课题A:分析组织风险
风险管理
在信息管理领域中,风险会以许多不同的形式展现出来。如果不能正确的管理风险,就是可能引起中药资产的泄露,篡改,丢失,破坏或干扰。风险管理(Risk management)是一种周期性过程,包括四个阶段:
- 评估:确定并评估系统中存在的风险。
- 分析:分析风险对系统产生的潜在影响。
- 相应:规划如何响应风险的策略。
- 缓解:缓解风险对未来安全造成的不良影响。
威胁、漏洞、风险的关系与不同:漏洞是指安全策略中的缺陷或弱点;威胁是指可能会利用漏洞的实体;风险是指如果威胁确实利用漏洞,可能造成的损失,危害或破坏。
风险分析的阶段
确定如何保护计算机网络,计算机安装和信息时,风险分析(risk analysis)这一安全过程能够评估可能影响整个组织的风险危害。
风险分析过程中有六个阶段:
- 资产确定
- 漏洞确定
- 威胁评估
- 可能性量化
- 影响分析
- 应对措施的确定
威胁类型的分类
根据安全威胁的来源,通常被分为自然,人为或系统威胁。
风险分析的方式:定性、定量、半定量。
风险计算
风险计算侧重于研究财务和运营损失的影响,并在组织中寻找威胁利用的指标。
ALE(年度损失预期)=SLE(单一损失预期)*ARO(年发生率)
风险响应的技巧
一旦确定了一项风险,就能制定响应策略来确定合适的应对措施。甚至可以结合多种策略来完成一次响应。四中常见的响应如下:
- 接受:这表示如果风险真是发生,承认并接受风险及其带来的后果。但接受并不代表让系统完全地暴露在漏洞之下,而是意识到涉及的风险不能完全避免,或是缓解或避免的成本过高。
- 转移:将风险的责任分配给其他机构,或第三方,如保险公司。
- 避免:通过消除风险的来源彻底消除风险。这种技术可能只需要结束出于风险之中的操作或实体,如关闭经常成为攻击目标的服务器。
- 缓解:这种技巧能防御可能的攻击并在潜在风险产生重大影响时实施。缓解措施可能以入侵检测系统等主动防御措施或备份处于风险中的数据等警示措施的形式出现。
风险缓解和控制类型
风险可以通过实施合理的安全控制进行缓解。控制类型有:
- 技术控制:应用软件硬件装置监控和防止计算机系统与服务中的威胁和攻击。
- 管理控制:应用相应流程监控组织安全策略的服从情况。这些控制专门用于控制制定区域的操作效率,并监控安全策略的服从度。
- 操作控制:用于保护日常业务操作,功能和活动所有方面的安全措施。
- 损失控制:也叫损害控制(damage control),这是用于保护关键资产不受侵害的安全措施。包括降低损失发生概率,以及降低发生损失时的严重程度。
变更管理
变更管理是一种批准并执行变更的系统性方法。以便确保信息技术服务达到最佳的安全性,稳定性和可用性。
课题B:分析风险的商业影响
业务影响分析
业务影响分析(bussiness impact analysis/BIA)是一种系统性活动,用于确定组织风险及其对持续的,任务关键型的业务与流程产生的影响。BIA包括对漏洞的评估,对风险及其影响的评测。
最大可承受停机时间
最大可承受停机时间(Maximum tolerable downtime/MTD)是指在不引起无法恢复的业务故障的前提下,可以承受的最长业务中断时间。
恢复点目标
恢复点目标(recovery point objective/PRO)是指组织能承受的丢失数据不可恢复的最长时间。
恢复时间目标
恢复时间目标(recovery time objective/RTO)是指事件发生后,恢复正常业务操作和活动的时间长度。
平均故障时间
平均故障时间(Mean time to failure/MTTF)是指设备或组件预计运行的平均时间。通常用于描述那些不可修复的设备或组件的可靠性,MTTF的计算方法为用总运行小时数除以故障数。
平均修复时间
平均修复时间(Mean time to repair/MTTR)是指设备或组件从事件或故障中恢复所需的平均时间。
平均故障间隔时间
平均故障间隔时间(Mean time between failures/MTBF)评估了设备或组件中发生故障的预计时间间隔。