《信息安全管理講義》

信息平安管理技術編輯ppt信息平安管理引入與內涵信息平安風險識別與評估信息平安等級保護41234ISO信息平安管理標準54信息平安法規(guī)6主講內容信息平安規(guī)劃編輯ppt信息平安管理引入與內涵信息平安在其開展過程中經歷的三個階段：20世紀80、90年代以前，面對信息交換過程中存在的平安問題，人們強調的主要是信息的保密性和完整性，該階段稱為通信保密階段；20世紀80、90年代，隨著計算機和網絡廣泛應用，人們對信息平安的關注已經逐漸擴展為以保密性、完整性和可用性為目標，并利用密碼、認證、訪問控制、審計與監(jiān)控等多種信息平安技術為信息和信息系統(tǒng)提供平安效勞，該階段稱為信息平安階段；編輯ppt信息平安管理引入與內涵信息平安在其開展過程中經歷的三個階段20世紀90年代中后期，由于互聯(lián)網技術的飛速開展，信息對內、對外都極大開放，由此產生的平安問題已經不僅僅是傳統(tǒng)的保密性、完整性和可用性三個方面，人們把信息主體和管理引入信息平安，由此衍生出諸如可控性、抗抵賴性、真實性等平安原那么和目標，信息平安也從單一的被動防護向全面而動態(tài)的防護、檢測、響應和恢復等整體建設方向開展。該階段稱為信息平安保障階段。編輯ppt信息平安管理引入與內涵信息平安技術與信息平安管理信息平安技術是實現(xiàn)信息平安產品的技術根底；信息平安產品是實現(xiàn)信息平安的工具平臺；信息平安管理是通過維護信息的機密性、完整性和可用性等，來管理和保護信息資產的一項體制，是對信息平安保障進行指導、標準和管理的一系列活動和過程。編輯ppt信息平安管理引入與內涵信息平安風險識別與評估信息平安等級保護41234ISO信息平安管理標準54信息平安法規(guī)6主講內容信息平安規(guī)劃編輯ppt信息平安規(guī)劃

信息平安規(guī)劃也稱為信息平安方案，它用于在較高的層次上確定一個組織涉及信息平安的活動，主要內容：平安策略平安需求方案采用的平安措施平安責任規(guī)劃執(zhí)行時間表編輯ppt信息平安管理引入與內涵信息平安風險識別與評估信息平安等級保護41234ISO信息平安管理標準54信息平安法規(guī)6主講內容信息平安規(guī)劃編輯ppt信息平安風險識別與評估

信息平安風險來自人為或自然的威脅，是威脅利用信息系統(tǒng)的脆弱性造成平安事件的可能性及這類平安事件可能對信息資產等造成的負面影響。編輯ppt信息平安風險識別與評估

信息平安風險評估：也稱信息平安風險分析，它是指對信息平安威脅進行分析和預測，評估這些威脅對信息資產造成的影響。信息平安風險評估使信息系統(tǒng)的管理者可以在考慮風險的情況下估算信息資產的價值，為管理決策提供支持，也可為進一步實施系統(tǒng)平安防護提供依據。編輯ppt信息平安建設的起點和根底倡導一種適度平安信息平安建設和管理的科學方法分析確定風險的過程信息平安風險評估信息平安風險識別與評估

編輯ppt信息平安風險識別與評估

編輯ppt信息平安風險識別與評估

信息平安風險識別與評估應考慮的因素：信息資產的脆弱性信息資產的威脅及其發(fā)生的可能性信息資產的價值已有安全措施編輯ppt編輯ppt資產的識別與估價

為了明確被保護的信息資產，組織應列出與信息平安有關的資產清單，對每一項資產進行確認和適當的評估。為了防止資產被忽略或遺漏，在識別資產之前應確定風險評估范圍。所有在評估范圍之內的資產都應該被識別，因此要列出對組織或組織的特定部門的業(yè)務過程有價值的任何事物，以便根據組織的業(yè)務流程來識別信息資產。信息平安風險識別與評估

編輯ppt信息平安風險識別與評估

資產的識別與估價在列出所有信息資產后，應對每項資產賦予價值。資產估價是一個主觀的過程，而且資產的價值應當由資產的所有者和相關用戶來確定，只有他們最清楚資產對組織業(yè)務的重要性，從而能夠準確地評估出資產的實際價值。為確保資產估價的一致性和準確性，組織應建立一個資產的價值尺度〔資產評估標準〕，以明確如何對資產進行賦值。在信息系統(tǒng)中，采用精確的財務方式來給資產確定價值比較困難，一般采用定性分級的方式來建立資產的相對價值或重要度，即按照事先確定的價值尺度將資產的價值劃分為不同等級，以相對價值作為確定重要資產及為這些資產投入多大資源進行保護的依據。編輯ppt資產的識別與估價信息平安風險識別與評估

