收藏
下载资源

信息安全风险评估方案-.pdf

上传人:索**** 文档编号:76287952 上传时间:2023-03-08 格式:PDF 页数:6 大小:41.80KB
返回 下载 相关 举报
信息安全风险评估方案-.pdf_第1页
第1页 / 共6页
信息安全风险评估方案-.pdf_第2页
第2页 / 共6页
点击查看更多>>
资源描述

《信息安全风险评估方案-.pdf》由会员分享,可在线阅读,更多相关《信息安全风险评估方案-.pdf(6页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。

1、1 2020 年 4 月 19 日信息安全风险评估方案文档仅供参考,不当之处,请联系改正。2 2020 年 4 月 19 日第一章网络安全现状与问题1.1 当前安全解决方案的盲目性现在有很多公司提供各种各样的网络安全解决方案,包括加密、身份认证、防病毒、防黑客等各个方面,每种解决方案都强调所论述方面面临威胁的严重性,自己在此方面的卓越性,但对于用户来说这些方面是否真正是自己的薄弱之处,会造成多大的损失,如何评估,投入多大能够满足要求,对应这些问题应该采取什麽措施,这些用户真正关心的问题却很少有人提及。1.2 网络安全规划上的滞后网络在面对当前越来越复杂的非法入侵、内部犯罪、恶意代码、病毒威胁等

2、行为时,往往是头痛医头、脚痛医脚,面对层出不穷的安全问题,疲于奔命,再加上各种各样的安全产品与安全服务,使用户摸不着头脑,没有清晰的思路,其原因是由于没有一套完整的安全体系,不能从整体上有所把握。在当前网络业务系统向交易手段模块化、经纪业务平台化与总部集中监控的趋势下,安全规划显然未跟上网络管理方式发展的趋势。第二章网络动态安全防范体系用户当前接受的安全策略建议普遍存在着“以偏盖全”的现文档仅供参考,不当之处,请联系改正。3 2020 年 4 月 19 日象,它们过分强调了某个方面的重要性,而忽略了安全构件(产品)之间的关系。因此在客户化的、可操作的安全策略基础上,需要构建一个具有全局观的、多

3、层次的、组件化的安全防御体系。它应涉及网络边界、网络基础、核心业务和桌面等多个层面,涵盖路由器、交换机、防火墙、接入服务器、数据库、操作系统、DNS、WWW、MAIL 及其它应用系统。静态的安全产品不可能解决动态的安全问题,应该使之客户化、可定义、可管理。无论静态或动态(可管理)安全产品,简单的叠加并不是有效的防御措施,应该要求安全产品构件之间能够相互联动,以便实现安全资源的集中管理、统一审计、信息共享。当前黑客攻击的方式具有高技巧性、分散性、随机性和局部持续性的特点,因此即使是多层面的安全防御体系,如果是静态的,也无法抵御来自外部和内部的攻击,只有将众多的攻击手法进行搜集、归类、分析、消化、

4、综合,将其体系化,才有可能使防御系统与之相匹配、相耦合,以自动适应攻击的变化,从而形成动态的安全防御体系。网络的安全是一个动态的概念。网络的动态安全模型能够提供给用户更完整、更合理的安全机制,全网动态安全体系可由下面的公式概括:网络安全 =风险分析 +制定策略 +防御系统+安全管理+安全服务动态安全模型,如图所示。文档仅供参考,不当之处,请联系改正。4 2020 年 4 月 19 日从安全体系的可实施、动态性角度,动态安全体系的设计充分考虑到风险评估、安全策略的制定、防御系统、安全管理、安全服务支持体系等各个方面,而且考虑到各个部分之间的动态关系与依赖性。进行风险评估和提出安全需求是制定网络安

5、全策略的依据。风险分析(又称风险评估、风险管理),是指确定网络资产的安全威胁和脆弱性、并估计可能由此造成的损失或影响的过程。风险分析有两种基本方法:定性分析和定量分析。在制定网络安全策略的时候,要从全局进行考虑,基于风险分析的结果进行决策,建议公司究竟是加大投入,采取更强有力的保护措施,还是容忍一些小的损失而不采取措施。因此,采取科学的风险分析方法对公司的网络进行风险分析是非常关键的。一旦确定有关的安全要求,下一步应是制定及实施安全策网 络 安安全标准范体系安全管理保障体系安全技术防御体系安 全 服 务动态安全体系动 态 风 险 分文档仅供参考,不当之处,请联系改正。5 2020 年 4 月

6、19 日略,来保证把风险控制在可接受的范围之内。安全策略的制定,能够依据相关的国内外标准或行业标准,也能够自己设计。有很多方法能够用于制定安全策略,可是,并不是每一组安全策略都适用于每个信息系统或环境,或是所有类型的企业。安全策略的制定,要针对不同的网络应用、不同的安全环境、不同的安全目标而量身定制,各公司应该按照自己的要求,选择合适的安全体系规划网络的安全。制定自己的安全策略应考虑以下三点内容:(1)评估风险。(2)企业与合作伙伴、供应商及服务提供者共同遵守的法律、法令、规例及合约条文。(3)企业为网络安全运作所订立的原则、目标及信息处理的规定。安全管理贯穿在安全的各个层次实施。实践一再告诉

7、人们仅有安全技术防范,而无严格的安全管理体系相配套,是难以保障网络系统安全的。必须制定一系列安全管理制度,对安全技术和安全设施进行管理。从全局管理角度来看,要制定全局的安全管理策略;从技术管理角度来看,要实现安全的配置和管理;从人员管理角度来看,要实现统一的用户角色划分策略,制定一系列的管理规范。实现安全管理应遵循以下几个原则:可操作性原则;全局性原则;动态性原则;管理与技术的有机结合;责权分明原则;分权制约原则;安全管理的制度化。文档仅供参考,不当之处,请联系改正。6 2020 年 4 月 19 日第三章 动态风险分析根据木桶原理,木桶所能容纳水的多少是由木桶壁中最短那块木头决定的,同样,一个网络系统中最主要的威胁是由最薄弱的安全漏洞决定的,往往解决最主要的安全问题能够使系统的安全性有很大提高。动态风险分析主要解决的问题就是系统的从错综复杂的用户环境中找出被评估系统中的薄弱之处,评估发生此类问题造成的损失,提供最佳的解决方案,使用户清楚的知道被评估系统中面临的威胁是什麽,最主要的问题是什麽,避免在网络安全方面的盲目性,获得最佳的投资效费比。如下图所示定义问题的范围定义企业的安全策略进行风险评估要有什么信息及为什么?把企业的信息资产重新估价把问题的关切程度顺序排好找出有什么威胁弄清楚企业的网络配不

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 技术资料 > 实施方案

本站为文档C TO C交易模式,本站只提供存储空间、用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。本站仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知得利文库网,我们立即给予删除!客服QQ:136780468 微信:18945177775 电话:18904686070

工信部备案号:黑ICP备15003705号-8 |  经营许可证:黑B2-20190332号 |   黑公网安备:91230400333293403D

© 2020-2023 www.deliwenku.com 得利文库. All Rights Reserved 黑龙江转换宝科技有限公司 

黑龙江省互联网违法和不良信息举报
举报电话:0468-3380021 邮箱:hgswwxb@163.com