安全評(píng)估與安全管理課件

上傳人：s*** IP屬地：貴州上傳時(shí)間：2022-12-19 格式：PPT 頁(yè)數(shù)：152 大小：1.34MB 積分：25 舉報(bào) 版權(quán)申訴

已閱讀5頁(yè)，還剩147頁(yè)未讀，繼續(xù)免費(fèi)閱讀

版權(quán)說(shuō)明：本文檔由用戶提供并上傳，收益歸屬內(nèi)容提供方，若內(nèi)容存在侵權(quán)，請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

信息安全講座安全評(píng)估與安全管理信息安全講座安全評(píng)估與安全管理1安全評(píng)估與安全管理安全風(fēng)險(xiǎn)分析安全風(fēng)險(xiǎn)評(píng)估方法和實(shí)例安全風(fēng)險(xiǎn)控制整體安全策略的設(shè)計(jì)和部署應(yīng)急響應(yīng)處理安全評(píng)估與安全管理安全風(fēng)險(xiǎn)分析2一、安全風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析概述風(fēng)險(xiǎn)分析的目的和意義風(fēng)險(xiǎn)分析的原則和標(biāo)準(zhǔn)風(fēng)險(xiǎn)分析方法風(fēng)險(xiǎn)分析要素風(fēng)險(xiǎn)識(shí)別一、安全風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析概述3一、風(fēng)險(xiǎn)分析概述安全以風(fēng)險(xiǎn)形式存在，沒(méi)有絕對(duì)的安全HighRiskLowRisk安全目標(biāo)安全縫隙高風(fēng)險(xiǎn)低風(fēng)險(xiǎn)當(dāng)前安全狀態(tài)一、風(fēng)險(xiǎn)分析概述安全以風(fēng)險(xiǎn)形式存在，沒(méi)有絕對(duì)的安全High4一、風(fēng)險(xiǎn)分析概述1.1信息安全風(fēng)險(xiǎn) 安全風(fēng)險(xiǎn)是信息安全問(wèn)題的表現(xiàn)形式，即由于系統(tǒng)存在的脆弱性，人為或自然的威脅導(dǎo)致安全事件發(fā)生的可能性及其造成的影響。風(fēng)險(xiǎn)評(píng)估是對(duì)各方面風(fēng)險(xiǎn)進(jìn)行辨識(shí)和分析的過(guò)程，是對(duì)威脅、影響、脆弱性及三者發(fā)生的可能性的評(píng)估。它是確認(rèn)安全風(fēng)險(xiǎn)及其大小的過(guò)程。一、風(fēng)險(xiǎn)分析概述1.1信息安全風(fēng)險(xiǎn)5一、風(fēng)險(xiǎn)分析概述1.2對(duì)風(fēng)險(xiǎn)分析的認(rèn)識(shí)從微觀上講，風(fēng)險(xiǎn)評(píng)估是“一種度量信息安狀況的方法和工具”，風(fēng)險(xiǎn)評(píng)估通過(guò)對(duì)網(wǎng)絡(luò)和信息系統(tǒng)潛在風(fēng)險(xiǎn)的識(shí)別、分析、評(píng)價(jià)以及控制和緩解措施等要素，度量網(wǎng)絡(luò)和信息系統(tǒng)的安全狀況。風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的基礎(chǔ)。一、風(fēng)險(xiǎn)分析概述6一、風(fēng)險(xiǎn)分析概述1.3信息安全風(fēng)險(xiǎn)相關(guān)要素的關(guān)系信息資產(chǎn)信息資產(chǎn)信息資產(chǎn)資產(chǎn)防護(hù)措施安全措施安全措施安全措施威脅威脅威脅威脅脆弱性脆弱性脆弱性脆弱性脆弱性殘余風(fēng)險(xiǎn)風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)一、風(fēng)險(xiǎn)分析概述1.3信息安全風(fēng)險(xiǎn)相關(guān)要素的關(guān)系信息信息信7二、風(fēng)險(xiǎn)分析的目的和意義

風(fēng)險(xiǎn)評(píng)估是解決“最基本安全問(wèn)題”的基礎(chǔ)信息系統(tǒng)的安全狀況到底如何？

——用風(fēng)險(xiǎn)評(píng)估結(jié)果描述系統(tǒng)安全狀況。是否有統(tǒng)一的建設(shè)規(guī)范，統(tǒng)一的安全要求？

——風(fēng)險(xiǎn)評(píng)估是制定統(tǒng)一規(guī)范，統(tǒng)一要求的基礎(chǔ)。什么樣的信息安全方案合理，建設(shè)到什么程度合適？

——風(fēng)險(xiǎn)評(píng)估是制定方案的重要依據(jù)?，F(xiàn)有的安全體系能否保證系統(tǒng)的安全？

——通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)檢驗(yàn)安全體系。二、風(fēng)險(xiǎn)分析的目的和意義風(fēng)險(xiǎn)評(píng)估是解決“最基本安全問(wèn)題”的8二、風(fēng)險(xiǎn)分析的目的和意義2.1風(fēng)險(xiǎn)分析的目的安全建設(shè)必需先“正確認(rèn)識(shí)安全問(wèn)題；準(zhǔn)確了解安全狀態(tài)”，信息系統(tǒng)安全測(cè)評(píng)就是對(duì)信息系統(tǒng)安全的“度量”，是做好信息安全保障的重要基礎(chǔ)。

二、風(fēng)險(xiǎn)分析的目的和意義2.1風(fēng)險(xiǎn)分析的目的安全建9二、風(fēng)險(xiǎn)分析的目的和意義2.1風(fēng)險(xiǎn)分析的目的風(fēng)險(xiǎn)分析是對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的機(jī)密性、完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)的過(guò)程。評(píng)估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來(lái)判斷安全事件一旦發(fā)生對(duì)組織造成的影響。評(píng)價(jià)是否實(shí)施和維護(hù)了適當(dāng)?shù)陌踩胧?，鑒別存在的風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)發(fā)生的可能性和影響，從而選擇可將風(fēng)險(xiǎn)降低到組織可接受級(jí)別的安全措施。二、風(fēng)險(xiǎn)分析的目的和意義2.1風(fēng)險(xiǎn)分析的目的10二、風(fēng)險(xiǎn)分析的目的和意義

安全評(píng)估的目的——了解系統(tǒng),掌握資產(chǎn)系統(tǒng)業(yè)務(wù)功能、數(shù)據(jù)和流程描述用戶情況系統(tǒng)結(jié)構(gòu)和配置邊界的完整性二、風(fēng)險(xiǎn)分析的目的和意義安全評(píng)估的目的——了解系統(tǒng),掌11二、風(fēng)險(xiǎn)分析的目的和意義

風(fēng)險(xiǎn)評(píng)估的目的——了解系統(tǒng)安全狀況系統(tǒng)的重要性面臨的威脅技術(shù)脆弱性和技術(shù)措施運(yùn)行和管理問(wèn)題風(fēng)險(xiǎn)狀況二、風(fēng)險(xiǎn)分析的目的和意義風(fēng)險(xiǎn)評(píng)估的目的——了解系統(tǒng)安全狀況12二、風(fēng)險(xiǎn)分析的目的和意義

風(fēng)險(xiǎn)評(píng)估的目的——規(guī)劃域結(jié)構(gòu)，界定邊界和責(zé)任二、風(fēng)險(xiǎn)分析的目的和意義風(fēng)險(xiǎn)評(píng)估的目的——規(guī)劃域結(jié)構(gòu)，界定13二、風(fēng)險(xiǎn)分析的目的和意義政務(wù)專網(wǎng)平臺(tái)非涉密光纖網(wǎng)絡(luò)(專網(wǎng)2芯)業(yè)務(wù)處理域A業(yè)務(wù)處理域B公眾用戶域電子政務(wù)域電子政務(wù)網(wǎng)絡(luò)域公鑰基礎(chǔ)設(shè)施異地容災(zāi)應(yīng)急響應(yīng)電子政務(wù)基礎(chǔ)服務(wù)域公共網(wǎng)絡(luò)域政務(wù)內(nèi)網(wǎng)域（涉密域）業(yè)務(wù)單位政務(wù)外網(wǎng)域業(yè)務(wù)單位公眾服務(wù)域政務(wù)內(nèi)網(wǎng)通信網(wǎng)絡(luò)政務(wù)外網(wǎng)通信網(wǎng)絡(luò)業(yè)務(wù)單位政務(wù)內(nèi)網(wǎng)域政務(wù)外網(wǎng)域（非涉密域）企業(yè)/其它機(jī)構(gòu)信息系統(tǒng)公共通信網(wǎng)安全測(cè)評(píng)二、風(fēng)險(xiǎn)分析的目的和意義政務(wù)專網(wǎng)平臺(tái)非涉密光纖網(wǎng)絡(luò)(專網(wǎng)2芯14二、風(fēng)險(xiǎn)分析的目的和意義風(fēng)險(xiǎn)評(píng)估的目的——建設(shè)風(fēng)險(xiǎn)管理體系風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)管理（控制、緩解、轉(zhuǎn)移…）風(fēng)險(xiǎn)評(píng)估二、風(fēng)險(xiǎn)分析的目的和意義風(fēng)險(xiǎn)評(píng)估的目的——建設(shè)風(fēng)險(xiǎn)管理體系15二、風(fēng)險(xiǎn)分析的目的和意義

