精华内容
下载资源
问答
  • 信息安全事件分类分级指南
    万次阅读
    2019-02-15 17:24:26

    一、信息安全事件分类:
    有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障、灾难性事件和其他信息安全事件
    二、信息安全事件分级
    分级考虑要素:信息系统的重要程度、系统损失和社会影响
    1. 信息系统的重要程度
    信息系统的重要程度主要考虑信息系统所承载的业务对国家安全、经济建设、社会生活的重要性以及业务对信息系统的依赖程度,划分为特别重要信息系统、重要信息系统和一般信息系统。
    2. 系统损失
    系统损失是指由于信息安全事件对信息系统的软硬件、功能及数据的破坏,导致系统业务中断,从而给事发组织所造成的损失,其大小主要考虑系统恢复正常运行和消除安全事件负面影响所需付出的代价,划分为特别严重的系统损失、严重的系统损失、较大的系统损失和较小的系统损失。
    (1)特别严重的系统损失:造成系统大面积瘫痪,使其业务处理能力,或系统关键数据的保密性、完整性、可用性遭到严重破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价十分巨大,对于事发组织是不可承受的;
    (2)严重的系统损失:造成系统长时间中断或局部瘫痪,使其业务处理能力受到极大影响,或系统关键数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价巨大,但对于事发组织是可承受的;
    (3)较大的系统损失:造成系统中断,明显影响系统效率,使重要信息系统或一般信息系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到破坏,恢复系统正常运行和消除安全事件负面影响所需付出的代价较大,但对于事发组织是完全可以承受的;
    (4)较小的系统损失:造成系统短暂中断,影响系统效率,使系统业务处理能力受到影响,或系统重要数据的保密性、完整性、可用性遭到影响,恢复系统正常运行和消除安全事件负面影响所需付出的代价较小。
    **3.社会影响:**是指社会安全事件对社会所造成影响的范围和程度,其大小主要考虑国家安全、社会秩序、经济建设和公众利益等方面的影响,划分为特别重大的社会影响、重大的社会影响、较大的社会影响和一般的社会影响。(1)特别重大的社会影响:波及到一个或多个省市的大部分地区,极大威胁国家安全,引起社会动荡,对经济建设有极其恶劣的负面影响,或者严重损害公众利益;
    (2)重大的社会影响:波及到一个或多个地市的大部分地区,威胁到国家安全,引起社会恐慌,对经济建设有重大的负面影响,或者损害到公众利益;(3)较大的社会影响:波及到一个或多个地市的部分地区,可能影响到国家安全,扰乱社会秩序,对经济建设有一定的负面影响,或者影响到公众利益;(4)一般的社会影响:波及到一个地市的部分地区,对国家安全,社会秩序,经济建设和公众利益基本没有影响,但对个别公民、法人或其他组织的利益会造成损害。
    **三、事件分级:**根据信息安全事件的分级考虑要素,将信息安全事件划分为四个级别:
    (1)特别重大事件(I级)
    是指能够导致特别严重影响或破坏的信息安全事件,包括以下情况:A) 会使特别严重信息系统遭受特别严重的系统损失;B) 产生特别重大的社会影响。
    (2)重大事件:(II级)
    是指能够导致严重影响或破坏的信息安全事件,包括以下情况:A) 会使特别重要信息系统遭受严重的系统损失、或使重要信息遭受特别严重的系统损失;B) 产生重大的社会影响
    (3)较大事件(III级)A) 会使特别重要信息系统遭受较大的系统损失、或使严重信息系统遭受严重的系统损失、一般信息系统遭受特别严重的系统损失;B) 产生较大的社会影响。
    (4)一般事件(IV级)一般事件是指不满足以上条件的信息安全事件,包括以下情况:A) 会使特别严重信息系统遭受较小的系统损失、或使重要信息系统遭受较大的系统损失,一般信息系统遭受严重或严重以下级别的系统损失;B) 产生一般的社会影响。

    更多相关内容
  • 信息安全事件分类分级解读

    万次阅读 2018-03-08 13:39:52
    信息安全事件分类分级解读 信息安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等情况对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的网络安全事件。 1、信息安全事件分类 依据《中华人民...

    信息安全事件分类分级解读

         信息安全事件是指由于人为原因、软硬件缺陷或故障、自然灾害等情况对网络和信息系统或者其中的数据造成危害,对社会造成负面影响的网络安全事件。

    1、信息安全事件分类

      依据《中华人民共和国网络安全法》 、《GBT 24363-2009 信息安全技信息安全应急响应计划规范》、《GB\T 20984-2007 信息安全技术 信息安全风险评估规范》 《GB\Z 20985-2007 信息安全技术 信息网络攻击事件管理指南》  《GB\Z 20986-2007 信息安全技术信息网络攻击事件分类分级指南》等多部法律法规文件,根据信息安全事件发生的原因、表现形式等,将信息安全事件分为网络攻击事件、有害程序事件、信息泄密事件和信息内容安全事件四大类。

    网络攻击事件:

      通过网络或其他技术手段,利用信息系统的配置缺陷、协议缺陷、程序缺陷或使用暴力攻击对信息系统实施攻击,并造成信息系统异常或对信息系统当前运行造成潜在危害的信息安全事件,包括拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、网络钓鱼事件、干扰事件等。

    有害程序事件:

      蓄意制造、传播有害程序,或是因受到有害程序的影响而导致的信息安全事件。包括计算机病毒事件、蠕虫事件、特洛伊木马事件、僵尸网络事件、混合攻击程序事件、网页内嵌恶意代码事件等。

    信息泄露事件:

      通过网络或其他技术手段,造成信息系统中的信息被篡改、假冒、泄漏、窃取等,导致的信息安全事件。信息泄露事件包括专利泄露、系统主动监控及异常查单、产品竞价推销、怀疑员工泄露客户资料、员工泄露公司合同等。

    信息内容安全事件:

