野王,日本xxxx片免费观看,丁香五月婷婷亚洲,六月丁香婷婷大团结

會員中心
加入VIP
微信

客服微信網(wǎng)站公眾號

　煤礦　化工　建筑
　機械　電力　冶金
　消防　交通　特種

　論壇　活動　視頻
　問答　投稿　 MSDS
　簽到　超市　招聘

導航：安全管理網(wǎng)>> 培訓課件>> 管理知識>>正文

安全評估與安全管理

		點擊數(shù)：	更新時間： 2021年05月07日
下載地址：點擊這里	文件大?。?1.88 MB 共77頁	文檔格式： PPT	下載點數(shù)： 20 點（VIP免費）

部分內(nèi)容預覽 [文件共77頁]

本文件共77頁，只能預覽部分內(nèi)容，查看全部內(nèi)容需要下載。

注：預覽效果可能會出現(xiàn)部分文字亂碼（如口口口）、內(nèi)容顯示不全等問題，下載是正常的。

	文件大?。?.88 MB 共77頁文件格式：PPT 下載點數(shù)：20 點（VIP會員免費）

下一篇：安全生產(chǎn)經(jīng)營單位安全管理

上一篇：安全培訓之安全理念

文本預覽

僅提取頁面文字內(nèi)容，供快速閱讀使用。

信息安全講座
安全評估與安全管理  
備注：1
安全評估與安全管理
安全風險分析
安全風險評估方法和實例
安全風險控制
整體安全策略的設(shè)計和部署
應急響應處理

備注：2
一、安全風險分析
風險分析概述
風險分析的目的和意義
風險分析的原則和標準
風險分析方法
風險分析要素
風險識別

備注：3
一、風險分析概述
安全以風險形式存在，沒有絕對的安全

High Risk
Low Risk
   安全目標   
安全縫隙
高風險
低風險
當前安全狀態(tài)
備注：4
一、風險分析概述
1.1 信息安全風險
	安全風險是信息安全問題的表現(xiàn)形式，即由于系統(tǒng)存在的脆弱性，人為或自然的威脅導致安全事件發(fā)生的可能性及其造成的影響。風險評估是對各方面風險進行辨識和分析的過程，是對威脅、影響、脆弱性及三者發(fā)生的可能性的評估。它是確認安全風險及其大小的過程。 
備注：5
一、風險分析概述

1.2 對風險分析的認識
 從微觀上講，風險評估是“一種度量信息安狀況的方法和工具”，風險評估通過對網(wǎng)絡和信息系統(tǒng)潛在風險的識別、分析、評價以及控制和緩解措施等要素，度量網(wǎng)絡和信息系統(tǒng)的安全狀況。
風險評估是風險管理的基礎(chǔ)。

備注：6
一、風險分析概述
1.3 信息安全風險相關(guān)要素的關(guān)系
信息
資產(chǎn)
信息
資產(chǎn)

信息
資產(chǎn)

資產(chǎn)

防護措施
安全措施
安全措施
安
全
措
施
威脅
威脅
威脅
威脅
脆弱性
脆弱性
脆弱性
脆
弱
性
脆弱性

殘余風險
風險
殘余風險
殘余風險
備注：7
二、風險分析的目的和意義
 風險評估是解決“最基本安全問題”的基礎(chǔ)
 信息系統(tǒng)的安全狀況到底如何？
       ——用風險評估結(jié)果描述系統(tǒng)安全狀況。
 是否有統(tǒng)一的建設(shè)規(guī)范，統(tǒng)一的安全要求？
       ——風險評估是制定統(tǒng)一規(guī)范，統(tǒng)一要求的基礎(chǔ)。
 什么樣的信息安全方案合理，建設(shè)到什么程度合適？
       ——風險評估是制定方案的重要依據(jù)。
 現(xiàn)有的安全體系能否保證系統(tǒng)的安全？
       ——通過風險評估來檢驗安全體系。
備注：8
二、風險分析的目的和意義
2.1 風險分析的目的
    安全建設(shè)必需先“正確認識安全問題；準確了解安全狀態(tài)”，信息系統(tǒng)安全測評就是對信息系統(tǒng)安全的“度量”，是做好信息安全保障的重要基礎(chǔ)。

