資源描述:
《信息安全風(fēng)險評估自評估方法·》由會員上傳分享��,免費在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫�。
1�、套國網(wǎng)絡(luò)與信息安全技術(shù)研討會’嬲信息安全風(fēng)險評估自評估方法·崇小蕾張玉清中國科學(xué)院研究生院國家計算機網(wǎng)絡(luò)入侵防范中心,北京���,100043摘要:風(fēng)險評估分為自評估和他評估兩種類型�,其中�����,自評估是組織為了定期了解自身安全狀態(tài)而進行的一種評估活動���,在組織信息安全管理中有著重要的作用�����。為了使組織自我的風(fēng)險評估工作更具科學(xué)性和合理性�����,有必要在進行評估前確定一個評估實施的流程和方法��。本文在研究了國內(nèi)外相關(guān)標(biāo)準(zhǔn)的前提下提出了一套自評估的方法���,并對具體的實施進行了分析��,這些對具體的評估活動有著重要的指導(dǎo)作用�。關(guān)
2�、鍵宇:信息安全:風(fēng)險評估����;自評估MethodofInformationSecurityRiskSelf-assessmentChongXiaoleiZhangYuqingNationalComputerNetworkIntrusionProtectionCenter,Bc日hlg’100043Abstract:Theself-assessmentisanevaluatingactivitythatcBnmakeorganizationrealizeitssecuritystate����,self-as
3����、sessmenthaveimportanteffectintheinformationsecuritymanagement.Inordertomaketheriskevaluationmorescientificandreasonable�����。itiSessentialtoconfirmamethodofevaluation.Basedontheresearchofcorrelativestandard,weadvancedasetofself-assessmentmethod,andanalyze
4���、dtheimplementindetail,allthesehavedirectiveeffecttotheriskevaluation.Keywords:InformationSecurity;IUskEvaluation���;Self-evaluation1引言信息系統(tǒng)的特點決定了它將會遭受木馬�、惡意代碼��、人為破壞等各個方面的威脅�,存在各種風(fēng)險����。為了最大地保護信息系統(tǒng)的安全����,需要對信息系統(tǒng)進行安全風(fēng)險管理�,而對信息系統(tǒng)進行風(fēng)險評估是安‘基金項目:國家高技術(shù)研究發(fā)展863計劃(課題編號2005AA
5�、l42150)2002一研I-A-007作者簡介l崇小蕾,女���,1980年生���,北京��,碩士研究生���。張玉清����,男,1966年生����,副研究員全國網(wǎng)絡(luò)與信息安全技術(shù)研討會’2005·33t·全風(fēng)險管理的第一步?��。目前�,國內(nèi)外的風(fēng)險評估大致有兩種評估模式,即自評估和他評估��。其中自評估是指組織自身利用最小的資源(人力����、物力、資金等)消耗來了解目前組織的安全狀態(tài)以及安全流程和控制措施的有效性����,以便對組織本身進行綜合的判斷和投資來減小其風(fēng)險使它盡快達到一個可被接受的水平。幢1為了使組織自我的風(fēng)險評估工作更具科學(xué)性和合
6���、理性,同時也為了提高整個評估的效率���,有必要在進行評估前確定一套評估實施方法�����。許多國家或風(fēng)險評估組織都提出了自己的一套風(fēng)險評估的理論、方法和流程�,但還沒有相對統(tǒng)一的國際標(biāo)準(zhǔn)����。我們在對NIST800~30�、BS7799等標(biāo)準(zhǔn)的研究以及分析風(fēng)險評估中各要素的分級、分類的基礎(chǔ)上提出了一套自評估的方法和流程�,并對該流程具體的實施進行了詳細地分析���。2術(shù)語和定義下面是風(fēng)險評估中要用到的重要術(shù)語”1:●資產(chǎn)(Asset)任何對組織具有價值的東西,包括計算機硬件���、通信設(shè)施��、建筑物��、數(shù)據(jù)庫、文檔信息�����、’軟件�、信息服
7�����、務(wù)和人員等����,所有這些資產(chǎn)都需要妥善保護?!裢{(Threat)就是可能對資產(chǎn)或組織造成損害的意外事件的潛在原因���,即某種威脅源(threatsource)或威脅代理(threatagent)成功利用特定弱點對資產(chǎn)造成負面影響的潛在可能��。風(fēng)險評估關(guān)心的是威脅發(fā)生的可能性�?�!翊嗳觞c(Vulnerability)也被稱作漏洞或脆弱性����,即資產(chǎn)或資產(chǎn)組中存在的可被威脅利用的缺點�����,脆弱點一旦被利用�����,就可能對資產(chǎn)造成損害�����。脆弱點本身并不能構(gòu)成傷害�����,它只是威脅利用來實施影響的一個條件��?�!耧L(fēng)險(Risk)特定威脅利
8����、用資產(chǎn)的弱點給資產(chǎn)或資產(chǎn)組帶來損害的潛在可能性��。單個或者多個威脅可以利用單個或者多個弱點�����。風(fēng)險是威脅事件發(fā)生的可能性與影響綜合作用的結(jié)果���。3風(fēng)險評估流程和方法依據(jù)風(fēng)險評估流程實施評估是實現(xiàn)科學(xué)有效的風(fēng)險評估的重要前提���,我們設(shè)計的流程如圖l所示。具體包括準(zhǔn)備�����、識別安全要素����、確認(rèn)安全措施��、風(fēng)險計算等主要步驟���。其中����,風(fēng)險評估的準(zhǔn)備過程是組織進行風(fēng)險評估的基礎(chǔ)和前提條件��。資產(chǎn)識別是確定組織的關(guān)鍵資產(chǎn)并對其進行評估,這是后續(xù)步驟的基礎(chǔ)��。威脅識別是確定組織需要保護的每一項關(guān)鍵資產(chǎn)存在的威脅并對其發(fā)生的可能性
