2023年信息安全管理概論重點

信息安全管理概論重點填空：１’*1０名詞解釋：5’３簡答:５’*4判斷敘理:5’*5案例分析:１、國家信息安全管理存在的問題宏觀:(１）法律法規(guī)問題。健全的信息安全法律法規(guī)體系是保證國家信息安全的基礎(chǔ),是信息安全的第一道防線.(２）管理問題。（涉及三個層次：組織建設(shè)、制度建設(shè)和人員意識）(3)國家信息基礎(chǔ)設(shè)施建設(shè)問題。目前，中國信息基礎(chǔ)設(shè)施幾乎完全是建立在外國的核心信息技術(shù)之上的,導(dǎo)致我國在網(wǎng)絡(luò)時代沒有制網(wǎng)權(quán).２02３年度經(jīng)濟人物之首:中國芯創(chuàng)建者鄧中翰.十五期間,國家８6３計劃和科技攻關(guān)的重要項目:信息安全與電子政務(wù),金融信息化兩個信息安全研究項目.微觀：(1)缺少信息安全意識與明確的信息安全方針。(2）重視安全技術(shù),輕視安全管理。信息安全大約70%以上的問題是由管理因素導(dǎo)致的.(3)安全管理缺少系統(tǒng)管理的思想。2、信息安全概念信息安全是指信息的保密性（Conｆiｄentｉａlｉty)、完整性（Inｔegriｔｙ)和可用性（Ａvaｉlabilitｙ）、真實性、準確性的保持。信息保密性：保障信息僅僅為那些被授權(quán)使用的人獲取，它因信息被允許訪問對象的多少而不同.信息完整性：指為保護信息及其解決方法的準確性和完整性,一是指信息在運用,傳輸,儲存等過程中不被篡改，丟失,缺損等，此外是指信息解決方法的對的性.信息可用性：指信息及相關(guān)信息資產(chǎn)在授權(quán)人需要時可立即獲得．系統(tǒng)硬件,軟件安全,可讀性保障等.3、信息安全重要性a.信息安全是國家安全的需要國家軍事安全、政治穩(wěn)定、社會安定、經(jīng)濟有序運營美國與俄羅斯先后推出<信息系統(tǒng)保護國家計劃>和<國家信息安全學說>b.信息安全是組織連續(xù)發(fā)展的需要任何組織的正常運作都離不開信息資源的支持.組織的商業(yè)秘密,系統(tǒng)的正常運營等,信息安全特性已成為許多組織的服務(wù)質(zhì)量的重要特性之一.c.信息安全是保護個人隱私與財產(chǎn)的需要４、如何擬定組織信息安全的規(guī)定a．法律法規(guī)與協(xié)議規(guī)定ｂ．風險評估的結(jié)果(保護限度與控制方式)c.組織的原則、目的與規(guī)定5、傳統(tǒng)信息安全管理模式特點（傳統(tǒng)管理模式的弊端與技術(shù)手段的局限性）傳統(tǒng)管理模式:靜態(tài)的、局部的、少數(shù)人負責的、突擊式的、事后糾正式的缺陷：ａ、不能從主線上避免和減少各類風險,也不能減少信息安全故障導(dǎo)致的綜合損失ｂ、信息安全技術(shù)是信息安全控制不可或缺的重要手段,但單靠技術(shù)手段實現(xiàn)安全的能力是有限的,甚至喪失,信息安全來自:三分技術(shù),七分管理ｃ、信息安全不能迷信技術(shù)，應(yīng)當在適宜技術(shù)條件下加強管理.６、系統(tǒng)的信息安全管理原則:（1）制訂信息安全方針原則:制定信息安全方針為信息安全管理提供導(dǎo)向和支持（2)風險評估原則：控制目的與控制方式的選擇建立在風險評估的基礎(chǔ)之上(3）費用與風險平衡原則：將風險降至組織可接受的水平,費用太高不接受（4）防止為主原則：信息安全控制應(yīng)實行防止為主,做到防患于未然(５)商務(wù)連續(xù)性原則：即信息安全問題一旦發(fā)生,我們應(yīng)能從故障與劫難中恢復(fù)商務(wù)運作，不至于發(fā)生癱瘓,同時應(yīng)盡力減少故障與劫難對關(guān)鍵商務(wù)過程的影響（6)動態(tài)管理原則：即對風險實行動態(tài)管理（7)全員參與的原則：(８）ＰＤCA原則：遵循管理的一般循環(huán)模式－－Ｐl(wèi)an（策劃)---Ｄo(執(zhí)行)－--Chｅcｋ(檢查）---Actｉoｎ(措施)的連續(xù)改善模式?