計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)第9章計(jì)算機(jī)系統(tǒng)安全風(fēng)險(xiǎn)評估

1、第9章 計(jì)算機(jī)系統(tǒng)安全風(fēng)險(xiǎn)評估,,2024/3/29,計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）,1,本章主要內(nèi)容,安全風(fēng)險(xiǎn)評估概述安全風(fēng)險(xiǎn)評估的實(shí)施 信息系統(tǒng)安全風(fēng)險(xiǎn)評估實(shí)例,計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）,2,9.1安全風(fēng)險(xiǎn)評估概述9.1.1 安全風(fēng)險(xiǎn)評估途徑,1．基線評估(Baseline Risk Assessment)采用基線風(fēng)險(xiǎn)評估，組織根據(jù)自己的實(shí)際情況(所在行業(yè)、業(yè)務(wù)環(huán)境與性質(zhì)等)，對信息系統(tǒng)進(jìn)行安全基線檢查，即拿現(xiàn)

2、有的安全措施與安全基線規(guī)定的措施進(jìn)行比較，找出其中的差距，得出基本的安全需求，通過選擇并實(shí)施標(biāo)準(zhǔn)的安全措施來消減和控制風(fēng)險(xiǎn)。組織可以根據(jù)以下資源來選擇安全基線：國際標(biāo)準(zhǔn)和國家標(biāo)準(zhǔn)。行業(yè)標(biāo)準(zhǔn)或推薦標(biāo)準(zhǔn)。來自其他有類似商務(wù)目標(biāo)和規(guī)模的組織的慣例。,計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）,3,2024/3/29,9.1安全風(fēng)險(xiǎn)評估概述9.1.1 安全風(fēng)險(xiǎn)評估途徑,2．詳細(xì)評估詳細(xì)評估要求對資產(chǎn)進(jìn)行詳細(xì)識(shí)別和評估，對可能引起風(fēng)險(xiǎn)的威脅和

3、脆弱點(diǎn)進(jìn)行評估，根據(jù)風(fēng)險(xiǎn)評估的結(jié)果來識(shí)別和選擇安全措施。這種評估途徑集中體現(xiàn)了風(fēng)險(xiǎn)管理的思想，即識(shí)別資產(chǎn)的風(fēng)險(xiǎn)并將風(fēng)險(xiǎn)降低到可接受的水平，以此證明管理者采用的安全控制措施是恰當(dāng)?shù)摹?計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）,4,2024/3/29,9.1安全風(fēng)險(xiǎn)評估概述9.1.1 安全風(fēng)險(xiǎn)評估途徑,3．組合評估組合評估將基線和詳細(xì)風(fēng)險(xiǎn)評估的優(yōu)點(diǎn)結(jié)合起來，既節(jié)省了評估所耗費(fèi)的資源，又能確保獲得一個(gè)全面系統(tǒng)的評估結(jié)果，而且，組織的資源和資

4、金能夠應(yīng)用到最能發(fā)揮作用的地方，具有高風(fēng)險(xiǎn)的信息系統(tǒng)能夠被預(yù)先關(guān)注。,計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）,5,2024/3/29,9.1安全風(fēng)險(xiǎn)評估概述9.1.2 安全風(fēng)險(xiǎn)評估基本方法,1．基于知識(shí)的評估方法2．基于模型的評估方法3．定量評估方法4．定性分析方法5．定性與定量相結(jié)合的綜合評估方法,計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）,6,2024/3/29,9.1安全風(fēng)險(xiǎn)評估概述9.1.3 安全風(fēng)險(xiǎn)評估工具,1．風(fēng)險(xiǎn)評估與管理

5、工具1）基于信息安全標(biāo)準(zhǔn)的風(fēng)險(xiǎn)評估與管理工具。2）基于知識(shí)的風(fēng)險(xiǎn)評估與管理工具。推薦選擇安全措施以控制風(fēng)險(xiǎn)。3）基于模型的風(fēng)險(xiǎn)評估與管理工具。,計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）,7,2024/3/29,9.1安全風(fēng)險(xiǎn)評估概述9.1.3 安全風(fēng)險(xiǎn)評估工具,2．系統(tǒng)基礎(chǔ)平臺(tái)風(fēng)險(xiǎn)評估工具1）脆弱性掃描工具主要用于對信息系統(tǒng)的主要部件(如操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備等)的脆弱性進(jìn)行分析。2）滲透性測試工具是根據(jù)脆弱性掃描工具掃描

