freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

信息安全體系風(fēng)險評估講義-資料下載頁

2025-02-27 18:02本頁面
  

【正文】 程中的安全風(fēng)險,是一種較為全面的風(fēng)險評估。評估內(nèi)容包括對真實運行的信息系統(tǒng)、資產(chǎn)、威脅、脆弱性等各方面。 信息系統(tǒng)生命周期各階段的風(fēng)險評估 59 當信息系統(tǒng)不能滿足現(xiàn)有要求時,信息系統(tǒng)進入廢棄階段。根據(jù)廢棄的程度,又分為部分廢棄和全部廢棄兩種。 廢棄階段風(fēng)險評估 著重在以下幾方面: 確保硬件和軟件等資產(chǎn)及殘留信息得到了適當?shù)奶幹?,并確保系統(tǒng)組件被合理地丟棄或更換; 如果被廢棄的系統(tǒng)是某個系統(tǒng)的一部分,或與其他系統(tǒng)存在物理或邏輯上的連接,還應(yīng)考慮系統(tǒng)廢棄后與其他系統(tǒng)的連接是否被關(guān)閉; 如果在系統(tǒng)變更中廢棄,除對廢棄部分外,還應(yīng)對變更的部分進行評估,以確定是否會增加風(fēng)險或引入新的風(fēng)險; 是否建立了流程,確保更新過程在一個安全、系統(tǒng)化的狀態(tài)下完成。 信息系統(tǒng)生命周期各階段的風(fēng)險評估 內(nèi)容簡介 基本概念 重要意義 工作方式 幾個關(guān)鍵問題 ( 1)風(fēng)險評估的完整性 ?漏洞掃描、 IDS監(jiān)視、滲透性測試、調(diào)查問卷等工作只是風(fēng)險評估中的步驟之一,尚不能稱之為完整的風(fēng)險評估。在早期,很多企業(yè)和機構(gòu)聲稱的風(fēng)險評估服務(wù),實質(zhì)上是在以偏概全。 ?當然,根據(jù)具體情況,在進行風(fēng)險評估時可以有所側(cè)重。例如,如果某單位曾經(jīng)實施過風(fēng)險評估,其業(yè)務(wù)此后也沒有發(fā)生變化,那么再次評估時,該單位有可能只需關(guān)注新的漏洞就可以了。這時,風(fēng)險評估就可以簡化為脆弱性評估。 ( 2)風(fēng)險評估的最終目的 ?風(fēng)險評估結(jié)果是后續(xù)安全建設(shè)的依據(jù)。單獨的信息系統(tǒng)的安全風(fēng)險值沒有實際意義,不能將計算風(fēng)險值作為風(fēng)險評估工作的唯一重點,也不能把風(fēng)險值作為風(fēng)險評估工作的唯一成果。否則,這是一種誤區(qū)。 ?風(fēng)險的控制措施有四種,這與風(fēng)險值和成本因素密切相關(guān)。而成本因素便是通過在風(fēng)險評估的步驟中得出的信息進行判斷的。 ( 3)風(fēng)險控制的實施點 是 威脅源 系統(tǒng)設(shè)計 脆弱性 是 能被利用嗎? 存在可發(fā)起攻擊的脆弱性 否 否 無風(fēng)險 無風(fēng)險 存在 威脅 攻 擊 的成 本 小于獲利 否 是 否 預(yù)期損失大于門限 無風(fēng)險 無風(fēng)險 是 不可接受的風(fēng)險 ( 3)風(fēng)險控制的實施點 ?當存在系統(tǒng)脆弱性(缺陷或弱點)時 : 減少或修補系統(tǒng)脆弱性,降低脆弱性被攻擊的可能性; ?當系統(tǒng)脆弱性可被惡意攻擊時:運用層次化保護、結(jié)構(gòu)化設(shè)計、管理控制將風(fēng)險最小化或防止脆弱性被利用; ?當攻擊者的成本小于攻擊的可能所得時:運用保護措施,通過提高攻擊者成本來降低攻擊者的攻擊動機(例如使用系統(tǒng)訪問控制,限制系統(tǒng)用戶的訪問對象和行為)。 ?當損失巨大時:運用系統(tǒng)設(shè)計中的基本原則及結(jié)構(gòu)化設(shè)計、技術(shù)或非技術(shù)類保護措施來限制攻擊的范圍,從而降低可能的損失。 ( 4)風(fēng)險評估與其它工作的關(guān)系 ?風(fēng)險評估與其它工作不是并列關(guān)系。任何信息安全工作,其最終目的都是控制信息安全風(fēng)險,使殘余風(fēng)險可接受,從而促進信息化健康發(fā)展。 ?因此,風(fēng)險評估在實質(zhì)上不是一項獨立的過程,而是其它信息安全工作的基礎(chǔ),貫穿在其它工作之中。更重要的是,基于風(fēng)險的思想是信息安全中的核心思想。 ?風(fēng)險評估突出了 “ 有的放矢 ” ,這個 “ 的 ” 便是信息安全需求。而信息安全需求是貫穿在信息系統(tǒng)生命周期的全過程的。 66 ( 5)風(fēng)險評估中的角色與責(zé)任 角色 責(zé)任 國家信息安全主管機關(guān) 制定風(fēng)險評估的政策、法規(guī)和標準 督促、檢查和指導(dǎo) 業(yè)務(wù)主管機關(guān) 提出、制定并批準本部門的信息安全風(fēng)險管理 策略 領(lǐng)導(dǎo)和組織本部門內(nèi)的信息系統(tǒng)安全評估工作 基于本部門內(nèi)信息系統(tǒng)的特征以及風(fēng)險評估的 結(jié)果,判斷信息系統(tǒng)殘余風(fēng)險是否可接受,并 確定是否批準信息系統(tǒng)投入運行 檢查信息系統(tǒng)運行中產(chǎn)生的安全狀態(tài)報告 定期或不定期地開展新的風(fēng)險評估工作 信息系統(tǒng)擁有者 制定安全計劃,報上級審批 組織實施信息系統(tǒng)自評估工作 配合檢查評估或委托評估工作,并提供必要的 文檔等資源 向主管機關(guān)提出 新一輪風(fēng)險評估的建議 改善信息安全措施,控制信息安全風(fēng)險 信息系統(tǒng)承建者 根據(jù)對信息系統(tǒng)建設(shè)方案的風(fēng)險評估結(jié)果,修 正安全方案,使安全方案成本合理、積極有效 ,在方案中有效地控制風(fēng)險 規(guī)范建設(shè),減少在建設(shè)階段引入的新風(fēng)險 確保安全組件產(chǎn)品得到了相關(guān)機構(gòu)的認證 信息系統(tǒng)安全評估機構(gòu) 提供獨立的風(fēng)險評估 對信息系統(tǒng)中的安全措施進行評估,以判斷( 1 )這些安全措施在特定運行環(huán)境中的有效性; ( 2 )實現(xiàn)了這些措施后系統(tǒng)中存在的殘余風(fēng)險 提出調(diào)整建議,以減少或根除信息系統(tǒng)中的脆 弱性,有效對抗安全威脅,控制風(fēng)險 保護風(fēng)險評 估中獲得的敏感信息,防止被無關(guān)人員和單位 獲得 信息系統(tǒng)的關(guān)聯(lián)機構(gòu) 遵守安全策略、法規(guī)、合同等涉及信息系統(tǒng)交 互行為的安全要求,減少信息安全風(fēng)險 協(xié)助風(fēng)險評估機構(gòu)確定評估邊界 在風(fēng)險評估中提供必要的資源和資料 ( 6)等級保護中是如何體現(xiàn)風(fēng)險思想的 ?等級保護的定級過程 ? 這個過程引入了對風(fēng)險的認識,但其與風(fēng)險評估過程的最大不同,在于沒有考慮系統(tǒng)中的安全脆弱性以及已有的安全措施。原因在于,為信息系統(tǒng)分類的過程不是確定信息系統(tǒng) “ 已有的 ” 安全級的過程,而是確定其 “ 應(yīng)有的 ” 安全級的過程。 ?對各級信息系統(tǒng)提出的安全要求,實質(zhì)上是能使該級信息系統(tǒng)的安全風(fēng)險降低至可接受程度的安全要求。當然,這種要求是普適性的,必要時,各個信息系統(tǒng)應(yīng)進一步細化這些要求。 演講完畢,謝謝觀看!
點擊復(fù)制文檔內(nèi)容
外語相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖鄂ICP備17016276號-1