備注：9
二、風險分析的目的和意義
2.1 風險分析的目的
    	  風險分析是對信息系統(tǒng)及由其處理、傳輸和存儲的信息的機密性、完整性和可用性等安全屬性進行評價的過程。
		  評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響。評價是否實施和維護了適當?shù)陌踩胧b別存在的風險以及風險發(fā)生的可能性和影響，從而選擇可將風險降低到組織可接受級別的安全措施。
備注：10
二、風險分析的目的和意義
 安全評估的目的——了解系統(tǒng),  掌握資產(chǎn)
系統(tǒng)業(yè)務功能、數(shù)據(jù)和流程描述
用戶情況
系統(tǒng)結(jié)構(gòu)和配置
邊界的完整性
備注：11
二、風險分析的目的和意義
 風險評估的目的——了解系統(tǒng)安全狀況
系統(tǒng)的重要性
面臨的威脅
技術(shù)脆弱性和技術(shù)措施
運行和管理問題
風險狀況

備注：12
二、風險分析的目的和意義
 風險評估的目的——規(guī)劃域結(jié)構(gòu)，界定邊界和責任
備注：13
二、風險分析的目的和意義

政務專網(wǎng)平臺

非涉密光纖網(wǎng)絡
(專網(wǎng)2芯)
業(yè)務處理域A
業(yè)務處理域B

公眾用戶域
電子政務域
電子政務網(wǎng)絡域
公鑰基礎(chǔ)設(shè)施
異地容災
應急響應
電子政務
基礎(chǔ)服務域
公共網(wǎng)絡域

政務內(nèi)網(wǎng)域
（涉密域）
業(yè)務單位
政務外網(wǎng)域
業(yè)務單位
公眾服務域

政務內(nèi)網(wǎng)通信網(wǎng)絡

政務外網(wǎng)通信網(wǎng)絡
業(yè)務單位
政務內(nèi)網(wǎng)域
政務外網(wǎng)域
（非涉密域）

企業(yè)/其它機構(gòu)
信息系統(tǒng)

公共通信網(wǎng)

安全測評
備注：14
二、風險分析的目的和意義
 風險評估的目的——建設(shè)風險管理體系
風險識別

風險分析

風險評價

風險管理
（控制、緩解、
轉(zhuǎn)移…）

風險評估
備注：15
二、風險分析的目的和意義
        風險管理是指通過風險評估標識系統(tǒng)中的風險、解釋風險并實施計劃以降低風險至可接受程度的一個持續(xù)過程。
        風險評估是風險管理的一個重要環(huán)節(jié)，是分析評價信息系統(tǒng)安全狀態(tài)的重要方法和工具。
備注：16
二、風險分析的目的和意義
風險評估對信息系統(tǒng)生命周期的支持
支持安全需求分析，安全保護等級確定
項目
規(guī)劃
工程
實施
工程
驗收
分析
設(shè)計
支持系統(tǒng)架構(gòu)的安全性分析
評估對安全需求的實現(xiàn)
周期性地確定系統(tǒng)的安全狀態(tài)
系統(tǒng)
報廢
運行
維護
硬件、軟件、數(shù)據(jù)的處置
備注：17
三、風險評估原則和標準
保密原則 
標準性原則 
規(guī)范性原則 
可控性原則 
整體性原則 
最小影響原則 
備注：18
三、風險評估原則和標準
中華人民共和國保守國家秘密法 》(1988年9月5日中華人民共和國主席令第6號公布)
《中華人民共和國保守國家秘密法實施辦法》（國家保密局文件  國保發(fā) [1990] 1 號） 
《計算機信息系統(tǒng)保密管理暫行規(guī)定》（國家保密局文件  國保發(fā)[1998] 1 號）
《計算機信息系統(tǒng)安全保護等級劃分準則》（1999年9月國家技術(shù)監(jiān)督局發(fā)布）
《信息安全風險評估指南》國家標準報批稿
備注：19
四、風險評估過程和方法
風險評估過程(1)
硬件
軟件
接口
數(shù)據(jù)和信
人員
業(yè)務功能
（1）系統(tǒng)分析和
資產(chǎn)識別
輸入
輸出
風險評估活動
系統(tǒng)邊界
系統(tǒng)功能
系統(tǒng)和數(shù)據(jù)   的危險程度
系統(tǒng)和數(shù)據(jù)的敏感程度
識別關(guān)鍵資產(chǎn)
系統(tǒng)受攻擊的歷史信息
專業(yè)機構(gòu)和媒體的數(shù)據(jù)
（2）威脅分析識別
威脅描述
備注：20
四、風險評估過程和方法
風險評估過程(2)
前期風險評估報告
系統(tǒng)審計信息
系統(tǒng)特性
安全需求
安全測試結(jié)果
（3）脆弱性分析識別
輸入
輸出
風險評估活動
潛在的脆弱性列表
當前的安全措施
計劃的安全措施
（4）安全措施分析
當前和計劃的安全措施列表
備注：21
四、風險評估過程和方法
風險評估過程(3)
威脅動機
威脅能力
脆弱性本質(zhì)
當前安全措施
（5）可能性分析
輸入
輸出
風險評估活動
可能性級別
備注：22
四、風險評估過程和方法
風險評估過程(4)

