計算機(jī)網(wǎng)絡(luò)安全風(fēng)險管理84p

PPT模板下載：行業(yè)PPT模板：節(jié)日PPT模板：素材下載：PPT背景圖片：圖表下載：優(yōu)秀PPT下載：教程：Word教程：教程：資料下載：課件下載：范文下載：試卷下載：教案下載：

計算機(jī)網(wǎng)絡(luò)平安風(fēng)險管理計算機(jī)網(wǎng)絡(luò)平安風(fēng)險管理樊山二零零五年十一月一、概述

風(fēng)險就是不利事件發(fā)生的可能性。風(fēng)險管理是評估風(fēng)險、采取步驟將風(fēng)險消減到可接受的水平并且維持這一風(fēng)險級別的過程。也許大家沒有意識到，其實大家每天都在進(jìn)行風(fēng)險管理。像系平安帶、預(yù)報有雨時帶傘或?qū)⑹虑橛涗浵聛硪悦膺z忘，這些日?；顒佣伎梢詺w入風(fēng)險管理的范疇。人們會意識到針對其利益的各種威脅，并采取預(yù)防措施進(jìn)行防范或?qū)⑵溆绊憸p到最小。風(fēng)險管理是平安性的一個重要方面，但風(fēng)險管理不只是包含恐懼、不確定性和疑心〔FUD〕。在評判一個平安方案時，應(yīng)重點考慮直接在資產(chǎn)負(fù)債表上導(dǎo)致美元收入的平安收益，它是相對于風(fēng)險管理的重要對應(yīng)物。一、概述本課程為各種類型的客戶方案、建立和維護(hù)一個成功的平安風(fēng)險管理方案。說明如何在四階段流程中實施風(fēng)險管理方案中的各個階段，以及如何建立一個持續(xù)的過程以評定平安風(fēng)險并將其降低到可接受水平。二、平安風(fēng)險管理介紹〔一〕風(fēng)險管理的核心作用所謂風(fēng)險管理就是識別風(fēng)險、選擇對策、實施對策以消減風(fēng)險.最終保證信息資產(chǎn)的保密性、完整性、可用性能夠滿足目標(biāo)要求的這樣一個過程。簡單的說風(fēng)險管理就是識別風(fēng)險、評估風(fēng)險，采取措施將風(fēng)險減到可接受水平，并維持這個風(fēng)險水平的過程。二、平安風(fēng)險管理介紹個人隱私經(jīng)營狀況資產(chǎn)知識產(chǎn)權(quán)資產(chǎn)識別商務(wù)聯(lián)系管理制度二、平安風(fēng)險管理介紹資產(chǎn)類別總體

IT環(huán)境資產(chǎn)名稱資產(chǎn)評級有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)數(shù)據(jù)中心5有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)Servers3有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)臺式計算機(jī)1有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)移動計算機(jī)3有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)PDA1有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)移動電話1有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)服務(wù)器應(yīng)用程序軟件1有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)最終用戶應(yīng)用程序軟件1有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)開發(fā)工具3有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)路由器3有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)網(wǎng)絡(luò)交換機(jī)3有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)傳真機(jī)1有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)PBX3二、平安風(fēng)險管理介紹資產(chǎn)類別總體

IT環(huán)境資產(chǎn)名稱資產(chǎn)評級有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)可移動介質(zhì)（如：磁帶、軟盤、CD-ROM、DVD、便攜式硬盤、PC卡存儲設(shè)備、USB存儲設(shè)備等）1有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)電源3有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)不間斷電源3有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)消防系統(tǒng)3有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)空調(diào)系統(tǒng)3有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)空氣過濾系統(tǒng)1有形資產(chǎn)物理基礎(chǔ)結(jié)構(gòu)其他環(huán)境控制系統(tǒng)3有形資產(chǎn)Intranet數(shù)據(jù)源代碼5有形資產(chǎn)Intranet數(shù)據(jù)人力資源數(shù)據(jù)5有形資產(chǎn)Intranet數(shù)據(jù)財務(wù)數(shù)據(jù)5有形資產(chǎn)Intranet數(shù)據(jù)營銷數(shù)據(jù)5有形資產(chǎn)Intranet數(shù)據(jù)雇員密碼5二、平安風(fēng)險管理介紹資產(chǎn)類別總體

IT環(huán)境資產(chǎn)名稱資產(chǎn)評級有形資產(chǎn)Intranet數(shù)據(jù)雇員私人密鑰5有形資產(chǎn)Intranet數(shù)據(jù)計算機(jī)系統(tǒng)密鑰5有形資產(chǎn)Intranet數(shù)據(jù)智能卡5有形資產(chǎn)Intranet數(shù)據(jù)知識產(chǎn)權(quán)5有形資產(chǎn)Intranet數(shù)據(jù)適用于法規(guī)要求的數(shù)據(jù)（如GLBA、HIPAA、CASB1386和EUDataProtectionDirective等）。5有形資產(chǎn)Intranet數(shù)據(jù)美國雇員社會保險號5有形資產(chǎn)Intranet數(shù)據(jù)雇員駕駛證編號5有形資產(chǎn)Intranet數(shù)據(jù)戰(zhàn)略計劃3二、平安風(fēng)險管理介紹資產(chǎn)類別總體

