计算机网络信息安全风险评估准则,计算机网络信息安全风险评估准则及方法研究.pdf...
第一章绪论
要素的关系,从而判断资产面临的风险大小。
风险评估各要素间的相互作用关系如图1-1所示。
露一 ,
利 \《 ≯
一;、,
加一 , 弯◇jJ.%/-1“
\鳓 一b上逵三b◆
安全事件、)·』堕叫残余风险、)——叫安全措施
图卜1 风险评估各要素间的关系
图1-1中方框部分的内容为风险评估的基本要素,椭圆部分的内容是与这些
要素相关的属性。
风险评估围绕其基本要素展开,在对这些要素的评估过程中需要充分考虑业
务战略、资产价值、安全需求、安全事件、残余风险等与这些基本要素相关的各
类属性。
风险评估的各要素及属性之间的关系为:
1.业务战略依赖资产去实现。
2. 资产是有价值的,组织的业务战略对资产的依赖度越高,资产价值就越
大。
3. 资产价值越大则其面临的风险越大。
4.风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成
安全事件。
5.威胁都要利用脆弱性,脆弱性越大则风险越大。
6.脆弱性是未被满足的安全需求,威胁要通过利用脆弱性来危害资产,从
而形成风险。
7. 风险的存在及对风险的认识导出安全需求。
8. 安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本。
2
第~章绪论
9. 安全措施可抵御威胁,降低安全事件的发生的可能性,并减少影响。
10.风险不可能也没有必要降为零,在实施了安全措施后还会有残留下来的
风险。有些残余风险来自于安全措施可能不当或无效,在以后需要继续
控制,而有些残余风险则是在综合考虑了安全成本与效益后未控制的风
险,是可以被接受的。
11.残余风险应受到密切监视,它可能会在将来诱发新的安全事件。
风险评估一般的工作流程如图卜2所示:
输入 风险评估活动 输出
图1-2风险评估的一般工作流程
上述工作流程是不断重复循环的大致过程。在实践中,基于不同目的和条件,
第一章绪论
不同阶段的风险评估工作可以简化或者充实其中的某些步骤。
随着人们对信息安全风险评估重要性的认识,风险评估工具得到广泛应用的
同时,也对风险评估工具的发展提出新的要求。
1.风险评估工具应整合多种安全技术
风险评估过程中要用到多种技术手段,如入侵检测、系统审计、漏洞扫描等,
将这些技术整合到一起,提供综合的风险分析工具,不仅解决了数据的多元获取
问题,而且为整个信息安全管理创造良好的条件。
2.风险评估工具应实现功能的集成
风险评估工具应具有状态分析、趋势分析和预见性分析等功能。同时,风险
评估工具应提供对系统及管理方面漏洞的修复和补偿办法。可以调动其他安全设
施如,防火墙、IDS等功能,使网络安全设备可以联动。风险分析是动态的分析
过程,又是管理人员进行控制措施选择的决策支持手段,因此全面完备的风险分
析功能是避免安全事件的前提条件。
3.风险评估工具逐步向智能化的决策支持系统发展
专家系统、神经网络等技术的引入使风险评估工具不是单纯的按照定制的控
制措施为用户提供解决方案,而是根据专家经验,进行推理分析后给出最佳的、
具有创新性质的控制方法。智能化的风险评估工具具有学习能力,可以在不断地
使用中产生新的知识,面对不断出现的新的问题。智能化的决策支持能够为普通
用户在面对各种安全现状的情况下提供专家级的解决方案。
4.风险分析工具向定量化方向发展
目前的风险分析工具主要通过对
计算机网络信息安全风险评估准则,计算机网络信息安全风险评估准则及方法研究.pdf...相关推荐
- 计算机网络信息安全风险评估准则,计算机网络信息安全风险评估标准与方法研究...
摘要: 随着计算机多媒体技术.互联网技术的快速发展和改进,其已经在电子政务.电子商务.金融证券.通信运营等领域得到了广泛的应用,取得了显著的成效.在计算机网络为人们工作.生活和学习带来极大便利的同时, ...
