午啪啪夜福利无码亚洲,亚洲欧美suv精品,欧洲尺码日本尺码专线美国,老狼影院成年女人大片

1、1,信息安全風險管理培訓,培訓機構名稱講師姓名,版本：3.0發布日期：2014-12-1生效日期：2015-1-1,2,課程內容,知識體,知識域,知識子域,信息安全風險管理,信息安全風險管理主要內容,信息安全風險管理基礎,信息安全風險評估,3,知識域：信息安全風險管理基礎,知識子域：風險相關基礎概念理解風險的概念，理解資產、威脅、脆弱性、業務戰略、安全事件、安全需求、安全措施等風險相關概念理解風險準則、風險評估、風險處理、風險管理、殘余風險的概念，掌握信息安全風險評估的概念理解風險相關要素之間的關系,3,4,風險，指事態的概率及其結果的組合（GB/Z 24364-2009信息安全風險管理指南）2、信息安全風險，指人為或自然的威脅利用信息系統及其管理體系中存在的脆弱性導致安全事件的發生及其對組織造成的影響（GB/T 20984-2007信息安全風險評估規范）信息安全風險會破壞組織信息資產的保密性、完整性或可用性等屬性,風險、信息安全風險的概念,4,5,風險的構成包括五個方面：起源（威脅源）、方式（威脅行為）、途徑（脆弱性）、受體（資產）和后果（影響）,風險的構成,5,6,風險相關術語,資產（Asset）威脅（Threat）脆弱性（Vunerability）可能性（Likelihood,Probability）安全措施/控制措施（Countermeasure,safeguard,contr3、ol）,業務戰略安全事件安全需求風險準則風險評估風險處理風險管理殘余風險（Residental Risk）信息安全風險評估,7,資產,資產是任何對組織有價值的東西，是要保護的對象資產以多種形式存在（多種分類方法）物理的（如計算設備、網絡設備和存儲介質等）和邏輯的（如體系結構、通信協議、計算程序和數據文件等）硬件的（如計算機主板、機箱、顯示器、鍵盤和鼠標等）和軟件的（如操作系統軟件、數據庫管理軟件、工具軟件和應用軟件等）有形的（如機房、設備和人員等）和無形的（如品牌、信心和名譽等）靜態的（如設施和規程等）和動態的（如人員和過程等）技術的（如計算機硬件、軟件和固件等）和管理的（如業務目標、戰略、策4、略、規程、過程、計劃和人員等）等,8,威脅,可能導致對系統或組織危害的不希望事故潛在起因引起風險的外因威脅源采取恰當的威脅方式才可能引發風險威脅舉例操作失誤濫用授權行為抵賴身份假冒口令攻擊密鑰分析,漏洞利用拒絕服務竊取數據物理破壞社會工程,9,脆弱性,可能被威脅所利用的資產或若干資產的薄弱環節造成風險的內因脆弱性本身并不對資產構成危害，但是在一定條件得到滿足時，脆弱性會被威脅源利用恰當的威脅方式對信息資產造成危害脆弱性舉例系統程序代碼缺陷系統設備安全配置錯誤系統操作流程有缺陷維護人員安全意識不足,10,可能性,某件事發生的機會威脅源利用脆弱性造成不良后果的機會舉例脆弱性只有國家級測試人員采用專5、業工具才能利用，發生不良后果的機會很小系統存在漏洞，但只在與互聯網物理隔離的局域網運行，發生不良后果的機會較小互聯網公開漏洞且有相應的測試工具，發生不良后果的機會很大,11,對風險概念的理解,威脅源采用某種威脅方式利用脆弱性造成不良后果的可能性 