风险评估培训教材.pptVIP

风险评估—弱点分析 针对每一项需要保护的资产，找到可被威胁利用的弱点，包括： 技术性弱点：系统、程序、设备中存在的漏洞或缺陷。 操作性弱点：配置、操作和使用中的缺陷，包括人员的不良习惯、审计或备份中的漏洞。 管理性弱点：策略、程序、规章制度、人员意识、卡中心结构等方面的不足。 弱点的识别途径： 审计报告、事件报告、安全检查报告、系统测试和评估报告 专业机构发布的漏洞信息 自动化的漏洞扫描工具和渗透测试 对弱点的评估需要结合威胁因素，主要考虑其严重程度（Severity）或暴露程度（Exposure，即被利用的容易度）。 如果资产没有弱点或者弱点很轻微，威胁源无论能力或动机如何，都很难对资产造成损害。 人最常犯的一些错误 将口令写在便签上，贴在电脑监视器旁 开着电脑离开，就像离开家却忘记关灯那样 轻易相信来自陌生人的邮件，好奇打开邮件附件 使用容易猜测的口令，或者根本不设口令 丢失笔记本电脑 不能保守秘密，口无遮拦，泄漏敏感信息 事不关己，高高挂起，不报告安全事件 在系统更新和安装补丁上总是行动迟缓 只关注外来的威胁，忽视企业内部人员的问题 信息资产弱点严重性赋值 等级 技术难度 攻击角度 管理控制 防范控制 脆弱性受威胁利用的难易程度 1(可忽略) 技术方面存在着低等级缺陷，从技术角度很难被利用 对于攻击者来说，该漏洞目前还不能够被直接或者间接利用，或者利用的难度极高 卡中心管理中没有相关的薄弱环节，很难被利用 有规定，严格审核、记录、校验 很难被威胁利用 2(低) 技术方面存在着低等级缺陷，从技术角度很难被利用 对于攻击者来说，该漏洞无法被直接利用(需要其他条件配合)或者利用的难度较高 卡中心管理中没有相应的薄弱环节，难以被利用 有规定，职责明确，有专人负责检查执行落实情况，有记录 难以被威胁利用 3(中) 技术方面存在着一般缺陷，从技术角度可以被利用一般缺陷，从技术角度可以被利用 可以配合其他条件被攻击者加以直接利用，或者该漏洞的利用有一定的难度 卡中心管理中没有明显的薄弱环节，可以被利用 有规定，定期检查落实，有记录 可以被威胁利用 4(高) 技术方面存在着严重的缺陷，比较容易被利用 一个特定漏洞，可以配合其他条件被攻击者加以直接利用，或者该漏洞的利用有一定的难度 卡中心管理中存在着薄弱环节，比较容易被利用 有规定．执行，完全靠人自觉 比较容易被威胁利用 5(很高) 技术方面存在着非常严重的缺陷，很容易被利用 在没有任何保护措施的情况下，暴露于低安全级别网络上 卡中心管理中存在着明显的薄弱环节，并且很容易被利用 无人负责，无人过问 很容易被威胁利用 风险评估概述 风险评估过程 风险评估—资产识别 风险评估—资产赋值 风险评估—威胁分析 风险评估—弱点分析 风险评估—风险评价 风险处理 目录 风险评估—风险评价 最终通过风险评估矩阵或者直接的简单运算得出风险水平。 风险等级 计算赋值 标识 描述 评价 5 100-125 很高 如果发生将使系统遭受重大破坏，卡中心利益受到极大损失 绝对不可接受风险 4 60-80 高 如果发生将使系统遭受严重破坏，卡中心利益受到严重损失 不可接受风险 3 36-48 中 发生后将使系统受到较重的破坏，卡中心利益受到损失 一般不可接受风险 2 16-32 低 发生后将使系统受到的破坏程度和利益损失一般 有条件可接受风险（需要关注） 1 1-15 可忽略 即使发生只会使资产受到很小的破坏 可接受风险 风险评估—风险等级标准 风险处置 识别现有的控制措施 从针对性和实施方式来看，控制措施包括三类： 管理性（Administrative）：对系统的开发、维护和使用实施管理的措施，包括安全策略、程序管理、风险管理、安全保障、系统生命周期管理等。 操作性（Operational）：用来保护系统和应用操作的流程和机制，包括人员职责、应急响应、事件处理、意识培训、系统支持和操作、物理和环境安全等。 技术性（Technical）：身份识别与认证、逻辑访问控制、日志审计、加密等。 从功能来看，控制措施类型包括： 威慑性（Deterrent） 预防性（Preventive） 检测性（Detective） 纠正性（Corrective） 对于现有的控制措施， 可以取消、替换或保持。 威胁 弱点 威胁事件 防止 威慑性控制 影响 利用 引发 造成 保护 发现 减小 预防性控制 检测性控制 纠正性控制 确定风险消减策略 降低风险（Reduce Risk）—— 实施有效控制，将风险降低到可接受的程度，实际上就是力图减小威胁发生的可能性和带来的影响，包括： 减少威胁：例如，建立