计算机网络安全风险管理
计算机网络安全风险管理
3
二、安全风险管理介绍
资产类别 有形资产 有形资产 有形资产 有形资产 有形资产 有形资产 有形资产 有形资产 有形资产 有形资产 有形资产 有形资产
总体 IT 环境
Intranet 数据 Intranet 数据 Intranet 数据 Intranet 数据 Intranet 数据 Intranet 数据 Intranet 数据 Intranet 数据 Intranet 数据 Extranet 数据 Extranet 数据 Extranet 数据
物理基础结构 物理基础结构 物理基础结构 物理基础结构 物理基础结构 物理基础结构 Intranet 数据 Intranet 数据 Intranet 数据 Intranet 数据 Intranet 数据
资产名称 可移动介质(如:磁带、软盘、CD-ROM、DVD、便携 式硬盘、PC 卡存储设备、USB 存储设备等) 电源 不间断电源 消防系统 空调系统 空气过滤系统 其他环境控制系统 源代码 人力资源数据 财务数据 营销数据 雇员密码
商务联系
个人隐私 资产识别
经营状况
管理制度
知识产权
资产
二、安全风险管理介绍
资产类别 有形资产 有形资产 有形资产 有形资产 有形资产 有形资产 有形资产 有形资产 有形资产 有形资产 有形资产 有形资产 有形资产
总体 IT 环境 物理基础结构 物理基础结构 物理基础结构 物理基础结构 物理基础结构 物理基础结构 物理基础结构 物理基础结构 物理基础结构 物理基础结构 物理基础结构 物理基础结构 物理基础结构
客户消费信用报告 客户医疗记录 雇员生物特征识别 雇员商务联络数据 雇员个人联络数据 采购单数据 网络基础结构设计 内部网站 雇员种族数据 合作伙伴合同数据 合作伙伴财务数据 合作伙伴联络数据
网络安全风险管理(精选5篇)
网络安全风险管理(精选5篇)网络安全风险管理范文第1篇一、讨论现状目前关于计算机网络安全问题与对策的讨论比较多,重要集中在网络安全威逼的类型和网络安全的防范措施两个方面。
第一,在网络安全威逼的类型方面,廖博艺介绍了网络安全威逼的相关情况,他认为计算机病毒是首要威逼,系统漏洞和恶意攻击是紧要威逼。
袁剑锋分析了网络安全中存在的问题,重要是自然威逼、身份判别威逼等。
第二,在网络安全的防范措施方面,仝世君从用户、系统开发者、黑客这三个主体的角度分析了网络安全面临的问题,并提出了多种应对措施。
罗涛提出网络安全最软弱的环节是人的漏洞,因此要加强网络安全教育。
总体上,已有讨论多关注网络安全建设,但大多是定性介绍,泛泛而谈,没有形成系统的分析框架。
因此本文通过建立风险分析框架,基于流程来分析计算机网络在运行过程中存在的风险与问题,并提出针对性的对策建议。
二、计算机网络运行的风险分析计算机网络在运行过程中会面临诸多方面的问题。
为了更加全面地分析计算机网络运行过程中的风险与问题,本文以风险管理流程的三个层面为框架,结合计算机网络的风险来源和风险处置要素,构建了计算机网络安全的风险分析框架,并依照该框架提出对策看法。
实在包含:风险来源分析,即从计算机网络运行的三个核心要素分析,包含操作系统、软件应用、数据信息;风险评估分析,即从资产损失、威逼行为两个方面分析可能的风险影响;风险处置分析,包含风险防备和风险应对两个层面提出应对策略。
(1)风险来源分析。
计算机网络面临的风险来源包含三个方面。
第一,在操作系统方面存在的风险。
目前计算机的操作系统重要是Windows、Linux等。
由于操作系统的集中性,导致操作系统的安全性存在很大的问题。
这些操作系统的源代码是公开的,一些程序员可以在这方面做文章,如制作病毒攻击。
这是全部计算机都可能面临的风险。
第二,在软件应用方面存在的风险。
某些黑客设计出一些带有病毒的软件来窃取用户的信息,如照片、通信信息等。
