??斗地主捕鱼电竞提现秒到 广告位招租 - 15元/月全站展示
??支付宝搜索579087183领大额红包 ??伍彩集团官网直营彩票
??好待遇→招代理 ??伍彩集团官网直营彩票
??络茄网 广告位招租 - 15元/月全站展示
万方安全:信息系统的风险评估过程与评估方法

转载   网络安全kr   2018-11-13   浏览量:15


就像做投资一样,信息网络也存在风险,如果不了解信息网络风险并加以控制或解决的话,网络的安全就无法保证,各种的信息也许就会毫无保障,网络世界会紊乱无章。对于信息网络,万方安全认为,我们要对其进行一个风险的评估,然后再找方法去解决,尽最大的力度去减少风险所带来的威胁或损失。

信息安全风险评估是进行量化评估一件事情给人们的生活、生命、财产等各个方面造成的影响和损失的可能性的工作,而信息系统的信息安全风险评估是指确定在计算机系统和网络中每一种资源缺失或遭到破坏对整个系统造成的预计损失数量,是对信息资产威胁、脆弱点以及由此带来的风险大小的评估。

一、信息安全风险评估过程

信息安全风险评估的过程是一个动态循环的过程,对信息安全风险评估的结果起着重要的作用。信息安全风险评估过程就是在评估标准的指导下,综合利用相关评估技术、评估方法、评估工具,针对信息系统展开全方位的评估工作的完整历程。

信息安全风险评估具体评估过程如下:

万方安全:信息系统的风险评估过程与评估方法
1.要确定?;さ亩韵?或者资产)是什么,即确定资产

安全评估的第一步是确定信息系统的资产,并明确资产的价值,资产的价值是由对组织、合作伙伴、供应商、客户和其他利益相关方在安全事件中对完整性、可用性和保密性的影响来衡量的。资产的范围很广,一切需要加以?;さ亩鞫妓阕髯什?,包括:软件资产、信息资产、纸庚文件、公司形象和声誉、人员、物理资产、服务等。资产的评估应当从关键业务开始,最终覆盖所有的关键资产。

  1. 脆弱性和威胁分析

对资产进行细致周密的分析,确定要?;さ淖什嬖谀男┩?,导致威胁的问题所在,发现它的脆弱点及由脆弱点所引发的威胁,统计分析发生概率、被利用后所造成的损失等。

  1. 制定及评估控制措施

在分析各种威胁及它们发生可能性基础上,研究消除、转移、减轻威胁风险的手段。这一阶段不需要做出什么决策,重要是要考虑可以采用的各种安全防范措施和它们的实施成本。

制定出的控制措施应当全面,在有针对性的同时,要考虑、系统地、根本性的解决方法,为下一阶段的决策作充足的准备,同时将风险和措施文档化。

  1. 决策

这一阶段包括评估影响,排列风险,制定决策。应当从3个方面来考虑最终的决策:避免风险、接受风险、转移风险。对安全风险决策后,明确信息系统所要接受的残余风险。在分析和决策过程中,要尽可能多地让更多的人参与进来,从管理罩的代表到业务部门的主管,从技术人员到非技术人员。采取安全措施将风险带来的损失降低到最低程度

  1. 沟通与交流

由上一阶段所做出的决策,必须经过领导层的签字和批准,并与各方面就决策结论进行沟通。这是很重要的一个过程,沟通能确保所有人员对风险有清醒地认识,并有可能在发现一些以前没有注意到的脆弱点。

  1. 监督实施

最后的步骤是安全措施的实施。实施过程要始终在监督下进行,以确保决策能够贯第穿于工作之中。在实施的同时,要密切注意和分析新的威胁并对控制措施进行必要的修改。

二、信息安全风险评估方法

当发现一件事情可能带有的风险之后,我们就要去运用一些方法去找出以及评估这些风险了,在评估过程中使用何种方法对评估的有效性同样占有举足轻重的地位。信息安全风险评估的方法有很多种但无论是何种方法,共同的目标都是找出组织信息资产面临的风险及其影响,以及目前安全水平与组织安全需求之间的差距。

