信息系统安全与保密-第3章
信息系统安全保密制度范本
信息系统安全保密制度范本1. 背景和目的本制度旨在制定信息系统的安全保密管理措施,确保公司的信息系统和数据得到有效保护,防止信息泄露、篡改、丢失等安全事件的发生。
通过遵守本制度,员工将增强对信息安全的意识,增加对信息系统保密的责任感。
2. 适用范围本制度适用于公司内部所有员工、供应商、合作伙伴等与公司相关的人员,在使用公司信息系统和数据时必须遵守该制度。
3. 定义3.1 信息系统:指由一组相互依存的硬件、软件、网络设备及数据库组成的系统。
3.2 保密信息:指公司明确规定需要保密的商业秘密、客户资料、员工信息、合同协议、财务信息、技术研发成果等。
3.3 安全措施:指包括技术措施和管理措施在内的一系列保护信息系统安全的手段。
4. 管理要求4.1 全体员工应签署《保密协议》,并接受相关安全培训,了解保密要求和安全操作规范。
4.2 公司应建立完善的信息系统安全管理制度和相关流程,包括用户权限管理、网络及系统安全管理、应急响应措施等。
4.3 员工在使用公司信息系统时,应严格遵守公司的安全规范和操作程序,不得使用未经授权的账号、密码及权限,禁止私自安装软件、插件等。
4.4 员工应保密公司的商业秘密、客户资料、合同协议等信息,不得私自泄露、复制、篡改或盗用。
4.5 员工不得将公司的信息系统用于非法、损害公司利益的行为,包括但不限于传播违法、淫秽、暴力等信息。
4.6 在离职、调岗等情况下,员工应及时交出相关设备、账号、密码等,并确保不留下任何非法获取公司信息的渠道。
5. 违规处理5.1 对于违反本制度的人员,依照公司相关规定给予相应处罚,包括但不限于警告、记过、辞退等。
5.2 对于故意泄露、篡改、窃取公司重要信息的行为,公司将按照国家法律法规追究相关人员的法律责任。
6. 附则本制度的解释和修订权归公司所有,并由安全管理部门负责解释、执行和监督执行情况。
以上为信息系统安全保密制度范本,具体制度可根据企业实际情况进行调整和完善。
信息系统安全保密制度范本(3篇)
信息系统安全保密制度范本第一章总则第一条目的本制度的目的是为了加强对信息系统的保密管理,确保信息系统的安全性和保密性,防范信息泄露、破坏和非法访问的风险,保护企业的核心竞争力、商业秘密和重要数据。
第二条适用范围本制度适用于全体员工、合作伙伴、供应商和访客等涉及到使用企业信息系统的所有人员。
第三条定义1. 信息系统:指由硬件、软件、网络等技术组成的用于存储、处理、传输和管理信息的系统。
2. 保密:指对未经授权或批准的个人或机构不予保密的信息、数据和操作行为。
3. 系统管理员:指负责信息系统的管理和维护的责任人员。
4. 保密责任人:指根据职责范围内负责信息系统保密工作的责任人员。
第二章信息系统安全保密管理第四条信息分类和标记1. 根据信息的重要程度和敏感程度,将信息分为核心机密信息、重要信息和一般信息三个等级,并在信息上进行相应的标记。
2. 所有使用信息系统的人员必须按照信息的等级进行合理的存储、处理和传输,禁止将核心机密信息通过非安全通道传输。
第五条用户权限管理1. 信息系统管理员应根据不同岗位的需求,给予用户适当的权限,确保用户只能访问其工作需要的信息和功能。
2. 信息系统管理员应定期审查和更新用户权限,及时撤销离职人员的权限。
3. 用户不得将自己的账号和密码泄露给他人,不得使用他人账号和密码登录系统。
第六条安全访问控制1. 信息系统管理员应采取必要的技术措施,限制非授权人员对系统的访问。
2. 用户应遵守访问控制的规定,不得尝试非法登录系统或者采取破解、欺骗等手段获取他人账号和密码。
第七条信息备份和恢复1. 信息系统管理员应定期对核心机密信息进行备份,并将备份数据存放在安全的地方。
