张爽钰.pptVIP

宣讲人：张爽钰 学 号：S311060058 信息安全规划 信息安全风险评估 物理安全保障 信息系统等级保护 ISO信息安全管理标准 信息安全法规 信息安全规划，也称为信息安全计划，它用于在较高层次上确定一个组织涉及信息安全的活动，主要内容包括： 安全策略 安全需求 安全措施 安全责任 规划执行时间表 制定并不断完善和更新信息安全规划是一个组织获得信息安全保障的重要工作之一。 安全策略是信息安全规划中的核心组成部分，它表达了组织的信息安全目的和意图。安全策略主要应明确以为问题： 1.安全目标，即保护对象和保护效果，前者主要包括业务、数据等，后者主要包括信息安全的各种基本属性； 2.访问主体，即允许访问组织内部信息系统的实体，后者包括人、进程和系统等； 3.访问客体，即组织内部允许被访问的系统和资源；4.访问方式，即规定哪些主体可以以特定的方式访问某个系统或资源。 为了实施安全策略，组织需要进一步去确定当前的安全状况，据此确定安全需求、将采用的安全措施、安全责任和规划执行时间表。其中，安全措施包括技术措施和组织管理措施两个方面，前者已由前面的章节描述，后者包括确立实施安全措施的机构、人员及其工作制作，由这些机构和人员分别担负相应的安全责任。 信息安全风险来自人为或自然的威胁，是威胁利用信息系统的脆弱性，造成安全事件的可能性及这类安全事件可能对信息资产等造成的负面影响。信息安全风险评估也叫做信息安全风险分析，它是指对信息安全威胁进行分析和预测，评估这类威胁对信息资产造成的影响。信息安全风险评估使信息系统的管理者可以在考虑风险的情况下估算信息资产的价值，为管理决策提供支持，也可为进一步实施系统安全防护提供依据。 一般来说，威胁有基于网络和系统攻击的、内部泄露的、人员物理侵入、系统问题等几类，它们尽可能利用信息系统存在的脆弱性。可能性不但与脆弱性和威胁本身相关，也与攻击者、攻击方法、攻击时间、系统状况等相关联。因此，在进行风险评估之前，一般需要先分析信息系统的威胁、脆弱性和可能的攻击。 随着信息技术的普及，信息安全风险评估成为了一个组织安全管理的一部分，它既是风险管理的基础，也是组织确定安全需求的途径之一。信息安全风险评估的形式可以是组织内部自我评估或委托专业机构进行评估，也可能是由上级机关执行的检查性评估。风险评估的方法主要分为定性方法、定量方法和定性与定量相结合的方法3类。在定性评估中，由评估者根据知识、经验、指导性文件等对信息系统存在的风险进行分析、判断和推断，采用描述性的语言给出风险评估结果。 　　在定量方法中，由评估者根据信息资产的相关数据利用公式进行分析和推导，评估结果以数量的形式表达。 　　当前一般认为，定性评估的结果比较粗糙、主观性较强，而定量评估较为繁琐、缺乏描述性，因此二者有结合的必要。自20世纪末以来，信息安全风险评估逐渐得到了越来越多的重视，国际标准化组织（ISO）先后颁布了很多细则和准则来规划信息安全风险评估。当前也出现了一些信息安全风险评估的工具和评估辅助工具，如COBRA和CRAＭＭ等。 信息安全风险评估人员应首先明确被评估组织拥有的资产及其中哪些与信息安全相关，并在不考虑信息安全风险情况下估算所识别资产的价值Ｖ。在以上过程中，主要应考虑以下几个方面：１.信息资产：数据与文档、数据库与数据文件、电子文件等各类文档等；2.软件资产：应用软件与系统、系统软件、开发工具、信息和通信服务等；3、硬件资产：计算机和通信设备、移动介质等；4、人员资产：具有特殊技能的员工；5、系统资产：处理和存储信息的信息系统。 信息安全风险评估需要对组织要保护的每一项信息资产进行安全分析，识别出可能的威胁。分析人员一般根据信息资产所处的环境、以前遭受的威胁、自身经验、特定的规程或统计数据等推断或发现可能的威胁，并估计威胁发生的可能性ＰＴ。ＰＴ主要是受资产的吸引力、资产转化为报酬的难易程度、产生威胁的技术含量与利用脆弱性的难易程度等因素影响。 必须指出的是，ＰＴ仅表示威胁存在的可能性，但威胁不一定造成安全事件，后者一般仅当攻击者成功利用脆弱性后才发生，因此识别脆弱性也是评估的必要环节。评估人员需要根据这些情况，结合所识别的威胁，分析每个威胁可能利用的脆弱性，并根据脆弱性的特点，估计它们能够被威胁所利用的可能性PV。 由于在信息安全风险评估之后，被评估的组织可能根据评估结果调整信息安全防护措施，为了避免重复施加安全措施，需要确认信息安全防护系统在评估前的状况。这里，信息安全防护系统一般分为防御性系统和保护性系统，前者可以减少威胁并减小它们发生的可能性，如防火请和I