网络安全设计第 1章 安全设计简介第 2章 创建网络安全计划第 3章 确定网络安全威胁第 4章 分析安全风险第 5章 创建物理资源安全设计第 6章 创建计算机安全设计第 7章 创建账户安全设计第 8章 创建身份验证安全设计第 9章 创建数据安全设计第 10章 创建数据传输安全设计第 11章 创建网络周边安全设计第 12章 设计安全事件应对措施附录 A 可接受使用策略的设计附录 B 网络管理策略的设计附录 C 安全管理的运营框架设计附录 D CHAP,MS-CHAP 和 MS-
CHAP v2 中的身份验证第 4章 分析安全风险风险管理简介创建风险管理计划风险管理简介风险管理要素风险管理的重要性需要保护的常见资产资产分类计算资产的价值课堂练习:资产分类
4.1 风险管理简介风险管理要素定性分析估算资产价值举例:网站的重要性 =高定量分析使用真实的财务数据举例:网站收入 =
$700,000/月风险管理计划 风险管理是确定、分析并管理风险的流程
4.1.1 风险管理要素风险管理的重要性风险管理使你能够:
指定安全风险优先级
确定适度的安全性
验证成本的合理性
文档化所有的潜在安全事件
创建衡量标准
4.1.2 风险管理的重要性需要保护的常见资产类型 举例硬件
台式计算机和便携式计算机
路由器和交换机
备份介质软件
软件安装光盘
操作系统映像
客户软件代码文件
安全策略和过程
网络示意图和构建计划数据
商业机密
员工信息
客户信息
4.1.3 需要保护的常见资产资产分类绝密机密私人公共网站客户信息商业机密内部网类型 举例 受到威胁的对象公共?公共网站?新闻发布?信任?销售私人
内部网站
与合作伙伴之间的电子邮件
私人信息
合作伙伴机密?工资信息?客户信息?收入?内部操作绝密?商业机密?正在开发的产品?知识产权?严密保管的业务计划
4.1.4 资产分类确定资产对企业的总价值计算资产损失的直接财务影响计算资产损失的间接业务影响计算资产的价值为了确定资产的价值,你需要:
资产 资产价值 暴露系数 直接影响 间接影响电子商务网站每年
$17,520,000
每年 6小时 =
.000685%
价值 x暴露系数 =
$12,000
广告 +客户流失
= $27,520
举例
4.1.5 计算资产的价值课堂练习 资产分类匹配阅读资产列表把各项资产分为公共、私人、机密、绝密等类别全班一起讨论答案
1
2
3
4.1.6 课堂练习 资产分类第 4章 分析安全风险风险管理简介创建风险管理计划创建风险管理计划
MOF 风险管理流程简介确定资产风险分析资产风险为风险管理作计划跟踪风险管理计划的变更风险管理控制创建风险管理计划的指导原则课堂练习:分析风险管理计划
4.2 创建风险管理计划
MOF 风险管理流程简介跟踪计划分析控制确定
1 2
35
4
风险声明
4.2.1 MOF 风险管理流程简介对威胁源和潜在故障模式进行分类创建风险声明确定资产风险风险声明的组成部分 举例条件 如果一个蠕虫病毒感染了我们的电子商务网站……
操作结果 ……重建网络服务器需要 6个小时,在这段时间里,客户不能进行网上购物 ……
财务和业务影响 ……导致收入减少、信任度降低和负面公众影响确定对各项风险:
风险声明
1
4.2.2 确定资产风险分析资产风险确定 定义 举例
1,单一损失预期 单个风险事件的损失总额财务影响,$12,000
+ 业务影响,$27,520
= $39,520
2,年度发生率 估计此风险每年发生的次数 一年两次
3,年度损失预期 此风险每年可造成的财务损失总额损失总额,$39,520
x 2
= $79,040
估计每年某风险发生的成本基于此结果创建风险管理策略分析
2
4.2.3 分析资产风险创建风险管理策略创建应急计划和触发器为风险管理作计划策略 定义 举例接受 承认风险存在 不主动采取任何行动降低 预先 改变资产对风险的暴露程度 使用防病毒软件转移 将一部分风险责任转移给另一方 让外部经销商管理网站规避 消除风险源,或使资产不再暴露 将网站从 Internet 上移走计划针对各风险:
3
4.2.4 为风险管理作计划风险条件、风险发生的概率和影响降低风险的措施是否有效应急计划和触发器是否有效跟踪风险管理计划的变更监测时间模式 举例实时监测 不间断地监测网站的应用程序周期性监测 计划每季度审核风险管理计划不定时监测 发生重大安全事件后审核计划建立流程以监测,跟踪 4
4.2.5 跟踪风险管理计划的变更风险管理控制控制
5
建立控制,更新以下内容:
风险声明
风险分析
管理策略和应急计划
安全监测流程
4.2.6 风险管理控制获取上级管理层的批准和支持确定风险管理计划的范围及时实施风险管理计划发生变化时,更新风险管理计划使用风险管理计划来指定负责人并分配资源创建风险管理计划的指导原则指导原则:
4.2.7 创建风险管理计划的指导原则课堂练习 分析风险管理计划场景阅读风险声明确定最合适的风险管理策略全班一起讨论答案
1
2
3
4.2.8 课堂练习 分析风险管理计划实验 A 分析安全风险 实验 A 分析安全风险回顾学习完本章后,将能够:
掌握风险管理的目标和运作过程拟定风险管理计划要素
CHAP v2 中的身份验证第 4章 分析安全风险风险管理简介创建风险管理计划风险管理简介风险管理要素风险管理的重要性需要保护的常见资产资产分类计算资产的价值课堂练习:资产分类
4.1 风险管理简介风险管理要素定性分析估算资产价值举例:网站的重要性 =高定量分析使用真实的财务数据举例:网站收入 =
$700,000/月风险管理计划 风险管理是确定、分析并管理风险的流程
4.1.1 风险管理要素风险管理的重要性风险管理使你能够:
指定安全风险优先级
确定适度的安全性
验证成本的合理性
文档化所有的潜在安全事件
创建衡量标准
4.1.2 风险管理的重要性需要保护的常见资产类型 举例硬件
台式计算机和便携式计算机
路由器和交换机
备份介质软件
软件安装光盘
操作系统映像
客户软件代码文件
安全策略和过程
网络示意图和构建计划数据
商业机密
员工信息
客户信息
4.1.3 需要保护的常见资产资产分类绝密机密私人公共网站客户信息商业机密内部网类型 举例 受到威胁的对象公共?公共网站?新闻发布?信任?销售私人
内部网站
与合作伙伴之间的电子邮件
私人信息
合作伙伴机密?工资信息?客户信息?收入?内部操作绝密?商业机密?正在开发的产品?知识产权?严密保管的业务计划
4.1.4 资产分类确定资产对企业的总价值计算资产损失的直接财务影响计算资产损失的间接业务影响计算资产的价值为了确定资产的价值,你需要:
资产 资产价值 暴露系数 直接影响 间接影响电子商务网站每年
$17,520,000
每年 6小时 =
.000685%
价值 x暴露系数 =
$12,000
广告 +客户流失
= $27,520
举例
4.1.5 计算资产的价值课堂练习 资产分类匹配阅读资产列表把各项资产分为公共、私人、机密、绝密等类别全班一起讨论答案
1
2
3
4.1.6 课堂练习 资产分类第 4章 分析安全风险风险管理简介创建风险管理计划创建风险管理计划
MOF 风险管理流程简介确定资产风险分析资产风险为风险管理作计划跟踪风险管理计划的变更风险管理控制创建风险管理计划的指导原则课堂练习:分析风险管理计划
4.2 创建风险管理计划
MOF 风险管理流程简介跟踪计划分析控制确定
1 2
35
4
风险声明
4.2.1 MOF 风险管理流程简介对威胁源和潜在故障模式进行分类创建风险声明确定资产风险风险声明的组成部分 举例条件 如果一个蠕虫病毒感染了我们的电子商务网站……
操作结果 ……重建网络服务器需要 6个小时,在这段时间里,客户不能进行网上购物 ……
财务和业务影响 ……导致收入减少、信任度降低和负面公众影响确定对各项风险:
风险声明
1
4.2.2 确定资产风险分析资产风险确定 定义 举例
1,单一损失预期 单个风险事件的损失总额财务影响,$12,000
+ 业务影响,$27,520
= $39,520
2,年度发生率 估计此风险每年发生的次数 一年两次
3,年度损失预期 此风险每年可造成的财务损失总额损失总额,$39,520
x 2
= $79,040
估计每年某风险发生的成本基于此结果创建风险管理策略分析
2
4.2.3 分析资产风险创建风险管理策略创建应急计划和触发器为风险管理作计划策略 定义 举例接受 承认风险存在 不主动采取任何行动降低 预先 改变资产对风险的暴露程度 使用防病毒软件转移 将一部分风险责任转移给另一方 让外部经销商管理网站规避 消除风险源,或使资产不再暴露 将网站从 Internet 上移走计划针对各风险:
3
4.2.4 为风险管理作计划风险条件、风险发生的概率和影响降低风险的措施是否有效应急计划和触发器是否有效跟踪风险管理计划的变更监测时间模式 举例实时监测 不间断地监测网站的应用程序周期性监测 计划每季度审核风险管理计划不定时监测 发生重大安全事件后审核计划建立流程以监测,跟踪 4
4.2.5 跟踪风险管理计划的变更风险管理控制控制
5
建立控制,更新以下内容:
风险声明
风险分析
管理策略和应急计划
安全监测流程
4.2.6 风险管理控制获取上级管理层的批准和支持确定风险管理计划的范围及时实施风险管理计划发生变化时,更新风险管理计划使用风险管理计划来指定负责人并分配资源创建风险管理计划的指导原则指导原则:
4.2.7 创建风险管理计划的指导原则课堂练习 分析风险管理计划场景阅读风险声明确定最合适的风险管理策略全班一起讨论答案
1
2
3
4.2.8 课堂练习 分析风险管理计划实验 A 分析安全风险 实验 A 分析安全风险回顾学习完本章后,将能够:
掌握风险管理的目标和运作过程拟定风险管理计划要素