2. 在遭受信息丢失或损坏的情况下,应及时启动备份数据进行恢复,并采取措施防止此类问题再次发生。
第八条信息安全事件报告和处理1. 凡是发现或者怀疑信息安全事件的,应立即向信息系统管理员报告,协助系统管理员进行调查和处理。
网络与信息系统安全管理制度
网络与信息系统安全管理制度第一章总则第一条目的和依据为了保障企业网络与信息系统的正常运行,确保网络与信息资产的安全和保密,防范网络攻击和信息泄露,订立本管理制度。
本制度依据国家相关法律法规和政策文件,结合企业实际情况订立,适用于企业内部的全部网络与信息系统。
第二条适用范围本制度适用于企业内部全部网络设备、信息系统和网络用户。
包含企业内部的计算机、服务器、网络设备、软件系统等。
第三条定义1.网络与信息系统:指企业内部通过计算机设备互联互通的网络和相关的信息系统,包含硬件设备、软件系统、通信设备等。
2.网络管理员:指负责企业网络与信息系统管理和维护的员工,具备相关专业知识和技能。
3.网络用户:指企业内部全部使用网络与信息系统的员工和相关合作伙伴。
第二章网络安全管理第四条网络设备管理1.网络设备的选购和安装必需符合国家相关法律法规和标准要求,确保设备的正常运行和安全性。
2.网络设备必需定期进行安全检查和维护,及时修复漏洞和升级系统软件。
3.网络设备的管理权限必需分级授权,严格掌控管理员权限和用户权限。
第五条网络访问掌控1.网络管理员必需依据职责和需要设置不同级别的访问权限,并严格掌控网络用户的访问权限。
2.网络用户在访问网络时必需使用合法的账号和密码,而且定期更改密码,禁止共享账号和密码。
3.禁止非合法途径进入企业网络,禁止未经授权使用他人账号登录网络。
第六条网络安全防护1.网络管理员必需及时更新防火墙、入侵检测和防病毒软件,确保网络安全设备的有效性。
2.网络用户不得擅自安装和使用未经授权的软件和工具,不得传播病毒和恶意代码。
3.网络管理员必需定期进行网络安全漏洞扫描和风险评估,及时修复和处理发现的安全问题。
第七条网络安全事件响应1.网络管理员必需建立健全的网络安全事件响应机制,及时对网络安全事件进行处理和修复。
2.网络用户在发现网络安全问题时应立刻报告给网络管理员,不得隐瞒或袒护安全事件。
第三章信息系统安全管理第八条信息系统访问掌控1.企业内部的信息系统必需依据用户职责和需要设置不同的访问权限,并严格掌控用户的访问权限。
信息技术安全与数据保密制度
信息技术安全与数据保密制度第一章总则为保障公司信息技术系统的安全性和数据的保密性,提高公司的信息保护本领,加强信息技术安全管理,订立本制度。
第二章信息技术安全管理第一节信息技术安全责任1.公司将建立完善的信息技术安全管理体系,明确各级管理人员的信息技术安全管理职责。
2.信息技术安全职责由特地的信息技术安全部门负责,其重要职责包含:信息技术安全策略的订立和调整、信息技术安全管理规定的订立和宣传、信息技术设备的安全管理、信息技术安全事故的应急处理等。
第二节信息技术设备安全管理1.公司的信息技术设备(包含计算机、服务器、网络设备等)应使用合法、合规的软件和硬件,并依照规定进行定期维护和更新。
2.公司设立特地的信息技术设备管理账户,对各类信息技术设备进行统一管理,必需时采取严格权限掌控措施。
3.信息技术设备的安全管理需要防范以下风险:–信息技术设备被未经授权的人员使用;–信息技术设备遭到病毒、木马等恶意软件的侵袭;–信息技术设备遭到网络攻击等安全事件。
第三节信息系统安全管理1.公司的信息系统需要建立完善的安全防护措施,包含但不限于防火墙、入侵检测系统、访问掌控等技术手段。
2.信息系统必需实行严格的身份验证机制,确保只有经过授权的用户才略访问系统,必需时应采取多层次身份验证措施。
