保障與安全風(fēng)險(xiǎn)分析_第1頁(yè)
保障與安全風(fēng)險(xiǎn)分析_第2頁(yè)
保障與安全風(fēng)險(xiǎn)分析_第3頁(yè)
保障與安全風(fēng)險(xiǎn)分析_第4頁(yè)
保障與安全風(fēng)險(xiǎn)分析_第5頁(yè)
已閱讀5頁(yè),還剩11頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、保障與安全風(fēng)險(xiǎn)分析2022/9/11第1頁(yè),共16頁(yè),2022年,5月20日,0點(diǎn)26分,星期一風(fēng)險(xiǎn)分析與評(píng)估 信息安全是當(dāng)今的一個(gè)熱門話題,特別是在Internet上。然而,極少有人知道如何創(chuàng)建一個(gè)可接受的安全系統(tǒng)。 安全是一個(gè)技術(shù)手段不斷進(jìn)步的實(shí)施過(guò)程。圖1表示實(shí)現(xiàn)一個(gè)系統(tǒng)安全的周期,在這個(gè)周期中包括審計(jì)、校正和監(jiān)控三個(gè)動(dòng)態(tài)循環(huán)的階段。 2022/9/12第2頁(yè),共16頁(yè),2022年,5月20日,0點(diǎn)26分,星期一圖1 維護(hù)系統(tǒng)的安全周期 審計(jì)Audit一個(gè)審核工具被用來(lái)尋找網(wǎng)絡(luò)的漏洞。在網(wǎng)絡(luò)安全審核基礎(chǔ)上進(jìn)行風(fēng)險(xiǎn)分析,并由此構(gòu)造網(wǎng)絡(luò)安全策略,就形成了原始的安全基準(zhǔn)。 2022/9/13第

2、3頁(yè),共16頁(yè),2022年,5月20日,0點(diǎn)26分,星期一 校正Correct 系統(tǒng)中不能通過(guò)網(wǎng)絡(luò)審核的部分要被校正。因此,系統(tǒng)應(yīng)該不斷地被審核以保證新的漏洞不再出現(xiàn),老的漏洞不再重現(xiàn)。 2022/9/14第4頁(yè),共16頁(yè),2022年,5月20日,0點(diǎn)26分,星期一 絕對(duì)安全的網(wǎng)絡(luò)和計(jì)算機(jī)都不存在。只有那些鎖在一間孤立得房間里、沒(méi)有任何人使用、沒(méi)有與外界網(wǎng)絡(luò)連接的計(jì)算機(jī),才可以被認(rèn)為是安全的。顯然,如此“安全”的計(jì)算機(jī)沒(méi)有存在的必要。只要計(jì)算機(jī)被使用和被接入Internet,它就注定是不安全的。 2022/9/15第5頁(yè),共16頁(yè),2022年,5月20日,0點(diǎn)26分,星期一 風(fēng)險(xiǎn)分析與安全規(guī)劃

3、 計(jì)算機(jī)安全風(fēng)險(xiǎn)分析是一個(gè)過(guò)程,由此來(lái)認(rèn)識(shí)與評(píng)價(jià)計(jì)算機(jī)系統(tǒng)被攻擊的風(fēng)險(xiǎn)以及數(shù)據(jù)、時(shí)間和人時(shí)的損失與防止這些損失的代價(jià)的比例。進(jìn)行這一分析過(guò)程的目的不僅在于確定計(jì)算機(jī)系統(tǒng)的安全強(qiáng)度并且能夠指出系統(tǒng)安全如何改進(jìn),而且有助于更好地理解一個(gè)系統(tǒng)和它的漏洞缺陷。在構(gòu)建一個(gè)網(wǎng)絡(luò)信息系統(tǒng)時(shí),首先應(yīng)該對(duì)該系統(tǒng)運(yùn)行的內(nèi)部與外部環(huán)境存在的威脅與風(fēng)險(xiǎn)進(jìn)行評(píng)估,并且要針對(duì)各種威脅采取各種適當(dāng)措施 。2022/9/16第6頁(yè),共16頁(yè),2022年,5月20日,0點(diǎn)26分,星期一一、問(wèn)題與結(jié)果 風(fēng)險(xiǎn)評(píng)估的目標(biāo)就是要找出被評(píng)估對(duì)象可能受到的各種安全威脅,和由風(fēng)險(xiǎn)帶來(lái)的各種威脅。通過(guò)風(fēng)險(xiǎn)評(píng)估需要回答以下問(wèn)題:1、系統(tǒng)中的信息

4、可能會(huì)受到哪些威脅?2、如果有威脅會(huì)發(fā)生,可能產(chǎn)生的最壞結(jié)果是什么?其單次損失值是多少?3、 這種威脅發(fā)生的頻率是多少?4、 上述3個(gè)問(wèn)題的答案的肯定性有多大?5、 對(duì)這些威脅可以采取哪些措施消除、減輕或轉(zhuǎn)移風(fēng)險(xiǎn)?6、 采取這些措施的成本是多少?7、產(chǎn)生的效益有多大? 2022/9/17第7頁(yè),共16頁(yè),2022年,5月20日,0點(diǎn)26分,星期一風(fēng)險(xiǎn)評(píng)估后所能夠獲得的信息: 1、精確地確定一個(gè)系統(tǒng)中的敏感部分。 2、確定對(duì)系統(tǒng)的威脅。 3、確定特定系統(tǒng)的脆弱性。 4、確定可能的損失。 5、確定損失發(fā)生的概率。 6、得出防止損失的有效對(duì)策。 7、確定可能的安全措施。 8、實(shí)現(xiàn)一個(gè)良好性能價(jià)格比的

