【正文】 23:22:1223:22:1223:223/8/2023 11:22:12 PM 1越是沒(méi)有本領(lǐng)的就越加自命不凡。 2023年 3月 8日星期三 下午 11時(shí) 22分 12秒 23:22: 1比不了得就不比，得不到的就不要。最后根據(jù)影響分析及可能性分析的結(jié)果來(lái)進(jìn)行風(fēng)險(xiǎn)評(píng)估，此處采用“風(fēng)險(xiǎn) =可能性影響”的方法來(lái)計(jì)算風(fēng)險(xiǎn)。 檢查和說(shuō)明組織信息系統(tǒng)的安全態(tài)勢(shì)和面臨的風(fēng)險(xiǎn) 采取控制手段，減少組織信息系統(tǒng)和數(shù)據(jù)的風(fēng)險(xiǎn) “知己” “知彼”；風(fēng)險(xiǎn)評(píng)估是說(shuō)明風(fēng)險(xiǎn)識(shí)別的結(jié)果。 可能威脅 脆弱點(diǎn) 評(píng)估等級(jí) 供電中斷 沒(méi)有備用電源 高 4 盜竊、物理破壞 安全保衛(wèi)機(jī)制不健全 很高 5 疾病或其他原因?qū)е虏荒芗皶r(shí)到崗 課室鑰匙管理人員無(wú)“備份” 高 4 多媒體技術(shù)支持人員無(wú)“備份” 高 4 誤操作 老師對(duì)多媒體課室使用注意事項(xiàng)不熟悉 很高 5 火災(zāi) 未部署防火設(shè)施 很高 5 極端溫度及濕度 未安裝空調(diào)及除濕設(shè)備 高 4 軟件故障 軟件的安裝與卸載權(quán)限管理機(jī)制不嚴(yán) 高 4 惡意代碼 殺毒軟件不能及時(shí)升級(jí) 低 2 自然威脅 硬件物理保護(hù)不夠 很高 5 硬件故障 硬件使用壽命有限或其他原因 高 4 控制措施識(shí)別與效力評(píng)估 識(shí)別現(xiàn)有安全控制措施，分析安全措施的效力， 確定威脅利用弱點(diǎn)的實(shí)際可能性。 :22:1223:22Mar238Mar23 1故人江海別，幾度隔山川。 2023年 3月 8日星期三 11時(shí) 22分 12秒 23:22:128 March 2023 1空山新雨后，天氣晚來(lái)秋。勝人者有力，自勝者強(qiáng)。 2023年 3月 8日星期三 11時(shí) 22分 12秒 23:22:128 March 2023 1做前，能夠環(huán)視四周；做時(shí)，你只能或者最好沿著以腳為起點(diǎn)的射線向前。 決策者應(yīng)權(quán)衡成本效益等多種因素，綜合決策！ 風(fēng)險(xiǎn)控制策略 風(fēng)險(xiǎn)控制是依據(jù)決策后的風(fēng)險(xiǎn)管理方案 而實(shí)施控制措施，是一個(gè)持續(xù)、循環(huán)的 遞進(jìn)過(guò)程。 邏輯邊界 定義了分析所需的廣度和深度； 物理邊界 定義了系統(tǒng)起于哪里止于哪里； 1）信息資產(chǎn)（如硬件、軟件、信息）； 2）人員（職員、其他外部人員）； 3）環(huán)境（建筑物、基礎(chǔ)設(shè)施）； 4）活動(dòng)（信息處理相關(guān)操作、業(yè)務(wù)）。 技術(shù)性弱點(diǎn) 如系統(tǒng)漏洞 操作性弱點(diǎn) 配置中的缺陷 管理性弱點(diǎn) 規(guī)章制度不足 可借助漏洞掃描工具等方法進(jìn)行識(shí)別與評(píng)估！！ 脆弱點(diǎn)識(shí)別內(nèi)容表 ? 脆弱點(diǎn)識(shí)別，應(yīng)對(duì)針對(duì)已識(shí)別人每一類資產(chǎn)，考慮可能存在的脆弱點(diǎn)，它包括技術(shù)脆弱點(diǎn)與管理脆弱點(diǎn) ? 本例中由于技術(shù)問(wèn)題簡(jiǎn)單，因而主要表現(xiàn)為管理方面的脆弱性。然后對(duì)威脅造成的影響進(jìn)行 分析，在這里 對(duì)威脅的影響進(jìn)行了分類型的考慮 ！ 靜夜四無(wú)鄰，荒居舊業(yè)貧。 2023年 3月 8日星期三 下午 11時(shí) 22分 12秒 23:22: 1楚塞三湘接，荊門九派通。 2023年 3月 下午 11時(shí) 22分 :22March 8, 2023 1業(yè)余生活要有意義，不要越軌。 23:22:1223:22:1223:223/8/2023 11:22:12 PM 1成功就是日復(fù)一日那一點(diǎn)點(diǎn)小小努力的積累。 (3)緩解 通過(guò)規(guī)劃和預(yù)先的準(zhǔn)備工作，減少漏洞造成 的影響。 經(jīng)識(shí)別與分析后，有關(guān)資產(chǎn)及其關(guān)鍵程度如表所示。 威脅識(shí)別與重要性評(píng)估 一項(xiàng)資產(chǎn)可能面臨多個(gè)威脅，而一個(gè)威脅也可能 對(duì)不同的資產(chǎn)造成影響。 (a)事件響應(yīng)計(jì)劃（ IRP）； (b)災(zāi)難恢復(fù)計(jì)劃（ DRP）； (c) 業(yè)務(wù)持續(xù)性計(jì)劃（ BCP）； 風(fēng)險(xiǎn)標(biāo)識(shí) 資產(chǎn) 威脅 風(fēng)險(xiǎn)等級(jí) 安全措施 R1 多媒體 系統(tǒng) 供電中斷 中 配置備用電源 R2 誤操作 很高 多媒體系統(tǒng)操作培訓(xùn) R4 硬件 盜竊、物理破壞 很高 加強(qiáng)安全保衛(wèi)工作 R5 火災(zāi) 中 配備滅火設(shè)備 R7 硬件故障 中 技術(shù)支持 R8 軟件 軟件故障 高 加強(qiáng)權(quán)限管理，采用系統(tǒng)“一鍵還原”機(jī)制。 :2