信息安全管理重点概要
信息安全理论知识题库概要
目录目录 (1)一、恶意代码 (2)二、密码 (11)三、网络攻击 (45)四、网络防御 (76)六、计算机取证 (96)七、其他 (97)一、恶意代码1.下述不属于计算机病毒的特征的是 C 。
A. 传染性、隐蔽性B. 侵略性、破坏性C. 潜伏性、自灭性D. 破坏性、传染性2.计算机病毒的危害主要会造成 D 。
A. 磁盘损坏B. 计算机用户的伤害C. CPU的损坏D. 程序和数据的破坏3.下面哪一种陈述最好的解释了引导扇区病毒不再是非常普遍的病毒了? CA. 计算机不再从软盘中引导B. 对此类型病毒采取了足够的防范C. 软盘不再是共享信息的主要途径D. 传播程序的编写者不再编写引导扇区病毒4.引导扇区病毒感染计算机上的哪一项信息? BA. DATAB. MBRC. E-mailD. Word5.关于引导扇区病毒特征和特性的描述错误的是? CA. 会将原始的引导扇区以及部分病毒代码复制到磁盘的另一个地方B. 引导扇区病毒的设计缺陷可能会导致在读取软件时会产生偶尔的写保护错误C. 引导扇区病毒在特定的时间对硬盘进行格式化操作D. 引导扇区病毒不再像以前那样造成巨大威胁6.关于引导扇区病毒的传播步骤错误的是? BA. 病毒进入引导扇区B. 病毒破坏引导扇区信息C. 计算机将病毒加载到存储D. 病毒感染其它磁盘7.世界上第一台计算机ENIAC是 A 模型A. 随机访问计算机B. 图灵机C. 随机访问存储程序计算机D. 带后台存储带的随机访问存储程序计算机8.能够感染EXE、COM文件的病毒属于 CA. 网络型病毒B. 蠕虫型病毒C. 文件型病毒D. 系统引导型病毒9.在Windows32位操作系统中,其EXE文件中的特殊标示为 BA. MZB. PEC. NED. LE10.哪一项不是特洛伊木马所窃取的信息? DA. 计算机名字B. 硬件信息C. QQ用户密码D. 系统文件11.著名特洛伊木马“网络神偷”采用的隐藏技术是 A信息安全知识题库A. 反弹式木马技术B. 远程线程插入技术C. ICMP协议技术D. 远程代码插入技术12.以下代码所展示的挂马方式属于 DA. 框架挂马B. js挂马C. 网络钓鱼挂马D. 伪装挂马13.以下关于宏病毒说法正确的是 BA. 宏病毒主要感染可执行文件B. 宏病毒仅向办公自动化程序编制的文档进行传染C. 宏病毒主要感染软盘、硬盘的引导扇区或主引导扇区D. CIH病毒属于宏病毒14.作为一类曾经非常流行的病毒,以下 C 不属于宏病毒的主要特点。
信息安全管理制度19479
医院信息安全管理组织架构一、组织管理医院信息安全最高管理机构是“医院信息安全管理领导小组”。
领导小组由下列人员组成:组长:苏健副组长:周智俊成员:葛磊、徐宁建、汪金宇、桂文辉、周细梅、杨爱青、熊英、童金英、陆莲英、肖秀菊、李闽强、王榕芳、徐雄、王卫国、许继涛、傅江丽、徐飞英、喻伟麟、汪雅珍、廖建平、徐斌、刘风、杨香娇、潘秋江办公室主任:夏飞、敖伟领导小组的主要职能和任务:(一)组织制定完善医院信息安全制度,并督促落实情况。
(二)负责全院信息安全运行管理的组织协调及决策工作。
(三)负责审议医院信息安全评估报告。
(四)负责全院信息安全事件应急处置方案决策。
信息安全管理制度第一部分计算机终端用户安全管理1、医院内外网独立运行,禁止内网计算机与互联网联接;禁止在内网计算机上使用光驱、U 盘等存储设备;禁止未经允许拆卸计算机配件和网络设备;禁止在内网电脑中安装与工作无关的软件;禁止非本院工作人员使用内网电脑;2、所有人员应保持终端设备的清洁卫生,做好防尘、防水、防静电、防磁、防鼠等工作。
