www涩-www黄网站-www黄色-www黄色com-国产免费拍拍视频在线观看网站-国产免费怕怕免费视频观看

信息安全風險與投資分析

2013-10-16 11:56:13 重慶涪陵電力公司  點擊量: 評論 (0)
信息安全關系到所有類型的信息和存儲、處理或傳輸這些信息的硬件、軟件及固件。我國以積極防御,綜合防范,管理與技術(shù)并重的方針建立了信息安全保障體系,即在信息系統(tǒng)的整個生命周期中通過對信息系統(tǒng)的風險分析
信息安全關系到所有類型的信息和存儲、處理或傳輸這些信息的硬件、軟件及固件。我國以“積極防御,綜合防范,管理與技術(shù)并重”的方針建立了信息安全保障體系,即在信息系統(tǒng)的整個生命周期中通過對信息系統(tǒng)的風險分析,制定并執(zhí)行相應的安全保障策略,從技術(shù)、管理、工程和人員等方面提高安全保障要求,確保信息的機密性、完整性和可用性,降低安全風險到可接受的程度,從而保障系統(tǒng)實現(xiàn)組織機構(gòu)的使命。
信息安全總體策略
任何系統(tǒng)相關信息和支撐系統(tǒng)、程序等,不論它們以何種形式存在,均是該系統(tǒng)的關鍵資產(chǎn)。信息的機密性、完整性和可用性是信息安全的基本要素,關系到組織形象和義務的持續(xù)運行。因此,必須保護這些資產(chǎn)不受來自各個方面的威脅侵害,如網(wǎng)絡詐騙、偵探、病毒或黑客,自然災害等,確保信息在存儲、處理和傳輸過程中免受非授權(quán)的訪問、防止授權(quán)用戶的拒絕服務,以及包括那些檢測、記錄和對抗此類威脅的措施等。
信息安全策略必須以風險管理為基礎,在信息系統(tǒng)的安全生命周期內(nèi)從技術(shù)、管理、工程實施、運行等方面進行安全保障。最適宜的信息安全策略就是最優(yōu)的風險管理對策,防范不足會造成直接的損失,防范過多會造成間接浪費,所以,保障信息安全的核心問就是安全的效用問題。
信息安全的目標就是確保業(yè)務的連續(xù)性,并通過一系列預防措施將業(yè)務可能受到的損害降到最低,將安全事故產(chǎn)生的影響降到最小。信息安全管理應在確保信息系統(tǒng)資產(chǎn)受到保護的同時,也要讓所有信息工作人員能夠了解信息安全問題以及個人責任,并嚴格遵守執(zhí)行,盡到促進信息安全策略的實施和普及的責任和義務。
建立安全組織的目標是管理信息系統(tǒng)內(nèi)部的信息安全。組織必須建立專門的安全領導小組,指定專職的安全管理員,不得與其他系統(tǒng)管理員、應用系統(tǒng)管理員等管理人員角色重疊。必須建立信息安全管理體系,在系統(tǒng)內(nèi)部開展和控制信息安全的管理和實踐。
根據(jù)需要建立外部信息安全專家咨詢小組,保持與系統(tǒng)外部安全專家的聯(lián)系,并與世界的趨勢、監(jiān)控標準和評估方法同步。信息安全是所有信息系統(tǒng)工作人員必須共同承擔的責任,必須建立相應的安全領導小組并由最高的主管領導擔任組長。
領導小組應能夠提供清晰地指導方向,可見的管理支持,明確的信息安全職責授權(quán);審查、批準信息安全策略和崗位職責;審查業(yè)務關鍵安全事件;批準增強信息安全保障能力的關鍵措施和機制;保證必要的資源分配,以實現(xiàn)數(shù)據(jù)有效性以及信息安全管理體系的持續(xù)發(fā)展。
相關信息安全管理部門必須為建立和維持信息安全管理體系,協(xié)調(diào)相關活動,并承擔以下職責:調(diào)整并制定所有必要的信息安全管理規(guī)程、制度以及實施指南;提議并配合執(zhí)行信息安全相關的實施方法和程序,如風險評估、資產(chǎn)分級分類方法等;主動采取部門內(nèi)的信息安全措施,如安全意識培養(yǎng)和教育;配合執(zhí)行新系統(tǒng)或服務的特殊信息安全措施;審查對信息安全策略的遵循性;審查、監(jiān)控、協(xié)調(diào)對信息安全相關事件的評估和響應;配合并參與安全評估事項;根據(jù)信息安全管理體系的要求,定期向上級主管領導和信息安全領導小組報告。
信息安全系統(tǒng)模型
    P2DR 安全模型。模型核心所有的防護、檢測、響應都是依據(jù)安全策略實施的。策略包括訪問控制、加密通信、身份認證、備份恢復等。防護采用了ACL技術(shù)、Fire wall技術(shù)、信息加密技術(shù)、身份認證技術(shù)(一次性口令、-X.509)。檢測依靠實時監(jiān)控、主動檢測、報警等。反應動作為關閉服務、跟蹤、反擊、消除影響等。
 
    在策略實施過程中,系統(tǒng)的危險點與時間的對應關系至關重要,所以在防護上必須按照P2DR數(shù)學公式,即系統(tǒng)的防護、檢測和反應的時間關系進行處理。即Pt—防護時間,Dt—檢測時間,Rt—反應時間,Et—暴露時間。如果Pt>Dt+Rt ,則系統(tǒng)安全;如果Pt,那么Et=(Dt+Rt)-Pt ,則系統(tǒng)危險。
    深度防御系統(tǒng)IATF是一種新型安全保障策略,在IATF中,首先提出深度防御戰(zhàn)略的三個主要層面,即:人、技術(shù)和運行維護。如圖2所示。
 