網站存在SQL注入漏洞，普通攻擊者利用自動化攻擊工具很容易控制網站，修改網站內容，從而損害國家政府部門聲譽,威脅源,威脅方式,脆弱性,風險,采取,利用,造成,12,對信息安全風險的理解,信息安全風險是指一種特定的威脅利用一種或一組脆弱性造成組織的信息相關資產損失或損害的可能性信息安全風險是指信息資產的保密性、完整性和可用性遭到破壞的可能性信息安全風險只6、考慮那些對組織有負面影響的事件,13,信息安全風險評估,是依據有關信息安全技術與管理標準，對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的過程它要評估資產面臨的威脅以及威脅利用脆弱性導致安全事件的可能性，并結合安全事件所涉及的資產價值來判斷安全事件一旦發生對組織造成的影響,14,風險處理、風險管理,風險處理是選擇并且執行措施來更改風險的過程風險管理是識別、控制、消除或最小化可能影響系統資源不確定因素的過程,15,安全措施/控制措施,保護資產，抵御威脅，減少脆弱性，降低安全事件的影響，以及打擊信息犯罪而實施的各種實踐、規程和機制，它是管理風險的具體手段和方法根據7、安全需求部署，用來防范威脅，降低風險的措施舉例部署防火墻、入侵檢測、審計系統測試環節操作審批環節應急體系終端U盤管理制度,16,殘余風險,采取了安全措施后，信息系統仍然可能存在的風險有些殘余風險是在綜合考慮了安全成本與效益后不去控制的風險殘余風險應受到密切監視，它可能會在將來誘發新的安全事件舉例風險列表中有10項風險，根據風險成本效益分析，只有前8項需要控制，則前8項處理后剩余的風險加上另2項風險為殘余風險，一段時間內系統處于風險可接受水平,17,風險相關要素之間的關系,18,知識域：信息安全風險管理基礎,知識子域：信息安全風險管理概述理解實施風險管理的主要原則理解風險管理的范圍和對象,18,8、19,實施風險管理的主要原則,風險管理創造和保護價值風險管理是所有組織過程不可分割的一個部分，促進組織的持續改進風險管理是透明的，參與人員應包含廣泛，同時考慮人員和文化因素風險管理是定制的，并具有體系化、結構化的特點風險管理是動態的、反復的和響應變化的,20,風險管理的范圍和對象,信息安全的概念涵蓋了信息、信息載體和信息環境三個方面的安全信息載體指承載信息的媒介，即用于記錄、傳輸、積累和保存信息的實體，如紙張、硬盤、網線等信息環境指信息及信息載體所處的環境，包括物理平臺、系統平臺、網絡平臺和應用平臺等硬環境和軟環境信息安全風險管理涉及信息安全上述三個方面包含的所有相關對象對于一個具體的信息系統9、，風險管理選擇的范圍和對象重點應有所不同,21,知識域：信息安全風險管理基礎,知識子域：信息安全風險相關政策與標準了解我國有關信息安全風險管理的政策要求了解信息安全風險管理相關的國內外標準,21,22,我國有關信息安全風險管理的政策要求,國家信息化領導小組關于加強信息安全保障工作的意見（中辦發200327號）明確提出要重視信息安全風險評估工作，將風險評估作為提高我國信息安全保障水平的一項重要舉措關于開展信息安全風險評估工作的意見（國信辦20065號），就信息安全風險評估工作的基本內容和原則，以及開展信息安全風險評估工作的有關安排等做出規定和部署關于加強國家電子政務工程建設項目信息安全風險評估工10、作的通知（發改高技20082071號），規范了國家電子政務工程建設項目信息安全風險評估工作,23,關于開展信息安全風險評估工作的意見（國信辦20065號）的實施要求,信息安全風險評估工作應當貫穿信息系統全生命周期。規劃設計階段、驗收時均應實施風險評估；運行后應定期實施應通過信息安全風險評估為信息系統確定安全等級提供依據，根據風險評估的結果檢驗網絡與信息系統的防護水平是否符合等級保護的要求,24,關于開展信息安全風險評估工作的意見（國信辦20065號）的管理要求,為規避由于風險評估工作而引入新的安全風險，必須高度重視信息安全風險評估的組織管理工作。