1. 風(fēng)險、信息安全風(fēng)險的概念
風(fēng)險:指事態(tài)的概率及其結(jié)果的組合
信息安全風(fēng)險:指人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導(dǎo)致安全事件的發(fā)送及其組織造成的影響。(例如:棱鏡門事件)
2. 風(fēng)險的構(gòu)成
包括五個方面:起源(威脅源)、方式(威脅行為)、途徑(脆弱性)、受體(資產(chǎn))和后果(影響)
3. 風(fēng)險相關(guān)術(shù)語
資產(chǎn):任何對組織有價值的東西,是要保護(hù)的對象,以多種形式存在(多種分類方法):
①物理:計算設(shè)備、網(wǎng)絡(luò)設(shè)備和存儲介質(zhì)等
②邏輯:體系結(jié)構(gòu)、通信協(xié)議、計算程序和數(shù)據(jù)文件等
③硬件 ④軟件
⑤有形、無形:品牌、名譽(yù)等
⑥靜態(tài):設(shè)施、規(guī)程等
⑦動態(tài):人員和過程、技術(shù)和管理等。威脅:可能導(dǎo)致對系統(tǒng)或組織危害的不希望事故潛在起因,是引起風(fēng)險的外因。威脅源采取適當(dāng)?shù)耐{方式才可能引發(fā)風(fēng)險。
常見的威脅源:操作失誤、濫用授權(quán)、行為抵賴、身份假冒、口令攻擊、密鑰分析、漏洞利用、拒絕服務(wù)、竊取數(shù)據(jù)、物理破壞、社會工程等。脆弱性:可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的薄弱環(huán)節(jié),是造成風(fēng)險的內(nèi)因。脆弱性本身不對資產(chǎn)構(gòu)成危害,會被威脅源利用,從而對信息資產(chǎn)造成危害
比如:系統(tǒng)程序代碼缺陷、系統(tǒng)安全配置錯誤、系統(tǒng)操作流程有缺陷、維護(hù)人員安全意識不足。可能性:某件事發(fā)生的機(jī)會,代表威脅源利用脆弱性造成不良后果的機(jī)會
4. 風(fēng)險的概念
風(fēng)險:威脅源采用某種威脅方式利用脆弱性造成不良后果的可能性
即威脅源采取威脅方式利用脆弱性造成風(fēng)險。
5. 信息安全審計
是依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn),對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進(jìn)行評價的過程。
是揭示信息安全風(fēng)險的最佳手段,改進(jìn)信息安全現(xiàn)狀的有效途徑,滿足信息安全合規(guī)要求的有效方式。
