正文內(nèi)容

信息系統(tǒng)安全與保密-第3章(完整版)

2025-03-14 14:04上一頁面

下一頁面

　　

【正文】威脅利用資產(chǎn)的脆弱性對(duì)組織的信息系統(tǒng)造成危害通過安全措施的配置，風(fēng)險(xiǎn)可以被消除、降低和或轉(zhuǎn)移殘留風(fēng)險(xiǎn)：信息系統(tǒng)業(yè)務(wù)可以容忍的風(fēng)險(xiǎn) 成本效益分析 (T) (V) (A) (R) R = ?( A, T, V ) 資產(chǎn)及其價(jià)值脆弱點(diǎn) 脆弱點(diǎn) 脆弱點(diǎn) 脆弱點(diǎn) 威脅風(fēng)險(xiǎn) 殘余風(fēng)險(xiǎn) 威脅安全控制安全控制殘余風(fēng)險(xiǎn) 威脅安全控制威脅殘余風(fēng) 險(xiǎn) 圖 1 風(fēng)險(xiǎn)要素及其相互關(guān)系威脅脆弱點(diǎn)安全措施安全風(fēng) 險(xiǎn)保護(hù) 需求影響資產(chǎn)增加增加增加減小提出增加資產(chǎn)價(jià)值越高，風(fēng)險(xiǎn)越大威脅越大，風(fēng)險(xiǎn)越大脆弱點(diǎn)越大，風(fēng)險(xiǎn)越大安全事故影響越大，風(fēng)險(xiǎn)越大適當(dāng)?shù)陌踩刂瓶梢越档惋L(fēng)險(xiǎn) 安全風(fēng)險(xiǎn)指出組織的安全要求確定評(píng)估范圍資產(chǎn)識(shí)別與重要性評(píng)估威脅識(shí)別與發(fā)生可能性評(píng)估脆弱點(diǎn)檢測與被利用可能性評(píng)估控制措施識(shí)別與有效性評(píng)估影響可能性風(fēng) 險(xiǎn) 評(píng) 價(jià) 風(fēng)險(xiǎn)管理方案的選擇與優(yōu)化風(fēng) 險(xiǎn) 控制 2 風(fēng)險(xiǎn)評(píng)估與管理的流程 (T) (V) (A) (R) (C) 確定評(píng)估范圍基于風(fēng)險(xiǎn)評(píng)估目標(biāo)確定風(fēng)險(xiǎn)評(píng)估的對(duì)象和范圍是完成風(fēng)險(xiǎn)評(píng)估的前提。邏輯邊界定義了分析所需的廣度和深度；物理邊界定義了系統(tǒng)起于哪里止于哪里； 1）信息資產(chǎn)（如硬件、軟件、信息）； 2）人員（職員、其他外部人員）； 3）環(huán)境（建筑物、基礎(chǔ)設(shè)施）； 4）活動(dòng)（信息處理相關(guān)操作、業(yè)務(wù)）。為提高效率 ? 脆弱點(diǎn)識(shí)別還應(yīng)結(jié)合威脅識(shí)別的結(jié)果，重點(diǎn)考察可能導(dǎo)致安全事件的威脅脆弱點(diǎn)對(duì)，在脆弱點(diǎn)識(shí)別后，再依據(jù)脆弱點(diǎn)的嚴(yán)重程度對(duì)脆弱點(diǎn)進(jìn)行評(píng)估。決策者應(yīng)權(quán)衡成本效益等多種因素，綜合決策！風(fēng)險(xiǎn)控制策略風(fēng)險(xiǎn)控制是依據(jù)決策后的風(fēng)險(xiǎn)管理方案而實(shí)施控制措施，是一個(gè)持續(xù)、循環(huán)的遞進(jìn)過程。 , March 8, 2023 雨中黃葉樹，燈下白頭人。 2023年 3月 8日星期三 11時(shí) 22分 12秒 23:22:128 March 2023 1做前，能夠環(huán)視四周；做時(shí)，你只能或者最好沿著以腳為起點(diǎn)的射線向前。。勝人者有力，自勝者強(qiáng)。 2023年 3月 8日星期三下午 11時(shí) 22分 12秒 23:22: 1最具挑戰(zhàn)性的挑戰(zhàn)莫過于提升自我。 2023年 3月 8日星期三 11時(shí) 22分 12秒 23:22:128 March 2023 1空山新雨后，天氣晚來秋。 , March 8, 2023 很多事情努力了未必有結(jié)果，但是不努力卻什么改變也沒有。 :22:1223:22Mar238Mar23 1故人江海別，幾度隔山川。 (a)通過加強(qiáng)應(yīng)用政策來避免風(fēng)險(xiǎn)； (b)教育培訓(xùn)：政策了解新技術(shù)培訓(xùn)； (c)通過建立技術(shù)解決方案確保減少風(fēng)險(xiǎn)； (2)轉(zhuǎn)移將風(fēng)險(xiǎn)移植到其他資產(chǎn)、過程或組織的控制方法；可通過簽署服務(wù)合同實(shí)現(xiàn)。可能威脅脆弱點(diǎn) 評(píng)估等級(jí) 供電中斷沒有備用電源高 4 盜竊、物理破壞安全保衛(wèi)機(jī)制不健全很高 5 疾病或其他原因?qū)е虏荒芗皶r(shí)到崗課室鑰匙管理人員無“備份” 高 4 多媒體技術(shù)支持人員無“備份” 高 4 誤操作老師對(duì)多媒體課室使用注意事項(xiàng)不熟悉很高 5 火災(zāi) 未部署防火設(shè)施很高 5 極端溫度及濕度未安裝空調(diào)及除濕設(shè)備高 4 軟件故障軟件的安裝與卸載權(quán)限管理機(jī)制不嚴(yán) 高 4 惡意代碼殺毒軟件不能及時(shí)升級(jí) 低 2 自然威脅硬件物理保護(hù)不夠很高 5 硬件故障硬件使用壽命有限或其他原因高 4 控制措施識(shí)別與效力評(píng)估識(shí)別現(xiàn)有安全控制措施，分析安全措施的效力，

