绝对安全的网络和计算机都不存在。只 有那些锁在一间孤立得房间里、没有任 何人使用、没有与外界网络连接的计算 机,才可以被认为是安全的。显然,如 此“安全”的计算机没有存在的必要 只要计算机被使用和被接入 Internet, 就注定是不安全的
⚫ 绝对安全的网络和计算机都不存在。只 有那些锁在一间孤立得房间里、没有任 何人使用、没有与外界网络连接的计算 机,才可以被认为是安全的。显然,如 此“安全”的计算机没有存在的必要。 只要计算机被使用和被接入Internet,它 就注定是不安全的
3.4.1风险分析与安全规划 ●计算机安全风险分析是一个过程,由此来认识 与评价计算机系统被攻击的风险以及数据、时 间和人时的损失与防止这些损失的代价的比例 进行这一分析过程的目的不仅在于确定计算机 系统的安全强度并且能够指出系统安全如何改 进,而且有助于更好地理解一个系统和它的漏 洞缺陷。在构建一个网络信息系统时,首先应 该对该系统运行的内部与外部环境存在的威胁 与风险进行评估,并且要针对各种威胁采取各 种适当措施
3.4.1 风险分析与安全规划 ⚫ 计算机安全风险分析是一个过程,由此来认识 与评价计算机系统被攻击的风险以及数据、时 间和人时的损失与防止这些损失的代价的比例。 进行这一分析过程的目的不仅在于确定计算机 系统的安全强度并且能够指出系统安全如何改 进,而且有助于更好地理解一个系统和它的漏 洞缺陷。在构建一个网络信息系统时,首先应 该对该系统运行的内部与外部环境存在的威胁 与风险进行评估,并且要针对各种威胁采取各 种适当措施
问题与结果 ●风险评估的目标就是要找出被评估对象 可能受到的各种安全威胁,和由风险带 来的各种威胁。通过风险评估需要回答 以下问题: ●1、系统中的信息可能会受到哪些威胁? 2、如果有威胁会发生,可能产生的最坏 结果是什么?其单次损失值是多少?
一、问题与结果 ⚫ 风险评估的目标就是要找出被评估对象 可能受到的各种安全威胁,和由风险带 来的各种威胁。通过风险评估需要回答 以下问题: ⚫ 1、系统中的信息可能会受到哪些威胁? ⚫ 2、如果有威胁会发生,可能产生的最坏 结果是什么?其单次损失值是多少?
3、这种威胁发生的频率是多少? °4、上述3个问题的答案的肯定性有多大? ●5、对这些威胁可以采取哪些措施消除 减轻或转移风险? 6、采取这些措施的成本是多少? 7、产生的效益有多大?
⚫ 3、 这种威胁发生的频率是多少? ⚫ 4、 上述3个问题的答案的肯定性有多大? ⚫ 5、 对这些威胁可以采取哪些措施消除、 减轻或转移风险? ⚫ 6、 采取这些措施的成本是多少? ⚫ 7、产生的效益有多大?
风险评估后所能够获得的信息: 1、精确地确定一个系统中的敏感部分。 ●2、确定对系统的威胁 ●3、确定特定系统的脆弱性。 ●4、确定可能的损失。 5、确定损失发生的概率。 ●6、得出防止损失的有效对策。 ●7、确定可能的安全措施。 8、实现一个良好性能价格比的安全系统
风险评估后所能够获得的信息: 1、精确地确定一个系统中的敏感部分。 ● 2、确定对系统的威胁。 ● 3、确定特定系统的脆弱性。 ● 4、确定可能的损失。 ● 5、确定损失发生的概率。 ● 6、得出防止损失的有效对策。 ● 7、确定可能的安全措施。 8、实现一个良好性能价格比的安全系统