6、的結(jié)果進(jìn)行模擬攻擊測試，判斷被非法訪問者利用的可能性。,計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）,8,2024/3/29,9.1安全風(fēng)險(xiǎn)評估概述9.1.3 安全風(fēng)險(xiǎn)評估工具,3．風(fēng)險(xiǎn)評估輔助工具1）檢查列表。2）入侵檢測系統(tǒng)。3）安全審計(jì)工具。4）拓?fù)浒l(fā)現(xiàn)工具。5）資產(chǎn)信息收集系統(tǒng)。6）其他。,計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）,9,2024/3/29,9.1安全風(fēng)險(xiǎn)評估概述9.1.3 安全風(fēng)險(xiǎn)評估工具,4. 專用的自動(dòng)化風(fēng)

7、險(xiǎn)評估工具1）COBRA2）CRAMM3）MSAT,計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）,10,2024/3/29,9.2安全風(fēng)險(xiǎn)評估的實(shí)施9.2.1 風(fēng)險(xiǎn)評估依據(jù),1）政策法規(guī)2）國際標(biāo)準(zhǔn)3）國家標(biāo)準(zhǔn)4）行業(yè)通用標(biāo)準(zhǔn),計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）,11,2024/3/29,9.2安全風(fēng)險(xiǎn)評估的實(shí)施9.2.2 風(fēng)險(xiǎn)要素,1. 風(fēng)險(xiǎn)要素及屬性的相關(guān)術(shù)語2. 風(fēng)險(xiǎn)要素與屬性之間的關(guān)系,計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）

8、,12,2024/3/29,9.2安全風(fēng)險(xiǎn)評估的實(shí)施9.2.3 風(fēng)險(xiǎn)評估過程,,計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）,13,2024/3/29,9.2安全風(fēng)險(xiǎn)評估的實(shí)施9.2.3 風(fēng)險(xiǎn)評估過程,1．風(fēng)險(xiǎn)評估準(zhǔn)備1）確定風(fēng)險(xiǎn)評估的目標(biāo)。2）確定風(fēng)險(xiǎn)評估的范圍。3）組建適當(dāng)?shù)脑u估管理與實(shí)施團(tuán)隊(duì)。4）進(jìn)行系統(tǒng)調(diào)研。5）確定評估依據(jù)和方法。6）制定風(fēng)險(xiǎn)評估方案。7）獲得最高管理者對風(fēng)險(xiǎn)評估工作的支持。,計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（

9、第3版）,14,2024/3/29,9.2安全風(fēng)險(xiǎn)評估的實(shí)施9.2.3 風(fēng)險(xiǎn)評估過程,2．資產(chǎn)識(shí)別1）資產(chǎn)分類。2）資產(chǎn)賦值。3．威脅識(shí)別1）威脅分類。2）威脅賦值。,計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）,15,2024/3/29,9.2安全風(fēng)險(xiǎn)評估的實(shí)施9.2.3 風(fēng)險(xiǎn)評估過程,4．脆弱性識(shí)別1）脆弱性識(shí)別內(nèi)容。2）脆弱性賦值。5．已有安全控制措施確認(rèn)管理性(Administrative)操作性(Operatio

10、nal)技術(shù)性(Technical),計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）,16,2024/3/29,9.2安全風(fēng)險(xiǎn)評估的實(shí)施9.2.3 風(fēng)險(xiǎn)評估過程,6．風(fēng)險(xiǎn)分析計(jì)算7．風(fēng)險(xiǎn)評估文檔記錄,計(jì)算機(jī)系統(tǒng)安全原理與技術(shù)（第3版）,17,2024/3/29,9.3 信息系統(tǒng)安全風(fēng)險(xiǎn)評估實(shí)例9.3.1 風(fēng)險(xiǎn)評估模型,1. 風(fēng)險(xiǎn)事件發(fā)生的概率Ps2. 風(fēng)險(xiǎn)事件發(fā)生后影響程度Cs的模糊綜合評判3. 風(fēng)險(xiǎn)度Rs的計(jì)算,計(jì)算機(jī)系統(tǒng)安全