网络安全培训-风险相关概念.docx

《网络安全培训-风险相关概念.docx》由会员分享，可在线阅读，更多相关《网络安全培训-风险相关概念.docx（26页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、网络安全风险评估风险相关基础概念2011年01月脆弱性;喽睡图修犒鬻猫产或若干资产的薄弱环节。脆弱性本身并不对资产构成危害，但是在一定条件得到满足时， 畀寓彳里攀湖恰当的威胁方式对信息资产造成危害 系统程序代码缺陷,系统设备安全配置错误系统操作流程有缺陷维护人员安全意识不足可能性:某件事发生的机会:整%源利用脆弱性造成不良后果的机会脆弱性只有国家级测试人员采用专业工具才能利用，发生不良后果的机会很 小 系统存在漏洞，但只在与互联网物理隔离的局域网运行，发生不良后果的机 会较小互联网公开漏洞且有相应的测试工具，发生不良后果的机会很大影响:爨R源利用脆弱性造成不良后果的程度大小网站被黑客控制，国家

2、级网站比省市网站的名誉损失大很多。银行门户网站和内部核心系统受到攻击，其核心系统的损失更大。同样型号路由器被攻破，用于互联网骨干路由要比企业内部系统的路由器损失 更大。风险威胁源采用某种威胁方式利用脆弱性造成不良后果的可能性网站存在SQL注入漏洞,普通攻击者利用自动化攻击工具很容易控制网站，修改网站内容，从而损害国家政府部门声誉值星富备&障展指一种特定的威胁利用一种或一 组脆弱性造成组织的信息相关资产损失或损害的可能性信息建全风险是指信息资产的保密性完整性和可 用性道至破球的可能性信息安全风险只考虑那些对组织有负面影响的事件风险的五方面威胁源、威胁行为、脆弱性、资产、影响安全措施/控制措施黑鲁

3、雇的靴事覆岌减少脆弱性，降低打击信息犯罪而实施的各种实践、规程和机制，它是管理风险的具体手段和方法;退调军全需求部署，用来防范威胁，降低风险的措施举例部署防火墙、入侵检测、审计系统测试环节操作审批环节应急体系终端U盘管理制度风险术语之间的关系直接影响造成信息安全风险评估。是依据有关信息安全技术与管理标准，对信息系统及由其 处理、传输禾口存储的信息的保密性 完整性和可用性等安全属性进行评价的过程它要评估资产面临的威胁以及威胁利 用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响风险处理、风险管理风险处理是选择并且执行措施来更改风险的过程风险管理是识

4、别、控制、消除或最小化可能影响系统资源不确定因 素的过程风险评估VS风险管理风险管理风险评估目标 将风险降低到可接受水平确定面临的风险并确定其优先级周期包括风险评估、风险决策、风险控制风险管理中的单个阶段j等所有阶段I计划 持续(PDCA)按需要风险.信息安全风险的概念理解风险的概念，理解资产、威胁、脆弱性、业务战略、安全事件、安全需求、安全 措施等风险相关概念理解风险准则、风险评估、风险处理、风险管理、残余风险的概念，掌握信息安全风 险评估的概念理解风险相关要素之间的关系残余风险采取了安全措施后，信息系统仍然可能存在的风险有些残余风险是在综合考虑了安全成本与效 益后不去控制的风险残余风险应受

5、到密切监 视，它可能会在将来诱发新的安全事件*举例风险列表中有10项风险，根据风险成本效益分析，只有前8项需要控 制，则前8项处理后剩余的风险加上另2项风险为残余风险，一段时间 内系统处于风险可接受水平依赖风险，指事态的概率及其结果的组合（GB/Z 24364-2009信息安全 风险管理指南）信息安全风险，指人为或自然的威胁利用信息系统及其管理体系 中存在的脆弱性导致安全事件的发生及其对组织造成的影响（GB/T 20984-2007信息安全风险评估规范）信息安全风险会破坏组织信息资产的保密性、完整性或可用性等 属性风险相关基础概念信息安全，就是保证信息的机密性、完整性和可用性,机密性：确保信息

6、不被非授权的个人、组织和计算机程序使用完整性：确保信息没有被篡改和破坏可用性：确保拥有授权的用户或程序可以及时、正常使用信息。下/。糯5完整性可用性(Integrhy)(Availability)CIA三元组是信息安全的目标,也是基本原则，与之相反的是DAD三元组:l Iteration破坏Destruction风险的构成风险的构成包括五个方面：起源（威胁源）、方式（威胁行为）、途径 （脆弱性）、受体（资产）和后果（影响）风险相关术语 资产(Asset) 威胁(Threat) 脆弱性(Vunerability) 可能性(Likelihood, Probability) 安全措施/控制措施( C

7、ountermeasure, safeguard, control)业务战略 安全事件 安全需求 风险准则 风险评估 风险处理 风险管理 残余风险(Residental Risk) 信息安全风险评估资产:资建任何对组织一资产以多种形式存鬟户的对象物理的（如计算设备、网络设备和存储介质等）和逻辑的（如体系结构、通信协议、计算程序和数据文 件等）硬件的（如计算机主板、机箱、显示器、键盘和鼠标等）和软件的（如操作系统软件、数据库管理软件、 工具软件和应用软件等）有形的（如机房、设备和人员等）和无形的（如品牌、信心和名誉等）静态的（如设施和规程等）和动态的（如人员和过程等）技术的（如计算机硬件、软件和固件等）和管理的（如业务目标、战略、策略、规程、过程、计划和人员 等）等威胁拒绝服务窃取数据物理破坏社会工程 :可能导致对系统或组织危害的不希望事故潜在起因 :引起风险的外因 威胁源采取恰当的威胁方式才可能引发风险威胁举例操作失误漏洞利用 滥用授权 行为抵赖 身份假冒 口令攻击 密钥分析