業(yè)務影響分析
資產(chǎn)危險性分析
數(shù)據(jù)危險性
數(shù)據(jù)敏感性
（6）影響分析
輸入
輸出
風險評估活動
影響級別
威脅發(fā)生的可能性
影響的量級
當前和計劃的安全措施
（7）風險判定
（綜合分析）
風險和相應的風險等級
備注：23
四、風險評估過程和方法
風險評估過程(5)
（8）安全措施建議
輸入
輸出
風險評估活動
建議的安全措施
（9）結(jié)果報告
風險評估報告
備注：24
四、風險評估過程和方法
風險評估的基本方法
初級風險分析（Preliminary Risk Analysis ）
 風險評價指數(shù)（Risk Assessment Codes）
 失效模式及影響分析（Failure Mode and Effects Analysis(FMEA/FMECA) ）
 基于樹的技術(shù)（Tree Based Techniques）
 動態(tài)系統(tǒng)技術(shù)（Techniques for Dynamic system ）
備注：25
四、風險評估過程和方法
風險計算矩陣法
矩陣法原理
計算示例
風險計算相乘法
相乘法原理
計算實例
動態(tài)樹

備注：26
四、風險評估過程和方法
矩陣法概念
矩陣法適用范圍
矩陣法構(gòu)造方式
矩陣法特點

備注：27
四、風險評估過程和方法
Z=f(x,y)。函數(shù)f采用矩陣形式表示。以要素x和要素y的取值構(gòu)建一個二維矩陣，矩陣內(nèi)m*n個值即為要素Z的取值
備注：28
四、風險評估過程和方法
矩陣法主要適用于由兩個要素值確定一個要素值的情形。 
在風險值計算中，通常需要對兩個要素確定的另一個要素值進行計算，例如由威脅和脆弱性確定安全事件發(fā)生可能性值、由資產(chǎn)和脆弱性確定安全事件的損失值等，同時需要整體掌握風險值的確定，因此矩陣法在風險分析中得到廣泛采用。

備注：29
四、風險評估過程和方法
首先需要確定二維計算矩陣，矩陣內(nèi)各個要素的值根據(jù)具體情況和函數(shù)遞增情況采用數(shù)學方法確定，然后將兩個元素的值在矩陣中進行比對，行列交叉處即為所確定的計算結(jié)果。
矩陣的計算需要根據(jù)實際情況確定，矩陣內(nèi)值的計算不一定遵循統(tǒng)一的計算公式，但必須具有統(tǒng)一的增減趨勢，即如果是遞增函數(shù)，Z值應隨著x與y的值遞增，反之亦然。

