資源描述:
《信息安全風(fēng)險(xiǎn)評估》由會員上傳分享����,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在教育資源-天天文庫�����。
1�、信息安全風(fēng)險(xiǎn)評估風(fēng)險(xiǎn)評估流程介紹風(fēng)險(xiǎn)評估特點(diǎn)介紹風(fēng)險(xiǎn)評估與等級保護(hù)的結(jié)合綠盟科技服務(wù)產(chǎn)品部孫鐵2008年3月員工和客戶訪問資源可用性客戶和業(yè)務(wù)信息的保護(hù)機(jī)密性客戶和業(yè)務(wù)信息的可信賴性完整性信息安全的涵義Confidentiality:阻止未經(jīng)授權(quán)的用戶讀取數(shù)據(jù)Integrity:阻止未經(jīng)授權(quán)的用戶修改或刪除數(shù)據(jù)Availability:保證授權(quán)實(shí)體在需要時(shí)可以正常地使用系統(tǒng)Confidentiality保密性Availability可用性Integrity完整性在某些組織中,完整性和/或可用性比保密性更重要信息安全的概念I(lǐng)ntegrityAvailabili
2�、tyConfidentialityCorrectnessCompletenessValidityAuthenticityNon-repudiationContinuityPunctualityExclusivityManipulationDestructionFalsificationRepudiationDivulgationInterruptionDelaySECURITY=QUALITY四種信息安全工作模式事件導(dǎo)向?沒有統(tǒng)一的安全管理部門?沒有安全預(yù)算?非正規(guī)的安全組織和流程?實(shí)施了基本的安全工具流程導(dǎo)向?信息安全由IT部門管理?有科學(xué)的安全預(yù)算?有正
3、式的安全組織和流程?實(shí)施了基本的安全工具風(fēng)險(xiǎn)導(dǎo)向?信息安全由CIO直接負(fù)責(zé)?有與風(fēng)險(xiǎn)平衡的安全預(yù)算?基于風(fēng)險(xiǎn)而整合的基礎(chǔ)設(shè)施?使用主動性安全技術(shù)?信息安全由IT部門管理?有科學(xué)的安全預(yù)算?分布式管理和非正規(guī)流程?有較強(qiáng)的安全技術(shù)資源技術(shù)導(dǎo)向技術(shù)要求高流程要求高風(fēng)險(xiǎn)避免�,風(fēng)險(xiǎn)降低,風(fēng)險(xiǎn)轉(zhuǎn)移���,風(fēng)險(xiǎn)接受安全性風(fēng)險(xiǎn)性安全需求高高低安全風(fēng)險(xiǎn)支出平衡點(diǎn)安全的風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)評估的發(fā)展現(xiàn)狀信息安全風(fēng)險(xiǎn)評估在美國的發(fā)展第一個階段(60-70年代)以計(jì)算機(jī)為對象的信息保密階段1967年11月到1970年2月�����,美國國防科學(xué)委員會委托蘭德公司��、邁特公司(MITIE)及其它和國防工業(yè)有
4��、關(guān)的一些公司對當(dāng)時(shí)的大型機(jī)����、遠(yuǎn)程終端進(jìn)行了研究�,分析。作了第一次比較大規(guī)模的風(fēng)險(xiǎn)評估����。特點(diǎn):僅重點(diǎn)針對了計(jì)算機(jī)系統(tǒng)的保密性問題提出要求,對安全的評估只限于保密性�,且重點(diǎn)在于安全評估,對風(fēng)險(xiǎn)問題考慮不多���。第二個階段(80-90年代)以計(jì)算機(jī)和網(wǎng)絡(luò)為對象的信息系統(tǒng)安全保護(hù)階段評估對象多為產(chǎn)品�����,很少延拓至系統(tǒng)����,因而在嚴(yán)格意義上仍不是全面的風(fēng)險(xiǎn)評估。第三個階段(90年代末�,21世紀(jì)初)以信息系統(tǒng)為對象的信息保障階段隨著信息保障的研究的深入,保障對象明確為信息和信息系統(tǒng)�����;保障能力明確來源于技術(shù)�、管理和人員三個方面;逐步形成了風(fēng)險(xiǎn)評估�、自評估、認(rèn)證認(rèn)可的工作思路我國風(fēng)險(xiǎn)
