《信息安全管理講義》

信息平安管理技術(shù)編輯ppt信息平安管理引入與內(nèi)涵信息平安風(fēng)險(xiǎn)識(shí)別與評(píng)估信息平安等級(jí)保護(hù)41234ISO信息平安管理標(biāo)準(zhǔn)54信息平安法規(guī)6主講內(nèi)容信息平安規(guī)劃編輯ppt信息平安管理引入與內(nèi)涵信息平安在其開展過程中經(jīng)歷的三個(gè)階段：20世紀(jì)80、90年代以前，面對(duì)信息交換過程中存在的平安問題，人們強(qiáng)調(diào)的主要是信息的保密性和完整性，該階段稱為通信保密階段；20世紀(jì)80、90年代，隨著計(jì)算機(jī)和網(wǎng)絡(luò)廣泛應(yīng)用，人們對(duì)信息平安的關(guān)注已經(jīng)逐漸擴(kuò)展為以保密性、完整性和可用性為目標(biāo)，并利用密碼、認(rèn)證、訪問控制、審計(jì)與監(jiān)控等多種信息平安技術(shù)為信息和信息系統(tǒng)提供平安效勞，該階段稱為信息平安階段；編輯ppt信息平安管理引入與內(nèi)涵信息平安在其開展過程中經(jīng)歷的三個(gè)階段20世紀(jì)90年代中后期，由于互聯(lián)網(wǎng)技術(shù)的飛速開展，信息對(duì)內(nèi)、對(duì)外都極大開放，由此產(chǎn)生的平安問題已經(jīng)不僅僅是傳統(tǒng)的保密性、完整性和可用性三個(gè)方面，人們把信息主體和管理引入信息平安，由此衍生出諸如可控性、抗抵賴性、真實(shí)性等平安原那么和目標(biāo)，信息平安也從單一的被動(dòng)防護(hù)向全面而動(dòng)態(tài)的防護(hù)、檢測(cè)、響應(yīng)和恢復(fù)等整體建設(shè)方向開展。該階段稱為信息平安保障階段。編輯ppt信息平安管理引入與內(nèi)涵信息平安技術(shù)與信息平安管理信息平安技術(shù)是實(shí)現(xiàn)信息平安產(chǎn)品的技術(shù)根底；信息平安產(chǎn)品是實(shí)現(xiàn)信息平安的工具平臺(tái)；信息平安管理是通過維護(hù)信息的機(jī)密性、完整性和可用性等，來管理和保護(hù)信息資產(chǎn)的一項(xiàng)體制，是對(duì)信息平安保障進(jìn)行指導(dǎo)、標(biāo)準(zhǔn)和管理的一系列活動(dòng)和過程。編輯ppt信息平安管理引入與內(nèi)涵信息平安風(fēng)險(xiǎn)識(shí)別與評(píng)估信息平安等級(jí)保護(hù)41234ISO信息平安管理標(biāo)準(zhǔn)54信息平安法規(guī)6主講內(nèi)容信息平安規(guī)劃編輯ppt信息平安規(guī)劃

信息平安規(guī)劃也稱為信息平安方案，它用于在較高的層次上確定一個(gè)組織涉及信息平安的活動(dòng)，主要內(nèi)容：平安策略平安需求方案采用的平安措施平安責(zé)任規(guī)劃執(zhí)行時(shí)間表編輯ppt信息平安管理引入與內(nèi)涵信息平安風(fēng)險(xiǎn)識(shí)別與評(píng)估信息平安等級(jí)保護(hù)41234ISO信息平安管理標(biāo)準(zhǔn)54信息平安法規(guī)6主講內(nèi)容信息平安規(guī)劃編輯ppt信息平安風(fēng)險(xiǎn)識(shí)別與評(píng)估

信息平安風(fēng)險(xiǎn)來自人為或自然的威脅，是威脅利用信息系統(tǒng)的脆弱性造成平安事件的可能性及這類平安事件可能對(duì)信息資產(chǎn)等造成的負(fù)面影響。編輯ppt信息平安風(fēng)險(xiǎn)識(shí)別與評(píng)估