3.信息系统的安全管理需防范以下风险:–未经授权的用户访问系统;–网络攻击、入侵等安全事件;–系统数据被欠妥使用、窜改或泄露。
第四节信息技术安全宣传和培训1.公司将定期开展信息技术安全宣传和培训活动,提高员工的信息技术安全意识和本领。
2.信息技术安全宣传和培训的内容包含但不限于:–公司的信息技术安全政策和管理规定;–员工在工作中应遵守的信息技术安全规范;–防备信息技术安全事件的基本知识和方法;–应急情况下的信息技术安全处理措施。
第三章数据保密管理第一节数据保密责任1.公司将建立数据保密管理体系,明确各级管理人员的数据保密职责。
2.数据保密职责由特地的数据保密管理部门负责,其重要职责包含:数据保密制度的订立和调整、数据保密规定的宣传、数据安全技术措施的落实、数据泄露事故的处理等。
涉密信息系统管理制度范本
第一章总则第一条为加强涉密信息系统的管理,确保国家秘密信息的安全,根据《中华人民共和国保守国家秘密法》等相关法律法规,结合公司实际情况,特制定本制度。
第二条本制度适用于公司所有涉密信息系统的规划、建设、运行、维护及安全管理。
第三条涉密信息系统是指用于涉及国家秘密信息采集、处理、存储和传输的计算机系统、网络设备、存储设备等。
第二章规划与建设第四条涉密信息系统建设应遵循以下原则:1. 依法依规:严格按照国家相关法律法规和政策要求进行;2. 安全可靠:确保系统安全稳定运行,防止信息泄露;3. 先进实用:采用先进技术,提高工作效率;4. 统一规划:统筹规划,避免重复建设和资源浪费。
第五条涉密信息系统建设应进行可行性研究,明确系统功能、性能、安全等要求,并编制项目可行性研究报告。
第六条涉密信息系统建设应进行技术评审,确保系统设计符合国家相关标准和规范。
第三章运行与维护第七条涉密信息系统运行应遵循以下要求:1. 严格保密:严格遵守国家保密法律法规,确保信息保密;2. 安全防护:加强系统安全防护,防止信息泄露、篡改、破坏等;3. 稳定运行:确保系统稳定运行,提高工作效率;4. 优化升级:根据业务需求,定期对系统进行优化升级。
第八条涉密信息系统维护应包括以下内容:1. 硬件设备维护:定期对硬件设备进行检查、保养,确保设备正常运行;2. 软件维护:及时更新系统软件,修复系统漏洞,提高系统安全性;3. 数据备份:定期对系统数据进行备份,确保数据安全;4. 安全检查:定期对系统进行安全检查,及时发现和解决安全隐患。
第四章安全管理第九条涉密信息系统安全管理应包括以下内容:1. 安全培训:定期对信息系统操作人员进行安全培训,提高安全意识;2. 安全审计:对信息系统运行情况进行审计,确保系统安全;3. 安全监控:实时监控系统运行状态,及时发现和处理安全事件;4. 安全应急:制定安全应急预案,应对突发事件。
第五章责任与奖惩第十条各级领导和相关部门应按照职责分工,加强涉密信息系统管理,确保系统安全稳定运行。
信息系统安全保密制度范文
信息系统安全保密制度范文一、总则为加强信息系统安全保密管理,确保信息系统安全、稳定运行,保护公司重要信息资产,制定本制度。
二、适用范围本制度适用于公司内部所有员工、外部合作伙伴以及与公司进行合作的第三方机构。
三、保密责任1. 公司全体员工都有保密的责任,不得泄露公司的商业机密、技术资料以及客户信息等重要信息。
2. 外部合作伙伴和第三方机构在与公司进行合作时,需要签署保密协议,并遵守公司的保密制度。
3. 公司领导层要严格保护公司的商业机密,不得私自泄露、转让。
四、信息系统访问控制1. 为保证信息系统的安全,公司应制定访问控制策略和权限管理规则,对不同级别的员工进行权限划分。
2. 所有用户需要通过登录账号和密码进行身份认证,禁止共享账号和密码。