计算机网络安全的主要隐患及管理
计算机网络安全的主要隐患及管理提纲:1.网络安全的主要隐患2.计算机网络安全管理3.数据库安全4.网络拓扑结构5.安全意识教育一、网络安全的主要隐患随着计算机网络的发展,网络安全也成了很多企业和国家的热点话题。
网络安全的主要隐患包括:身份认证不安全、缺乏访问控制、网络间隔离不彻底、敏感数据储存不当、新型威胁与攻击手段。
在网络安全保障中,身份认证是必要的。
只有确定好设备与个人的身份后,才能实现设备管理与访问控制。
同时,缺乏访问控制也是一个重要的隐患。
访问控制是网络管理的重点之一,通过对权限的限制,防止未经授权的访问,并且对于权限的分级设置也要细化,以避免敏感数据泄露的风险。
网络间隔离不彻底也会导致一系列的安全问题。
网络间隔离的目的是将不同的网络之间做到彼此独立,提高系统的可靠性,并且可以最大限度的降低网络攻击的威胁。
敏感数据储存不当也会导致数据被窃取的危险。
数据的储存安全与还原的安全都需要特别重视,尤其是针对的是企业级应用,重复性验证的同时,还需要不断的对数据库加强加密保护。
新型威胁与攻击手段不断涌现,病毒、木马等各种恶意软件威胁着计算机网络的安全,甚至有些新型的攻击手段可能会造成无法挽回的损失。
因此,网络运维人员需要密切关注威胁动态,不断提高安全防护能力。
二、计算机网络安全管理计算机网络安全管理包括网络设备管理、访问控制管理、安全策略制定、安全日志管理等。
网络设备管理主要是管理网络设备,并对网络设备进行规范化管理和监控,保证网络设备处于安全、稳定的状态。
并且在每个网络设备上建立相应的管理账号和密码,不同级别的管理员账户有不同的权限,以便实现对设备的访问控制。
访问控制管理应该建立适合组织的访问控制机制,并且根据安全策略和业务需求进行授权。
安全策略应该包括组织参照的安全标准、密码策略、访问控制策略、数据备份及恢复策略等安全措施。
网络安全日志管理是所有安全设备必备的一个功能。
这些日志记录了设备的状态和操作记录。
计算机安全风险评估与管理
计算机安全风险评估与管理计算机安全在现代社会中扮演着至关重要的角色。
随着网络技术的不断发展,网络攻击和数据泄露的风险也逐渐增加。
因此,进行计算机安全风险评估与管理显得尤为重要。
本文将介绍计算机安全风险评估的概念、流程以及管理措施。
一、计算机安全风险评估的概念计算机安全风险评估是指通过对计算机系统和网络进行全面评估,确定可能存在的安全漏洞和威胁,并提出相应的解决方案和管理策略的过程。
其目的是帮助组织识别和评估计算机安全风险,并为相关决策和资源分配提供科学依据。
二、计算机安全风险评估的流程计算机安全风险评估按照以下步骤进行:1. 确定安全目标:明确评估的目的和范围,确定风险评估的关注点。
2. 收集信息:收集和整理与计算机系统和网络安全相关的信息,包括系统架构、配置、漏洞信息等。
3. 风险识别:通过应用安全工具和技术,发现潜在的安全风险,包括漏洞、弱密码、恶意软件等。
4. 风险分析:对识别到的安全风险进行分析,评估其对系统和网络的影响和危害程度。
5. 风险评估:根据风险分析的结果,评估风险的可能性和影响程度,并对风险进行排序和分类。
6. 制定对策:根据评估结果,制定相应的安全对策和措施,包括修复漏洞、加强访问控制、加密数据等。
7. 实施对策:按照制定的安全对策和措施进行实施,并监测效果。
8. 持续改进:定期进行风险评估和管理效果的评估,根据需要调整和改进安全策略。
三、计算机安全风险管理措施计算机安全风险管理是指通过制定和实施一系列措施和策略来管理和减轻计算机安全风险的过程。
1. 制定安全政策:明确安全责任,规范员工行为,确保组织的计算机安全政策得到落实。
2. 建立安全团队:组建一只专业的安全团队,负责安全风险评估、紧急响应和安全事件处理等工作。
3. 定期培训与意识教育:通过培训和意识教育,提高员工的安全意识和安全知识水平,减少人为因素引发的安全事故。
