信息安全风险评估培训

1、信息安全风险评估，什么是风险评估？从深夜回家的一个女孩开始，风险评估基本概念，各安全组件之间的关系，资产，影响，威胁，弱点，危险，钱被盗，100元，没有饭，小偷，困，风险管理、风险评估(Risk Assessment)是识别和分析各方面(包括风险分析和风险评估)的风险的过程，是安全风险和大小验证过程。概述、相关概念、资产(Asset)电脑硬件、通信设施、建筑物、数据库、文档信息、软件、信息服务、人员等对企业有价值的所有资产都必须得到适当的保护。威胁资产或可能对企业造成损害的安全事件的潜在原因，通常需要确定威胁源或威胁代理。弱点(Vulnerability)也称为漏洞或漏洞，即可以在资产或资产组

2、中威胁使用的缺点，如果使用弱点，资产将受到损害。风险特定威胁是利用资产弱点对资产或资产组造成损害的潜在可能性。可能性威胁可发生性或频率的定性说明。的详细说明。的详细信息。的详细信息和详细信息，请参阅“Probability(可能性)”(Probability)或“Frequency(频率)”)。影响结果，意外事件对企业造成的直接或间接损失或伤害。安全措施(Safeguard)控制措施(control)或对策(countermeasure)是防止威胁、减少弱点、限制意外事件影响等减少风险的机制、方法和措施。剩馀风险是实施安全措施后仍然存在的风险。RISK、RISK、RISK、风险、现有风险、措施

3、后剩馀风险、风险管理目标、资产分类方法、资产分类方法、资产标识模型、资产价值评估、信息安全属性、机密性CONFIDENTIALATY是完整性INTEGRITYAVAILABILITY确保授权用户在需要时获得信息和使用相关资产。资产等级计算公式，AV=F(AC、AI、AA)是1 AI、AA)是2: av=AC ai aa是3: av=acai aa，威胁来源列表，威胁分类表，漏洞识别内容表t表示威胁。v表示脆弱。Ia表示安全事件所作用的资产的价值。Va表示漏洞严重性。l表示利用资产的脆弱性发生安全事件的可能性。f表示安全事故后发生的损失。一般风险计算方法：矩阵和乘法、矩阵方法、风险评估示例、31

4、、确定风险处理策略、安装减少风险防火墙、改进杀毒软件或非标准工作流、制定业务连续性计划等相应的控制措施，以降低风险(Avoid Risk)避免通过internet进行攻击Transfer Risk(转让风险)将风险全部或部分转移给其他负责人(例如购买商业保险)。“接受风险”组织在实施其他风险响应措施后，可以有意识地接受剩馀风险。32，评价残留风险是绝对安全(即无风险)是不可能的。实施安全控制后，可能会出现剩馀风险或剩馀风险牙齿。为了确保信息安全，必须确保剩馀风险在允许范围内。剩馀风险Rr的原始风险R0是R剩馀风险Rr允许风险Rt确定和评估剩馀风险的过程实际上是风险接受过程。决策者可以根据风险评

5、估结果确定充当接受剩余风险的标准的阈值。等报评价和风险评估差异、目的特定等级评价：以满足等级保护的基本要求为目的抓药的风险评估：以促进PDCA循环的风险管理为目的治病的药、等报评价和风险评估差异； 标准等级评估请参阅：GB 17859-1999电脑资讯系统安全等级分类准则GA/T 387-2002电脑资讯系统安全等级保护网络技术要求GA 388-2002电脑资讯系统安全等级保护操作系统技术要求GA/T 389-2002计算机信息系统安全等级保护数据库管理系统技术要求GA/T 390-2002电脑资讯系统安全级别保护一般技术要求GA 391-2002电脑资讯系统安全级别保护管理要求风险评估：bs

6、 7799 iso 17799 iso 27001 iso 27002 gbt 20984-2007信息安全技术信息安全风险评估规格等保证评估和风险评估差异，易于理解，为什么要评估风险，需要买辣椒水吗，还是要求保镖？哪种资讯系统安全？如何确保资讯系统安全？两个茄子基本问题，什么样的资讯系统安全？如何确保资讯系统安全？风险分析，风险管理，基本问题的答案，潜在损失可承受的系统，风险分析，安全决策，风险管理，两个答案的相关性，信息安全进化，概念的进化与技术的进化同步，可靠性是概念的持续保证，信息安全事实，动态，相对，相对解决信息安全问题只有通过一系列计划和措施，才能将风险降低到可接受的水平，同时采取

7、适当的机制，使风险保持在牙齿程度内。资讯系统更改需要重新规划和实施以满足新的安全要求。人，资讯系统安全往往取决于系统中最薄弱的部分人。要认识到人是信息安全中最重要的因素，人也是信息安全中最薄弱的部分。只能依靠安全产品的积累，应对快速发展和变化的各种攻击手段不能持续。信息安全建设要把复杂的系统工程、观念中的变化、计划、管理、技术等各种因素结合起来，成为可持续的动态发展过程。、安全、成本效益、安全-效率曲线、安全-成本曲线能力增长阶段的划分、盲目的自信阶段一般缺乏安全意识，不能理解企业的安全状况，不能认识信息安全风险的严重性认识阶段，不能通过信息安全风险评估等，企业认识到自己的信息安全风险，提高信

