資源描述:
《信息安全風(fēng)險(xiǎn)評(píng)估自評(píng)估方法·》由會(huì)員上傳分享��,免費(fèi)在線閱讀���,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫(kù)���。
1、套國(guó)網(wǎng)絡(luò)與信息安全技術(shù)研討會(huì)’嬲信息安全風(fēng)險(xiǎn)評(píng)估自評(píng)估方法·崇小蕾?gòu)堄袂逯袊?guó)科學(xué)院研究生院國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)入侵防范中心�,北京,100043摘要:風(fēng)險(xiǎn)評(píng)估分為自評(píng)估和他評(píng)估兩種類型�,其中,自評(píng)估是組織為了定期了解自身安全狀態(tài)而進(jìn)行的一種評(píng)估活動(dòng)�,在組織信息安全管理中有著重要的作用。為了使組織自我的風(fēng)險(xiǎn)評(píng)估工作更具科學(xué)性和合理性,有必要在進(jìn)行評(píng)估前確定一個(gè)評(píng)估實(shí)施的流程和方法�����。本文在研究了國(guó)內(nèi)外相關(guān)標(biāo)準(zhǔn)的前提下提出了一套自評(píng)估的方法����,并對(duì)具體的實(shí)施進(jìn)行了分析,這些對(duì)具體的評(píng)估活動(dòng)有著重要的指導(dǎo)作用���。關(guān)
2����、鍵宇:信息安全:風(fēng)險(xiǎn)評(píng)估�;自評(píng)估MethodofInformationSecurityRiskSelf-assessmentChongXiaoleiZhangYuqingNationalComputerNetworkIntrusionProtectionCenter,Bc日hlg’100043Abstract:Theself-assessmentisanevaluatingactivitythatcBnmakeorganizationrealizeitssecuritystate,self-as
3����、sessmenthaveimportanteffectintheinformationsecuritymanagement.Inordertomaketheriskevaluationmorescientificandreasonable。itiSessentialtoconfirmamethodofevaluation.Basedontheresearchofcorrelativestandard,weadvancedasetofself-assessmentmethod�����,andanalyze
4���、dtheimplementindetail����,allthesehavedirectiveeffecttotheriskevaluation.Keywords:InformationSecurity�;IUskEvaluation;Self-evaluation1引言信息系統(tǒng)的特點(diǎn)決定了它將會(huì)遭受木馬��、惡意代碼��、人為破壞等各個(gè)方面的威脅���,存在各種風(fēng)險(xiǎn)���。為了最大地保護(hù)信息系統(tǒng)的安全,需要對(duì)信息系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)管理����,而對(duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估是安‘基金項(xiàng)目:國(guó)家高技術(shù)研究發(fā)展863計(jì)劃(課題編號(hào)2005AA
5、l42150)2002一研I-A-007作者簡(jiǎn)介l崇小蕾����,女,1980年生�,北京,碩士研究生。張玉清���,男���,1966年生����,副研究員全國(guó)網(wǎng)絡(luò)與信息安全技術(shù)研討會(huì)’2005·33t·全風(fēng)險(xiǎn)管理的第一步?����。目前�����,國(guó)內(nèi)外的風(fēng)險(xiǎn)評(píng)估大致有兩種評(píng)估模式���,即自評(píng)估和他評(píng)估��。其中自評(píng)估是指組織自身利用最小的資源(人力���、物力、資金等)消耗來(lái)了解目前組織的安全狀態(tài)以及安全流程和控制措施的有效性����,以便對(duì)組織本身進(jìn)行綜合的判斷和投資來(lái)減小其風(fēng)險(xiǎn)使它盡快達(dá)到一個(gè)可被接受的水平�����。幢1為了使組織自我的風(fēng)險(xiǎn)評(píng)估工作更具科學(xué)性和合
6�����、理性,同時(shí)也為了提高整個(gè)評(píng)估的效率����,有必要在進(jìn)行評(píng)估前確定一套評(píng)估實(shí)施方法。許多國(guó)家或風(fēng)險(xiǎn)評(píng)估組織都提出了自己的一套風(fēng)險(xiǎn)評(píng)估的理論�、方法和流程,但還沒(méi)有相對(duì)統(tǒng)一的國(guó)際標(biāo)準(zhǔn)�����。我們?cè)趯?duì)NIST800~30�、BS7799等標(biāo)準(zhǔn)的研究以及分析風(fēng)險(xiǎn)評(píng)估中各要素的分級(jí)、分類的基礎(chǔ)上提出了一套自評(píng)估的方法和流程����,并對(duì)該流程具體的實(shí)施進(jìn)行了詳細(xì)地分析�。2術(shù)語(yǔ)和定義下面是風(fēng)險(xiǎn)評(píng)估中要用到的重要術(shù)語(yǔ)”1:●資產(chǎn)(Asset)任何對(duì)組織具有價(jià)值的東西��,包括計(jì)算機(jī)硬件���、通信設(shè)施����、建筑物�����、數(shù)據(jù)庫(kù)��、文檔信息�、’軟件、信息服
7�����、務(wù)和人員等��,所有這些資產(chǎn)都需要妥善保護(hù)����?��!裢{(Threat)就是可能對(duì)資產(chǎn)或組織造成損害的意外事件的潛在原因,即某種威脅源(threatsource)或威脅代理(threatagent)成功利用特定弱點(diǎn)對(duì)資產(chǎn)造成負(fù)面影響的潛在可能��。風(fēng)險(xiǎn)評(píng)估關(guān)心的是威脅發(fā)生的可能性��?�!翊嗳觞c(diǎn)(Vulnerability)也被稱作漏洞或脆弱性��,即資產(chǎn)或資產(chǎn)組中存在的可被威脅利用的缺點(diǎn)�����,脆弱點(diǎn)一旦被利用����,就可能對(duì)資產(chǎn)造成損害���。脆弱點(diǎn)本身并不能構(gòu)成傷害�,它只是威脅利用來(lái)實(shí)施影響的一個(gè)條件�����。●風(fēng)險(xiǎn)(Risk)特定威脅利
8�、用資產(chǎn)的弱點(diǎn)給資產(chǎn)或資產(chǎn)組帶來(lái)?yè)p害的潛在可能性。單個(gè)或者多個(gè)威脅可以利用單個(gè)或者多個(gè)弱點(diǎn)�。風(fēng)險(xiǎn)是威脅事件發(fā)生的可能性與影響綜合作用的結(jié)果。3風(fēng)險(xiǎn)評(píng)估流程和方法依據(jù)風(fēng)險(xiǎn)評(píng)估流程實(shí)施評(píng)估是實(shí)現(xiàn)科學(xué)有效的風(fēng)險(xiǎn)評(píng)估的重要前提���,我們?cè)O(shè)計(jì)的流程如圖l所示�����。具體包括準(zhǔn)備�、識(shí)別安全要素���、確認(rèn)安全措施����、風(fēng)險(xiǎn)計(jì)算等主要步驟��。其中��,風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備過(guò)程是組織進(jìn)行風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)和前提條件���。資產(chǎn)識(shí)別是確定組織的關(guān)鍵資產(chǎn)并對(duì)其進(jìn)行評(píng)估�,這是后續(xù)步驟的基礎(chǔ)。威脅識(shí)別是確定組織需要保護(hù)的每一項(xiàng)關(guān)鍵資產(chǎn)存在的威脅并對(duì)其發(fā)生的可能性