首先,先说一下可分为三大类的信息安全风险评估方法:定性的信息安全风险评估方法、定量的信息安全风险评估方法、定性与定量相结合的评估方法。

万方安全:信息系统的风险评估过程与评估方法
1.定性评估方法

定性评估方法的优点是避免了定量方法的缺点,可以挖掘出一些蕴藏很深的思想,使评估的结论更全面、更深刻;但它的主观性很强,对评估者本身的要求很高。

定性的评估方法主要根据研究者的经验、知识、政策走向、历史教训及特殊变例等非量化资料对系统风险状况做出判断的过程。它主要以与调查对象的深入访谈做出个案记录为基本资料,之后通过一个理论推导演绎的分析框架,对资料进行编码整理,在此基础上做出调查结论。

定性分析方法主要有逻辑分析法、德尔斐法、因素分析法、历史比较法。

2.定量评估方法

定量的评估方法是指运用数量指标来对风险进行评估。

定量的评估方法的优点是用直观的数据来表述评估的结果,看起来比较客观,而且一目了然,定量分析方法的采用,可以使研究结果更严密,更科学,更深刻。有时,一个数据所能够说明的问题可能是用一大段文字也不能够阐述清楚的;但常常为了量化,使本来比较复杂的事物简单化、模糊化了,有的风险因素被量化以后还可能被误解和曲解。

定量分析方法主要有等风险图法、决策树法、因子分析法、时序模墅、回归模型、聚类分析法等。

  1. 定性与定量相结合的综合评估方法

系统信息安全风险评估是一个复杂的过程,需要考虑的因素很多,有些评估要素是可以用量化的形式来表达,而对有些要素的量化又是很因难甚至是不可能的,所以不主张在信息安全风险评估过程中一昧地追求量化,也不认为一切都是量化的信息安全风险评估过程是科学、准确的。

定量分析是定性分析的基础和前提,定性分析应建立在定量分析的基础上才能揭示客观事物的内在规律。定性分析则是灵魂,是彤成概念、观点,做出判断,得出结论所必须依靠的,在复杂的信息系统信息安全风险评估过程中,不能将定性分析和定量分析两种方法简单的割裂开来。而是应该将这两种方法融合起来,采用综合的评估方法。

其次,再来说说典型的信息安全风险评估方法

在信息系统信息安全风险评估过程中,层次分析法经常被用到,它是一种综合的评佑方法,这是一种定性与定量相结合的多目标决策分析方法,其核心是将决策者的经验判断给予量化,从而为决策者提供定量形式的决策依据。该方法对系统进行分层次、拟定量、规范化处理,在评估过程中经历系统分解、安全性判断和综合判断三个阶段。

基本步骤为:

(1)系统分解,建立层次结构模型;

(2)构造判断矩阵,通过单层次计算进行安全性判断;

(3)层次总排序,完成综合判。

在信息安全风险评估过程中选择合适的信息安全风险评估方法可以得到最好的评估结果使得整个信息安全风险评估得到最好的解决方案是我们所追求的的目标,因此要对每一种的评估方法都要去了解去熟悉然后拿去应用,这才是我们学习的一个目标。