備注：30
四、風險評估過程和方法
矩陣法特點
矩陣法的特點在于通過構(gòu)造兩兩要素計算矩陣，可以清晰羅列要素的變化趨勢，具備良好靈活性。
備注：31
四、風險評估過程和方法
矩陣法計算示例(1)
資產(chǎn)：
共有三個重要資產(chǎn)，資產(chǎn)A1、資產(chǎn)A2和資產(chǎn)A3；資產(chǎn)價值分別是：資產(chǎn)A1=2，資產(chǎn)A2=3，資產(chǎn)A3=5；
威脅：
資產(chǎn)A1面臨兩個主要威脅，威脅T1和威脅T2；資產(chǎn)A2面臨一個主要威脅，威脅T3；資產(chǎn)A3面臨兩個主要威脅，威脅T4和T5；
威脅發(fā)生頻率分別是：威脅T1=2，威脅T2=1，威脅T3=2，威脅T4=5，威脅T5=4；

備注：32
四、風險評估過程和方法
矩陣法計算示例(2)

脆弱性：
威脅T1可以利用的資產(chǎn)A1存在的兩個脆弱性，脆弱性V1和脆弱性V2；
威脅T2可以利用的資產(chǎn)A1存在的三個脆弱性，脆弱性V3、脆弱性V4和脆弱性V5；
威脅T3可以利用的資產(chǎn)A2存在的兩個脆弱性，脆弱性V6和脆弱性V7；
威脅T4可以利用的資產(chǎn)A3存在的一個脆弱性，脆弱性V8；
威脅T5可以利用的資產(chǎn)A3存在的一個脆弱性，脆弱性V9。
脆弱性嚴重程度分別是：脆弱性V1=2，脆弱性V2=3，脆弱性V3=1，脆弱性V4=4，脆弱性V5=2，脆弱性V6=4，脆弱性V7=2，脆弱性V8=3，脆弱性V9=5。
備注：33
四、風險評估過程和方法
示例計算過程
風險計算過程
（1）計算安全事件發(fā)生可能性
（2）計算安全事件造成的損失
（3）計算風險值
（4）結(jié)果判定 
以下以資產(chǎn)A1面臨的威脅T1可以利用的脆弱性V1為例，計算安全風險值 。
備注：34
四、風險評估過程和方法
計算安全事件發(fā)生的可能性
（1）構(gòu)建安全事件發(fā)生可能性矩陣；
（2）根據(jù)威脅發(fā)生頻率值和脆弱性嚴重程度值在矩陣中進行對照，確定安全事件發(fā)生可能性值 ；
（3）對計算得到的安全風險事件發(fā)生可能性進行等級劃分 。
備注：35
四、風險評估過程和方法
計算安全事件發(fā)生的可能性
備注：36
四、風險評估過程和方法
計算安全事件的損失
（1）構(gòu)建安全事件損失矩陣 ；
（2）根據(jù)資產(chǎn)價值和脆弱性嚴重程度值在矩陣中進行對照，確定安全事件損失值 ；
（3）對計算得到的安全事件損失進行等級劃分 。

備注：37
四、風險評估過程和方法
計算安全事件的損失
備注：38
四、風險評估過程和方法
四、風險評估過程和方法
（1）構(gòu)建風險矩陣 ；
（2）根據(jù)安全事件發(fā)生可能性和安全事件損失在矩陣中進行對照，確定安全事件風險 ；

備注：39
四、風險評估過程和方法
計算風險值
備注：40
四、風險評估過程和方法
風險結(jié)果判定
根據(jù)預設(shè)的等級劃分規(guī)則判定風險結(jié)果。
依此類推，得到所有重要資產(chǎn)的風險值，并根據(jù)風險等級劃分表，確定風險等級。

