信息安全评估PPT课件_第1页
信息安全评估PPT课件_第2页
信息安全评估PPT课件_第3页
信息安全评估PPT课件_第4页
信息安全评估PPT课件_第5页
已阅读5页,还剩9页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1 信息安全评估 主讲人 刘静 2 第二次课 一 风险评估内容要求 会识别风险三要素 资产 威胁 脆弱性 3 复习 网络中存在的安全威胁 网络 内部 外部泄密 拒绝服务攻击 逻辑炸弹 特洛伊木马 黑客攻击 计算机病毒 信息丢失 篡改 销毁 后门 隐蔽通道 蠕虫 4 风险评估是风险管理的第一步 信息安全风险评估和风险管理 5 信息安全风险评估和风险管理 风险评估是信息安全管理体系和信息安全风险管理的基础信息安全风险管理要依靠风险评估的结果来确定随后的风险控制和审核批准活动使得机构能够准确 定位 风险管理的策略 实践和工具能够将安全活动的重点放在重要的问题上能够选择成本效益合理的和适用的安全对策 6 信息安全风险评估和风险管理 风险评估 确定安全风险及其大小的过程风险分析系统地使用信息以识别起源并估计风险风险评价将评估的风险与给的风险原则进行比较以决定重大风险的过程风险处理修改风险手段的选择和实施的处理过程 7 风险的要素 资产及其价值威胁脆弱性现有的和计划的控制措施 对策 8 风险的要素 资产 资产是任何对组织有价值的东西资产的分类软件 基础应用软件 如数据库软件 操作系统硬件设施 主机 路由器 防火墙 交换机等实体信息 合同 传真 电报 财务报告 企业发展计划 磁带 光盘打印机 复印机等人员 包括各级安全组织 安全人员 各级管理人员 网管员 系统管理员 业务操作人员 第三方人员等电子数据 所有通过网络能访问到的数据服务性设施 电源 空调 保险柜 文件柜 门禁 消防设施 照明等其他 公司形象 公司信誉和客户关系 9 风险的要素 威胁 威胁是可能导致信息安全事故和组织信息资产损失的活动 威胁是利用脆弱性来造成后果威胁举例自然威胁 洪水 地震 飓风 泥石流 雪崩 电风暴及其他类似事件 人为威胁 由人激发或引发的事件 例如无意识行为 粗心的数据录入 或故意行为 网络攻击 恶意软件上传 对秘密信息的未授权访问 环境威胁 长时间电力故障 污染 化学 液体泄漏等 10 风险的要素 脆弱性 与信息资产有关的弱点或安全隐患 脆弱性本身并不对资产构成危害 但是在一定条件得到满足时 脆弱性会被威胁加以利用来对信息资产造成危害 脆弱性举例系统漏洞配置不当程序Bug专业人员缺乏弱口令缺乏安全意识后门 11 资产 威胁和脆弱性对应关系 资产 威胁A 威胁B 来源A1 来源A2 来源B1 来源B2 脆弱点A1 脆弱点A2 脆弱点B1 脆弱点B2 每一项资产可能存在多个威胁 每一威胁可
人人文库> 全部分类> 教育资料 > 课件下载

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论