4. 强化访问控制:确保只有授权的用户可以访问系统和网络,采用强密码、多因素身份认证等方式加强访问控制。
计算机系统的安全防护与风险管理
计算机系统的安全防护与风险管理标题:计算机系统的安全防护与风险管理导言:计算机系统的安全防护与风险管理是我们在当今信息时代面临的关键挑战之一。
在互联网应用广泛的背景下,如何保护计算机系统的安全与减少各类安全隐患背后的风险,已经成为一个亟待解决的问题。
本文将详细介绍计算机系统安全的重要性,并提供一些步骤来实施计算机系统的安全防护与风险管理。
一、计算机系统安全的重要性1. 保护个人隐私- 在计算机系统的安全措施下,个人隐私得以保护,如个人信息、银行账户等。
2. 防止数据泄露- 计算机系统的安全防护可以防止敏感数据被盗取或泄露,确保数据的完整性和保密性。
3. 防止恶意攻击- 安全措施能够有效防止恶意攻击,如病毒、黑客入侵等,保护系统免受损害。
4. 防范网络犯罪- 计算机系统安全的加强,可以减少网络犯罪活动的发生,并保护国家和社会的稳定。
二、计算机系统安全防护与风险管理的步骤1. 安装防火墙和更新系统- 安装防火墙可以阻止恶意软件和黑客入侵,同时定期更新系统以获取最新的安全补丁。
2. 使用强密码和双因素身份验证- 用户应该使用强密码,并避免使用容易被猜测的密码。
此外,采用双因素身份验证可以进一步提高安全性。
3. 定期备份数据- 定期备份数据是一项重要的风险管理措施,以防止数据丢失或损坏。
备份数据应存储在安全的位置。
4. 限制系统访问权限- 限制系统访问权限是保护计算机系统的关键。
只有授权的用户才能访问敏感数据和系统配置。
5. 教育和培训用户- 向用户提供安全培训和教育,以提高其对安全措施的认识和警惕性。
6. 审计与监测- 对计算机系统进行定期的审计和监测,发现异常情况并采取适当的措施来应对安全风险。
7. 更新和维护安全政策- 企业和组织应定期更新和维护安全政策,确保其与现实情况相匹配,并加以执行。
三、计算机系统安全防护与风险管理的挑战1. 不断变化的威胁- 计算机系统面临着不断变化和不断进化的威胁,对安全防护技术要求不断提高。
计算机网络安全管理
计算机网络安全管理计算机网络安全管理是指针对计算机网络中的各种风险和威胁,对网络进行有效地保护和管理的一项工作。
随着互联网技术的快速发展和普及应用,计算机网络安全问题也日益凸显。
计算机网络安全管理涉及到网络硬件设备、网络操作系统、网络应用程序和网络用户等多个方面,要实现网络安全管理,需要多学科、多层次的综合防护措施。
一、网络安全威胁网络安全威胁主要包括以下几个方面:1.入侵攻击:黑客通过攻击网络系统的漏洞,获取非法权限,进而对网络进行破坏、篡改或窃取敏感信息。
2.病毒和木马:病毒和木马是常见的网络安全威胁,它们可以通过植入计算机系统,破坏系统运行、窃取用户信息等。
3.网络钓鱼:网络钓鱼是指通过虚假网站、邮件等方式,诱导用户输入个人敏感信息,从而实施非法活动。
4.DDoS攻击:分布式拒绝服务攻击是指攻击者通过多地多台计算机发起大流量攻击,导致目标服务器过载,从而使正常用户无法访问。
5.数据泄露:数据泄露是指个人或组织的敏感信息被非法获取和传播。
例如,员工泄露公司机密数据、黑客窃取用户个人信息等。
以上仅是网络安全威胁的一部分,网络安全威胁形式多样,攻击手段也在不断演化,计算机网络安全管理面临着严峻的挑战。
二、计算机网络安全管理的原则要做好计算机网络安全管理,需要遵循以下几个原则:1.全面规划:网络安全管理应全面规划,考虑网络硬件设备、操作系统、网络应用程序、网络用户等多方面的安全问题。
针对不同系统和应用,采取相应的防护措施。
2.防护为主:网络安全管理应以防护为主,通过综合的安全策略和技术手段,对网络进行合理的安全防护,降低风险和威胁。