IT環(huán)境資產(chǎn)名稱資產(chǎn)評級有形資產(chǎn)Intranet數(shù)據(jù)客戶消費信用報告5有形資產(chǎn)Intranet

數(shù)據(jù)客戶醫(yī)療記錄5有形資產(chǎn)Intranet

數(shù)據(jù)雇員生物特征識別5有形資產(chǎn)Intranet數(shù)據(jù)雇員商務(wù)聯(lián)絡(luò)數(shù)據(jù)1有形資產(chǎn)Intranet數(shù)據(jù)雇員個人聯(lián)絡(luò)數(shù)據(jù)3有形資產(chǎn)Intranet數(shù)據(jù)采購單數(shù)據(jù)5有形資產(chǎn)Intranet數(shù)據(jù)網(wǎng)絡(luò)基礎(chǔ)結(jié)構(gòu)設(shè)計3有形資產(chǎn)Intranet數(shù)據(jù)內(nèi)部網(wǎng)站3有形資產(chǎn)Intranet數(shù)據(jù)雇員種族數(shù)據(jù)3有形資產(chǎn)Extranet數(shù)據(jù)合作伙伴合同數(shù)據(jù)5有形資產(chǎn)Extranet數(shù)據(jù)合作伙伴財務(wù)數(shù)據(jù)5有形資產(chǎn)Extranet數(shù)據(jù)合作伙伴聯(lián)絡(luò)數(shù)據(jù)3二、平安風(fēng)險管理介紹資產(chǎn)類別總體

IT環(huán)境資產(chǎn)名稱資產(chǎn)評級有形資產(chǎn)Extranet數(shù)據(jù)合作伙伴協(xié)同應(yīng)用程序3有形資產(chǎn)Extranet數(shù)據(jù)合作伙伴密鑰5有形資產(chǎn)Extranet數(shù)據(jù)合作伙伴信用報告3有形資產(chǎn)Extranet數(shù)據(jù)合作伙伴采購單數(shù)據(jù)3有形資產(chǎn)Extranet數(shù)據(jù)供應(yīng)商合同數(shù)據(jù)5有形資產(chǎn)Extranet數(shù)據(jù)供應(yīng)商財務(wù)數(shù)據(jù)5有形資產(chǎn)Extranet數(shù)據(jù)供應(yīng)商聯(lián)絡(luò)數(shù)據(jù)3有形資產(chǎn)Extranet數(shù)據(jù)供應(yīng)商合作應(yīng)用程序3有形資產(chǎn)Extranet數(shù)據(jù)供應(yīng)商密鑰5有形資產(chǎn)Extranet數(shù)據(jù)供應(yīng)商信用報告3有形資產(chǎn)Extranet數(shù)據(jù)供應(yīng)商采購單數(shù)據(jù)3二、平安風(fēng)險管理介紹資產(chǎn)類別總體

IT環(huán)境資產(chǎn)名稱資產(chǎn)評級有形資產(chǎn)Internet數(shù)據(jù)網(wǎng)站銷售應(yīng)用程序5有形資產(chǎn)Internet數(shù)據(jù)網(wǎng)站營銷數(shù)據(jù)3有形資產(chǎn)Internet數(shù)據(jù)客戶信用卡數(shù)據(jù)5有形資產(chǎn)Internet數(shù)據(jù)客戶聯(lián)絡(luò)數(shù)據(jù)3有形資產(chǎn)Internet數(shù)據(jù)公開密鑰1有形資產(chǎn)Internet數(shù)據(jù)新聞發(fā)布1有形資產(chǎn)Internet數(shù)據(jù)白皮書1有形資產(chǎn)Internet數(shù)據(jù)產(chǎn)品文檔1有形資產(chǎn)Internet數(shù)據(jù)培訓(xùn)資料3二、平安風(fēng)險管理介紹資產(chǎn)類別總體

IT環(huán)境資產(chǎn)名稱資產(chǎn)評級無形資產(chǎn)名譽(yù)

5無形資產(chǎn)友好關(guān)系

3無形資產(chǎn)雇員道德

3無形資產(chǎn)雇員生產(chǎn)力

3IT服務(wù)郵件電子郵件/計劃（如Microsoft?Exchange）3IT服務(wù)郵件即時消息1IT服務(wù)郵件MicrosoftOutlook?WebAccess(OWA)1IT服務(wù)核心基礎(chǔ)結(jié)構(gòu)MicrosoftActiveDirectory?3IT服務(wù)核心基礎(chǔ)結(jié)構(gòu)域名系統(tǒng)(DNS)3IT服務(wù)核心基礎(chǔ)結(jié)構(gòu)動態(tài)主機(jī)配置協(xié)議(DHCP)3二、平安風(fēng)險管理介紹資產(chǎn)類別總體

