信息安全的基本概念

  • 格式:pdf
  • 大小:163.82 KB
  • 文档页数:4

信息安全的基本概念

1. 信息安全是指信息的保密性、完整性、可⽤性和真实性的保持。

2、信息安全的重要性

a.信息安全是国家安全的需要

b.信息安全是组织持续发展的需要

c.信息安全是保护个⼈隐私与财产的需要

3、如何确定组织信息安全的要求

a.法律法规与合同要求

b.风险评估的结果(保护程度与控制⽅式)

c.组织的原则、⽬标与要求

4.我国在信息安全管理⽅⾯存在的问题

宏观:(1)法律法规问题。健全的信息安全法律法规体系是确保国家信息安全的基础,是信息安全的第⼀道防线.

(2)管理问题。(包括三个层次:组织建设、制度建设和⼈员意识)

(3)国家信息基础设施建设问题。⽬前,中国信息基础设施⼏乎完全是建⽴在外国的核⼼信息技术之上的,导致我国在⽹络时代没有制⽹权.

微观:(1)缺乏信息安全意识与明确的信息安全⽅针。

(2)重视安全技术,轻视安全管理。

(3)安全管理缺乏系统管理的思想。5.系统的信息安全管理原则:制订信息安全⽅针原则;风险评估原则;费⽤与风险平衡原则;预防为主原则;商务持续性原则;动态管理原则;全员参与的原则; PDCA原则6、系统信息安全管理与传统⽐较

系统的信息安全管理是动态的、系统的、全员参与的、制度化的、预防为主的信息安全管理⽅式,⽤最低的成本,达到可接受的信息安全⽔平,从根本上保证业务的连续性,它完全不同于传统的信息安全管理模式:静态的、局部的、少数⼈负责的、突击式的、事后纠正式的,不能从根本上避免、降低各类风险,也不能降低信息安全故障导致的综合损失,商务可能因此瘫痪,不能持续。6.与风险评估有关的概念

a.威胁,是指可能对资产或组织造成损害的事故的潜在原因。

b.薄弱点,是指资产或资产组中能被威胁利⽤的弱点。

威胁与薄弱点的关系:威胁是利⽤薄弱点⽽对资产或组织造成损害的.c.风险,即特定威胁事件发⽣的可能性与后果的结合。

d.风险评估,对信息和信息处理设施的威胁、影响和薄弱点及三者发⽣的可能性评估.它是确

认安全风险及其⼤⼩的过程,即利⽤适当的风险评估⼯具,确定资产风险等级和优先控制顺序,

所以,风险评估也称为风险分析.7.与风险管理有关的概念

风险管理,以可接受的费⽤识别、控制、降低或消除可能影响信息系统安全风险的过程。a.安全控制,降低安全风险的惯例、程序或机制。

b.剩余风险,实施安全控制后,剩余的安全风险c.适⽤性声明,适⽤于组织需要的⽬标和控制的评述

8.风险评估与管理的术语关系图

(其实,安全控制与薄弱点间、安全控制与资产间、安全风险与资产间、威胁与

资产间均存在有直接或间接的关系)

风 险 管 理 风险评风险控制 降低风险 威 胁 利⽤ 薄弱点 防范 导致 暴露 导致 安全控制 安全风险 资产 达到 指出 增加 具有 安全要求 资产价值和潜在影响

降低9.风险评估过程

a.风险评估应考虑的因素

(1)信息资产及其价值

(2)对这些资产的威胁,以及他们发⽣的可能性

(3)薄弱点

(4)已有的安全控制措施b.风险评估的基本步骤

(1)按照组织商务运作流程进⾏信息资产识别,并根据估价原则对资产进⾏估价

(2)根据资产所处的环境进⾏威胁识别与评价

(3)对应每⼀威胁,对资产或组织存在的薄弱点进⾏识别与评价

(4)对已采取的安全控制进⾏确认

(5)建⽴风险测量的⽅法及风险等级评价原则,确定风险的⼤⼩与等级10.资产识别与估价

资产识别时常应考虑:(1)数据与⽂档(2)书⾯⽂件(3)软件资产(4)实物资产(5)⼈员(6)服务11.资产估价的概念

资产估价是⼀个主观的过程,资产价值不是以资产的账⾯价格来衡量的,⽽是指其相对价值。在对资产进⾏估价时,不仅要考虑资产的账⾯价格,更重要的是考虑资产对于组织商务的重要性,即根据资产损失所引发的潜在的商务影响来决定。12.P TV=P T*P V