風(fēng)險(xiǎn)管理是指通過(guò)風(fēng)險(xiǎn)評(píng)估標(biāo)識(shí)系統(tǒng)中的風(fēng)險(xiǎn)、解釋風(fēng)險(xiǎn)并實(shí)施計(jì)劃以降低風(fēng)險(xiǎn)至可接受程度的一個(gè)持續(xù)過(guò)程。風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的一個(gè)重要環(huán)節(jié)，是分析評(píng)價(jià)信息系統(tǒng)安全狀態(tài)的重要方法和工具。二、風(fēng)險(xiǎn)分析的目的和意義風(fēng)險(xiǎn)管理是指通過(guò)風(fēng)險(xiǎn)16二、風(fēng)險(xiǎn)分析的目的和意義風(fēng)險(xiǎn)評(píng)估對(duì)信息系統(tǒng)生命周期的支持支持安全需求分析，安全保護(hù)等級(jí)確定項(xiàng)目規(guī)劃工程實(shí)施工程驗(yàn)收分析設(shè)計(jì)支持系統(tǒng)架構(gòu)的安全性分析評(píng)估對(duì)安全需求的實(shí)現(xiàn)周期性地確定系統(tǒng)的安全狀態(tài)系統(tǒng)報(bào)廢運(yùn)行維護(hù)硬件、軟件、數(shù)據(jù)的處置二、風(fēng)險(xiǎn)分析的目的和意義風(fēng)險(xiǎn)評(píng)估對(duì)信息系統(tǒng)生命周期的支持支持17三、風(fēng)險(xiǎn)評(píng)估原則和標(biāo)準(zhǔn)保密原則標(biāo)準(zhǔn)性原則規(guī)范性原則可控性原則整體性原則最小影響原則三、風(fēng)險(xiǎn)評(píng)估原則和標(biāo)準(zhǔn)保密原則18三、風(fēng)險(xiǎn)評(píng)估原則和標(biāo)準(zhǔn)中華人民共和國(guó)保守國(guó)家秘密法》(1988年9月5日中華人民共和國(guó)主席令第6號(hào)公布)《中華人民共和國(guó)保守國(guó)家秘密法實(shí)施辦法》（國(guó)家保密局文件國(guó)保發(fā)[1990]1號(hào)）《計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》（國(guó)家保密局文件國(guó)保發(fā)[1998]1號(hào)）《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（1999年9月國(guó)家技術(shù)監(jiān)督局發(fā)布）《信息安全風(fēng)險(xiǎn)評(píng)估指南》國(guó)家標(biāo)準(zhǔn)報(bào)批稿三、風(fēng)險(xiǎn)評(píng)估原則和標(biāo)準(zhǔn)中華人民共和國(guó)保守國(guó)家秘密法》(1919四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法風(fēng)險(xiǎn)評(píng)估過(guò)程(1)硬件軟件接口數(shù)據(jù)和信人員業(yè)務(wù)功能（1）系統(tǒng)分析和資產(chǎn)識(shí)別輸入輸出風(fēng)險(xiǎn)評(píng)估活動(dòng)系統(tǒng)邊界系統(tǒng)功能系統(tǒng)和數(shù)據(jù)的危險(xiǎn)程度系統(tǒng)和數(shù)據(jù)的敏感程度識(shí)別關(guān)鍵資產(chǎn)系統(tǒng)受攻擊的歷史信息專業(yè)機(jī)構(gòu)和媒體的數(shù)據(jù)（2）威脅分析識(shí)別威脅描述四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法風(fēng)險(xiǎn)評(píng)估過(guò)程(1)硬件（1）系統(tǒng)分析和20四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法風(fēng)險(xiǎn)評(píng)估過(guò)程(2)前期風(fēng)險(xiǎn)評(píng)估報(bào)告系統(tǒng)審計(jì)信息系統(tǒng)特性安全需求安全測(cè)試結(jié)果（3）脆弱性分析識(shí)別輸入輸出風(fēng)險(xiǎn)評(píng)估活動(dòng)潛在的脆弱性列表當(dāng)前的安全措施計(jì)劃的安全措施（4）安全措施分析當(dāng)前和計(jì)劃的安全措施列表四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法風(fēng)險(xiǎn)評(píng)估過(guò)程(2)前期風(fēng)險(xiǎn)評(píng)估報(bào)告（321四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法風(fēng)險(xiǎn)評(píng)估過(guò)程(3)威脅動(dòng)機(jī)威脅能力脆弱性本質(zhì)當(dāng)前安全措施（5）可能性分析輸入輸出風(fēng)險(xiǎn)評(píng)估活動(dòng)可能性級(jí)別四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法風(fēng)險(xiǎn)評(píng)估過(guò)程(3)威脅動(dòng)機(jī)（5）可能性22四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法風(fēng)險(xiǎn)評(píng)估過(guò)程(4)業(yè)務(wù)影響分析資產(chǎn)危險(xiǎn)性分析數(shù)據(jù)危險(xiǎn)性數(shù)據(jù)敏感性（6）影響分析輸入輸出風(fēng)險(xiǎn)評(píng)估活動(dòng)影響級(jí)別威脅發(fā)生的可能性影響的量級(jí)當(dāng)前和計(jì)劃的安全措施（7）風(fēng)險(xiǎn)判定（綜合分析）風(fēng)險(xiǎn)和相應(yīng)的風(fēng)險(xiǎn)等級(jí)四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法風(fēng)險(xiǎn)評(píng)估過(guò)程(4)業(yè)務(wù)影響分析（6）影23四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法風(fēng)險(xiǎn)評(píng)估過(guò)程(5)（8）安全措施建議輸入輸出風(fēng)險(xiǎn)評(píng)估活動(dòng)建議的安全措施（9）結(jié)果報(bào)告風(fēng)險(xiǎn)評(píng)估報(bào)告四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法風(fēng)險(xiǎn)評(píng)估過(guò)程(5)（8）安全措施建議輸24四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法風(fēng)險(xiǎn)評(píng)估的基本方法初級(jí)風(fēng)險(xiǎn)分析（PreliminaryRiskAnalysis