IT環(huán)境資產(chǎn)名稱資產(chǎn)評級IT服務(wù)核心基礎(chǔ)結(jié)構(gòu)企業(yè)管理工具3IT服務(wù)核心基礎(chǔ)結(jié)構(gòu)文件共享3IT服務(wù)核心基礎(chǔ)結(jié)構(gòu)存儲器3IT服務(wù)核心基礎(chǔ)結(jié)構(gòu)撥號遠(yuǎn)程訪問3IT服務(wù)核心基礎(chǔ)結(jié)構(gòu)電話服務(wù)3IT服務(wù)核心基礎(chǔ)結(jié)構(gòu)虛擬專用網(wǎng)(VPN)訪問3IT服務(wù)核心基礎(chǔ)結(jié)構(gòu)MicrosoftWindows?Internet命名服務(wù)(WINS)1IT服務(wù)其他基礎(chǔ)結(jié)構(gòu)合作服務(wù)（如MicrosoftSharePoint?）1二、平安風(fēng)險管理介紹威脅

示例災(zāi)難性事件火災(zāi)災(zāi)難性事件洪水災(zāi)難性事件地震災(zāi)難性事件嚴(yán)重風(fēng)暴災(zāi)難性事件恐怖分子襲擊災(zāi)難性事件平民騷亂/暴動災(zāi)難性事件山崩災(zāi)難性事件雪崩災(zāi)難性事件工業(yè)意外威脅

示例機(jī)械故障電力中斷機(jī)械故障硬件故障機(jī)械故障網(wǎng)絡(luò)中斷機(jī)械故障環(huán)境控制措施失效機(jī)械故障結(jié)構(gòu)意外非惡意人員未獲通知的雇員非惡意人員未獲通知的用戶二、平安風(fēng)險管理介紹威脅

示例惡意人員黑客、解密高手惡意人員計算機(jī)犯罪惡意人員行業(yè)間諜惡意人員政府資助的間諜惡意人員社會工程惡意人員心存不滿的現(xiàn)雇員惡意人員心存不滿的前雇員惡意人員恐怖分子惡意人員疏忽的雇員惡意人員不誠實的雇員（受賄者或被勒索者）惡意人員惡意移動代碼二、平安風(fēng)險管理介紹高級漏洞分類漏洞簡短說明具體示例（如果適用）物理未上鎖的門

物理未受保護(hù)的計算機(jī)應(yīng)用設(shè)施訪問權(quán)限

物理不充分的消防系統(tǒng)

物理設(shè)計低劣的建筑

物理施工低劣的建筑

物理施工中使用的易燃材料

物理裝修中使用的易燃材料

物理未上鎖的窗

物理易受物理襲擊的墻

物理內(nèi)墻未能在天花板和地板處完全密封房間

二、平安風(fēng)險管理介紹自然設(shè)備位于故障線路上

自然設(shè)備位于水災(zāi)區(qū)域

自然設(shè)備位于雪崩區(qū)域

高級漏洞分類漏洞簡短說明具體示例（如果適用）硬件缺少修補(bǔ)程序

硬件過期的固件

硬件配置錯誤的系統(tǒng)

硬件未受物理保護(hù)的系統(tǒng)

硬件在公共接口上允許的管理協(xié)議

二、平安風(fēng)險管理介紹軟件過期的防病毒軟件

軟件缺少修補(bǔ)程序

軟件編寫低劣的應(yīng)用程序跨站點腳本軟件編寫低劣的應(yīng)用程序SQL注入軟件編寫低劣的應(yīng)用程序代碼弱點，如緩沖區(qū)溢出軟件故意設(shè)置的弱點用于管理或系統(tǒng)恢復(fù)的供應(yīng)商后門軟件故意設(shè)置的弱點Spyware，如keyloggers軟件故意設(shè)置的弱點特洛伊木馬軟件故意設(shè)置的弱點

軟件配置錯誤導(dǎo)致配置不一致的手工供應(yīng)軟件配置錯誤未強(qiáng)化系統(tǒng)軟件配置錯誤未審核系統(tǒng)軟件配置錯誤未監(jiān)視系統(tǒng)二、平安風(fēng)險管理介紹媒體電子干擾

高級漏洞分類漏洞簡短說明具體示例（如果適用）通信未加密的網(wǎng)絡(luò)協(xié)議

通信到多個網(wǎng)絡(luò)的連接

通信允許不必要的協(xié)議

通信在網(wǎng)絡(luò)分段之間無過濾

人為定義低劣的程序不充分的意外響應(yīng)準(zhǔn)備人為定義低劣的程序手工供應(yīng)人為定義低劣的程序不充分的災(zāi)難恢復(fù)規(guī)劃人為定義低劣的程序在生產(chǎn)系統(tǒng)上測試人為定義低劣的程序未報告的違規(guī)人為定義低劣的程序低劣的更改控制人為被盜憑據(jù)