3. 管理员应对系统进行定期漏洞扫描和安全检查,及时修补漏洞,确保系统的安全性。
五、密码管理1. 所有用户的密码需要满足一定的复杂度要求,并定期更换密码。
2. 管理员应对用户密码进行加密存储,并采取措施防止密码泄露。
六、系统日志监控1. 公司应建立系统日志记录机制,定期对日志进行监控和分析。
2. 对于异常访问行为和安全事件,应及时采取措施进行处理,并报告相关部门。
七、网络安全保护1. 公司应建立网络安全防护体系,采取各种安全措施,防止网络攻击和入侵。
2. 对外部网络连接进行限制和监控,防止非法访问。
八、违规行为处理1. 对于违反保密制度的行为,公司将采取相应的纪律处分措施,包括警告、记过、记大过等。
2. 对于情节严重的违规行为,公司将追究法律责任。
九、保密意识教育1. 公司应定期开展保密意识教育培训,提高员工的保密意识和风险防范能力。
2. 员工入职时,应进行保密制度培训,明确其保密责任。
本制度自颁布之日起生效,如有相关规定更改,公司将及时修订并通知相关人员。
信息安全技术基础课后答案
信息安全技术基础课后答案第一章:信息安全概论1. 信息安全的定义是什么?信息安全是指在计算机系统中,保护信息不受未经授权访问、使用、披露、干扰、破坏、修改、伪造等威胁的一系列措施的总称。
2. 信息安全的目标是什么?信息安全的主要目标包括保密性、完整性和可用性。
保密性指保护信息不被未经授权的个人或实体所访问;完整性指保证信息不被非法篡改;可用性指确保信息资源能够及时可靠地得到使用。
3. 信息安全的基本要素有哪些?信息安全的基本要素包括:机密性、完整性、可用性、不可抵赖性、可控制性和身份认证。
4. 请列举常见的信息安全攻击类型。
常见的信息安全攻击包括:密码攻击、网络攻击(如拒绝服务攻击、入侵攻击)、恶意软件(如病毒、蠕虫、木马)、社会工程学攻击(如钓鱼、假冒身份)和数据泄露等。
5. 请说明防火墙的作用。
防火墙是一种位于计算机网络与外部网络之间的安全设备,它可以通过控制数据包的进出来保护内部网络的安全。
防火墙可以实施访问控制、数据包过滤、网络地址转换等功能,提高网络的安全性。
第二章:密码学基础1. 什么是对称密码学?请举例说明。
对称密码学是一种使用相同密钥进行加密和解密的密码学方法。
例如,DES (Data Encryption Standard)就是一种对称密码算法,在加密和解密过程中使用相同的密钥。
2. 什么是公钥密码学?请举例说明。
公钥密码学是一种使用公钥和私钥进行加密和解密的密码学方法。
例如,RSA (Rivest, Shamir, Adleman)算法就是一种公钥密码算法,发送方使用接收方的公钥进行加密,接收方使用自己的私钥进行解密。
3. 对称密码学和公钥密码学有什么区别?对称密码学使用相同的密钥进行加密和解密,安全性依赖于密钥的保密性;而公钥密码学使用不同的密钥进行加密和解密,安全性依赖于数学难题的求解。
4. 什么是哈希函数?请举例说明。
哈希函数是一种将任意长度数据(输入)转换为固定长度(输出)的函数。
信息安全等级保护管理办法(国家)
中华人民共和国计算机信息系统安全保护条例中华人民共和国国务院令第147号现发布《中华人民共和国计算机信息系统安全保护条例》,自发布之日起施行。
总理李鹏 1994年2月18日。
基本信息(1994年2月18日中华人民共和国国务院令第147号发布根据2011年1月8日《国务院关于废止和修改部分行政法规的决定》修订)目录第一章总则第二章安全保护制度第三章安全监督第四章法律责任第五章附则条例内容第一章总则第一条为了保护计算机信息系统的安全,促进计算机的应用和发展,保障社会主义现代化建设页脚内容1的顺利进行,制定本条例。