）風(fēng)險(xiǎn)評(píng)價(jià)指數(shù)（RiskAssessmentCodes）失效模式及影響分析（FailureModeandEffectsAnalysis(FMEA/FMECA)）基于樹(shù)的技術(shù)（TreeBasedTechniques）動(dòng)態(tài)系統(tǒng)技術(shù)（TechniquesforDynamicsystem）四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法風(fēng)險(xiǎn)評(píng)估的基本方法初級(jí)風(fēng)險(xiǎn)分析（Pre25四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法風(fēng)險(xiǎn)計(jì)算矩陣法矩陣法原理計(jì)算示例風(fēng)險(xiǎn)計(jì)算相乘法相乘法原理計(jì)算實(shí)例動(dòng)態(tài)樹(shù)四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法風(fēng)險(xiǎn)計(jì)算矩陣法26四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法矩陣法概念矩陣法適用范圍矩陣法構(gòu)造方式矩陣法特點(diǎn)四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法矩陣法概念27四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法Z=f(x,y)。函數(shù)f采用矩陣形式表示。以要素x和要素y的取值構(gòu)建一個(gè)二維矩陣，矩陣內(nèi)m*n個(gè)值即為要素Z的取值四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法Z=f(x,y)。函數(shù)f采用矩陣形式表28四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法矩陣法主要適用于由兩個(gè)要素值確定一個(gè)要素值的情形。在風(fēng)險(xiǎn)值計(jì)算中，通常需要對(duì)兩個(gè)要素確定的另一個(gè)要素值進(jìn)行計(jì)算，例如由威脅和脆弱性確定安全事件發(fā)生可能性值、由資產(chǎn)和脆弱性確定安全事件的損失值等，同時(shí)需要整體掌握風(fēng)險(xiǎn)值的確定，因此矩陣法在風(fēng)險(xiǎn)分析中得到廣泛采用。四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法矩陣法主要適用于由兩個(gè)要素值確定一個(gè)要29四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法首先需要確定二維計(jì)算矩陣，矩陣內(nèi)各個(gè)要素的值根據(jù)具體情況和函數(shù)遞增情況采用數(shù)學(xué)方法確定，然后將兩個(gè)元素的值在矩陣中進(jìn)行比對(duì)，行列交叉處即為所確定的計(jì)算結(jié)果。矩陣的計(jì)算需要根據(jù)實(shí)際情況確定，矩陣內(nèi)值的計(jì)算不一定遵循統(tǒng)一的計(jì)算公式，但必須具有統(tǒng)一的增減趨勢(shì)，即如果是遞增函數(shù)，Z值應(yīng)隨著x與y的值遞增，反之亦然。四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法首先需要確定二維計(jì)算矩陣，矩陣內(nèi)各個(gè)要30四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法矩陣法特點(diǎn)矩陣法的特點(diǎn)在于通過(guò)構(gòu)造兩兩要素計(jì)算矩陣，可以清晰羅列要素的變化趨勢(shì)，具備良好靈活性。四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法矩陣法特點(diǎn)矩陣法的特點(diǎn)在于通過(guò)構(gòu)造兩兩31四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法矩陣法計(jì)算示例(1)資產(chǎn)：共有三個(gè)重要資產(chǎn)，資產(chǎn)A1、資產(chǎn)A2和資產(chǎn)A3；資產(chǎn)價(jià)值分別是：資產(chǎn)A1=2，資產(chǎn)A2=3，資產(chǎn)A3=5；威脅：資產(chǎn)A1面臨兩個(gè)主要威脅，威脅T1和威脅T2；資產(chǎn)A2面臨一個(gè)主要威脅，威脅T3；資產(chǎn)A3面臨兩個(gè)主要威脅，威脅T4和T5；威脅發(fā)生頻率分別是：威脅T1=2，威脅T2=1，威脅T3=2，威脅T4=5，威脅T5=4；四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法矩陣法計(jì)算示例(1)資產(chǎn)：32四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法矩陣法計(jì)算示例(2)脆弱性：威脅T1可以利用的資產(chǎn)A1存在的兩個(gè)脆弱性，脆弱性V1和脆弱性V2；威脅T2可以利用的資產(chǎn)A1存在的三個(gè)脆弱性，脆弱性V3、脆弱性V4和脆弱性V5；威脅T3可以利用的資產(chǎn)A2存在的兩個(gè)脆弱性，脆弱性V6和脆弱性V7；威脅T4可以利用的資產(chǎn)A3存在的一個(gè)脆弱性，脆弱性V8；威脅T5可以利用的資產(chǎn)A3存在的一個(gè)脆弱性，脆弱性V9。脆弱性嚴(yán)重程度分別是：脆弱性V1=2，脆弱性V2=3，脆弱性V3=1，脆弱性V4=4，脆弱性V5=2，脆弱性V6=4，脆弱性V7=2，脆弱性V8=3，脆弱性V9=5。四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法矩陣法計(jì)算示例(2)脆弱性：33四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法示例計(jì)算過(guò)程風(fēng)險(xiǎn)計(jì)算過(guò)程（1）計(jì)算安全事件發(fā)生可能性（2）計(jì)算安全事件造成的損失（3）計(jì)算風(fēng)險(xiǎn)值（4）結(jié)果判定以下以資產(chǎn)A1面臨的威脅T1可以利用的脆弱性V1為例，計(jì)算安全風(fēng)險(xiǎn)值。四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法示例計(jì)算過(guò)程風(fēng)險(xiǎn)計(jì)算過(guò)程34四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法計(jì)算安全事件發(fā)生的可能性（1）構(gòu)建安全事件發(fā)生可能性矩陣；（2）根據(jù)威脅發(fā)生頻率值和脆弱性嚴(yán)重程度值在矩陣中進(jìn)行對(duì)照，確定安全事件發(fā)生可能性值；（3）對(duì)計(jì)算得到的安全風(fēng)險(xiǎn)事件發(fā)生可能性進(jìn)行等級(jí)劃分。四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法計(jì)算安全事件發(fā)生的可能性（1）構(gòu)建安全35四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法計(jì)算安全事件發(fā)生的可能性四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法計(jì)算安全事件發(fā)生的可能性36四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法計(jì)算安全事件的損失（1）構(gòu)建安全事件損失矩陣；（2）根據(jù)資產(chǎn)價(jià)值和脆弱性嚴(yán)重程度值在矩陣中進(jìn)行對(duì)照，確定安全事件損失值；（3）對(duì)計(jì)算得到的安全事件損失進(jìn)行等級(jí)劃分。四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法計(jì)算安全事件的損失（1）構(gòu)建安全事件損37四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法計(jì)算安全事件的損失四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法計(jì)算安全事件的損失38四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法（1）構(gòu)建風(fēng)險(xiǎn)矩陣；（2）根據(jù)安全事件發(fā)生可能性和安全事件損失在矩陣中進(jìn)行對(duì)照，確定安全事件風(fēng)險(xiǎn)；四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法（1）構(gòu)建風(fēng)險(xiǎn)矩39四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法計(jì)算風(fēng)險(xiǎn)值四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法計(jì)算風(fēng)險(xiǎn)值40四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法風(fēng)險(xiǎn)結(jié)果判定根據(jù)預(yù)設(shè)的等級(jí)劃分規(guī)則判定風(fēng)險(xiǎn)結(jié)果。依此類推，得到所有重要資產(chǎn)的風(fēng)險(xiǎn)值，并根據(jù)風(fēng)險(xiǎn)等級(jí)劃分表，確定風(fēng)險(xiǎn)等級(jí)。四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法風(fēng)險(xiǎn)結(jié)果判定根據(jù)預(yù)設(shè)的等級(jí)劃分規(guī)則判定41四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法矩陣法風(fēng)險(xiǎn)計(jì)算過(guò)程小結(jié)計(jì)算安全事件發(fā)生可能性（1）構(gòu)建安全事件發(fā)生可能性矩陣；（2）根據(jù)威脅發(fā)生頻率值和脆弱性嚴(yán)重程度值在矩陣中進(jìn)行對(duì)照，確定安全事件發(fā)生可能性值；（3）對(duì)計(jì)算得到的安全風(fēng)險(xiǎn)事件發(fā)生可能性進(jìn)行等級(jí)劃分。計(jì)算安全事件的損失（1）構(gòu)建安全事件損失矩陣；（2）根據(jù)資產(chǎn)價(jià)值和脆弱性嚴(yán)重程度值在矩陣中進(jìn)行對(duì)照，確定安全事件損失值；（3）對(duì)計(jì)算得到的安全事件損失進(jìn)行等級(jí)劃分。計(jì)算風(fēng)險(xiǎn)值（1）構(gòu)建風(fēng)險(xiǎn)矩陣；（2）根據(jù)安全事件發(fā)生可能性和安全事件損失在矩陣中進(jìn)行對(duì)照，確定安全事件風(fēng)險(xiǎn)；風(fēng)險(xiǎn)結(jié)果判定四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法矩陣法風(fēng)險(xiǎn)計(jì)算過(guò)程小結(jié)計(jì)算安全事件發(fā)生42四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法風(fēng)險(xiǎn)計(jì)算相乘法基本原理相乘法原理：，當(dāng)f為增量函數(shù)時(shí)，可以為直接相乘，也可以為相乘后取模等。相乘法的特點(diǎn)：簡(jiǎn)單明確，直接按照統(tǒng)一公式計(jì)算，即可得到所需結(jié)果。相乘法適用范圍：在風(fēng)險(xiǎn)值計(jì)算中，通常需要對(duì)兩個(gè)要素確定的另一個(gè)要素值進(jìn)行計(jì)算，因此相乘法在風(fēng)險(xiǎn)分析中得到廣泛采用。四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法風(fēng)險(xiǎn)計(jì)算相乘法基本原理相乘法原理： 43四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析系統(tǒng)調(diào)查系統(tǒng)業(yè)務(wù)模型網(wǎng)絡(luò)和系統(tǒng)環(huán)境（用戶、結(jié)構(gòu)和邊界等）安全體系結(jié)構(gòu)設(shè)計(jì)與實(shí)現(xiàn)文檔四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析系統(tǒng)調(diào)查系統(tǒng)業(yè)44四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析45四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析(系統(tǒng)平臺(tái)分析)網(wǎng)絡(luò)通信服務(wù)機(jī)構(gòu)機(jī)構(gòu)專用網(wǎng)絡(luò)支持性基礎(chǔ)設(shè)施:安全管理、密碼管理等公共網(wǎng)絡(luò)應(yīng)用系統(tǒng)邊界應(yīng)用區(qū)域圖例:涉密網(wǎng)絡(luò)四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析(系統(tǒng)平臺(tái)分析46四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析評(píng)估(網(wǎng)絡(luò)平臺(tái)分析)NetworkManagementDirectoryServicesNetworkIDSDomainNameServersNominalNetworkNetworkNodes(Routers/Switches)BackboneBoundaryProtectionNetworkLinks(Fiber,Cable,Wireless,Satellite)LocalNetwork通信網(wǎng)絡(luò)連接資源子網(wǎng)網(wǎng)絡(luò)節(jié)點(diǎn)(路由器/交換機(jī))骨干邊界保護(hù)網(wǎng)絡(luò)連接(光纖,電纜,無(wú)線,衛(wèi)星)資源子網(wǎng)邊界LocalNetwork局域網(wǎng)（資源子網(wǎng)）目錄服務(wù)域名服務(wù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施包括局域網(wǎng)內(nèi)的網(wǎng)絡(luò)設(shè)施網(wǎng)絡(luò)管理四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析評(píng)估(網(wǎng)絡(luò)平臺(tái)分47四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析(威脅分析)攻擊主體攻擊類型、方式與途徑資產(chǎn)危脅本質(zhì)破壞內(nèi)部人員外部人員惡意代碼故障災(zāi)難偵聽(tīng)與破譯攻擊與破壞利用與欺詐物理破壞數(shù)據(jù)庫(kù)操作系統(tǒng)網(wǎng)絡(luò)物理設(shè)備應(yīng)用系統(tǒng)未授權(quán)訪問(wèn)假冒拒絕服務(wù)機(jī)密性完整性可用性可控性真實(shí)性數(shù)據(jù)業(yè)務(wù)四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析(威脅分析)攻48四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析(安全功能測(cè)試)標(biāo)識(shí)鑒別審計(jì)通信密碼支持用戶數(shù)據(jù)保護(hù)安全管理安全功能保護(hù)資源利用評(píng)估對(duì)象訪問(wèn)可信路徑/信道功能驗(yàn)證信息系統(tǒng)測(cè)試結(jié)果配置檢查應(yīng)用系統(tǒng)公共平臺(tái)系統(tǒng)平臺(tái)網(wǎng)絡(luò)平臺(tái)測(cè)試方法、用例功能分析四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析(安全功能測(cè)試49四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析(脆弱性檢測(cè))網(wǎng)絡(luò)掃描