要求：參與信息安全風險評估工作的單位及其有關人員11、必須遵守國家有關信息安全的法律法規，并承擔相應的責任和義務風險評估工作的發起方必須采取相應保密措施，并與參與評估的有關單位或人員簽訂具有法律約束力的保密協議對關系國計民生和社會穩定的基礎信息網絡和重要信息系統的信息安全風險評估工作必須遵循國家的有關規定進行,25,關于加強國家電子政務工程建設項目信息安全風險評估工作的通知（發改高技【2008】2071號）,電子政務工程建設項目應開展信息安全風險評估工作項目建設單位應在試運行期間開展風險評估工作，作為項目驗收的重要依據項目驗收申請時，應提交信息安全風險評估報告系統投入運行后，應定期開展信息安全風險評估,25,26,信息安全風險管理相關的國內外標準12、,GB/T 20984-2007信息安全風險評估規范GB/Z 24364-2009信息安全風險管理指南ISO/IEC 27005:2011信息安全風險管理ISO GUIDE 73:2009風險管理術語ISO 31000:2009風險管理主要原則和指南IEC/ISO 31010:2009風險管理風險評估技術NIST SP800-30(2012)實施風險評估指南NIST SP800-39(2011)管理信息安全風險：組織、使命和信息系統梗概NIST SP800-37(2010)聯邦信息系統應用風險管理框架指南：安全生命周期方法NIST SP800-53(2010)為聯邦信息系統和組織推薦的安全控制13、措施NIST SP800-53A(2010)聯邦信息系統和組織安全控制措施評估指南：建立有效的安全評估計劃,27,知識域：信息安全風險管理主要內容,知識子域：信息安全風險管理的基本內容和過程理解背景建立的主要工作內容理解風險評估的主要工作內容理解風險處理的主要工作內容理解批準監督的主要工作內容理解監控審查的主要工作內容理解溝通咨詢的主要工作內容,27,28,信息安全風險管理工作內容,背景建立,風險評估,風險處理,批準監督,GB/Z 24364信息安全風險管理指南：四個階段，兩個貫穿,29,背景建立,背景建立是信息安全風險管理的第一步驟，確定風險管理的對象和范圍，確立實施風險管理的準備，進行相關14、信息的調查和分析風險管理準備：確定對象、組建團隊、制定計劃、獲得支持信息系統調查：信息系統的業務目標、技術和管理上的特點信息系統分析：信息系統的體系結構、關鍵要素信息安全分析：分析安全要求、分析安全環境,30,背景建立過程,31,風險評估,信息安全風險管理要依靠風險評估的結果來確定隨后的風險處理和批準監督活動風險評估準備：制定風險評估方案、選擇評估方法風險要素識別：發現系統存在的威脅、脆弱性和控制措施風險分析：判斷風險發生的可能性和影響的程度風險結果判定：綜合分析結果判定風險等級,32,風險評估過程,33,風險處理,風險處理是為了將風險始終控制在可接受的范圍內。現存風險判斷：判斷信息系統中哪些15、風險可以接受，哪些不可以處理目標確認：不可接受的風險需要控制到怎樣的程度處理措施選擇：選擇風險處理方式，確定風險控制措施處理措施實施：制定具體安全方案，部署控制措施,34,風險處理過程,35,減低風險轉移風險規避風險接受風險,常用的四類風險處置方法,36,減低風險,通過對面臨風險的資產采取保護措施來降低風險 首先應當考慮的風險處置措施，通常在安全投入小于負面影響價值的情況下采用保護措施可以從構成風險的五個方面（即威脅源、威脅行為、脆弱性、資產和影響）來降低風險,37,減低風險的具體辦法,減少威脅源采用法律的手段制裁計算機犯罪，發揮法律的威懾作用，從而有效遏制威脅源的動機減低威脅能力采取身份認證16、措施，從而抵制身份假冒這種威脅行為的能力減少脆弱性及時給系統打補丁，關閉無用的網絡服務端口，從而減少系統的脆弱性，降低被利用的可能性防護資產采用各種防護措施，建立資產的安全域，從而保證資產不受侵犯，其價值得到保持降低負面影響采取容災備份、應急響應和業務連續計劃等措施，從而減少安全事件造成的影響程度,38,轉移風險,通過將面臨風險的資產或其價值轉移到更安全的地方來避免或降低風險通常只有當風險不能被降低或避免、且被第三方（被轉嫁方）接受時才被采用。