信息安全的基本概念

1、1.信息安全是指信息的保密性、完整性、可用性和真實(shí)性的保持。2、信息安全的重要性a.信息安全是國家安全的需要b.信息安全是組織持續(xù)發(fā)展的需要c.信息安全是保護(hù)個(gè)人隱私與財(cái)產(chǎn)的需要3、如何確定組織信息安全的要求a.法律法規(guī)與合同要求b.風(fēng)險(xiǎn)評估的結(jié)果(保護(hù)程度與控制方式)c.組織的原則、目標(biāo)與要求4 .我國在信息安全管理方面存在的問題宏觀：(1)法律法規(guī)問題。健全的信息安全法律法規(guī)體系是確保國家信息安全的基礎(chǔ)，是信息安全的第一道防線.(2)管理問題。(包括三個(gè)層次：組織建設(shè)、制度建設(shè)和人員意識)(3)國家信息基礎(chǔ)設(shè)施建設(shè)問題。目前 ，中國信息基礎(chǔ)設(shè)施幾乎完全是建立在外國的核心信息技術(shù)之上的，導(dǎo)致

2、我國在網(wǎng)絡(luò)時(shí)代沒有制網(wǎng)權(quán) .微觀：(1)缺乏信息安全意識與明確的信息安全方針。(2)重視安全技術(shù)，輕視安全管理。(3)安全管理缺乏系統(tǒng)管理的思想。5 .系統(tǒng)的信息安全管理原則：制訂信息安全方針原則；風(fēng)險(xiǎn)評估原則；費(fèi)用與風(fēng)險(xiǎn)平衡原則；預(yù)防為主原則；商務(wù)持續(xù)性原則；動(dòng)態(tài)管理原則；全員參與的原則；PDCA原則6、系統(tǒng)信息安全管理與傳統(tǒng)比較系統(tǒng)的信息安全管理是 動(dòng)態(tài)的、系統(tǒng)的、全員參與的、制度化的、預(yù)防為主的 信 息安全管理方式，用最低的成本，達(dá)到可接受的信息安全水平，從根本上保證業(yè) 務(wù)的連續(xù)性，它完全不同于傳統(tǒng)的信息安全管理模式：靜態(tài)的、局部的、少數(shù)人負(fù)責(zé)的、突擊式的、事后糾正式的，不能從根本上避免

3、、降低各類風(fēng)險(xiǎn)，也不 能降低信息安全故障導(dǎo)致的綜合損失，商務(wù)可能因此癱瘓，不能持續(xù) 。6 .與風(fēng)險(xiǎn)評估有關(guān)的概念a.威脅，是指可能對資產(chǎn)或組織造成損害的事故的潛在原因。b.薄弱點(diǎn)，是指資產(chǎn)或資產(chǎn)組中能被威脅利用的弱點(diǎn)。威脅與薄弱點(diǎn)的關(guān)系：威脅是利用薄弱點(diǎn)而對資產(chǎn)或組織造成損害的c.風(fēng)險(xiǎn),即特定威脅事件發(fā)生的可能性與后果的結(jié)合。d.風(fēng)險(xiǎn)評估，對信息和信息處理設(shè)施的威脅、影響和薄弱點(diǎn)及三者發(fā)生的可能性評估.它是確認(rèn)安全風(fēng)險(xiǎn)及其大小的過程，即利用適當(dāng)?shù)娘L(fēng)險(xiǎn)評估工具，確定資產(chǎn)風(fēng)險(xiǎn)等級和優(yōu)先控制順序 所以，風(fēng)險(xiǎn)評估也稱為風(fēng)險(xiǎn)分析.7 .與風(fēng)險(xiǎn)管理有關(guān)的概念風(fēng)險(xiǎn)管理，以可接受的費(fèi)用識別、控制、降低或消除可

