信息安全风险评估丨.docVIP

信息安全风险评估 李伟伟 2017/4/25 信息安全风险评估 范围 1·基本概念 信息安全风险评估实践为基础，围绕评估工作中各阶段的实际操作，分基本知识、技术与方法、产品与工具、案例四个部分 2·要素关系 信息安全风险评估的基本要素包括资产、威胁、脆弱性、风险等 3·分析原理 4·实施流程 5·评估方法 6·不同周期的实施要点 7·工作形式 索引文件（国家衡量标准） 1·GB/T 9631计算机场地安全要求 2·GB/T 17859-1999 计算机信息系统安全保护等级规划准则 3·GB/T 18336-2001 信息技术 安全技术 信息技术安全性评估准则 4·GB/T 19716-2005 信息技术 信息安全管理使用规则 风险评估框架及流程 1·风险要素关系 2·风险分析原理 3·实施流程图 风险评估实施 1·风险评估准备 1·准备过程 ·目标 ·范围 ·组建团队 ·系统调研 ·确认依据 ·制定方案 2·资产识别 1·人员 ·主机维护主管、网络维护主管、应用项目经理 2·服务 ·信息服务：对外依赖该系统开展的各类服务 ·网络服务：各类网络设备、设施提供的网络连接服务 ·办公服务：管理信息系统、包括内部的配置管理、文件流转管理等服务 3·其他 ·企业形象、客户关系等 4·数据 ·保存在媒介上的各类数据资料、包括源代码、数据库数据、系统文档、运行管理规程、计划、报告、用户手册、各类纸质的文档等 5·软件 ·系统软件：操作系统、数据库管理系统、语句包、开发系统等 ·应用软件：办公软件、数据库软件、各类工具软件等 ·源 程 序：何种共享源代码、自行或合作开发的各种代码等 6·硬件 ·网络设备：路由器、网关、交换机、防火墙等 ·计算机设备：大型机、小型机、服务器、工作站、台式机、便携计算机等 ·存储设备：磁带机、磁盘阵列、磁带、CD、U盘、移动硬盘等 ·传输线路：光钎、网线、双绞线等 ·保障设备：UPS、配电柜、空调、门禁、防静电、消防等 ·安全保障设备：防火墙、入侵检测系统、身份鉴别等 ·其他：打印机、复印机、扫描仪、传真机等 3·威胁识别 1·威胁类别 2·威胁赋值 4·脆弱性识别 1·技术脆弱 ·物理环境：断电、静电、灰尘、潮湿、温度、鼠疫虫害、电磁干扰、洪灾、火灾、地震、意外事故等环境危害或自然灾害 ·网络结构：例如一些网关、路由器、交换机、防火墙、服务器这一类设备调试的是否合理 ·系统软件：操作软件、数据库管理系统、语句软件以及开发软件等 ·应用中间件：大多是指传输介质，例如网线、光钎、VGA线、电源线等连接两台设备之间的传输介质 ·应用系统：服务器系统、闭路电视系统、监控系统、开发系统以及供应商提供的第三方软件等 2·管理脆弱 ·技术管理：从物理和环境安全，通信与操作管理，访问控制，系统开发与维护，业务连续性等方面进行识别 ·应用管理：从安全策略，组织安全，资产分类与控制，人员安全，符合性等方面进行识别 3·脆弱赋值 ·很低：如果被威胁利用，对资产造成的伤害可以忽略不计 · 低 ：如果被威胁利用，对资产造成较小的损害 ·中等：如果被威胁利用，对资产造成一般损害 · 高 ：如果被威胁利用，对资产造成较大损害 ·很高：如果被威胁利用，对资产造成完全损害 5·已有安全措施确认 6·风险分析 7·风险评估文档记录 信息系统生命周期各阶段的风险评估 1·规划阶段的风险评估 ·在预定范围和目标前做出的风险评估 2·设计阶段的风险评估 ·工作规划每一个阶段做出的风险评估 3·实施阶段的风险评估 ·物理工作实施每一个阶段做出的风险评估 4·运维阶段的风险评估 ·虚拟工作实施的每一个阶段做出的风险评估 5·废弃阶段的风险评估 ·不可利用的设备、人员、软件以及硬件做出风险评估 风险评估工具 1·风险评估工具 2·系统和基础平台风险评估 3·风险评估辅助工具 风险评估结算方法 1·矩阵法计算风险评估 2·相乘法计算风险评估 风险评估的工作方式 1·自评估 ·由甲方或者甲方所在公司参与信息安全风险评估项调查之为自评估 2·检查评估 ·有第三方人员或者第三方