信息平安風(fēng)險(xiǎn)評(píng)估：也稱信息平安風(fēng)險(xiǎn)分析，它是指對(duì)信息平安威脅進(jìn)行分析和預(yù)測(cè)，評(píng)估這些威脅對(duì)信息資產(chǎn)造成的影響。信息平安風(fēng)險(xiǎn)評(píng)估使信息系統(tǒng)的管理者可以在考慮風(fēng)險(xiǎn)的情況下估算信息資產(chǎn)的價(jià)值，為管理決策提供支持，也可為進(jìn)一步實(shí)施系統(tǒng)平安防護(hù)提供依據(jù)。編輯ppt信息平安建設(shè)的起點(diǎn)和根底倡導(dǎo)一種適度平安信息平安建設(shè)和管理的科學(xué)方法分析確定風(fēng)險(xiǎn)的過程信息平安風(fēng)險(xiǎn)評(píng)估信息平安風(fēng)險(xiǎn)識(shí)別與評(píng)估

編輯ppt信息平安風(fēng)險(xiǎn)識(shí)別與評(píng)估

編輯ppt信息平安風(fēng)險(xiǎn)識(shí)別與評(píng)估

信息平安風(fēng)險(xiǎn)識(shí)別與評(píng)估應(yīng)考慮的因素：信息資產(chǎn)的脆弱性信息資產(chǎn)的威脅及其發(fā)生的可能性信息資產(chǎn)的價(jià)值已有安全措施編輯ppt編輯ppt資產(chǎn)的識(shí)別與估價(jià)

為了明確被保護(hù)的信息資產(chǎn)，組織應(yīng)列出與信息平安有關(guān)的資產(chǎn)清單，對(duì)每一項(xiàng)資產(chǎn)進(jìn)行確認(rèn)和適當(dāng)?shù)脑u(píng)估。為了防止資產(chǎn)被忽略或遺漏，在識(shí)別資產(chǎn)之前應(yīng)確定風(fēng)險(xiǎn)評(píng)估范圍。所有在評(píng)估范圍之內(nèi)的資產(chǎn)都應(yīng)該被識(shí)別，因此要列出對(duì)組織或組織的特定部門的業(yè)務(wù)過程有價(jià)值的任何事物，以便根據(jù)組織的業(yè)務(wù)流程來識(shí)別信息資產(chǎn)。信息平安風(fēng)險(xiǎn)識(shí)別與評(píng)估

編輯ppt信息平安風(fēng)險(xiǎn)識(shí)別與評(píng)估

資產(chǎn)的識(shí)別與估價(jià)在列出所有信息資產(chǎn)后，應(yīng)對(duì)每項(xiàng)資產(chǎn)賦予價(jià)值。資產(chǎn)估價(jià)是一個(gè)主觀的過程，而且資產(chǎn)的價(jià)值應(yīng)當(dāng)由資產(chǎn)的所有者和相關(guān)用戶來確定，只有他們最清楚資產(chǎn)對(duì)組織業(yè)務(wù)的重要性，從而能夠準(zhǔn)確地評(píng)估出資產(chǎn)的實(shí)際價(jià)值。為確保資產(chǎn)估價(jià)的一致性和準(zhǔn)確性，組織應(yīng)建立一個(gè)資產(chǎn)的價(jià)值尺度〔資產(chǎn)評(píng)估標(biāo)準(zhǔn)〕，以明確如何對(duì)資產(chǎn)進(jìn)行賦值。在信息系統(tǒng)中，采用精確的財(cái)務(wù)方式來給資產(chǎn)確定價(jià)值比較困難，一般采用定性分級(jí)的方式來建立資產(chǎn)的相對(duì)價(jià)值或重要度，即按照事先確定的價(jià)值尺度將資產(chǎn)的價(jià)值劃分為不同等級(jí)，以相對(duì)價(jià)值作為確定重要資產(chǎn)及為這些資產(chǎn)投入多大資源進(jìn)行保護(hù)的依據(jù)。編輯ppt資產(chǎn)的識(shí)別與估價(jià)信息平安風(fēng)險(xiǎn)識(shí)別與評(píng)估

編輯ppt編輯ppt故意破壞（網(wǎng)絡(luò)攻擊、惡意代碼傳播、郵件炸彈、非授權(quán)訪問等）和無意失誤（如誤操作、維護(hù)錯(cuò)誤）人員威脅12系統(tǒng)威脅環(huán)境威脅34自然威脅識(shí)別產(chǎn)生威脅的原因信息平安風(fēng)險(xiǎn)識(shí)別與評(píng)估