端口掃描操作系統(tǒng)棧指紋掃描漏洞掃描主機(jī)掃描

基于主機(jī)上的Agent精確發(fā)現(xiàn)漏洞應(yīng)用掃描

遠(yuǎn)程分析Web系統(tǒng)結(jié)構(gòu)，可以對(duì)各種應(yīng)用程序特有及普遍存在的漏洞進(jìn)行評(píng)估。配置核查

核查列表四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析(脆弱性檢測(cè))網(wǎng)50四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析(系統(tǒng)體系結(jié)構(gòu)分析)信息安全相關(guān)法律、法規(guī)、政策、標(biāo)準(zhǔn)和規(guī)范的符合性安全體系結(jié)構(gòu)的合理性和對(duì)需求的符合性設(shè)計(jì)與實(shí)現(xiàn)的一致性相關(guān)文檔資料的齊備性四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析(系統(tǒng)體系結(jié)構(gòu)分51四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析(脆弱性分析)四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析(脆弱性分析)52四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)評(píng)價(jià)關(guān)鍵資產(chǎn)系統(tǒng)單元

相關(guān)脆弱性

相關(guān)措施

個(gè)人所得稅業(yè)務(wù)和數(shù)據(jù)數(shù)據(jù)庫(kù)服務(wù)器應(yīng)用服務(wù)器防火墻OS脆弱性數(shù)據(jù)庫(kù)脆弱性應(yīng)用脆弱性防病毒

權(quán)限管理補(bǔ)丁管理審計(jì)策略

備份策略報(bào)警響應(yīng)……………………安全風(fēng)險(xiǎn)安全風(fēng)險(xiǎn)安全風(fēng)險(xiǎn)安全風(fēng)險(xiǎn)數(shù)據(jù)泄露非授權(quán)訪問(wèn)數(shù)據(jù)篡改破壞服務(wù)假冒拒絕服務(wù)多余開(kāi)放端口默認(rèn)打開(kāi)服務(wù)更新不及時(shí)……四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)評(píng)價(jià)關(guān)鍵資產(chǎn)系統(tǒng)單元53四、風(fēng)險(xiǎn)評(píng)估要素資產(chǎn)識(shí)別威脅識(shí)別脆弱性識(shí)別四、風(fēng)險(xiǎn)評(píng)估要素資產(chǎn)識(shí)別54四、風(fēng)險(xiǎn)評(píng)估要素識(shí)別相互聯(lián)系安全措施

抵御業(yè)務(wù)戰(zhàn)略脆弱性安全需求威脅風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)安全事件依賴具有被滿足利用暴露降低增加加依賴增加導(dǎo)出演變

未被滿足未控制可能誘發(fā)殘留成本資產(chǎn)資產(chǎn)價(jià)值四、風(fēng)險(xiǎn)評(píng)估要素識(shí)別相互聯(lián)系安全措施抵御業(yè)務(wù)戰(zhàn)略脆弱55四、風(fēng)險(xiǎn)評(píng)估要素識(shí)別相互聯(lián)系

（1）業(yè)務(wù)戰(zhàn)略依賴資產(chǎn)去實(shí)現(xiàn)；（2）資產(chǎn)是有價(jià)值的，組織的業(yè)務(wù)戰(zhàn)略對(duì)資產(chǎn)的依賴度越高，資產(chǎn)價(jià)值就越大；（3）資產(chǎn)價(jià)值越大則其面臨的風(fēng)險(xiǎn)越大；（4）風(fēng)險(xiǎn)是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多則風(fēng)險(xiǎn)越大，并可能演變成安全事件；（5）弱點(diǎn)越多，威脅利用脆弱性導(dǎo)致安全事件的可能性越大；（6）脆弱性是未被滿足的安全需求，威脅要通過(guò)利用脆弱性來(lái)危害資產(chǎn)，從而形成風(fēng)險(xiǎn)；四、風(fēng)險(xiǎn)評(píng)估要素識(shí)別相互聯(lián)系（1）業(yè)務(wù)戰(zhàn)略依賴資產(chǎn)去實(shí)現(xiàn)；56四、風(fēng)險(xiǎn)評(píng)估要素識(shí)別相互聯(lián)系（7）風(fēng)險(xiǎn)的存在及對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)導(dǎo)出安全需求；（8）安全需求可通過(guò)安全措施得以滿足，需要結(jié)合資產(chǎn)價(jià)值考慮實(shí)施成本；（9）安全措施可抵御威脅，降低安全事件的發(fā)生的可能性，并減少影響；（10）風(fēng)險(xiǎn)不可能也沒(méi)有必要降為零，在實(shí)施了安全措施后還會(huì)有殘留下來(lái)的風(fēng)險(xiǎn)。有些殘余風(fēng)險(xiǎn)來(lái)自于安全措施可能不當(dāng)或無(wú)效,在以后需要繼續(xù)控制，而有些殘余風(fēng)險(xiǎn)則是在綜合考慮了安全成本與效益后未控制的風(fēng)險(xiǎn)，是可以被接受的；（11）殘余風(fēng)險(xiǎn)應(yīng)受到密切監(jiān)視，它可能會(huì)在將來(lái)誘發(fā)新的安全事件四、風(fēng)險(xiǎn)評(píng)估要素識(shí)別相互聯(lián)系（7）風(fēng)險(xiǎn)的存在及對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)導(dǎo)57四、風(fēng)險(xiǎn)評(píng)估要素資產(chǎn) 資產(chǎn)是具有價(jià)值的信息或資源，是安全策略保護(hù)的對(duì)象。它能夠以多種形式存在，有無(wú)形的、有形的，有硬件、軟件，有文檔、代碼，也有服務(wù)、形象等。機(jī)密性、完整性和可用性是評(píng)價(jià)資產(chǎn)的三個(gè)安全屬性。四、風(fēng)險(xiǎn)評(píng)估要素資產(chǎn)58四、風(fēng)險(xiǎn)評(píng)估要素資產(chǎn)分類數(shù)據(jù) 軟件硬件服務(wù) 文檔人員四、風(fēng)險(xiǎn)評(píng)估要素資產(chǎn)分類59四、風(fēng)險(xiǎn)評(píng)估要素資產(chǎn)賦值方法對(duì)資產(chǎn)的賦值不僅要考慮資產(chǎn)本身的價(jià)值，更重要的是要考慮資產(chǎn)的安全狀況對(duì)于組織的重要性，即由資產(chǎn)在其三個(gè)安全屬性上的達(dá)成程度決定。為確保資產(chǎn)賦值時(shí)的一致性和準(zhǔn)確性，組織應(yīng)建立一個(gè)資產(chǎn)價(jià)值評(píng)價(jià)尺度，以指導(dǎo)資產(chǎn)賦值。資產(chǎn)賦值的過(guò)程也就是對(duì)資產(chǎn)在機(jī)密性、完整性和可用性上的達(dá)成程度進(jìn)行分析，并在此基礎(chǔ)上得出一個(gè)綜合結(jié)果的過(guò)程。四、風(fēng)險(xiǎn)評(píng)估要素資產(chǎn)賦值方法對(duì)資產(chǎn)的賦值不僅要考慮資產(chǎn)本身的60四、風(fēng)險(xiǎn)評(píng)估要素資產(chǎn)賦值—機(jī)密性賦值賦值標(biāo)識(shí)定義5極高包含組織最重要的秘密，關(guān)系未來(lái)發(fā)展的前途命運(yùn)，對(duì)組根本利益有著決定性影響，如果泄漏會(huì)造成災(zāi)難性的損害4高包含組織的重要秘密，其泄露會(huì)使組織的安全和利益遭受嚴(yán)重?fù)p害3中等包含組織的一般性秘密，其泄露會(huì)使組織的安全和利益受到損害2低包含僅能在組織內(nèi)部或在組織某一部門(mén)內(nèi)部公開(kāi)的信息，向外擴(kuò)散有可能對(duì)組織的利益造成損害1可忽略包含可對(duì)社會(huì)公開(kāi)的信息，公用的信息處理設(shè)備和系統(tǒng)資源等四、風(fēng)險(xiǎn)評(píng)估要素資產(chǎn)賦值—機(jī)密性賦值賦值標(biāo)識(shí)定義5極高包含組61四、風(fēng)險(xiǎn)評(píng)估要素資產(chǎn)賦值—完整性賦值賦值標(biāo)識(shí)定義5極高完整性價(jià)值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大的或無(wú)法接受的影響，對(duì)業(yè)務(wù)沖擊重大，并可能造成嚴(yán)重的業(yè)務(wù)中斷，難以彌補(bǔ)4高完整性價(jià)值較高，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大影響，對(duì)業(yè)務(wù)沖擊嚴(yán)重，比較難以彌補(bǔ)3中等完整性價(jià)值中等，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成影響，對(duì)業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)2低完整性價(jià)值較低，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成輕微影響，可以忍受，對(duì)業(yè)務(wù)沖擊輕微，容易彌補(bǔ)1可忽略完整性價(jià)值非常低，未經(jīng)授權(quán)的修改或破壞對(duì)組織造成的影響可以忽略，對(duì)業(yè)務(wù)沖擊可以忽略四、風(fēng)險(xiǎn)評(píng)估要素資產(chǎn)賦值—完整性賦值賦值標(biāo)識(shí)定義5極高完整性62五、信息安全管理體系定義安全管理原則制定安全保護(hù)機(jī)制制定信息安全策略確定審查角色和責(zé)任？？？？往復(fù)推進(jìn),不斷提升？？？？五、信息安全管理體系定義安全管理原則63五、信息安全管理體系安全管理策略組成身份完整性機(jī)密性可用性審計(jì)

