【网络安全设计课件】分析安全风险.pptVIP

网络安全设计 第1章 安全设计简介 第2章 创建网络安全计划 第3章 确定网络安全威胁 第4章 分析安全风险 第5章 创建物理资源安全 设计 第6章 创建计算机安全设计 第7章 创建账户安全设计 第8章 创建身份验证安全 设计 第4章 分析安全风险 风险管理简介 创建风险管理计划 风险管理简介 风险管理要素 风险管理的重要性 需要保护的常见资产 资产分类 计算资产的价值 课堂练习：资产分类 风险管理要素 定性分析估算资产价值 举例：网站的重要性=高 风险管理的重要性 需要保护的常见资产 资产分类 计算资产的价值 课堂练习 资产分类 第4章 分析安全风险 风险管理简介 创建风险管理计划 创建风险管理计划 MOF 风险管理流程简介 确定资产风险 分析资产风险 为风险管理作计划 跟踪风险管理计划的变更 风险管理控制 创建风险管理计划的指导原则 课堂练习：分析风险管理计划 MOF 风险管理流程简介 确定资产风险 分析资产风险 为风险管理作计划 跟踪风险管理计划的变更 风险管理控制 创建风险管理计划的指导原则 课堂练习 分析风险管理计划 实验 A 分析安全风险 回顾 学习完本章后，将能够： 掌握风险管理的目标和运作过程 拟定风险管理计划要素 第9章 创建数据安全设计 第10章 创建数据传输安全设计 第11章 创建网络周边安全设计 第12章 设计安全事件应对措施 附录A 可接受使用策略的设计 附录B 网络管理策略的设计 附录C 安全管理的运营框架 设计 附录D CHAP、MS-CHAP 和 MS- CHAP v2 中的身份验证 4.1 风险管理简介 定量分析使用真实的财务数据 举例：网站收入= $700,000/月 风险管理计划 风险管理是确定、分析并管理风险的流程 4.1.1 风险管理要素 风险管理使你能够： 指定安全风险优先级 确定适度的安全性 验证成本的合理性 文档化所有的潜在安全事件 创建衡量标准 4.1.2 风险管理的重要性 安全策略和过程 网络示意图和构建计划 文件 举例 类型 软件安装光盘 操作系统映像 客户软件代码 软件 台式计算机和便携式计算机 路由器和交换机 备份介质 硬件 商业机密 员工信息 客户信息 数据 4.1.3 需要保护的常见资产 绝密 机密 私人 公共 网站 客户信息 商业机密 内部网 知识产权 严密保管的业务计划 收入 内部操作 私人信息 合作伙伴 信任 销售 受到威胁的对象 工资信息 客户信息 机密 公共网站 新闻发布 公共 内部网站 与合作伙伴之间的电子邮件 私人 举例 类型 商业机密 正在开发的产品 绝密 4.1.4 资产分类 确定资产对企业的总价值 计算资产损失的直接财务影响 计算资产损失的间接业务影响 为了确定资产的价值，你需要： 每年6小时 =.000685% 暴露系数 电子商务网站 资产 每年$17,520,000 资产价值 价值 x暴露系数 = $12,000 直接影响 广告+客户流失= $27,520 间接影响 举例 4.1.5 计算资产的价值 匹配 阅读资产列表 把各项资产分为公共、私人、机密、绝密等类别 全班一起讨论答案 1 2 3 4.1.6 课堂练习 资产分类 4.2 创建风险管理计划 跟踪 计划 分析 控制 确定 1 2 3 5 4 风险声明 4.2.1 MOF 风险管理流程简介 对威胁源和潜在故障模式进行分类 创建风险声明 ……导致收入减少、信任度降低和负面公众影响 财务和业务影响 举例 风险声明的组成部分 ……重建网络服务器需要6个小时，在这段时间里，客户不能进行网上购物…… 操作结果 如果一个蠕虫病毒感染了我们的电子商务网站…… 条件 确定 对各项风险： 风险声明 1 4.2.2 确定资产风险 损失总额： $39,520 x 2 = $79,040 此风险每年可造成的财务损失总额 3. 年度损失预期 财务影响： $12,000 + 业务影响： $27,520 = $39,520 单个风险事件的损失总额 1. 单一损失预期 一年两次 估计此风险每年发生的次数 2. 年度发生率 举例 定义 确定 估计每年某风险发生的成本 基于此结果创建风险管理策略 分析 2 4.2.3 分析资产风险 创建风险管理策略 创建应急计划和触发器 让外部经销商管理网站 将一部分风险责任转移给另一方 转移 将网站从 Internet 上移走 消除风险源，或使资产不再暴露 规避 不主动采取任何行动 承认风险存在 接受 使用防病毒软件 预先改变资产对风险的