第二条本条例所称的计算机信息系统,是指由计算机及其相关的和配套的设备、设施(含网络)构成的,按照一定的应用目标和规则对信息进行采集、加工、存储、传输、检索等处理的人机系统。
第三条计算机信息系统的安全保护,应当保障计算机及其相关的和配套的设备、设施(含网络)的安全,运行环境的安全,保障信息的安全,保障计算机功能的正常发挥,以维护计算机信息系统的安全运行。
第四条计算机信息系统的安全保护工作,重点维护国家事务、经济建设、国防建设、尖端科学技术等重要领域的计算机信息系统的安全。
第五条中华人民共和国境内的计算机信息系统的安全保护,适用本条例。
未联网的微型计算机的安全保护办法,另行制定。
第六条公安部主管全国计算机信息系统安全保护工作。
国家安全部、国家保密局和国务院其他有关部门,在国务院规定的职责范围内做好计算机信息系统安全保护的有关工作。
第七条任何组织或者个人,不得利用计算机信息系统从事危害国家利益、集体利益和公民合法利益的活动,不得危害计算机信息系统的安全。
[2]第二章安全保护制度第八条计算机信息系统的建设和应用,应当遵守法律、行政法规和国家其他有关规定。
第九条计算机信息系统实行安全等级保护。
安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定。
第十条计算机机房应当符合国家标准和国家有关规定。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全风险评估与管理
课 程 内 2 风险评估与管理的流程 容
1 风险管理的基本概念
3 风险评估方法和技术
1 风险管理的基本概念
1.1 风险管理 1.2 风险评估 1.3 要素分析
风险管理(Risk Management):以可以接受的费用,识别、控制、
降低或消除可能影响信息系统的安全风险的过程及活动。
对影响定级
表3
等级 高 中 低
威胁发生可能性定级模式
威胁发生可能性定义
威胁源具有强烈的动机和足够的能力,防止脆弱性被利用的控制是 无效的 威胁源具有一定的动机和能力,安全控制可阻止对脆弱性成功利用 威胁源缺少动力和能力,现有安全措施可有效阻止对脆弱性的利用
表4
等级 高 中
一种影响定级模式
影 响 定 义
5
4 3
低 可忽略
2 1
2 1
4 2
6 3
8 4
10 5
表5 “可能性-影响”矩阵模式示例
影 响 威胁可能性 低(10) 高(1.0) 中(0.5) 低(0.1) 低 10×1.0= 10 低 10×0.5= 5 低 10×0.1= 1 中(50) 中 50×1.0= 50 中 50×0.5= 25 低 50×0.1= 5 高(100) 高 100×1.0= 100 中 100×0.5= 50 低 100×0.1= 10
极高
附:案例分析
通过分析多媒 体教学系统在硬 件、软件信息、 有关人员等方面 的资产信息,并 考察这些资产的 价值以及对信息 系统的关键程度。 经识别与分析 后,有关资产及 其关键程度如表 所示。
资产类别
名称
多媒体电脑 投影仪 控制台
关键程度
高 高 中 高 低 中 低 中 中 中 低 低 低 中 中 低 4 4 3 4 2 3 2 3 3 3 2 2 2 3 3 2
供电中断 盗窃、物理破坏 疾病或其他原因 导致不能及时到 岗 误操作
脆弱点
没有备用电源 安全保卫机制不健全
评估等级
高 很 高 4 5 4 4 5
课室钥匙管理人员无“备份” 高 多媒体技术支持人员无“备 份” 老师对多媒体课室使用注意 事项不熟悉 高 很 高
• 脆弱点识别还应结合 威胁识别的结果,重 点考察可能导致安全 事件的威胁-脆弱点 对,在脆弱点识别后, 再依据脆弱点的严重 程度对脆弱点进行评 估。评估结果如下表 所示。
威胁利用资产的脆弱性对组织的信息系统造成危害