       利用信息网络发布、传播危害国家安全、社会稳定、公共利益和公司利益的内容的安全事件。包括违反法律、法规和公司规定的信息安全事件;针对社会事项进行讨论、评论,形成网上敏感的舆论热点,出现一定规模炒作的信息安全事件;组织串连、煽动集会游行的信息安全事件。 

    2、信息安全事件分级

      依据《GB\Z 20985-2007 信息安全技术 信息网络攻击事件管理指南》  《GB\Z 20986-2007 信息安全技术信息网络攻击事件分类分级指南》等法律法规文件,从以下因素进行考虑

    信息密级:衡量因信息安全事件中所涉及信息的重要程度的要素;

    声誉影响:衡量因信息安全事件对公司品牌所造成的负面影响范围和程度的要素;

    业务影响:衡量因信息安全事件对公司或事发部门正常业务开展所造成的负面影响程度的要素;

    资产损失:衡量因恢复系统正常运行和消除信息安全事件负面影响所需付出资金代价的要素。

    根据信息安全事件的分级考虑要素,将信息安全事件划分为四个级别:特别重大事件、重大事件、较大事件和一般事件。

    特别重大事件(Ⅰ级)

    特别重大事件是指能够导致特别严重影响或破坏的信息安全事件,包括以下情况:

    a)  会使特别重要信息系统遭受特别严重的系统损失;

    b)  产生特别重大的社会影响。

    解读:公司部门中心的基础设施网络、重要信息系统(A类I类系统)、核心网站(如官网、管理后台)瘫痪,导致长时间业务中断,直接导致巨大经济损失的事件;绝密和机密数据(数据库或客户资料)被泄露导致大范围社会传播事件,严重影响公司声誉;对外发布公司内部机密信息、大范围传播损害公司形象利益的言论等事件,直接影响公司投资者关系或者上市进程或者公司股价等事件

    重大事件(Ⅱ级)

    重大事件是指能够导致严重影响或破坏的信息安全事件,包括以下情况:

    a)  会使特别重要信息系统遭受严重的系统损失、或使重要信息系统遭受特别严重的系统损失;

    b)  产生的重大的社会影响。

    解读:公司部门中心的基础设施网络、重要信息系统(A类I类系统)、核心网站(如官网、管理后台)瘫痪,导致业务中断,造成严重影响或经济损失的事件;绝密和机密数据(数据库或客户资料)遭受非法访问或传播事件;未经授权对外发布公司内部机密信息、大范围传播损害公司形象利益的言论等事件。

    较大事件(Ⅲ级)

    较大事件是指能够导致较严重影响或破坏的信息安全事件,包括以下情况:

    a)  会使特别重要信息系统遭受较大的系统损失、或使重要信息系统遭受严重的系统损失、一般信息信息系统遭受特别严重的系统损失;

    b)  产生较大的社会影响。

    解读:公司信息系统、网站、部门范围内的网络通信或者应用系统受到影响,并关系到业务正常运行的事件和用户系统账户被非法使用,遭受非法访问和泄密、传播损害公司形象利益的言论等事件,但是这些事件仅出现社会舆论小范围报告,没有给公司带来实际的损失和影响的事件。

    一般事件(Ⅳ级)

    一般事件是指不满足以上条件的信息安全事件,包括以下情况:

    a)  会使特别重要信息系统遭受较小的系统损失、或使重要信息系统遭受较大的系统损失,一般信息系统遭受严重或严重以下级别的系统损失;

    b)  产生一般的社会影响。

    解读:公司内小范围出现的网络延时或故障,信息系统功能缺陷或者短暂不可用,导致个别用户或者业务受影响等技术层面的事件,或部分员工无意识的违反信息安全规定等管理层面的事件,但是这些事件没有给公司带来实际的损失和影响的事件。

     

    欢迎大家分享更好的思路,热切期待^^_^^ !

     

    展开全文
  • 中国信息安全认证中心是经中央编制委员会批准成立,由国务院信息化工作办公室、国家认证认可监督管理委员会等八部委授权,依据国家有关强制性产品认证、信息安全管理的法律法规,负责实施信息安全认证的专门机构。...

    一、信息安全产品认证

    1. 什么是中国国家信息安全产品认证证书

    中国信息安全认证中心是经中央编制委员会批准成立,由国务院信息化工作办公室、国家认证认可监督管理委员会等八部委授权,依据国家有关强制性产品认证、信息安全管理的法律法规,负责实施信息安全认证的专门机构。 中国信息安全认证中心为国家质检总局直属事业单位。中心简称为信息认证中心。 英文全称:China Information Security Certification Center;英文缩写:ISCCC。

    2. 背景

    目前市场上通行的信息安全产品认证有三种:

    《网络关键设备和网络安全专用产品安全认证》

    《中国国家信息安全产品认证证书》

    《IT产品信息安全认证证书》

    其中,在产品功能和性能满足条件的情况下,《网络关键设备和网络安全专用产品安全认证》《中国国家信息安全产品认证证书》两张证书可以同一产品同时认证同时发证。

    3. 中国国家信息安全产品认证证书作用

    根据《中华人民共和国产品质量法》、《中华人民共和国标准化法》、《中华人民共和国进出口商品检验法》、《中华人民共和国认证认可条例》、《强制性产品认证管理规定》和《关于建立国家信息安全产品认证认可体系的通知》,决定对部分信息安全产品实施强制性认证,发布了《第一批信息安全产品强制性认证目录》

    目录包含8大类别13种产品
    https://www.isccc.gov.cn/zxyw/cprz/gjxxaqcprz/zyxcprztzgg/09/314483.shtml
    https://www.docin.com/p-1594182334.html

    凡列入强制性认证目录内的信息安全产品,未获得《中国国家信息安全产品认证证书》,不得出厂、销售、进口或在其他经营活动中使用。

    4. 国家信息安全产品认证流程

    国家信息安全产品认证流程
    https://www.renrendoc.com/paper/100880104.html

    国家信息安全产品认证流程:

    1、认证申请

    准备申请材料、申请书等

    2、递交申请书

    向中国信息安全认证中心提交认证申请书(包括申请书所要求的其他资料)纸质版1式2份,电子版1份。含有密码技术的产品应向国家密码管理局指定检测实验室提交密码技术检测申请。拟用于涉密信息系统的产品,按照国家有关保密规定和标准执行,不适用本申请指南。

    3、申请资料审查

    中国信息安全认证中心在收到申请资料后对其进行审查,如果资料不符合要求,申请方应按要求修改或补充;如果资料符合要求,进行单元划分。单元划分完成后,中国信息安全认证中心向申请方发出送样通知。

    4、发出送样通知单

    中国信息安全认证中心向客户发出送样通知单

    5、申请方向实验室送样

    *实验室选择

    申请方从指定实验室名单中,根据指定实验室的业务范围,自主选取检测实验室。指定实验室及业务范围参见中国国家认证认可监督管理委员会公告(2009年第25号)。

    *送样原则和数量

    详见各个产品的认证实施规则。

    *型式试验

    检测实验室完成检测后,将型式试验报告提交至中国信息安全认证中心。

    国家信息安全产品认证

    6、申请方缴费

    申请方收到缴费通知后,向中国信息安全认证中心缴纳认证费用(不包括实验室检测费用)。

    7、初始工厂检查

    工厂检查依据各个产品的认证实施规则进行,工厂检查包括信息安全保证能力、质量保证能力和产品一致性检查。(时间2-4天)综合评价、认证决定中国信息安全认证中心依据相关标准和规范对申请资料、型式试验报告和工厂检查报告等进行综合评价,作出认证决定。

    8、颁发证书

    证书制作完毕后,申请方可以自行到中国信息安全认证中心领取或委托中国信息安全认证中心邮寄。同时,证书信息将在中国信息安全认证中心网站予以公告。证书的有效性证书有效期为5年,证书有效期内,证书的有效性依据发证机构的定期监督获得维持。

    9、证后监督

    从获证后第12个月起进行第一次获证后监督,此后每12个月进行一次获证后监督。 必要情况下,认证机构可采取事先不通知的方式对生产厂实施监督。必要时可增加监督频次,详见各个产品的认证实施规则。

    二、CCRC信息安全服务资质(认证)

    官网: https://www.isccc.gov.cn/

    1. 背景和基本概念

    随着我国信息化和信息安全保障工作的不断深入推进,以应急处理、风险评估、灾难恢复、系统测评、安全运维、安全审计、安全培训和安全咨询等为主要内容的信息安全服务在信息安全保障中的作用日益突出。加强和规范信息安全服务资质管理已成为信息安全管理的重要基础性工作。

    信息系统安全服务资质(CCRC)侧重在于信息安全服务领域。

    2. CCRC信息安全服务资质

    CCRC(原名ISCCC)信息安全服务资质认证是中国网络安全审查技术与认证中心依据国家法律法规、国家标准、行业标准和技术规范,按照认证基本规范及认证规则,对提供信息安全服务机构的信息安全服务资质包括法律地位、资源状况、管理水平、 技术能力等方面的要求进行评价。

    该资质共8个单项,每个单项分为一、二、三级(最低)。其中一级最高,三级最低。共分8个不同的方向,分别是:安全集成、安全运维、应急处理、风险评估、灾难备份与恢复、安全软件开发、网络安全审计、工业控制系统安全

    信息安全服务资质认证证书前名叫ISCCC,现在改名为CCRC。信息系统安全服务资质(CCRC),目前只有中国网络安全审查技术与认证中心一家机构才能审批的资质证书

    CCRC其实就是信息安全服务资质,也就是以前的名称是ISCCC。这三个其实就是一个东西,也就是都是信息安全服务资质认证证书的意思。

    CCRC信息安全服务资质单项

    官网:https://www.isccc.gov.cn/zxyw/fwzzrz/index.shtml

    1、信息安全风险评估
      2、 信息安全应急处理
      3、信息系统安全集成
      4、信息系统灾难备份与恢复
      5、软件安全开发
      6、信息系统安全运维
      7、网络安全审计
      8、工业控制系统安全
    在这里插入图片描述
    各分项都有三个级别,三级最低,一级最高。其中如果是做三级单个分项,其申报基础要求为:

    1、社保人数10人以上;
    2、近三年完成的信息安全项目1个以上;
    3、持证信息安全保障人员2名以上。

    因此,CCRC信息安全服务资质安全集成服务资质三级申报的时候,企业也是需要满足以上三个基础要求。

    审核标准

    信息系统安全服务资质(CCRC)对项目的管理及资料的存档更加严谨,人员有严格的要求,对于申请不同类别和级别的相关安全保障人员数量、毕业学历、毕业时间都有明确的要求。

    3. 信息安全服务资质评审发证机构介绍

    CCRC 中国网络安全审查技术与认证中心(原中国信息安全认证中心-ISCCC)是依据国家《网络安全法》和国家有关强制性产品认证、网络安全管理法规,负责实施网络安全审查和认证的专门机构。

    中国网络安全审查技术与认证中心为国家市场监督管理总局直属事业单位,系第三方公正机构和法人实体。其职能为:承担网络安全审查技术与方法研究;开展网络安全认证评价及相关标准技术和方法研究;承担网络安全审查人员和网络安全认证人员技术培训工作;在批准的工作范围内按照认证基本规范和认证规则开展认证工作;受理认证委托、实施评价、做出认证决定,颁发认证证书;负责认证后的跟踪检查和相应认证标志使用的监督;受理有关的认证投诉、申诉工作;依法暂停、注销和撤销认证证书;对认证及认证有关的检测、检查、评价人员进行认证标准、程序及相关要求的培训;对提供信息安全服务的机构、人员进行资质注册和培训;根据国家法律、法规及授权参加相关国际组织开展信息安全领域的国际合作;依据法律、法规及授权从事相关认证工作。在业务上接受中共中央网络安全和信息化委员会办公室指导。