- 信息安全风险评估---矩阵法计算风险
矩阵法计算风险 假设:有以下信息系统中资产面临威胁利用脆弱性的情况: 共有两项重要财产:资产A1和资产A2: 资产A1面临一个主要威胁T1: 资产A2面临两个主要威胁T2,T3: 威胁T1可以利用资产 ...
- 信息安全风险评估是什么?如何进行评估?
信息安全风险评估是一项非常重要的工作,但很多人对它的了解并不是很透彻,甚至有人不知道什么是信息安全风险评估,接下来我们通过这篇文章为大家详细讲解一下. 什么是信息安全风险评估? 信息安全风险评估是参照 ...
- 计算机信息安全的可靠性,计算机网络可靠性的提升方案
] 前言 当今社会是一个高度信息化的时代.在人们的生活.学习与工作中,计算机已经成为了不可缺少的重要应用工具[1].人们主要依靠计算机网络进行信息传输,网络环境的安全与否直接关系到人们的经济利益以及社 ...
- 关于信息安全风险评估,你需要知道的
什么是信息安全风险评估? 信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值.潜在威胁.薄弱环节.已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施 ...
- 什么是信息安全风险评估?企业如何做?
什么是信息安全风险评估? 信息安全风险评估是参照风险评估标准和管理规范,对信息系统的资产价值.潜在威胁.薄弱环节.已采取的防护措施等进行分析,判断安全事件发生的概率以及可能造成的损失,提出风险管理措施 ...
- 完全解密企业信息安全风险评估
当前,无论是政府还是企业,对于自身的信息安全都非常关注.因此,企业信息安全风险评估再一次引起了业界的关注.那么,此类评估有什么标准?对企业的价值又体现在何处呢? 认识存在的风险 长期以来,人们对保障信 ...
- 信息安全风险评估实施
风险评估的实施过程包括信息安全风险评估准备.资产识 别.威胁识别.脆弱性识别.已有安全措施确认和风险分析六个 阶段. 风险评估准备,随后进行资产识别,威胁识别,脆弱性识别.三个识别通过后进行已有安全措 ...
- 计算机风险评估管理程序,第5章 信息安全风险评估实施流程
<第5章 信息安全风险评估实施流程>由会员分享,可在线阅读,更多相关<第5章 信息安全风险评估实施流程(25页珍藏版)>请在人人文库网上搜索. 1.第第5章章 信息安全风险信息 ...
- 【信息安全】信息安全风险评估-实践指南
自从上一次的文章后,有三个月的时候没有对工作总结了:对,三个月的事件正好遇上了互联网的大裁员......一直忙于找工作,现在总算安稳下来,根据最近一段时间对于信息安全风险评估的具体实践,来写一份实践指 ...
最新文章
- Java中Properties类的操作
- 判断一个点是否在三角形内部
- SAP Analytics Cloud里的Smart Discovery功能介绍
- tomcat调优的几个方面
- 操作系统原理 —— 操作系统概述
- Rectangle 属性
- python简单的购物程序代码-Python实现购物程序思路及代码
- 王炸!Waymo正式官宣无人车出行平台,瑟瑟发抖的不止Uber
- mysql配置主从数据库_mysql配置主从数据库
- 3D打印gcode命令大全及解析
- oracle存储过程sql拼接日期,Oracle 存储过程中的细节-日期处理
- 淘宝 触屏主页面 菜单
- 基于多传感器的AUV控制系统
- python回调廖雪蜂_Python 廖雪峰教程《三》
- 我,程序员,32岁失业后干啥都赔钱,月薪2万的好日子一去不返
- 1.4总线:并行总线、串行总线、单工、半双工、全双工、总线宽度、总线带宽、总线的分类、数据总线、地址总线、控制总线
- RobotFramework操作xlsx表格
- Linux 安装Git Server
- elementui登录界面的详细介绍
- Excel表格乘法函数公式