威脅識(shí)別與評(píng)估編輯ppt人員威脅12系統(tǒng)威脅環(huán)境威脅34自然威脅識(shí)別產(chǎn)生威脅的原因信息平安風(fēng)險(xiǎn)識(shí)別與評(píng)估

威脅識(shí)別與評(píng)估系統(tǒng)、網(wǎng)絡(luò)或服務(wù)的故障（軟件故障、硬件故障、介質(zhì)老化等）編輯ppt人員威脅12系統(tǒng)威脅環(huán)境威脅34自然威脅電源故障、污染、液體泄漏、火災(zāi)等識(shí)別產(chǎn)生威脅的原因信息平安風(fēng)險(xiǎn)識(shí)別與評(píng)估

威脅識(shí)別與評(píng)估編輯ppt人員威脅12系統(tǒng)威脅環(huán)境威脅34自然威脅洪水、地震、臺(tái)風(fēng)、滑坡、雷電等識(shí)別產(chǎn)生威脅的原因信息平安風(fēng)險(xiǎn)識(shí)別與評(píng)估

威脅識(shí)別與評(píng)估編輯ppt威脅識(shí)別與評(píng)估信息平安風(fēng)險(xiǎn)識(shí)別與評(píng)估

識(shí)別產(chǎn)生威脅的原因確認(rèn)威脅的目標(biāo)威脅識(shí)別與評(píng)估的主要任務(wù)威脅發(fā)生造成的后果或潛在影響評(píng)估威脅發(fā)生的可能性編輯ppt威脅識(shí)別與評(píng)估

威脅發(fā)生造成的后果或潛在影響

信息平安風(fēng)險(xiǎn)識(shí)別與評(píng)估

威脅一旦發(fā)生會(huì)造成信息保密性、完整性和可用性等平安屬性的損失，從而給組織造成不同程度的影響，嚴(yán)重的威脅發(fā)生會(huì)導(dǎo)致諸如信息系統(tǒng)崩潰、業(yè)務(wù)流程中斷、財(cái)產(chǎn)損失等重大平安事故。不同的威脅對(duì)同一資產(chǎn)或組織所產(chǎn)生的影響不同，導(dǎo)致的價(jià)值損失也不同，但損失的程度應(yīng)以資產(chǎn)的相對(duì)價(jià)值〔或重要程度〕為限。編輯ppt編輯ppt脆弱性識(shí)別與評(píng)估

僅有威脅還構(gòu)不成風(fēng)險(xiǎn)。由于組織缺乏充分的平安控制，組織需要保護(hù)的信息資產(chǎn)或系統(tǒng)存在著可能被威脅所利用的弱點(diǎn)，即脆弱性。威脅只有利用了特定的脆弱性或者弱點(diǎn)，才可能對(duì)資產(chǎn)造成影響。信息平安風(fēng)險(xiǎn)識(shí)別與評(píng)估

編輯ppt脆弱性識(shí)別與評(píng)估脆弱性是資產(chǎn)本身存在的，威脅總是要利用資產(chǎn)的脆弱性才能造成危害。資產(chǎn)的脆弱性具有隱蔽性，有些脆弱性只有在一定條件和環(huán)境下才能顯現(xiàn)。脆弱性識(shí)別可以資產(chǎn)為核心，即根據(jù)每個(gè)資產(chǎn)分別識(shí)別其存在的弱點(diǎn)，然后綜合評(píng)價(jià)該資產(chǎn)的脆弱性；也可分物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用等層次進(jìn)行識(shí)別。信息平安風(fēng)險(xiǎn)識(shí)別與評(píng)估

編輯ppt脆弱性識(shí)別與評(píng)估信息平安風(fēng)險(xiǎn)識(shí)別與評(píng)估

系統(tǒng)、程序和設(shè)備中存在的漏洞或缺陷，如結(jié)構(gòu)設(shè)計(jì)問題和編程漏洞等技術(shù)脆弱性12操作脆弱性管理脆弱性3軟件和系統(tǒng)在配置、操作及使用中的缺陷，包括人員日常工作中的不良習(xí)慣、審計(jì)或備份的缺乏等策略、程序和規(guī)章制度等方面的弱點(diǎn)。脆弱性的分類編輯ppt信息平安風(fēng)險(xiǎn)識(shí)別與評(píng)估