一般用于那些低概率、但一旦風險發生時會對組織產生重大影響的風險,購買保險,服務外包,39,規避風險,通過不使用面臨風險的資產來避免風險。比如：在沒有足夠17、安全保障的信息系統中，不處理特別敏感的信息，從而防止敏感信息的泄漏對于只處理內部業務的信息系統，不使用互聯網，從而避免外部的有害入侵和不良攻擊通常在風險的損失無法接受，又難以通過控制措施減低風險的情況下,40,接受風險,接受風險是選擇對風險不采取進一步的處理措施，接受風險可能帶來的結果 用于那些在采取了降低風險和避免風險措施后，出于實際和經濟方面的原因，只要組織進行運營，就必然存在并必須接受的風險 接受風險不意味著不聞不問，需要對風險態勢變化進行持續的監控，一旦發展為無法接受的風險就要進一步采取措施,41,批準監督,批準：是指機構的決策層依據風險評估和風險處理的結果是否滿足信息系統的安全要求，18、做出是否認可風險管理活動的決定監督：是指檢查機構及其信息系統以及信息安全相關的環境有無變化，監督變化因素是否有可能引入新風險,42,批準監督過程,43,監控審查的意義,監控與審查可以及時發現已經出現或即將出現的變化、偏差和延誤等問題，并采取適當的措施進行控制和糾正，從而減少因此造成的損失，保證信息安全風險管理主循環的有效性,類似信息系統工程中的監理,44,監控審查過程,45,溝通咨詢,通過暢通的交流和充分的溝通，保持行動的協調和一致；通過有效的培訓和方便的咨詢，保證行動者具有足夠的知識和技能，就是溝通咨詢的意義所在,46,溝通咨詢過程,47,知識域：信息安全風險管理主要內容,知識子域：信息系統19、使命周期與信息安全風險管理理解信息系統生命周期與信息安全風險管理的關系理解系統規劃階段的風險管理工作內容理解系統設計階段的風險管理工作內容理解系統實施階段的風險管理工作內容理解系統運行維護階段的風險管理工作內容理解系統廢棄階段的風險管理工作內容,47,48,信息系統生命周期與信息安全風險管理的關系,信息系統生命周期的每個階段，有不同的信息安全目標為了達到其安全目標，每一階段都需要相應的風險管理手段作為支持 信息安全目標就是要實現信息系統的基本安全特性（即信息安全基本屬性），并達到所需的保障級別,49,規劃,設計,實施,運維,廢棄,系統規劃階段的安全目標,明確信息系統安全建設的目的,對信息系統安20、全建設實現的可能性進行分析論證并設計出總體安全規劃方案為了保證安全目標的實現，需要對信息系統規劃階段中可能引入安全風險的環節進行風險管理，從而降低在項目后期處理相同安全風險所帶來的高額成本,50,系統規劃階段的信息安全風險管理,51,系統設計階段的安全目標,規劃,設計,實施,運維,廢棄,依據規劃階段輸出的總體安全規劃方案來設計信息系統安全的實現結構（包括功能劃分、接口協議和性能指標等）和實施方案（包括實現技術、設備選型和系統集成等）在設計信息系統的實現結構和實施方案時，在技術的選擇、配合、管理等眾多的環節均容易引入安全風險，因此對關鍵的環節應提出必要的安全要求并有針對性地進行安全風險管理,5221、,系統設計階段的信息安全風險管理,53,系統實施階段的安全目標,規劃,設計,實施,運維,廢棄,按照規劃和設計階段所定義的信息系統安全實施方案采購設備和軟件，開發定制功能集成、部署、配置和測試信息系統的安全機制培訓人員對是否允許系統投入運行進行批準監督,54,系統實施階段的信息安全風險管理,55,在信息系統經過授權投入運行之后，確保在運行過程中，以及信息系統或其運行環境發生變化時維持系統的正常運行和安全性,系統運維階段的安全目標,規劃,設計,實施,運維,廢棄,56,系統運維階段的信息安全風險管理,57,確保對信息系統的過時或無用部分進行安全報廢處理，防止信息系統的安全要求和安全功能遭到破壞