備注：41
四、風險評估過程和方法
矩陣法風險計算過程小結(jié)
計算安全事件發(fā)生可能性
（1）構(gòu)建安全事件發(fā)生可能性矩陣；
（2）根據(jù)威脅發(fā)生頻率值和脆弱性嚴重程度值在矩陣中進行對照，確定安全事件發(fā)生可能性值 ；
（3）對計算得到的安全風險事件發(fā)生可能性進行等級劃分 。 
計算安全事件的損失
（1）構(gòu)建安全事件損失矩陣 ；
（2）根據(jù)資產(chǎn)價值和脆弱性嚴重程度值在矩陣中進行對照，確定安全事件損失值 ；
（3）對計算得到的安全事件損失進行等級劃分 。
計算風險值
（1）構(gòu)建風險矩陣 ；
（2）根據(jù)安全事件發(fā)生可能性和安全事件損失在矩陣中進行對照，確定安全事件風險 ；
風險結(jié)果判定
備注：42
四、風險評估過程和方法
風險計算相乘法基本原理
相乘法原理：			        ，當f為增量函數(shù)時，    可以為直接相乘，也可以為相乘后取模等 。
相乘法的特點：簡單明確，直接按照統(tǒng)一公式計算，即可得到所需結(jié)果。
相乘法適用范圍：在風險值計算中，通常需要對兩個要素確定的另一個要素值進行計算，因此相乘法在風險分析中得到廣泛采用。
備注：43
四、風險評估過程和方法
面向關(guān)鍵資產(chǎn)的風險分析
 系統(tǒng)調(diào)查
系統(tǒng)業(yè)務模型
網(wǎng)絡和系統(tǒng)環(huán)境（用戶、結(jié)構(gòu)和邊界等）
安全體系結(jié)構(gòu)
設(shè)計與實現(xiàn)文檔

備注：44
四、風險評估過程和方法
面向關(guān)鍵資產(chǎn)的風險分析
備注：45
四、風險評估過程和方法
面向關(guān)鍵資產(chǎn)的風險分析 (系統(tǒng)平臺分析)
網(wǎng)絡通信服務
機構(gòu)
機構(gòu)

專用網(wǎng)絡

支持性基礎(chǔ)設(shè)施: 安全管理、密碼管理等

公共網(wǎng)絡

應用系統(tǒng)

邊界

應用區(qū)域
圖例:

涉密網(wǎng)絡

備注：46
四、風險評估過程和方法
面向關(guān)鍵資產(chǎn)的風險分析評估(網(wǎng)絡平臺分析)

Network Management

Directory
Services

Network
IDS

Domain Name
Servers

Nominal Network

Network Nodes (Routers/Switches)

Backbone Boundary Protection

Network Links (Fiber, Cable, Wireless, Satellite)

Local Network

通信網(wǎng)絡

連接資源子網(wǎng)

網(wǎng)絡節(jié)點 (路由器/交換機)

骨干邊界保護

網(wǎng)絡連接 (光纖, 電纜, 無線, 衛(wèi)星)

資源子網(wǎng)邊界

Local Network

局域網(wǎng)（資源子網(wǎng)）

目錄服務
域名服務
網(wǎng)絡和基礎(chǔ)設(shè)施包括
局域網(wǎng)內(nèi)的網(wǎng)絡設(shè)施
網(wǎng)絡管理
備注：47
四、風險評估過程和方法
面向關(guān)鍵資產(chǎn)的風險分析 (威脅分析)
攻擊主體
攻擊類型、
方式與途徑
資產(chǎn)
危脅本質(zhì)
破壞
內(nèi)部人員
外部人員
惡意代碼
故障
災難
偵聽與破譯
攻擊與破壞
利用與欺詐
物理破壞
數(shù)據(jù)庫
操作系統(tǒng)
網(wǎng)絡
物理設(shè)備
應用系統(tǒng)
未授權(quán)訪問
假冒
拒絕服務
機密性
完整性
可用性
可控性
真實性
數(shù)據(jù)
業(yè)務
備注：48
四、風險評估過程和方法
面向關(guān)鍵資產(chǎn)的風險分析 (安全功能測試)
 標識鑒別
 審計
 通信
 密碼支持
 用戶數(shù)據(jù)保護
 安全管理
 安全功能保護
 資源利用
 評估對象訪問
 可信路徑/信道

功能驗證
信息系統(tǒng)

測試結(jié)果
配置檢查
應用系統(tǒng)
公共平臺
系統(tǒng)平臺
網(wǎng)絡平臺
測試方法、用例

功能分析

備注：49
四、風險評估過程和方法
面向關(guān)鍵資產(chǎn)的風險分析(脆弱性檢測)
網(wǎng)絡掃描
         端口掃描
         操作系統(tǒng)棧指紋掃描
         漏洞掃描
主機掃描
         基于主機上的Agent精確發(fā)現(xiàn)漏洞
應用掃描
         遠程分析Web系統(tǒng)結(jié)構(gòu)，可以對各種應用程序特有及普遍存在的漏洞進行評估。
配置核查
  核查列表
備注：50
四、風險評估過程和方法
面向關(guān)鍵資產(chǎn)的風險分析(系統(tǒng)體系結(jié)構(gòu)分析)

