|
|
知识路径: > 信息安全知识 >
|
|
考试要求:掌握
相关知识点:30个
|
|
|
|
|
风险是指某种破坏或损失发生的可能性。风险管理是指识别、评估、降低风险到可以接受的程度并实施适当机制控制风险保持在此程度之内的过程。没有绝对安全的环境,每个环境都有一定程度的漏洞和风险。
|
|
|
|
|
|
风险应当被识别、分类。真实的风险是很难估量的,但是对潜在风险进行估量是可取的,这也是制定安全策略的基础与依据。
|
|
|
|
风险管理识别企业的资产,评估威胁这些资产的风险,评估假定这些风险成为现实时企业所承受的灾难和损失。进行风险评估时需要决定要保护的资产及要保护的程度,对于每一个明确要保护的资产,都应该考虑到可能面临的威胁,以及威胁可能造成的影响。仅仅确定资产是不够的,对有形资产(设备、应用软件等)及人(有形资产的用户或操作者、管理者)进行分类也是非常重要的,同时要在两者之间建立起对应关系。有形资产可以通过资产的价值进行分类,如机密级、内部访问级、共享级、未保密级。对于人员的分类类似于有形资产的分类。
|
|
|
|
潜在的风险有多种形式,并且不是只同计算机有关。考虑信息安全时,必须重视的几种风险有:物理破坏、人为错误、设备故障、内、外部攻击、数据误用、数据丢失、程序错误,等。网络本身的诸多特性(如共享性、开放性、复杂性等)、网络信息系统自身的脆弱性(如操作系统的漏洞、网络协议的缺陷、通信线路的不稳定、人为因素等)给网络信息系统的安全带来威胁。此外,在确定威胁的时候,不能只看到那些比较直接的容易分辨的外部威胁,来自内部的各种威胁也应该引起高度重视,很多时候来自内部的威胁由于具有极大的隐蔽性和透明性导致更加难以控制和防范。
|
|
|
|
风险分析的方法与途径可以分为:定量分析和定性分析。定量分析是试图从数字上对安全风险进行分析评估的方法,通过定量分析可以对安全风险进行准确的分级,但实际上,定量分析所依靠的数据往往都是不可靠的,这就给分析带来了很大的困难。定性分析是被广泛采用的方法,通过列出各种威胁的清单,并对威胁的严重程度及资产的敏感程度进行分级。定性分析技术包括判断、直觉和经验,但可能由于直觉、经验的偏差而造成分析结果不准确。风险分析小组、管理者、风险分析工具、企业文化等决定了在进行风险分析时采用哪种方式或是两者的结合。风险分析的成功执行需要高级管理部门的支持和指导。管理部门需要确定风险分析的目的和范围,指定小组进行评估,并给予时间、资金的支持。风险小组应该由企业中不同部门的人员组成,可以是管理者、程序开发人员、审计人员、系统集成人员、操作人员等。
|
|
|
|
|
|
对风险进行了识别和评估后,可通过降低风险(例如安装防护措施)、避免风险、转嫁风险(例如买保险)、接受风险(基于投入/产出比考虑)等多种风险管理方式得到的结果来协助管理部门根据自身特点来制定安全策略。
|
|
|
|
制定安全策略时,首先要识别当前的安全机制并评估它们的有效性。由于所面临的威胁不仅仅是病毒和攻击,对于每一种威胁类型要分别对待。在采取防护措施的时候要如下一些方面:产品费用、设计/计划费用、实施费用、环境的改变、与其他防护措施的兼容性、维护需求、测试需求、修复、替换、更新费用、操作/支持费用。
|
|
|
|
控制风险的方法是:①对动作进行优先级排序,风险高的优先考虑;②评价风险评估过程中的建议,分析建议的可行性和有效性;③实施成本/收益分析;④结合技术、操作和管理类的控制元素,选择性价比最好的安全控制;⑤责任分配;⑥制定一套安全措施实现计划;⑦实现选择的安全控制。
|
|
|
