信息安全风险评估方法与意义.pptVIP

攻击类型 说明 被动攻击 被动攻击包括分析通信流，监视未被保护的通讯，解密弱加密通讯，获取鉴别信息（比如口令）。被动攻击可能造成在没有得到用户同意或告知用户的情况下，将信息或文件泄露给攻击者。这样的例子如泄露个人的信用卡号码和医疗档案等。 主动攻击 主动攻击包括试图阻断或攻破保护机制、引入恶意代码、偷窃或篡改信息。主动进攻可能造成数据资料的泄露和散播，或导致拒绝服务以及数据的篡改改。 物理临近攻击 是指一未被授权的个人，在物理意义上接近网络、系统或设备，试图改变、收集信息或拒绝他人对信息的访问。 内部人员攻击 内部人员攻击可以分为恶意或无恶意攻击。前者指内部人员对信息的恶意破坏或不当使用，或使他人的访问遭到拒绝；后者指由于粗心、无知以及其它非恶意的原因而造成的破坏。 软硬件装配分发攻击 指在工厂生产或分销过程中对硬件和软件进行的恶意修改。这种攻击可能是在产品里引入恶意代码，比如后门。 主要有哪些攻击？ 信息安全风险评估方法 风险评估的准备 资产识别 威胁识别 脆弱性识别 设计解决方案 项目规划 脆弱性识别 安全弱点 安全弱点是系统可以被利用从而导致资产发生损失的特性 网络扫描 上机检查 安全策略评估 网络架构评估 技术类，比如OS漏洞，防火墙错误配置等 管理类，比如没有安全策略、具体负责人、审核 流程等 业务模式类，比如充值卡业务，非实名制业务等 应用软件评估 数据库评估 …… 弱点种类 获取方法 弱点定义 信息安全风险评估方法 风险评估的准备 资产识别 威胁识别 脆弱性识别 设计解决方案 项目规划 设计解决方案 风险 RISK RISK RISK RISK 风险 ---就是为了把企业的风险降到可接受的程度 基本的风险 采取措施后剩余的风险 资产 威胁 漏洞 资产 威胁 漏洞 实施安全解决方案 信息安全风险评估方法 风险评估的准备 资产识别 威胁识别 脆弱性识别 设计解决方案 项目规划 项目规划 项目规划方法 实施难易程度 预期效果 紧迫性 可实施性 项目规划综合分析 项目紧迫性分析 威胁强度多大能够造成危害，难易度 分布范围大小 层次影响范围大小 直接危害的严重程度 间接危害的严重程度 破坏后的恢复时间 破坏后恢复的消耗 最近6个月问题发现的频度 最近一次发现问题的间隔 项目可实施性分析 外部策略允许程度 内部管理条件是否具备 技术成熟度 内部技术条件是否具备 外部支持条件是否具备 其他分析 如前文…... 紧迫性 如前文…... 可实施性 技术难度 资金投入大小 时间投入长短 人力投入大小和人员素质要求 外部支持资源的复杂度 对企业策略的触动大小 对组织管理的触动大小 对运作规定和习惯的触动大小 实施难易程度 见效速度 对于安全性的直接效果评价 对于业务的直接促进 对于其他安全建设项目的支持 对安全策略完善的促进 对安全组织完善的促进 对人员安全素质的促进 对安全管理运作规范化的促进 预期效果 1 2 4 5 6 1-项目准备与范围确定项目交流需求调研，背景讨论范围确定项目计划 2-项目定义和蓝图Kickoff meeting资产信息收集完成详细方案设计确定风险评估模型完成蓝图并与用户签署 6-支持和维护项目初验 修复和加固协助二次验证评估 电话热线支持其他服务 3 5-风险综合和解决方案安全风险综合分析输出安全评估报告设计安全解决方案建议 项目实施主要阶段 3-现状调研与分析基本信息调查业务流程分析数据流分析资产赋值 4-安全风险评估安全威胁评估网络架构安全评估设备安全评估应用软件安全评估安全策略（环境）评估 …… 1 2 3 5 6 项目计划 项目蓝图 安全风险评估报告 4 安全威胁 评估纪录 网络架构 评估纪录 设备评估纪录 应用软件评估纪录 安全审计纪录…… 各阶段提交文档 项目SOW 数据流程图等中间结果 安全解决方案建议 信息安全风险评估过程描述 从使命出发确认资产及其依赖度 从资产的重要性和敏感程度(CIA)判断面对的威胁 识别确定脆弱性 分析威胁利用脆弱性对资产造成损失的可能性和可能产生的影响 对已经采取的安全控制进行确认 建立风险测量的方法及风险等级评价原则，确定风险的大小与等级 形成报告，提出选择合适的安全控制措施的建议 谢谢大家！ 请提出宝贵意见 本资料来源 更多资料请访问精品资料网() * * 信息安全涉及的面很广，企业自身的力量和认识有限，很难完全考虑到。通过第三方认证，可以帮助企业全面检查信息安全水平。 BS7799认证首发于1995年，是BSI(英国标准协会)为信息安全目标的实现而提供的一套全面、综合、最佳实践经验的控制措施，为信息系统应用于工业和商业用途时，如何确定实施控制措施的范围提供参