以上就是万方安全对于信息系统的风险评估过程与评估方法的详细分析,如果你想跟我们万方进行交流或有这方面的业务,可以随时联系我们。

转载自://blog.51cto.com/13809093/2316230

招聘 不方便扫码就复制添加关注:程序员招聘谷,微信号:jobs1024



Get小技能:Windows桌面远程控制。
体验Windows系统自带的远程连接功能
广域网-HDLC协议
广域网广域网(WAN,WideAreaNetwork)通??缃雍艽蟮奈锢矸段?,所覆盖的范围从几十公里到几千公里,它能连接多个城市或国家,或横跨几个洲并能提供远距离通信,形成国际性的远程网络。局域网通常作为广域网的终端用户与广域网相连。广域网一般由电信部门或公司负责组建、管理和维护,并向全社会提供面向通信的有偿服务、流量统计和计费问题,比如家庭用户通过ADSL上网或通过光纤接入Internet
专题V P N-远程访问V P N
还有一种VPN是远程访问VPN,这种VPN用于在外出差的员工通过Internet访问企业内网。将企业路由器配置成VPN服务器,在外出差的员工将电脑接入Internet就可以建立到企业内网的VPN拨号连接,拨通之后就可以像在公司内网一样访问网络资源。如图所示,AR1是企业的路由器,将其配置为VPN服务器,PC3建立到AR1的VPN拨号连接,VPN服务器分配给PC3一个192.168.1.4内网地址
PHP在动态网站开发中的优势
1开发运行平台动态网站的开发与实施涉及范围极其广泛、研究时间长、过程发展复杂,本身就是一个需要经过长期统筹和协调的系统工程,需要多方面的密切配合和管理。PHP可以与IIS以及Apache等一系列服务器相融合,在问题发生之后及时进行控制和调整,从而使得网站信息资源的管理工作变得更有效率,化被动为主动。而ASP缺乏此方面的功能,只能够应用于微软服务器当中,灵活度不够高。但是由于JSP可以在Apache
SD-WAN架构的基本要素:优势和选择
软件定义的广域网络或SD-WAN为传统的基于硬件的网络提供了软件定义网络(SDN)技术的优势。它是一种覆盖架构,提供了比传统WAN更易于管理的网络基础,实质上是将控制层移至云端,在此过程中,集中并简化了网络管理。这种叠加设计从硬件中抽象出软件,实现网络虚拟化并使网络更具弹性。企业在SD-WAN架构中需要什么?光联集团发现企业越来越多地投资于开放,灵活的云解决方案,SD-WAN代表着在数据中心架构中
NGFW module恢复密码操作方法
华为单板防火墙NGFWmodule恢复密码操作方法,此方法亲测可用,不过恢复密码的时候需要谨慎注意控制风险!不知道怎么弄显示格式这么奇怪,有需要的小伙伴将就着看,不明可与我联系[email protected]
网络健康度检测插件添加DHCP冲突检测功能。
不合法(私接)的DHCP服务,会使局域网其他客户机获取到错误的IP地址,从而导致上不了网。为了诊断此问题,WFilter的网络健康度检测插件的再次升级添加了"DHCP冲突检测”的功能。具体步骤如下图:内网的检测项中添加了“DHCP冲突检测”,一旦发现异常,会提示“检测到多个DHCP服务”。点击“异?!钡某唇?,可以看到DHCP服务器的MAC地址、厂商、分配的网关IP和分配的客户机IP地址
2018 07 短信认证网关的具体实现
本文将介绍如何用WFilterNGF来实现短信认证网关,以及短信平台的具体实现步骤。1.首先要搭建短信Web服务WFilterNGF的短信发送通过调用WebAPI来实现,支持WebAPI接口的短信平台很多(一些短信猫也可以支持WebAPI)。下文中,我们以阿里云的短信服务为例。首先需要创建AccessKey,如下图:选择或者创建短信模板,如图:下载阿里云的sdk,以phpsdk为例,
SD-WAN如何支持视频会议
光联集团发现越来越多的公司正在投资基于IP的视频会议,以促进通常地理位置分散的员工,合作伙伴和客户之间的协作。但是,如果视频质量和性能存在持续问题,员工不会使用这些系统,那么IT团队就会对所有支持问题感到沮丧,而高管们也看不到他们的价值。软件定义的广域网和网络功能虚拟化等新兴技术可确保高质量的视频会议,无论距离和站点跨越多大,从公司总部到分支机构,再到全球各地的办公室。视频会议正在成为企业日?;疃?/h6>
如何用ping命令来检测网络问题?
ping命令可以说是网络管理中最常用的一个命令行工具了,利用ping可以非常迅速的诊断出网络问题。今天,我就来教大家如何用ping来检测网络问题。当网络缓慢,上不了网时,请按如下步骤来执行ping命令:1.ping内网网关首先要先ping内网的网关地址,确保内网是畅通的。如下图:内网的丢包率应该为0,有线ping值一般在1ms以内,无线ping值1ms-20ms之间。如果存在丢包或者ping值很