五、信息安全管理體系安全管理策略組成64五、信息安全管理體系信息安全管理國(guó)際標(biāo)準(zhǔn) ISO17799 ISO27001:2005為建立,實(shí)施,運(yùn)作,監(jiān)視,評(píng)審,保持,和改進(jìn)信息安全管理體系(ISMS)提供了模型。采用PDCA“規(guī)劃－執(zhí)行－控制－改進(jìn)“過(guò)程模式。五、信息安全管理體系信息安全管理國(guó)際標(biāo)準(zhǔn)65五、信息安全管理體系安全保護(hù)機(jī)制－－安全保障體系結(jié)構(gòu)圖五、信息安全管理體系安全保護(hù)機(jī)制－－安全保障體系結(jié)構(gòu)圖66五、信息安全管理體系安全保護(hù)機(jī)制通過(guò)人、管理和技術(shù)手段三大要素，構(gòu)成動(dòng)態(tài)的信息與網(wǎng)絡(luò)安全保障體系框架PDR模型，實(shí)現(xiàn)網(wǎng)絡(luò)和應(yīng)用安全保障。PDR模型三個(gè)概念框之間存在著一定的因果和依存關(guān)系，在網(wǎng)絡(luò)安全防護(hù)上實(shí)現(xiàn)了多層安全防護(hù)，形成一個(gè)整體。五、信息安全管理體系安全保護(hù)機(jī)制通過(guò)人、管理和技術(shù)手段三大要67五、信息安全管理體系安全策略物理安全策略邊界控制策略信息加密策略數(shù)據(jù)備份策略數(shù)據(jù)恢復(fù)策略安全管理策略五、信息安全管理體系安全策略68五、信息安全管理體系物理安全策略物理安全策略的目的是保護(hù)計(jì)算機(jī)系統(tǒng)、網(wǎng)絡(luò)服務(wù)器、打印機(jī)等硬件實(shí)體和通信鏈路免受自然災(zāi)害、人為破壞和搭線攻擊；驗(yàn)證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作；確保計(jì)算機(jī)系統(tǒng)有一個(gè)良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進(jìn)入計(jì)算機(jī)控制室和各種偷竊、破壞活動(dòng)的發(fā)生。五、信息安全管理體系物理安全策略物理安全策略的目的是保護(hù)計(jì)算69五、信息安全管理體系邊界控制策略邊界訪問(wèn)控制是網(wǎng)絡(luò)與應(yīng)用安全防范和保護(hù)的主要策略，它的主要任務(wù)是保證網(wǎng)絡(luò)與應(yīng)用資源不被非法使用和非常訪問(wèn)。它也是維護(hù)網(wǎng)絡(luò)與應(yīng)用系統(tǒng)安全、保護(hù)網(wǎng)絡(luò)與應(yīng)用資源的重要手段。各種安全策略必須相互配合才能真正起到保護(hù)作用，但訪問(wèn)控制可以說(shuō)是保證網(wǎng)絡(luò)與應(yīng)用安全最重要的核心策略之一。五、信息安全管理體系邊界控制策略邊界訪問(wèn)控制是網(wǎng)絡(luò)與應(yīng)用安全70五、信息安全管理體系信息加密策略信息加密的目的是保護(hù)網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護(hù)網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡(luò)加密常用的方法有鏈路加密、端點(diǎn)加密和節(jié)點(diǎn)加密三種。鏈路加密的目的是保護(hù)網(wǎng)絡(luò)節(jié)點(diǎn)之間的鏈路信息安全；端-端加密的目的是對(duì)源端用戶到目的端用戶的數(shù)據(jù)提供保護(hù)；節(jié)點(diǎn)加密的目的是對(duì)源節(jié)點(diǎn)到目的節(jié)點(diǎn)之間的傳輸鏈路提供保護(hù)。五、信息安全管理體系信息加密策略信息加密的目的是71五、信息安全管理體系數(shù)據(jù)備份策略數(shù)據(jù)備份主要實(shí)現(xiàn)系統(tǒng)的各種數(shù)據(jù)庫(kù)、重要文件、CA密鑰和證書(shū)、數(shù)據(jù)鏈路與網(wǎng)絡(luò)設(shè)備的配置信息、網(wǎng)絡(luò)安全設(shè)備安全配置、應(yīng)用系統(tǒng)自身配置文件和應(yīng)用服務(wù)器數(shù)據(jù)的多重備份。主干級(jí)備份部門(mén)級(jí)備份全備份增量備份五、信息安全管理體系數(shù)據(jù)備份策略數(shù)據(jù)備份主要實(shí)現(xiàn)系統(tǒng)的各種數(shù)72五、信息安全管理體系數(shù)據(jù)恢復(fù)策略將繁瑣的恢復(fù)過(guò)程必須集中到一點(diǎn)進(jìn)行管理。（可見(jiàn)業(yè)務(wù)連續(xù)性計(jì)劃）

全恢復(fù)；局部恢復(fù)；定向恢復(fù)；五、信息安全管理體系數(shù)據(jù)恢復(fù)策略73五、信息安全管理體系安全管理策略根據(jù)信息系統(tǒng)安全需求對(duì)于各類角色制定全面的安全管理制度，并定義相應(yīng)的安全審核制度。？？？？五、信息安全管理體系安全管理策略74五、信息安全管理體系對(duì)于安全策略的驗(yàn)證與監(jiān)控系統(tǒng)脆弱性分析（SCANNER) 帳戶權(quán)限管理建立整體安全管理平臺(tái) 滲透性測(cè)試（入侵檢測(cè)）定期對(duì)所有日志和審計(jì)信息進(jìn)行審核五、信息安全管理體系對(duì)于安全策略的驗(yàn)證與監(jiān)控75五、信息安全管理體系小結(jié)：安全管理目標(biāo)定義物理安全控制定義邏輯安全控制取保系統(tǒng)和數(shù)據(jù)的完整性確保數(shù)據(jù)的機(jī)密性定義驗(yàn)證和監(jiān)控安全狀態(tài)的機(jī)制為系統(tǒng)內(nèi)部人員制定安全政策和規(guī)程對(duì)全員進(jìn)行必要的安全意識(shí)培訓(xùn)五、信息安全管理體系小結(jié)：安全管理目標(biāo)76信息安全講座安全評(píng)估與安全管理信息安全講座安全評(píng)估與安全管理77安全評(píng)估與安全管理安全風(fēng)險(xiǎn)分析安全風(fēng)險(xiǎn)評(píng)估方法和實(shí)例安全風(fēng)險(xiǎn)控制整體安全策略的設(shè)計(jì)和部署應(yīng)急響應(yīng)處理安全評(píng)估與安全管理安全風(fēng)險(xiǎn)分析78一、安全風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析概述風(fēng)險(xiǎn)分析的目的和意義風(fēng)險(xiǎn)分析的原則和標(biāo)準(zhǔn)風(fēng)險(xiǎn)分析方法風(fēng)險(xiǎn)分析要素風(fēng)險(xiǎn)識(shí)別一、安全風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)分析概述79一、風(fēng)險(xiǎn)分析概述安全以風(fēng)險(xiǎn)形式存在，沒(méi)有絕對(duì)的安全HighRiskLowRisk安全目標(biāo)安全縫隙高風(fēng)險(xiǎn)低風(fēng)險(xiǎn)當(dāng)前安全狀態(tài)一、風(fēng)險(xiǎn)分析概述安全以風(fēng)險(xiǎn)形式存在，沒(méi)有絕對(duì)的安全High80一、風(fēng)險(xiǎn)分析概述1.1信息安全風(fēng)險(xiǎn) 安全風(fēng)險(xiǎn)是信息安全問(wèn)題的表現(xiàn)形式，即由于系統(tǒng)存在的脆弱性，人為或自然的威脅導(dǎo)致安全事件發(fā)生的可能性及其造成的影響。風(fēng)險(xiǎn)評(píng)估是對(duì)各方面風(fēng)險(xiǎn)進(jìn)行辨識(shí)和分析的過(guò)程，是對(duì)威脅、影響、脆弱性及三者發(fā)生的可能性的評(píng)估。它是確認(rèn)安全風(fēng)險(xiǎn)及其大小的過(guò)程。一、風(fēng)險(xiǎn)分析概述1.1信息安全風(fēng)險(xiǎn)81一、風(fēng)險(xiǎn)分析概述1.2對(duì)風(fēng)險(xiǎn)分析的認(rèn)識(shí)從微觀上講，風(fēng)險(xiǎn)評(píng)估是“一種度量信息安狀況的方法和工具”，風(fēng)險(xiǎn)評(píng)估通過(guò)對(duì)網(wǎng)絡(luò)和信息系統(tǒng)潛在風(fēng)險(xiǎn)的識(shí)別、分析、評(píng)價(jià)以及控制和緩解措施等要素，度量網(wǎng)絡(luò)和信息系統(tǒng)的安全狀況。風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的基礎(chǔ)。一、風(fēng)險(xiǎn)分析概述82一、風(fēng)險(xiǎn)分析概述1.3信息安全風(fēng)險(xiǎn)相關(guān)要素的關(guān)系信息資產(chǎn)信息資產(chǎn)信息資產(chǎn)資產(chǎn)防護(hù)措施安全措施安全措施安全措施威脅威脅威脅威脅脆弱性脆弱性脆弱性脆弱性脆弱性殘余風(fēng)險(xiǎn)風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)一、風(fēng)險(xiǎn)分析概述1.3信息安全風(fēng)險(xiǎn)相關(guān)要素的關(guān)系信息信息信83二、風(fēng)險(xiǎn)分析的目的和意義

