freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

信息安全體系風(fēng)險(xiǎn)評(píng)估講義(已修改)

2025-03-07 18:02 本頁(yè)面
 

【正文】 信息安全體系風(fēng)險(xiǎn)評(píng)估 基本概念 重要意義 工作方式 幾個(gè)關(guān)鍵問(wèn)題 2 什么是風(fēng)險(xiǎn)評(píng)估 信息安全風(fēng)險(xiǎn) 人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)生及其對(duì)組織造成的影響。 信息安全風(fēng)險(xiǎn)評(píng)估 依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn),對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)的過(guò)程。它要評(píng)估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性,并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來(lái)判斷安全事件一旦發(fā)生對(duì)組織造成的影響。 什么是風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)評(píng)估的基本概念 對(duì)基本概念的解釋 ?業(yè)務(wù)戰(zhàn)略: 即一個(gè)單位通過(guò)信息技術(shù)手段實(shí)現(xiàn)的工作任務(wù) 。 一個(gè)單位的業(yè)務(wù)戰(zhàn)略對(duì)信息系統(tǒng)和信息的依賴程度越高 , 風(fēng)險(xiǎn)評(píng)估的任務(wù)就越重要 。 ?為什么要首先談業(yè)務(wù)戰(zhàn)略 ? ? 這是信息化的目的,一個(gè)信息系統(tǒng)如果不能實(shí)現(xiàn)具體的工作任務(wù),那么這個(gè)信息系統(tǒng)是沒(méi)有用處的。信息安全不是最終目的,信息安全要服務(wù)于信息化。 對(duì)基本概念的解釋(續(xù)) ?資產(chǎn): 通過(guò)信息化建設(shè)積累起來(lái)的信息系統(tǒng) 、 信息 、 生產(chǎn)或服務(wù)能力 、 人員能力等 。 ? 這是需要保護(hù)的對(duì)象。只有資產(chǎn)得到保護(hù),單位的業(yè)務(wù)戰(zhàn)略才可以實(shí)現(xiàn)。 ?資產(chǎn)價(jià)值: 資產(chǎn)是有價(jià)值的 , 資產(chǎn)價(jià)值可通過(guò)資產(chǎn)的敏感程度 、 重要程度和關(guān)鍵程度來(lái)表示 。 ? 這里指的資產(chǎn)價(jià)值不一定是購(gòu)買(mǎi)時(shí)的貨幣價(jià)值。資產(chǎn)價(jià)值與業(yè)務(wù)戰(zhàn)略聯(lián)系緊密。 ? 信息安全的投入是有成本的,信息安全投入應(yīng)適當(dāng),與資產(chǎn)的價(jià)值相適宜。 對(duì)基本概念的解釋(續(xù)) ?威脅: 一個(gè)單位的信息資產(chǎn)的安全可能受到的侵害 。 威脅由多種屬性來(lái)刻畫(huà):威脅的主體 ( 威脅源 ) 、 能力 、 資源 、 動(dòng)機(jī) 、 行為 、 可能性和后果。 ?為什么要談威脅 ? ? 如果沒(méi)有威脅,就不會(huì)有安全事件。 威脅源 動(dòng)機(jī) 威脅行為 黑客 挑戰(zhàn) 自負(fù) 反叛 ? 破解 ? 社會(huì)工程 ? 系統(tǒng)入侵、闖入 ? 未授權(quán)訪問(wèn) 計(jì)算機(jī)罪犯 破壞信息 非法泄漏信息 非法篡改數(shù)據(jù) 獲取錢(qián)財(cái) ? 計(jì)算機(jī)犯罪(例如網(wǎng)絡(luò)騷擾) ? 欺詐行為(例如重放、身份假冒、截獲) ? 偽造 ? 系統(tǒng)入侵 恐怖分子 勒索 破壞 惡意利用 復(fù)仇 ? 炸彈 / 恐怖主義 ? 信息戰(zhàn) ? 系統(tǒng)攻擊(例如分布式拒絕服務(wù)) ? 系統(tǒng)滲透 ? 系統(tǒng)篡改 工業(yè)間諜 競(jìng)爭(zhēng)優(yōu)勢(shì) 經(jīng)濟(jì)間諜 ? 