，F(xiàn)代系統(tǒng)的信息安全管理是動態(tài)的、系統(tǒng)的、全員參與的、制度化的、防止為主的信息安全管理方式,用最低的成本,達成可接受的信息安全水平,從主線上保證業(yè)務(wù)的連續(xù)性,它完全不同于傳統(tǒng)的信息安全管理模式:靜態(tài)的、局部的、少數(shù)人負責的、突擊式的、事后糾正式的,不能從主線上避免、減少各類風險，也不能減少信息安全故障導(dǎo)致的綜合損失,商務(wù)也許因此癱瘓,不能連續(xù)。７、風險評估ａ.威脅(Threａt(yī)),是指也許對資產(chǎn)或組織導(dǎo)致?lián)p害的事故的潛在因素。如病毒和黑客襲擊，小偷偷盜等.b.薄弱點(Vuｌnｅrａbility)，是指資產(chǎn)或資產(chǎn)組中能被威脅運用的弱點。如員工缺少安全意識,口令簡短易猜,操作系統(tǒng)自身有安全漏洞等.關(guān)系：威脅是運用薄弱點而對資產(chǎn)或組織導(dǎo)致?lián)p害的.如無懈可擊,有機可乘.ｃ.風險(Ｒisk),即特定威脅事件發(fā)生的也許性與后果的結(jié)合。特定的威脅運用資產(chǎn)的一種或一組薄弱點,導(dǎo)致資產(chǎn)的丟失或損害的潛在也許性及其影響大?。?jīng)濟代理人面對的隨機狀態(tài)可以用某種具體的概率值表達．這里的風險只表達結(jié)果的不擬定性及發(fā)生的也許性大小.d．風險評估(RｉskAssｅｓsｍent),對信息和信息解決設(shè)施的威脅、影響(Impact)和薄弱點及三者發(fā)生的也許性評估．它是確認安全風險及其大小的過程,即運用適當?shù)娘L險評估工具,擬定資產(chǎn)風險等級和優(yōu)先控制順序,所以，風險評估也稱為風險分析.８、風險管理（判斷、填空)風險管理（ＲiｓkManａｇeｍｅｎt），以可接受的費用辨認、控制、減少或消除也許影響信息系統(tǒng)安全風險的過程。風險管理過程結(jié)構(gòu)圖a.安全控制(ＳｅcuritｙCｏｎtｒoｌ)，減少安全風險的慣例、程序或機制。b．剩余風險（ReｓidｕalRisk),實行安全控制后,剩余的安全風險。c.合用性聲明(ＡpｐlicabｉｌityStatement）,合用于組織需要的目的和控制的評述。風險評估與管理的術(shù)語關(guān)系圖（其實，安全控制與薄弱點間、安全控制與資產(chǎn)間、安全風險與資產(chǎn)間、威脅與資產(chǎn)間均存在有直接或間接的關(guān)系)(１）資產(chǎn)具有價值，并會受到威脅的潛在影響。（2)薄弱點將資產(chǎn)暴露給威脅，威脅運用薄弱點對資產(chǎn)導(dǎo)致影響。（３）威脅與薄弱點的增長導(dǎo)致安全風險的增長。（４)安全風險的存在對組織的信息安全提出規(guī)定（5）安全控制應(yīng)滿足安全規(guī)定。（6)組織通過實行安全控制防范威脅,以減少安全風險。９、風險評估過程a.風險評估應(yīng)考慮的因素(1）信息資產(chǎn)及其價值(2）對這些資產(chǎn)的威脅，以及他們發(fā)生的也許性(3)薄弱點(４)已有的安全控制措施b.風險評估的基本環(huán)節(jié)（1）按照組織商務(wù)運作流程進行信息資產(chǎn)辨認,并根據(jù)估價原則對資產(chǎn)進行估價（２)根據(jù)資產(chǎn)所處的環(huán)境進行威脅辨認與評價(3）相應(yīng)每一威脅,對資產(chǎn)或組織存在的薄弱點進行辨認與評價（4)對已采用的安全控制進行確認(５)建立風險測量的方法及風險等級評價原則,擬定風險的大小與等級ｃ.