金融信息安全- 信息风险李改成主要内容 信息风险模型 金融信息风险识别 定性评估 分级测量 定量方法 风险评估报告 风险处置信息风险模型 ISO13335 信息风险要素及其关系 资产 威胁 脆弱性 风险信息风险模型ISO13335中分析了风险资产 资产是对组织具有价值的信息或资源,是安全策略保护的对象。 资产价值 资产的重要程度或敏感程度的表征。 资产的属性 进行资产识别的主要内容。 信息资产的构成包括有形资产和无形财产。 从成本和收益两个角度考虑资产的价值 获取、开发、维护和保护该资产所需的成本 该资产对所有者、用户和竞争对手所具有的价值: 该资产不可用情况下所造成的损失 考察信息资产,不能只停留在静态的一个点或者一个层面上。威胁 威胁是一种可能导致资产对象出现安全问题的活动或者能力,可能引起对我们的系统、组织和财富的不良影响。 威胁作用形式 对信息系统直接或间接的攻击,在机密性、完整性或可用性等方面造成损害; 也可能是偶发的或蓄意的事件。 威胁动机 安全学家Shirey 泄露 破坏 篡夺 欺骗 威胁来源威胁脆弱性 脆弱性就是存在于系统的各方面,可能被威胁所利用的资产或若干资产的弱点
