信息安全风险分析及安全需求挖掘课件_第1页
信息安全风险分析及安全需求挖掘课件_第2页
信息安全风险分析及安全需求挖掘课件_第3页
信息安全风险分析及安全需求挖掘课件_第4页
信息安全风险分析及安全需求挖掘课件_第5页
已阅读5页,还剩15页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1、信息安全风险分析及安全需求挖掘,信息安全风险分析及安全需求挖掘,信息安全风险分析及安全需求挖掘,主要内容,现有的风险分析方法综述 风险分析中需要关注的一些问题 卫士通风险分析流程及安全需求挖掘,信息安全风险分析及安全需求挖掘,现有的风险分析方法综述,信息安全风险分析及安全需求挖掘,风险分析的两大类型,定量:准确量化风险分析的各个要素 单次损失估算值 年发生率 年损失估算值 火灾 $500,000 0.1 = $500,000 错误使用资源 $50 1000 = $500,000 但是:资产价值的确定/发生概率的确定/最终数值的界定是比较困难的。 因此,真正使用此类方法来评估是很有难度的。 定性

2、:资产威胁脆弱性风险,信息安全风险分析及安全需求挖掘,一些定性风险分析的方法,基准法 (德国IT Baseline) 为系统各部分的保护度设立一个统一的基准,结合最佳实践(BP)提供的安全措施制定解决方案。 适用范围:使用广泛的典型IT 系统。对保密性、完整性及可用性为一般要求。在基础设施、组织、人事、技术及权宜安排方面可采取标准安全措施。 详细的风险分析方法(SP800-30, ) 包括资产的深度鉴定和估价,对这些资产的威胁评估和脆弱性评估。结果用于评估风险及选择合理的安全设施。 步骤:了解系统特征,识别威胁,识别脆弱性,分析安全控制,确定可能性,分析影响,确定风险,对安全控制提出建议,记录

3、评估结果 非正式的风险分析方法(FRAP,OCTAVE-S) 详细风险分析的简化方法。 FRAP:前期预备会议,FRAP会议,风险分析报告撰写,总结会议;OCTAVE-S:建立基于资产的威胁档案,识别技术设施脆弱性, 开发安全策略和计划。 综合方法( ISO 17799, OCTAVE ) 对系统进行宏观分析,确定出高风险领域,进行详细的风险分析,其它部分采用基线方法。 首先要核实系统范围内处于潜在高风险之中,或是对商业运作至关重要的关键性资产进行详细的风险分析以获得相应的保护。其余一般对待的 通过基本的风险评估办法为其选择控制措施,信息安全风险分析及安全需求挖掘,风险分析中需要关注的一些问题

4、,信息安全风险分析及安全需求挖掘,如何协同考虑风险分析的各要素,威胁等级,威胁源,动机,威胁发生 可能性,工具,技能要求,对系统 造成 的影响,系统抗威胁 攻击能力等级,系统脆弱性,安全措施,资产价值,风险等级,威胁,信息安全风险分析及安全需求挖掘,如何确定关键资产,是否要从关键资产入手开始风险分析?(SP800-30就没有说列出关键资产) 如何确定系统中哪些是关键资产?资产敏感性及价值 并对资产的分类(软件、硬件、) -确定各种威胁对资产造成的影响:信息财产未被授权的泄露、未被授权的修改、拒绝接受、在各种时间段的不可恢复性破坏,考虑不利的商业影响的情况,信息安全风险分析及安全需求挖掘,如何确

5、定威胁,威胁list 依据经验 具体分析,自然威胁发生概率(关注的重点) 系统威胁组件质量 偶然性人为威胁用户类别、人员素质、培训 蓄意人为威胁财产的吸引力;财产转化为报酬的难易程度;系统敏感性(好奇、破坏、影响);需要的技术能力;需要的工具;攻击途径,信息安全风险分析及安全需求挖掘,如何确定脆弱性,主观可控,信息安全风险分析及安全需求挖掘,大中型组织详细风险分析活动有何异同,信息安全风险分析及安全需求挖掘,如何选择风险分析方法,该组织的商业环境; 该组织的业务性质和重要性; 该组织对信息系统的依赖程度; 业务和支持系统、应用程序及服务的复杂性; 贸易伙伴的数量和对外业务及契约关系,信息安全风

6、险分析及安全需求挖掘,不同阶段评估方法如何选择,系统安全构建初期-综合法/基准法 系统安全状况评估-详细风险分析法 系统运行期的安全优化-非正式风险分析法,信息安全风险分析及安全需求挖掘,卫士通风险分析流程及安全需求挖掘,信息安全风险分析及安全需求挖掘,部分机构/厂商的风险分析方法,有厂商主要参照OCTAVE,同时利用扫描器,基于ISO17799的量化可视化的评估工具,并导入工具扫描结果生成信息库及其它软件等; 有的厂商主要针对系统和网络进行风险评估,在技术上分析得比较多,技术弱点把握精确 ,但对管理上较弱,管理评估存在不足; 有的厂商针对UNIX、NT等OS及DB、网络设备进行评估,使用评估工具并配合使用人工评估等,建立信息安全库,信息安全风险分析及安全需求挖掘,风险管理的一般流程,用户情况调查,信息安全风险分析及安全需求挖掘,卫士通的风险分析流程,信息安全风险分析及安全需求挖掘,挖掘系统安全需求,信息安全风险分析及安全需求挖掘,小结,目前有多种风险分析的方法,在实际工作中需要考虑系统的实际情况和不同的阶段,灵活使用定性和定量、手工评估和辅助工具、技术评估和系统组织评估、基于知识经验和基于模型的评估等多种方法; 依据国家法律法规和对系统的风险评估,确定系统的安全需求

人人文库> 全部分类> 行业资料 > 管理策划

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论