,系統22、廢棄階段的安全目標,規劃,設計,實施,運維,廢棄,58,信息系統廢棄階段的風險管理,59,知識域：信息安全風險評估,知識子域：風險評估工作形式理解自評估和檢查評估的風險評估工作形式理解自評估和檢查評估的區別及優缺點理解風險評估、檢查評估和等級保護測評之間的關系,59,60,風險評估工作形式,信息安全風險評估分為自評估、檢查評估兩種形式自評估為主，自評估和檢查評估相互結合、互為補充自評估和檢查評估可依托自身技術力量進行，也可委托第三方機構提供技術支持,61,自評估,信息系統擁有、運營或使用單位發起的對本單位信息系統進行的風險評估,由發起方實施優點有利于降低實施的費用有利于保密有利于發揮行業和部門23、內人員的業務特長有利于提高相關人員的安全意識和評估能力缺點可能結果不夠深入準確客觀性易受影響,由受委托方實施優點過程比較規范客觀性比較好缺點對業務了解存在局限性不利于保密,62,檢查評估,信息系統上級管理部門組織的或國家有關職能部門依法開展的風險評估,優點具權威性通過行政手段加強信息安全，具強制性缺點間隔時間較長，難以貫穿信息系統的生命周期一般是以抽樣的方式進行，難以覆蓋全部評估對象,63,風險評估、檢查評估和等級保護測評之間的關系,等保測評、安全檢查都是在既定安全基線的基礎上開展的符合性測評，其中等保測評是符合國家安全要求的測評，安全檢查是符合行業主管安全要求的符合性測評而風險評估是在國家、24、行業安全要求的基礎上，以被評估系統特定安全要求為目標而開展的風險識別、風險分析、風險評價活動,64,知識域：信息安全風險評估,知識子域：風險評估方法理解定性風險分析方法理解定量風險分析方法，掌握年度預期損失（ALE）的計算方法理解半定量風險分析方法理解定性和定量風險分析方法的優缺點,64,65,定性風險分析,定性風險分析在風險評價時，往往需要憑借分析者的經驗和直覺，或者業界的標準和慣例，為風險諸要素的大小或高低程度定性分級定性風險分析更具主觀性后果或影響的定性量度（示例）,66,可能性的定性量度（示例）,定性風險分析,67,根據預設的等級劃分規則判定風險結果依此類推，得到所有重要資產的風險值，25、并根據風險等級劃分表，確定風險等級,E：極度風險 H：高風險 M：中等風險 L:低風險,定性風險分析矩陣法,68,定量風險分析,定量風險分析試圖是在風險評估與成本效益分析期間收集的各個組成部分計算客觀數字值，定量風險分析更具客觀性例如，用替換成本、生產率損失成本、品牌名譽成本以及其他直接和間接商業價值來估計各項資產的真實價值定量分析主要試圖從財務數字上對安全風險進行評估，得出可以量化的風險分析結果，準確度量風險的可能性和損失量因為定量分析處理數字和金額價值，它必須有公式,69,定量風險分析年度預期損失法,步驟1-評估資產：根據資產價值（AV）清單,計算資產總價值及資產損失對財務的直接和間接影響26、步驟2-確定單一預期損失SLESLE 是指發生一次風險引起的收入損失總額SLE 是分配給單個事件的金額，代表一個具體威脅利用漏洞時將面臨的潛在損失（SLE 類似于定性風險分析的影響）將資產價值與暴露系數相乘(EF)計算出 SLE。暴露系數表示為現實威脅對某個資產造成的損失百分比 步驟3-確定年發生率AROARO 是一年中風險發生的次數,70,步驟4-確定年預期損失ALEALE 是不采取任何減輕風險的措施在一年中可能損失的總金額。