脆弱性識(shí)別與評(píng)估評(píng)估脆弱性需要考慮的因素脆弱性的嚴(yán)重程度〔Severity〕；脆弱性的暴露程度〔Exposure〕，即被威脅利用的可能性P，這兩個(gè)因素可采用分級(jí)賦值的方法。例如對(duì)于脆弱性被威脅利用的可能性可以分級(jí)為：非?？赡?4，很可能=3，可能=2，不太可能=1，不可能=0。編輯ppt編輯ppt信息平安風(fēng)險(xiǎn)識(shí)別與評(píng)估

確認(rèn)現(xiàn)有平安控制在影響威脅事件發(fā)生的外部條件中，除了資產(chǎn)的弱點(diǎn)，再就是組織現(xiàn)有的平安控制措施。在風(fēng)險(xiǎn)評(píng)估過程中，應(yīng)當(dāng)識(shí)別已有的〔或已方案的〕平安控制措施，分析平安控制措施的效力，有效的平安控制繼續(xù)保持，而對(duì)于那些不適當(dāng)?shù)目刂茟?yīng)當(dāng)核查是否應(yīng)被取消，或者用更適宜的控制代替。編輯ppt信息平安風(fēng)險(xiǎn)識(shí)別與評(píng)估

確認(rèn)現(xiàn)有平安控制對(duì)系統(tǒng)開發(fā)、維護(hù)和使用實(shí)施管理的措施，包括安全策略、程序管理、風(fēng)險(xiǎn)管理、安全保障和系統(tǒng)生命周期管理等管理性平安控制12操作性平安控制技術(shù)性平安控制3用來保護(hù)系統(tǒng)和應(yīng)用操作的流程和機(jī)制，包括人員職責(zé)、應(yīng)急響應(yīng)、事件處理，安全意識(shí)培訓(xùn)、系統(tǒng)支持和操作、物理和環(huán)境安全等身份識(shí)別與認(rèn)證、邏輯訪問控制、日志審計(jì)和加密等平安控制方式的分類(依據(jù)目標(biāo)和針對(duì)性分類)編輯ppt信息平安風(fēng)險(xiǎn)識(shí)別與評(píng)估

確認(rèn)現(xiàn)有平安控制此類控制可以降低蓄意攻擊的可能性，實(shí)際上針對(duì)的是威脅源的動(dòng)機(jī)威懾性安全控制12預(yù)防性安全控制檢測(cè)性安全控制34糾正性安全控制此類控制可以保護(hù)脆弱性，使攻擊難以成功，或者降低攻擊造成的影晌此類控制可以檢測(cè)并及時(shí)發(fā)現(xiàn)攻擊活動(dòng)，還可以激活糾正性或預(yù)防性安全控制此類控制可以將攻擊造成的影響降到最低安全控制方式的分類（依據(jù)功能分類)編輯ppt信息平安風(fēng)險(xiǎn)識(shí)別與評(píng)估

確認(rèn)現(xiàn)有平安控制平安控制應(yīng)對(duì)風(fēng)險(xiǎn)各要素的情況利用引發(fā)造成編輯ppt編輯ppt信息平安風(fēng)險(xiǎn)識(shí)別與評(píng)估

風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)評(píng)價(jià)就是利用適當(dāng)?shù)娘L(fēng)險(xiǎn)測(cè)量方法或工具確定風(fēng)險(xiǎn)的大小與等級(jí)，對(duì)組織信息平安管理范圍內(nèi)的每一信息資產(chǎn)因遭受泄露、修改、不可用和破壞所帶來的任何影響做出一個(gè)風(fēng)險(xiǎn)測(cè)量的列表，以便識(shí)別與選擇適當(dāng)和正確的平安控制方式。編輯ppt信息平安風(fēng)險(xiǎn)識(shí)別與評(píng)估

風(fēng)險(xiǎn)評(píng)價(jià)——風(fēng)險(xiǎn)度量常用方法預(yù)定義價(jià)值矩陣法按風(fēng)險(xiǎn)大小對(duì)威脅排序法網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)計(jì)算方法風(fēng)險(xiǎn)度量的目的是明確當(dāng)前的平安狀態(tài)、改善該狀態(tài)并獲得改善狀態(tài)所需的資源。編輯ppt信息平安風(fēng)險(xiǎn)識(shí)別與評(píng)估

