首页 > 知识点讲解
       信息系统安全风险评估
知识路径: > 信息系统安全管理 > 
被考次数:5次     被考频率:中频率     总体答错率:38%     知识难度系数:     
考试要求:熟悉      相关知识点:7个      
        信息安全与安全风险
        建立安全保障系统的步骤如下:
        (1)拟定新系统的功能——目标。
        (2)现有系统分析——风险识别。
        (3)对识别出的风险预估可能造成的后果——风险评估。
        (4)按照风险大小和主次设计风险应对策略——控制风险。
        (5)对设计对策进行投入产出评估。
        (6)判断可行性。
        (7)设计。
        (8)实施。
        安全风险识别
        简单来说,安全风险识别就是把“安全威胁”找出来。“安全威胁”是指对业务应用信息系统正常运行的“威胁”。在考虑业务应用信息系统的安全时,需要考虑企业的有形资产和无形资产,信息安全保障系统首先要考虑有形资产的保护,无形资产是在有形资产被破坏之后才引发的结果。
        1.安全威胁的分类
        安全威胁也叫安全风险,风险是指特定的威胁或因企业资产的脆弱性而导致企业资产损失或伤害的可能性。风险包含3个方面的含义:
        .对信息或资产产生的威胁。
        .威胁的发生会对资产产生影响。
        .威胁具有发生的可能性(概率)。
        业务应用信息系统的安全威胁(风险)分类如下。
        按风险的性质划分为:
        .静态风险:自然力的不规则作用和人们的错误判断和错误行为导致的风险。
        .动态风险:由于人们欲望的变化、生产方式和生产技术的变化以及企业组织的变化导致的风险。
        按风险的结果划分为:
        .纯粹风险:当风险发生时,仅仅会造成损害的风险。
        .投机风险:当风险发生时,可能产生利润也可能造成损失的风险。
        按风险源的角度划分为:
        .自然事件风险:不以人的意志为转移的不可抗拒的天灾人祸。
        .人为事件风险:人为事件造成损失的概率远远大于自然事件威胁造成的损失。人为事件风险可分为意外的人为事件风险和有意的人为事件风险。
        .软件风险:指由于软件体系结构的合理程度及其对于外界变化的适应能力而产生的风险。软件系统风险的大小影响软件的质量,主要表现在兼容风险、维护风险和使用风险上。
        .软件过程风险:指在软件开发周期过程中可能出现的风险以及软件实施过程中外部环境的变化可能引起的风险。
        .项目管理风险:主要源于应用软件产品的不可预见性、软件生产过程不存在绝对正确的过程形式以及信息系统应用项目的独特性。
        .应用风险:指在应用系统或软件过程中尤其是在网络环境下,由于网络连接或操作而产生的风险。包括安全性、未授权远程访问、不精确信息、不完整处理等。
        .用户使用风险:指终端用户进行开发和应用过程中产生的风险,包括不充分地使用资源、不兼容的系统、无效应用、职责不分等。
        2.安全威胁的对象及资产评估鉴定
        安全威胁的对象是一个企业中的有形资产和无形资产,主要是有形资产。
        从安全角度来讲,一个信息系统内的资产在没有被评估鉴定之前,是不可能成功实施安全管理并进行维护的。
        资产评估鉴定的步骤如下:
        (1)根据企业的业务逐级划分资产的界限。
        (2)确定各个级别的资产隶属部门的岗位和责任人、相关干系人,并核实各自的责任、权限和落实的情况,以及监督、监管的制度和措施。
        (3)确定各个级别资产的价值和重要性,以及受到可能威胁的强弱程度。
        (4)确定获取及维护各个级别资产的费用(包括人力和财力)。
        3.信息系统安全薄弱环节鉴定评估
        可以用威胁、脆弱性(弱点)、影响来计量风险。威胁、脆弱性、影响三者关系如下:
        .威胁可看成从系统外部对系统产生的作用,而导致系统功能及目标受阻的所有现象。脆弱性可以看成是系统内部的薄弱点。脆弱性是客观存在的,脆弱性本身没有实际的伤害,但威胁可以利用脆弱性发挥作用。影响可以看作是威胁与脆弱性的特殊组合。
        .风险=威胁×弱点×影响。
        对安全薄弱环节的鉴定评估包括鉴定物理环境、组织机构、业务流程、人员、管理、硬件、软件和通信设施等的弱点,这些都可能被各种安全威胁利用。
        一些典型的安全薄弱环节如下:
        .未报告的新的网络连接。
        .未受过相应培训的业务人员。
        .错误的选择和使用密码。
        .没有正确的访问控制措施。
        .没有对信息或软件进行定期备份。
        .备份介质无人管理或管理混乱。
        .绕过安全防范设备,进行拨号接入专用网络。
        .安全岗位、安全制度不落实。
        .密码和授权长期不变。
        .内外网没有有效信息隔离。
        .使用非正版的软件和硬件。
        .施工和维护人员没有合法的资质证件。
        .所处的地方易遭到自然威胁(如雷击、洪水等)的破坏。
        风险识别与风险评估的方法
        风险识别的常用方法有:
        .问询法(头脑风暴法、面谈法和德尔菲法等)
        .财务报表法(各种财务报表和记录)
        .流程图法(网络图或WBS法)
        .现场观察法
        .历史资料(索赔记录及其他风险信息)
        .环境分析法(相关方和社会环境变化趋势,可能变更的法律法规等)
        .类比法
        .专家咨询
        风险评估的常用方法有:
        .概率分布(专家预测)
        .外推法(使用历史数据)
        .定性评估
        .矩阵图分析
        .风险发展趋势评价方法
        .项目假设前提评价及数据准确度评估
 
本知识点历年真题:
隶属试卷 题号/题型 题干 难度系数/错误率
   2024年上半年
   信息系统项目管..
   上午试卷 综合知识
第67题
选择题
Security vulnerability are considered a type of ()

0%
   2022年上半年
   信息系统项目管..
   上午试卷 综合知识
第65题
选择题
网络安全审计的内容不包括()。

60%
>>  更多  本知识点历年真题
 
 相关知识点:
 
软考在线指南
优惠劵及余额
在线支付
修改密码
下载及使用
购买流程
取消订单
联系我们
关于我们
联系我们
商务合作
旗下网站群
高级资格科目
信息系统项目管理师 系统分析师
系统架构设计师 网络规划设计师
系统规划与管理师
初级资格科目
程序员 网络管理员
信息处理技术员 信息系统运行管理员
中级资格科目
系统集成项目管理工程师 网络工程师
软件设计师 信息系统监理师
信息系统管理工程师 数据库系统工程师
多媒体应用设计师 软件评测师
嵌入式系统设计师 电子商务设计师
信息安全工程师
 

本网站所有产品设计(包括造型,颜色,图案,观感,文字,产品,内容),功能及其展示形式,均已受版权或产权保护。
任何公司及个人不得以任何方式复制部分或全部,违者将依法追究责任,特此声明。
本站部分内容来自互联网或由会员上传,版权归原作者所有。如有问题,请及时联系我们。


工作时间:9:00-20:00

客服

点击这里给我发消息 点击这里给我发消息 点击这里给我发消息

商务合作

点击这里给我发消息

客服邮箱service@rkpass.cn


京B2-20210865 | 京ICP备2020040059号-5 |京公网安备 11010502032051号 | 营业执照 | Copyright ©2000-2023 All Rights Reserved 软考在线版权所有