发现病毒应及时进行杀毒处理,离开计算机终端时应及时相关程序或设置屏保密码。
2、需要登录信息系统的用户凭职能科室抄告单到信息技术科培训考核后配置账号和密码,密码设置应至少为六位并妥善保管,不得将本人的账号和密码告诉其他人。
离职人员须到信息技术科签字并立即注销账号和密码方可离院。
3、进入内网电脑的任何文件都要进行审查,经过检测确认无病毒后方可使用。
并通过安装杀毒软件,内网管理软件等方式协助终端用户降低安全隐患。
4、信息技术科有权监督和制止一切违反信息安全管理的行为。
第二部分数据使用与发布安全管理1、医院信息系统中的所有信息资源(行政和管理类信息及病人临床信息等)均归医院所有。
未经批准,任何科室或个人均不得将医院信息系统中的任何信息资源泄露、发布。
2、科室查询统计相关数据,须填写《附件一:医院信息数据查询、修订审批表》经数据涉及的职能科室审批,交信息技术科签字存档后予以查询。
公司信息安全管理规定
公司信息安全管理规定
1. 安全意识培训,所有员工必须接受信息安全意识培训,包括如何识别和处理安全风险、保护公司机密信息等内容。
2. 访问控制,严格控制员工对公司系统和敏感信息的访问权限,确保只有授权人员可以访问相关数据和系统。
3. 数据备份,公司必须定期备份重要数据,并确保备份数据的安全存储和可恢复性。
4. 网络安全,采取必要的措施保护公司网络安全,包括防火墙、反病毒软件、加密通信等措施。
5. 设备安全,公司设备必须安装最新的安全补丁和软件,确保设备不易受到恶意攻击。
6. 审计和监控,对公司系统和数据进行定期审计和监控,及时发现和处理安全问题。
7. 信息共享,员工在共享公司信息时必须遵守相关规定,确保信息不被泄露或滥用。
8. 外部合作安全,与外部合作伙伴共享信息时,必须签订保密协议并确保信息安全传输。
9. 事件响应,建立信息安全事件响应机制,及时处理安全事件并进行事后分析和改进。
以上规定适用于公司所有员工和外部合作伙伴,违反规定将受到相应的处罚。
公司将不断完善信息安全管理制度,确保公司信息安全。
信息安全规范
信息安全规范引言本文档旨在制定适用于我们组织的信息安全规范,以确保保护和维护组织的信息资产安全。
信息安全是我们组织的首要任务,我们将积极采取措施来保护组织的敏感信息,遵守相关法律法规,并防止信息泄露和未授权访问。
1. 信息分类和标记为了准确识别和保护我们组织的信息资产,我们将采用以下信息分类和标记标准:- 息(Public Information):无需保密和标记的信息,任何人都可以自由访问和使用。
- 受限信息(Restricted Information):包含敏感信息的数据,需要限制访问和保持机密。
此类信息应进行明确标记,并仅向有权限的人员提供访问。
- 机密信息(Confidential Information):最为敏感的信息,需要严格保密。
此类信息应进行强制标记,并确保仅授权的人员能够访问。
2. 密码安全为了保护帐户和系统的安全,我们将采取以下密码安全措施:- 密码复杂性:所有帐户密码必须包含至少8个字符,包括字母、数字和特殊字符,以提高密码的强度。
- 周期性更改:所有帐户密码必须定期更改,建议每隔三个月进行一次更改。
- 不共享密码:禁止员工与他人共享密码,每个人的帐户必须有唯一密码。
- 多因素身份验证:对于重要系统和敏感信息,我们将实施多因素身份验证,以增加安全性。
3. 网络安全我们将采取以下措施来确保网络的安全性:- 防火墙和安全设备:所有网络入口和出口必须有有效的防火墙和安全设备进行保护,以防止未经授权的访问和网络攻击。
- 网络监控和日志记录:我们将实施网络监控和日志记录机制,以及时发现和回应任何潜在的安全事件。
