信息安全管理概论重点

信息安全管理概论重点
填空：1’*10 名词解释：5’3 简答：5’*4 判断叙理：5’*5 案例分析：10’*1 论述题：10’*2
1、国家信息安全管理存在的问题
宏观：（1）法律法规问题。

健全的信息安全法律法规体系是确保国家信息安全的基础,是信息安全的第一道防线.
（2）管理问题。

（包括三个层次：组织建设、制度建设和人员意识）
（3）国家信息基础设施建设问题。

目前,中国信息基础设施几乎完全是建立在外国的核心信息技术之上的,导致我国在网络时代没有制网权.2005年度经济人物之首:中国芯创立者邓中翰.十五期间,国家863计划和科技攻关的重要项目:信息安全与电子政务,金融信息化两个信息安全研究项目.
微观：（1）缺乏信息安全意识与明确的信息安全方针。

（2）重视安全技术，轻视安全管理。

信息安全大约70%以上的问题是由管理原因造成的.
（3）安全管理缺乏系统管理的思想。

2、信息安全概念
信息安全是指信息的保密性（Confidentiality)、完整性（Integrity)和可用性（Availability)、真实性、准确性的保持。

信息保密性：保障信息仅仅为那些被授权使用的人获取,它因信息被允许访问对象的多少而不同.
信息完整性：指为保护信息及其处理方法的准确性和完整性,一是指信息在利用,传输,储存等过程中不被篡改,丢失,缺损等,另外是指信息处理方法的正确性.
信息可用性：指信息及相关信息资产在授权人需要时可立即获得.系统硬件,软件安全,可读性保障等.
3、信息安全重要性
a.信息安全是国家安全的需要
国家军事安全、政治稳定、社会安定、经济有序运行
美国与俄罗斯先后推出<信息系统保护国家计划>和<国家信息安全学说>
b.信息安全是组织持续发展的需要
任何组织的正常运作都离不开信息资源的支持.组织的商业秘密,系统的正常运行等,信息安全特性已成为许多组织的服务质量的重要特性之一.
c.信息安全是保护个人隐私与财产的需要
4、如何确定组织信息安全的要求
a.法律法规与合同要求
b.风险评估的结果(保护程度与控制方式)
c.组织的原则、目标与要求
5、传统信息安全管理模式特点
（传统管理模式的弊端与技术手段的局限性）
传统管理模式：静态的、局部的、少数人负责的、突击式的、事后纠正式的
缺点：a、不能从根本上避免和降低各类风险,也不能降低信息安全故障导致的综合损失
b、信息安全技术是信息安全控制不可或缺的重要手段,但单靠技术手段实现安全的能力是有限的,甚至丧失,信息安全来自:三分技术，七分管理
c、信息安全不能迷信技术,应该在适宜技术条件下加强管理.
6、系统的信息安全管理原则：
（1）制订信息安全方针原则：制定信息安全方针为信息安全管理提供导向和支持
（2）风险评估原则：控制目标与控制方式的选择建立在风险评估的基础之上
（3）费用与风险平衡原则：将风险降至组织可接受的水平，费用太高不接受
（4）预防为主原则：信息安全控制应实行预防为主，做到防患于未然
（5）商务持续性原则：即信息安全问题一旦发生，我们应能从故障与灾难中恢复商务运作，不至于发生瘫痪，同时应尽力减少故障与灾难对关键商务过程的影响
（6）动态管理原则：即对风险实施动态管理
（7）全员参与的原则：
（8）PDCA原则：遵循管理的一般循环模式--Plan(策划)---Do(执行)---Check(检查)---Action(措施)的持续改进模式。

现代系统的信息安全管理是动态的、系统的、全员参与的、制度化的、预防为主的信息安全管理方式，用最低的成本，达到可接受的信息安全水平，从根本上保证业务的连续性，它完全不同于传统的信息安全管理模式：静态的、局部的、少数人负责的、突击式的、事后纠正式的，不能从根本上避免、降低各类风险，也不能降低信息安全故障导致的综合损失，商务可能因此瘫痪，不能持续。