    4. CCRC信息安全服务资质证书样本

    在这里插入图片描述

    5. CCRC信息安全服务资质认证有什么好处?

    通过信息系统安全服务分类分级的资质认证,可以对信息安全服务提供商的基本资格、管理能力、技术能力和服务过程能力等方面进行权威、客观、公正的评价,证明其服务能力,满足社会对服务的选择需求。

    证书持有单位可在有效期内从事有关的信息安全服务工作,并接受中国网络安全审查技术与认证中心(以下简称为CNITSEC)的监督;

    可用于政府、金融等行业招标投标项目,提高竞争力;提高公司市场占有率,提升企业形象。
    这个证书的发证机构有中国信息安全测评中心或中国网络安全审查技术与认证中心。由此可见,其证书的含金量是不低的。且企业如果有这个证书,在参加招投标中是可以获得加分的,对企业自身实力的提升也很有帮助。

    CCRC信息安全服务资质认证的好处:
    1、企业申请并完成信息安全服务资质有助于信息安全服务商完善自身管理体系,提高服务质量和水平。
    2、企业申请并完成信息安全服务资质有助于提高需方对信息安全服务商的信任度。
    3、企业获得CCRC信息安全服务资质认证证书有助于提高中标率。
    4、企业获得CCRC信息安全服务资质认证证书可用于荣誉展示。

    6. CCRC信息安全服务资质二级、三级各项基本要求

    资质级别分为一级、二级、三级共三个级别,其中一级最高,三级最低。

    CCRC信息安全服务资质三级需要的条件

    信息安全服务资质三级需要的条件

    1. 申请人必须是中国境内注册的法人单位,成立时间1年以上。
    2. 公司的注册资本在50万元以上,且没有任何不良的信用记录,办公面积有100平米以上。
    3. 公司近两年的信息安全服务业务完成验收项目总额100万元以上。
    4. 近一年未出现亏损,营业收入达到300万元以上,固定资产净值有10万以上,并有中华人民共和国境内依法设立的会计师事务所出具的财务审计报告。
    5. 通过ISO9001认证,建立有项目管理、客户服务管理、人力资源管理制度。
    6. 技术负责人具备电子信息类硕士以上学位或电子信息类中级以上职称、且从事信息安全服务业务技术工作不少于1年;财务负责人至少有会计技术初级资格。
    7. 信息安全服务的工作人员不少于10名,取得“信息系统业务安全服务工程师”培训证书的人数不少于5名。

    CCRC认证三级(一个分项)基本要求:

    1、社保人数10人以上

    2、近三年完成的信息安全项目1个以上

    3、持证信息安全保障人员2名以上

    CCRC认证二级(一个分项)基本要求

    1、社保人数30人以上

    2、近三年完成的信息安全项目6个以上

    3、持证信息安全保障人员6名以上

    以上就是企业做CCRC认证三级、二级分别所需的基本要求

    CCRC信息安全服务资质一级要求

    都知道CCRC信息安全服务资质一级是最高级别,所以一级也是不能像三级和二级一样直接申请的,如要直接申请一级,首先要进行申请,申请通过之后才能正常申报。所以要申报一级,企业必须要有一定扎实的实力才可以。

    申请方可根据条件直接申请,或获得二级一年以上可提出相同类别的一级申请,且服务管理程 序文件需建立、发布并运行一年以上。

    人员素质与要求
    1、组织负责人拥有4年以上信息技术领域管理经历
    2、技术负责人具备信息安全服务(与申报类别一致)管理能力,经评价合格(与申报类别一致)。
    3、项目负责人、项目工程师具备信息安全服务(与申报类别一致)技术能力,经评价合格(与申报类别一致)。

    业绩要求
    1、从事信息安全服务(与申报类别一致)5年以上。
    2、近3年内签订并完成至少10个信息安全服务(与申报类别一致)项目。

    7. CCRC信息安全服务资质认证流程图及申报资料清单

    参考URL: https://blog.csdn.net/qiye51/article/details/115860285
    在这里插入图片描述
    CCRC信息安全服务资质认证证书需要提交的材料清单:

    1.服务资质认证申请书;

    2.独立法人资格证明材料;

    3.从事信息安全服务的相关资质证明;

    4.工作保密制度及相应组织监管体系的证明材料;

    5.与信息安全风险评估服务人员签订的保密协议复印件;

    6.人员构成与素质证明材料;

    7.公司组织结构证明材料;

    8.具备固定办公场所的证明材料;

    9.项目管理制度文档;

    10.信息安全服务质量管理文件;

    11.项目案例及业绩证明材料;

    12.信息安全服务能力证明材料等。

    CCRC认证有效期

    CCRC认证有效期为5年。在有效期内,通过每年对获证后的产品进行监督确保认证证书的有效性。

    获得CRCC证书后维护需做

    1)每年均需监督审核,提前2个月提交监督审核通知单回执及自评价表。
    2)原则上证后第1年监督审核为现场审核
    3)在认证风险可控的情况下,原则上证后第2年为非现场审核,第3年为现场审核,以此类推。
    4)若存在影响认证有效性的情况,增加现场审核的频度与部分项的审核力度

    造成撤销的情况

    1)逾期3个月未按规定接受监督审核的
    2)证书暂停期间,未在规定时间内完成整改并通过验证;
    3)违规使用认证证书,造成不良影响;
    4)获证组织出现严重责任事故、被投诉且经核实,影响其继续有效提供服务;
    5)获证组织因自身原因不再维持证书,可提出撤销认证证书的申请
    6)其他需要撤销证书的情况。

    三、参考

    360借条通过CCRC权威认证,再获国家级认可
    参考URL: https://blog.csdn.net/FL63Zv9Zou86950w/article/details/122469635
    http://www.isocsr.com/ccrc/ruanjiankaifazizhi
    信息安全产品认证介绍
    https://zhuanlan.zhihu.com/p/405689624

    展开全文
  • 网络信息安全之安全风险管理

    千次阅读 2022-04-19 14:23:37
    而对于目前的组织机构而言,由于组织的业务运营越来越依赖于信息资产,信息安全相关风险在组织整体风险中所占的比例也越来越高。信息安全风险管理的目的就是将风险控制到可接受的程度,保护信息及其相关资产,最终...

