第15章信息安全评估
第15章信息平安评估
15.1概述
15.2评估过程
15.3评估案例
第15章信息安全评估
15.1概述
研究背景
美国Radicati集团早期发表的一项
调查报告指出:2003年病毒造成的经济
损失超过280亿美元,2007年那么超过
750亿美元。该报告从一定程序上说明
了网络平安事件、信息平安事件所造成
的损失是呈增长趋势的,值得人们重视。
国内信息平安厂商瑞星2021年11月
份的统计报告显示:病毒木马继承了
2007年快速增长的势头,在2021年的前10
个月,互联网上共出现新病毒9306985
个,是2007年同期的12.16倍,木马病毒
和后门程序之和超过776万,占总体病
毒的83.4%,病毒数量开始井喷式爆发。
第15章信息安全评估
中国互联网络信息中心(CNNIC)和国家互联网应急中心
(CNCERT)在京联合发布的?2021年中国网民网络信息平安状
况调查系列报告?中指出,2021年,52%的网民曾遭遇过网
络平安事件。其中,给21.2%的网民带来了直接经济损失。
该报告还对网民用于处理网络平安事件支出的费用进行了统
计,结果显示:2021年,网民处理平安事件所支出的效劳费
用高达153亿元人民币。
第15章信息安全评估
第15章信息安全评估
根本概念
1.信息平安
信息平安的定义为:为了防止未经授权就对知识、事实、
数据或能力进行使用、滥用、修改或拒绝使用而采取的措
施。
信息平安的目标是保护信息的保密性、完整性、可用
性及其他属性,如可控性、真实性、不可否认性和可追溯性
等。信息平安不是绝对的,没有完全彻底的信息平安。
第15章信息安全评估
2.风险
风险是能够影响一个或多个目标的不确定性,是能够产
生危险的诱因,在信息平安风险评估中普遍是指对资产造成
损害的可能性。
第15章信息安全评估
3.风险管理
风险管理是指对面临的风险进行风险识别、风险估测、
风险评价、风险控制,以减少风险负面影响的决策及行动过
程。通过管理,可对风险进行度量和控制,将风险降低到一个
可接受的水平。
信息平安风险管理是风险管理理论和方法在信息系统
中的应用,是科学分析信息和信息系统在保密性、完整性、
可用性等平安属性方面所面临的风险,并在风险的预防、风
险的控制、风险的转移、风险的补偿、风险的分散之间做
出抉择的过程。风险评估是信息平安的出发点,风险控制是
信息平安的落脚点。信息平安风险管理的核心是信息平安
风险评估。
第15章信息安全评估
4.信息平安风险
信息平安风险指信息系统在整个生命周期中面临的人
为的或自然的威胁,利用系统存在的脆弱性导致信息平安事
件发生的可能性及其造成的影响。
5.信息平安风险评估
信息平安风险评估就是从风险管理角度出发,运用科学
的方法和手段,系统地分析网络与信息系统所面临的威胁及
其存在的脆弱性,评估平安事件一旦发生可能造成的危害程
度,提出有针对性的抵御威胁的防护对策和整改措施,以防范
和化解信息平安风险,或者将风险控制在可接受的水平,从而
最大限度地保障网络和信息平安。
第15章信息安全评估
信息平安风险评估是一种方法,用来识别和了解对组织
控制的限度(范围)。
信息平安风险评估是一种工具,用来识别组织资产、威
胁和脆弱性(威胁)。
信息平安风险评估是一个过程,通过它可在概率和影响
的根底上确定信息系统所面临的风险级别(风险级别)。
信息平安风险评估是一个手段,通过它可说明风险管理
策略和资产分配的合理性(本钱效益)。
第15章信息安全评估
6.构成信息平安风险的要素
信息平安风险包括下面三个要素:
(1)资产(asset):需要保护的实体。
(2)威胁(threat):能够产生不友好环境的事件。
(3)脆弱性(vulnerability):发生危险的脆弱点。
这三个要素之间的关系是:威胁利用脆弱性对资产造成
损害。
第15章信息安全评估
第15章信息安全评估
10.信息平安风险根本要素间的关系
图风险平安风险根本要素间的关系
第15章信息安全评估
第15章信息安全评估
(2)信息平安风险评估是信息平安建设的起点和根底。
所有信息平安建设都应该基于信息平安风险评估。只有正确
地、全面地识别风险、分析风险,才能在预防风险、控制风
险、减少风险、转移风险之间作出正确的决策:决定调动多