- 更新和补丁管理:我们将定期更新和管理所有网络设备和应用程序的补丁,以修复已知的漏洞和安全问题。
4. 数据备份和恢复为了保护我们的数据资产,我们将进行定期的数据备份和恢复操作:- 定期备份:我们将确保关键数据的定期备份,并将备份数据存储在安全的位置,以防止数据丢失。
- 恢复测试:我们将定期测试数据的恢复过程,以确保备份数据的完整性和可用性。
信息安全管理体系ISOIEC27000标准系列概论
什么是 ISO/IEC 27001? ISO/IEC 27001标准的名称为《信息技术 —安全技术 —信息安全管理体系 —要求》,由国际标准化组织( ISO )及国际电工委员会( IEC )出版。
ISO/IEC 27001:2013(下称 ISO/IEC 27001)为最新版本的 ISO/IEC 27001标准,修订了 2005年出版的上一个版本(即 ISO/IEC 27001:2005)。
本标准订明有关建立、推行、维护和持续改进信息安全管理体系的各项要求。
信息安全管理体系阐述保护敏感信息安全的系统化方式,通过应用风险管理流程管理人事、工序及信息技术系统。
这套系统不仅适用于大型机构,中小型企业也会合用。
ISO/IEC 27001可以与相关支援控制措施配合使用,例如载列于 ISO/IEC 27002:2013(下称 ISO/IEC 27002)文件的控制措施。
ISO/IEC 27002分为 14节及 35个控制目标,详述 114项安全控制措施。
有关 ISO/IEC 27001及 ISO/IEC 27002的目录载于附录 A 。
机构是否遵行 ISO/IEC 27001标准所定的要求,可由认可认证机构进行正式评估和认证。
若机构的信息安全管理体系获取 ISO/IEC 27001标准的认证,显示机构致力保护信息安全,又可增加客户、合伙人及持份者的信心。
ISO/IEC 27001认证要求为符合 ISO/IEC 27001认证要求,机构的信息安全管理体系必须由国际认可的认证机构进行审计。
ISO/IEC 27001第 4节至 10节所载的要求(见附录 A )是强制性要求,并没有豁免情况。
若机构的信息安全管理体系通过正式审计,便会获认证机构颁发 ISO/IEC 27001证书。
证书的有效期为三年,期满后,机构需要重新为其信息安全管理体系进行认证。
在三年有效期内,机构必须执行证书维护,以确保信息安全管理体系持续遵行有关要求,按规定运行和不断改进。
信息安全方针
信息安全方针-CAL-FENGHAI.-(YICAI)-Company One1
xxxx 有限公司 信息安全管理方针
文件历史控制记录
2011-12-01颁布 封面 2011-01-01 实施 深圳市英腾威电气股份有限公司 信息中心 发布
信息安全管理方针
本公司信息安全方针:
“优化信息系统强化风险管理保障信息安全提升客户满意”
优化信息系统:在信息系统建设开发过程中,以“实用、安全高效”为原则,不断全面的对现有系统和预期开发运用系统进行规划,以快速度的响应公司业务的高速发展,进一步提高公司业务效率,保障系统安全高效。
强化风险管理:秉承“预防为主,防冶结合”的理念,优化信息安全策略和信息安全管理流程,对运行的信息系统和重要信息资产进行全方位风险预防管控,保护信息系统和重要信息资产免受各种威胁的损害,使信息安全风险最小化,以确保信息系统业务的连续性。
保障信息安全:坚持“安全第一,预防为主”的安全管理方针,适时保持与政府部门及特定权益团体联系,获得信息安全事故的预防和纠正信息,在特殊时期得到相应的支持。
定期开展信息安全风险评估,完善信息安全管理制度和管理信息系统灾难性恢复的应急预案,及时处理不可接受风险,杜绝可能出现的信息安全事故。
