交大慧谷培训中心 内部资料,仅供参考
1.2 风险管理
4. 弱点、威胁、风险、暴露、对策
1) Vulnerability:weakness,have unauthorized access to resources. 2) Threat:threat agent,威胁因素,hacker、worm… 3) Risk:threat利用vulnerability造成危害的一种可能性。 4) Exposure:instance,一次威胁因素造成loss的实例。 5) Countermeasure(safeguard):降低潜在的风险risk。
举例:主机系统没有打上相关的系统补丁(vulnerability),有一个针对此漏洞最新的蠕虫病毒(threat agent),网络没有部署边界安全系统,蠕虫渗透网络引起了风险(risk),直接导致了主机的性能降低、死机。这整个过程就是一次exposure。然后安装补丁进行更新(safeguard)。
5. Information Risk Management
风险管理是一个过程:是识别风险、评估风险、将之降低到一个可接受的程度识别风险级别,运用合适的机制来维持风险在此程度
6. Risk Analysis4个主要目标
1) 识别资产和资产的价值 2) 识别风险和威胁
3) 量化潜在风险对商业影响的可能性 4) 预算平衡在威胁影响和对策的花费之间
7. Risk Analysis Team最好要有高层管理人员参加,而且最好有来自各个部门的成员组
成。如果没也需要面对面与他们沟通,了解他们的运作情况。 8. 风险管理的一些重要因素:
1) 管理层支持;
2) team由来自于不同的团队; 3) 识别资产的价值; 4) 识别威胁;
- 6 -
交大慧谷培训中心 内部资料,仅供参考
9. 10.
11.
12. 13. 14. 15.
5) 还需要关注潜在和延迟的损失;
6) 下面就需要用定性或定量的方式来评估风险了。 quantitative and qualitative 定量和定性
Step of a Risk analysis 1) 给资产赋值
2) 估计每项风险的潜在损失 3) 进行威胁分析
4) 计算每项风险的全部潜在损失ALE,EF*asset value = SLE,SLE*ARO=ALE 5) Reduce、transfer、accept the Risk、ruject 风险分析的成果 1) 资产赋值
2) 理解威胁的特征和可能性 3) 每种威胁发生的可能性
4) 每种威胁在一年内发生对公司造成的潜在损失 5) 建议安全防护
定性评估:Delphi, brainstorming, storyboarding, focus groups, surveys, questionnaires,checklists, one-on-one meetings, and interviews Delphi技术(定性评估)
让每个人都拿出自己真实的观点,不被人影响。
Risk delayed loss and/or damage:从被破坏到恢复到正常的损失。 风险保护的步骤
1) 明确需要保护的资产及范围,花费的money
2) 风险分析和评估(选择最合适的safeguard,功能;)
3) 选择合适的措施和执行(评估safeguard的成本,并做比较;) 16. Residual Risk
Total Risk=threats * vulnerability * asset value
Residual Risk=(threats * vulnerability * asset value) * control gap
1.3 Policies、standards、baselines、guidelines、procedures
策略policies是提高信息安全,支持的标准standards是数据用高度加密AES,程序
- 7 -
交大慧谷培训中心 内部资料,仅供参考
procedurces是一步一步怎么来进行,方针guidelines是指导,建议作哪些(要求审计,建议审计ID、口令、事件等信息)。P45。baseline(clipping level)是最低级别的安全。安全策略提供基础,过程、标准、指导提供安全框架。策略是战略目标,过程、标准、指导等是战术目标。
17. Policies:
1) 最高的战略目标,email policy,那些能看不能看。如何使用数据库,如何保护数
据库等等。
2) The policy provides the foundation.The procedures, standards, and guidelines
provide the security framework.plicy是基础,程序、标准、方针是框架。
3) 三类:regulatory规章性的、advisory建议性的、informative提示性的(给信息) 18. standards:is mandatory、compulsory、enforce,强制 19. baselines:最低安全标准
20. guidelines:指导行动,建议具体作哪些,如审计哪些内容(登录ID、时间等)。 21. procedures:step by step,spell out(讲清楚)策略、标准等具体怎么做。
1.4 Classification
22. 先分级,然后划分安全域
23. Security is not a product, it’s a process 24. 不同的人有不同的责任responsibility
1) Manangement对资产的安全最终负责
2) Data owner: 一般是管理者,负责,进行数据的定级,定义安全机制,哪些人可以
访问等。委派custodian对数据进行保护。
3) Data custodian:对数据进行维护和保护,一般的IT department 4) System owner:关注系统,向data owner汇报 5) Supervisor:发密码,解雇收回密码 6) User:routinely
7) management管理者的工作是确定个人的安全需求,如何授权;security
administrator是具体执行这些需求。
- 8 -
交大慧谷培训中心 内部资料,仅供参考
1.5 employee
25. Separation of duties有两个方面:split knowledge(一个人知道整体的一部分) and dual
control(一个人知道一个整体,需要多个确认才能ok,发射nuclear) 26. rotation of duties,岗位轮换,mandatory vacation 27. 培训三类:管理者、一般雇员、技术雇员
- 9 -
交大慧谷培训中心 内部资料,仅供参考
二. chapter 4:Access Control
1. access control:physical、technical、administrative。subject and object 2. Three principles:
1) Availability:stockbroker,accuracy、timely,no privacy。 2) Integrity:美国总统的邮件被修改。 3) Confidentiality
3. 一次性口令,可以同步认证,也可以异步认证
4. 一般来说一个标准的权限管理过程应该是这样的,User (copy boy)根据工作需要
提出权限申请----〉Owner批准权限申请 ----〉administrator 根据领导(就是Owner)授权开通相应权限
2.1 Identification, Authentication(= Validating), and Authorization(标识、认证、授权)
5. 标识/鉴别(用户名)、认证(密码)、授权
6. Authentication:方式有下面几种
1) Something a person knows知道的 2) Something a person has有的 3) Something a person is他是谁
4) Strong authentication/two-factory authentication:需要两个以上的认证方式。 7. Identity management:
1) Biometrics生物(有的),identity unique attribute属性和behavior行为。成本高、
复杂、推广难 i. Type I error:reject 正确的
- 10 -