- 1、本文档共36页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
第11章 信息安全风险评估技术 主要内容 信息安全的定义 机密性(integrity): 确保该信息仅对已授权访问的人们才可访问 只有拥有者许可,才可被其他人访问 完整性(confidentiality): 保护信息及处理方法的准确性和完备性; 不因人为的因素改变原有的内容,保证不被非法改动和销毁 可用性(availability): 当要求时,即可使用信息和相关资产。 不因系统故障或误操作使资源丢失。 响应时间要求、故障下的持续运行。 其他:可控性、可审查性 Key words I 信息安全:信息的必威体育官网网址性、完整性、可用性的保持。 风险评估:对信息和信息处理设施的威胁,影响和薄弱点以及威胁发生的可能性的评估。 风险管理:以可接受的费用识别、控制、降低或消除可能影响信息系统安全的风险的过程。 威胁:是指某个人、物、事件或概念对某一资源的必威体育官网网址性、完整性、可用性或合法使用所造成的危险。 Key word II 威胁(Threat): 是指可能对资产或组织造成损害的事故的潜在原因。 薄弱点(Vulnerability): 是指资产或资产组中能被威胁利用的弱点。 风险(Risk): 特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害的潜在可能性,即特定威胁事件发生的可能性与后果的结合。 风险综述 在系统工程过程中,风险是对达到属于技术性能,成本和进度方面的目的和目标的不确定性的一种量度。 风险等级用事件和事件结果的概率来分类。对获取程序,系统在产品和过程方面进行风险评价。 风险源包括技术的(可行性,可操作性,生产性,测试性和系统的有效性);成本(预算,目标),计划表(即技术资料的可用性,技术成就,里程碑);和规划(即资源、合同)。 风险评估的目的和意义 (1) 系统太脆弱,太容易受攻击; (2) 被攻击时很难及时发现和制止; (3) 有组织有计划的入侵无论在数量上还是在质量 上都呈现快速增长趋势; (4) 在规模和复杂程度上不断扩展网络而很少考虑 其安全状况的变化情况; (5) 因信息系统安全导致的巨大损失并没有得到充 分重视,而有组织的犯罪、情报和恐怖组织却 深谙这种破坏的威力。 因特网的安全涉及哪些因素 关于物理安全 作用点:对计算机网络与计算机系统的物理装备的威胁,主要表现在自然灾害、电磁辐射与恶劣工作环境方面。 外显行为:通信干扰,危害信息注入,信号辐射,信号替换,恶劣操作环境。 防范措施:抗干扰系统,防辐射系统,隐身系统,加固系统,数据备份。 关于系统安全 作用点:对计算机网络与计算机系统可用性与可控性进行攻击。 外显行为:网络被阻塞,黑客行为,非法使用资源等,计算机病毒,使得依赖于信息系统的管理或控制体系陷于瘫痪。 防范措施:防止入侵,检测入侵,攻击反应,系统恢复。 关于信息安全 作用点:对所处理的信息机密性与完整性的威胁,主要表现在加密方面。 外显行为:窃取信息,篡改信息,冒充信息,信息抵赖。 防范措施:加密,完整性技术, 认证,数字签名。 作用点:有害信息的传播对我国的政治制度及传统文化的威胁,主要表现在舆论宣传方面。 外显行为:淫秽暴力信息泛滥、敌对的意识形态信息涌入、英语文化的“泛洪现象”对民族文化的冲击,互联网被利用作为串联工具,传播迅速,影响范围广。 防范措施:设置因特网关,监测、控管。 系统风险管理 系统风险管理是一个识别什么会出错,测定和评价有关的风险,实现和控制避免或处理被识别出的每个风险的适当手段的一种有组织的分析过程。风险在系统定义,系统规范,系统设计,系统实现或系统操作和支持期内的任何时候都要被识别出来。 安全风险和安全风险管理 安全风险可被认为是满足系统安全技术要求的不确定性的度量。安全风险管理是识别安全攻击及其相关结果的可能性,然后,如果需要,可动用资源,使系统的安全风险降低到可接受的水平。 信息系统风险模型 风险计算依据 国外相关信息安全风险评估标准简介 AS/NZS 4360:1999 风险管理 澳大利亚和新西兰联合开发的风险管理标准 将对象定位在“信息系统”;在资产识别和评估时,采取半定量化的方法,将威胁、风险发生可能性、造成的影响划分为不同的等级。 分为建立环境、风险识别、风险分析、风险评价、风险处置等步骤。 ISO/IEC TR 13335信息技术安全管理指南 提出了风险评估的方法、步骤和主要内容。 主要步骤包括:资产识别、威胁识别、脆弱性
您可能关注的文档
- 第6章行政管理事务习题剖析.ppt
- 第9章菜单设计剖析.ppt
- 第6章合并报表2剖析.ppt
- 第6章合同管理剖析.ppt
- 第9章出入境动物和动物产品检疫剖析.ppt
- 第11章 区域旅游规划剖析.ppt
- 第9章存款货币银行剖析.ppt
- 第6章环境工程项目质量和安全管理剖析.ppt
- 第9章地下建筑防火设计剖析.ppt
- 第9章第三方物流企业发展战略剖析.ppt
- 教科版(2017秋)科学二年级上册2.6 做一顶帽子 教学设计.docx
- 河北高频考点专训四 质量守恒定律的应用教学设计---2024-2025学年九年级化学人教版(2024)上册.docx
- 大单元教学【核心素养目标】6.3 24时计时法教学设计 人教版三年级下册.docx
- 河南省商城县李集中学2023-2024学年下学期九年级历史中考模拟八(讲评教学设计).docx
- 第18章 第25课时 正方形的性质2023-2024学年八年级下册数学课时分层作业教学设计( 人教版).docx
- Module 8 模块测试 教学设计 2024-2025学年英语外研版八年级上册.docx
- 2024-2025学年小学数学五年级下册浙教版教学设计合集.docx
- 2024-2025学年小学劳动四年级下册人民版《劳动》(2022)教学设计合集.docx
- 2024-2025学年小学数学三年级上册冀教版(2024)教学设计合集.docx
- 2024-2025学年高中生物学必修1《分子与细胞》人教版教学设计合集.docx
文档评论(0)