風(fēng)險(xiǎn)評(píng)估是解決“最基本安全問(wèn)題”的基礎(chǔ)信息系統(tǒng)的安全狀況到底如何？

——用風(fēng)險(xiǎn)評(píng)估結(jié)果描述系統(tǒng)安全狀況。是否有統(tǒng)一的建設(shè)規(guī)范，統(tǒng)一的安全要求？

——風(fēng)險(xiǎn)評(píng)估是制定統(tǒng)一規(guī)范，統(tǒng)一要求的基礎(chǔ)。什么樣的信息安全方案合理，建設(shè)到什么程度合適？

——風(fēng)險(xiǎn)評(píng)估是制定方案的重要依據(jù)。現(xiàn)有的安全體系能否保證系統(tǒng)的安全？

——通過(guò)風(fēng)險(xiǎn)評(píng)估來(lái)檢驗(yàn)安全體系。二、風(fēng)險(xiǎn)分析的目的和意義風(fēng)險(xiǎn)評(píng)估是解決“最基本安全問(wèn)題”的84二、風(fēng)險(xiǎn)分析的目的和意義2.1風(fēng)險(xiǎn)分析的目的安全建設(shè)必需先“正確認(rèn)識(shí)安全問(wèn)題；準(zhǔn)確了解安全狀態(tài)”，信息系統(tǒng)安全測(cè)評(píng)就是對(duì)信息系統(tǒng)安全的“度量”，是做好信息安全保障的重要基礎(chǔ)。

二、風(fēng)險(xiǎn)分析的目的和意義2.1風(fēng)險(xiǎn)分析的目的安全建85二、風(fēng)險(xiǎn)分析的目的和意義2.1風(fēng)險(xiǎn)分析的目的風(fēng)險(xiǎn)分析是對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的機(jī)密性、完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)的過(guò)程。評(píng)估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來(lái)判斷安全事件一旦發(fā)生對(duì)組織造成的影響。評(píng)價(jià)是否實(shí)施和維護(hù)了適當(dāng)?shù)陌踩胧?，鑒別存在的風(fēng)險(xiǎn)以及風(fēng)險(xiǎn)發(fā)生的可能性和影響，從而選擇可將風(fēng)險(xiǎn)降低到組織可接受級(jí)別的安全措施。二、風(fēng)險(xiǎn)分析的目的和意義2.1風(fēng)險(xiǎn)分析的目的86二、風(fēng)險(xiǎn)分析的目的和意義

安全評(píng)估的目的——了解系統(tǒng),掌握資產(chǎn)系統(tǒng)業(yè)務(wù)功能、數(shù)據(jù)和流程描述用戶情況系統(tǒng)結(jié)構(gòu)和配置邊界的完整性二、風(fēng)險(xiǎn)分析的目的和意義安全評(píng)估的目的——了解系統(tǒng),掌87二、風(fēng)險(xiǎn)分析的目的和意義

風(fēng)險(xiǎn)評(píng)估的目的——了解系統(tǒng)安全狀況系統(tǒng)的重要性面臨的威脅技術(shù)脆弱性和技術(shù)措施運(yùn)行和管理問(wèn)題風(fēng)險(xiǎn)狀況二、風(fēng)險(xiǎn)分析的目的和意義風(fēng)險(xiǎn)評(píng)估的目的——了解系統(tǒng)安全狀況88二、風(fēng)險(xiǎn)分析的目的和意義

風(fēng)險(xiǎn)評(píng)估的目的——規(guī)劃域結(jié)構(gòu)，界定邊界和責(zé)任二、風(fēng)險(xiǎn)分析的目的和意義風(fēng)險(xiǎn)評(píng)估的目的——規(guī)劃域結(jié)構(gòu)，界定89二、風(fēng)險(xiǎn)分析的目的和意義政務(wù)專網(wǎng)平臺(tái)非涉密光纖網(wǎng)絡(luò)(專網(wǎng)2芯)業(yè)務(wù)處理域A業(yè)務(wù)處理域B公眾用戶域電子政務(wù)域電子政務(wù)網(wǎng)絡(luò)域公鑰基礎(chǔ)設(shè)施異地容災(zāi)應(yīng)急響應(yīng)電子政務(wù)基礎(chǔ)服務(wù)域公共網(wǎng)絡(luò)域政務(wù)內(nèi)網(wǎng)域（涉密域）業(yè)務(wù)單位政務(wù)外網(wǎng)域業(yè)務(wù)單位公眾服務(wù)域政務(wù)內(nèi)網(wǎng)通信網(wǎng)絡(luò)政務(wù)外網(wǎng)通信網(wǎng)絡(luò)業(yè)務(wù)單位政務(wù)內(nèi)網(wǎng)域政務(wù)外網(wǎng)域（非涉密域）企業(yè)/其它機(jī)構(gòu)信息系統(tǒng)公共通信網(wǎng)安全測(cè)評(píng)二、風(fēng)險(xiǎn)分析的目的和意義政務(wù)專網(wǎng)平臺(tái)非涉密光纖網(wǎng)絡(luò)(專網(wǎng)2芯90二、風(fēng)險(xiǎn)分析的目的和意義風(fēng)險(xiǎn)評(píng)估的目的——建設(shè)風(fēng)險(xiǎn)管理體系風(fēng)險(xiǎn)識(shí)別風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)價(jià)風(fēng)險(xiǎn)管理（控制、緩解、轉(zhuǎn)移…）風(fēng)險(xiǎn)評(píng)估二、風(fēng)險(xiǎn)分析的目的和意義風(fēng)險(xiǎn)評(píng)估的目的——建設(shè)風(fēng)險(xiǎn)管理體系91二、風(fēng)險(xiǎn)分析的目的和意義

風(fēng)險(xiǎn)管理是指通過(guò)風(fēng)險(xiǎn)評(píng)估標(biāo)識(shí)系統(tǒng)中的風(fēng)險(xiǎn)、解釋風(fēng)險(xiǎn)并實(shí)施計(jì)劃以降低風(fēng)險(xiǎn)至可接受程度的一個(gè)持續(xù)過(guò)程。風(fēng)險(xiǎn)評(píng)估是風(fēng)險(xiǎn)管理的一個(gè)重要環(huán)節(jié)，是分析評(píng)價(jià)信息系統(tǒng)安全狀態(tài)的重要方法和工具。二、風(fēng)險(xiǎn)分析的目的和意義風(fēng)險(xiǎn)管理是指通過(guò)風(fēng)險(xiǎn)92二、風(fēng)險(xiǎn)分析的目的和意義風(fēng)險(xiǎn)評(píng)估對(duì)信息系統(tǒng)生命周期的支持支持安全需求分析，安全保護(hù)等級(jí)確定項(xiàng)目規(guī)劃工程實(shí)施工程驗(yàn)收分析設(shè)計(jì)支持系統(tǒng)架構(gòu)的安全性分析評(píng)估對(duì)安全需求的實(shí)現(xiàn)周期性地確定系統(tǒng)的安全狀態(tài)系統(tǒng)報(bào)廢運(yùn)行維護(hù)硬件、軟件、數(shù)據(jù)的處置二、風(fēng)險(xiǎn)分析的目的和意義風(fēng)險(xiǎn)評(píng)估對(duì)信息系統(tǒng)生命周期的支持支持93三、風(fēng)險(xiǎn)評(píng)估原則和標(biāo)準(zhǔn)保密原則標(biāo)準(zhǔn)性原則規(guī)范性原則可控性原則整體性原則最小影響原則三、風(fēng)險(xiǎn)評(píng)估原則和標(biāo)準(zhǔn)保密原則94三、風(fēng)險(xiǎn)評(píng)估原則和標(biāo)準(zhǔn)中華人民共和國(guó)保守國(guó)家秘密法》(1988年9月5日中華人民共和國(guó)主席令第6號(hào)公布)《中華人民共和國(guó)保守國(guó)家秘密法實(shí)施辦法》（國(guó)家保密局文件國(guó)保發(fā)[1990]1號(hào)）《計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》（國(guó)家保密局文件國(guó)保發(fā)[1998]1號(hào)）《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（1999年9月國(guó)家技術(shù)監(jiān)督局發(fā)布）《信息安全風(fēng)險(xiǎn)評(píng)估指南》國(guó)家標(biāo)準(zhǔn)報(bào)批稿三、風(fēng)險(xiǎn)評(píng)估原則和標(biāo)準(zhǔn)中華人民共和國(guó)保守國(guó)家秘密法》(1995四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法風(fēng)險(xiǎn)評(píng)估過(guò)程(1)硬件軟件接口數(shù)據(jù)和信人員業(yè)務(wù)功能（1）系統(tǒng)分析和資產(chǎn)識(shí)別輸入輸出風(fēng)險(xiǎn)評(píng)估活動(dòng)系統(tǒng)邊界系統(tǒng)功能系統(tǒng)和數(shù)據(jù)的危險(xiǎn)程度系統(tǒng)和數(shù)據(jù)的敏感程度識(shí)別關(guān)鍵資產(chǎn)系統(tǒng)受攻擊的歷史信息專業(yè)機(jī)構(gòu)和媒體的數(shù)據(jù)（2）威脅分析識(shí)別威脅描述四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法風(fēng)險(xiǎn)評(píng)估過(guò)程(1)硬件（1）系統(tǒng)分析和96四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法風(fēng)險(xiǎn)評(píng)估過(guò)程(2)前期風(fēng)險(xiǎn)評(píng)估報(bào)告系統(tǒng)審計(jì)信息系統(tǒng)特性安全需求安全測(cè)試結(jié)果（3）脆弱性分析識(shí)別輸入輸出風(fēng)險(xiǎn)評(píng)估活動(dòng)潛在的脆弱性列表當(dāng)前的安全措施計(jì)劃的安全措施（4）安全措施分析當(dāng)前和計(jì)劃的安全措施列表四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法風(fēng)險(xiǎn)評(píng)估過(guò)程(2)前期風(fēng)險(xiǎn)評(píng)估報(bào)告（397四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法風(fēng)險(xiǎn)評(píng)估過(guò)程(3)威脅動(dòng)機(jī)威脅能力脆弱性本質(zhì)當(dāng)前安全措施（5）可能性分析輸入輸出風(fēng)險(xiǎn)評(píng)估活動(dòng)可能性級(jí)別四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法風(fēng)險(xiǎn)評(píng)估過(guò)程(3)威脅動(dòng)機(jī)（5）可能性98四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法風(fēng)險(xiǎn)評(píng)估過(guò)程(4)業(yè)務(wù)影響分析資產(chǎn)危險(xiǎn)性分析數(shù)據(jù)危險(xiǎn)性數(shù)據(jù)敏感性（6）影響分析輸入輸出風(fēng)險(xiǎn)評(píng)估活動(dòng)影響級(jí)別威脅發(fā)生的可能性影響的量級(jí)當(dāng)前和計(jì)劃的安全措施（7）風(fēng)險(xiǎn)判定（綜合分析）風(fēng)險(xiǎn)和相應(yīng)的風(fēng)險(xiǎn)等級(jí)四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法風(fēng)險(xiǎn)評(píng)估過(guò)程(4)業(yè)務(wù)影響分析（6）影99四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法風(fēng)險(xiǎn)評(píng)估過(guò)程(5)（8）安全措施建議輸入輸出風(fēng)險(xiǎn)評(píng)估活動(dòng)建議的安全措施（9）結(jié)果報(bào)告風(fēng)險(xiǎn)評(píng)估報(bào)告四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法風(fēng)險(xiǎn)評(píng)估過(guò)程(5)（8）安全措施建議輸100四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法風(fēng)險(xiǎn)評(píng)估的基本方法初級(jí)風(fēng)險(xiǎn)分析（PreliminaryRiskAnalysis