(T)
(V)
(A)
通过安全措施的配臵,风险可以被消除、降低和或转移
成本效益分析
残留风险:信息系统业务可以容忍的风险
威胁 残余风险 安全控制
脆弱点
威胁
风险
脆 弱 点
资产及 其价值
脆弱点
脆 弱 点
安 全 控 制
残 余 风 险
威胁
安全控制 残余风险
威胁
威胁
增加 减小 增加
包含仅能在组织内部或在组织某一部门内部公开的信 息,向外扩散有可能对组织的利益造成损害 包含组织的一般性秘密,其泄露会使组织的安全和利 益受到损害
包含组织的重要秘密,其泄露会使组织的安全和利益 遭受严重损害
包含组织最重要的秘密,关系未来发展的前途命运, 对组织根本利益有着决定性影响,如果泄漏会造成灾 难性的损害
对脆弱性利用可能严重危害组织资产、声誉、人员安全等利益 对脆弱性利用可能损害组织资产、声誉、人员安全等利益
低
对脆弱性利用可能导致某些组织资产、声誉、人员安全等利益受损
风险标识
资产
威胁
脆弱点
影响分析
影响等级
R1
R2 R3 R4 R5 多媒体 系统
供电中断
误操作
没有备用电源
老师对多媒体课室使 用注意事项不熟悉 硬件物理保护不够 安全保卫机制不健全 未部署防火设施 未安装空调及除湿设 备 硬件使用寿命有限或 其他原因 软件的安装与卸载权 限管理机制不严 杀毒软件不能及时升 级
评估威胁发生的可能性(频率或概率)
动 机
能 力
人 员 利 用 网 络 访 问 的 威 胁 树
系 统 故 障 威 胁 树
表2
等级 1 2 3 4 5 标识 很低 低 中 高 很高
威胁赋值表
定 义
威胁几乎不可能发生,仅可能在非常罕见和例外的情况 下发生
威胁出现的频率较小,一般不太可能发生,也没有被证 实发生过 威胁出现的频率中等,在某种情况下可能会发生或被证 实曾经发生过 威胁出现的频率较高,在大多数情况下很有可能会发生 或者可以证实多次发生 威胁出现的频率很高,在大多数情况下几乎不可避免或 者可以证实经常发生过
风险标识 R1 R2 R3 R4 R5 R6 R7 R8 硬件 资产 威胁
影响评估 可能性评估
风险值
风险等级
供电中断
多媒体 误操作 系统 自然威胁 盗窃、物理破坏 火灾 极端温度及湿度 硬件故障 软件故障 软件 恶意代码 疾病或其他原因导 人员 致不能及时到岗
4
5 5 5 5 3 4 4 2 4 3
环境威胁
火灾、供水故障、污染、极端温度 或湿度 电脑、投影仪硬件故障 网络故障
系统威胁
系统软件、应用软件故障、课件播 放软件故障 恶意代码
盗窃
物理硬件故意破坏
高
中 很高 中
4
3 5 3
人员威胁
误操作 疾病或其他原因导致不能及时到岗
2.4 脆弱性检测与被利用可能性评估
--脆弱性是指信息系统中的缺陷或弱点。
任务① - 风险识别
检查和说明组织信息系统的安全态势和面临的风险 “知己”&“知彼”;风险评估是说明风险识别的结果。
任务② - 风险控制
采取控制手段,减少组织信息系统和数据的风险
1 风险管理的基本概念
1.1 风险管理 1.2 风险评估 1.3 要素分析
风险评估(Risk Assessment):对各方面风险进行辨识和分析的过
R10 人员 R11 恶意代码 疾病或其他原因导 致不能及时到岗
低 高 中
2 4 3
钥匙管理人员不可达, 多媒体课室门不能及时打开 无“备份” 多媒体技术支持人员 无“备份” 技术支持不能及时到位
• 可能性分析主要依据威胁评估等级。最后根据影响分析及可能性分析 的结果来进行风险评估,此处采用“风险=可能性×影响”的方法来 计算风险。风险评估的结果如表所示。
技术性弱点--如系统漏洞
操作性弱点--配臵中的缺陷 管理性弱点--规章制度不足
可借助漏洞扫描工具等方法进行识别与评估!!