7、风险评估
a.威胁(Threat),是指可能对资产或组织造成损害的事故的潜在原因。

如病毒和黑客攻击,小偷偷盗等.
b.薄弱点(Vulnerability),是指资产或资产组中能被威胁利用的弱点。

如员工缺乏安全意识,口令简短易猜,操作系统本身有安全漏洞等.
关系：威胁是利用薄弱点而对资产或组织造成损害的.如无懈可击,有机可乘.
c.风险(Risk),即特定威胁事件发生的可能性与后果的结合。

特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害的潜在可能性及其影响大小.
经济代理人面对的随机状态可以用某种具体的概率值表示.这里的风险只表示结果的不确定性及发生的可能性大小.
d.风险评估(Risk Assessment),对信息和信息处理设施的威胁、影响(Impact)和薄弱点及三者发生的可能性评估.它是确认安全风险及其大小的过程,即利用适当的风险评估工具,确定资产风险等级和优先控制顺序,所以,风险评估也称为风险分析.
8、风险管理（判断、填空）
风险管理（Risk Management),以可接受的费用识别、控制、降低或消除可能影响信息系统安全风险的过程。

风险管理过程结构图
a.安全控制(Security Control)，降低安全风险的惯例、程序或机制。

b.剩余风险(Residual Risk)，实施安全控制后，剩余的安全风险。

c.适用性声明(Applicability Statement)，适用于组织需要的目标和控制的评述。

风险评估与管理的术语关系图
（其实，安全控制与薄弱点间、安全控制与资产间、安全风险与资产间、威胁与资产间均存在有直接或间接的关系）
（1）资产具有价值，并会受到威胁的潜在影响。

（2）薄弱点将资产暴露给威胁，威胁利用薄弱点对资产造成影响。

（3）威胁与薄弱点的增加导致安全风险的增加。

（4）安全风险的存在对组织的信息安全提出要求
（5）安全控制应满足安全要求。

（6）组织通过实施安全控制防范威胁，以降低安全风险。

9、风险评估过程
a.风险评估应考虑的因素
（1）信息资产及其价值
（2）对这些资产的威胁，以及他们发生的可能性
（3）薄弱点
（4）已有的安全控制措施
b.风险评估的基本步骤
（1）按照组织商务运作流程进行信息资产识别，并根据估价原则对资产进行估价（2）根据资产所处的环境进行威胁识别与评价
（3）对应每一威胁，对资产或组织存在的薄弱点进行识别与评价
（4）对已采取的安全控制进行确认
（5）建立风险测量的方法及风险等级评价原则，确定风险的大小与等级
c.进行风险评估时，应考虑的对应关系
风险评估过程图
资产、威胁和薄弱点对应关系图
资产、威胁和薄弱点对应关系：
1、每一项资产可能存在多个威胁
2、威胁的来源可能不只一个，应从人员（包括内部与外部）、环境（如自然灾害）、资产本身（如设备故障）等方面加以考虑
10、资产识别与评估
组织应列出与信息安全有关的资产清单,对每一项资产进行确认和适当的评估,资产识别时常应考虑：（1）数据与文档（2）书面文件（3）软件资产（4）实物资产（5）人员（6）服务11、信息资产的广义与狭义理解
资产估价是一个主观的过程，资产价值不是以资产的账面价格来衡量的，而是指其相对价值。

在对资产进行估价时，不仅要考虑资产的账面价格，更重要的是要考虑资产对于组织商务的重要性，即根据资产损失所引发的潜在的商务影响来决定。

建立一个资产的价值尺度(资产评估标准).一些信息资产的价值是有时效性的,如数据保密.新产品数据在产品面市之前的高度机密性.
采用精确的财务方式来给资产确定价值有时是很困难的,一般采用定性的方式来建立资产的价值或重要度,即按照事先确定的价值尺度将资产的价值划分为不同等级或说对资产赋值.从而可以确定需要保护的关键资产.
12、信息资产价值理解、价值时效性
13、威胁识别与评价
威胁发生的可能性分析：
确定威胁发生的可能性是风险评估的重要环节，组织应根据经验和（或）有关的统计数据来判断威胁发生的频率或者威胁发生的概率。