5、安全系統(tǒng)。 2022/9/18第8頁(yè),共16頁(yè),2022年,5月20日,0點(diǎn)26分,星期一二、風(fēng)險(xiǎn)評(píng)估的方法 常用的方法是“ad hoc”方法。這種方法的原理是在剛剛發(fā)生信息安全事件或發(fā)生某種新的威脅(如紅色代碼病毒開始流行)之后,向企業(yè)管理者宣傳這種威脅的危害性,使他們相信這種威脅的存在性,進(jìn)而向他們推薦針對(duì)這種風(fēng)險(xiǎn)的解決方案,雖然這種方案不很全面,有可能會(huì)忽略一些更重要的威脅,但也能發(fā)揮一定的作用 2022/9/19第9頁(yè),共16頁(yè),2022年,5月20日,0點(diǎn)26分,星期一 樹型分析法:把發(fā)生的威脅系統(tǒng)安全的事件按它們發(fā)生的先后順序用樹型結(jié)構(gòu)表示出來(lái),如事件樹、攻擊樹、錯(cuò)誤樹等,然后依據(jù)

6、這些結(jié)構(gòu)樹進(jìn)行風(fēng)險(xiǎn)評(píng)估。歷史分析法:依據(jù)過(guò)去已發(fā)生的安全性事件,研究各類威脅發(fā)生的頻率和造成損失的大小,并預(yù)測(cè)未來(lái)威脅可能發(fā)生的概率,然后根據(jù)這些分析結(jié)果進(jìn)行風(fēng)險(xiǎn)評(píng)估。 2022/9/110第10頁(yè),共16頁(yè),2022年,5月20日,0點(diǎn)26分,星期一 風(fēng)險(xiǎn)概率評(píng)估法:通過(guò)分析導(dǎo)致某一特定情況的事件組合發(fā)生概率的大小進(jìn)行風(fēng)險(xiǎn)評(píng)估的一種方法。失誤模型及后果分析法:對(duì)系統(tǒng)中每個(gè)環(huán)節(jié)上的每一種可能發(fā)生的失誤條件及其可能造成的危害的大小進(jìn)行分析,其結(jié)果作為對(duì)系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估的依據(jù)。 2022/9/111第11頁(yè),共16頁(yè),2022年,5月20日,0點(diǎn)26分,星期一三、計(jì)算機(jī)安全中的風(fēng)險(xiǎn)分析 許多機(jī)構(gòu)和

7、組織都使用風(fēng)險(xiǎn)分析以確定其計(jì)算機(jī)系統(tǒng)的安全需求。風(fēng)險(xiǎn)分析過(guò)程必須精確地實(shí)施才能針對(duì)系統(tǒng)安全的不足提出合理的、恰當(dāng)?shù)慕鉀Q辦法。而不正確的風(fēng)險(xiǎn)分析卻能夠?qū)е虏扇〔粐?yán)格的、代價(jià)高昂的的措施,甚至可能造成新的損失。為防止這種情況發(fā)生,風(fēng)險(xiǎn)評(píng)估過(guò)程必須明確地定義,這包括所使用的術(shù)語(yǔ)和標(biāo)準(zhǔn)。 2022/9/112第12頁(yè),共16頁(yè),2022年,5月20日,0點(diǎn)26分,星期一1、術(shù)語(yǔ)風(fēng)險(xiǎn)分析過(guò)程和計(jì)算機(jī)安全有關(guān)的術(shù)語(yǔ)必須首先明確,然后才能確定如何進(jìn)行計(jì)算機(jī)安全風(fēng)險(xiǎn)分析。這些術(shù)語(yǔ)包括風(fēng)險(xiǎn)(risk)、脆弱性(vulnerability)、威脅(threat)、敏感性(susceptibility)、損失(lo

8、ss)、代價(jià)(burden)和防護(hù)措施(safeguard)等。它們清楚地定義有助于更好地理解計(jì)算機(jī)安全風(fēng)險(xiǎn)分析過(guò)程。 2022/9/113第13頁(yè),共16頁(yè),2022年,5月20日,0點(diǎn)26分,星期一 計(jì)算機(jī)安全的一般目標(biāo)是防止三種行為:(1)計(jì)算機(jī)系統(tǒng)中信息的非法訪問(wèn);(2)計(jì)算機(jī)資源的非法使用;(3)計(jì)算機(jī)及存儲(chǔ)信息的非法破壞。為了達(dá)到這個(gè)目標(biāo),管理員必須明白他的計(jì)算機(jī)系統(tǒng)所面臨的威脅以及可能遭到的破壞。 2022/9/114第14頁(yè),共16頁(yè),2022年,5月20日,0點(diǎn)26分,星期一 對(duì)計(jì)算機(jī)安全的威脅并不僅限于來(lái)自內(nèi)部的威脅,其他類型的威脅包括自然災(zāi)害、人為錯(cuò)誤等。這些因素并非在任何系統(tǒng)中都要考慮到。因?yàn)閷?duì)任何組織來(lái)說(shuō),對(duì)它可能的威脅是獨(dú)特的,而且必須指明。因?yàn)檫€沒(méi)有一個(gè)威脅的完整列表存在,風(fēng)險(xiǎn)分析人員應(yīng)該知道從那里取尋找威脅信息。 2022/9/115第15頁(yè),共16頁(yè),2

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論