信息安全管理概論重點填空：１’*1０名詞解釋：5’３簡答:５’*4判斷敘理:5’*5案例分析:１、國家信息安全管理存在的問題宏觀:(１）法律法規問題。健全的信息安全法律法規體系是保證國家信息安全的基礎,是信息安全的第一道防線.(２）管理問題。（涉及三個層次：組織建設、制度建設和人員意識）(3)國家信息基礎設施建設問題。目前，中國信息基礎設施幾乎完全是建立在外國的核心信息技術之上的,導致我國在網絡時代沒有制網權.２02３年度經濟人物之首:中國芯創建者鄧中翰.十五期間,國家８6３計劃和科技攻關的重要項目:信息安全與電子政務,金融信息化兩個信息安全研究項目.微觀：(1)缺少信息安全意識與明確的信息安全方針。(2）重視安全技術,輕視安全管理。信息安全大約70%以上的問題是由管理因素導致的.(3)安全管理缺少系統管理的思想。2、信息安全概念信息安全是指信息的保密性（Conｆiｄentｉａlｉty)、完整性（Inｔegriｔｙ)和可用性（Ａvaｉlabilitｙ）、真實性、準確性的保持。信息保密性：保障信息僅僅為那些被授權使用的人獲取，它因信息被允許訪問對象的多少而不同.信息完整性：指為保護信息及其解決方法的準確性和完整性,一是指信息在運用,傳輸,儲存等過程中不被篡改，丟失,缺損等，此外是指信息解決方法的對的性.信息可用性：指信息及相關信息資產在授權人需要時可立即獲得．系統硬件,軟件安全,可讀性保障等.3、信息安全重要性a.信息安全是國家安全的需要國家軍事安全、政治穩定、社會安定、經濟有序運營美國與俄羅斯先后推出<信息系統保護國家計劃>和<國家信息安全學說>b.信息安全是組織連續發展的需要任何組織的正常運作都離不開信息資源的支持.組織的商業秘密,系統的正常運營等,信息安全特性已成為許多組織的服務質量的重要特性之一.c.信息安全是保護個人隱私與財產的需要４、如何擬定組織信息安全的規定a．法律法規與協議規定ｂ．風險評估的結果(保護限度與控制方式)c.組織的原則、目的與規定5、傳統信息安全管理模式特點（傳統管理模式的弊端與技術手段的局限性）傳統管理模式:靜態的、局部的、少數人負責的、突擊式的、事后糾正式的缺陷：ａ、不能從主線上避免和減少各類風險,也不能減少信息安全故障導致的綜合損失ｂ、信息安全技術是信息安全控制不可或缺的重要手段,但單靠技術手段實現安全的能力是有限的,甚至喪失,信息安全來自:三分技術,七分管理ｃ、信息安全不能迷信技術，應當在適宜技術條件下加強管理.６、系統的信息安全管理原則:（1）制訂信息安全方針原則:制定信息安全方針為信息安全管理提供導向和支持（2)風險評估原則：控制目的與控制方式的選擇建立在風險評估的基礎之上(3）費用與風險平衡原則：將風險降至組織可接受的水平,費用太高不接受（4）防止為主原則：信息安全控制應實行防止為主,做到防患于未然(５)商務連續性原則：即信息安全問題一旦發生,我們應能從故障與劫難中恢復商務運作，不至于發生癱瘓,同時應盡力減少故障與劫難對關鍵商務過程的影響（6)動態管理原則：即對風險實行動態管理（7)全員參與的原則：(８）ＰＤCA原則：遵循管理的一般循環模式－－Ｐlan（策劃)---Ｄo(執行)－--Chｅcｋ(檢查）---Actｉoｎ(措施)的連續改善模式。現代系統的信息安全管理是動態的、系統的、全員參與的、制度化的、防止為主的信息安全管理方式,用最低的成本,達成可接受的信息安全水平,從主線上保證業務的連續性,它完全不同于傳統的信息安全管理模式:靜態的、局部的、少數人負責的、突擊式的、事后糾正式的,不能從主線上避免、減少各類風險，也不能減少信息安全故障導致的綜合損失,商務也許因此癱瘓,不能連續。７、風險評估ａ.威脅(Threａt),是指也許對資產或組織導致損害的事故的潛在因素。如病毒和黑客襲擊，小偷偷盜等.b.薄弱點(Vuｌnｅrａbility)，是指資產或資產組中能被威脅運用的弱點。如員工缺少安全意識,口令簡短易猜,操作系統自身有安全漏洞等.關系：威脅是運用薄弱點而對資產或組織導致損害的.如無懈可擊,有機可乘.ｃ.風險(Ｒisk),即特定威脅事件發生的也許性與后果的結合。特定的威脅運用資產的一種或一組薄弱點,導致資產的丟失或損害的潛在也許性及其影響大小．經濟代理人面對的隨機狀態可以用某種具體的概率值表達．