提升客户满意: 始终坚持以客户为关注焦点,遵循着公司“竭尽全力提供物超所值的产品和服务,让客户更有竞争力”的发展使命,积极开展信息安全意识宣传,倡导“信息安全人人有责任"全面的安全理念,树立良好的企业形象。
进一步加强信息安全教育培训
工作,提高全员信息安全意识,不断促进信息安全文化建设,为企业和客户的安全稳定运行提供有力保障。
xxxx有限公司
总经理签名:
日期: 2011年月日。
总结 信息安全管理制度
总结信息安全管理制度信息安全管理制度的核心作用在于规范企业内部各种信息活动,并确保信息系统的可靠性、完整性和保密性。
一个完善的信息安全管理制度应当具备以下几个方面的内容:首先是制度建设方面。
信息安全管理制度应当以国家相关法律法规为依据,结合企业实际情况,明确信息安全管理的基本要求和规范标准,制定具体的管理制度文件,并明确相关的组织结构和责任制度。
制度建设是信息安全管理的基础,也是保证信息安全的前提。
其次是风险评估和控制方面。
信息系统的安全是一个动态过程,随着技术的发展和环境的变化,安全威胁也在不断演变。
因此,企业应当定期进行安全风险评估,识别可能存在的安全风险和漏洞,并采取相应措施进行风险控制和防范。
通过风险评估,可以及时发现和解决潜在的安全隐患,提高信息系统的安全性和稳定性。
再次是培训和意识方面。
信息安全管理制度的有效实施离不开员工的积极配合和主动参与。
因此,企业应当加强信息安全培训和教育,提高员工的信息安全意识和能力,并制定相关的考核制度,推动员工自觉遵守信息安全规定,提高信息安全保护的整体水平。
只有员工具备了足够的信息安全知识和技能,信息系统的安全才能得到有效保障。
此外,信息安全管理制度还应该包括技术防护和安全管理方面。
企业应当采用先进的信息安全技术,加强对信息系统的技术防护,确保信息系统的安全性和稳定性。
同时,企业应当建立完善的安全管理机制,规范信息系统的运行和管理流程,确保信息资产得到有效的管理和保护。
通过技术手段和安全管理,可以最大程度地保护信息系统和信息资产的安全。
总的来说,信息安全管理制度是企业信息安全管理工作的基础和核心,是确保信息系统和信息资产安全的有效手段。
一个完善的信息安全管理制度应当包括制度建设、风险评估和控制、培训和意识、技术防护和安全管理等方面的内容,通过多方位、全方位的措施,综合提高信息系统的安全性和稳定性。
只有不断完善信息安全管理制度,加强信息安全管理工作,企业才能有效防范各种安全威胁,确保信息系统和信息资产的安全。
简述信息安全管理制度
简述信息安全管理制度
信息安全管理制度的目的是确保信息系统和信息资源的保密性、完整性和可用性,防止信息资产受到未经授权的访问、窃取和破坏。
信息安全管理制度包括了诸多方面,如组织结构、管理制度、技术措施、物理安全、人员培训等。
通过建立完善的信息安全管理制度,企业可以有效地保护信息系统和信息资源,提高信息安全水平,保障信息资产的安全和可靠性。
信息安全管理制度的建立和实施过程需要走一定的步骤,包括确定信息安全政策、风险评估和风险管理、制定安全措施和安全策略、监督和审计等。
只有通过这些步骤,才能建立一个真正有效的信息安全管理制度,保护企业的信息系统和信息资源安全。
信息安全管理制度的建立和实施需要全员参与和落实,只有所有员工都具备信息安全意识和技能,才能做好信息安全工作。
因此,企业需要开展信息安全培训和宣传,提高员工的信息安全意识,使他们成为信息安全管理制度的执行者和推动者。
信息安全管理制度的建立和实施还需要不断地进行监督和评估,及时发现和解决存在的安全问题,确保信息安全管理制度的有效运行。