進行風險評估時，應(yīng)考慮的相應(yīng)關(guān)系風險評估過程圖資產(chǎn)、威脅和薄弱點相應(yīng)關(guān)系圖資產(chǎn)、威脅和薄弱點相應(yīng)關(guān)系：1、每一項資產(chǎn)也許存在多個威脅2、威脅的來源也許不只一個,應(yīng)從人員(涉及內(nèi)部與外部）、環(huán)境（如自然災(zāi)害)、資產(chǎn)自身(如設(shè)備故障)等方面加以考慮１０、資產(chǎn)辨認與評估組織應(yīng)列出與信息安全有關(guān)的資產(chǎn)清單,對每一項資產(chǎn)進行確認和適當?shù)脑u估,資產(chǎn)辨認時常應(yīng)考慮：（1)數(shù)據(jù)與文檔（2)書面文獻(3)軟件資產(chǎn)（４)實物資產(chǎn)（5)人員(6）服務(wù)11、信息資產(chǎn)的廣義與狹義理解資產(chǎn)估價是一個主觀的過程,資產(chǎn)價值不是以資產(chǎn)的賬面價格來衡量的,而是指其相對價值。在對資產(chǎn)進行估價時,不僅要考慮資產(chǎn)的賬面價格，更重要的是要考慮資產(chǎn)對于組織商務(wù)的重要性,即根據(jù)資產(chǎn)損失所引發(fā)的潛在的商務(wù)影響來決定。建立一個資產(chǎn)的價值尺度（資產(chǎn)評估標準).一些信息資產(chǎn)的價值是有時效性的,如數(shù)據(jù)保密.新產(chǎn)品數(shù)據(jù)在產(chǎn)品面市之前的高度機密性.采用精確的財務(wù)方式來給資產(chǎn)擬定價值有時是很困難的,一般采用定性的方式來建立資產(chǎn)的價值或重要度，即按照事先擬定的價值尺度將資產(chǎn)的價值劃分為不同等級或說對資產(chǎn)賦值．從而可以擬定需要保護的關(guān)鍵資產(chǎn)．12、信息資產(chǎn)價值理解、價值時效性13、威脅辨認與評價威脅發(fā)生的也許性分析:擬定威脅發(fā)生的也許性是風險評估的重要環(huán)節(jié)，組織應(yīng)根據(jù)經(jīng)驗和（或)有關(guān)的記錄數(shù)據(jù)來判斷威脅發(fā)生的頻率或者威脅發(fā)生的概率。威脅發(fā)生的也許性受下列因素的影響:（１)資產(chǎn)的吸引力，如金融信息、國防信息等（2）資產(chǎn)轉(zhuǎn)化成報酬的容易限度(3）威脅的技術(shù)含量(4）薄弱點被運用的難易限度威脅發(fā)生的也許性大小（具體根據(jù)需要定，也許取大于1的值,也也許取小于1的值,但肯定不小于0）可以采用分級賦值的方法予以擬定。如將也許性分為三個等級：非常也許=3；大約也許=２;不太也許=1威脅事件發(fā)生的也許性大小與威脅事件發(fā)生的條件是密切相關(guān)的。如消防管理好的部門發(fā)生火災(zāi)的也許性要比消防管理差的部門發(fā)生火災(zāi)的也許性小。因此，具體環(huán)境下某一威脅發(fā)生的也許性應(yīng)考慮具體資產(chǎn)的薄弱點對這一威脅發(fā)生也許性的社會均值予以修正。1４、薄弱點評價與已有控制措施的確認A薄弱點的辨認與評估有關(guān)實物和環(huán)境安全面的薄弱點薄弱點運用薄弱點的威脅對建筑、房屋和辦公室實物訪問控制故意破壞的不充足或疏忽對于建筑、門和窗缺少物理保護盜竊位于易受洪水影響的區(qū)域洪水未被保護的儲藏庫盜竊缺少維護程序或維護作業(yè)指導(dǎo)維護錯誤缺少定期的設(shè)備更新計劃存儲媒體的老化設(shè)備缺少必要防護措施空氣中的顆粒/灰塵設(shè)備對溫度變化敏感或缺少空調(diào)設(shè)施極端溫度(高溫或低溫)設(shè)備易受電壓變化的影響、不穩(wěn)定的高壓輸電網(wǎng)、缺少供電保護設(shè)施電壓波動可見，威脅也許是人為的、襲擊的，也也許是環(huán)境的、自然的。組織應(yīng)對每一項需要保護的信息資產(chǎn),找出每一種威脅所能運用的薄弱點,并對薄弱點的嚴重性進行評價,即對薄弱點被威脅運用的也許性PV進行評價,可以采用分級賦值的方法(同PT同樣，具體大小根據(jù)需要定,也許取大于1的值,也也許取小于1的值,但肯定不小于0)。如：非常也許＝４;很也許＝3;也許=2;不太也許＝１；不也許＝0B對已有的安全控制進行確認威┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅脅保護措施發(fā)預(yù)生防的風險曲線３措可施能性風險曲線2、薄弱點被風險曲線1利用的程度威脅所產(chǎn)生的潛在影響限度圖２-５控制措施與風險限度關(guān)系圖組織應(yīng)將已采用的控制措施進行辨認并對控制措施的有效性進行確認,繼續(xù)保持有效的安全控制，以避免不必要的工作和費用，防止控制的反復(fù)實行。