編輯ppt編輯ppt故意破壞（網絡攻擊、惡意代碼傳播、郵件炸彈、非授權訪問等）和無意失誤（如誤操作、維護錯誤）人員威脅12系統(tǒng)威脅環(huán)境威脅34自然威脅識別產生威脅的原因信息平安風險識別與評估

威脅識別與評估編輯ppt人員威脅12系統(tǒng)威脅環(huán)境威脅34自然威脅識別產生威脅的原因信息平安風險識別與評估

威脅識別與評估系統(tǒng)、網絡或服務的故障（軟件故障、硬件故障、介質老化等）編輯ppt人員威脅12系統(tǒng)威脅環(huán)境威脅34自然威脅電源故障、污染、液體泄漏、火災等識別產生威脅的原因信息平安風險識別與評估

威脅識別與評估編輯ppt人員威脅12系統(tǒng)威脅環(huán)境威脅34自然威脅洪水、地震、臺風、滑坡、雷電等識別產生威脅的原因信息平安風險識別與評估

威脅識別與評估編輯ppt威脅識別與評估信息平安風險識別與評估

識別產生威脅的原因確認威脅的目標威脅識別與評估的主要任務威脅發(fā)生造成的后果或潛在影響評估威脅發(fā)生的可能性編輯ppt威脅識別與評估

威脅發(fā)生造成的后果或潛在影響

信息平安風險識別與評估

威脅一旦發(fā)生會造成信息保密性、完整性和可用性等平安屬性的損失，從而給組織造成不同程度的影響，嚴重的威脅發(fā)生會導致諸如信息系統(tǒng)崩潰、業(yè)務流程中斷、財產損失等重大平安事故。不同的威脅對同一資產或組織所產生的影響不同，導致的價值損失也不同，但損失的程度應以資產的相對價值〔或重要程度〕為限。編輯ppt編輯ppt脆弱性識別與評估

僅有威脅還構不成風險。由于組織缺乏充分的平安控制，組織需要保護的信息資產或系統(tǒng)存在著可能被威脅所利用的弱點，即脆弱性。威脅只有利用了特定的脆弱性或者弱點，才可能對資產造成影響。信息平安風險識別與評估

編輯ppt脆弱性識別與評估脆弱性是資產本身存在的，威脅總是要利用資產的脆弱性才能造成危害。資產的脆弱性具有隱蔽性，有些脆弱性只有在一定條件和環(huán)境下才能顯現(xiàn)。脆弱性識別可以資產為核心，即根據每個資產分別識別其存在的弱點，然后綜合評價該資產的脆弱性；也可分物理、網絡、系統(tǒng)、應用等層次進行識別。信息平安風險識別與評估

編輯ppt脆弱性識別與評估信息平安風險識別與評估

系統(tǒng)、程序和設備中存在的漏洞或缺陷，如結構設計問題和編程漏洞等技術脆弱性12操作脆弱性管理脆弱性3軟件和系統(tǒng)在配置、操作及使用中的缺陷，包括人員日常工作中的不良習慣、審計或備份的缺乏等策略、程序和規(guī)章制度等方面的弱點。脆弱性的分類編輯ppt信息平安風險識別與評估

脆弱性識別與評估評估脆弱性需要考慮的因素脆弱性的嚴重程度〔Severity〕；脆弱性的暴露程度〔Exposure〕，即被威脅利用的可能性P，這兩個因素可采用分級賦值的方法。例如對于脆弱性被威脅利用的可能性可以分級為：非?？赡?4，很可能=3，可能=2，不太可能=1，不可能=0。編輯ppt編輯ppt信息平安風險識別與評估

確認現(xiàn)有平安控制在影響威脅事件發(fā)生的外部條件中，除了資產的弱點，再就是組織現(xiàn)有的平安控制措施。在風險評估過程中，應當識別已有的〔或已方案的〕平安控制措施，分析平安控制措施的效力，有效的平安控制繼續(xù)保持，而對于那些不適當的控制應當核查是否應被取消，或者用更適宜的控制代替。編輯ppt信息平安風險識別與評估

確認現(xiàn)有平安控制對系統(tǒng)開發(fā)、維護和使用實施管理的措施，包括安全策略、程序管理、風險管理、安全保障和系統(tǒng)生命周期管理等管理性平安控制12操作性平安控制技術性平安控制3用來保護系統(tǒng)和應用操作的流程和機制，包括人員職責、應急響應、事件處理，安全意識培訓、系統(tǒng)支持和操作、物理和環(huán)境安全等身份識別與認證、邏輯訪問控制、日志審計和加密等平安控制方式的分類(依據目標和針對性分類)編輯ppt信息平安風險識別與評估

