计算机网络安全风险管理.ppt

1、计算机网络安全风险管理计算机网络安全风险管理一、概述一、概述 风险就是不利事件发生的可能性。风险管理是评估风险、采取步骤将风险消减到可接受的水平并且维持这一风险级别的过程。也许大家没有意识到，其实大家每天都在进行风险管理。像系安全带、预报有雨时带伞或将事情记录下来以免遗忘，这些日常活动都可以归入风险管理的范畴。人们会意识到针对其利益的各种威胁，并采取预防措施进行防范或将其影响减到最小。风险管理是安全性的一个重要方面，但风险管理不只是包含恐惧、不确定性和怀疑（FUD）。在评判一个安全计划时，应重点考虑直接在资产负债表上导致美元收入的安全收益，它是相对于风险管理的重要对应物。一、概述一、概述 本课

2、程为各种类型的客户计划、建立和维护一个成功的安全风险管理计划。说明如何在四阶段流程中实施风险管理计划中的各个阶段，以及如何建立一个持续的过程以评定安全风险并将其降低到可接受水平。二、安全风险管理介绍二、安全风险管理介绍（一）风险管理的核心作用 所谓风险管理就是识别风险、选择对策、实施对策以消减风险.最终保证信息资产的保密性、完整性、可用性能够满足目标要求的这样一个过程。简单的说风险管理就是识别风险、评估风险，采取措施将风险减到可接受水平，并维持这个风险水平的过程。二、安全风险管理介绍二、安全风险管理介绍个人隐私经营状况资产知识产权资产识别资产识别商务联系管理制度二、安全风险管理介绍二、安全风险

3、管理介绍资产类别资产类别总体总体IT环境环境资产名称资产名称资产评级资产评级有形资产有形资产物理基础结构物理基础结构数据中心数据中心5有形资产有形资产物理基础结构物理基础结构Servers3有形资产有形资产物理基础结构物理基础结构台式计算机台式计算机1有形资产有形资产物理基础结构物理基础结构移动计算机移动计算机3有形资产有形资产物理基础结构物理基础结构PDA1有形资产有形资产物理基础结构物理基础结构移动电话移动电话1有形资产有形资产物理基础结构物理基础结构服务器应用程序软件服务器应用程序软件1有形资产有形资产物理基础结构物理基础结构最终用户应用程序软件最终用户应用程序软件1有形资产有形资产物理

4、基础结构物理基础结构开发工具开发工具3有形资产有形资产物理基础结构物理基础结构路由器路由器3有形资产有形资产物理基础结构物理基础结构网络交换机网络交换机3有形资产有形资产物理基础结构物理基础结构传真机传真机1有形资产有形资产物理基础结构物理基础结构PBX3二、安全风险管理介绍二、安全风险管理介绍资产类别资产类别总体总体IT环境环境资产名称资产名称资产评级资产评级有形资产有形资产物理基础结构物理基础结构可移动介质（如：磁带、软盘、可移动介质（如：磁带、软盘、CD-ROM、DVD、便携式硬盘、便携式硬盘、PC 卡存储设备、卡存储设备、USB 存储设备等）存储设备等）1有形资产有形资产物理基础结构物

5、理基础结构电源电源3有形资产有形资产物理基础结构物理基础结构不间断电源不间断电源3有形资产有形资产物理基础结构物理基础结构消防系统消防系统3有形资产有形资产物理基础结构物理基础结构空调系统空调系统3有形资产有形资产物理基础结构物理基础结构空气过滤系统空气过滤系统1有形资产有形资产物理基础结构物理基础结构其他环境控制系统其他环境控制系统3有形资产有形资产Intranet 数据数据源代码源代码5有形资产有形资产Intranet 数据数据人力资源数据人力资源数据5有形资产有形资产Intranet 数据数据财务数据财务数据5有形资产有形资产Intranet 数据数据营销数据营销数据5有形资产有形资产I

6、ntranet 数据数据雇员密码雇员密码5二、安全风险管理介绍二、安全风险管理介绍资产类别资产类别总体总体IT环境环境资产名称资产名称资产评级资产评级有形资产有形资产Intranet 数据数据雇员私人密钥雇员私人密钥5有形资产有形资产Intranet 数据数据计算机系统密钥计算机系统密钥5有形资产有形资产Intranet 数据数据智能卡智能卡5有形资产有形资产Intranet 数据数据知识产权知识产权5有形资产有形资产Intranet 数据数据适用于法规要求的数据（如适用于法规要求的数据（如 GLBA、HIPAA、CA SB1386 和和 EU Data Protection Directiv