    在信息时代,信息已经成为第一战略资源,信息对组织使命的完成、组织目标的实现起着至关重要的作用,因此信息资产的安全是关系到该组织能否完成其使命的重大因素。资产与风险是对矛盾共同体,资产价值越高,面临的风险就越大。而对于目前的组织机构而言,由于组织的业务运营越来越依赖于信息资产,信息安全相关风险在组织整体风险中所占的比例也越来越高。信息安全风险管理的目的就是将风险控制到可接受的程度,保护信息及其相关资产,最终保障组织能够完成其使命,实现其目标。

    一、什么是安全风险

    风险定义为事态的概率及其结果的组合。风险的目标可能有很多不同的方面,如财务目标、健康和人身安全目标、信息安全目标和环境目标等;目标也可能有不同的级别,如战略目标、组织目标、项目目标、产品目标和过程目标等。风险经常通过引用潜在事态和后果或这些的组合来描述。影响,是对一个预期的偏离,正面的或负面的偏离。
    风险是客观存在的,与不确定性紧密相连,但又不能完全等同。风险带来的影响,通常都是负面的(正面的影响通常不被称为风险)。风险强调的是损害的潜在可能性,而不是事实上的损害。风险不能消除殆尽,包括人为因素带来的风险,也一样不能消除殆尽。衡量风险的两个基本要素就是事件的概率和影响。
    威胁利用脆弱性作用于资产产生影响,威胁增加了组织资产的风险,脆弱点能够暴露资产,脆弱性本身不会构成对资产的损害,但是脆弱性被威胁利用就会增加组织资产的风险。
    安全风险与资产、脆弱性、威胁之间的关系

    二、如何评估安全风险

    根据《信息安全技术信息安全风险评估规范》(GB/T 20984-2007),对评估对象进行安全风险评估分析,风险分析中涉及评估对象的影响范围、威胁、脆弱性三个基本要素。
    风险评估
    以下参考互联网新技术新业务安全风险评估可以分为确定影响范围->确定威胁->确定脆弱性->计算分险值->形成评估结论,通过定量和定性相结合的方式进行安全风险评估。

    1、确定影响范围

    影响范围是指评估对象涉及的传播影响,按评估对象支持的用户数计。
    对于运营于互联网上的应用系统,参考下表进行赋值。

    范围赋值
    10万以内1
    10万-100万以内2
    100万-1000万以内3
    1000万-5000万以内4
    5000万及以上5

    2、确定威胁

    威胁是指可能对评估对象造成损害的外部原因。威胁利用评估对象自身的脆弱性,采用一定的途径和方式,对评估对象造成损害或损失,从而形成风险。如:下表为互联网新技术新业务安全评估涉及的威胁及发生可能性赋值。

    威胁分类威胁名称赋值威胁描述
    假冒假冒4通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒攻击。
    假冒诱骗欺诈1通过伪造、篡改、劫持短信、彩信、邮件、通讯录、通话记录、收藏夹、桌面等方式,诱骗用户,而达到不正当目的。
    假冒恶意扣费5在用户不知情或非授权的情况下,通过隐蔽执行、欺骗用户点击等手段,订购各类收费业务或使用移动终端支付,造成用户经济损失。
    篡改篡改3通过作伪的手段对应用程序的数据、进程、交互内容、发布内容进行修改。
    拒绝服务系统破坏4通过感染、劫持、篡改、删除、终止进程等手段导致移动终端或其它非恶意软件部分或全部功能、用户文件等无法正常使用,干扰、破坏、阻断移动通信网络、网络服务或其它合法业务正常运行。
    拒绝服务拒绝服务5对信息或其他资源的合法访问被无条件地阻止。
    拒绝服务资源消耗4在用户不知情或非授权的情况下,通过自动拨打电话、发送短信、彩信、邮件、频繁连接网络等方式,造成用户资费损失。
    暴力破解暴力破解2一种针对于用户账号和密码的破译方法,即将密码进行逐个推算直到找出真正的密码为止。
    抵赖抵赖4合法用户对自己操作行为否认的可能性。
    越权(提升权限)非授权访问3某一资源被某个非授权的人,或以非授权的方式使用。
    越权(提升权限)隐私窃取4在用户不知情或非授权的情况下,获取涉及用户个人信息。
    越权(提升权限)窃听3用各种可能的合法或非法的手段窃取系统中的信息资源和敏感信息。例如对通信线路中传输的信号搭线监听,或者利用通信设备在工作过程中产生的电磁泄露截取有用信息等。
    越权(提升权限)业务流分析3通过对系统进行长期监听,利用统计分析方法对诸如通信频度、通信的信息流向、通信总量的变化等参数进行研究,从中发现有价值的信息和规律。
    越权(提升权限)远程控制4在用户不知情或非授权的情况下,能够接受远程控制端指令并进行相关操作。
    越权(提升权限)破坏信息的完整性/可用性4数据被非授权地进行增删、修改或破坏而受到损失/数据遗失。
    越权(提升权限)授权侵犯(内部攻击)3被授权以某一目的使用某一系统或资源的某个人,将此权限用于其他非授权的目的。
    非法传播恶意传播5自动通过复制、感染、投递、下载等方式将自身、自身的衍生物或其它恶意代码进行扩散的行为。
    非法传播信息泄露5信息被泄露或透露给某个非授权的实体。
    非法传播三涉5传播的内容与应用包含了非法的信息,如涉黄、涉非、涉政,含病毒等。
    非法传播非法应用2传播内容与应用的方式让用户无法接受,如垃圾短信的发送、骚扰电话等。
    溯源失效溯源失效4无法准确追溯到传播违法有害信息或进行恶意攻击的责任主体。
    管理失控管理失控4用户、业务规模已超过企业最大安全监管能力范围;或企业安全保障能力无法满足针对业务实现方式或功能属性带来安全风险的管理。