二、平安風(fēng)險管理介紹風(fēng)險管理周期模型二、平安風(fēng)險管理介紹〔二〕風(fēng)險管理的根本概念資產(chǎn)〔Asset〕——任何對組織具有價值的東西，包括計算機(jī)硬件、通信設(shè)施、建筑物、數(shù)據(jù)庫、文檔信息、軟件、信息效勞和人員等，所有這些資產(chǎn)都需要妥善保護(hù)。對資產(chǎn)的評估要從價值、重要性或敏感度等方面來考慮。威脅〔Threat〕——就是可能對資產(chǎn)或組織造成損害的意外事件的潛在原因，即某種威脅源〔threatsource〕或威脅代理〔threatagent〕成功利用特定弱點對資產(chǎn)造成負(fù)面影響的潛在可能。威脅類型包括人為威脅〔成心和無意〕和非人為威脅〔自然和環(huán)境〕。識別并評估威脅時需要考慮威脅源的動機(jī)和能力。風(fēng)險管理關(guān)心的是威脅發(fā)生的可能性。二、平安風(fēng)險管理介紹弱點〔Vulnerability〕——也被稱作漏洞或脆弱性，即資產(chǎn)或資產(chǎn)組中存在的可被威脅利用的缺點，弱點一旦被利用，就可能對資產(chǎn)造成損害。弱點本身并不能構(gòu)成傷害，它只是威脅利用來實施影響的一個條件。風(fēng)險管理過程中要識別弱點，并評估弱點的嚴(yán)重性和可被利用的容易程度。風(fēng)險〔Risk〕——特定威脅利用資產(chǎn)的弱點給資產(chǎn)或資產(chǎn)組帶來損害的潛在可能性.單個或者多個威脅可以利用單個或者多個弱點。風(fēng)險是威脅事件發(fā)生的可能性與影響綜合作用的結(jié)果。可能性〔Likelihood〕——對威脅事件發(fā)生的幾率〔Probability〕或頻率〔Frequency〕的定性描述。二、平安風(fēng)險管理介紹影響〔Impact〕——或者是后果〔Consequence〕，意外事件發(fā)生給組織帶來的直接或間接的損失或傷害。平安措施〔Safeguard〕——也稱作控制措施〔control〕或?qū)Σ摺瞔ountermeasure〕，即通過防范威脅、減少弱點、限制意外事件帶來影響等途徑來消減風(fēng)險的機(jī)制、方法和措施。殘留風(fēng)險〔ResidualRisk〕——在實施平安措施之后仍然存在的風(fēng)險。二、平安風(fēng)險管理介紹風(fēng)險管理各要素之間的關(guān)系弱點暴露了具有價值的資產(chǎn),威脅對弱點加以利用，從而造成負(fù)面影響，由此導(dǎo)致風(fēng)險.正是因為風(fēng)險的存在，我們才提出了平安需求，為了實現(xiàn)需求，必須采取平安措施，以便防范威脅并減少風(fēng)險。風(fēng)險管理的整個過程就是在這些要素間相互制約相互作用的關(guān)系中得以進(jìn)展的。三、風(fēng)險管理的前期準(zhǔn)備〔一〕確定信息平安目標(biāo)和戰(zhàn)略平安目標(biāo)決定了組織能夠接受的風(fēng)險水平和所滿足的平安程度。應(yīng)該考慮的問題組織承擔(dān)著哪些重點活動哪些任務(wù)只能在IT的幫助下完成必須依賴信息的保密性、完整性和可用性哪些機(jī)密信息需要保護(hù)意外發(fā)生后對組織的影響三、風(fēng)險管理的前期準(zhǔn)備目標(biāo)信心產(chǎn)品信譽(yù)效勞信息資料雇員消費者客戶受益人保護(hù)數(shù)據(jù)保密性惡意使用誤用欺詐法規(guī)主題風(fēng)險評估戰(zhàn)略和方法信息平安策略的需求系統(tǒng)平安操作程序的需求信息敏感性分類方案連接時需要滿足的條件和檢查方法事件處理方案只有事先確定了風(fēng)險評估的途徑，風(fēng)險評估和風(fēng)險分析才能有據(jù)而行三、風(fēng)險管理的前期準(zhǔn)備〔二〕建立信息平安策略〔InformationSecurityPolicy〕總體方針特定問題策略〔Issue-SpecificPolicy〕特定系統(tǒng)策略〔System-SpecificPolicy〕組織對信息平安的根本認(rèn)識組織的平安目標(biāo)和戰(zhàn)略，包括對法律法規(guī)遵守的考慮組織信息平安所涉及的范圍信息平安的組織構(gòu)架和責(zé)任認(rèn)定信息資產(chǎn)的分類模式風(fēng)險管理的途徑信息資產(chǎn)分類方案關(guān)于信息平安管理的其他全局約定四、評估風(fēng)險〔一〕風(fēng)險評估的概念1、概念風(fēng)險評估是對信息資產(chǎn)面臨的威脅、存在的弱點、造成的影響，以及三者綜合作用而帶來風(fēng)險的可能性的評估。