信息竊取 ? 侵犯?jìng)€(gè)人隱私 ? 社會(huì)工程 ? 系統(tǒng)滲透 ? 未授權(quán)的系統(tǒng)訪問(wèn) 示例:常見(jiàn)人為威脅 對(duì)基本概念的解釋(續(xù)) ?脆弱性: 信息資產(chǎn)及其安全措施在安全方面的不足和弱點(diǎn) 。 脆弱性也常常被稱為漏洞 。 ?威脅是外因 , 而脆弱性是內(nèi)因 。 外因要通過(guò)內(nèi)因起作用 。 脆弱性是資產(chǎn)本身所具有的 ( 例如系統(tǒng)沒(méi)有打補(bǔ)丁 ) , 威脅要利用脆弱性才能造成安全事件 。 脆弱性 /威脅對(duì)(示例) 脆弱性 威脅源 威脅行為 離職員工的系統(tǒng)賬號(hào)沒(méi)有從系統(tǒng)中注銷 離職員工 撥號(hào)進(jìn)入網(wǎng)絡(luò),并訪問(wèn)單位的保密數(shù)據(jù) 防火墻允許進(jìn)入方向的t e l n e t ,并且在某服務(wù)器上允許以 gue s t 賬號(hào)進(jìn)入 未經(jīng)授權(quán)的用戶(例如黑客、離職員工、計(jì)算機(jī)罪犯、恐怖分子) 通過(guò) t e l ne t ,用 gue s t 賬號(hào)進(jìn)入服務(wù)器,瀏覽系統(tǒng)文件 廠商在系統(tǒng)安全設(shè)計(jì)中存在為人所知的缺陷,但還沒(méi)有補(bǔ)丁文件 未經(jīng)授權(quán)的用戶(例如黑客、離職員工、計(jì)算機(jī)罪犯、恐怖分子) 基于已為人所知的系統(tǒng)的脆弱性,未授權(quán)地訪問(wèn)敏感的系統(tǒng)文件 數(shù)據(jù)中心使用灑水器來(lái)滅火 ,沒(méi)有用防水油布來(lái)保護(hù)硬件和設(shè)備 火災(zāi)、人員疏忽大意 打開(kāi)了數(shù)據(jù)中心的灑水器 對(duì)基本概念的解釋(續(xù)) ?事件: 如果威脅主體能夠產(chǎn)生威脅 , 利用資產(chǎn)及其安全措施的脆弱性 , 那么實(shí)際產(chǎn)生危害的情況稱之為事件 。 ?在描述一個(gè)信息安全事件時(shí) , 要明確: ?安全事件是如何產(chǎn)生的 ( 與威脅的屬性和脆弱性有關(guān) ) ? ?事件造成了什么后果 ( 與資產(chǎn)有關(guān) ) ? ?事件的后果有多大 ( 與資產(chǎn)的價(jià)值有關(guān) ) ? ?這個(gè)事件發(fā)生的可能性有多大 ( 與威脅和脆弱性存在的可能性 、 威脅的動(dòng)機(jī)等屬性有關(guān)) ? 對(duì)基本要素的解釋(續(xù)) ?風(fēng)險(xiǎn): 由于系統(tǒng)存在的脆弱性,人為或自然的威脅導(dǎo)致安全事件發(fā)生的可能性及其造成的影響。它由安全事件發(fā)生的可能性及其造成的影響這兩種因素來(lái)衡量。 ?為什么要提出風(fēng)險(xiǎn)的概念 ? ? 安全事件的發(fā)生是有概率的。不能只根據(jù)安全事件的后果便決定信息安全的投入和安全措施的強(qiáng)度。對(duì)后果嚴(yán)重的極小概率事件,不能盲目投入。因此,要綜合考慮安全事件的后果影響及其可能性,兩者的綜合便是 “ 風(fēng)險(xiǎn) ” 的概念。 ?高風(fēng)險(xiǎn)要優(yōu)先得到處理 。 對(duì)基本要素的解釋(續(xù)) ?殘余風(fēng)險(xiǎn): 采取了安全措施,提高了信息安全保障能力后,仍然可能存在的風(fēng)險(xiǎn)。 ?為什么提出殘余風(fēng)險(xiǎn)的概念? ? 風(fēng)險(xiǎn)不可能完全消除。信息技術(shù)在發(fā)展,外部環(huán)境在變化,信息系統(tǒng)本身也要發(fā)生變化,信息安全的動(dòng)態(tài)性使得不可能完全消除未來(lái)發(fā)生安全事件的風(fēng)險(xiǎn)。 ? 風(fēng)險(xiǎn)不必要完全消除。資產(chǎn)的價(jià)值以及信息安全的投入之間的比例關(guān)系決定了對(duì)有些安全風(fēng)險(xiǎn),采取措施反而比不采取措施更糟糕。 ? 此外,由于某些原因(例如時(shí)間、資金、業(yè)
點(diǎn)擊復(fù)制文檔內(nèi)容
外語(yǔ)相關(guān)推薦
文庫(kù)吧 www.dybbs8.com
公安備案圖鄂ICP備17016276號(hào)-1