    为了便于对不同威胁发生的可能性概率数据进行类比、度量,依据经验或专家意见进行赋值,常用准则参照如下表。采用相对等级的方式进行度量,等级值为1-5,1为最低,5为最高。
    表:威胁赋值准则

    等级标识定义
    5VH(很高)威胁发生的可能性很高,在大多数情况下几乎不可避免或者可以证实发生过的频率较高。
    4H(高)威胁发生的可能性较高,在大多数情况下很有可能会发生或者可以证实曾发生过。
    3M(中)威胁发生的可能性中等,在某种情况下可能会发生但未被证实发生过。
    2L(低)威胁发生的可能性较小,一般不太可能发生,也没有被证实发生过。
    1VL(很低)威胁几乎不可能发生,仅可能在非常罕见和例外的情况下发生。

    3、确定脆弱性

    脆弱性是指评估对象存在一个或多个脆弱的管理、技术、业务方面的漏洞,这些漏洞可能会被威胁所利用。脆弱性依据经验或专家意见进行赋值,常用准则参照如下表。采用相对等级的方式进行度量,等级值为1-3,1为最低,3为最高。
    表:脆弱性赋值准则

    类别描述对应等级
    技术保障技术方面是否存在低等级缺陷,从技术角度是否易被利用。3
    攻击利用对于攻击者来说,该漏洞目前是否能被直接或者间接利用,或者利用的难度。3
    管理控制运营管理环节是否有相关的薄弱环节,被利用难易程度。3
    防范控制是否有规定,是否严格审核、是否有记录校验等。2
    等级标识定义
    3H(高)如果被威胁利用,将造成完全损害。
    2M(中)如果被威胁利用,将造成一般损害。
    1L(低)如果被威胁利用,造成的损害可以忽略。

    4、计算风险值

    风险计算公式:

    风险值=影响范围 * 威胁可能性 * 脆弱严重性

    风险评估彩虹图

    根据风险计算公式得出风险值后可以对应其风险等级,如风险值在55-75分,表示风险极高

    5、评估结论

    评估报告以风险计算得分形式呈现,即:不仅呈现脆弱性问题,并且对于不符合评估标准的项,根据面临威胁赋值和脆弱性赋值,结合评估对象的影响范围计算出风险得分,依据得分给出风险等级(极高、高、中、低、极低)。 任一评估要点匹配对应的企业安全保障能力的脆弱性测算值>0时,须及时记录并反馈至本级信息安全部门进行报备。任一评估要点的风险值的对应等级为中及其以上程度时,必须纳入整改事项严格贯彻执行,并密切跟踪把握风险变化、持续健全更新与之匹配对应的信息安全管理措施和技术保障手段,根据业务上线后的经营发展情况适时开展安全评估,以确保将信息安全风险控制在中级以下范围内。评估管理部门应组织评估专家审查小组,对“评估结论”进行审核,通过后出具评审结论。

    三、为什么要管理安全风险

    风险管理的目的是确保不确定性不会使企业的业务目标发生变化。风险管理是风险的识别、评估和优化,然后协调和经济地应用资源,以最小化监测和控制不良事件的可能性及影响,最大限度地实现业务。

    风险管理可使信息系统的主管者和运营者在安全措施的成本与资产价值之间寻求平衡,并最终通过对支持其使命的信息系统及数据进行保护而提高其实现使命的能力。

    一个单位的领导必须确保本单位具备完成其使命所需的能力。信息安全措施是有成本的,因此对信息安全的成本必须像其他管理决策一样进行全面检查。一套合理的风险管理方法,可以帮助信息系统的主管者和运营者最大程度地提高其信息安全保障能力,以有效实现其使命。

    四、如何管理安全风险

    信息安全风险管理包括背景建立、风险评估、风险处理、批准监督、监控审查和沟通咨询6个方面的内容。背景建立、风险评估、风险处理和批准监督是信息安全风险管理的4个基本步骤,监控审查和沟通咨询则贯穿于这4个基本步骤中,如下图所示。

    1、背景建立

    背景建立是信息安全风险管理的第一个步骤,是为了明确信息安全风险管理的范围和对象,以及对象的特性和安全要求,对信息安全风险管理项目进行规划和准备,保障后续的风险管理活动顺利进行。背景是建立在业务需求的基础上,通过有效的风险评估和国家、地区、行业相关法律法规及标准的约束下获得背景依据。
    背景建立的过程包括风险管理准备、信息系统调查、信息系统分析和信息安全分析4个阶段。在信息安全风险管理过程中,对象确立过程是一次信息安全风险管理主循环的起始,为风险评估提供输人。

    2、风险评估

    风险评估确定信息资产的价值、识别适用的威胁和(存在或可能存在的)脆弱点、识别现有控制措施及其对已识别风险的影响,确定潜在后果,对风险进行最终的优先级排序,并按照风险范畴中设定的风险评价准则进行排名。
    风险评估的目的是通过风险评估的结果,来获得信息安全需求,信息安全风险管理要依靠风险评估的结果来确定随后的风险处理和批准监督活动。风险评估使得组织能够准确定位风险管理的策略、实践和工具,能够将安全活动的重点放在重要的问题上,能够选择有合理成本效益的和适用的安全对策。基于风险评估的风险管理方法被实践证明是有效的和实用的,已被广泛应用于各个领域。
    风险评估的过程包括风险评估准备、风险要素识别、风险分析和风险结果判定4个阶段。在信息安全风险管理过程中,风险评估活动接受背景建立阶段的输出,形成本阶段的最终输出《风险评估报告》,此文档为风险处理活动提供输人。