人在技術(shù)支持下進行運行維護。首先,人是第一要素,也最脆弱。但是,人的作用最大,如策略和流程、培訓和意識、物理安全、人員安全、系統(tǒng)安全管理以及設施和措施都是人來完成的。技術(shù)是對四個方面進行防護、檢測、響應和恢復。
運行維護(操作)是指風險評估、安全檢測、審計、入侵檢測、跟蹤和告警響應。認證涵蓋安全策略、密鑰管理、恢復和重構(gòu)。
技術(shù)中對四個方面的安全保護。第一是本地計算環(huán)境保護,包括安全的操作系統(tǒng)和應用程序、入侵檢測、防病毒、主機脆弱性掃描、保護文件的完整性。第二是區(qū)域邊界保護,例如網(wǎng)絡設備之間加防火墻、入侵檢測、防病毒、邊界護衛(wèi)、遠程訪問、惡意代碼。第三是網(wǎng)絡和基礎設施保護,如骨干網(wǎng)可用性、無線網(wǎng)絡安全框架、系統(tǒng)高度互聯(lián)虛擬專網(wǎng)。第四是支撐性基礎設施保護,主要有密鑰管理、優(yōu)先權(quán)、證書管理、入侵檢測、審計、配置、信息調(diào)查和收集。
信息安全風險與投資分析
風險是指威脅利用資產(chǎn)或資產(chǎn)的脆弱性對組織機構(gòu)造成傷害的潛在可能。信息系統(tǒng)安全的風險是具體的風險,風險主要源自信息系統(tǒng)自身存在的脆弱性和來自外部的威脅。安全策略與信息安全風險是相對應的,組織需要針對信息系統(tǒng)面臨的各種風險制定相應的策略來降低這些風險到可接受的水平,以保障組織的業(yè)務使命
 
風險管理主要從兩個方面進行:一是系統(tǒng)必須通過國家等級保護的評級,并嚴格執(zhí)行相應等級保護的基本要求;二是對所有信息資產(chǎn)和信息技術(shù)過程都應通過風險評估活動來識別與它們相關的安全風險并執(zhí)行適當?shù)陌踩珜Σ摺oL險評估工作必須按《信息安全風險評估規(guī)范》(GB/T20984-2007)中的標準進行。
整個風險管理工作主要步驟有:
第一分類。 即環(huán)境(安全區(qū)域、設備安全);操作(網(wǎng)絡、背景處理);訪問控制;符合性(法律符合、組織策略)進行四個階段(建立背景;風險評估;風險處理;批準監(jiān)督);兩個貫穿(監(jiān)控審查;溝通咨詢)的工作內(nèi)容。
第二定性、定量地進行風險分析和資產(chǎn)(清單)的評估。
第三識別威脅和脆弱性、預測風險值——年預期損失。
第四積極開展應急響應和應急處置工作。從準備、確認、遏制、根除、恢復、跟蹤 6個階段完成。
第五突發(fā)事件應從準備、保護、提取、提交、分析5個步驟進行計算機取證。
第六數(shù)據(jù)備份與災難恢復應按等級進行劃分。
風險分析可以采取定性和定量分析.定性分析采用文字形式或描述性的數(shù)值范圍來描述潛在風險的大小程度,定量分析在影響或可能性等值的分析中采用數(shù)值,對構(gòu)成風險的各個要素和潛在損失的水平賦予數(shù)值或貨幣金額。比如用年度損失預期值ALE分析:ALE=∑I(Oi)Fi。
 
    可見ALE是將年度損失風險計算為多個潛在損失和發(fā)生頻率的乘積之和。(式中,{O1,…,On}表示一組有害的后果,I(Oi)表示后果i在金錢上造成的影響,Fi表示后果i發(fā)生的頻繁程度), 這就說明ALE風險分析是一種效益價格比分析,它將采取控制措施前后, ALE之差再減去控制措施開銷,得出控制措施價值,如果價值較大,則采取該控制措施,否則放棄。然而這種控制措施的開銷就是我們抵制風險的投資(Ar)。
大云網(wǎng)官方微信售電那點事兒

責任編輯:和碩涵

免責聲明:本文僅代表作者個人觀點,與本站無關。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內(nèi)容。
我要收藏
個贊
?
主站蜘蛛池模板: 欧美激情精品久久久久久久久久 | 免费在线一级毛片 | 国产成人精品福利网站在线 | 国产精品视频男人的天堂 | 久久精品国产亚洲7777小说 | 欧美日韩免费一区二区在线观看 | 欧美一级va在线视频免费播放 | 亚洲免费视频网站 | 亚洲国产精品网 | 伊人资源 | 亚洲精品第五页 | 一级毛片情侣 | 精品综合久久久久久88小说 | 久久久久久色 | 羞羞一区二区三区四区片 | 黄色三级毛片 | 久久99精品久久久久久秒播放器 | 87精品福利视频在线观看 | 久久久久依人综合影院 | 91亚洲免费 | 免费国产成人手机在线观看 | 高清不卡一区二区三区 | 久草视频在线资源 | 一区免费在线观看 | 国产男女乱淫真视频全程播放 | 小毛片在线观看 | 久久亚洲国产最新网站 | 欧美激情视频一级视频一级毛片 | 国产人成午夜免费噼啪视频 | 偷拍视频一区在线观看 | 国产aⅴ精品一区二区三区久久 | 韩国女主播青草在线观看 | tube69xxx最新片| 欧美成本人视频 | 亚洲国产99| 国产亚洲精品国产一区 | 成人亚洲欧美日韩中文字幕 | 在线视频精品一区 | 国产成人亚洲精品 | 久久成人免费播放网站 | 中文字幕一区二区三区 精品 |