式中P TV——考虑资产薄弱点因素的威胁发⽣的可能性;P T——未考虑资产薄弱点因素的威胁发⽣的可能性,即这⼀威胁发⽣可能性的组织、⾏业、地区或社会均值;

P V——资产的薄弱点被威胁利⽤的可能性

13.威胁的评价

评价威胁发⽣所造成的后果或潜在影响。不同的威胁对同⼀资产或组织所产⽣的影响不同,即导致的价值损失也不同,但损失的程度应以资产的相对价值(或重要度)为限。

威胁的潜在影响I=资产相对价值V*价值损失程度C L

价值损失程度C L是⼀个⼩于等于1⼤于0的系数,资产遭受安全事故后,其价值可能完全

丧失(即C L=1),但不可能对资产价值没有任何影响(即C L≠0)。为简化评价过程,可以⽤资产的相对价值代替其所⾯临的威胁产⽣的影响,即⽤V代替I,让C L=1。14.风险评估(重点)

①风险测量⽅法—风险⼤⼩和等级评价原则风险是威胁发⽣的可能性,薄弱点被威胁利⽤的可能性和威胁的潜在影响的函数: R=R(PT,PV,I)

其中:R---资产受到某⼀威胁所拥有的风险

例2-3 使⽤风险矩阵表进⾏测量(预先价值矩阵)

例2-4 ⼆元乘法风险测量,计算公式为:R=R(PTV,I)=PTV*I即利⽤威胁发⽣的真实可能性PTV和威胁的潜在影响I两个因素来评价风险,风险⼤⼩为两者因素值之乘积

例2-5 关于⽹络系统的风险测量举例R=R(PTV,I)=I*PTV=V*CL*PTV=V*(1-PD)*(1-PO) 式中:V----系统的重要性PO---防⽌威胁发⽣的可能性, PTV = 1-PO

PD---防⽌系统性能降低的可能性, CL= 1-PD

例2-6,7可接受的和不可接受的风险区分⽅法

③风险优先级别确定

例2-8 利⽤区间的⽅法将例2-1计算的风险进⾏等级划分15.安全控制的识别和选择:

选择依据①以风险评估的结果为依据②以费⽤因素为依据16.风险控制:

降低风险途径①避免风险,也称规避风险,属去除威胁②转移风险③减少威胁④减少薄弱点

⑤减少威胁可能的影响程度⑥探测有害事故,对其做出反应并恢复,属及时捕捉威胁

17.基本的风险评估

优点:(1)风险评估所需资源最少,简便易⾏

(2)同样或类似的控制能被许多信息安全管理体系所采⽤,不需要耗费很⼤的精⼒。如果多个商业要求类似,并且在相同的环境中运作,这些控制可以提供⼀个经济有效的解决⽅案。

缺点:(1)如果安全⽔平被设置的太⾼,就可能需要过多的费⽤或控制过度;如果⽔平太低,对⼀些组织来说,可能会得不到充分的安全。(由于⽅法是基本的,不细,较粗,因此,评估结果可能也较粗,不够精确,有⼀定的出⼊)

(2)对管理相关的安全进⾏更改可能有困难。如⼀个信息安全管理体系被升级,评估最初的控制是否仍然充分就有⼀定的困难。18.详细的风险评估

优点:(1)能获得⼀个更精确的安全风险的认识,从⽽更为精确地识别反映组织安全要求的安全⽔平。

(2)可以从详细的风险评估中获得额外信息,使与组织更改相关的安全管理受益。缺点:(1)需要⾮常仔细制订被评估的信息系统范围内的商务环境、运作、信息和资产边界,需要管理者持续关注,因⽽需要花费相当的时间、精⼒和技术才能获得可⾏的结果。

(2)不能把⼀个系统的控制⽅案简单移植到另⼀个系统中,甚⾄是⼀个以为类似的系统中。.19.风险评估和管理⽅法的选择应考虑的因素

⑴商务环境

⑵商务性质和重要性

⑶对⽀持组织商务的信息系统的技术性和⾮技术性的依赖

⑷商务及其⽀持系统、应⽤软件和服务的复杂性

⑸商业伙伴和外部业务以及合同关系的数量20. 风险管理实施惯例

⼗⼤最佳安全控制惯例:安全⽅针\安全组织\资产分类\⼈员安全\实物与环境安全\通信与运作管理\访问控制\系统开发与维护\商务持续性管理\依从(或称符合性)