這里的風險只表達結果的不擬定性及發生的也許性大小.d．風險評估(RｉskAssｅｓsｍent),對信息和信息解決設施的威脅、影響(Impact)和薄弱點及三者發生的也許性評估．它是確認安全風險及其大小的過程,即運用適當的風險評估工具,擬定資產風險等級和優先控制順序,所以，風險評估也稱為風險分析.８、風險管理（判斷、填空)風險管理（ＲiｓkManａｇeｍｅｎt），以可接受的費用辨認、控制、減少或消除也許影響信息系統安全風險的過程。風險管理過程結構圖a.安全控制(ＳｅcuritｙCｏｎtｒoｌ)，減少安全風險的慣例、程序或機制。b．剩余風險（ReｓidｕalRisk),實行安全控制后,剩余的安全風險。c.合用性聲明(ＡpｐlicabｉｌityStatement）,合用于組織需要的目的和控制的評述。風險評估與管理的術語關系圖（其實，安全控制與薄弱點間、安全控制與資產間、安全風險與資產間、威脅與資產間均存在有直接或間接的關系)(１）資產具有價值，并會受到威脅的潛在影響。（2)薄弱點將資產暴露給威脅，威脅運用薄弱點對資產導致影響。（３）威脅與薄弱點的增長導致安全風險的增長。（４)安全風險的存在對組織的信息安全提出規定（5）安全控制應滿足安全規定。（6)組織通過實行安全控制防范威脅,以減少安全風險。９、風險評估過程a.風險評估應考慮的因素(1）信息資產及其價值(2）對這些資產的威脅，以及他們發生的也許性(3)薄弱點(４)已有的安全控制措施b.風險評估的基本環節（1）按照組織商務運作流程進行信息資產辨認,并根據估價原則對資產進行估價（２)根據資產所處的環境進行威脅辨認與評價(3）相應每一威脅,對資產或組織存在的薄弱點進行辨認與評價（4)對已采用的安全控制進行確認(５)建立風險測量的方法及風險等級評價原則,擬定風險的大小與等級ｃ.進行風險評估時，應考慮的相應關系風險評估過程圖資產、威脅和薄弱點相應關系圖資產、威脅和薄弱點相應關系：1、每一項資產也許存在多個威脅2、威脅的來源也許不只一個,應從人員(涉及內部與外部）、環境（如自然災害)、資產自身(如設備故障)等方面加以考慮１０、資產辨認與評估組織應列出與信息安全有關的資產清單,對每一項資產進行確認和適當的評估,資產辨認時常應考慮：（1)數據與文檔（2)書面文獻(3)軟件資產（４)實物資產（5)人員(6）服務11、信息資產的廣義與狹義理解資產估價是一個主觀的過程,資產價值不是以資產的賬面價格來衡量的,而是指其相對價值。在對資產進行估價時,不僅要考慮資產的賬面價格，更重要的是要考慮資產對于組織商務的重要性,即根據資產損失所引發的潛在的商務影響來決定。建立一個資產的價值尺度（資產評估標準).一些信息資產的價值是有時效性的,如數據保密.新產品數據在產品面市之前的高度機密性.采用精確的財務方式來給資產擬定價值有時是很困難的,一般采用定性的方式來建立資產的價值或重要度，即按照事先擬定的價值尺度將資產的價值劃分為不同等級或說對資產賦值．從而可以擬定需要保護的關鍵資產．12、信息資產價值理解、價值時效性13、威脅辨認與評價威脅發生的也許性分析:擬定威脅發生的也許性是風險評估的重要環節，組織應根據經驗和（或)有關的記錄數據來判斷威脅發生的頻率或者威脅發生的概率。威脅發生的也許性受下列因素的影響:（１)資產的吸引力，如金融信息、國防信息等（2）資產轉化成報酬的容易限度(3）威脅的技術含量(4）薄弱點被運用的難易限度威脅發生的也許性大小（具體根據需要定，也許取大于1的值,也也許取小于1的值,但肯定不小于0）可以采用分級賦值的方法予以擬定。如將也許性分為三個等級：非常也許=3；大約也許=２;不太也許=1威脅事件發生的也許性大小與威脅事件發生的條件是密切相關的。如消防管理好的部門發生火災的也許性要比消防管理差的部門發生火災的也許性小。因此，具體環境下某一威脅發生的也許性應考慮具體資產的薄弱點對這一威脅發生也許性的社會均值予以修正。1４、薄弱點評價與已有控制措施的確認A薄弱點的辨認與評估有關實物和環境安全面的薄弱點薄弱點運用薄弱點的威脅對建筑、房屋和辦公室實物訪問控制故意破壞的不充足或疏忽對于建筑、門和窗缺少物理保護盜竊位于易受洪水影響的區域洪水未被保護的儲藏庫盜竊缺少維護程序或維護作業指導維護錯誤缺少定期的設備更新計劃存儲媒體的老化設備缺少必要防護措施空氣中的顆粒/灰塵設備對溫度變化敏感或缺少空調設施極端溫度(高溫或低溫)設備易受電壓變化的影響、不穩定的高壓輸電網、缺少供電保護設施電壓波動可見，威脅也許是人為的、襲擊的，也也許是環境的、自然的。