）風(fēng)險(xiǎn)評(píng)價(jià)指數(shù)（RiskAssessmentCodes）失效模式及影響分析（FailureModeandEffectsAnalysis(FMEA/FMECA)）基于樹(shù)的技術(shù)（TreeBasedTechniques）動(dòng)態(tài)系統(tǒng)技術(shù)（TechniquesforDynamicsystem）四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法風(fēng)險(xiǎn)評(píng)估的基本方法初級(jí)風(fēng)險(xiǎn)分析（Pre101四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法風(fēng)險(xiǎn)計(jì)算矩陣法矩陣法原理計(jì)算示例風(fēng)險(xiǎn)計(jì)算相乘法相乘法原理計(jì)算實(shí)例動(dòng)態(tài)樹(shù)四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法風(fēng)險(xiǎn)計(jì)算矩陣法102四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法矩陣法概念矩陣法適用范圍矩陣法構(gòu)造方式矩陣法特點(diǎn)四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法矩陣法概念103四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法Z=f(x,y)。函數(shù)f采用矩陣形式表示。以要素x和要素y的取值構(gòu)建一個(gè)二維矩陣，矩陣內(nèi)m*n個(gè)值即為要素Z的取值四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法Z=f(x,y)。函數(shù)f采用矩陣形式表104四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法矩陣法主要適用于由兩個(gè)要素值確定一個(gè)要素值的情形。在風(fēng)險(xiǎn)值計(jì)算中，通常需要對(duì)兩個(gè)要素確定的另一個(gè)要素值進(jìn)行計(jì)算，例如由威脅和脆弱性確定安全事件發(fā)生可能性值、由資產(chǎn)和脆弱性確定安全事件的損失值等，同時(shí)需要整體掌握風(fēng)險(xiǎn)值的確定，因此矩陣法在風(fēng)險(xiǎn)分析中得到廣泛采用。四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法矩陣法主要適用于由兩個(gè)要素值確定一個(gè)要105四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法首先需要確定二維計(jì)算矩陣，矩陣內(nèi)各個(gè)要素的值根據(jù)具體情況和函數(shù)遞增情況采用數(shù)學(xué)方法確定，然后將兩個(gè)元素的值在矩陣中進(jìn)行比對(duì)，行列交叉處即為所確定的計(jì)算結(jié)果。矩陣的計(jì)算需要根據(jù)實(shí)際情況確定，矩陣內(nèi)值的計(jì)算不一定遵循統(tǒng)一的計(jì)算公式，但必須具有統(tǒng)一的增減趨勢(shì)，即如果是遞增函數(shù)，Z值應(yīng)隨著x與y的值遞增，反之亦然。四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法首先需要確定二維計(jì)算矩陣，矩陣內(nèi)各個(gè)要106四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法矩陣法特點(diǎn)矩陣法的特點(diǎn)在于通過(guò)構(gòu)造兩兩要素計(jì)算矩陣，可以清晰羅列要素的變化趨勢(shì)，具備良好靈活性。四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法矩陣法特點(diǎn)矩陣法的特點(diǎn)在于通過(guò)構(gòu)造兩兩107四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法矩陣法計(jì)算示例(1)資產(chǎn)：共有三個(gè)重要資產(chǎn)，資產(chǎn)A1、資產(chǎn)A2和資產(chǎn)A3；資產(chǎn)價(jià)值分別是：資產(chǎn)A1=2，資產(chǎn)A2=3，資產(chǎn)A3=5；威脅：資產(chǎn)A1面臨兩個(gè)主要威脅，威脅T1和威脅T2；資產(chǎn)A2面臨一個(gè)主要威脅，威脅T3；資產(chǎn)A3面臨兩個(gè)主要威脅，威脅T4和T5；威脅發(fā)生頻率分別是：威脅T1=2，威脅T2=1，威脅T3=2，威脅T4=5，威脅T5=4；四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法矩陣法計(jì)算示例(1)資產(chǎn)：108四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法矩陣法計(jì)算示例(2)脆弱性：威脅T1可以利用的資產(chǎn)A1存在的兩個(gè)脆弱性，脆弱性V1和脆弱性V2；威脅T2可以利用的資產(chǎn)A1存在的三個(gè)脆弱性，脆弱性V3、脆弱性V4和脆弱性V5；威脅T3可以利用的資產(chǎn)A2存在的兩個(gè)脆弱性，脆弱性V6和脆弱性V7；威脅T4可以利用的資產(chǎn)A3存在的一個(gè)脆弱性，脆弱性V8；威脅T5可以利用的資產(chǎn)A3存在的一個(gè)脆弱性，脆弱性V9。脆弱性嚴(yán)重程度分別是：脆弱性V1=2，脆弱性V2=3，脆弱性V3=1，脆弱性V4=4，脆弱性V5=2，脆弱性V6=4，脆弱性V7=2，脆弱性V8=3，脆弱性V9=5。四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法矩陣法計(jì)算示例(2)脆弱性：109四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法示例計(jì)算過(guò)程風(fēng)險(xiǎn)計(jì)算過(guò)程（1）計(jì)算安全事件發(fā)生可能性（2）計(jì)算安全事件造成的損失（3）計(jì)算風(fēng)險(xiǎn)值（4）結(jié)果判定以下以資產(chǎn)A1面臨的威脅T1可以利用的脆弱性V1為例，計(jì)算安全風(fēng)險(xiǎn)值。四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法示例計(jì)算過(guò)程風(fēng)險(xiǎn)計(jì)算過(guò)程110四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法計(jì)算安全事件發(fā)生的可能性（1）構(gòu)建安全事件發(fā)生可能性矩陣；（2）根據(jù)威脅發(fā)生頻率值和脆弱性嚴(yán)重程度值在矩陣中進(jìn)行對(duì)照，確定安全事件發(fā)生可能性值；（3）對(duì)計(jì)算得到的安全風(fēng)險(xiǎn)事件發(fā)生可能性進(jìn)行等級(jí)劃分。四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法計(jì)算安全事件發(fā)生的可能性（1）構(gòu)建安全111四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法計(jì)算安全事件發(fā)生的可能性四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法計(jì)算安全事件發(fā)生的可能性112四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法計(jì)算安全事件的損失（1）構(gòu)建安全事件損失矩陣；（2）根據(jù)資產(chǎn)價(jià)值和脆弱性嚴(yán)重程度值在矩陣中進(jìn)行對(duì)照，確定安全事件損失值；（3）對(duì)計(jì)算得到的安全事件損失進(jìn)行等級(jí)劃分。四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法計(jì)算安全事件的損失（1）構(gòu)建安全事件損113四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法計(jì)算安全事件的損失四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法計(jì)算安全事件的損失114四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法（1）構(gòu)建風(fēng)險(xiǎn)矩陣；（2）根據(jù)安全事件發(fā)生可能性和安全事件損失在矩陣中進(jìn)行對(duì)照，確定安全事件風(fēng)險(xiǎn)；四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法（1）構(gòu)建風(fēng)險(xiǎn)矩115四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法計(jì)算風(fēng)險(xiǎn)值四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法計(jì)算風(fēng)險(xiǎn)值116四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法風(fēng)險(xiǎn)結(jié)果判定根據(jù)預(yù)設(shè)的等級(jí)劃分規(guī)則判定風(fēng)險(xiǎn)結(jié)果。依此類推，得到所有重要資產(chǎn)的風(fēng)險(xiǎn)值，并根據(jù)風(fēng)險(xiǎn)等級(jí)劃分表，確定風(fēng)險(xiǎn)等級(jí)。四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法風(fēng)險(xiǎn)結(jié)果判定根據(jù)預(yù)設(shè)的等級(jí)劃分規(guī)則判定117四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法矩陣法風(fēng)險(xiǎn)計(jì)算過(guò)程小結(jié)計(jì)算安全事件發(fā)生可能性（1）構(gòu)建安全事件發(fā)生可能性矩陣；（2）根據(jù)威脅發(fā)生頻率值和脆弱性嚴(yán)重程度值在矩陣中進(jìn)行對(duì)照，確定安全事件發(fā)生可能性值；（3）對(duì)計(jì)算得到的安全風(fēng)險(xiǎn)事件發(fā)生可能性進(jìn)行等級(jí)劃分。計(jì)算安全事件的損失（1）構(gòu)建安全事件損失矩陣；（2）根據(jù)資產(chǎn)價(jià)值和脆弱性嚴(yán)重程度值在矩陣中進(jìn)行對(duì)照，確定安全事件損失值；（3）對(duì)計(jì)算得到的安全事件損失進(jìn)行等級(jí)劃分。計(jì)算風(fēng)險(xiǎn)值（1）構(gòu)建風(fēng)險(xiǎn)矩陣；（2）根據(jù)安全事件發(fā)生可能性和安全事件損失在矩陣中進(jìn)行對(duì)照，確定安全事件風(fēng)險(xiǎn)；風(fēng)險(xiǎn)結(jié)果判定四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法矩陣法風(fēng)險(xiǎn)計(jì)算過(guò)程小結(jié)計(jì)算安全事件發(fā)生118四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法風(fēng)險(xiǎn)計(jì)算相乘法基本原理相乘法原理：，當(dāng)f為增量函數(shù)時(shí)，可以為直接相乘，也可以為相乘后取模等。相乘法的特點(diǎn)：簡(jiǎn)單明確，直接按照統(tǒng)一公式計(jì)算，即可得到所需結(jié)果。相乘法適用范圍：在風(fēng)險(xiǎn)值計(jì)算中，通常需要對(duì)兩個(gè)要素確定的另一個(gè)要素值進(jìn)行計(jì)算，因此相乘法在風(fēng)險(xiǎn)分析中得到廣泛采用。四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法風(fēng)險(xiǎn)計(jì)算相乘法基本原理相乘法原理： 119四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析系統(tǒng)調(diào)查系統(tǒng)業(yè)務(wù)模型網(wǎng)絡(luò)和系統(tǒng)環(huán)境（用戶、結(jié)構(gòu)和邊界等）安全體系結(jié)構(gòu)設(shè)計(jì)與實(shí)現(xiàn)文檔四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析系統(tǒng)調(diào)查系統(tǒng)業(yè)120四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析121四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析(系統(tǒng)平臺(tái)分析)網(wǎng)絡(luò)通信服務(wù)機(jī)構(gòu)機(jī)構(gòu)專用網(wǎng)絡(luò)支持性基礎(chǔ)設(shè)施:安全管理、密碼管理等公共網(wǎng)絡(luò)應(yīng)用系統(tǒng)邊界應(yīng)用區(qū)域圖例:涉密網(wǎng)絡(luò)四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析(系統(tǒng)平臺(tái)分析122四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析評(píng)估(網(wǎng)絡(luò)平臺(tái)分析)NetworkManagementDirectoryServicesNetworkIDSDomainNameServersNominalNetworkNetworkNodes(Routers/Switches)BackboneBoundaryProtectionNetworkLinks(Fiber,Cable,Wireless,Satellite)LocalNetwork通信網(wǎng)絡(luò)連接資源子網(wǎng)網(wǎng)絡(luò)節(jié)點(diǎn)(路由器/交換機(jī))骨干邊界保護(hù)網(wǎng)絡(luò)連接(光纖,電纜,無(wú)線,衛(wèi)星)資源子網(wǎng)邊界LocalNetwork局域網(wǎng)（資源子網(wǎng)）目錄服務(wù)域名服務(wù)網(wǎng)絡(luò)和基礎(chǔ)設(shè)施包括局域網(wǎng)內(nèi)的網(wǎng)絡(luò)設(shè)施網(wǎng)絡(luò)管理四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析評(píng)估(網(wǎng)絡(luò)平臺(tái)分123四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析(威脅分析)攻擊主體攻擊類型、方式與途徑資產(chǎn)危脅本質(zhì)破壞內(nèi)部人員外部人員惡意代碼故障災(zāi)難偵聽(tīng)與破譯攻擊與破壞利用與欺詐物理破壞數(shù)據(jù)庫(kù)操作系統(tǒng)網(wǎng)絡(luò)物理設(shè)備應(yīng)用系統(tǒng)未授權(quán)訪問(wèn)假冒拒絕服務(wù)機(jī)密性完整性可用性可控性真實(shí)性數(shù)據(jù)業(yè)務(wù)四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析(威脅分析)攻124四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析(安全功能測(cè)試)標(biāo)識(shí)鑒別審計(jì)通信密碼支持用戶數(shù)據(jù)保護(hù)安全管理安全功能保護(hù)資源利用評(píng)估對(duì)象訪問(wèn)可信路徑/信道功能驗(yàn)證信息系統(tǒng)測(cè)試結(jié)果配置檢查應(yīng)用系統(tǒng)公共平臺(tái)系統(tǒng)平臺(tái)網(wǎng)絡(luò)平臺(tái)測(cè)試方法、用例功能分析四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析(安全功能測(cè)試125四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析(脆弱性檢測(cè))網(wǎng)絡(luò)掃描

