威脅與脆弱性系統(tǒng)外部可能造成的損害成為威脅���,例如盯上雞蛋的蒼蠅��。 系統(tǒng)內(nèi)部可能造成的損害成為脆弱性,例如雞蛋上裂縫 系統(tǒng)風(fēng)險則是威脅利用脆弱性造成損害的可能性��,蒼蠅叮咬有裂縫的雞蛋�����。 風(fēng)險評估風(fēng)險評估就是依據(jù)風(fēng)險評估標(biāo)準(zhǔn)�,利用評估的方法、技術(shù)和工具�,全面評價系統(tǒng)中的威脅、脆弱點以及帶來風(fēng)險大小的評估�。 對信息系統(tǒng)進行風(fēng)險評估,首先要確保評估和分析的內(nèi)容����、范圍應(yīng)該覆蓋整個信息系統(tǒng)的體系�����。 系統(tǒng)體系包含:系統(tǒng)基本情況分析�����、系統(tǒng)安全狀況調(diào)查�����、系統(tǒng)安全組織����、政策分析����、系統(tǒng)弱點漏洞分析等。 風(fēng)險評估流程: - 確定資產(chǎn):確定信息系統(tǒng)資產(chǎn)���,明確資產(chǎn)價值����。
- 脆弱性和威脅分析:分析項目的脆弱性和威脅,評估發(fā)生概率及損失����。
- 制定應(yīng)對方案:提出各種應(yīng)對手段和解決辦法。
- 決策:評估影響��、排列風(fēng)險�、制定決策。
- 溝通與交流
- 方案實施�。
風(fēng)險評估方法: - 定性風(fēng)險評估:評估、匯總風(fēng)險發(fā)生的概率和影響����,并對風(fēng)險進行排序。
- 定量風(fēng)險評估:定量分析已識別風(fēng)險對項目的整體影響�����。
- 定量與定性結(jié)合的風(fēng)險評估:常用的方法有層次分析法�����,核心是將決策者的經(jīng)驗判斷進行量化��,并提供定量的決策依據(jù)�����。層次分析法步驟:系統(tǒng)分解�、構(gòu)造判斷矩陣、層次總排序�����。
風(fēng)險管理風(fēng)險管理目的:提高積極風(fēng)險的發(fā)生概率和影響���,降低消極風(fēng)險的發(fā)生概率和影響���。 項目管理中定義的風(fēng)險管理包含如下過程: - 規(guī)劃風(fēng)險管理
- 識別風(fēng)險
- 定性風(fēng)險分析
- 定量風(fēng)險分析
- 風(fēng)險控制:制定具體的積極的、消極的風(fēng)險應(yīng)對方案���。
- 風(fēng)險監(jiān)控:整個項目過程中�,跟蹤已知風(fēng)險�����,識別新風(fēng)險���,實施風(fēng)險應(yīng)對����、評估風(fēng)險有效性。
減少風(fēng)險的方法: - 避免風(fēng)險���,如:隔離重要計算機免受攻擊
- 轉(zhuǎn)移風(fēng)險�,如:外包服務(wù)��、購買保險
- 減少威脅����,如:安裝殺毒軟件
- 減少脆弱性,如:安裝系統(tǒng)補丁
- 減少威脅可能的影響���,如:制定業(yè)務(wù)持續(xù)性計劃���,把損失降到最低。
- 檢測并響應(yīng)和恢復(fù)意外事件���,如:使用網(wǎng)管軟件檢測系統(tǒng)性能和故障,發(fā)現(xiàn)問題進行響應(yīng)����。
在實施風(fēng)險控制后����,仍然會存在風(fēng)險��,成為剩余風(fēng)險����。 風(fēng)險接受是一個對剩余風(fēng)險進行確認(rèn)、評價接受的過程��。 下期學(xué)習(xí)安全法規(guī)和標(biāo)準(zhǔn)���。 |