威胁发生的可能性受下列因素的影响：
（1）资产的吸引力，如金融信息、国防信息等
（2）资产转化成报酬的容易程度
（3）威胁的技术含量
（4）薄弱点被利用的难易程度
威胁发生的可能性大小（具体根据需要定，可能取大于1的值，也可能取小于1的值，但肯定不小于0）可以采取分级赋值的方法予以确定。

如将可能性分为三个等级：
非常可能=3；大概可能=2；不太可能=1
威胁事件发生的可能性大小与威胁事件发生的条件是密切相关的。

如消防管理好的部门发生火灾的可能性要比消防管理差的部门发生火灾的可能性小。

因此，具体环境下某一威胁发生的可能性应考虑具体资产的薄弱点对这一威胁发生可能性的社会均值予以修正。

14、薄弱点评价与已有控制措施的确认
A薄弱点的识别与评估
有关实物和环境安全方面的薄弱点
薄弱点利用薄弱点的威胁
对建筑、房屋和办公室实物访问控制故意破坏
的不充分或疏忽
对于建筑、门和窗缺乏物理保护盗窃
位于易受洪水影响的区域洪水
未被保护的储藏库盗窃
缺乏维护程序或维护作业指导维护错误
缺乏定期的设备更新计划存储媒体的老化
设备缺乏必要防护措施空气中的颗粒/灰尘
设备对温度变化敏感或缺乏空调设施极端温度(高温或低温)
设备易受电压变化的影响、不稳定的高压
输电网、缺少供电保护设施电压波动
可见，威胁可能是人为的、攻击的，也可能是环境的、自然的。

组织应对每一项需要保护的信息资产，找出每一种威胁所能利用的薄弱点，并对薄弱点的严重性进行评价，即对薄弱点被威胁利用的可能性P V进行评价，可以采用分级赋值的方法（同P T一样，具体大小根据需要定，可能取大于1的值，也可能取小于1的值，但肯定不小于0）。

如：非常可能=4；很可能=3；可能=2；不太可能=1；不可能=0
B对已有的安全控制进行确认
图2-5 控制措施与风险程度关系图
组织应将已采取的控制措施进行识别并对控制措施的有效性进行确认，继续保持有效的安全控制，以避免不必要的工作和费用，防止控制的重复实施。

对于那些确认为不适当的控制应该检查是否应被取消，或者用更合适的控制代替。

另外，应该注意，在风险评估之后选择的安全控制与现有的和计划的控制应保持一致。

安全控制可分为预防性控制措施和保护性措施（如商务持续性计划、商业保险等），预防性措施可以降低威胁发生的可能性和减少安全薄弱点，而保护性措施可以降低威胁发生所造成的影响。

15、风险评估
①风险测量方法—风险大小和等级评价原则
风险是威胁发生的可能性,薄弱点被威胁利用的可能性和威胁的潜在影响的函数:
R=R(PT,PV,I)
其中：R---资产受到某一威胁所拥有的风险
②风险测量方法事例：(不知道该如何整理!太多了!!!)
16、风险控制过程
风险控制途径：
降低风险途径①避免风险,也称规避风险,属去除威胁②转移风险③减少威胁④减少薄弱点⑤减少威胁可能的影响程度⑥探测有害事故，对其做出反应并恢复,属及时捕捉威胁
17、风险接受：信息系统绝对安全（即零风险）是不可能的.
组织在实施选择的控制后,总仍有残留的风险，称之为残留风险或残余风险或剩余风险。