脆弱点识别内容表
可能威胁
• 脆弱点识别,应对针 对已识别人每一类资 产,考虑可能存在的 脆弱点,它包括技术 脆弱点与管理脆弱点 • 本例中由于技术问题 简单,因而主要表现 为管理方管理方案的选择与优化
--针对识别且确认了等级的风险,按照其严重程度 提出相应的对策,是风险评估的结果。
决策者应权衡成本效益等多种因素,综合决策!
2.8 风险控制策略
--风险控制是依据决策后的风险管理方案
而实施控制措施,是一个持续、循环的
递进过程。
2.8 风险控制策略
(1)避免-试图防止漏洞被利用的风险控制策略,例如 对抗威胁,排除资产中的漏洞,限制对资产的访问。 (a)通过加强应用政策来避免风险;
硬件
供电设备 投影幕 空调 网络电缆及接口 系统软件
软件
课件播放软件 应用软件 杀毒软件
信息
多媒体课件 演示程序 课室管理人员
人员
技术支持人员 安全保卫人员
2.3 威胁识别与重要性评估
-- 一项资产可能面临多个威胁,而一个威胁也可能 对不同的资产造成影响。 关键环节 确认引发威胁的人或事物,即威胁源或威胁代理
(2)预防性:可保护弱点,使攻击难成功;
(3)检测性:可检测并及时发现攻击活动; (4)纠正性:使攻击造成的影响减至最小
2.6 风险评价
--评价风险有两个关键因素:威胁发生对信息资产 造成的影响以及威胁发生的可能性。
可能性评估
--结合威胁源的内因(动机和能力),以及外因 (脆弱点和控制)来综合评价!
R11
中 疾病或其他原因导 致不能及时到岗 中
配备多个人员备用
3 风险评估方法和技术
3.1 基础理论 3.2 定量分析 3.3 定性分析
(1) 概率风险分析:利用“概率论”方法来识别和分析风险,如
故障树法、危害及可操作性研究分析法等。
故障树分析-- top-dowm法
故障模式影响和危害性分析
危害及可操作性研究分析 马尔科夫(Markov) 分析
(T)
脆弱点检测与 被利用可能性评估
(V)
控制措施识别 与有效性评估
(C)
影响
可能性
(R)
风险评价
风险管理方案的 选择与优化
风险控制
2.1 确定评估范围
--基于风险评估目标确定风险评估的对象和范围是
完成风险评估的前提。
逻辑边界 物理边界
定义了分析所需的广度和深度; 定义了系统起于哪里止于哪里;
1)信息资产(如硬件、软件、信息); 2)人员(职员、其他外部人员); 3)环境(建筑物、基础设施); 4)活动(信息处理相关操作、业务)。
系统无法使用
硬件损害或软件误删除
高
很高
4
5
自然威胁 盗窃、物理破坏 火灾 硬件 极端温度及湿度 硬件故障 软件故障
设备物理破坏 硬件被破坏或被盗 系统被烧毁 系统使用不正常 硬件不能正常使用 所需软件被卸载,不能正常 使用 系统运行很慢
很高 很高 很高 中 高 高
5 5 5 3 4 4
R6 R7
R8 软件 R9
2.2 资产识别与重要性评估