信息系统安全风险识别与评估
安全风险识别
按照目前项目管理称谓,安全威胁也叫安全风险。风险是值特定的威胁或单位资产的脆弱性而导致单位资产损失或伤害的可能性,包括三方面内容:1.对信息或资产产生威胁;2.威胁的发生对资产产生影响;3.威胁具有发生的概率。
从风险来源划分,可分为自然事件风险、人为事件风险、软件风险、软件过程风险、项目管理风险、应用风险、用户使用风险等。
自然事件风险是不以人的一直未转移的不可抗的天灾人祸。
人为事件风险分为:意外人为事件风险和有意人为事件风险。有意人为事件风险包括:1.内部窃密和破坏;2.恶意的黑客行为;3.工业(商业)间谍;4.恶意代码;5.侵犯个人隐私;6.其他有意的人为事件威胁。
软件系统风险主要由软件系统体系结构的合理程度及其对外界变化的适应能力产生的各种风险,包括:1.兼容风险;2.维护风险;3.使用风险。
软件过程风险是在软件开发周期过程中可能出现的风险及软件实施过程中外部环境的变化可能引起的风险,包括:1.软件需求阶段的风险;2.设计阶段的风险;3.实施阶段的风险;4.维护阶段的风险。
项目管理风险主要来源于:1.应用软件产品的不可预见性;2.软件的生产过程不存在绝对正确的过程形式;3.信息系统应用项目的独特性。
应用风险主要是在应用系统或软件过程中,尤其在网络环境下,因网络连接或操作而产生的风险,主要包括:
1.安全性;2.未授权访问和改变数据;3.未授权远程访问;4.不精确的信息;5.错误或虚假的信息输入;6.授权的终端用户滥用;7.不完整的处理;8.重复数据处理;9.不及时处理;10.通信系统失败;11.不充分的测试;12.不充分的培训;13.不充分的支持;14.不充分的文档。
用户使用风险是指终端用户进行开发和应用过程中产生的风险,包括:1.不充分的使用资源;2.不兼容的系统分;3.冗余系统;4.无效的应用;5.职责不明;6.用户对开发阶段分析不全面;7.非授权访问数据与程序;8.侵犯版权;9.病毒破坏信息
安全威胁的对象是一个单位的有形资产和无形资产,主要是有形资产。资产的价值体现了它对一个单位业务的重要程度。资产的评估有利于区分资产的价值,根据资产价值进行保护性设置成为可能。
资产评估的步骤:
1.根据单位业务的横向和纵向,逐级划分资产的界限和交换界面
2.确定各个级别的资产隶属部门的岗位、责任人、干系人,核实各自责任、权限和落实情况,进行有限的监督和监管
3.确定各个级别资产的价值和重要性,以及可能受到威胁的强弱程度
4.确定获取、维护各个级别资产的费用。
资产的重要性程度:可忽略;较低;中等;较高;非常高
资产评估的最后一步是列出一个所有被评估坚定的资产清单,其中包括每种资产各方面的价值和重要性。
弱点是系统本身的因素,威胁是外界对系统的作用,影响是威胁对系统本身造成的后果,风险受这三者的影响,基本的模型是: 风险=威胁*弱点*影响
威胁只有利用弱点才可以对系统造成影响。
风险识别的常用方法:
1.问询法
2.财务报表法
3.流程图法
4.现场观察法
5.历史资料法
6.环境分析法
7.类比法
8.专家咨询
风险评估
风险评估是对确定的风险因素进行的整体性评估,会详细的描述系统信息资源的相关威胁、脆弱性、出现概率。常用的评估方法有:
1.概率分布
2.外推法
3.定性评估
4.矩阵图分析
5.风险发展趋势评价方法
6.项目假设前提评价及数据准确度评估
进行风险定量评估的步骤:
1.将各种评估得到的结果制成矩阵,并分析得到一个综合的风险评估结果
2.通过测量安全风险的级别来划分安全威胁的级别
3.关注意外事故造成的影响,决定哪些系统给予较高的优先级
4.确定某一项资产或系统的安全风险是否在可接受范围内
选择性考察,客观性考察
信息系统安全风险识别与评估相关推荐
- 判定重大风险有哪几种_安全风险识别和评估的方法有哪些?
展开全部 常用的几种方法: 1.工作危害分析法(JHA) 工作危害分析法是一种定性的风险分析辨识方法,它是基于作e69da5e6ba9062616964757a686964616f3133336564 ...
- 安全风险识别是什么?主要内容有哪些?
