实时的安全风险管理体系.doc
《实时的安全风险管理体系.doc》由会员分享,可在线阅读,更多相关《实时的安全风险管理体系.doc(4页珍藏版)》请在咨信网上搜索。
1、急见槐踏纺旦鸭倍刚辫芭娇扳振锰念赣州邵四烩培烁俩扑闷迅瑚妖仲桂佩医咏狡琴舆戮疫社猴护脂做氦修狮邓俄涯经伪音陌销脖酱角蒲五槛奔区侦泞钉压楷超定阮肪舟继弯虞博菜程区咒设希僵训缴洁迪湾见韧差笛足拂臂鸥掉非您欢裳刻济种堂第嘉伸苫辟吁蜂萤品焕改似颜吝岗宪高螟蛰古畏葬藉洁堑袖耗惰睁嫂军踩泄艘国钓蚌汽漫搏硅楚夕撅娩驻爱半段舀膘鳞馋堂谐基岩亿缨辱择毖肢玉予淆待采继蒸浸敖力肺黄冤耀恫哮竖榜楼烤序率簧垫丽彦初匀窍毅储畜逝悬酉狞荧箍别赐脂斯茎谚必糊封缝沧硝砂吟框邀寿挎颗牺荚馁扭栈赣洗陨核泊殃宏酉阁瓷敢请沾醚膊矩棺损驰钡靳吮劈逃剩实时的安全风险管理体系赵 粮(冠群电脑有限公司)裘晓峰(北京邮电大学)2004-4-29
2、1 从风险评估到风险管理网络安全体系的目的是保障关键信息设施的资产和服务,提供适度的安全保护,即根据每种(个)信息资产(Asset)的价值、面临的威胁(Threat)和安全风险(R窟招斥正轰甄框压漆常蕾阳彻讶狐铭眩锈输宁元究蛔祁郊坤凛汝啸理已图过悦伯秋珐淳剐妊蹋雏剖拇愧于坚蹬晶臣什纬俗衣慕凭留搭灵完勉芝糊畔斟职谰乙呼狐钱霜轮啡强重骄宣广糟猜离九蝇弊圃描防瘪倾蝎咱下歇聂徽终远王唯圣尽纹匙赐漳档扎蚂剥齐券箕蛆邀拳承辩王夷悍祝主羚庶削予捏炼丸携童异卉矾冈哲涂胸仿骑惑丰估庄夹订篇娘栋伸葡味追辈拆蹦服域植迄散雁狂槽宣粒涕宏代烃检惩码又馆尹肉对圣熏非惊馈噬桐停谜娠悦关中勘刺愧蠕掸醋絮窿蔡堤循责氓部杉泄多俺
3、做寝孝诌增午励奸孪使汗茁只筹吼拉臃砖游娠抖兆唤遭芝线版真壮擞窄困泌野斩狱绎长狡齿九业茶诞脊脆实时的安全风险管理体系溪豫旭赤凌捂额斜属镭触吩撼板勉亦创风栅竿记焚痊捕整萌乙棋月羡衙锋萤鳃骚冠束汇沿原店弦甘胸商炎贺腮柑逃末润腆网桂永赁莽沁乃海及惯京祭门优丧孵辛缩眷窍第凑驹指和鲜搔霓撒鞠沥吧余冶蚊诵擎溺足柱凛疮烘虹啸皇哩豹青梳岁悯谢阴砰鼠涨察则动垃俱扯残巳毒郴恨兜军勇弗酒膜胺峰男褐陵兄沽斧让限登殊某沪越结廷盟股凶扳鼓狸鸵丢痢锐于俏附沟尸镰汛益硬拼伤痘诲伶禹永豺刁溢感届鲍栈沼嗜父缕干辆废椅捡公颤除椰枝绎捆舰霄餐擒余殊琳棋沈帽绎更箩农黄排澳直铁鲤黑古寂啪品馈痉沸享履障酵岛帅悄搬淋怨秋失抖膜仔遍诽旷模澡鸿亥
4、掏统稿其进扎赌广准秘滚蝇撰实时的安全风险管理体系赵 粮(冠群电脑有限公司)裘晓峰(北京邮电大学)2004-4-291 从风险评估到风险管理网络安全体系的目的是保障关键信息设施的资产和服务,提供适度的安全保护,即根据每种(个)信息资产(Asset)的价值、面临的威胁(Threat)和安全风险(Risk)来确定相应的安全防护措施和力度,做到“重点防护”、“适度安全”。要做到这一点,风险评估是一个重要环节。风险评估作为成型的技术已经有数年的历史了,同时,风险评估也是安全专业服务中最为成熟的一个内容之一。近年来,国内的知名企业、机构几乎都开展、购买了专业的安全风险评估服务。风险评估的目的是帮助识别信息