7、e等）。等）。5有形资产有形资产Intranet 数据数据美国美国 雇员社会保险号雇员社会保险号5有形资产有形资产Intranet 数据数据雇员驾驶证编号雇员驾驶证编号5有形资产有形资产Intranet 数据数据战略计划战略计划3二、安全风险管理介绍二、安全风险管理介绍资产类别资产类别总体总体IT环境环境资产名称资产名称资产评级资产评级有形资产有形资产Intranet 数据数据客户消费信用报告客户消费信用报告5有形资产有形资产Intranet 数据数据客户医疗记录客户医疗记录5有形资产有形资产Intranet 数据数据雇员生物特征识别雇员生物特征识别5有形资产有形资产Intranet 数据数据

8、雇员商务联络数据雇员商务联络数据1有形资产有形资产Intranet 数据数据雇员个人联络数据雇员个人联络数据3有形资产有形资产Intranet 数据数据采购单数据采购单数据5有形资产有形资产Intranet 数据数据网络基础结构设计网络基础结构设计3有形资产有形资产Intranet 数据数据内部网站内部网站3有形资产有形资产Intranet 数据数据雇员种族数据雇员种族数据3有形资产有形资产Extranet 数据数据合作伙伴合同数据合作伙伴合同数据5有形资产有形资产Extranet 数据数据合作伙伴财务数据合作伙伴财务数据5有形资产有形资产Extranet 数据数据合作伙伴联络数据合作伙伴联络

9、数据3二、安全风险管理介绍二、安全风险管理介绍资产类别资产类别总体总体IT环境环境资产名称资产名称资产评级资产评级有形资产有形资产Extranet 数据数据合作伙伴协同应用程序合作伙伴协同应用程序3有形资产有形资产Extranet 数据数据合作伙伴密钥合作伙伴密钥5有形资产有形资产Extranet 数据数据合作伙伴信用报告合作伙伴信用报告3有形资产有形资产Extranet 数据数据合作伙伴采购单数据合作伙伴采购单数据3有形资产有形资产Extranet 数据数据供应商合同数据供应商合同数据5有形资产有形资产Extranet 数据数据供应商财务数据供应商财务数据5有形资产有形资产Extranet

10、数据数据供应商联络数据供应商联络数据3有形资产有形资产Extranet 数据数据供应商合作应用程序供应商合作应用程序3有形资产有形资产Extranet 数据数据供应商密钥供应商密钥5有形资产有形资产Extranet 数据数据供应商信用报告供应商信用报告3有形资产有形资产Extranet 数据数据供应商采购单数据供应商采购单数据3二、安全风险管理介绍二、安全风险管理介绍资产类别资产类别总体总体IT环境环境资产名称资产名称资产评级资产评级有形资产有形资产Internet 数据数据网站销售应用程序网站销售应用程序5有形资产有形资产Internet 数据数据网站营销数据网站营销数据3有形资产有形资产I

11、nternet 数据数据客户信用卡数据客户信用卡数据5有形资产有形资产Internet 数据数据客户联络数据客户联络数据3有形资产有形资产Internet 数据数据公开密钥公开密钥1有形资产有形资产Internet 数据数据新闻发布新闻发布1有形资产有形资产Internet 数据数据白皮书白皮书1有形资产有形资产Internet 数据数据产品文档产品文档1有形资产有形资产Internet 数据数据培训资料培训资料3二、安全风险管理介绍二、安全风险管理介绍资产类别资产类别总体总体IT环境环境资产名称资产名称资产评级资产评级无形资产无形资产名誉名誉5无形资产无形资产友好关系友好关系3无形资产无形资

12、产雇员道德雇员道德3无形资产无形资产雇员生产力雇员生产力3IT 服务服务邮件邮件电子邮件电子邮件/计划（如计划（如 Microsoft Exchange）3IT 服务服务邮件邮件即时消息即时消息1IT 服务服务邮件邮件Microsoft Outlook Web Access(OWA)1IT 服务服务核心基础结构核心基础结构Microsoft Active Directory3IT 服务服务核心基础结构核心基础结构域名系统域名系统(DNS)3IT 服务服务核心基础结构核心基础结构动态主机配置协议动态主机配置协议(DHCP)3二、安全风险管理介绍二、安全风险管理介绍资产类别资产类别总体总体IT环境