信息安全相關(guān)法律、法規(guī)、政策、標準和規(guī)范的符合性
 安全體系結(jié)構(gòu)的合理性和對需求的符合性
 設(shè)計與實現(xiàn)的一致性
 相關(guān)文檔資料的齊備性
備注：51
四、風險評估過程和方法
面向關(guān)鍵資產(chǎn)的風險分析(脆弱性分析)
備注：52
四、風險評估過程和方法
面向關(guān)鍵資產(chǎn)的風險評價
關(guān)鍵資產(chǎn)
系統(tǒng)單元 
相關(guān)脆弱性 
相關(guān)措施 
個人所得稅
業(yè)務和數(shù)據(jù)
數(shù)據(jù)庫服務器
應用服務器
防火墻
OS脆弱性
數(shù)據(jù)庫脆弱性
應用脆弱性
防病毒 
權(quán)限管理
補丁管理
審計策略 
備份策略
報警響應
… …
… …
… …
… …

安全風險

安全風險

安全風險
安全風險
數(shù)據(jù)泄露
非授權(quán)訪問
數(shù)據(jù)篡改破壞
服務假冒
拒絕服務
多余開放端口
默認打開服務
更新不及時
… …
備注：53
四、風險評估要素
資產(chǎn)識別
威脅識別
脆弱性識別

備注：54
四、風險評估要素識別
相互聯(lián)系

安全措施

抵御

業(yè)務戰(zhàn)略
脆弱性
安全需求

威脅
風險
殘余風險
安全事件
依賴
具有
被滿足

利用
暴露
降低
增加

加
依賴
增加
導出
演變
      未被滿足
未控制
可能誘發(fā)

殘留

成本
資產(chǎn)
資產(chǎn)價值
備注：55
四、風險評估要素識別
相互聯(lián)系
	
（1）業(yè)務戰(zhàn)略依賴資產(chǎn)去實現(xiàn)；
（2）資產(chǎn)是有價值的，組織的業(yè)務戰(zhàn)略對資產(chǎn)的依賴度越高，資產(chǎn)價值就越大；
（3）資產(chǎn)價值越大則其面臨的風險越大；
（4）風險是由威脅引發(fā)的，資產(chǎn)面臨的威脅越多則風險越大，并可能演變成安全事件；
（5）弱點越多，威脅利用脆弱性導致安全事件的可能性越大；
（6）脆弱性是未被滿足的安全需求，威脅要通過利用脆弱性來危害資產(chǎn)，從而形成風險；
備注：56
四、風險評估要素識別
相互聯(lián)系