對于那些確認為不適當?shù)目刂茟?yīng)當檢查是否應(yīng)被取消,或者用更合適的控制代替。此外，應(yīng)當注意,在風險評估之后選擇的安全控制與現(xiàn)有的和計劃的控制應(yīng)保持一致。安全控制可分為防止性控制措施和保護性措施（如商務(wù)連續(xù)性計劃、商業(yè)保險等），防止性措施可以減少威脅發(fā)生的也許性和減少安全薄弱點,而保護性措施可以減少威脅發(fā)生所導(dǎo)致的影響。1５、風險評估①風險測量方法—風險大小和等級評價原則風險是威脅發(fā)生的也許性,薄弱點被威脅運用的也許性和威脅的潛在影響的函數(shù):R＝Ｒ(PT,PV,I) 其中:R--－資產(chǎn)受到某一威脅所擁有的風險②風險測量方法事例：(不知道該如何整理!太多了!!!)16、風險控制過程風險控制途徑：減少風險途徑①避免風險,也稱規(guī)避風險，屬去除威脅②轉(zhuǎn)移風險③減少威脅④減少薄弱點⑤減少威脅也許的影響限度⑥探測有害事故,對其做出反映并恢復(fù),屬及時捕獲威脅1７、風險接受：信息系統(tǒng)絕對安全(即零風險）是不也許的.組織在實行選擇的控制后，總?cè)杂袣埩舻娘L險,稱之為殘留風險或殘余風險或剩余風險。導(dǎo)致殘余風險的因素:也許是某些資產(chǎn)未被故意識保護所致,如假設(shè)的低風險;或者被提及的控制需要高費用而未采用應(yīng)有的控制殘余風險應(yīng)在可接受的范圍內(nèi)，即應(yīng)滿足:殘余風險Rr=原有風險Rｏ-控制△R殘余風險Rr≤可接受風險Rｔ風險接受就是一個對殘余風險進行確認和評價的過程:按照風險評估擬定的風險測量方法對實行安全控制后的資產(chǎn)風險進行重新計算,以獲得殘余風險的大小,并將殘余風險分為可接受或不可接受的風險.風險是隨時間而變化的，風險管理應(yīng)是一個動態(tài)的管理過程，因此組織要動態(tài)地定期進行風險評估，甚至在以下情況進行臨時評估，以便及時辨認需要控制的風險并進行有效的控制：⑴當組織新增信息資產(chǎn)時.⑵當系統(tǒng)發(fā)生重大變更時．⑶發(fā)生嚴重信息安全事故時.⑷組織認為有必要時.１8、基本風險評估基本的風險評估是指應(yīng)用直接和簡易的方法達成基本的安全水平，就能滿足組織及其商業(yè)環(huán)境的所有規(guī)定。合用范圍：合用于商業(yè)運作不是非常復(fù)雜的組織，并且組織對信息解決和網(wǎng)絡(luò)的依賴限度不高。優(yōu)點:（1)風險評估所需資源最少，簡便易行（２)同樣或類似的控制能被許多信息安全管理體系所采用，不需要花費很大的精力。假如多個商業(yè)規(guī)定類似，并且在相同的環(huán)境中運作，這些控制可以提供一個經(jīng)濟有效的解決方案。缺陷：（１）假如安全水平被設(shè)立的太高,就也許需要過多的費用或控制過度;假如水平太低，對一些組織來說，也許會得不到充足的安全。(由于方法是基本的,不細,較粗，因此,評估結(jié)果也許也較粗,不夠精確，有一定的出入)(2)對管理相關(guān)的安全進行更改也許有困難。如一個信息安全管理體系被升級，評估最初的控制是否仍然充足就有一定的困難。19、具體風險評估具體的風險評估是指對資產(chǎn)的具體辨認和估價，以及那些對資產(chǎn)形成威脅和相關(guān)薄弱點水平的具體評估，在此基礎(chǔ)上開展風險評估并隨后被用于安全控制的辨認和選擇。優(yōu)點:（1) 能獲得一個更精確的安全風險的結(jié)識,從而更為精確地辨認反映組織安全規(guī)定的安全水平。(2)?可以從具體的風險評估中獲得額外信息,使與組織更改相關(guān)的安全管理受益。缺陷：(1)?需要非常仔細制訂被評估的信息系統(tǒng)范圍內(nèi)的商務(wù)環(huán)境、運作、信息和資產(chǎn)邊界，需要管理者連續(xù)關(guān)注,因