【正文】 下午 8時 29分 42秒 下午 8時 29分 20:29: MOMODA POWERPOINT Lorem ipsum dolor sit, eleifend nulla ac, fringilla purus. Nulla iaculis tempor felis amet, consectetur adipiscing elit. Fusce id urna blanditut cursus. 感謝您的下載觀看 專家告訴 。 2023年 1月 下午 8時 29分 :29January 23, 2023 1業(yè)余生活要有意義，不要越軌。 :29:4220:29:42January 23, 2023 1意志堅強的人能把世界放在手中像泥塊一樣任意揉捏。 20:29:4220:29:4220:29Monday, January 23, 2023 1知人者智，自知者明。 20:29:4220:29:4220:291/23/2023 8:29:42 PM 1越是沒有本領(lǐng)的就越加自命不凡。 下午 8時 29分 42秒 下午 8時 29分 20:29: 楊柳散和風(fēng)，青山澹吾慮。 2023年 1月 下午 8時 29分 :29January 23, 2023 1少年十五二十時，步行奪得胡馬騎。 :29:4220:29:42January 23, 2023 1意志堅強的人能把世界放在手中像泥塊一樣任意揉捏。 :29:4220:29Jan2323Jan23 1世間成事，不求其絕對圓滿，留一份不足，可得無限完美。 , January 23, 2023 很多事情努力了未必有結(jié)果，但是不努力卻什么改變也沒有。 2023年 1月 23日星期一 8時 29分 42秒 20:29:4223 January 2023 1做前，能夠環(huán)視四周；做時，你只能或者最好沿著以腳為起點的射線向前。 2023年 1月 23日星期一 下午 8時 29分 42秒 20:29: 1比不了得就不比，得不到的就不要。 20:29:4220:29:4220:29Monday, January 23, 2023 1乍見翻疑夢，相悲各問年。 20:29:4220:29:4220:291/23/2023 8:29:42 PM 1以我獨沈久，愧君相見頻。自然形態(tài)分類（勾畫資產(chǎn)樹：管理、技術(shù) … 逐步往下細(xì)化）；信息形態(tài)分類（信息環(huán)境、 信息載體、信息） 79 按信息形態(tài)分類 資產(chǎn)識別 80 業(yè) 務(wù) 系 統(tǒng) 1業(yè) 務(wù) 過 程 1 1 業(yè) 務(wù) 過 程 1 2信 息 系 統(tǒng) 1 信 息 系 統(tǒng) 2信 息 子 系 統(tǒng) 1 1 信 息 子 系 統(tǒng) 1 2軟 件 4軟 件 1 軟 件 2硬 件 1軟 件 3 軟 件 5硬 件 2 硬 件 3 硬 件 4環(huán) 境 1 環(huán) 境 2業(yè)務(wù)系統(tǒng)信息系統(tǒng)系統(tǒng)組件業(yè) 務(wù) 活 動 1 1 1 業(yè) 務(wù) 活 動 1 1 2 業(yè) 務(wù) 活 動 1 2 1 業(yè) 務(wù) 活 動 1 2 2圖 例A依賴于BAB81 威 脅識別 ? 威脅識別與資產(chǎn)識別是何關(guān)系？ 點和面：重點識別和全面識別 ? 威脅識別的重點和難點是什么 ？ 三問：“敵人”在哪兒？效果如何？如何取證？ ? 威脅識別的方法有哪些？ 日志分析 歷史安全事件 專家經(jīng)驗 互聯(lián)網(wǎng)信息檢索 威脅分類 ?分為： ? 人為故意威脅 ? 威脅意圖評估、威脅能力評估、操作限制評估、威脅源特點評估 ? 人為非故意威脅 ? 判定威脅源、評估威脅源特點、評估威脅源環(huán)境、評估事故發(fā)生時間 ? 自然威脅 ? 地震、海嘯、洪水 82 83 脆 弱性識別 ? 脆弱性識別的難點是什么？ 三性：隱蔽性、欺騙性、復(fù)雜性 ? 脆弱性識別的方法有哪些？ 脆弱性 分類 ? 管理脆弱性（如缺少管理制度） ? 結(jié)構(gòu) 脆弱性（如安全域劃分 不當(dāng)） ? 操作 脆弱性（如安全審計員業(yè)務(wù)生疏 ） ? 技術(shù)脆弱性（如系統(tǒng)有 bug） ? 物理脆弱性（如一層的窗子沒有防護欄） ? 脆弱性識別與威脅識別是何關(guān)系？ 驗證：以資產(chǎn)為對象，對威脅識別進(jìn)行驗證 脆弱性識別內(nèi)容 84 常見脆弱性識別工作方式 85 脆弱性識別方式 工作對象 安全配置核查 服務(wù)器、網(wǎng)絡(luò)設(shè)備、終端、中間件、應(yīng)用軟件 漏洞掃描 主機、應(yīng)用程序 滲透測試 系統(tǒng)各個層面 安全架構(gòu)分析 系統(tǒng)各個層面 數(shù)據(jù)流分析 網(wǎng)絡(luò)中的數(shù)據(jù)流 訪談 管理人員及系統(tǒng)開發(fā)、運維技術(shù)人員 ... ... 