造成残余风险的原因:可能是某些资产未被有意识保护所致,如假设的低风险;或者被提及的控制需要高费用而未采取应有的控制
残余风险应在可接受的范围内,即应满足:
残余风险Rr=原有风险Ro-控制△R
残余风险Rr≤可接受风险Rt
风险接受就是一个对残余风险进行确认和评价的过程:按照风险评估确定的风险测量方法对实施安全控制后的资产风险进行重新计算,以获得残余风险的大小,并将残余风险分为可接受或不可接受的风险.
风险是随时间而变化的，风险管理应是一个动态的管理过程，因此组织要动态地定期进行风险评估，甚至在以下情况进行临时评估,以便及时识别需要控制的风险并进行有效的控制：
⑴当组织新增信息资产时.
⑵当系统发生重大变更时.
⑶发生严重信息安全事故时.
⑷组织认为有必要时.
18、基本风险评估
基本的风险评估是指应用直接和简易的方法达到基本的安全水平，就能满足组织及其商业环境的所有要求。

适用范围：适用于商业运作不是非常复杂的组织，并且组织对信息处理和网络的依赖程度不高。

优点：（1）风险评估所需资源最少，简便易行
（2）同样或类似的控制能被许多信息安全管理体系所采用，不需要耗费很大的精力。

如果多个商业要求类似，并且在相同的环境中运作，这些控制可以提供一个经济有效的解决方案。

缺点：（1）如果安全水平被设置的太高，就可能需要过多的费用或控制过度；如果水平太低，对一些组织来说，可能会得不到充分的安全。

（由于方法是基本的，不细，较粗，因此，评
估结果可能也较粗，不够精确，有一定的出入）
（2）对管理相关的安全进行更改可能有困难。

如一个信息安全管理体系被升级，评估最初的控制是否仍然充分就有一定的困难。

19、详细风险评估
详细的风险评估是指对资产的详细识别和估价，以及那些对资产形成威胁和相关薄弱点水平的详细评估，在此基础上开展风险评估并随后被用于安全控制的识别和选择。

优点：
（1）能获得一个更精确的安全风险的认识，从而更为精确地识别反映组织安全要求的安全水平。

（2）可以从详细的风险评估中获得额外信息，使与组织更改相关的安全管理受益。

缺点：
（1）需要非常仔细制订被评估的信息系统范围内的商务环境、运作、信息和资产边界，需要管理者持续关注，因而需要花费相当的时间、精力和技术才能获得可行的结果。

（2）不能把一个系统的控制方案简单移植到另一个系统中，甚至是一个以为类似的系统中。

20、联合风险评估
联合评估方法就是首先使用基本的风险评估方法,识别信息安全管理体系范围内具有潜在的高风险或对商业运作来说极为关键的资产,然后根据基本的风险评估的结果,将信息安全管理体系范围内的资产分成二类:一类需要应用一个详细的风险评估方法以达到适当保护,另一类通过基本的评估方法选择的控制就可.
优点: 将基本和详细风险评估方法优点结合起来,既节省评估时间与精力,又能确保获得一个全面系统的评估结果,而且组织的资源与资金能够被应用在最能发挥作用的地方,具有高风险的信息系统能够被优先关注.
缺点: 如果在高风险内的信息系统的识别不正确,那么可能导致错误
的结果.
21、基线风险评估
基线风险评估是指组织根据自己的实际情况（所在行业、业务环境与性质等），对信息资产进行基线安全检查，即将信息资产中现有的安全措施与安全基线规定的措施进行比较，找出其中的差距，由此得出基本的安全要求，通过选择并实施标准的安全措施来消减和控制风险。

22、风险评估和管理方法的选择应考虑的因素
⑴商务环境
⑵商务性质和重要性
⑶对支持组织商务的信息系统的技术性和非技术性的依赖
⑷商务及其支持系统、应用软件和服务的复杂性
⑸商业伙伴和外部业务以及合同关系的数量
一个通用的经验规则:信息安全对组织及其商务越重要,一旦遭受威胁损害,损失就越多,就越需要人们对信息安全投入更多的时间和资源.
23、十大最佳安全控制惯例:安全方针、安全组织、资产分类、人员安全、实物与环境安全、通信与运作管理、访问控制、系统开发与维护、商务持续性管理和依从(或称符合性)。