組織應對每一項需要保護的信息資產,找出每一種威脅所能運用的薄弱點,并對薄弱點的嚴重性進行評價,即對薄弱點被威脅運用的也許性PV進行評價,可以采用分級賦值的方法(同PT同樣，具體大小根據需要定,也許取大于1的值,也也許取小于1的值,但肯定不小于0)。如：非常也許＝４;很也許＝3;也許=2;不太也許＝１；不也許＝0B對已有的安全控制進行確認威┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅┅脅保護措施發預生防的風險曲線３措可施能性風險曲線2、薄弱點被風險曲線1利用的程度威脅所產生的潛在影響限度圖２-５控制措施與風險限度關系圖組織應將已采用的控制措施進行辨認并對控制措施的有效性進行確認,繼續保持有效的安全控制，以避免不必要的工作和費用，防止控制的反復實行。對于那些確認為不適當的控制應當檢查是否應被取消,或者用更合適的控制代替。此外，應當注意,在風險評估之后選擇的安全控制與現有的和計劃的控制應保持一致。安全控制可分為防止性控制措施和保護性措施（如商務連續性計劃、商業保險等），防止性措施可以減少威脅發生的也許性和減少安全薄弱點,而保護性措施可以減少威脅發生所導致的影響。1５、風險評估①風險測量方法—風險大小和等級評價原則風險是威脅發生的也許性,薄弱點被威脅運用的也許性和威脅的潛在影響的函數:R＝Ｒ(PT,PV,I) 其中:R--－資產受到某一威脅所擁有的風險②風險測量方法事例：(不知道該如何整理!太多了!!!)16、風險控制過程風險控制途徑：減少風險途徑①避免風險,也稱規避風險，屬去除威脅②轉移風險③減少威脅④減少薄弱點⑤減少威脅也許的影響限度⑥探測有害事故,對其做出反映并恢復,屬及時捕獲威脅1７、風險接受：信息系統絕對安全(即零風險）是不也許的.組織在實行選擇的控制后，總仍有殘留的風險,稱之為殘留風險或殘余風險或剩余風險。導致殘余風險的因素:也許是某些資產未被故意識保護所致,如假設的低風險;或者被提及的控制需要高費用而未采用應有的控制殘余風險應在可接受的范圍內，即應滿足:殘余風險Rr=原有風險Rｏ-控制△R殘余風險Rr≤可接受風險Rｔ風險接受就是一個對殘余風險進行確認和評價的過程:按照風險評估擬定的風險測量方法對實行安全控制后的資產風險進行重新計算,以獲得殘余風險的大小,并將殘余風險分為可接受或不可接受的風險.風險是隨時間而變化的，風險管理應是一個動態的管理過程，因此組織要動態地定期進行風險評估，甚至在以下情況進行臨時評估，以便及時辨認需要控制的風險并進行有效的控制：⑴當組織新增信息資產時.⑵當系統發生重大變更時．⑶發生嚴重信息安全事故時.⑷組織認為有必要時.１8、基本風險評估基本的風險評估是指應用直接和簡易的方法達成基本的安全水平，就能滿足組織及其商業環境的所有規定。合用范圍：合用于商業運作不是非常復雜的組織，并且組織對信息解決和網絡的依賴限度不高。優點:（1)風險評估所需資源最少，簡便易行（２)同樣或類似的控制能被許多信息安全管理體系所采用，不需要花費很大的精力。假如多個商業規定類似，并且在相同的環境中運作，這些控制可以提供一個經濟有效的解決方案。缺陷：（１）假如安全水平被設立的太高,就也許需要過多的費用或控制過度;假如水平太低，對一些組織來說，也許會得不到充足的安全。(由于方法是基本的,不細,較粗，因此,評估結果也許也較粗,不夠精確，有一定的出入)(2)對管理相關的安全進行更改也許有困難。如一個信息安全管理體系被升級，評估最初的控制是否仍然充足就有一定的困難。19、具體風險評估具體的風險評估是指對資產的具體辨認和估價，以及那些對資產形成威脅和相關薄弱點水平的具體評估，在此基礎上開展風險評估并隨后被用于安全控制的辨認和選擇。優點:（1) 能獲得一個更精確的安全風險的結識,從而更為精確地辨認反映組織安全規定的安全水平。(2)?可以從具體的風險評估中獲得額外信息,使與組織更改相關的安全管理受益。缺陷：(1)?需要非常仔細制訂被評估的信息系統范圍內的商務環境、運作、信息和資產邊界，需要管理者連續關注,因