分析安全风险 全文在线阅读

■

第1章安全设计简介■

第2章

创建网络安全计划■

第3章

确定网络安全威胁

■

第4章

分析安全风险■

第5章

创建物理资源安全

设计■

第6章创建计算机安全设计■

第7章

创建账户安全设计■

第8章

创建身份验证安全

设计创建数据安全设计创建数据传输安全设创建网络周边安全设

设计安全事件应对措

可接受使用策略的设网络管理策略的设计安全管理的运营框架

设计CHAP

、MS-CHAP

和CHAP

v2

中的■

第9章■

第10章计■

第11章计■

第12章施■附录A计■附录B■附录C■

附录DMS-网络安全设计身份验证■风险管理简介■创建风险管理计划第4章

分析安全风险风险管理简介4.1风险管理简介■风险管理要素■风险管理的重要性■需要保护的常见资产■资产分类■计算资产的价值■课堂练习:资产分类■定量分析使用真实的

财务数据举例：

网站收入=

$700,000/月风险管理是确定

、分析并管

理风险的流程■定性分析估算资产价值举例:网站的重要性=高风险管理计划风险管理要素4.1.1风险管理要素风险管理使你能够：•

指定安全风险优先级•

确定适度的安全性•

验证成本的合理性•

文档化所有的潜在安全事件•

创建衡量标准风险管理的重要性4.1.2风险管理的重要性类型举例硬件

·台式计算机和便携式计算机

·路由器和交换机

·备份介质

软件

·软件安装光盘·操作系统映像

·客户软件代码

文件·安全策略和过程·网络示意图和构建计划数据·商业机密·员工信息·客户信息需要保护的常见资产4.1.3需要保护的常见资产公共私人机密绝密类型举例受到威胁的对象公共·公共网站

·新闻发布 ·信任

·销售

私人·内部网站·与合作伙伴之间

的电子邮件

·私人信息·合作伙伴机密·工资信息·客户信息·收入·内部操作客户信息网站商业机密内部网•资产分类4.1.4资产分类为了确定资产的价值

，

你需要：

确定资产对企业的总价值

计算资产损失的直接财务影响

计算资产损失的间接业务影响价值x暴露系数

=$12,000广告+客户流失=$27,520每年$17,520,000电子商务网

站每年6小时=.000685%直接影响间接影响计算资产的价值资产价值资产暴露系数4.1.5计算资产的价值举例阅读资产列表把各项资产分为公共

、私人

、机密

、绝密等类别全班一起讨论答案课堂练习资产分类4.1.6课堂练习资产分类123匹配■风险管理简介■创建风险管理计划第4章

分析安全风险■MOF风险管理流程简介■确定资产风险■分析资产风险■为风险管理作计划■跟踪风险管理计划的变更■风险管理控制■创建风险管理计划的指导原则■课堂练习:分析风险管理计划创建风险管理计划4

.2

创建风险管理计划MOF风险管理流程简介4.2.1MOF风险管理流程简介3计划5控制4跟踪1确定2分析风险声明对各项风险：对威胁源和潜在故障模式进行分类

创建风险声明举例……导致收入减少、信任度降低和负面公众影响如果一个蠕虫病毒感染了我们的电子商务网站…………重建网络服务器需要6个小时,在这段时间里,客户不能进行网上购物……确定风险声明的组

成部分风险声明财务和业务影响条件操作结果确定资产风险4

.2

.2确定资产风险1确定定义举例1.单一损失预期单个风险事件的损失总额财务影响：$12,000

+业务影响：$27,520=$39,5202.年度发生率估计此风险每年发生的

次数一年两次3.年度损失预期此风险每年可造成的财务损失总额损失总额：$39,520x2

=

79

040估计每年某风险发生的成本

基于此结果创建风险管理策略分析资产风险4.2.3分析资产风险2分析$

,针对各风险：创建风险管理策略

创建应急计划和触发器使用防病毒软件让外部经销商管理网站将网站从Internet上移走预先改变资产对风险的暴

露程度将一部分风险责任转移给另一方消除风险源,或使资产不再暴露3计划不主动采取任何行动承认风险存在为风险管理作计划举例定义降低转移规避接受为风险管理作计划策略4.2.4建立流程以监测：风险条件

、风险发生的概率和影响降低风险的措施是否有效应急计划和触发器是否有效发生重大安全事件后审核计划举例计划每季度审核风险管理计划不间断地监测网站的应用程序跟踪风险管理计划的变4.5跟踪不定时监测跟踪风险管理计划的变

更监测时间模式周期性监测实时监测4建立控制

，

更新以下内容：•

风险声明•

风险分析•

管理策略和应急计划•

安全监测流程控制风险管理控制4

.2

.6风险管理控制5指导原则: 获取上级管理层的批准和支持 确定风险管理计划的范围 及时实施风险管理计划 发生变化时，更新风险管理计划 使用风险管理计划来指定负责人并分配资源创建风险管理计划的指导原则则4.2.7创建风险管理计划的指导原1

阅读风险声明2

确定最合适的风险管理策略3