安全风险识别是什么?在当今互联网时代,网络安全问题愈加突出.企业和个人的信息安全面临着越来越多的风险,因此,安全风险识别成为了一个非常重要的问题.本文主要分享安全风险识别是什么?主要内容有哪些? 安全 ...
- CARTA:Gartner的持续自适应风险与信任评估战略方法简介
在2017年6月份举办的第23届Gartner安全与风险管理峰会开幕式上,来自Gartner的三位VP级别的分析师(Ahlm, Krikken and Neil McDonald)分享一个题为< ...
- 基于金融知识图谱的会计欺诈风险识别方法
点击上方蓝字关注我们 基于金融知识图谱的会计欺诈风险识别方法 陈强1, 代仕娅2 1 兴业银行信息科技部,上海 201201 2 蚂蚁科技国际事业群数据算法技术部,上海 200120 摘要:针对商业银 ...
- 干货解析 | 如何通过用户的行为序列来提升欺诈风险识别
小蚂蚁说: 移动支付在带给人们便捷生活的同时,也面临着网络欺诈的空前挑战.仅在支付宝场景中,每日的欺诈举报量上千,涉案金额上百万. 作为移动支付领航者的支付宝,借助大数据和AI技术,并历经了十多年的发 ...
- 让黑产无处遁形 京东云推出风险识别服务
第45次<中国互联网络发展状况统计报告>显示,截至2020年3月,我国网民规模为9.04亿,互联网普及率达64.5%,网络购物用户规模达7.10亿.如此庞大的网民构成了中国蓬勃发展的消费市 ...
- 金融业务数据合规风险识别与防护解决方案
引言 当前,金融业正处于以科技赋能,实现大发展.大变革的关键时期,金融科技蓬勃发展,与此同时,金融科技企业生产运行过程中产生的客户个人属性.资金交易.合同等敏感信息数据也逐步以不同形式转化为资产传输于 ...
- 基于深度机器学习算法DBNs的风险识别模型
前言:最初关注深度机器学习是听了NUS的汪晟博士关于深度机器学习平台SIGNA的介绍,当时就发现深度机器学习是人工智能的一个革新的进步.但是由于从事的云计算和大数据方向的工作,所以平时只是作为自己的兴 ...
- 蚂蚁金服-支付风险识别亚军方案!
比赛名称:蚂蚁金服-支付风险识别 比赛链接: https://dc.cloud.alipay.com/index#/topic/intro?id=4 比赛背景 基于移动互联网的线下支付.保险.理财等新 ...
- 阿里云云盾-风险识别-增强版模式发布
信息摘要: 注册风险识别与营销风险识别新增"增强版"模式,引入设备风险SDK能力,基于端检测及设备指纹,强力提升移动端风险防控能力. 适用客户: 有移动APP类企业 版本/规格功能 ...
最新文章
- 香港城市大学、港理工招收博士生,有奖学金机会
- uniapp中遮罩穿透问题
- Firefox 在后台打开标签:about:config
- 远程恢复服务器,Hyper-V主机启用“远程桌面”功能
- pyhanlp 共性分析与短语提取
- Python文本处理几种方法
- java基础代码下载_Java基础(一)(示例代码)
- python请输出如下图形的程序_编写一个python程序,输出如下图形效果。
- CodeVS 1014 装箱问题(DP)
- HTML5 WebRTC API无需网络获取本地IP
- linux shell 高级编程,shell高级编程(带365个实例源码)
- php可以写无缝轮播图吗,怎样用css实现无缝轮播图切换?
- 《动手学深度学习》Mxnet环境搭建
- k8s部署EFK实现日志管理(mac desktop)
- 2018.3版本 CLion的激活码
- 万字长文:盘点2022全球10大数据泄漏事件(红蓝攻防角度)
- vue中遍历呈现数据
- Blender Cycles 辉光(Bloom)效果
- 3年前端入职健海科技(数疗领域方向),试用期总结
- 首届“全国人工智能大赛”正式启动,作为大赛支撑平台,和鲸科技助力年度顶级AI赛事
热门文章
- IME Starters Try-outs 2018 F - First Day + G - Greatest IME
- Redis数据结构之集合对象
- Bugzilla的安装和配置
- Linux系统(centos/ubuntu)修改IP地址方法总结
- linux命令配置永久ip地址,Linux命令行永久修改IP地址、网关和DNS。
- BZOJ 3717: [PA2014]Pakowanie
- 【转】ASP.NET Core 2.0 支付宝当面付之扫码支付
- 深入理解Spring四大元注解DIRT
- WiFi偏门协议(四):增强的传输机制802.11aa
- games101 作业1