某通信公司网络信息安全培训课程.pptx

利用风险评估手段，确保网络信息安全;引言;提纲;什么是风险评估？;风险评估要素关系图;风险评估美国发展史;风险评估在我国的进展;信产部电信网安全防护标准体系;为什么要进行风险评估？;;信息安全的含义;风险构成;残余风险;风险控制的概念;从攻防双方博弈看安全工作本质;通过成本分析，实现风险控制;通过风险评估确定安全规划;如何选取安全手段（1）;如何选取安全手段（2）;如何选取安全手段（3）;思考：安全的核心工作是什么？;风险评估怎样确保安全生产？;风险评估的准备;1）确定风险评估的目标； 2）确定风险评估的范围； 3）组建适当的评估管理与实施团队； 4）进行系统调研； 5）确定评估依据和方法 ； 6）获得最高管理者对风险评估工作的支持。; 1）资产分类 2）资产赋值 3）资产等级 ;分类; 资产赋值主要考虑资产的安全状况对于系统或组织的重要性，对资产在机密性、完整性和可用性上的达成程度进行综合评定得出。综合评定方法可以根据业务特点，选择对资产三性最为重要的一个属性的赋值等级作为资产的最终赋值结果，也可以进行加权计算而得到资产的最终赋值。 ;如何进行资产等级;1）威胁来源 2）威胁分类 3）威胁赋值 4）威胁等级;;种类; 判断威胁出现的频率是威胁赋值的重要内容，评估者应根据经验和（或）有关的统计数据来进行判断。;威胁发生可能性;1）脆弱性识别内容 2）脆弱性分类 3）脆弱性赋值 4）脆弱性等级; 脆弱性识别主要从技术和管理两个方面进行，技术脆弱性涉及物理层、网络层、系统层、应用层等各个层面的安全问题。管理脆弱性又可分为技术管理和组织管理两方面，前者与具体技术活动相关，后者与管理环境相关。 ;类型　; 可以根据对资产的损害程度、技术实现的难易程度、弱点的流行程度，采用等级方式对已识别的脆弱性的严重程度进行赋值。;脆弱性等级;已有安全措施的确认;1）风险计算 2）风险等级 3）风险处理计划;风险计算; 风险分析原理的形式化范式： 风险值=R（A，T，V）= R(L(T，V)，F(Ia，Va )) 其中，R表示安全风险计算函数；A表示资产；T表???威胁；V表示脆弱性；Ia表示安全事件所作用的资产重要程度；Va表示脆弱性严重程度；L表示威胁利用资产的脆弱性导致安全事件发生的可能性；F表示安全事件发生后产生的损失。 有以下三个关键的计算环节： ; 　 一是计算安全事件发生的可能性 　　根据威胁出现频率及脆弱性状况，计算威胁利用脆弱性导致安全事件发生的可能性，即： 安全事件发生的可能性＝L(威胁出现频率，脆弱性) ＝L(T，V ) 　　 二是计算安全事件发生后的损失 　　根据资产重要程度及脆弱性严重程度，计算安全事件发生后的损失，即： 安全事件的损失＝F(资产重要程度，脆弱性严重程度) ＝F(Ia，Va ) 三是计算风险值 　　根据计算出的安全事件发生的可能性以及安全事件的损失，计算风险值，即： 风险值＝R(安全事件发生的可能性，安全事件的损失) 　　　　 ＝R(L(T，V)，F(Ia，Va )) 　　　　;等级; 以上标准中的资产、威胁、脆弱性和风险的等级划分，遵照了由公安部、国家必威体育官网网址局、国家密码管理局和国务院信息化工作办公室四部委联合颁发的66号文件的精神。;　;　 对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划。风险处理计划中明确应采取的弥补弱点的安全措施、预期效果、实施条件、进度安排、责任部门等。 在对于不可接受的风险选择适当安全措施后，为确保安全措施的有效性，可进行再评估，以判断实施安全措施后的残余风险是否已经降低到可接受的水平。 某些风险可能在选择了适当的安全措施后，残余风险的结果仍处于不可接受的风险范围内，应考虑是否接受此风险或进一步增加相应的安全措施。　; ; 信息安全风险评估分为自评估、检查评估两种形式。自评估为主，自评估和检查评估相互结合、互为补充。自评估和检查评估可依托自身技术力量进行，也可委托第三方机构提供技术支持。 以上是《信息安全风险评估指南》的主要内容;中国移动风险自评估将向何处发展？;;;攻防平台项目背景;目标定位;;平台工作流程;攻防平台的先进性保障;风险分析在规范制定和系统上线中的体现;总结;Thank You!;9、 人的价值，在招收诱惑的一瞬间被决定。7月-217月-21Su