怒海情仇电视剧全集在线观看,五月天av在线播放

當前位置：信管網 >> 信息系統項目管理師 >> 綜合知識 >> 文章內容

信息系統項目管理師復習：信息系統安全風險評估

來源：信管網 2012年03月26日【所有評論】

信息系統安全風險評估

信息安全與安全風險

為一個新系統設計信息安全保障系統的過程

1、擬定新系統的功能、目標

2、風險識別，對現有系統、業(yè)務流程分析

3、風險評估，對識別的風險預估出可能造成的后果

4、控制風險，按照風險大小和主次、設計相應的對策

5、對設計的對策進行投入產出評估

6、設計實施方案

7、實施

風險識別

安全風險識別就是把安全威脅找出來。

有形資產指銀行的賬戶、存折、信用卡、商家的商品證券、債券、股票，產品，產品生產的工藝、工藝參數，無形資產指誠信、可靠的信譽，以及產品的商標、商家的專利、知識產權等。從計算機信息應用信息系統安全威脅的分析來看，無形資產是在有形資產破壞之后才引發(fā)的結果。因此，信息安全保障系統首先要考慮有形資產的保護。

由于風險具有不確定性，因此完全消除風險是不切實際的。

安全威脅的分類

按性質分為靜態(tài)風險和動態(tài)風險。靜態(tài)風險是自然力的不規(guī)則作用和人們的錯誤判斷和錯誤行為導致的風險，動態(tài)風險是由于人們欲望的變化、生產方式和生產技術的變化以及企業(yè)組織的變化導致的風險。

按風險引起的結果分為純粹風險和投機風險。純粹風險是當風險發(fā)生時，僅會造成損害的風險，投機風險是當風險發(fā)生時，可能產生利潤也可能造成損失的風險。

按風險源可分為自然事件風險、人為事件風險、軟件風險、軟件過程風險、項目管理風險、應用風險、用戶使用風險。

1、自然事件風險：地震、雷擊、洪災

2、人為事件風險：分為意外人為事件風險和有意的人為事件風險
意外人為事件風險：不正確的操作、配置、設計或人員的疏忽大意
有意人為事件風險：內部竊密和破壞、惡意的黑客行為、工（商）業(yè)間諜、惡意代碼

3、軟件系統風險：兼容風險、維護風險、使用風險（指軟件被用戶接受的程度而產生的風險）

4、軟件過程風險：需求階段的風險、設計階段的風險、實施階段風險、維護階段的風險

5、項目管理風險：缺少開發(fā)標準、缺少正規(guī)開發(fā)程序、

6、應用風險：安全性、未授權訪問和改變數據

安全威脅的對象及資產評估鑒定

安全威脅的對象就是一個單位的有形資產和無形資產，而且主要是有形資產。一個信息系統中的資產不僅僅是軟件和硬件，還包括其他內容，一個信息系統中的資產包括：信息或數據、硬件、軟件、文檔資料、各種服務、環(huán)境、工作人員、單位的形象、產品的商標、專利、知識產權等

資產評估鑒定：確定各類資產的不同價值和重要級別以區(qū)別對待。一般可以分為可忽略的、較低的、中等的、較高的、非常高的

信息系統安全薄弱環(huán)節(jié)鑒定評估

威脅、脆弱性、影響之間存在著一定的對應關系，威脅可看成從系統外部對系統產生的作用而導致系統功能及目標受阻的所有現象。脆弱性是系統內部的薄弱點，脆弱性是客觀存在的，并且本身沒有實際的傷害，但威脅可以利用脆弱性發(fā)揮作用。如果系統不存在脆弱性，那么威脅就不存在，風險也就沒有了。影響是威脅與脆弱性的特殊組合，受時間、地域、行業(yè)、性質的影響，系統面臨的威脅不一樣，風險發(fā)生的頻率、概率不盡相同，因此影響程度也很難確定。

計算風險值的數學模型：風險 = 威脅 * 脆弱性 * 影響

風險識別與風險評估的方法

風險識別常用的方法：頭腦風暴法、面談法、德爾菲法、流程圖法、類比法歷史資料。

安全風險的量化是按公式：風險值=威脅 * 脆弱性 * 影響計算出來的，因此在定量的計算風險時需要將威脅、脆弱性、影響進行量化，最簡單的量化方法是將這三個要素分成高（3分）、中（2分）、低（1分）或零（0）等幾個等級，事件發(fā)生的概率在0~1之間，產生的風險分值在0~6之間。