風(fēng)險(xiǎn)評(píng)價(jià)——風(fēng)險(xiǎn)度量常用方法預(yù)定義價(jià)值矩陣法該方法利用威脅發(fā)生的可能性、脆弱性被威脅利用的可能性及資產(chǎn)的相對(duì)價(jià)值三者預(yù)定義的三維矩陣來確定風(fēng)險(xiǎn)的大小。威脅發(fā)生的可能性PT低0中1高2脆弱性被利用的可能性PV低0中1高2低0中1高2低0中1高2資產(chǎn)相對(duì)價(jià)值V001212323411232343452234345456334545656744565676782+1+2=5編輯ppt信息平安風(fēng)險(xiǎn)識(shí)別與評(píng)估

風(fēng)險(xiǎn)評(píng)價(jià)——風(fēng)險(xiǎn)度量常用方法按風(fēng)險(xiǎn)大小對(duì)威脅排序法該方法把風(fēng)險(xiǎn)對(duì)資產(chǎn)的影響與威脅發(fā)生的可能性聯(lián)系起來，常用于考察和比較威脅對(duì)組織資產(chǎn)的危害程度。第一步：按預(yù)定義的尺度，評(píng)估風(fēng)險(xiǎn)對(duì)資產(chǎn)的影響即資產(chǎn)的相對(duì)價(jià)值I，例如，尺度可以是從1到5；第二步：評(píng)估威脅發(fā)生的可能性PT，PT也可以用PTV〔考慮被利用的脆弱性因素〕代替，例如尺度為1到5；第三步：測(cè)量風(fēng)險(xiǎn)值R，R=R〔PTV，I〕=PTV×I；該方法把風(fēng)險(xiǎn)對(duì)資產(chǎn)的影響與威脅發(fā)生的可能性聯(lián)系起來，常用于考察和比較威脅對(duì)組織資產(chǎn)的危害程度。方法的實(shí)施過程是：編輯ppt信息平安風(fēng)險(xiǎn)識(shí)別與評(píng)估

風(fēng)險(xiǎn)評(píng)價(jià)——風(fēng)險(xiǎn)度量常用方法按風(fēng)險(xiǎn)大小對(duì)威脅排序法威脅影響（資產(chǎn)價(jià)值I）威脅發(fā)生的可能性PTV風(fēng)險(xiǎn)R威脅的等級(jí)威脅A52102威脅B2483威脅C35151威脅D1335威脅E4144威脅F2483R=PTV×I=3×5=15編輯ppt信息平安風(fēng)險(xiǎn)識(shí)別與評(píng)估

風(fēng)險(xiǎn)評(píng)價(jià)——風(fēng)險(xiǎn)度量常用方法網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)計(jì)算方法R=V×〔1-PD〕×〔1-PO〕其中：V––––系統(tǒng)的重要性，是系統(tǒng)的保密性C、完整性I和可用性A三項(xiàng)評(píng)價(jià)值的乘積，即V=C×I×A；PO––––防止威脅發(fā)生的可能性，與用戶的個(gè)數(shù)、原先的信任、備份的頻率以及強(qiáng)制平安措施需求的滿足程度有關(guān)；PD––––防止系統(tǒng)性能降低的可能性，與組織已實(shí)施的保護(hù)性控制措施有關(guān)。編輯ppt信息平安風(fēng)險(xiǎn)識(shí)別與評(píng)估

風(fēng)險(xiǎn)評(píng)價(jià)——風(fēng)險(xiǎn)度量常用方法網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)計(jì)算方法網(wǎng)絡(luò)系統(tǒng)名稱保密性

C完整性IN可用性A網(wǎng)絡(luò)系統(tǒng)重要性V防止威脅發(fā)生PO防止系統(tǒng)性能降低PD風(fēng)險(xiǎn)R風(fēng)險(xiǎn)排序管理13260.10.33.782工程232120.50.53.003電子商務(wù)332180.30.38.821V=C×I×A=2×3×2=12R=V×〔1-PD〕×〔1-PO〕=12×〔1-0.5〕×〔1-0.5〕=3.00編輯ppt編輯ppt信息平安風(fēng)險(xiǎn)識(shí)別與評(píng)估

平安措施建議信息平安風(fēng)險(xiǎn)評(píng)估人員通過以上評(píng)估得到了不同信息資產(chǎn)的風(fēng)險(xiǎn)等級(jí)，他們?cè)谶@一步驟中根據(jù)風(fēng)險(xiǎn)等級(jí)和其他評(píng)估結(jié)論，結(jié)合被評(píng)估組織當(dāng)前信息平安防護(hù)措施的狀況，為被評(píng)估組織提供加強(qiáng)信息平安防護(hù)的