點(diǎn)擊復(fù)制文檔內(nèi)容

教學(xué)課件相關(guān)推薦

第3章系統(tǒng)安全分析-資料下載頁

【摘要】第三章安全分析本章學(xué)習(xí)目標(biāo)1.掌握系統(tǒng)安全分析的定義、內(nèi)容和系統(tǒng)安全分析方法選擇的基本原則。2.熟悉幾種常用的定性和定量的系統(tǒng)安全分析方法的基本功能、特點(diǎn)和原理。3.掌握幾種系統(tǒng)安全分析方法的分析過程、格式、計(jì)算方法。4.了解各種定性和定量方法之間的區(qū)別和聯(lián)系。系統(tǒng)安全分析方法是安全系統(tǒng)工程的重要組成部分，是對(duì)系統(tǒng)存在的危險(xiǎn)性進(jìn)行定性和定量分析的基本方法

2025-06-30 12:02

[精選]管理信息系統(tǒng)案例分析__系統(tǒng)安全-資料下載頁

【摘要】計(jì)算機(jī)網(wǎng)絡(luò)與信息安全第2章系統(tǒng)分析師考試案例分析與設(shè)計(jì)管理信息系統(tǒng)案例分析某城市計(jì)劃建設(shè)電子政務(wù)系統(tǒng)，由于經(jīng)費(fèi)、政務(wù)應(yīng)用成熟度、使用人員觀念等多方面的原因，計(jì)劃采用分階段實(shí)施的策略來建設(shè)電子政務(wù)，最先建設(shè)急需和重要的部分。在安全建設(shè)方面，先投入一部分資金保障關(guān)鍵部門和關(guān)鍵信息的安全，之后在總結(jié)經(jīng)驗(yàn)教訓(xùn)的基礎(chǔ)上分

2025-02-18 01:46

第9章信息系統(tǒng)的安全與運(yùn)行管理-資料下載頁

【摘要】信息系統(tǒng)的安全與運(yùn)行維護(hù),中南大學(xué)醫(yī)藥信息系,編碼與測試,一、信息系統(tǒng)的安全管理二、系統(tǒng)轉(zhuǎn)換與信息系統(tǒng)運(yùn)行的組織三、信息系統(tǒng)的運(yùn)行制度四、信息系統(tǒng)的維護(hù)與升級(jí),主要內(nèi)容,中南大學(xué)醫(yī)藥信息系,編碼與測試...

2024-10-28 23:05

[精選]信息系統(tǒng)安全保護(hù)等級(jí)的劃分與標(biāo)準(zhǔn)-資料下載頁

【摘要】本資料來源信息安全等級(jí)保護(hù)制度信息安全等級(jí)保護(hù)定級(jí)和備案廣東省公安廳網(wǎng)警總隊(duì)林雁飛2023年8月提綱一、主要工作措施二、信息安全保護(hù)等級(jí)的劃分和標(biāo)準(zhǔn)三、信息系統(tǒng)安全保護(hù)等級(jí)的確定四、備案和備案審核五、時(shí)間要求一、主要工作措施開展信息系統(tǒng)基本情況的摸底調(diào)查初步

2025-01-23 22:13

信息系統(tǒng)安全管理流程-資料下載頁

【摘要】信息系統(tǒng)安全管理1范圍月度采購計(jì)劃包含適用于信息技術(shù)部實(shí)施網(wǎng)絡(luò)安全管理和信息實(shí)時(shí)監(jiān)控，以及制定全公司計(jì)算機(jī)使用安全的技術(shù)規(guī)定2控制目標(biāo)確保公司網(wǎng)絡(luò)系統(tǒng)、計(jì)算機(jī)以及計(jì)算機(jī)相關(guān)設(shè)備的高效、安全使用確保數(shù)據(jù)庫、日志文件和重要商業(yè)信息的安全3主要控制點(diǎn)信息技術(shù)部經(jīng)理和公司主管副總經(jīng)理分別審批信息系統(tǒng)訪問權(quán)限設(shè)置方案、數(shù)據(jù)備份及突發(fā)事件處理政策和其它信息系統(tǒng)安全政策