4、能影響信息系統(tǒng)安全風(fēng)險(xiǎn)的過程。a.安全控制，降低安全風(fēng)險(xiǎn)的慣例、程序或機(jī)制。b.剩余風(fēng)險(xiǎn)，實(shí)施安全控制后，剩余的安全風(fēng)險(xiǎn)c.適用性聲明，適用于組織需要的目標(biāo)和控制的評述8 .風(fēng)險(xiǎn)評估與管理的術(shù)語關(guān)系圖（其實(shí)，安全控制與薄弱點(diǎn)問、安全控制與資產(chǎn)問、安全風(fēng)險(xiǎn)與資產(chǎn)問、威脅與 資產(chǎn)間均存在有直接或間接的關(guān)系）9 .風(fēng)險(xiǎn)評估過程a.風(fēng)險(xiǎn)評估應(yīng)考慮的因素(1)信息資產(chǎn)及其價(jià)值(2)對這些資產(chǎn)的威脅，以及他們發(fā)生的可能性(3)薄弱點(diǎn)(4)已有的安全控制措施 b.風(fēng)險(xiǎn)評估的基本步驟并根據(jù)估價(jià)原則對資產(chǎn)進(jìn)行估價(jià)進(jìn)行識別與評價(jià)確定風(fēng)險(xiǎn)的大小與等級(1)按照組織商務(wù)運(yùn)作流程進(jìn)行信息資產(chǎn)識別，(2)根據(jù)資產(chǎn)所處的環(huán)

5、境進(jìn)行威脅識別與評價(jià)(3)對應(yīng)每一威脅，對資產(chǎn)或組織存在的薄弱點(diǎn)(4)對已采取的安全控制進(jìn)行確認(rèn)(5)建立風(fēng)險(xiǎn)測量的方法及風(fēng)險(xiǎn)等級評價(jià)原則，10 .資產(chǎn)識別與估價(jià)資產(chǎn)識別時(shí)常應(yīng)考慮：(1)數(shù)據(jù)與文檔(2)書面文件(3)軟件資產(chǎn)(4)實(shí)物資產(chǎn)(5)人員(6)服務(wù)11 .資產(chǎn)估價(jià)的概念資產(chǎn)估價(jià)是一個(gè)主觀的過程，資產(chǎn)價(jià)值不是以資產(chǎn)的賬面價(jià)格來衡量的，而是指其相對價(jià)值。在對資產(chǎn)進(jìn)行估價(jià)時(shí)，不僅要考慮資產(chǎn)的賬面價(jià)格，更重要的是考慮資產(chǎn)對于組織商務(wù)的重要性，即根據(jù)資產(chǎn)損失所引發(fā)的潛在的商務(wù)影響來決定。12 .Ptv=Pt*Pv式中 Ptv 考慮資產(chǎn)薄弱點(diǎn)因素的威脅發(fā)生的可能性；Pt未考慮資產(chǎn)薄弱點(diǎn)因素的威

6、脅發(fā)生的可能性，即這一威脅發(fā)生可能性的組織、行業(yè)、地區(qū)或社會(huì)均值；Pv資產(chǎn)的薄弱點(diǎn)被威脅利用的可能性13 .威脅的評價(jià)評價(jià)威脅發(fā)生所造成的后果或潛在影響。不同的威脅對同一資產(chǎn)或組織所產(chǎn)生的影響不同，即導(dǎo)致的價(jià)值損失也不同，但損失的程度應(yīng)以資產(chǎn)的相對價(jià)值(或重要度)為限。威脅的潛在影響1=資產(chǎn)相對價(jià)值V*價(jià)值損失程度Cl價(jià)值損失程度Cl是一個(gè)小于等于1大于0的系數(shù)，資產(chǎn)遭受安全事故后，其價(jià)值可能完全喪失（即Cl=1）,但不可能對資產(chǎn)價(jià)值沒有任何影響（即ClW0）。為簡化評價(jià)過程，可以用資產(chǎn)的相對價(jià)值代替其所面臨的威脅產(chǎn)生的影響，即 用V代替I,讓Cl=1。14 .風(fēng)險(xiǎn)評估（重點(diǎn)）風(fēng)險(xiǎn)測量方法一風(fēng)

