计算机系统安全风险评估.ppt

2019 12 30 信息安全原理与技术 1 第9章计算机系统安全风险评估 2019 12 30 信息安全原理与技术 2 本章主要内容 计算机系统安全风险评估的目的和意义安全风险评估途径安全风险评估方法安全风险评估手段安全风险评估的基本过程CyberCopScanner安全评估工具的使用信息系统安全风险的评估实例 2019 12 30 信息安全原理与技术 3 9 1计算机系统安全风险评估的目的和意义 风险评估是分析确定风险的过程信息安全风险评估是信息安全建设的起点和基础信息安全风险评估是需求主导和突出重点原则的具体体现重视风险评估是信息化比较发达的国家的基本经验 2019 12 30 信息安全原理与技术 4 基线评估 BaselineRiskAssessment 详细评估组合评估 9 2安全风险评估途径 2019 12 30 信息安全原理与技术 5 基于知识的评估方法基于模型的评估方法定量评估方法定性分析方法定性与定量相结合的综合评估方法 9 3安全风险评估方法 2019 12 30 信息安全原理与技术 6 调查问卷检查列表人员访谈漏洞扫描器渗透测试 9 4安全风险评估手段 2019 12 30 信息安全原理与技术 7 COBRACRAMMASSETCORACCtools 目前常见的自动化风险评估工具介绍如下 2019 12 30 信息安全原理与技术 8 计划和准备具体应当包括以下内容 目标 范围和边界 系统描述 角色和责任 风险评估行动计划 风险接受标准 风险评估适用表格 9 5安全风险评估的基本过程 2019 12 30 信息安全原理与技术 9 确定资产信息资产的存在形式有多种 包括 各种文档 纸质文件 软件资产 物理资产 人员 服务 组织形象与声誉 2019 12 30 信息安全原理与技术 10 威胁分析威胁源通常 人员威胁 包括故意破坏 如网络攻击等 和无意失误 如误操作等 系统威胁 系统 网络或服务的故障 如软件故障 硬件故障等 环境威胁 电源故障 液体泄漏 火灾等 自然威胁 洪水 地震 台风等 2019 12 30 信息安全原理与技术 11 脆弱点分析常见的弱点有三类 技术性弱点 操作性弱点 管理性弱点 2019 12 30 信息安全原理与技术 12 分析并评估现有的安全控制措施安全控制措施可以分为 管理性 Administrative 操作性 Operational 技术性 Technical 从控制的功能来看 安全控制措施又可以分为以下几类 威慑性 Deterrent 预防性 Preventive 检测性 Detective 纠正性 Corrective 2019 12 30 信息安全原理与技术 13 评估安全风险评估风险有两个关键因素 一个是威胁对信息资产造成的影响 另一个是威胁发生的可能性 前者通过资产识别与评估已经得到了确认 即资产受影响的敏感度 而后者还需要根据威胁评估 弱点评估 现有控制的评估来进行认定 2019 12 30 信息安全原理与技术 14 报告实施报告内容包括 概述 评估结果 推荐安全控制措施 提出建设性的解决方案 2019 12 30 信息安全原理与技术 15 风险的评判风险事件发生的概率Ps风险事件发生后影响程度Cf的模糊综合评判风险度Rs的计算案例 9 7信息系统安全风险的评估实例 2019 12 30 信息安全原理与技术 16 思考与练习 9 1请谈谈计算机信息系统安全风险评估在信息安全建设中的地位和重要意义 9 2简述在风险评估时从哪些方面来收集风险评估的数据 9 3简述运用模糊综合评估法对信息系统进行风险评估的基本过程 9 4参考其他文献 列举其他对信息系统进行安全风险评估的方法 比较它们的优缺点 并选择一种评估方法对本单位 学校 院系 的系统安全作一次风险评估 2019 12 30 信息安全原理与技术 17 9 5实验 CyberCopScanner安全扫描工具使用 实验内容 安装CyberCopScanner软件 扫描的配置 分析扫描报告 使用软件的附带工具