1. 風險、信息安全風險的概念
風險:指事態的概率及其結果的組合
信息安全風險:指人為或自然的威脅利用信息系統及其管理體系中存在的脆弱性導致安全事件的發送及其組織造成的影響。(例如:棱鏡門事件)
2. 風險的構成
包括五個方面:起源(威脅源)、方式(威脅行為)、途徑(脆弱性)、受體(資產)和后果(影響)
3. 風險相關術語
資產:任何對組織有價值的東西,是要保護的對象,以多種形式存在(多種分類方法):
①物理:計算設備、網絡設備和存儲介質等
②邏輯:體系結構、通信協議、計算程序和數據文件等
③硬件 ④軟件
⑤有形、無形:品牌、名譽等
⑥靜態:設施、規程等
⑦動態:人員和過程、技術和管理等。威脅:可能導致對系統或組織危害的不希望事故潛在起因,是引起風險的外因。威脅源采取適當的威脅方式才可能引發風險。
常見的威脅源:操作失誤、濫用授權、行為抵賴、身份假冒、口令攻擊、密鑰分析、漏洞利用、拒絕服務、竊取數據、物理破壞、社會工程等。脆弱性:可能被威脅所利用的資產或若干資產的薄弱環節,是造成風險的內因。脆弱性本身不對資產構成危害,會被威脅源利用,從而對信息資產造成危害
比如:系統程序代碼缺陷、系統安全配置錯誤、系統操作流程有缺陷、維護人員安全意識不足。可能性:某件事發生的機會,代表威脅源利用脆弱性造成不良后果的機會
4. 風險的概念
風險:威脅源采用某種威脅方式利用脆弱性造成不良后果的可能性
即威脅源采取威脅方式利用脆弱性造成風險。
5. 信息安全審計
是依據有關信息安全技術與管理標準,對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行評價的過程。
是揭示信息安全風險的最佳手段,改進信息安全現狀的有效途徑,滿足信息安全合規要求的有效方式。
