工程学
信息安全工程学五、信息安全风险评估
信息安全工程学
信息安全风险评估
风险评估,是发掘信息保护需要的重要步骤 风险评估并非仅在发掘需要阶段进行,后续阶段
根据需要也会进行风险评估 例如在定义架构阶段的有效性评估中就需要对已 定义的架构进行风险评估,检查结构性漏洞
风险评估可以是对待建的信息系统的评估, 也可以是对已有的信息系统的评估。 对已有系统的评估是PDCA的第二次循环,或以
后的各次循环中进行的。 每次的PDCA循环,相当于一个新的信息安全工 程过程。
信息安全工程学
信息安全风险评估风险管理的概念 风险评估的方法 风险评估的过程 风险评估的工具 风险评估中的难点
信息安全工程学
风险管理的概念
定义 风险管理是一个过程。通过这个过程,信息系
统管理者能够综合衡量安全措施和实施成本, 并通过为信息系统提供安全防护,促进组织的 业务能力提升。(NIST SP800-30)
包括三个过程 风险评估
风险消减(控制措施的选用) 风险监控(监视风险,定期再评估)
信息安全工程学
风险管理的概念
风险管理与信息安全管理 信息安全管理是以风险为驱动的。可以看到,PDCA的
各个阶段,主要工作是对信息系统的风险来做识别、 评估、控制、检查等动作。 从概念上讲,“信息安全管理”的外延更广,人事管 理、财务管理等组织管理的其它部分也有信息安全管 理的因素渗透其中。 我们所关心的信息安全管理,是以风险为核心的信息 安全管理。从这个概念上讲,信息安全管理和风险管 理二者的大部分细节都是一致的。
信息安全工程学
风险管理的概念Plan风险评估 风险监控 风险消减
Action风险管 理过程
Do
Check
PDCA信 息安全 管理过 程
信息安全工程学
风险管理的概念
风险管理中的基本概念(1) 资产(Asset):任何对组织具有价值的东西,包括计
算机硬件、通信设施、建筑物、数据库、文档信息、 软件、信息服务和人员等。 威胁(Threat):某威胁源成功利用特定脆弱点的潜 在可能。 脆弱点(Vulnerability):资产或资产组中存在的可 被威胁利用的缺点。脆弱点本身并不能构成伤害,它 只是威胁利用来实施影响的一个条件。 风险(Risk):特定威胁利用资产的脆弱点给资产带 来损害的潜在可能性。
信息安全工程学
风险管理的概念
风险管理中的基本概念(2) 可能性(Likelihood):对威胁事件发生的几率
(Probability)或频率(Frequency)的描述。 影响(Impact)或者后果(Consequence):意外事 件发生给组织带来的直接或间接的损失或伤害。 安全措施(Safeguard)/控制措施(control)/对策 (countermeasure):通
过防范威胁、减少弱点、限 制意外事件带来影响等途径来消减风险的机制、方法 和措施。 剩余风险(Residual Risk):在实施安全措施之后仍 然存在的风险。
信息安全工程学
风险管理的概念威胁防范
利用导致
脆弱点暴露
安全措施采取
减少
风险提出 增加
资产具有
系统安 全需求Define System Security Requirements
价值
信息安全工程学
信息安全风险评估风险管理的概念 风险评估的方法 风险评估的过程 风险评估的工具 风险评估中的难点
信息安全工程学
风险评估的方法
按照分析对象分类 以安全措施为主:基线评估 以实际系统为主:详细评估 组合评估
按照精确程度分类 量化评估 定性评估
按照思路分类 基于知识专家的方法 基于模型的方法
信息安全工程学
基线评估
组织根据自己的实际情况(所在行业、业务环 境与性质等),对信息系统进行安全基线检查 安全基线:在诸多标准规范中规定的一组安全控制
措施或者惯例,例如BS 7799-1、ISO 13335-4,德 国联邦安全局IT基线保护手册等。 如果环境和商务目标较为典型,组织也可以自行建 立基线,而不是直接采用现行标准。 基线检查:拿现有的安全措施与安全基线规定的措 施进行比较,找出其中的差距
适用情况 组织的商业运作不是很复杂,并且组织对信息处理
和网络的依赖程度不是很高 组织信息系统多采用普遍且标准化的模式
信息安全工程学
基线评估
基线评估的优点 需要的资源少,周期短,操作简单 对于环境相似且安全需求相当的诸多组织,基线评
估是最经济有效的风险评估途径。
基线评估的缺点 基线水平的高低难以设定。过高可能导致资源浪费
和限制过度,过低则可能难以达到充分的安全, 在管理安全相关的变化方面,基线评估比较困难。
基线评估的目标是建立一套满足信息安全基本 目标的最小的对策集合
信息安全工程学
详细评估
要求对资产进行详细识别和评价,对可能引起 风险的威胁和脆弱点进行评估。 详细评估的优点 可以对信息安全风险有一个精确的认识,从而能够
准确定义出组织目前的安全水平和安全需求 详细评估的结果可用来管理安全变化。
详细评估的缺点 可能是非常耗费资源的过程,包括时间、精力和技
术。因此,组织应该仔细设定待评估的信息系统范 围,明确商务环境、操作和信息资产的边界。
稍后讲述的评估过程,主要针对的是详细评估。
信息安全工程学
组合评估
基线风险评估耗费资源少、周期短、操作简单, 但不够准确 适合一般环境的评估
详细风险评估准确而细致,但耗费资源较多 适合严格限定
边界的较小范围内的评估
组合评估:二者相结合。 对所有的系统进行一次初步的高级风险评估,着眼