5����、評估發(fā)展2002年在863計(jì)劃中首次規(guī)劃了《系統(tǒng)安全風(fēng)險(xiǎn)分析和評估方法研究》課題2003年8月至今年在國信辦直接指導(dǎo)下,組成了風(fēng)險(xiǎn)評估課題組2004年,國家信息中心《風(fēng)險(xiǎn)評估指南》,《風(fēng)險(xiǎn)管理指南》2005年,全國風(fēng)險(xiǎn)評估試點(diǎn)在試點(diǎn)和調(diào)研基礎(chǔ)上�����,由國信辦會同公安部��,安全部�,等起草了《關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作的意見》征求意見稿2006年,所有的部委和所有省市選擇1-2單位開展本地風(fēng)險(xiǎn)評估試點(diǎn)工作銀行業(yè)金融機(jī)構(gòu)信息系統(tǒng)風(fēng)險(xiǎn)管理指引銀行業(yè)金融機(jī)構(gòu)內(nèi)部審計(jì)指引2006年度信息科技風(fēng)險(xiǎn)內(nèi)部和外部評價(jià)審計(jì)的通知提綱風(fēng)險(xiǎn)評估要素關(guān)系模型安全措施抗擊業(yè)務(wù)戰(zhàn)略脆弱性安全需
6、求威脅風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)安全事件依賴擁有被滿足利用暴露降低增加增加導(dǎo)出演變未被滿足未控制可能誘發(fā)殘留成本資產(chǎn)資產(chǎn)價(jià)值風(fēng)險(xiǎn)評估流程確定評估范圍資產(chǎn)的識別和影響分析威脅識別脆弱性評估威脅分析風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)管理風(fēng)險(xiǎn)評估原則符合性原則標(biāo)準(zhǔn)性原則規(guī)范性原則可控性原則保密性原則整體性原則重點(diǎn)突出原則最小影響原則評估依據(jù)的標(biāo)準(zhǔn)和規(guī)范信息安全管理標(biāo)準(zhǔn)ISO17799(GB/T19716)���、ISO27001信息安全管理指南ISO13335(GB/T19715)信息安全通用準(zhǔn)則ISO15408(GB/T18336)系統(tǒng)安全工程能力成熟模型SSE-CMM國家信息中心《風(fēng)險(xiǎn)評估指南》國家信
7�����、息中心《風(fēng)險(xiǎn)管理指南》計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)劃分準(zhǔn)則(GB/T17859)計(jì)算機(jī)信息系統(tǒng)等級保護(hù)相關(guān)規(guī)范其他相關(guān)標(biāo)準(zhǔn)(AS/NZS4360��,GAO/AIMD-00-33���,GAO/AIMD-98-68,BSIPD3000���,GB/T17859���,IATF)相關(guān)法規(guī)及行業(yè)政策資產(chǎn)的識別與影響分析業(yè)務(wù)應(yīng)用系統(tǒng)調(diào)研業(yè)務(wù)影響分析資產(chǎn)屬性:可用性、完整性���、保密性影響分析:經(jīng)濟(jì)損失�、業(yè)務(wù)影響�、系統(tǒng)破壞、信譽(yù)影響�����、商機(jī)泄露、法律責(zé)任�����、人身安全�����、公共秩序�、商業(yè)利益估價(jià)公式:AssetValue=Round1{Log2[(2Conf+2Int+2Avail)/3]}劃分邊界區(qū)分
8、子系統(tǒng)輔助定級信息資產(chǎn)識別物理資產(chǎn)軟件資產(chǎn)硬件資產(chǎn)其
