返回
第八期风险评估基本流程和技术方法

第八期风险评估基本流程和技术方法

ID:41541667

大小:81.82 KB

页数:5页

时间:2019-08-27

第八期风险评估基本流程和技术方法_第1页
第八期风险评估基本流程和技术方法_第2页
第八期风险评估基本流程和技术方法_第3页
第八期风险评估基本流程和技术方法_第4页
第八期风险评估基本流程和技术方法_第5页
资源描述:

《第八期风险评估基本流程和技术方法》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、第八期风险评估基本流程和技术方法一、风险评估的基本实施流程是什么?二、开展风险评估需要做哪些准备?风险评估准备是整个风险评估过程有效性的保证。因此,在风险评估实施前,应:(1)确定风险评估的目标;(2)确定风险评估的范围;(3)组建适当的评估管理与实施团队;(4)进行系统调研;(5)确定评估依据和方法;(6)制定风险评估方案;(7)获得最高管理者对风险评估工作的支持。三、如何进行资产识别?保密性、完整性和可用性是评价资产的三个安全属性。风险评估中资产的价值不是以资产的经济价值来衡量,而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来

2、决定的。资产识别过程主要包括以下具体活动:(1)回顾评估范围内的业务。回顾这些信息的主要目的是让资产识别人员对所评估的业务和应用系统有一个大致的了解,为后续的资产识别活动做准备。(2)识别信息资产,进行合理分类。资产分类的目的是降低后续分析和赋值活动的工作量。(3)确定每类信息资产的安全需求。可以从保密性、完整性和可用性三个方面对每个资产类别进行安全需求分析。(4)为每类信息资产的重要性赋值。在上述安全需求分析的基础上,按照一定的方法确定资产的价值或重要程度等级。四、如何进行威胁识别?威胁可以通过威胁主体、资源、动机、途径等多种属性来描述。造成威胁的因素可分为

3、人为因素和环境因素。根据威胁的动机,人为因素又可分为恶意和非恶意两种。环境因素包括自然界不可抗的因素和其它物理因素。威胁作用形式可以是对信息系统直接或间接的攻击,在保密性、完整性和可用性等方面造成损害;也可能是偶发的、或蓄意的事件。在对威胁进行分类前,应考虑威胁的来源。威胁识别主要包括以下具体活动:(1)威胁识别。威胁识别包括实际威胁识别和潜在威胁识别。(2)威胁分类。对上述实际发生过的和潜在的威胁进行分类。(3)构建威胁的场景。在上述工作基础上,为每个或每类关键资源构建威胁场景图。(4)威胁赋值。对具体威胁或威胁类别进行赋值。五、如何进行脆弱性识别?脆弱性识

4、别是风险评估中最重要的一个环节,包括物理、系统、网络、应用和管理五个方面。脆弱性识别主要包括以下具体活动:(1)脆弱性识别。通过扫描工具或手工等不同方式,识别当前系统中存在的脆弱性。(2)识别结果整理与展示。在脆弱性识别阶段,应将脆弱性识别结果以合理的方式展现给被评估的组织。(3)脆弱性赋值。某些具体的风险分析、计算方法,需要对脆弱性赋值,方能完成后续的风险计算活动,因此,若有此需要,应根据一定的赋值准则,对被识别的脆弱性进行赋值。六、如何识别与确认已有安全措施?在识别脆弱性的同时,评估人员应对已采取的安全措施的有效性进行确认。安全措施的确认应评估其有效性,即

5、是否真正地降低了系统的脆弱性,抵御了威胁。对有效的安全措施继续保持,以避免不必要的工作和费用,防止安全措施的重复实施。对确认为不适当的安全措施应核实是否应被取消或对其进行修正,或用更合适的安全措施替代。安全控制措施大致可以分为技术控制措施、管理和操作控制措施两大类。(1)技术控制措施的识别与确认识别已有的技术控制措施,并对其有效性进行分析和确认。(2)管理和操作控制措施的识别与确认识别已有的管理和操作控制措施,并对其有效性进行分析和确认。七、如何进行风险分析?在完成了资产识别、威胁识别、脆弱性识别,以及已有安全措施确认后,将采用适当的方法与工具确定威胁利用脆弱

6、性导致安全事件发生的可能性。综合安全事件所作用的资产价值及脆弱性的严重程度,判断安全事件造成的损失对组织的影响,即安全风险。风险计算的原理是:风险值二R(A,T,V)二R(L(T,V),F(Ia,Va))6其中,R表示安全风险计算函数;A表示资产;T表示威胁;V表示脆弱性;la表示安全事件所作用的资产价值;Va表示脆弱性严重程度;L表示威胁利用资产的脆弱性导致安全事件的可能性;F表示安全事件发生后造成的损失。为实现对风险的控制与管理,可以对风险评估的结果进行等级化处理,等级越高,风险越高。对不可接受的风险应根据导致该风险的脆弱性制定风险处理计划。安全措施的选择

7、应从管理与技术两个方面考虑。安全措施的选择与实施应参照信息安全的相关标准进行。在对不可接受的风险选择适当安全措施后,为确保安全措施的有效性,可进行再评估,以判断实施安全措施后的残余风险是否已经降低到可接受的水平。残余风险的评估可以依据本标准提出的风险评估流程实施,也可做适当裁减。某些风险可能在选择了适当的安全措施后,残余风险的结果仍处于不可接受的风险范围内,应考虑是否接受此风险或进一步增加相应的安全措施。八、风险评估的技术方法主要包括哪些?在风险评估的实施过程中,主要包括工具检测、人工检查、渗透性测试三大技术方法。1、工具检测工具检测是风险评估的辅助手段,是保

8、证风险评估结果可信度的一个重要因素,在

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。