3.风险评估:网络安全管理应实施风险评估,对网络系统进行全面的风险分析和评估,确定可能存在的风险和威胁,为后续的安全管理提供依据。
4.安全策略:网络安全管理应制定相应的安全策略,明确网络安全的目标和措施,确保网络安全管理的执行和实施。
5.持续改进:网络安全管理是一个持续不断的过程,面对不断变化和升级的网络安全威胁,需要不断改进和完善安全管理措施。
计算机网络安全管理
计算机网络安全管理计算机网络安全管理是指对计算机网络进行安全性管理和保护的一系列措施。
随着计算机网络的广泛应用和发展,网络安全问题也日益突出。
网络攻击、信息泄露、数据损毁等问题给个人、企业和国家带来了巨大的经济和社会损失。
加强计算机网络安全管理,提高网络的安全性是非常重要的。
网络安全风险与威胁网络安全风险与威胁是计算机网络安全管理的基础。
网络安全风险包括各种可能造成网络受到攻击和威胁的因素,如网络设备的漏洞、密码被、网络传输过程中的信息泄露等。
网络攻击是指对计算机网络进行破坏、干扰和入侵的行为,包括黑客攻击、攻击、拒绝服务攻击等。
网络威胁是指对网络安全构成潜在威胁的各种因素,如恶意软件、网络钓鱼等。
计算机网络安全管理的原则计算机网络安全管理需要遵循一定的原则,以保证网络的安全性和稳定性。
是全面性原则,即对网络的各个方面进行全面的安全管理。
是实时性原则,即安全管理需要及时发现和解决问题,不能拖延。
是预防性原则,即采取一系列的防范措施,预防网络安全事故的发生。
是后果防控原则,即一旦发生安全事故,需要及时采取措施降低事故的后果。
计算机网络安全管理的措施计算机网络安全管理需要采取一系列的措施来保护网络的安全性。
其中包括:1. 计算机网络访问控制:通过对网络的访问进行控制,限制不合法用户的进入。
2. 安全策略制定:制定合理的安全策略,包括密码管理、文件权限控制等。
3. 防护:采用杀毒软件等技术手段,防止的入侵。
4. 安全审计:定期对网络进行安全审计,发现漏洞并修复。
5. 数据加密:对重要的数据进行加密处理,保证数据的机密性。
6. 网络监控:通过实时监控网络的流量和行为,及时发现异常情况并进行处理。
7. 安全培训教育:加强对网络安全的培训教育,提高员工的安全意识和防范能力。
计算机网络安全管理的挑战和应对措施计算机网络安全管理面临着许多挑战,如不断增长的网络攻击手段、技术的迅速更新和网络的复杂性。
要应对这些挑战,需要采取相应的措施:1. 强化技术手段:加强网络安全技术的研发和应用,提高网络的抗攻击能力。
控制计算机网络风险的几点建议
辛 华 李红艳 王丽 雯
( 西安科技 大学 7 1 0 0 0 0
陕西职 业能源技 术学院 7 1 2 0 0 0 )
其 中, 外 部风 险主要是 指 由 自然灾 害或 非法攻 击等外 部 因素 所造成 的计算机 网络安全风险 , 主要 包括火灾 、 水灾 以及数据盗 窃 等外部风险因素 , 主要 对计算机硬件 系统 进行破坏 , 因此它是造成 计算机网络系统遭受破坏的主要原因之一 。黑客是 目前计算机 网 络系统所 面临 的最 大威 胁 , 它通过 网络 攻击和 网络 侦查 两种途径 对计算机系统进行破坏 。网络攻击主要是 通过各种 非法手段进入 到用户的计算机系统 中, 企 图破坏相关数据 和信息 的完整性 , 网络 侦查虽然 不会 影响用 户的计算机 网络系统 的正常运行 , 但 是该行 为通过窃取 、 破译等方式造成机密信息 的泄露 , 对用 户的网络安全 造成重大的危害。 内部 风险一般存 在于计算机 网络 系统在正 常运行 过程 中 , 它 主要 是由计算 机系统本身 的特性所 决定 的。常见 的内部风 险有 : 操作 人员的安 全意识 薄弱 , 登陆 系统 的账号和 口令泄露 , 没 有访 问 权 限的人员进 入到用户计算 机系统 , 这些行 为和现象都会 造成 网 络安全风险 , 触发 网络安 全事故 。