Web Security Notes 4

风险分析与应急响应

2020-11-27 11:36:45
0000-00-00 00:00:00
1504
本节完成时间:12月8日。最后更新:12月8日。

风险分析

1. 风险分析定义 P264

风险分析指依据国家有关标准对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行分析和评价的过程。

它要分析资产面临的威胁及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。

2. 风险计算 P265-267

必考计算

资产、威胁和脆弱性是风险的三个基本因素。

安全事件一旦发生对组织造成的影响称为“风险值”。

风险值的计算:

  • 安全事件的可能性L = 威胁发生频率T × 脆弱性严重程度V
  • 安全事件造成的损失F = 资产价值I × 脆弱性严重程度V
  • 风险值R = 安全事件的可能性L × 安全事件造成的损失F

例题见P267。

3. 残余风险 P270

在风险控制方案实施之后,我们对信息系统面临的风险现状进行了规避、转移和降低,但是不可能彻底消灭所有风险

需要确认参与风险的状况,在实施风险控制后,残余风险应降到可以接受的水平。

应急响应

应急响应,指组织为了应对突发/重大信息安全事件的发生所做的准备及在事件发生后所采取的措施。

应急响应计划,指组织为了应对突发/重大信息安全事件而编制的,对包括信息系统运行在内的业务运行进行维持或恢复的策略和规程。

1. 应急响应与风险评估 P283

应急响应和风险评估是一个有机的整体。

应急响应——短暂的突发性的、“战时”的

风险评估——长期的渐变的、“平时”的

二者都是常态性的

2. 应急响应计划 P283-284

应急响应的基础是计划的准备:由应急响应需求分析和应急响应策略确定,需求分析和策略的确定是建立在风险评估的基础之上,并围绕着组织的业务战略来展开的。

应急响应的依据是计划的编制:将这些需求和策略细化成应急响应的各项措施,也就是编制应急响应计划文档。

应急响应的核心是计划的实施:参与人员要按照计划进行培训、演练(实战)和更新。

计划内容:图11.2。

3. 应急响应计划的准备 P284

包括风险评估业务影响分析制定应急响应策略三部分内容。

4. 应急响应恢复目标 P284-285

包括恢复时间目标(RTO)恢复点目标(RPO)

RTO和RPO的确定是一个综合衡量各种因素的过程,包括业务重要性恢复难度恢复成本等因素。

5. 应急响应流程 P289

具体见图11.4。

  1. 事件通告(信息通报、信息上报、信息披露)
  2. 事件定级
  3. 应急启动
  4. 应急处置(恢复顺序、恢复任务、恢复流程)
  5. 后期处置(信息系统重建、应急响应总结/事故总结)

跳转到:PREV NEXT