8、息安全水平认识到，局部的单一信息安全控制措施很难大大改善企业的信息安全状况。开始全面的信息安全体系结构设计，计划的建设信息安全保证系统优秀运营阶段信息安全改进项目完成后，基于相对全面的信息安全控制能力，构建适应安全风险变化的持续改进机制，不断提高安全控制能力，逐步完成各阶段的主要工作任务，各阶段的主要工作任务，各阶段的主要工作任务，风险评估方法？买辣椒水还是买保镖更合适，可能的攻击，信息的价值，可能的损失，风险评估简版，资产，弱点，影响，弱点，威胁，可能性，=，来源：Gartner、no、no、no、yes、yes、准备风险评估、确认现有安全措施、风险计算、保持现有控制、漏洞识别、威胁识别、资

9、产识别、风险识别、风险识别60，60，风险评估项目实施过程，61，61，评估工作各角色责任，62前者一般应在评估计划阶段完成，是整个评估活动的大纲，具体的评估实施计划是根据年度评估计划对每个评估活动的实施计划。 评估计划通常应包括以下内容：目的：指定组织内部评估实施目标。时间表：评估时间可以避免与重要业务活动冲突。评估类型：集中式方法(使用此次项目集中式评价方法)其他注意事项(范围、评估组织、评估要求、特殊情况等)。评估实施计划通常需要以文档形式公布目的、范围、准则、评估组成员和分工、评估时间和地点、第一次最终会议和报告时间评估计划，评估实施计划必须有评估组长签名，并需要管理层的批准。64，6

10、4，风险评估计划示例，65，65，风险评估实施计划示例，66，66，风险评估项目实施流程，67，67，检查列表中的四个茄子要素，去哪里？找谁？你在找什么？如何确认？68，68，风险评估常用方法，检查列表：评估人根据自己的需要预先填写特定问题的检查列表，然后按项目检查合规性。鉴定人在确认检查列表响应时，可以执行调查表、文档审查、现场观察、人事面试等。文档评估：评估人在进行现场评估之前，必须复查被评估人信息安全管理活动相关的所有文档，包括安全策略和目标、程序文档、操作说明和记录档案。现场观察：评估人员可以访问现场，观察和获取现场物理环境、资讯系统安全运营和各种安全管理活动的直接资料。个人访谈：与受

11、评者面谈，评价者可以了解工作范围、工作说明书、基本安全意识、安全管理的信息等。评价者在接受人员采访时要做好记录和总结，必要时要确认采访对象。技术评估：评估人可以使用多种技术手段评估技术控制的有效性和适用性。这些技术措施包括自动扫描工具、网络拓扑结构分析、本地主机审查、渗透测试等。69，69，评估人检查工具检查列表，检查列表(Checklist)是评估人执行评估所需的自身工具，是评估前必须准备的重要工作文档。在进行评估之前，评估人根据评估主题和评估目标部门的功能、范围、评价方法和要求准备每个现场评估所需的检查列表。检查表在信息安全管理系统内部评价中起着以下重要作用。明确与评估目标相关的抽样问题。

12、标准化评价程序，减少评价工作的随机性和实名。评价目标总是明确的，焦点突出，在评价过程中迷失方向，避免浪费时间。更好地控制评估进度。检查列表、评估计划和评估报告一起作为评估记录存档。70，70，编制核对表的依据是评价标准，即信息安全管理标准、组织信息安全指南等文件的要求。重点关注评估部门的特点，尤其是收集和验证需要关注的信息安全问题信息的方法应该多种多样。采访、观察、档案和记录收集和摘要分析、从其他信息源(客户反馈、外部报告等)收集信息等检查列表必须包含操作检查列表内容，检查列表可以列出特定方法和工具检查列表的格式和详细信息。您可以灵活地检查列表。必须有信息安全主管的审核才能使用。检查列表编写注

13、意事项，71，通用技术工具列表，技术漏洞扫描工具Nessus扫描机Nmap通信端口扫描工具绿色联盟极光漏洞扫描机安全通信数据库扫描机wireshark/ethereal IBM appscan，72，风险评估项目实施流程，73，73，第一个举行第一次会议时，与会者要做好正式记录。74，74，第一次会议议程和内容，75，风险评估原则，风险评估前需要重新考虑技术评估的风险。受评者在接受技术评估之前，必须备份业务系统。在技术扫描过程中，要陪同系统管理员全过程。请参考最近一年的风险评估记录。如果出现例外情况，请立即通知管理员，停止评估。技术评估安排在对系统影响较小的时间内，76，76，实施现场评估，第一次会议后进入现场评估。现场评估按计划进行，评估内容参照事先准备的检查清单。在评估期间，评估人必须写好备忘录和记录，这是评估人提交报告的确凿证据。记录的格式可以是“便笺”或“记录表”，一般来说，内心活动必须有统一的“现场评估记录表”，以方便标准化管理。评估进行到适当的阶段后，评估组长主持人必须了解每个评估人的进展情况，提出下一个工作要求，调整相关活动，进行已获得的评估证据和评估发现分析和讨论。77，77，不相容说明，严重不相容还是轻