freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內容

培訓資料風險評估與管理(79頁)-管理培訓(編輯修改稿)

2024-09-23 18:18 本頁面
 

【文章內容簡介】 ? 惡意軟件的引入可以是有意的(具有一定的目的和企圖)和無意的(運行了來歷不明的軟件),惡意軟件威脅資產(chǎn)的保密性、完整性和可用性。 ? 軟件失效 ? 由于有預謀的事件或意外事件發(fā)生,從而導致軟件的完整性與可用性的損失。 中管網(wǎng)制造業(yè)頻道 概念解析 8 威脅(續(xù)) ? 火災 ? 這是一種意外事故,也可能是一種有預謀的事件,會影響資產(chǎn)的完整性與可用性。 ? 偷竊 ? 這是一種有預謀的威脅,可能會損害資產(chǎn)的保密性與可用性。 ? 人員錯誤 ? 可能是有意的或無意的行為,有時此類事件的發(fā)生僅僅是員工缺乏安全意識,并不是有什么惡意企圖。 中管網(wǎng)制造業(yè)頻道 概念解析 9 脆弱性 ? 脆弱性 (Vulnerability) ? 脆弱性是信息資產(chǎn)及其防護措施在安全方面的不足和弱點。 ? 脆弱性也常常被稱為漏洞。 ? NIST SP80030將漏洞定義為安全程序、技術控制措施、物理控制措施或其他控制措施中可能被威脅利用的條件或弱點,或缺乏控制措施。 中管網(wǎng)制造業(yè)頻道 概念解析 9 脆弱性(續(xù)) ? 經(jīng)驗表明:大多數(shù)重大的漏洞通常是由于缺乏良好的流程或指定了不適當?shù)男畔踩熑尾懦霈F(xiàn)的,但是進行風險評估時往往過分注重技術漏洞。 中管網(wǎng)制造業(yè)頻道 概念解析 9 脆弱性(續(xù)) ? 以下都是常見的脆弱性: ? 缺乏物理保護或保護不適當 ? 可能被威脅利用,損害資產(chǎn)的保密性、完整性和可用性 ? 口令選擇或使用不當 ? 可能導致對系統(tǒng)信息的非授權訪問,從而損害資產(chǎn)的保密性、完整性和可用性。 中管網(wǎng)制造業(yè)頻道 概念解析 9 脆弱性(續(xù)) ? 與外部網(wǎng)絡的連接沒有保護 ? 能導致在聯(lián)網(wǎng)系統(tǒng)中存儲與處理信息的保密性、完整性和可用性的損害。 ? 沒有保護的存檔文件 ? 有可能被偷竊,從而損害資產(chǎn)的保密性、完整性和可用性。 ? 不足夠的安全培訓 ? 可能造成用戶缺乏足夠的安全意識,破壞信息的保密性,或者產(chǎn)生用戶錯誤,從而造成對資產(chǎn)的完整性和可用性的損害。 中管網(wǎng)制造業(yè)頻道 概念解析 10 防護措施 ? 防護措施 (safeguard) ? 防護措施是對付威脅,減少脆弱性,保護資產(chǎn),限制意外事件的影響,檢測、響應意外事件,促進災難恢復和打擊信息犯罪而實施的各種實踐、規(guī)程和機制的總稱。 ? 防護措施 本質上都是減少脆弱性的。 中管網(wǎng)制造業(yè)頻道 概念解析 與要素相關概念小結 中管網(wǎng)制造業(yè)頻道 風險評估與管理 1. 與風險評估和風險管理相關的概念解析 2. 信息安全風險管理的一般過程 3. 風險評估與風險管理的其它問題 中管網(wǎng)制造業(yè)頻道 2 信息安全風險管理的一般過程 信息安全風險評估的過程 信息安全風險處理的過程 中管網(wǎng)制造業(yè)頻道 信息安全風險評估的過程 輸入 輸出 風險評估活動 ● 硬件 ● 軟件 ● 系統(tǒng)接口 ● 數(shù)據(jù)和信息 ● 人員 ● 系統(tǒng)使命 步驟 1:體系特征描述 ● 系統(tǒng)邊界 ● 系統(tǒng)功能 ● 系統(tǒng)和數(shù)據(jù)的關鍵性 ● 系統(tǒng)和數(shù)據(jù)的敏感性 ● 系統(tǒng)遭受攻擊的歷史 ● 來自信息咨詢機構、大眾媒體的數(shù)據(jù) ● 以前的風險評報告 ● 安全檢查工作中提出的意見 ● 安全要求 ● 安全測試結果 ● 當前的以及規(guī)劃中的安全措施 ● 威脅的屬性(威脅源、動機、能力等) ● 脆弱性的性質 ● 當前的以及規(guī)劃中的安全措施 ● 分析對使命的影響 ● 評估資產(chǎn)的關鍵性 ● 數(shù)據(jù)關鍵性 ● 數(shù)據(jù)敏感性 ● 威脅聲明 ● 可能的脆弱性列表 ● 當前的以及規(guī)劃中的安全措施 ● 可能性級別 ● 影響級別 步驟 2:識別威脅 步驟 3:識別脆弱性 步驟 4:分析安全措施 步驟 5:確定可能性 步驟 6:分析影響 完整性損失 可用性損失 保密性損失 步驟 7:確定風險 ● 威脅破壞的可能性 ● 影響的程度 ● 當前的以及規(guī)劃中的安全措施的足夠性 ● 風險及相關風險的級別 步驟 8:建議安全措施 步驟 9:記錄結果 ● 建議的安全措施 ● 風險評估報告 風險評估流程圖 中管網(wǎng)制造業(yè)頻道 信息安全風險評估的過程 (續(xù) ) ? 步驟 1:描述系統(tǒng)特征 ? 在對信息系統(tǒng)的風險進行評估中,第一步是定義工作范圍。 ? 在該步中,要確定信息系統(tǒng)的邊界以及組成系統(tǒng)的資源和信息。對信息系統(tǒng)的特征進行描述后便確立了風險評估工作的范圍,刻畫了對系統(tǒng)進行授權運行(或認可)的邊界,并為風險定義提供了必要的信息(如硬件、軟件、系統(tǒng)連通性、負責部門或支持人員)。 中管網(wǎng)制造業(yè)頻道 信息安全風險評估的過程 (續(xù) ) ? 步驟 系統(tǒng)相關信息 ? 步驟 信息收集技術 ? 可以使用下列一項或多項技術在其運行邊界內獲取相關的系統(tǒng)信息: ? 調查問卷 ? 現(xiàn)場面談 ? 文檔審查 ? 使用自動掃描工具 中管網(wǎng)制造業(yè)頻道 信息安全風險評估的過程 (續(xù) ) ? 步驟 2:識別威脅 ? 如果沒有脆弱性,威脅源無法造成風險;在確定威脅的可能性時,應該考慮威脅源、潛在的脆弱性和現(xiàn)有的安全防護措施。 ? 步驟 識別威脅源 ? 步驟 動機和行為 中管網(wǎng)制造業(yè)頻道 信息安全風險評估的過程 (續(xù) ) ? 步驟 3:識別脆弱性 ? 本步的目標是制定系統(tǒng)中可能會被威脅源利用的脆弱性(缺陷或薄弱環(huán)節(jié))的列表。 ? 步驟 脆弱性源 ? 步驟 系統(tǒng)
點擊復制文檔內容
環(huán)評公示相關推薦
文庫吧 www.dybbs8.com
備案圖片鄂ICP備17016276號-1