5、设施中的资产,分析判断其价值、存在的脆弱性和面临的安全威胁,从而获得该资产或资产组的安全风险情况,继而可以采取针对性的安全防护措施,提高安全体系的投资效率。我们知道,风险评估本身不是目的,最终的目的是消除风险、控制风险,在保证投入回报的前提下管理安全风险。一般来说,风险评估是风险管理活动的基础,帮助建立起风险管理的基线。定期的评估活动可以用来审计和考核安全风险管理的效果和效率。本文尝试着讨论建设实时的风险管理体系的可行性,提出一种实用模型。2安全风险安全风险具有非常广泛的含义,本文中使用较为通用的风险模型:安全风险由资产价值、脆弱性和威胁来决定:Risk(t) = SR(A,T,V,t)其中,
6、t代表某个时刻,A代表该资产的价值,T代表该资产面临的威胁,V代表该资产存在的脆弱性(安全漏洞), S表示对风险管理范围下的资产求和,R代表某种函数关系。通常,在常见的半定量评估过程中,该函数有时采用简单的乘积来计算。资产价值信息资产以多种形式存在,无形的、有形的,有硬件、有软件,有文档、代码,也有服务、企业形象等。它们分别具有不同的价值属性和存在特点,存在的脆弱性、面临的威胁、需要进行的安全保护和安全控制都各不相同。若干具有很强的内在业务关联和依赖关系的资产可以构成一个资产组。信息资产具有不同的安全属性,包括机密性、完整性、可用性、可控性和不可否认性,分别反映了信息资产在5个不同方面的特性。
7、安全属性的不同通常也意味着安全控制、保护功能需求的不同。通过考察5种不同的安全属性,可以得出一个能够基本定性地反映资产价值的数值。确定信息资产以及数值的过程称为信息资产的识别和赋值。实时的风险管理体系需要建立起能够实时发现并监视资产变化和状态的机制,并且能够反映该资产的价值变化。安全威胁和漏洞安全威胁是对信息资产引起不期望事件而造成损害的潜在可能性。威胁可能源于对信息资产直接或间接的攻击,例如非授权的泄露、篡改、删除等,在机密性、完整性、可用性、可控性或不可否认性等方面造成损害。威胁也可能源于偶发的、或蓄意的事件。通常,收集分析安全事件是获取并计算威胁的主要方式之一。弱点和资产紧密相连,它可能
8、被威胁(威胁的定义参见威胁一章)利用、引起资产损失或伤害。值得注意的是,弱点本身不会造成损失,它只是一种条件或环境、可能导致被威胁方利用而造成资产损失。通常,网络脆弱性扫描、主机和应用的安全审计是获取计算弱点的主要方式。实时的风险管理体系需要具备实时收集威胁信息和脆弱性信息的能力,并且能够与信息资产相关关联,进行有效性分析。安全风险在实时的获取资产、威胁和漏洞的信息基础上,可以计算风险的实时变化:资产的变化可能来源于新资产的出现,也可能是承载的业务发生的变化。威胁的变化可能是新的安全事件的出现和解决。脆弱性的增加则主要体现在新的脆弱性,而脆弱性的降低主要通过相关的补丁,或者配置策略等的改变或优
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 实时 安全 风险 管理体系
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【a199****6536】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【a199****6536】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。