    3、风险处理

    风险处理是依据风险评估的结果,选择和实施合适的安全措施。风险处理的目的是为了将风险始终控制在可接受的范围内。风险处理的方式主要有降低、规避、转移和接受4种方式。

    • 降低方式:组织首先应该选择降低风险,通常通过对面临风险的资产采取保护措施来降低风险。保护措施可以从构成风险的5个方面(即威胁源、威胁行为、脆弱性、资产和影响)来降低风险。比如,采用法律的手段制裁计算机犯罪(包括窃取机密信息,攻击关键的信息系统基础设施,传播病毒、不健康信息和垃圾邮件等),发挥法律的威慑作用,从而有效遏制威胁源的动机;采取身份认证措施,从而抵制身份假冒这种威胁行为的能力;及时给系统打补丁(特别是针对安全漏洞的补丁),关闭无用的网络服务端口,从而减少系统的脆弱性,降低被利用的可能性;采用各种防护措施,建立资产的安全域,从而保证资产不受侵犯,其价值得到保持;采取容灾备份、应急响应和业务连续计划等措施,从而减少安全事件造成的影响程度。
    • 规避方式:当风险不能被降低时,通过不使用面临风险的资产来避免风险。比如,在没有足够安全保障的信息系统中,不处理特别敏感的信息,从而防止敏感信息的泄漏。再如,对于只处理内部业务的信息系统,不使用互联网,从而避免外部的有害人侵和不良攻击。
    • 转移方式:只有在风险既不能被降低,又不能被规避时,通过将面临风险的资产或其价值转移到更安全的地方来避免或降低风险。比如,在本机构不具备足够的安全保障的技术能力时,将信息系统的技术体系( 即信息载体部分)外包给满足安全保障要求的第三方机构,从而避免技术风险。再如,通过给昂贵的设备上保险,将设备损失的风险转移给保险公司,从而降低资产价值的损失。
    • 接受方式:是选择对风险不采取进一步的处理措施,接受风险可能带来的结果。接受风险的前提是确定了风险的等级,评估了风险发生的可能性以及带来的潜在破坏,分析了使用每种处理措施的可行性,并进行了较全面的成本效益分析,认定某些功能、服务、信息或资产不需要进一 步保护。

    风险处理的过程包括现存风险判断、处理目标确立、处理措施选择和处理措施实施4个阶段。

    4、批准监督

    批准监督包括批准和持续监督两部分。
    批准,是指机构的决策层依据风险评估和风险处理的结果是否满足信息系统的安全要求,做出是否认可风险管理活动的决定。批准应由机构内部或更高层的主管机构的决策层来执行。
    持续监督,是指检查机构及其信息系统以及信息安全相关的环境有无变化,监督变化因素是否有可能引入新的安全隐患并影响到信息系统的安全保障级别。监督通常由机构内部管理层和执行层完成,必要时也可以委托支持层的外部专业机构提供支持,这主要取决于信息系统的性质和机构自身的专业能力。
    对风险评估和风险处理的结果的批准和持续监督,不能仅依据相关标准进行僵化的对比,而是需要紧紧围绕信息系统所承载的业务,通过对业务的重要性和业务遭受损失后所带来的影响来开展相关工作。批准通过的依据( 原则)有两个:一是信息系统的残余风险是可接受的;二是安全措施能够满足信息系统当前业务的安全需求。

    参考资料:
    《CISP培训教材》
    《信息安全工程师教程(第2版)》
    《信息安全技术信息安全风险评估规范》


    博客地址:http://xiejava.ishareread.com/

    展开全文
  • 信息安全产品主要包括安全硬件、安全软件及安全服务。信息安全是IT系统的“稳定器”,虽然信息安全投入不能直接为带来收益,但是保证信息安全是企业业务得以顺利开展的重要基础。 信息安全产品分类 数据来源:...
  • 信息安全第五章 操作系统安全

    千次阅读 2021-11-12 23:27:07
    第5章 操作系统安全 ...TCB是计算机系统内保护装置的总体,包括:硬件、固件、软件和负责执行安全策略的组合体 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-99uvi1Ri-1636730799867)
  • 信息安全发展的三个阶段:通信保密,信息安全,信息保障 Wind River的安全专家则针对IoT设备安全提出了如下建议: 安全启动 设备首次开机时,理应采用数字证书对运行的系统和软件作认证; 访问控制 采用不同...
  • ISO27001信息安全管理体系

    万次阅读 2018-11-05 18:59:00
    初入甲方,刚开始接触的应该就是ISO27001信息安全管理体系,你拿到的应该就是一整套安全管理类的文档。在甲方,稍微有点规模的公司很注重制度和流程,岗位职责分工明细,那么这些安全管理制度,就是你所能掌控的...
  • 网络安全事件收集,分析

    千次阅读 2022-04-20 20:00:59
    IT的安全问题,目前已经得到了ISO/IEC 27000信息安全管理标准的解决。针对OT的安全性,目前已经出现了ISA/IEC 62443标准。 CIM(计算机集成制造) level 4 主要负责生产规划,战略规划,公司管理 level 3主要负责优化...
  • 16.第二十二章.信息安全管理

    千次阅读 2022-02-04 10:11:37
    文章目录22.1 信息系统的安全策略(方法措施)22.2 信息安全系统工程22.3 PKI公开密钥基础设施22.4 PMI权限(授权)管理基础设施22.5 信息安全审计 22.1 信息系统的安全策略(方法措施) 1、安全策略 定义:一定是...
  • ​网络信息安全就其本质而言是网络上的信息安全,是指网络系统的硬件、软件和系统中的数据受到保护,不受偶然的或者恶意的攻击而遭到破坏、更改、泄露,系统连续可靠正常地运行,网络服务不中断。 从广义上讲,凡是...
  • CTF工业信息安全大赛实践与分析