確認現(xiàn)有平安控制此類控制可以降低蓄意攻擊的可能性，實際上針對的是威脅源的動機威懾性安全控制12預防性安全控制檢測性安全控制34糾正性安全控制此類控制可以保護脆弱性，使攻擊難以成功，或者降低攻擊造成的影晌此類控制可以檢測并及時發(fā)現(xiàn)攻擊活動，還可以激活糾正性或預防性安全控制此類控制可以將攻擊造成的影響降到最低安全控制方式的分類（依據功能分類)編輯ppt信息平安風險識別與評估

確認現(xiàn)有平安控制平安控制應對風險各要素的情況利用引發(fā)造成編輯ppt編輯ppt信息平安風險識別與評估

風險評價風險評價就是利用適當的風險測量方法或工具確定風險的大小與等級，對組織信息平安管理范圍內的每一信息資產因遭受泄露、修改、不可用和破壞所帶來的任何影響做出一個風險測量的列表，以便識別與選擇適當和正確的平安控制方式。編輯ppt信息平安風險識別與評估

風險評價——風險度量常用方法預定義價值矩陣法按風險大小對威脅排序法網絡系統(tǒng)的風險計算方法風險度量的目的是明確當前的平安狀態(tài)、改善該狀態(tài)并獲得改善狀態(tài)所需的資源。編輯ppt信息平安風險識別與評估

風險評價——風險度量常用方法預定義價值矩陣法該方法利用威脅發(fā)生的可能性、脆弱性被威脅利用的可能性及資產的相對價值三者預定義的三維矩陣來確定風險的大小。威脅發(fā)生的可能性PT低0中1高2脆弱性被利用的可能性PV低0中1高2低0中1高2低0中1高2資產相對價值V001212323411232343452234345456334545656744565676782+1+2=5編輯ppt信息平安風險識別與評估

風險評價——風險度量常用方法按風險大小對威脅排序法該方法把風險對資產的影響與威脅發(fā)生的可能性聯(lián)系起來，常用于考察和比較威脅對組織資產的危害程度。第一步：按預定義的尺度，評估風險對資產的影響即資產的相對價值I，例如，尺度可以是從1到5；第二步：評估威脅發(fā)生的可能性PT，PT也可以用PTV〔考慮被利用的脆弱性因素〕代替，例如尺度為1到5；第三步：測量風險值R，R=R〔PTV，I〕=PTV×I；該方法把風險對資產的影響與威脅發(fā)生的可能性聯(lián)系起來，常用于考察和比較威脅對組織資產的危害程度。方法的實施過程是：編輯ppt信息平安風險識別與評估

風險評價——風險度量常用方法按風險大小對威脅排序法威脅影響（資產價值I）威脅發(fā)生的可能性PTV風險R威脅的等級威脅A52102威脅B2483威脅C35151威脅D1335威脅E4144威脅F2483R=PTV×I=3×5=15編輯ppt信息平安風險識別與評估

風險評價——風險度量常用方法網絡系統(tǒng)的風險計算方法R=V×〔1-PD〕×〔1-PO〕其中：V––––系統(tǒng)的重要性，是系統(tǒng)的保密性C、完整性I和可用性A三項評價值的乘積，即V=C×I×A；PO––––防止威脅發(fā)生的可能性，與用戶的個數、原先的信任、備份的頻率以及強制平安措施需求的滿足程度有關；PD––––防止系統(tǒng)性能降低的可能性，與組織已實施的保護性控制措施有關。編輯ppt信息平安風險識別與評估

風險評價——風險度量常用方法網絡系統(tǒng)的風險計算方法網絡系統(tǒng)名稱保密性

C完整性IN可用性A網絡系統(tǒng)重要性V防止威脅發(fā)生PO防止系統(tǒng)性能降低PD風險R風險排序管理13260.10.33.782工程232120.50.53.003電子商務332180.30.38.821V=C×I×A=2×3×2=12R=V×〔1-PD〕×〔1-PO〕=12×〔1-0.5〕×〔1-0.5〕=3.00編輯ppt編輯ppt信息平安風險識別與評估

平安措施建議信息平安風險評估人員通過以上評估得到了不同信息資產的風險等級，他們在這一步驟中根據風險等級和其他評估結論，結合被評估組織當前信息平安防護措施的狀況，為被評估組織提供加強信息平安防護的