端口掃描操作系統(tǒng)棧指紋掃描漏洞掃描主機(jī)掃描

基于主機(jī)上的Agent精確發(fā)現(xiàn)漏洞應(yīng)用掃描

遠(yuǎn)程分析Web系統(tǒng)結(jié)構(gòu)，可以對(duì)各種應(yīng)用程序特有及普遍存在的漏洞進(jìn)行評(píng)估。配置核查

核查列表四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析(脆弱性檢測(cè))網(wǎng)126四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析(系統(tǒng)體系結(jié)構(gòu)分析)信息安全相關(guān)法律、法規(guī)、政策、標(biāo)準(zhǔn)和規(guī)范的符合性安全體系結(jié)構(gòu)的合理性和對(duì)需求的符合性設(shè)計(jì)與實(shí)現(xiàn)的一致性相關(guān)文檔資料的齊備性四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析(系統(tǒng)體系結(jié)構(gòu)分127四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析(脆弱性分析)四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)分析(脆弱性分析)128四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)評(píng)價(jià)關(guān)鍵資產(chǎn)系統(tǒng)單元

相關(guān)脆弱性

相關(guān)措施

權(quán)限管理補(bǔ)丁管理審計(jì)策略

備份策略報(bào)警響應(yīng)……………………安全風(fēng)險(xiǎn)安全風(fēng)險(xiǎn)安全風(fēng)險(xiǎn)安全風(fēng)險(xiǎn)數(shù)據(jù)泄露非授權(quán)訪問(wèn)數(shù)據(jù)篡改破壞服務(wù)假冒拒絕服務(wù)多余開(kāi)放端口默認(rèn)打開(kāi)服務(wù)更新不及時(shí)……四、風(fēng)險(xiǎn)評(píng)估過(guò)程和方法面向關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)評(píng)價(jià)關(guān)鍵資產(chǎn)系統(tǒng)單元129四、風(fēng)險(xiǎn)評(píng)估要素資產(chǎn)識(shí)別威脅識(shí)別脆弱性識(shí)別四、風(fēng)險(xiǎn)評(píng)估要素資產(chǎn)識(shí)別130四、風(fēng)險(xiǎn)評(píng)估要素識(shí)別相互聯(lián)系安全措施

抵御業(yè)務(wù)戰(zhàn)略脆弱性安全需求威脅風(fēng)險(xiǎn)殘余風(fēng)險(xiǎn)安全事件依賴具有被滿足利用暴露降低增加加依賴增加導(dǎo)出演變

未被滿足未控制可能誘發(fā)殘留成本資產(chǎn)資產(chǎn)價(jià)值四、風(fēng)險(xiǎn)評(píng)估要素識(shí)別相互聯(lián)系安全措施抵御業(yè)務(wù)戰(zhàn)略脆弱131四、風(fēng)險(xiǎn)評(píng)估要素識(shí)別相互聯(lián)系

人人文庫(kù)> 全部分類> 教育資料 > 課件下載

溫馨提示

1. 本站所有資源如無(wú)特殊說(shuō)明，都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
2. 本站的文檔不包含任何第三方提供的附件圖紙等，如果需要附件，請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3. 本站RAR壓縮包中若帶圖紙，網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽，若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間，僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理，對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯，并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容，請(qǐng)與我們聯(lián)系，我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

安全評(píng)估與安全管理課件

文檔簡(jiǎn)介

溫馨提示

最新文檔

評(píng)論