信息安全的基本概念

1、1.信息安全是指信息的保密性、完整性、可用性和真实性的保持。2、信息安全的重要性a.信息安全是国家安全的需要b.信息安全是组织持续发展的需要c.信息安全是保护个人隐私与财产的需要3、如何确定组织信息安全的要求a.法律法规与合同要求b.风险评估的结果(保护程度与控制方式)c.组织的原则、目标与要求4 .我国在信息安全管理方面存在的问题宏观：(1)法律法规问题。健全的信息安全法律法规体系是确保国家信息安全的基础，是信息安全的第一道防线.(2)管理问题。(包括三个层次：组织建设、制度建设和人员意识)(3)国家信息基础设施建设问题。目前 ，中国信息基础设施几乎完全是建立在外国的核心信息技术之上的，导致

2、我国在网络时代没有制网权 .微观：(1)缺乏信息安全意识与明确的信息安全方针。(2)重视安全技术，轻视安全管理。(3)安全管理缺乏系统管理的思想。5 .系统的信息安全管理原则：制订信息安全方针原则；风险评估原则；费用与风险平衡原则；预防为主原则；商务持续性原则；动态管理原则；全员参与的原则；PDCA原则6、系统信息安全管理与传统比较系统的信息安全管理是 动态的、系统的、全员参与的、制度化的、预防为主的 信 息安全管理方式，用最低的成本，达到可接受的信息安全水平，从根本上保证业 务的连续性，它完全不同于传统的信息安全管理模式：静态的、局部的、少数人负责的、突击式的、事后纠正式的，不能从根本上避免

3、、降低各类风险，也不 能降低信息安全故障导致的综合损失，商务可能因此瘫痪，不能持续 。6 .与风险评估有关的概念a.威胁，是指可能对资产或组织造成损害的事故的潜在原因。b.薄弱点，是指资产或资产组中能被威胁利用的弱点。威胁与薄弱点的关系：威胁是利用薄弱点而对资产或组织造成损害的c.风险,即特定威胁事件发生的可能性与后果的结合。d.风险评估，对信息和信息处理设施的威胁、影响和薄弱点及三者发生的可能性评估.它是确认安全风险及其大小的过程，即利用适当的风险评估工具，确定资产风险等级和优先控制顺序 所以，风险评估也称为风险分析.7 .与风险管理有关的概念风险管理，以可接受的费用识别、控制、降低或消除可

4、能影响信息系统安全风险的过程。a.安全控制，降低安全风险的惯例、程序或机制。b.剩余风险，实施安全控制后，剩余的安全风险c.适用性声明，适用于组织需要的目标和控制的评述8 .风险评估与管理的术语关系图（其实，安全控制与薄弱点问、安全控制与资产问、安全风险与资产问、威胁与 资产间均存在有直接或间接的关系）9 .风险评估过程a.风险评估应考虑的因素(1)信息资产及其价值(2)对这些资产的威胁，以及他们发生的可能性(3)薄弱点(4)已有的安全控制措施 b.风险评估的基本步骤并根据估价原则对资产进行估价进行识别与评价确定风险的大小与等级(1)按照组织商务运作流程进行信息资产识别，(2)根据资产所处的环

5、境进行威胁识别与评价(3)对应每一威胁，对资产或组织存在的薄弱点(4)对已采取的安全控制进行确认(5)建立风险测量的方法及风险等级评价原则，10 .资产识别与估价资产识别时常应考虑：(1)数据与文档(2)书面文件(3)软件资产(4)实物资产(5)人员(6)服务11 .资产估价的概念资产估价是一个主观的过程，资产价值不是以资产的账面价格来衡量的，而是指其相对价值。在对资产进行估价时，不仅要考虑资产的账面价格，更重要的是考虑资产对于组织商务的重要性，即根据资产损失所引发的潜在的商务影响来决定。12 .Ptv=Pt*Pv式中 Ptv 考虑资产薄弱点因素的威胁发生的可能性；Pt未考虑资产薄弱点因素的威

6、胁发生的可能性，即这一威胁发生可能性的组织、行业、地区或社会均值；Pv资产的薄弱点被威胁利用的可能性13 .威胁的评价评价威胁发生所造成的后果或潜在影响。不同的威胁对同一资产或组织所产生的影响不同，即导致的价值损失也不同，但损失的程度应以资产的相对价值(或重要度)为限。威胁的潜在影响1=资产相对价值V*价值损失程度Cl价值损失程度Cl是一个小于等于1大于0的系数，资产遭受安全事故后，其价值可能完全丧失（即Cl=1）,但不可能对资产价值没有任何影响（即ClW0）。为简化评价过程，可以用资产的相对价值代替其所面临的威胁产生的影响，即 用V代替I,让Cl=1。14 .风险评估（重点）风险测量方法一风

7、险大小和等级评价原则风险是威胁发生的可能性，薄弱点被威胁利用的可能性和威胁的潜在影响的函数R=R（PT,PV,I）其中：R-资产受到某一威胁所拥有的风险例2-3使用风险矩阵表进行测量（预先价值矩阵）例2-4二元乘法风险测量，计算公式为：R=R（PTV,I）=PTV*I即利用威胁发生的真实可能性PTV和威胁的潜在影响I两个因素来评价风险，风险大小为两者因素值之乘积例2-5关于网络系统的风险测量举例R=R（PTV ,I）=I*PTV=V*CL*PTV=V*（1-PD）*（1-PO） 式中：V-系统的重要性PO-防止威胁发生的可能性，PTV = 1-POPD-防止系统性能降低的可能性，CL= 1-P

8、D例2-6,7可接受的和不可接受的风险区分方法风险优先级别确定例2-8利用区间的方法将例 2-1计算的风险进行等级划分15 .安全控制的识别和选择：选择依据以风险评估的结果为依据以费用因素为依据16 .风险控制：降低风险途径避免风险，也称规避风险，属去除威胁转移风险减少威胁减少薄弱点减少威胁可能的影响程度探测有害事故，对其做出反应并恢复，属及时捕捉威胁17 .基本的风险评估优点：（1）风险评估所需资源最少，简便易行（2）同样或类似的控制能被许多信息安全管理体系所采用，不需要耗费很大的精力。如果多个商业要求类似，并且在相同的环境中运作，这些控制可以提供一个经济有效的解决方案。缺点：（1）如果安全

9、水平被设置的太高，就可能需要过多的费用或控制过度；如果水平太低，对一些组织来说，可能会得不到充分的安全。（由于方法是基本的，不细，较粗，因此，评估结果可能也较粗，不够精确，有一定的出入）(2)对管理相关的安全进行更改可能有困难。如一个信息安全管理体系被升级，评估最初的控制是否仍然充分就有一定的困难。18 .详细的风险评估优点：(1)能获得一个更精确的安全风险的认识，从而更为精确地识别反映组织安全要求 的安全水平。(2)可以从详细的风险评估中获得额外信息，使与组织更改相关的安全管理受益。缺点：(1)需要非常仔细制订被评估的信息系统范围内的商务环境、运作、信息和资产边 界，需要管理者持续关注，因而需要花费相当的时间、精力和技术才能获得可行的结果。(2)不能把一个系统的控制方案简单移植到另一个系统中，甚至是一个以为类似的 系统中。.19 .风险评估和管理方法的选择应考虑的因素商务环境商务性质