只有不断地改进和完善信息安全管理制度,才能更好地保护信息系统和信息资源的安全。
总的来说,信息安全管理制度是企业保护信息资产安全的基础,建立和实施信息安全管理制度是企业的一项基本任务。
只有通过建立完善的信息安全管理制度,才能有效地保护信息系统和信息资源的安全,确保企业的信息资产受到有效的保护。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1国家宏观信息安全管理方面,主要有以下几方面问题:(1)法律法规问题。
健全的信息安全法律法规体系是确保国家信息安全的基础,是信息安全的第一道防线•(2)管理问题。
(包括三个层次:组织建设、制度建设和人员意识)(3)国家信息基础设施建设问题。
目前,中国信息基础设施几乎完全是建立在外国的核心信息技术之上的,导致我国在网络时代没有制网权.2005年度经济人物之首:中国芯创立者邓中翰•十五期间,国家863计划和科技攻关的重要项目:信息安全与电子政务,金融信息化两个信息安全研究项目•2微观信息安全管理方面存在的主要问题为:(1 )缺乏信息安全意识与明确的信息安全方针。
(2)重视安全技术,轻视安全管理。
信息安全大约70%以上的问题是由管理原因造成的•(3)安全管理缺乏系统管理的思想。
3信息安全的基本概念(重点CIA)信息安全(In formation security)是指信息的保密性(Con fide ntiality)、完整性(In tegrity)和可用性(Availability)的保持。
C:信息保密性是保障信息仅仅为那些被授权使用的人获取,它因信息被允许访问对象的多少而不同•I:信息完整性是指为保护信息及其处理方法的准确性和完整性,一是指信息在利用,传输,储存等过程中不被篡改,丢失,缺损等,另外是指信息处理方法的正确性•A:信息可用性是指信息及相关信息资产在授权人需要时可立即获得•系统硬件,软件安全,可读性保障等4信息安全的重要性:a.信息安全是国家安全的需要b.信息安全是组织持续发展的需要c.信息安全是保护个人隐私与财产的需要5如何确定组织信息安全的要求: a.法律法规与合同要求 b.风险评估的结果(保护程度与控制方式)c.组织的原则、目标与要求6信息安全管理是指导和控制组织的关于信息安全风险的相互协调的活动,关于信息安全风险的指导和控制活动通常包括制定信息安全方针、风险评估、控制目标与方式选择、风险控制、安全保证等。
信息安全管理实际上是风险管理的过程,管理的基础是风险的识别与评估。
7 图1-1信息安全管理PDCA持续改进模式:.doc系统的信息安全管理原则:(1)制订信息安全方针原则:制定信息安全方针为信息安全管理提供导向和支持(2)风险评估原则:控制目标与控制方式的选择建立在风险评估的基础之上(3)费用与风险平衡原则:将风险降至组织可接受的水平,费用太高不接受(4)预防为主原则:信息安全控制应实行预防为主,做到防患于未然(5)商务持续性原则:即信息安全问题一旦发生,我们应能从故障与灾难中恢复商务运作,不至于发生瘫痪,同时应尽力减少故障与灾难对关键商务过程的影响(6)动态管理原则:即对风险实施动态管理(7)全员参与的原则:(8)PDCA 原则:遵循管理的一般循环模式--Pla n(策划)---Do(执行)---Check(检查)---Action (措施)的持续改进模式。
PDCA模式,如图因此,系统的信息安全管理是 动态的、系统的、全员参与的、制度化的、预防为主的息安全管理方式, 用最低的成本,达到可接受的信息安全水平,从根本上保证业务的连续 性,它完全不同于传统的信息安全管理模式: 静态的、局部的、少数人负责的、突击式的、事后纠正式的,不能从根本上避免、降低各类风险,也不能降低信息安全故障导致的综合 损失,商务可能因此瘫痪,不能持续。