（7）風險的存在及對風險的認識導出安全需求；
（8）安全需求可通過安全措施得以滿足，需要結(jié)合資產(chǎn)價值考慮實施成本；
（9）安全措施可抵御威脅，降低安全事件的發(fā)生的可能性，并減少影響；
（10）風險不可能也沒有必要降為零，在實施了安全措施后還會有殘留下來的風險。有些殘余風險來自于安全措施可能不當或無效,在以后需要繼續(xù)控制，而有些殘余風險則是在綜合考慮了安全成本與效益后未控制的風險，是可以被接受的；
（11）殘余風險應受到密切監(jiān)視，它可能會在將來誘發(fā)新的安全事件
備注：57
四、風險評估要素
資產(chǎn)
	資產(chǎn)是具有價值的信息或資源，是安全策略保護的對象。它能夠以多種形式存在，有無形的、有形的，有硬件、軟件，有文檔、代碼，也有服務、形象等。機密性、完整性和可用性是評價資產(chǎn)的三個安全屬性。 
備注：58
四、風險評估要素
資產(chǎn)分類
	數(shù)據(jù)
	軟件
	硬件
	服務
	文檔
	人員
備注：59
四、風險評估要素
資產(chǎn)賦值方法
對資產(chǎn)的賦值不僅要考慮資產(chǎn)本身的價值，更重要的是要考慮資產(chǎn)的安全狀況對于組織的重要性，即由資產(chǎn)在其三個安全屬性上的達成程度決定。為確保資產(chǎn)賦值時的一致性和準確性，組織應建立一個資產(chǎn)價值評價尺度，以指導資產(chǎn)賦值。
資產(chǎn)賦值的過程也就是對資產(chǎn)在機密性、完整性和可用性上的達成程度進行分析，并在此基礎(chǔ)上得出一個綜合結(jié)果的過程。
備注：60
四、風險評估要素
資產(chǎn)賦值—機密性賦值
賦值	標識	定義
5	極高	包含組織最重要的秘密，關(guān)系未來發(fā)展的前途命運，對組根本利益有著決定性影響，如果泄漏會造成災難性的損害 
4	高	包含組織的重要秘密，其泄露會使組織的安全和利益遭受嚴重損害
3	中等	包含組織的一般性秘密，其泄露會使組織的安全和利益受到損害
2	低	包含僅能在組織內(nèi)部或在組織某一部門內(nèi)部公開的信息，向外擴散有可能對組織的利益造成損害
1	可忽略	包含可對社會公開的信息，公用的信息處理設(shè)備和系統(tǒng)資源等
備注：61
四、風險評估要素
資產(chǎn)賦值—完整性賦值

賦值	標識	定義
5	極高	完整性價值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會對組織造成重大的或無法接受的影響，對業(yè)務沖擊重大，并可能造成嚴重的業(yè)務中斷，難以彌補
4	高	完整性價值較高，未經(jīng)授權(quán)的修改或破壞會對組織造成重大影響，對業(yè)務沖擊嚴重，比較難以彌補
3	中等	完整性價值中等，未經(jīng)授權(quán)的修改或破壞會對組織造成影響，對業(yè)務沖擊明顯，但可以彌補
2	低	完整性價值較低，未經(jīng)授權(quán)的修改或破壞會對組織造成輕微影響，可以忍受，對業(yè)務沖擊輕微，容易彌補
1	可忽略	完整性價值非常低，未經(jīng)授權(quán)的修改或破壞對組織造成的影響可以忽略，對業(yè)務沖擊可以忽略
備注：62
五、信息安全管理體系
定義安全管理原則
制定安全保護機制
制定信息安全策略
確定審查角色和責任？？？？
往復推進,不斷提升？？？？

