系統(tǒng)安全風(fēng)險(xiǎn)辨識(shí)分級(jí)管控工作指南_第1頁(yè)
系統(tǒng)安全風(fēng)險(xiǎn)辨識(shí)分級(jí)管控工作指南_第2頁(yè)
系統(tǒng)安全風(fēng)險(xiǎn)辨識(shí)分級(jí)管控工作指南_第3頁(yè)
系統(tǒng)安全風(fēng)險(xiǎn)辨識(shí)分級(jí)管控工作指南_第4頁(yè)
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

PAGEPAGE1系統(tǒng)安全風(fēng)險(xiǎn)辨識(shí)分級(jí)管控工作指南一、前言隨著信息化的發(fā)展和計(jì)算機(jī)技術(shù)的普及,系統(tǒng)安全風(fēng)險(xiǎn)日益增加。一旦出現(xiàn)安全漏洞被攻擊,會(huì)帶來(lái)不可預(yù)估的損失。因此,對(duì)系統(tǒng)安全進(jìn)行科學(xué)的風(fēng)險(xiǎn)辨識(shí)、分級(jí)和管控,是信息安全領(lǐng)域中的重要工作。本文將介紹系統(tǒng)安全風(fēng)險(xiǎn)辨識(shí)分級(jí)管控的工作指南。二、系統(tǒng)安全風(fēng)險(xiǎn)辨識(shí)1、范圍確定系統(tǒng)安全風(fēng)險(xiǎn)辨識(shí)的范圍應(yīng)明確定義,在確定風(fēng)險(xiǎn)范圍時(shí)應(yīng)考慮以下因素:(1)系統(tǒng)和網(wǎng)絡(luò)架構(gòu);(2)信息和數(shù)據(jù);(3)外部因素(如自然災(zāi)害和人為因素等)。2、辨識(shí)風(fēng)險(xiǎn)在系統(tǒng)安全風(fēng)險(xiǎn)辨識(shí)工作中,我們首先要進(jìn)行安全威脅辨識(shí)。通常情況下,安全威脅可以從以下方面切入:(1)非授權(quán)的訪問(wèn);(2)數(shù)據(jù)泄露;(3)惡意軟件;(4)系統(tǒng)故障;(5)社會(huì)工程學(xué)攻擊。3、評(píng)估風(fēng)險(xiǎn)評(píng)估系統(tǒng)安全的風(fēng)險(xiǎn)是在辨識(shí)的基礎(chǔ)上進(jìn)行的。因此,在評(píng)估風(fēng)險(xiǎn)時(shí),我們需要考慮相應(yīng)的辨識(shí)結(jié)果,并根據(jù)風(fēng)險(xiǎn)的影響和概率來(lái)確定風(fēng)險(xiǎn)等級(jí)。一般來(lái)說(shuō),風(fēng)險(xiǎn)等級(jí)由高到低分為四級(jí):(1)非常高風(fēng)險(xiǎn);(2)高風(fēng)險(xiǎn);(3)中等風(fēng)險(xiǎn);(4)低風(fēng)險(xiǎn)。三、系統(tǒng)安全風(fēng)險(xiǎn)分級(jí)1、根據(jù)風(fēng)險(xiǎn)等級(jí)制定應(yīng)對(duì)策略制定相應(yīng)的應(yīng)對(duì)策略是保障系統(tǒng)安全的重要一環(huán),因此,對(duì)不同等級(jí)的系統(tǒng)安全風(fēng)險(xiǎn),我們需要制定不同的應(yīng)對(duì)策略。(1)非常高風(fēng)險(xiǎn)的情況下,我們需要立即采取行動(dòng),將該風(fēng)險(xiǎn)的威脅完全消除或者降低該風(fēng)險(xiǎn)的影響至最小。(2)高風(fēng)險(xiǎn)的情況下,我們需要盡快采取措施,減輕該風(fēng)險(xiǎn)的影響或抑制其發(fā)展趨勢(shì)。(3)中等風(fēng)險(xiǎn)的情況下,我們需要制定相應(yīng)的應(yīng)對(duì)方案,盡快消除該風(fēng)險(xiǎn)。(4)低風(fēng)險(xiǎn)的情況下,我們不需要特別采取行動(dòng),只需持續(xù)關(guān)注該風(fēng)險(xiǎn)的發(fā)展情況。2、風(fēng)險(xiǎn)等級(jí)制定標(biāo)準(zhǔn)我國(guó)信息安全標(biāo)準(zhǔn)規(guī)定了對(duì)網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險(xiǎn)等級(jí)制定標(biāo)準(zhǔn)。根據(jù)該標(biāo)準(zhǔn),網(wǎng)絡(luò)系統(tǒng)安全風(fēng)險(xiǎn)等級(jí)分為四級(jí),分別是非常高風(fēng)險(xiǎn)、高風(fēng)險(xiǎn)、中等風(fēng)險(xiǎn)和低風(fēng)險(xiǎn)。下表列出了網(wǎng)絡(luò)系統(tǒng)風(fēng)險(xiǎn)等級(jí)制定標(biāo)準(zhǔn)。|風(fēng)險(xiǎn)等級(jí)|相關(guān)指標(biāo)|||||非常高|對(duì)信息、技術(shù)資源和設(shè)備的極大威脅||高|對(duì)信息、技術(shù)資源和設(shè)備的明顯威脅||中等|對(duì)信息、技術(shù)資源和設(shè)備的可控威脅||低|對(duì)信息、技術(shù)資源和設(shè)備的較弱威脅|四、系統(tǒng)安全風(fēng)險(xiǎn)管控1、風(fēng)險(xiǎn)管控目標(biāo)系統(tǒng)安全風(fēng)險(xiǎn)的管控目標(biāo)包括以下方面:(1)保護(hù)機(jī)構(gòu)及其核心業(yè)務(wù)系統(tǒng)的安全;(2)降低機(jī)構(gòu)的損失;(3)提高機(jī)構(gòu)的安全意識(shí)及保障能力。2、風(fēng)險(xiǎn)管控方法系統(tǒng)安全風(fēng)險(xiǎn)管控主要采取以下方法進(jìn)行管理:(1)制定風(fēng)險(xiǎn)管控計(jì)劃;(2)建立安全標(biāo)準(zhǔn)和操作規(guī)范;(3)加強(qiáng)風(fēng)險(xiǎn)意識(shí)培訓(xùn);(4)采取有效的保護(hù)措施;(5)定期進(jìn)行安全檢測(cè)。3、風(fēng)險(xiǎn)管控措施系統(tǒng)安全風(fēng)險(xiǎn)管控應(yīng)采取以下措施:(1)嚴(yán)格的身份識(shí)別和認(rèn)證機(jī)制;(2)安全訪問(wèn)控制機(jī)制;(3)安全審計(jì)、日志記錄和事件管理機(jī)制;(4)安全風(fēng)險(xiǎn)預(yù)警機(jī)制;(5)數(shù)據(jù)備份和災(zāi)難恢復(fù)機(jī)制。五、結(jié)論系統(tǒng)安全風(fēng)險(xiǎn)辨識(shí)分級(jí)管控是保障信息安全的關(guān)鍵工作之

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論