2、作用風(fēng)險評估〔RiskAssessment〕是組織確定信息平安需求的一個重要途徑，屬于組織平安管理籌劃的過程。四、評估風(fēng)險風(fēng)險評估的任務(wù)識別組織面臨的各種風(fēng)險評估風(fēng)險概率和可能帶來的負(fù)面影響確定組織承受風(fēng)險的能力確定風(fēng)險消減和控制的優(yōu)先等級推薦風(fēng)險消減對策首先、要確定保護(hù)的對象〔保護(hù)資產(chǎn)〕是什么？它們直接和間接價值？其次、資產(chǎn)面臨哪些潛在威脅？導(dǎo)致威脅的問題所在？威脅發(fā)生的可能性有多大？第三、資產(chǎn)中存在哪里弱點可能會被威脅所利用？利用的容易程序又如何？第四、一旦威脅事件發(fā)生，組織會遭受怎樣的損失或者面臨怎樣的負(fù)面影響？最后、組織應(yīng)該采取怎樣的平安措施才能將風(fēng)險帶來的損失降低到最低程序四、評估風(fēng)險3、風(fēng)險評估的幾個對應(yīng)關(guān)系〔1〕每項資產(chǎn)可能面臨多種威脅〔2〕威脅源〔威脅代理〕可能不止一個〔3〕每種威脅可能利用一個或多個弱點四、評估風(fēng)險〔二〕風(fēng)險評估的可行途徑1、基線評估〔BaselineRiskAssessment〕：〔1〕適用范圍：組織的商業(yè)運作不是很復(fù)雜，對信息處理和網(wǎng)絡(luò)的依賴性不是很高，或者組織信息系統(tǒng)多采用普遍且標(biāo)準(zhǔn)化的模式。〔2〕評估策略：根據(jù)組織實際的情況，對信息系統(tǒng)進(jìn)行基線檢查〔拿現(xiàn)有的平安措施與平安基線規(guī)定的措施進(jìn)行比較，找出差距〕，得出根本的平安需求。通過選擇并實施標(biāo)準(zhǔn)的平安措施來消減風(fēng)險和控制風(fēng)險。四、評估風(fēng)險〔3〕什么是平安基線：在諸多標(biāo)準(zhǔn)標(biāo)準(zhǔn)中規(guī)定的一組平安控制措施或者慣例，這些措施和慣例適用于特定環(huán)境下的所有系統(tǒng)，可以滿足根本的平安需求，使系統(tǒng)能到達(dá)一定的平安防護(hù)水平?！?〕可選擇標(biāo)準(zhǔn)：國際標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)，例如BS7799-1、ISO13335-4行業(yè)標(biāo)準(zhǔn)或推薦，例如德國聯(lián)邦平安局IT基線保護(hù)手冊來自其他有類似商務(wù)目標(biāo)和規(guī)模的組織的慣例。四、評估風(fēng)險〔5〕優(yōu)點：需要的資源少，周期短，操作簡單，對于環(huán)境相似且平安需求相當(dāng)?shù)闹T多組織，基線評估是最經(jīng)濟(jì)有效的風(fēng)險評估途徑?！?〕缺點：基線的上下水平難以設(shè)定，過高可能導(dǎo)致資源浪費限制過度；過低又會造成難以到達(dá)充分的平安。在管理平安相關(guān)的變化方面，基線評估比較困難。四、評估風(fēng)險2、詳細(xì)評估：〔1〕概念：對資產(chǎn)進(jìn)行詳細(xì)識別和評價，對可能引起風(fēng)險的威脅和弱點水平進(jìn)行評估，根據(jù)風(fēng)險評估的結(jié)果來識別和選擇平安措施。即識別資產(chǎn)的風(fēng)險并將風(fēng)險降到可接受的水平，以此證明管理者所采用的平安措施是恰當(dāng)?shù)??！?〕優(yōu)點：組織對信息平安風(fēng)險有一個精確的認(rèn)識，并且準(zhǔn)確定義出組織目前的平安水平和平安需求。詳細(xì)評估的結(jié)果可以用來管理平安變化。四、評估風(fēng)險〔3〕缺點：可能是非常消耗資源的過程，包括時間、精力和技術(shù)，因此，組織應(yīng)該仔細(xì)設(shè)定待評估的信息系統(tǒng)范圍，明確商務(wù)環(huán)境、操作和信息資產(chǎn)的邊界。四、評估風(fēng)險3、組合評估：〔1〕方式：采用基于基線評估與詳細(xì)評估兩者之間的評估方式?！?〕方法：組織應(yīng)先對所有系統(tǒng)進(jìn)行一次初步的高級風(fēng)險評估。著眼與信息系統(tǒng)的商務(wù)價值和可能面臨的風(fēng)險，識別出組織內(nèi)具有高風(fēng)險或?qū)ζ渖虅?wù)運作極為關(guān)鍵的信息資產(chǎn)〔或系統(tǒng)〕，這些資產(chǎn)或系統(tǒng)應(yīng)劃分在詳細(xì)風(fēng)險評估的范圍，而其他系統(tǒng)那么可以通過基線風(fēng)險評估直接選擇平安措施。