8威胁(Threat),是指可能对资产或组织造成损害的事故的潜在原因。
如病毒和黑客攻击 偷偷盗等• 9薄弱点(Vulnerability),是指资产或资产组中能被威胁利用的弱点。
如员工缺乏安全意识 令简短易猜,操作系统本身有安全漏洞等•威胁是利用薄弱点而对资产或组织造成损害的•如无懈可击,有机可乘•10风险(Risk),即特定威胁事件发生的可能性与后果的结合。
特定的威胁利用资产的一种或 一组薄弱点,导致资产的丢失或损害的潜在可能性及其影响大小 经济代理人面对的随机状态可以用某种具体的概率值表示•这里的风险只表示结果的不确 定性及发生的可能性大小•11风险评估(Risk Assessment)对信息和信息处理设施的威胁、 影响(Impact)和薄弱点及三者 发生的可能性评估•它是确认安全风险及其大小的过程,即利用适当的风险评估工具,确定资产风险等级和优先控制顺序,所以,风险评估也称为风险分析12 风险管理(Risk Management),以可接受的费用识别、控制、降低或消除可能影响信息 系统安全风险的过程。
13 图2-1风险管理过亍 程结构.doc风险管理b. 剩余风险(Residual Risk),实施安全控制后,剩余的安全风险。
c. 适用性声明(Applicability Statement),适用于组织需要的目标和控制的评述。
14、术语概念之间的关系对方针与信息 安全管理体系 进行评价, 寻找改进 的机会, 采取措施进行有关方针、 程序、标准与法律 法规的符合性检查, 对存在的问题采取措施予以改进信息安全方针根据风险评估、法律法规 要求、组织商务运作自 身要求确定控制目 标与控制方式商务 持续性计划检查措施持续发展策划实施实施组织所选择的控制 与控制方式(其实,安全控制与薄弱点间、安全控制与资产间、安全风险与资产间、威胁与资产间均存在有直接或间接的关系)图2-2风险评估与管理的术语关系图.doc(1)资产具有价值,并会受到威胁的潜在影响。
(2)薄弱点将资产暴露给威胁,威胁利用薄弱点对资产造成影响。
(3 )威胁与薄弱点的增加导致安全风险的增加。
(4 )安全风险的存在对组织的信息安全提出要求(5)安全控制应满足安全要求。
(6)组织通过实施安全控制防范威胁,以降低安全风险。
15 •风险评估应考虑的因素:(1)信息资产及其价值(2)对这些资产的威胁,以及他们发生的可能性(3)薄弱点(4)已有的安全控制措施16 .风险评估的基本步骤(1)按照组织商务运作流程进行信息资产识别,并根据估价原则对资产进行估价(2)根据资产所处的环境进行威胁识别与评价(3)对应每一威胁,对资产或组织存在的薄弱点进行识别与评价(4)对已采取的安全控制进行确认(5)建立风险测量的方法及风险等级评价原则,确定风险的大小与等级17资产估价是一个主观的过程,资产价值不是以资产的账面价格来衡量的,而是指其相对价值。
________ 织商务的重要性,即根据资产损失所引发的潜在的商务影响来决定。
____ 建立一个资产的价值尺度(资产评估标准)•一些信息资产的价值是有时效性的,如数据保密•18威胁发生的可能性分析:确定威胁发生的可能性是风险评估的重要环节,组织应根据经验和(或)有关的统计数据来判断威胁发生的频率或者威胁发生的概率。
威胁发生的可能性受下列因素的影响:(1)资产的吸引力,如金融信息、国防信息等(2)资产转化成报酬的容易程度(3)威胁的技术含量(4)薄弱点被利用的难易程度19威胁发生的可能性大小(具体根据需要定,可能取大于1的值,也可能取小于 1的值,但肯定不小于0)可以采取分级赋值的方法予以确定。