7、險(xiǎn)大小和等級評價(jià)原則風(fēng)險(xiǎn)是威脅發(fā)生的可能性，薄弱點(diǎn)被威脅利用的可能性和威脅的潛在影響的函數(shù)R=R（PT,PV,I）其中：R-資產(chǎn)受到某一威脅所擁有的風(fēng)險(xiǎn)例2-3使用風(fēng)險(xiǎn)矩陣表進(jìn)行測量（預(yù)先價(jià)值矩陣）例2-4二元乘法風(fēng)險(xiǎn)測量，計(jì)算公式為：R=R（PTV,I）=PTV*I即利用威脅發(fā)生的真實(shí)可能性PTV和威脅的潛在影響I兩個(gè)因素來評價(jià)風(fēng)險(xiǎn)，風(fēng)險(xiǎn)大小為兩者因素值之乘積例2-5關(guān)于網(wǎng)絡(luò)系統(tǒng)的風(fēng)險(xiǎn)測量舉例R=R（PTV ,I）=I*PTV=V*CL*PTV=V*（1-PD）*（1-PO） 式中：V-系統(tǒng)的重要性PO-防止威脅發(fā)生的可能性，PTV = 1-POPD-防止系統(tǒng)性能降低的可能性，CL= 1-P

8、D例2-6,7可接受的和不可接受的風(fēng)險(xiǎn)區(qū)分方法風(fēng)險(xiǎn)優(yōu)先級別確定例2-8利用區(qū)間的方法將例 2-1計(jì)算的風(fēng)險(xiǎn)進(jìn)行等級劃分15 .安全控制的識別和選擇：選擇依據(jù)以風(fēng)險(xiǎn)評估的結(jié)果為依據(jù)以費(fèi)用因素為依據(jù)16 .風(fēng)險(xiǎn)控制：降低風(fēng)險(xiǎn)途徑避免風(fēng)險(xiǎn)，也稱規(guī)避風(fēng)險(xiǎn)，屬去除威脅轉(zhuǎn)移風(fēng)險(xiǎn)減少威脅減少薄弱點(diǎn)減少威脅可能的影響程度探測有害事故，對其做出反應(yīng)并恢復(fù)，屬及時(shí)捕捉威脅17 .基本的風(fēng)險(xiǎn)評估優(yōu)點(diǎn)：（1）風(fēng)險(xiǎn)評估所需資源最少，簡便易行（2）同樣或類似的控制能被許多信息安全管理體系所采用，不需要耗費(fèi)很大的精力。如果多個(gè)商業(yè)要求類似，并且在相同的環(huán)境中運(yùn)作，這些控制可以提供一個(gè)經(jīng)濟(jì)有效的解決方案。缺點(diǎn)：（1）如果安全

9、水平被設(shè)置的太高，就可能需要過多的費(fèi)用或控制過度；如果水平太低，對一些組織來說，可能會(huì)得不到充分的安全。（由于方法是基本的，不細(xì)，較粗，因此，評估結(jié)果可能也較粗，不夠精確，有一定的出入）(2)對管理相關(guān)的安全進(jìn)行更改可能有困難。如一個(gè)信息安全管理體系被升級，評估最初的控制是否仍然充分就有一定的困難。18 .詳細(xì)的風(fēng)險(xiǎn)評估優(yōu)點(diǎn)：(1)能獲得一個(gè)更精確的安全風(fēng)險(xiǎn)的認(rèn)識，從而更為精確地識別反映組織安全要求 的安全水平。(2)可以從詳細(xì)的風(fēng)險(xiǎn)評估中獲得額外信息，使與組織更改相關(guān)的安全管理受益。缺點(diǎn)：(1)需要非常仔細(xì)制訂被評估的信息系統(tǒng)范圍內(nèi)的商務(wù)環(huán)境、運(yùn)作、信息和資產(chǎn)邊 界，需要管理者持續(xù)關(guān)注，因而需要花費(fèi)相當(dāng)?shù)臅r(shí)間、精力和技術(shù)才能獲得可行的結(jié)果。(2)不能把一個(gè)系統(tǒng)的控制方案簡單移植到另一個(gè)系統(tǒng)中，甚至是一個(gè)以為類似的 系統(tǒng)中。.19 .風(fēng)險(xiǎn)評估和管理方法的選擇應(yīng)考慮的因素商務(wù)環(huán)境商務(wù)性質(zhì)