2025-04-07 23:02

信息系統(tǒng)安全應(yīng)急預(yù)案-資料下載頁

【摘要】信息系統(tǒng)安全應(yīng)急預(yù)案?一、總則（一）編制目的公司網(wǎng)絡(luò)和信息安全涉及以設(shè)備為中心的信息安全，技術(shù)涵蓋網(wǎng)絡(luò)系統(tǒng)、計(jì)算機(jī)操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)和應(yīng)用軟件系統(tǒng)；涉及計(jì)算機(jī)病毒的防范、入侵的監(jiān)控；涉及以用戶（包括內(nèi)部員工和外部相關(guān)機(jī)構(gòu)人員）為中心的安全管理，包括用戶的身份管理、身份認(rèn)證、授權(quán)、審計(jì)等；涉及信息傳輸?shù)臋C(jī)密性、完整性、不可抵賴性等等。為切實(shí)加強(qiáng)我司網(wǎng)絡(luò)運(yùn)行安全與信息

2025-04-24 22:09

信息系統(tǒng)安全考題-資料下載頁

【摘要】....網(wǎng)絡(luò)安全試題1.（單選題）使網(wǎng)絡(luò)服務(wù)器中充斥著大量要求回復(fù)的信息，消耗帶寬，導(dǎo)致網(wǎng)絡(luò)或系統(tǒng)停止正常服務(wù)，這屬于什么攻擊類型?(A)A、拒絕服務(wù)B、文件共享C、BIND漏洞D、遠(yuǎn)程過程調(diào)用2.（單選題）為了防御網(wǎng)絡(luò)監(jiān)聽，最常用的方

2025-03-27 00:18

信息系統(tǒng)安全策略-資料下載頁

【摘要】信息系統(tǒng)安全策略類別：計(jì)算機(jī)信息管理制度編碼：CI01-2011起草單位：信息管理部下發(fā)日期：第一章?總?則第一條??為了保證中煤張家口煤礦機(jī)械有限責(zé)任公司（以下簡稱張煤機(jī)）信息系統(tǒng)的安全和發(fā)展、保證信息系統(tǒng)的正常運(yùn)行,特制定本安全策略。第二條??信息系統(tǒng)應(yīng)用、服務(wù)支撐和管理的相關(guān)人

2025-06-29 00:42

信息系統(tǒng)安全檢測技術(shù)-資料下載頁

【摘要】第七章信息系統(tǒng)安全檢測技術(shù)2022/2/81第七章信息系統(tǒng)安全檢測技術(shù)信息安全第七章信息系統(tǒng)安全檢測技術(shù)2022/2/82本章主要內(nèi)容入侵檢測技術(shù)漏洞檢測技術(shù)審計(jì)追蹤第七章信息系統(tǒng)安全檢測技術(shù)2022/2/83本章

2025-01-18 08:42

信息系統(tǒng)安全應(yīng)急預(yù)案-資料下載頁

【摘要】第一篇：信息系統(tǒng)安全應(yīng)急預(yù)案信息系統(tǒng)安全應(yīng)急預(yù)案為全面加強(qiáng)公司信息系統(tǒng)安全管理，應(yīng)對(duì)信息安全突發(fā)事件的發(fā)生，提高對(duì)安全事件的應(yīng)急處置能力，保證網(wǎng)絡(luò)與信息安全協(xié)調(diào)工作迅速、高效、有序地進(jìn)行，滿足...

2024-11-09 14:08

信息系統(tǒng)安全應(yīng)急預(yù)案-資料下載頁

【摘要】第一篇：信息系統(tǒng)安全應(yīng)急預(yù)案 1目的隨著大量信息技術(shù)的采用，公司信息化建設(shè)發(fā)展迅速，并日益成為提高公司競爭力的重要因素。公司建立了支持全公司業(yè)務(wù)經(jīng)營的核心業(yè)務(wù)處理系統(tǒng)、財(cái)務(wù)處理系統(tǒng)、OA系統(tǒng)和郵...

2024-10-25 06:07

信息系統(tǒng)安全管理規(guī)范-資料下載頁

【摘要】第一篇：信息系統(tǒng)安全管理規(guī)范信息系統(tǒng)安全管理規(guī)范 1、目標(biāo) 此文檔用于規(guī)范公司業(yè)務(wù)系統(tǒng)的安全管理，安全管理所達(dá)到的目標(biāo)如下：確保業(yè)務(wù)系統(tǒng)中所有數(shù)據(jù)及文件的有效保護(hù)，未經(jīng)許可的用戶無法訪問數(shù)...

2024-10-13 13:20