確認(rèn)已有的安全控制 ?考慮： ? 預(yù)防性措施 ? 檢測性措施 ? 糾正性 措施 ? 威懾性 措施 86 87 風(fēng)險分析 風(fēng)險分析 ?GB/T 209842023《 信息安全風(fēng)險評估規(guī)范 》 給出信息安全風(fēng)險分析思路 88 威 脅 出 現(xiàn) 的 頻 率脆 弱 性 的 嚴(yán) 重 程 度資 產(chǎn) 價 值安 全 事 件 的 可 能 性安 全 事 件 造 成 的 損 失風(fēng) 險 值威 脅 識 別脆 弱 性 識 別資 產(chǎn) 識 別風(fēng)險 值 = R（ A， T， V） = R（ L（ T， V）， F（ Ia， Va ）） ? R表示安全風(fēng)險計算 函數(shù) ? A表示 資產(chǎn) ? T表示 威脅 ? V表示 脆弱性 ? Ia表示安全事件所作用的資產(chǎn) 價值 ? Va表示脆弱性嚴(yán)重 程度 ? L表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的 可能性 ? F表示安全事件發(fā)生后造成的損失 89 風(fēng)險結(jié)果判定 知識域：信息安全風(fēng)險評估 知識子域： 風(fēng)險評估 工具 ?了解 風(fēng)險評估工具的分類 ?了解常用風(fēng)險評估 工具 90 風(fēng)險評估工具 ?風(fēng)險評估與管理工具 ? 一套集成了風(fēng)險評估各類知識和判據(jù)的管理信息系統(tǒng)，以規(guī)范風(fēng)險評估的過程和操作方法；或者是用于收集評估所需要的數(shù)據(jù)和資料，基于專家經(jīng)驗，對輸入輸出進(jìn)行模型分析 ?系統(tǒng)基礎(chǔ)平臺風(fēng)險評估工具 ? 主要用于對信息系統(tǒng)的主要部件（如操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、網(wǎng)絡(luò)設(shè)備等）的脆弱性進(jìn)行分析，或?qū)嵤┗诖嗳跣缘墓? ?風(fēng)險評估輔助工具 ? 實現(xiàn)對數(shù)據(jù)的采集、現(xiàn)狀分析和趨勢分析等單項功能，為風(fēng)險評估各要素的賦值、定級提供依據(jù) 91 92 風(fēng)險評估工具 ?風(fēng)險評估與管理工具 ? 基于標(biāo)準(zhǔn)的工具 ，如基于 NIST SP 80030或 ISO 27005開發(fā)的工具 ? 基于知識 的工具 ，綜合各種 風(fēng)險分析 方法，形成知識庫 ，以此為基礎(chǔ)完成綜合評估 ? 基于模型 的工具 ，對 典型系統(tǒng)的資產(chǎn)、威脅、脆弱性建立量化或半量化的模型 ?系統(tǒng)基礎(chǔ)平臺風(fēng)險評估 工具 ? 脆弱性掃描 工具 ： 基于網(wǎng)絡(luò)的掃描器、基于主機的掃描器、分布式網(wǎng)絡(luò) 掃描器 、 數(shù)據(jù)庫 脆弱性掃描器 ? 滲透性測試 工具 ： 黑客工具、腳本文件 ?風(fēng)險評估輔助工具 ? 檢查列表、入侵檢測系統(tǒng)、安全審計工具、拓?fù)浒l(fā)現(xiàn)工具和資產(chǎn)信息收集系統(tǒng) ，用于 評估過程參考的評估指標(biāo)庫、知識庫、漏洞庫、算法庫和模型庫 謝謝，請?zhí)釂栴}！ 靜夜四無鄰，荒居舊業(yè)貧。暴露系數(shù)表示為現(xiàn)實威脅對某個資產(chǎn)造成的損失百分比 ?步驟 3 確定年發(fā)生率 ARO ? ARO 是一年中風(fēng)險發(fā)生的次數(shù) 69 ?步驟 4 確定年預(yù)期損失 ALE ? ALE 是不采取任何減輕風(fēng)險的措施在一年中可能損失的總金額。一般用于那些低概率、但一旦風(fēng)險發(fā)生時會對組織產(chǎn)生重大影響的風(fēng)險 38 購買保險 服務(wù)外包 規(guī)避風(fēng)險 ?通過不使用面臨風(fēng)險的資產(chǎn)來避免風(fēng)險。要求： ? 參與 信息安全風(fēng)險評估工作的單位及其有關(guān)人員必須遵守國家有關(guān)信息安全的法律法規(guī)，并承擔(dān)相應(yīng)的責(zé)任和義務(wù) ? 風(fēng)險 評估工作的發(fā)起方必須采取相應(yīng)保密措施，并與參與評估的有關(guān)單位或人員簽訂具有法律約束力的保密 協(xié)議 ? 對 關(guān)系國計民生和社會穩(wěn)定的基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的信息安全風(fēng)險評估工作必須遵循國家的有關(guān)規(guī)定進(jìn)行 24