由于计算 机软件本 身存在 着一 些与生俱来 的漏洞 , 这些漏洞往往会成为黑客攻击 的首选 目标 , 不 及 时防范将会 造成 比较严重 的后果 。 第二 , 用户应 结合 实际情 况加强 网络 系统 的风 险控制 。 用户应该对 自身所采用 的计算机 网络 系统 的安全风 险进 行科 学 的分析 , 对于不 同的风险类型采取相对应的风险控制方法 , 拟定 出有针对性 的措施 。为 了更加有效地保证整个计算机 网络 系统的 安全性 , 需要从信息的产生到消亡的整个过程进行精确的监控 , 形 成完整 的数据控制方法 , 达到对系统安全风险的控制 。 1 、 严格 控制数据 信息 的输 入和传输 。 在计算机 网络用户 的信 息系 统输入 阶段 , 一 般要通 过加 密技 术对要传 输 的数据 进行加密 , 这样才 能保证数据 的正确性和合 法 性; J J n 密之后 , 通过 网络对数 据进行 传输 , 可 以避 免数据信 息在 传 输 的过程 中遭到篡改或窃取 , 从而保 证用户的信息安全 。 2 、 严格控制数据信息 的接 收与处理 。 用户在接收来 自网络 以外 的数 据时 , 需要利 用预编程 序对 该 数据信息进行处理 , 经 过处 理的信息 以磁 盘、 胶卷等信息媒介再 次 输出 , 这样用 户就对 已获得 的信 息数 据进 行了安全 控制。有时候 , 用户需要对这些来 自外界的信息在使用过程中所产生的数据进行 存储 , 这 时就 需要严格 控制 用户 对上 述数 据的使用情况 , 同时严格 控制用户 对数据 的存 储状况 , 以此保证 对计算机 信息网络 的风 险 控制 。 3 、 严格控制结果数据信息 的保存和处理 。 结果数据信息的保存和处 理是 风险控制 的最后一 个环 节 , 也 就是对数据信息使用之后的最终处置 。这一环节主要包括对数据 的存储方法 、 存储地址 、 保存 时间 以及 数据 清除等 内容 , 对 于不再 需要和使用的数据应妥善处理 , 防止数据被其他用户重新利 用 , 从 中研究获 得有用信息 , 对计算 机 网络 系统的安全构成 新的威胁 和 危害 。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
机械故障
机械故障 机械故障 机械故障 非恶意人员 非恶意人员
硬件故障
网络中断 环境控制措施失效 结构意外 未获通知的雇员 未获通知的用户
灾难性事件
灾难性事件
平民骚乱/暴动
山崩
灾难性事件
灾难性事件
雪崩
工业意外
二、安全风险管理介绍
威胁 恶意人员 恶意人员 恶意人员 黑客、解密高手 计算机犯罪 行业间谍 示例
有形资产
有形资产 有形资产 有形资产 有形资产 有形资产 有形资产 有形资产
物理基础结构
物理基础结构 物理基础结构 物理基础结构 物理基础结构 物理基础结构 物理基础结构 物理基础结构
移动电话
服务器应用程序软件 最终用户应用程序软件 开发工具 路由器 网络交换机 传真机 PBX
1
1 1 3 3 3 1 3
资产类别 总体 IT 环境
Extranet 数据
Extranet 数据 Extranet 数据 Extranet 数据 Extranet 数据
资产名称
资产评级
有形资产
有形资产 有形资产 有形资产 有形资产
合作伙伴协同应用程序
合作伙伴密钥 合作伙伴信用报告 合作伙伴采购单数据 供应商合同数据
3
5 3 3 5
雇员商务联络数据
雇员个人联络数据 采购单数据 网络基础结构设计 内部网站
1
3 5 3 3
有形资产
有形资产 有形资产 有形资产
Intranet 数据
Extranet 数据 Extranet 数据 Extranet 数据
雇员种族数据
合作伙伴合同数据 合作伙伴财务数据 合作伙伴联络数据
3
5 5 3
二、安全风险管理介绍
3
二、安全风险管理介绍
