【通信安全CACE-管理类基础级】第6章 风险评估

资源
中国通信企业协会网络安全人员能力认证考试知识点大纲
中国通信企业协会网络安全人员能力认证管理类基础级考试课件
中国通信企业协会网络安全人员能力认证考试管理类基础级复习资料
中国通信企业协会网络安全人员能力认证考试管理类基础级模拟题

系列文章
【通信安全CACE-管理类基础级】第1章 网络安全基础知识
【通信安全CACE-管理类基础级】第3章 国际安全标准体系概述
【通信安全CACE-管理类基础级】第4章 国内安全标准体系概述
【通信安全CACE-管理类基础级】第5章 安全体系最佳实践
【通信安全CACE-管理类基础级】第6章 风险评估
【通信安全CACE-管理类基础级】第7章 安全运维
【通信安全CACE-管理类基础级】第8章 网络安全应急响应
【通信安全CACE-管理类基础级】第10章 网络攻击
【通信安全CACE-管理类基础级】第11章 防护技术

6.1 风险评估概述

6.1.1 风险的定义

1. 风险：指事态的概率及其结果的组合
2. 信息安全风险：指人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响
3. 风险的组成：起源（威胁源）、方式（威胁行为）、途径（脆弱性）、受体（资产）、后果（影响）

6.1.2 风险的要素

1. 风险的要素
   1. 资产：任何对组织有价值的东西，是要保护的对象
   2. 威胁：
      1. 可能导致对系统或组织危害的不希望事故潜在起因
      2. 引起风险的外因
      3. 威胁源采取恰当的威胁方式才可能引发风险

操作失误、滥用授权、行为抵赖、身份假冒、口令攻击、密钥分析

3. 脆弱性：
   1. 可能被威胁所利用的资产或若干资产的薄弱环节
   2. 造成风险的内因
   3. 脆弱性本身并不对资产构成危害，但是在一定条件得到满足时，脆弱性会被威脉源利用恰当的威脉方式对信息资产造成危害

系统程序代码缺陷、系统设备安全配置错误、系统操作流程有缺陷、维护人员安全意识不足

4. 可能性：
   1. 某件事发生的机会
   2. 威脉源利用脆弱性造成不良后果的机会
5. 安全措施/控制措施
   1. 保护资产，抵御威胁，减少脆弱性，降低安全事件的影响，以及打击信息犯罪而实施的各种实践、规程和机制，它是管理风险的具体手段和方法
   2. 根据安全需求部署，用来防范威胁，降低风险的措施

部署防火墙、入侵检测、审计系统、测试环节、操作审批环节、应急体系、终端U盘管理制度

2. 风险概念：威胁源采用某种威胁方式利用脆弱性造成不良后果的可能性

3. 业务战略
4. 资产价值
5. 安全事件
6. 残余风险
   1. 杂取了安全措施后，信息系统仍然可能存在的风险
   2. 有些残余风险是在综合考虑了安全成本与效益后不去控制的风险
   3. 残余风险应受到察切监视，它可能会在将来诱发新的安全事件
7. 关系

6.1.3 风险评估

1. 风险评估：是依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程
2. 作用：它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响

6.2 风险管理

6.2.1 风险管理

4个阶段，两个贯穿

1. 风险评估：风险评估准备、风险要素识别、风险分析、风险结果判定
2. 风险处理：现存风险判断、处理目标确认、处理措施选择、处理措施实施
3. 风险处理方法：降低、转移、规避、接受