于信息系统的价值,识别出具有高风险的或组织业 务极为关键的信息资产 这些资产应该划入详细风险评估的范围,而其他系 统则可以通过基线风险评估直接选择安全措施。
信息安全工程学
组合评估
基线和详细风险评估的优势结合起来,既节省 了评估所耗费的资源,又能确保获得一个全面 系统的评估结果。 组织的资源和资金能够应用到最能发挥作用的 地方,具有高风险的信息系统能够被预先关注。 组合评估的不足: 如果初步的高级风险评估不够准确,某些本来需要
详细评估的系统也许会被忽略,最终导致结果失准。
信息安全工程学
风险评估的方法
按照分析对象分类 以安全措施为主:基线评估 以实际系统为主:详细评估 组合评估
按照精确程度分类 量化评估 定性评估
按照思路分类 基于知识专家的方法 基于模型的方法
信息安全工程学
定量的分析方法对构成风险的各个要素和潜在损失的水平 赋予数值或货币金额。 当度量风险的所有要素(资产价值、威胁 频率、弱点利用程度、安全措施的效率和 成本等)都被赋值,风险评估的整个过程 和结果就都可以被量化了。 简单说,定量评估就是试图从数字上对安 全风险进行分析评估的一种方法。
信息安全工程学
定量的分析方法定量分析方法利用两个基本的元素:威胁 事件发生的概率和可能造成的损失。 把这两个元素简单相乘的结果称为ALE (Annual Loss Expectancy)或EAC (Estimated Annual Cost)。理论上可以 依据ALE计算威胁事件的风险等级,并且做 出相应的决策。
信息安全工程学
定量的分析方法
定量风险评估中有几个重要的概念: 暴露因子(Exposure
Factor,EF)—— 特定威胁对 特定资产造成损失的百分比,或者说损失的程度。 单一损失期望(Single Loss Expectancy,SLE)—— 或者称作SOC(Single Occurrence Costs),即特定 威胁可能造成的潜在损失总量。 年度发生率(Annualized Rate of Occurrence, ARO)—— 即威胁在一年内估计会发生的频率。 年度损失期望(Annualized Loss Expectancy, ALE)—— 或者称作EAC(Estimated Annual Cost), 表示特定资产在一年内遭受损失的预期值。
信息安全工程学
定量的分析方法
这几个概念之间的关系: 首先,识别资产并为资产赋值; 通过威胁和弱点评估,评价特定威胁作用于特
定资产所造成的影响,即EF(取值在0%~100%之 间; 计算特定威胁发生的频率,即ARO; 计算资产的SLE:SLE = Asset Value × EF 计算资产的ALE:ALE = SLE × ARO
正在阅读:
第05讲 信息安全风险评估06-11
教师资格面试进场、退场礼仪!01-24
2018-2019年小学语文湖南小升初拔高练习试卷含答案考点及解02-27
成功销售人员的基本要素07-25
v3防火墙和v7防火墙ipsec对接-主模式-都是固定ip04-30
炎症01-27
江苏省常熟市2018届高三适应性训练测试英语试题Word版含答案06-19
苏教版高中语文必修一第一、二专题测试(附答案、答题纸)09-19
有效学习03-13
单片机程序题12-26
- 教学能力大赛决赛获奖-教学实施报告-(完整图文版)
- 互联网+数据中心行业分析报告
- 2017上海杨浦区高三一模数学试题及答案
- 招商部差旅接待管理制度(4-25)
- 学生游玩安全注意事项
- 学生信息管理系统(文档模板供参考)
- 叉车门架有限元分析及系统设计
- 2014帮助残疾人志愿者服务情况记录
- 叶绿体中色素的提取和分离实验
- 中国食物成分表2020年最新权威完整改进版
- 推动国土资源领域生态文明建设
- 给水管道冲洗和消毒记录
- 计算机软件专业自我评价
- 高中数学必修1-5知识点归纳
- 2018-2022年中国第五代移动通信技术(5G)产业深度分析及发展前景研究报告发展趋势(目录)
- 生产车间巡查制度
- 2018版中国光热发电行业深度研究报告目录
- (通用)2019年中考数学总复习 第一章 第四节 数的开方与二次根式课件
- 2017_2018学年高中语文第二单元第4课说数课件粤教版
- 上市新药Lumateperone(卢美哌隆)合成检索总结报告
- 风险评估
- 安全
- 信息
- 穿心莲内酯及其衍生物的药理研究进展
- 浅析形体训练课对提高空乘专业学生职业素质的积极作用
- FTC自调温相变蓄能保温材料的性能及施工工艺
- 丹佛斯VLT5000(FC300)变频器在定形机主传动同步系统中的应用
- 2010届高三政治时政热点试题汇编专题三、关注民生,促进和谐
- 大学生奖助学金管理信息系统数据库的设计与实现
- 实验讲义-稳态法测固体的导热系数-2013.9
- 新课标语文六年级上册课内复习资料(最新整理)
- 外研必修五短语总结
- VW品牌经销商网上技术学习平台 经销商系统管理员自学手册
- 2013年全国小学综合素质模拟冲刺试题及答案一
- ZL型弹性柱销齿式联轴器改进及工作原理
- 中国电影之路 与 中国当代电影发展
- 清管作业临时收发球筒的制作
- 结核杆菌TBPCR荧光扩增检测说明书
- 中国培训行业百强知名讲师
- 植物生产与环境第一章单选题及答案
- 妇科腹腔镜手术的并发症
- 抗肿瘤海洋放线菌ACMA006发酵条件的优化
- 处理好职场人际关系的9个方法