资产类别 有形资产 有形资产 有形资产 有形资产 有形资产 有形资产 有形资产 总体 IT 环境
Internet 数据 Internet 数据 Internet 数据 Internet 数据 Internet 数据 Internet 数据 Internet 数据
资产名称 网站销售应用程序 网站营销数据 客户信用卡数据 客户联络数据 公开密钥 新闻发布 白皮书
其他基础结构
虚拟专用网 (VPN) 访问 Microsoft Windows® Internet 命名服务 (WINS) 合作服务(如 Microsoft SharePoint™)
3 1
1
二、安全风险管理介绍
威胁 灾难性事件 灾难性事件 灾难性事件 灾难性事件 灾难性事件 火灾 洪水 地震 严重风暴 恐怖分子袭击 示例 威胁 机械故障 电力中断 示例
资产评级 5 3 5 3 1 1 1
有形资产
有形资产
Internet 数据
Internet 数据
产品文档
培训资料
1
3
二、安全风险管理介绍
资产类别 总体 IT 环境 资产名称 资产评级
无形资产 无形资产 无形资产
无形资产 IT 服务 IT 服务
名誉 友好关系 雇员道德
雇员生产力 邮件 邮件 电子邮件/计划(如 Microsoft® Exchange) 即时消息
Microsoft Outlook® Web Access (OWA)
5 3 3
3 3 1
IT 服务
IT 服务 IT 服务 IT 服务
邮件
核心基础结构 核心基础结构 核心基础结构
1
3 3 3
Microsoft Active Directory® 域名系统 (DNS) 动态主机配置协议 (DHCP)
二、安全风险管理介绍
资产类别 有形资产 有形资产 有形资产 总体 IT 环境
Intranet 数据 Intranet 数据 Intranet 数据
资产名称 客户消费信用报告 客户医疗记录 雇员生物特征识别
资产评级 5 5 5
有形资产
有形资产 有形资产 有形资产 有形资产
Intranet 数据
Intranet 数据 Intranet 数据 Intranet 数据 Intranet 数据
适用于法规要求的数据(如 GLBA、HIPAA、CA 5 SB1386 和 EU Data Protection Directive等)。
有形资产
有形资产 有形资产
Intranet 数据
Intranet 数据 Intranet 数据
美国 雇员社会保险号
雇员驾驶证编号 战略计划
5
5 3
二、安全风险管理介绍
有形资产
有形资产 有形资产 有形资产 有形资产
Extranet 数据
Extranet 数据 Extranet 数据 Extranet 数据 Extranet 数据
供应商财务数据
供应商联络数据 供应商合作应用程序 供应商密钥 供应商信用报告
5
3 3 5 3
有形资产
Extranet 数据
供应商采购单数据
恶意人员
恶意人员 恶意人员 恶意人员 恶意人员 恶意人员 恶意人员 恶意人员
政府资助的间谍
社会工程 心存不满的现雇员 心存不满的前雇员 恐怖分子 疏忽的雇员 不诚实的雇员(受贿者或被勒索者) 恶意移动代码
二、安全风险管理介绍
高级漏 洞分类 物理 物理 未上锁的门 未受保护的计算机应用设施访问权限 漏洞简短说明 具体示例(如果适用)
二、安全风险管理介绍
• 弱点(Vulnerability)—— 也被称作漏洞或脆弱性, 即资产或资产组中存在的可被威胁利用的缺点,弱 点一旦被利用,就可能对资产造成损害。弱点本身 并不能构成伤害,它只是威胁利用来实施影响的一 个条件。风险管理过程中要识别弱点,并评估弱点 的严重性和可被利用的容易程度。 • 风险(Risk)—— 特定威胁利用资产的弱点给资产 或资产组带来损害的潜在可能性.单个或者多个威胁 可以利用单个或者多个弱点。风险是威胁事件发生 的可能性与影响综合作用的结果。 • 可能性(Likelihood)—— 对威胁事件发生的几率 (Probability)或频率(Frequency)的定性描述。