13、环境资产名称资产名称资产评级资产评级IT 服务服务核心基础结构核心基础结构企业管理工具企业管理工具3IT 服务服务核心基础结构核心基础结构文件共享文件共享3IT 服务服务核心基础结构核心基础结构存储器存储器3IT 服务服务核心基础结构核心基础结构拨号远程访问拨号远程访问3IT 服务服务核心基础结构核心基础结构电话服务电话服务3IT 服务服务核心基础结构核心基础结构虚拟专用网虚拟专用网(VPN)访问访问3IT 服务服务核心基础结构核心基础结构Microsoft Windows Internet 命名服务命名服务(WINS)1IT 服务服务其他基础结构其他基础结构合作服务（如合作服务（如 Micr

14、osoft SharePoint）1二、安全风险管理介绍二、安全风险管理介绍威胁威胁示例示例灾难性事件灾难性事件火灾火灾灾难性事件灾难性事件洪水洪水灾难性事件灾难性事件地震地震灾难性事件灾难性事件严重风暴严重风暴灾难性事件灾难性事件恐怖分子袭击恐怖分子袭击灾难性事件灾难性事件平民骚乱平民骚乱/暴动暴动灾难性事件灾难性事件山崩山崩灾难性事件灾难性事件雪崩雪崩灾难性事件灾难性事件工业意外工业意外威胁威胁示例示例机械故障机械故障电力中断电力中断机械故障机械故障硬件故障硬件故障机械故障机械故障网络中断网络中断机械故障机械故障环境控制措施失效环境控制措施失效机械故障机械故障结构意外结构意外非恶意人员非恶

15、意人员未获通知的雇员未获通知的雇员非恶意人员非恶意人员未获通知的用户未获通知的用户二、安全风险管理介绍二、安全风险管理介绍威胁威胁示例示例恶意人员恶意人员黑客、解密高手黑客、解密高手恶意人员恶意人员计算机犯罪计算机犯罪恶意人员恶意人员行业间谍行业间谍恶意人员恶意人员政府资助的间谍政府资助的间谍恶意人员恶意人员社会工程社会工程恶意人员恶意人员心存不满的现雇员心存不满的现雇员恶意人员恶意人员心存不满的前雇员心存不满的前雇员恶意人员恶意人员恐怖分子恐怖分子恶意人员恶意人员疏忽的雇员疏忽的雇员恶意人员恶意人员不诚实的雇员（受贿者或被勒索者）不诚实的雇员（受贿者或被勒索者）恶意人员恶意人员恶意移动代码恶

16、意移动代码二、安全风险管理介绍二、安全风险管理介绍高级漏高级漏洞分类洞分类漏洞简短说明漏洞简短说明具体示例（如果适用）具体示例（如果适用）物理物理未上锁的门未上锁的门物理物理未受保护的计算机应用设施访问权限未受保护的计算机应用设施访问权限物理物理不充分的消防系统不充分的消防系统物理物理设计低劣的建筑设计低劣的建筑物理物理施工低劣的建筑施工低劣的建筑物理物理施工中使用的易燃材料施工中使用的易燃材料物理物理装修中使用的易燃材料装修中使用的易燃材料物理物理未上锁的窗未上锁的窗物理物理易受物理袭击的墙易受物理袭击的墙物理物理内墙未能在天花板和地板处完全密封房间内墙未能在天花板和地板处完全密封房间二、安全风险管理介绍二、安全风险管理介绍自然自然设备位于故障线路上设备位于故障线路上自然自然设备位于水灾区域设备位于水灾区域自然自然设备位于雪崩区域设备位于雪崩区域高级漏高级漏洞分类洞分类漏洞简短说明漏洞简短说明具体示例（如果适用）具体示例（如果适用）硬件硬件缺少修补程序缺少修补程序硬件硬件过期的固件过期的固件硬件硬件配置错误的系统配置错误的系统硬件硬件未受物理保护的系统未受物理保护的系统硬件硬件在公共