    千次阅读 2020-03-17 13:41:02
    本篇文章主要结合作者工控信息安全及工控网络攻防平台CTF赛题编制等工作经验,首先对上周团队参与的2019工业信息安全大赛CTF线上比赛部分题目进行解析与总结,接着对CTF相关知识及平台进行介绍,最后对CTF收集的相关...
  • 两个信息安全标准的相同点 都是为了保护信息安全;都采用了过程方法,前一个过程的输出作为后一个过程的输入;都采用了PDCA的模型,实现持续安全建设;都发布了基本要求,27000信息安全管理体系提供了14个控制域的...
  • 2020软考 信息安全工程师(第二版)学习总结【一】

    千次阅读 多人点赞 2020-10-19 16:23:10
    第一章 网络信息安全概述、第二章 网络攻击原理与常用方法、第三章 密码学基本理论
  • 信息安全习题(含答案)

    万次阅读 多人点赞 2018-07-06 16:21:37
    信息安全技术教程习题及答案第一章 概述一、判断题1. 信息网络的物理安全要从环境安全和设备安全两个角度来考虑。√2. 计算机场地可以选择在公共区域人流量比较大的地方。×3. 计算机场地可以选择在化工厂生产车间...
  • 最近好多信息安全行业或者打算转行的职场人在纠结学CISP还是学CISSP,我给大家就CISP和CISSP分析一下,希望能有帮助。 一、认证的选择 谈到认证的选择,首先第一条就是先想清楚为什么要考一个证书?如果是单位安排的...
  • 本节书摘来自华章出版社《信息安全保障》一书中的第2章,第2.2节,作者 吴世忠 江常青 孙成昊 李华 李静,更多章节内容可以访问云栖社区“华章计算机”公众号查看 2.2 我国信息安全保障工作主要内容 为构建信息安全...
  • 信息安全建设三部曲

    千次阅读 多人点赞 2018-03-20 17:54:15
    从那些刷爆朋友圈的事故说起随着社会、科技等的快速发展,信息、数据逐渐凸显重要位置,并且一跃成为企业...信息和数据的关键重要性,决定了信息安全在企业中的重要性。如何保障信息和数据的安全,也将逐渐成为企业...
  • 信息安全导论复习(1-5章)

    万次阅读 2017-06-01 01:32:54
    第1章 信息化发展与信息安全 目录 1.1 信息化发展 1.1.1 信息化对我国的重要影响 1.1.2 信息化发展对信息安全的需求 1.2 信息安全的基本属性 1.2.1 保密性 1.2.2 完整性 1.2.3 可用性 1.3 信息安全概念的演变 1.3.1 ...
  • 因此,我们要认清网络的脆弱性和潜在威胁以及现实客观存在的各种安全问题隐患,并进行专业正确的企业网络信息安全维护。下面弘博创新小编为大家一一讲解哈~ 1.将安全策略、硬件及软件等方法结合起来,构成一个统一的...
  • SAEJ3061汽车信息安全指南文档

    千次阅读 多人点赞 2018-04-09 15:27:58
    基本原理更多智能汽车信息安全信息,请关注博大汽车信息安全 公众号BodaSecurity。网络物理车载系统在整个开发生命周期进程中,需要提供一个网络安全进程框架和指导,帮助企业识别和评估网络安全威胁和设计网络安全...
  • 课程特点:ISO27001LA主任审核员,世界级的认可与荣耀 ... 具备全球认可的ISO27001审核师资格;...国际信息安全管理主任审核员权威证书,拓展全球化视野,助力人生飞跃   认证机构:国际审核员注册协会(IRCA),
  • 本节书摘来自华章出版社《信息安全保障》一书中的第1章,第1.3节,作者 吴世忠 江常青 孙成昊 李华 李静,更多章节内容可以访问云栖社区“华章计算机”公众号查看 1.3 信息系统安全保障概念与模型 满足不同需求具有...
  • 在网络安全领域,攻击者始终拥有取之不竭、用之不尽的网络弹药,可以对组织机构随意发起攻击;而防守方则处于敌暗我明的被动地位,用有限的资源去对抗无限的安全威胁,而且每次都必须成功地阻止攻击者的攻击。基于...
  • 信息安全保障体系规划方案

    万次阅读 多人点赞 2018-06-21 17:04:59
    一、 概述1.1引言本文基于对XX公司信息安全风险评估总体规划的分析,提出XX公司信息安全技术工作的总体规划、目标以及基本原则,并在此基础上从信息安全保障体系的视角描绘了未来的信息安全总体架构。本文内容为信息...
  • 数据安全分类分级剖析

    千次阅读 2021-09-15 00:04:46
    数据分类分级对于数据的安全管理至关重要,安全分类分级是一个“硬核课题”,从数据治理开始,除了标准化和价值应用,重要的课题就是质量+安全安全是底线,是价值应用的前提和基础。数据分类可以为数据资产结构化...
  • 了解信息安全管理体系的基本思路

    千次阅读 2018-03-26 10:34:39
    为便于信息安全管理体系的理解与应用,现结合ISO/IEC27001:2016、GB/T22080-2016/ISO/IEC27001:2013及GB/T22081-2016/ISO/IEC27002:2013的相关要求,进行管理基本思路的整理,供参考。1 信息也是资产,值得或...
  • 《计算机信息系统安全保护等级划分准则》(GB17859-1999)是建立安全等级保护制度,实施安全等级管理的重要基础性标准,他讲计算机信息系统分为5个安全等级。
  • 信息安全-期末复习题

    千次阅读 2021-01-04 17:09:41
    信息安全概论 一、选择题: 1.Smtp协议使用的端口号是(D )。 A、20 B、21 C、23 D、25 2.下面那个命令可以显示本机的路由信息。( ) A、Ping B、Ipconfig C、Tracert D、Netstat 3.计算机病毒是指:( C )。 ...
  • 并且其备份在存储上是可实现的 数字签名的类别: 以方式分: 直接数字签名direct digital signature 仲裁数字签名arbitrated digital signature 以安全性分 无条件安全的数字签名 计算上安全的数字签名 以可签名次数...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 74,750
精华内容 29,900
关键字:

信息安全不良事件类别包括

友情链接: PCM.zip