SLE 乘以 ARO 即可計算出該值（ALE 類似于定性風險分析的相對級別）步驟5-確定控制成本控制成本就是為了規避企業所存在風險的發生而應投入的費用步驟6-安全投資收27、益ROSIROSI=(實施控制前的ALE）（實施控制后的ALE）（年控制成本）,定量風險分析年度預期損失法（續）,71,定性分析與定量分析,72,在風險分析過程中綜合使用定性和定量風險分析技術對風險要素賦值的方式，實現對風險各要素的度量數值化在實際的風險分析活動中，經常采用半定量的風險分析方法,半定量風險分析,73,半定量風險分析相乘法,74,知識域：信息安全風險評估,知識子域：風險評估的實施流程掌握風險評估準備階段的工作內容掌握風險要素識別階段的工作內容掌握風險分析階段的工作內容和工作步驟 掌握風險結果判定階段的工作內容,74,75,風險評估準備風險要素識別風險分析風險結果判定,風險評估實施28、流程,76,風險評估準備,77,風險要素識別,78,資產識別,資產識別在整個風險評估中起什么作用？,兩點：是整個風險評估工作的起點和終點,資產識別的重點和難點是什么？,一線：業務戰略 信息化戰略 系統特征（管理/技術）,資產識別的方法有哪些？,資產分類：樹狀法。自然形態分類（勾畫資產樹：管理、技術逐步往下細化）；信息形態分類（信息環境、信息載體、信息）,79,按信息形態分類,80,資產識別,81,威脅識別,威脅識別與資產識別是何關系？,點和面：重點識別和全面識別,威脅識別的重點和難點是什么？,三問：“敵人”在哪兒？效果如何？如何取證？,威脅識別的方法有哪些？,日志分析歷史安全事件專家經驗互聯網29、信息檢索,82,威脅分類,分為：人為故意威脅威脅意圖評估、威脅能力評估、操作限制評估、威脅源特點評估人為非故意威脅判定威脅源、評估威脅源特點、評估威脅源環境、評估事故發生時間自然威脅地震、海嘯、洪水,83,脆弱性識別,脆弱性識別的難點是什么？,三性：隱蔽性、欺騙性、復雜性,脆弱性識別的方法有哪些？,脆弱性分類管理脆弱性（如缺少管理制度）結構脆弱性（如安全域劃分不當）操作脆弱性（如安全審計員業務生疏）技術脆弱性（如系統有bug）物理脆弱性（如一層的窗子沒有防護欄）,脆弱性識別與威脅識別是何關系？,驗證：以資產為對象，對威脅識別進行驗證,84,脆弱性識別內容,85,常見脆弱性識別工作方式,86,確30、認已有的安全控制,考慮：預防性措施檢測性措施糾正性措施威懾性措施,87,風險分析,88,風險分析,GB/T 20984-2007信息安全風險評估規范給出信息安全風險分析思路,風險值=R（A，T，V）=R（L（T，V），F（Ia，Va）R表示安全風險計算函數A表示資產T表示威脅V表示脆弱性,Ia表示安全事件所作用的資產價值Va表示脆弱性嚴重程度L表示威脅利用資產的脆弱性導致安全事件的可能性F表示安全事件發生后造成的損失,89,風險結果判定,90,知識域：信息安全風險評估,知識子域：風險評估工具了解風險評估工具的分類了解常用風險評估工具,90,91,風險評估工具,風險評估與管理工具一套集成了風險評31、估各類知識和判據的管理信息系統，以規范風險評估的過程和操作方法；或者是用于收集評估所需要的數據和資料，基于專家經驗，對輸入輸出進行模型分析系統基礎平臺風險評估工具主要用于對信息系統的主要部件（如操作系統、數據庫系統、網絡設備等）的脆弱性進行分析，或實施基于脆弱性的攻擊風險評估輔助工具實現對數據的采集、現狀分析和趨勢分析等單項功能，為風險評估各要素的賦值、定級提供依據,92,風險評估工具,風險評估與管理工具基于標準的工具，如基于NIST SP 800-30或ISO 27005開發的工具基于知識的工具，綜合各種風險分析方法，形成知識庫，以此為基礎完成綜合評估基于模型的工具，對典型系統的資產、威脅、脆弱性建立量化或半量化的模型系統基礎平臺風險評估工具脆弱性掃描工具：基于網絡的掃描器、基于主機的掃描器、分布式網絡掃描器、數據庫脆弱性掃描器滲透性測試工具：黑客工具、腳本文件風險評估輔助工具檢查列表、入侵檢測系統、安全審計工具、拓撲發現工具和資產信息收集系統，用于評估過程參考的評估指標庫、知識庫、漏洞庫、算法庫和模型庫,93,謝謝，請提問題！,