如将可能性分为三个等级:非常可能=3 ;大概可能=2 ;不太可能=1威胁事件发生的可能性大小与威胁事件发生的条件是密切相关的。
如消防管理好的部门发生火灾的可能性要比消防管理差的部门发生火灾的可能性小。
因此,具体环境下某一威胁发生的可能性应考虑具体资产的薄弱点对这一威胁发生可能性的社会均值予以修正:P TV=P T*P V式中P TV――考虑资产薄弱点因素的威胁发生的可能性;P T――未考虑资产薄弱点因素的威胁发生的可能性,即这一威胁发生可能性的组织、行业、地区或社会均值;P V――资产的薄弱点被威胁利用的可能性评价威胁发生所造成的后果或潜在影响。
不同的威胁对同一资产或组织所产生的影响不同,即导致的价值损失也不同,但损失的程度应以资产的相对价值(或重要度)为限。
威胁的潜在影响I =资产相对价值 V*价值损失程度C L价值损失程度C L是一个小于等于1大于0的系数,资产遭受安全事故后,其价值可能完全丧失(即C L=1 ),但不可能对资产价值没有任何影响(即C L丰0)。
为简化评价过程,可以用资产的相对价值代替其所面临的威胁产生的影响,即用V代替I,让C L=1。
20薄弱点评价与已有控制措施的确认: a.薄弱点的识别与评价表2-2有关实物和环境安全方面的薄弱点.doc b.对已有的安全控制进行确认图2-5控制措施与风险程度关系图.doc21三元风险函数R=R(PT, PV, V)至二元风险函数R=R(PTV,V )<均为增函数>图2-6 风险区域示意图(见笔记本最后一页1)22风险测量方法事例:例2-1 使用风险矩阵表进行测量(预先价值矩阵一Matrix with predefined value)表2-3风险价值矩阵表.doc禾U用威胁发生的可能性、薄弱点被威胁利用的可能性及资产的相对价值的三维矩阵来确定风险的大小:威胁发生的可能性定性划分为三级:低、中、高(0〜2);薄弱点被利用的可能性也定性划分为三级:低、中、高(0〜2);受到威胁的资产的相对价值定性划分为五级:(0 〜4)共有3*3*5=45种风险情况,依据风险函数特性将这45种风险情况按照某种规律赋值,形成事先确定的风险价值表(即确定风险函数R的矩阵表达式)表2-3风险价值矩阵表T V T v例2-2 二元乘法风险测量,计算公式为:R=R(PTV,I)=PTV*I即利用威胁发生的真实可能性PTV和威胁的潜在影响I两个因素来评价风险,风险大小为两者因素值之乘积表2-4二元乘法风险计算表.doc即,在此我们将威胁发生的可能性定性划分为1〜5级,威胁所造成的影响也定性划分为1〜5级。
对于某一资产因不同威胁所产生的风险大小与风险排序(或者说威胁的等级)就是上表所述的情形。
注意:由于采用乘法计算风险,因此,这里的变量数值最好不要取为0例2-3关于网络系统的风险测量举例R=R(PTV,I)=I*PTV=V*CL*PTV=V*(1-PD)*(1-PO) 式中:V----系统的重要性;PO---防止威胁发生的可能性,PTV = 1-PO ; PD---防止系统性能降低的可能性,CL= 1-PD表2-5风险计算结果.doc以某个网络系统作为信息资产的风险测量对象来开展根据网络系统的重要性(系统的相对价值) V、威胁发生的可能性P T V、威胁发生时防止性能降低的可能性 P D,三个因素来评价风险的大小。
V……系统的重要性,为系统的保密性 C、完整性IN、可用性A三项评价值的乘积,即V= C X IN X A风险计算示例:如某组织有三个网络系统:管理、工程与电子商务系统的保密性、完整性、可用性均定性划分为低(1)、中(2)、高(3)三个等级;P。