四、評估風(fēng)險〔3〕優(yōu)點：節(jié)省詳細(xì)評估所消耗的資源，又能確保獲得一個全面系統(tǒng)的評估結(jié)果，而且組織的資源和資金能夠應(yīng)用到最能發(fā)揮作用的地方，具有高風(fēng)險的信息系統(tǒng)能夠被預(yù)先關(guān)注?！?〕缺點：如果初步的高級風(fēng)險評估不夠準(zhǔn)確，某些本來需要詳細(xì)評估的系統(tǒng)也許會被忽略，最終導(dǎo)致結(jié)果失準(zhǔn)。四、評估風(fēng)險〔三〕風(fēng)險評估的常用方法1、基于知識〔Knowledge-based〕的分析方法基于知識的分析方法，組織不需要付出很多精力、時間和資源，只要通過多種途徑采集相關(guān)的信息，識別組織的風(fēng)險所在和當(dāng)前的平安措施，與特定的標(biāo)準(zhǔn)或最正確慣例進(jìn)行比例，從中找出不符合的地方，并按照標(biāo)準(zhǔn)或最正確慣例的推薦平安措施，最終到達(dá)消減和控制風(fēng)險的目的。四、評估風(fēng)險基于知識的分析方法，最重要的還在于評估信息的采集，信息源包括：■會議討論■對當(dāng)前的信息平安策略和相關(guān)文檔進(jìn)行復(fù)查■制作問卷，進(jìn)行調(diào)查■對相關(guān)人員進(jìn)行訪談■進(jìn)行實地考察四、評估風(fēng)險2、基于模型〔Model-based〕的分析方法2001年1月，由希臘、德國、英國、挪威等國的多家商業(yè)公司和研究機(jī)構(gòu)共同組織開發(fā)CORAS工程。CORAS沿用了識別風(fēng)險、分析風(fēng)險、評價并處理風(fēng)險這樣的過程，但其試題風(fēng)險的方法那么完全不同，所有的分析過程都是基于面向?qū)ο蟮哪Ｐ蛠磉M(jìn)行的。優(yōu)點：提高對平安相關(guān)我描述的精確性，改善了分析結(jié)果的質(zhì)量；圖形化的建模機(jī)制便于溝通，減少了理解上的偏差；加了不同評估方法互操作的效率。四、評估風(fēng)險3、定量〔Quantitative〕分析對構(gòu)成風(fēng)險的各個要素和潛在損失的水平賦予數(shù)值或貨幣金額，當(dāng)試題風(fēng)險的所有要素〔資產(chǎn)價值、威脅頻率、弱點利用程度、平安措施的效率和本錢等〕都被值，風(fēng)險評估的整個過程和結(jié)果都可以被量化。四、評估風(fēng)險定量分析的幾個概念1、暴露因子〔ExposureFactor,EF〕:特定威脅對特定資產(chǎn)靠損失的百分比，或者說損失的程度。2、單一損失期望〔singleLossExpectancy,SLE〕:也稱作SOC〔SingleOccurrenceCosts〕,即特定威脅可能造成的潛在損失總量。3、年度損失期望〔AnnualizedLossExpectancy,ALE〕：或者稱作EAC〔EstimatedAnnualCost〕，表示特定資產(chǎn)在一年內(nèi)遭受損失的預(yù)期值。四、評估風(fēng)險幾個概念的關(guān)系〔1〕首先，識別資產(chǎn)并為資產(chǎn)賦值〔2〕通過威脅和弱點評估，評價特定威脅作用于特定資產(chǎn)所造成的影響，即EF〔取值在0%~100%之間〕〔3〕計算特定威脅發(fā)生的頻率，即ARO〔4〕計算資產(chǎn)的SLE：〔5〕計算資產(chǎn)的ALE：四、評估風(fēng)險4、定性〔Qualitative〕分析定性分析方法是目前采用最為廣泛的一種方法，它帶有很強(qiáng)的主觀性，往往憑借分析者的經(jīng)驗和直覺，或者業(yè)界的標(biāo)準(zhǔn)和慣例，為風(fēng)險管理諸要素〔資產(chǎn)價值，威脅的可能性，弱點被利用的容易度，現(xiàn)有控制措施的效力等〕的大小或上下程度定性分級。四、評估風(fēng)險〔四〕風(fēng)險評估工具1、調(diào)查問卷2、檢查列表3、人員訪談4、漏洞掃描器5、滲透測試四、評估風(fēng)險〔五〕風(fēng)險評估的根本過程風(fēng)險評估是組織確定信息平安需求的過程，包括資產(chǎn)識別與評價、威脅和弱點評估、控制措施評估、風(fēng)險認(rèn)定在內(nèi)的一系列活動。