电源 不间断电源 消防系统 空调系统
有形资产
有形资产 有形资产 有形资产 有形资产
物理基础结构
物理基础结构
Intranet 数据 Intranet 数据 Intran系统 源代码 人力资源数据 财务数据
1
3 5 5 5
有形资产
有形资产
Intranet 数据
Intranet 数据
计算机网络安全风险管理
樊山 二零零五年十一月
一、概述
风险就是不利事件发生的可能性。风险管理 是评估风险、采取步骤将风险消减到可接受的水 平并且维持这一风险级别的过程。也许大家没有 意识到,其实大家每天都在进行风险管理。像系 安全带、预报有雨时带伞或将事情记录下来以免 遗忘,这些日常活动都可以归入风险管理的范畴。 人们会意识到针对其利益的各种威胁,并采取预 防措施进行防范或将其影响减到最小。 风险管理是安全性的一个重要方面,但风险 管理不只是包含恐惧、不确定性和怀疑(FUD)。 在评判一个安全计划时,应重点考虑直接在资产 负债表上导致美元收入的安全收益,它是相对于 风险管理的重要对应物。
营销数据
雇员密码
5
5
二、安全风险管理介绍
资产类别 有形资产 总体 IT 环境
Intranet 数据
资产名称 雇员私人密钥
资产评级 5
有形资产
有形资产 有形资产 有形资产
Intranet 数据
Intranet 数据 Intranet 数据 Intranet 数据
计算机系统密钥
智能卡 知识产权
5
5 5
物理 物理 物理 物理 物理 物理 物理 物理
不充分的消防系统 设计低劣的建筑 施工低劣的建筑 施工中使用的易燃材料 装修中使用的易燃材料 未上锁的窗 易受物理袭击的墙 内墙未能在天花板和地板处完全密封房间
二、安全风险管理介绍
高级漏 洞分类 自然 自然 自然 硬件 硬件 硬件 硬件 硬件 漏洞简短说明 设备位于故障线路上 设备位于水灾区域 设备位于雪崩区域 缺少修补程序 过期的固件 配置错误的系统 未受物理保护的系统 在公共接口上允许的管理协议 具体示例(如果适用)
二、安全风险管理介绍
• 影响(Impact)—— 或者是后果 (Consequence),意外事件发生给组织带来的 直接或间接的损失或伤害。 • 安全措施(Safeguard)—— 也称作控制措施 (control)或对策(countermeasure),即通过 防范威胁、减少弱点、限制意外事件带来影响等 途径来消减风险的机制、方法和措施。 • 残留风险(Residual Risk)—— 在实施安全措施 之后仍然存在的风险。
二、安全风险管理介绍
高级漏 洞分类 媒体 通信 通信 通信 通信 人为 人为 人为 电子干扰 未加密的网络协议 到多个网络的连接 允许不必要的协议 在网络分段之间无过滤 定义低劣的程序 定义低劣的程序 定义低劣的程序 不充分的意外响应准备 手工供应 不充分的灾难恢复规划 漏洞简短说明 具体示例(如果适用)
二、安全风险管理介绍
资产类别 有形资产 有形资产 有形资产 有形资产 有形资产 总体 IT 环境 物理基础结构 物理基础结构 物理基础结构 物理基础结构 物理基础结构 资产名称
可移动介质(如:磁带、软盘、CD-ROM、DVD、 便携式硬盘、PC 卡存储设备、USB 存储设备等)
资产评级 1 3 3 3 3
二、安全风险管理介绍
个人隐私
经营状况
商务联系
资产识别
资产 管理制度 知识产权
二、安全风险管理介绍
资产类别 有形资产 有形资产 有形资产 有形资产 有形资产 总体 IT 环境 物理基础结构 物理基础结构 物理基础结构 物理基础结构 物理基础结构 数据中心 Servers 台式计算机 移动计算机 PDA 资产名称 资产评级 5 3 1 3 1