计算机网络安全风险管理教程分析.pptVIP

计算机网络安全风险管理 樊山 二零零五年十一月 一、概述 风险就是不利事件发生的可能性。风险管理是评估风险、采取步骤将风险消减到可接受的水平并且维持这一风险级别的过程。也许大家没有意识到，其实大家每天都在进行风险管理。像系安全带、预报有雨时带伞或将事情记录下来以免遗忘，这些日常活动都可以归入风险管理的范畴。人们会意识到针对其利益的各种威胁，并采取预防措施进行防范或将其影响减到最小。 风险管理是安全性的一个重要方面，但风险管理不只是包含恐惧、不确定性和怀疑（FUD）。在评判一个安全计划时，应重点考虑直接在资产负债表上导致美元收入的安全收益，它是相对于风险管理的重要对应物。 一、概述 本课程为各种类型的客户计划、建立和维护一个成功的安全风险管理计划。说明如何在四阶段流程中实施风险管理计划中的各个阶段，以及如何建立一个持续的过程以评定安全风险并将其降低到可接受水平。 二、安全风险管理介绍 （一）风险管理的核心作用 所谓风险管理就是识别风险、选择对策、实施对策以消减风险.最终保证信息资产的必威体育官网网址性、完整性、可用性能够满足目标要求的这样一个过程。 简单的说风险管理就是识别风险、评估风险，采取措施将风险减到可接受水平，并维持这个风险水平的过程。 二、安全风险管理介绍 二、安全风险管理介绍 二、安全风险管理介绍 二、安全风险管理介绍 二、安全风险管理介绍 二、安全风险管理介绍 二、安全风险管理介绍 二、安全风险管理介绍 二、安全风险管理介绍 二、安全风险管理介绍 二、安全风险管理介绍 二、安全风险管理介绍 二、安全风险管理介绍 二、安全风险管理介绍 二、安全风险管理介绍 二、安全风险管理介绍 二、安全风险管理介绍 （二）风险管理的基本概念 资产（Asset）—— 任何对组织具有价值的东西，包括计算机硬件、通信设施、建筑物、数据库、文档信息、软件、信息服务和人员等，所有这些资产都需要妥善保护。对资产的评估要从价值、重要性或敏感度等方面来考虑。 威胁（Threat）—— 就是可能对资产或组织造成损害的意外事件的潜在原因，即某种威胁源（threat source）或威胁代理（threat agent）成功利用特定弱点对资产造成负面影响的潜在可能。威胁类型包括人为威胁（故意和无意）和非人为威胁（自然和环境）。识别并评估威胁时需要考虑威胁源的动机和能力。风险管理关心的是威胁发生的可能性。 二、安全风险管理介绍 弱点（Vulnerability）—— 也被称作漏洞或脆弱性，即资产或资产组中存在的可被威胁利用的缺点，弱点一旦被利用，就可能对资产造成损害。弱点本身并不能构成伤害，它只是威胁利用来实施影响的一个条件。风险管理过程中要识别弱点，并评估弱点的严重性和可被利用的容易程度。 风险（Risk）—— 特定威胁利用资产的弱点给资产或资产组带来损害的潜在可能性.单个或者多个威胁可以利用单个或者多个弱点。风险是威胁事件发生的可能性与影响综合作用的结果。 可能性（Likelihood）—— 对威胁事件发生的几率（Probability）或频率（Frequency）的定性描述。 二、安全风险管理介绍 影响（Impact）—— 或者是后果（Consequence），意外事件发生给组织带来的直接或间接的损失或伤害。 安全措施（Safeguard）—— 也称作控制措施（control）或对策（countermeasure），即通过防范威胁、减少弱点、限制意外事件带来影响等途径来消减风险的机制、方法和措施。 残留风险（Residual Risk）—— 在实施安全措施之后仍然存在的风险。 二、安全风险管理介绍 三、风险管理的前期准备 （一）确定信息安全目标和战略 安全目标决定了组织能够接受的风险水平和所满足的安全程度。 三、风险管理的前期准备 三、风险管理的前期准备 （二）建立信息安全策略（Information Security Policy） 四、评估风险 （一）风险评估的概念 1、概念 风险评估是对信息资产面临的威胁、存在的弱点、造成的影响，以及三者综合作用而带来风险的可能性的评估。 2、作用 风险评估（Risk Assessment）是组织确定信息安全需求的一个重要途径，属于组织安全管理策划的过程。 四、评估风险 四、评估风险 3、风险评估的几个对应关系 （1）每项资产可能面临多种威胁 （2）威胁源（威胁代理）可能不止一个 （3）每种威胁可能利用一个或多个弱点 四、评估风险 （二）风险评估的可行途径 1、基线评估（Baseline Risk Assessment）： （1）适用范围：组织的商业运作不是很复杂，对信息处理和