四、評估風(fēng)險〔五〕風(fēng)險評估的根本過程四、評估風(fēng)險1、方案和準(zhǔn)備〔1〕目標(biāo)：開展風(fēng)險評估活動的目有，期望得到的輸出結(jié)果，關(guān)鍵的約束條件〔時間、本錢、技術(shù)、策略、資源等〕〔2〕范圍和邊界：既寂的風(fēng)險評估可能只針對組織全部資產(chǎn)〔包括其弱點、威脅事件和威脅源等〕的一個子集，評估范圍必須首先明確。此外，必須定義風(fēng)險評估的物理邊界和邏輯邊界。邏輯分析邊界定義了分析所需的廣度和深度，而物理系統(tǒng)邊界那么定義了一個系統(tǒng)起于哪里止于何處。四、評估風(fēng)險〔3〕系統(tǒng)描述：進(jìn)行風(fēng)險評估的一個先決條件就是對受評估系統(tǒng)的需求、操作概念和系統(tǒng)資產(chǎn)特性有一個清晰的認(rèn)識，必須識別評估邊界內(nèi)所有的系統(tǒng)?！?〕角色和責(zé)任：組織應(yīng)該成產(chǎn)一個專門的風(fēng)險評估小組?！?〕風(fēng)險評估行動方案：確定風(fēng)險評估的途徑和方法，方案評估步驟。〔6〕風(fēng)險接受標(biāo)準(zhǔn)：事先明確組織能夠接受的風(fēng)險的水平或者等級四、評估風(fēng)險〔7〕風(fēng)險評估適用表格：為風(fēng)險評估過程擬訂標(biāo)準(zhǔn)化的表格、模板、問卷等材料。風(fēng)險評估方案應(yīng)該包括以下內(nèi)容：〔1〕目標(biāo)：開展風(fēng)險評估活動的目的，期望得到的輸出結(jié)果，關(guān)鍵的約束條件〔時間、本錢、技術(shù)、策略、資源等〕〔2〕范圍和邊界：〔3〕系統(tǒng)描述：〔4〕角色和責(zé)任：〔5〕風(fēng)險評估行動方案：〔6〕風(fēng)險接受標(biāo)準(zhǔn)〔7〕風(fēng)險評估適用表格：四、評估風(fēng)險信息采集途徑：〔1〕專家經(jīng)驗〔2〕集體討論或小組討論〔3〕人員訪談〔4〕調(diào)查問卷〔5〕文件審核〔包括政策法規(guī)、平安策略、設(shè)計文檔、操作指南、審計記錄等〕〔6〕以前的審計和評估結(jié)果〔7〕對外部案例和場景的分析〔8〕現(xiàn)場戡查四、評估風(fēng)險2、識別并評價資產(chǎn)資產(chǎn)識別考慮的問題〔1〕數(shù)據(jù)與文檔：數(shù)據(jù)庫和數(shù)據(jù)文件、系統(tǒng)文件、用戶手冊、培訓(xùn)資料、運作和支持程序、應(yīng)急方案等?！?〕書面文件：合同、策略方針、企業(yè)文件、保持重要商業(yè)結(jié)果的文件?！?〕軟件資產(chǎn)：應(yīng)用軟件、系統(tǒng)軟件、企業(yè)文件、保持重要商業(yè)結(jié)果的文件?！?〕實物資產(chǎn)：計算機(jī)和通信設(shè)備，磁介質(zhì)〔磁帶和磁盤〕，其他的技術(shù)型設(shè)備〔電源、空調(diào)〕，家具，場所。四、評估風(fēng)險〔5〕人員：承但特定職能責(zé)任的人員?！?〕效勞：計算和通信效勞，其他技術(shù)型效勞〔供熱、照明、動力等〕?！?〕組織形象與聲譽(yù)：這是一種無形資產(chǎn)列入評估清單的信息資產(chǎn)，一定要是在評估范圍內(nèi)且與商務(wù)過程相關(guān)的資產(chǎn)，否那么，一方面清單過于龐大不便分析，另一方面，分析結(jié)果也會失去準(zhǔn)確性和本應(yīng)有的意義。四、評估風(fēng)險按照定量分析的思想，應(yīng)該確定資產(chǎn)的貨幣價值，在定義相對價值時，需要考慮。〔1〕信息資產(chǎn)因為受損而對商務(wù)造成的直接損失?！?〕信息資產(chǎn)恢復(fù)到正常狀態(tài)所付出的代價，包括檢測、控制、修復(fù)時的人力和物力?！?〕信息資產(chǎn)受損對其他部門的業(yè)務(wù)造成的損失?！?〕組織在公眾形象和名譽(yù)上的損失?！?〕因為商務(wù)受損導(dǎo)致優(yōu)勢降級而引發(fā)的間接損失?！?〕其他損失，例如保險費用的增加。四、評估風(fēng)險3、識別并評估威脅〔1〕人員威脅：包括成心破壞〔網(wǎng)絡(luò)攻擊、惡意代碼傳播、郵件炸彈、非授權(quán)訪問等〕和無意失誤〔比方誤操作、維護(hù)錯誤〕〔2〕系統(tǒng)威脅：系統(tǒng)、網(wǎng)絡(luò)或效勞的故障〔軟件故障、硬件故障、介質(zhì)老化〕〔3〕環(huán)境威脅：電源故障、污染、液體泄漏、火災(zāi)等。