備注：63
五、信息安全管理體系
安全管理策略組成
	身份
	完整性
	機密性
	可用性
	審計
	
備注：64
五、信息安全管理體系
信息安全管理國際標準
	ISO 17799
	ISO 27001:2005
為建立,實施,運作,監(jiān)視,評審,保持,和改進信息安全管理體系(ISMS)提供了模型。
采用PDCA “規(guī)劃－執(zhí)行－控制－改進“過程模式。
備注：65
五、信息安全管理體系
安全保護機制－－安全保障體系結(jié)構(gòu)圖
備注：66
五、信息安全管理體系
安全保護機制
通過人、管理和技術(shù)手段三大要素，構(gòu)成動態(tài)的信息與網(wǎng)絡安全保障體系框架PDR模型，實現(xiàn)網(wǎng)絡和應用安全保障。PDR模型三個概念框之間存在著一定的因果和依存關(guān)系，在網(wǎng)絡安全防護上實現(xiàn)了多層安全防護，形成一個整體。
備注：67
五、信息安全管理體系
安全策略
	物理安全策略
	邊界控制策略
	信息加密策略
	數(shù)據(jù)備份策略
	數(shù)據(jù)恢復策略
	安全管理策略
備注：68
五、信息安全管理體系
物理安全策略
物理安全策略的目的是保護計算機系統(tǒng)、網(wǎng)絡服務器、打印機等硬件實體和通信鏈路免受自然災害、人為破壞和搭線攻擊；驗證用戶的身份和使用權(quán)限、防止用戶越權(quán)操作；確保計算機系統(tǒng)有一個良好的電磁兼容工作環(huán)境；建立完備的安全管理制度，防止非法進入計算機控制室和各種偷竊、破壞活動的發(fā)生。 
備注：69
五、信息安全管理體系
邊界控制策略
邊界訪問控制是網(wǎng)絡與應用安全防范和保護的主要策略，它的主要任務是保證網(wǎng)絡與應用資源不被非法使用和非常訪問。它也是維護網(wǎng)絡與應用系統(tǒng)安全、保護網(wǎng)絡與應用資源的重要手段。各種安全策略必須相互配合才能真正起到保護作用，但訪問控制可以說是保證網(wǎng)絡與應用安全最重要的核心策略之一。 
備注：70
五、信息安全管理體系
信息加密策略
      信息加密的目的是保護網(wǎng)內(nèi)的數(shù)據(jù)、文件、口令和控制信息，保護網(wǎng)上傳輸?shù)臄?shù)據(jù)。網(wǎng)絡加密常用的方法有鏈路加密、端點加密和節(jié)點加密三種。鏈路加密的目的是保護網(wǎng)絡節(jié)點之間的鏈路信息安全；端-端加密的目的是對源端用戶到目的端用戶的數(shù)據(jù)提供保護；節(jié)點加密的目的是對源節(jié)點到目的節(jié)點之間的傳輸鏈路提供保護。
備注：71
五、信息安全管理體系
數(shù)據(jù)備份策略
數(shù)據(jù)備份主要實現(xiàn)系統(tǒng)的各種數(shù)據(jù)庫、重要文件、CA密鑰和證書、數(shù)據(jù)鏈路與網(wǎng)絡設(shè)備的配置信息、網(wǎng)絡安全設(shè)備安全配置、應用系統(tǒng)自身配置文件和應用服務器數(shù)據(jù)的多重備份。
主干級備份    部門級備份
全備份    增量備份
備注：72
五、信息安全管理體系
數(shù)據(jù)恢復策略
	將繁瑣的恢復過程必須集中到一點進行管理。（可見業(yè)務連續(xù)性計劃）
	
	全恢復； 局部恢復；定向恢復；
備注：73
五、信息安全管理體系
安全管理策略
根據(jù)信息系統(tǒng)安全需求對于各類角色制定全面的安全管理制度，并定義相應的安全審核制度。
？？？？
備注：74
五、信息安全管理體系
對于安全策略的驗證與監(jiān)控
	系統(tǒng)脆弱性分析（SCANNER)
	帳戶權(quán)限管理
	建立整體安全管理平臺
	滲透性測試（入侵檢測）
	定期對所有日志和審計信息進行審核
備注：75
五、信息安全管理體系
小結(jié)：安全管理目標
定義物理安全控制
定義邏輯安全控制
取保系統(tǒng)和數(shù)據(jù)的完整性
確保數(shù)據(jù)的機密性
定義驗證和監(jiān)控安全狀態(tài)的機制
為系統(tǒng)內(nèi)部人員制定安全政策和規(guī)程
對全員進行必要的安全意識培訓
備注：76

網(wǎng)友評論 more

管理知識最新內(nèi)容

04-18

車間5S推行實務與目視…

03-27

安全管理培訓通用課件

03-27

LOTO上鎖掛牌（能量隔…

03-17

車間安全可視化管理大全

02-23

“四不傷害”安全理念…

01-27

安全精細化管理

01-27

全員 “四不傷害”24…

01-22

如何創(chuàng)建安全管理標準…

管理知識熱點內(nèi)容

550

5S-漫畫超漂亮教材

321

杜邦安全管理培訓課件

317

新員工培訓之四——…

305

生產(chǎn)過程的安全管理

292

全面解讀《安全生產(chǎn)…

252

安全管理核心要素與…

246

企業(yè)安全文化培訓課件

227

相關(guān)內(nèi)容

中小學、幼兒園安全管理輔…

杜邦公司承包商安全管理經(jīng)驗

滅火方法的選擇及滅火器使用

安全管理就是反復抓、抓反…

數(shù)據(jù)安全管理規(guī)范

創(chuàng)想安科網(wǎng)站簡介會員服務廣告服務業(yè)務合作提交需求會員中心在線投稿版權(quán)聲明友情鏈接聯(lián)系我們