〔4〕自然威脅：洪水、地震、臺風(fēng)、滑坡、雷電四、評估風(fēng)險4、識別并評估弱點〔1〕技術(shù)性弱點：系統(tǒng)、程序設(shè)備中存在的漏洞或缺陷，比方結(jié)構(gòu)設(shè)計問題和編程漏洞；〔2〕操作性弱點：軟件和系統(tǒng)在配置、操作、使用中的缺陷。包括人員日常工作中的不良習(xí)慣，審計或備份的缺乏。〔3〕管理性弱點：策略、程序、規(guī)章制度、人員意識、組織結(jié)構(gòu)等方面的缺乏。四、評估風(fēng)險5、識別并評估現(xiàn)有的平安措施目標(biāo)和針對性〔1〕管理性：對系統(tǒng)的開發(fā)、維護(hù)和使用實施管理的措施，包括平安策略、程序管理、風(fēng)險管理、平安保障、系統(tǒng)生命周期〔2〕操作性：用來保護(hù)系統(tǒng)和應(yīng)用操作的流程和機(jī)制，包括人員職責(zé)、應(yīng)急響應(yīng)、事件處理、意識培訓(xùn)、系統(tǒng)支持和操作、物理和環(huán)境平安等。〔3〕技術(shù)性：身份識別與認(rèn)證、邏輯訪問控制、日志審計、加密等。四、評估風(fēng)險從控制功能分類：〔1〕威懾性：可以降低蓄意攻擊的可能性，實際上針對的是威脅源的動機(jī)?！?〕預(yù)防性：保護(hù)弱點，使攻擊難以成功，或者降低攻擊造成的影響。〔3〕檢測性：可以檢測并及時發(fā)現(xiàn)攻擊活動，還可以激活糾正性或預(yù)防性控制〔4〕糾正性：可以使攻擊造成的影響減到最小四、評估風(fēng)險平安措施〔控制〕應(yīng)對風(fēng)險各要素的情況四、評估風(fēng)險6、評估風(fēng)險威脅的可能性：四、評估風(fēng)險風(fēng)險等級四、評估風(fēng)險風(fēng)險分析矩陣四、評估風(fēng)險7、推薦控制措施風(fēng)險評估結(jié)束后，應(yīng)該提供詳細(xì)的評估報告，內(nèi)容包括：〔1〕概述，包括評估目的、方法、過程等〔2〕評估結(jié)果，包括資產(chǎn)、威脅、弱點和現(xiàn)有控制措施的評估等級，以及最終的風(fēng)險評價等級?！?〕推薦平安控制措施，提出建議性的解決方案五、風(fēng)險消減〔一〕確定風(fēng)險消減策略1、降低風(fēng)險〔ReduceRisk〕減少威脅減少弱點降低影響2、躲避風(fēng)險〔AvoidRisk〕3、轉(zhuǎn)嫁風(fēng)險〔TransferRisk〕4、接受風(fēng)險〔AcceptRisk〕五、風(fēng)險消減五、風(fēng)險消減〔二〕選擇平安措施1、約束條件〔1〕經(jīng)濟(jì)約束〔2〕時間約束〔3〕技術(shù)約束〔4〕社會約束〔5〕環(huán)境約束〔6〕法律約束五、風(fēng)險消減2、平安措施選擇列表五、風(fēng)險消減〔三〕制定平安方案1、包含內(nèi)容：平安目標(biāo)風(fēng)險管理戰(zhàn)略和風(fēng)險評估途徑已識別的風(fēng)險和風(fēng)險等級〔包括對威脅和弱點的表達(dá)〕推薦的平安措施〔包括現(xiàn)有的措施〕風(fēng)險消減策略和殘留風(fēng)險的接受標(biāo)準(zhǔn)選定的平安措施，確定措施的優(yōu)先級預(yù)期實施本錢〔包括人力、所需資源等〕列舉責(zé)任人員確定時間期限〔按優(yōu)先級可分為短期、中期、長期〕和里程碑報告程序的定義跟進(jìn)活動，例如相關(guān)的培訓(xùn)、維護(hù)建議等。對可能困難的考慮五、風(fēng)險消減2、平安措施選擇列表五、風(fēng)險消減〔四〕實施平安方案〔五〕檢查和測試六、風(fēng)險控制〔一〕維護(hù)〔Maintenance〕1、檢查日志文件2、修改調(diào)整必要的參數(shù)，以反響變化需求3、更新版本4、安裝補(bǔ)丁六、風(fēng)險控制〔二〕監(jiān)視〔Monitoring〕1、監(jiān)視資產(chǎn)引起資產(chǎn)變化的原因：組織商務(wù)目標(biāo)的變動系統(tǒng)中運行的應(yīng)用程序的變化受處理的信息變化設(shè)備的變化2、監(jiān)視威脅3、監(jiān)視弱點4、監(jiān)視平安措施六、風(fēng)險控制〔三〕事件響應(yīng)〔IncidentResponse〕也稱作應(yīng)急響應(yīng)，就是對計算機(jī)系統(tǒng)中出現(xiàn)的突發(fā)事件作出響應(yīng)。所謂突發(fā)事件，就是突然干擾或打斷系統(tǒng)的正常運行，使其陷入某種級別危機(jī)的事件，比方黑客入