针对如何量化评估系统的信息安全状况这一问题,提出一种基于攻击树的工业控制系统信息安全风险评估方法。该方法首先运用攻击树对工业控制系统进行信息攻击建模,然后利用概率风险评估技术计算叶节点、根节点和各攻击序列发生的概率,结合攻击目标实现后所造成的损失即可计算得到根节点的风险值。案例分析的计算结果不仅表明了根节点和各攻击序列遭受信息攻击风险的概率大小,还揭示了系统攻击树中风险最大的攻击路径,证明该方法合理可行。该方法有助于风险管理者找到工业控制系统中的信息安全薄弱环节和最有可能被攻击者利用的攻击路径和方式,从而重点采取防御措施。
2021-05-16 16:39:57
920KB
1
深圳市某局信息安全风险评估报告
风险评估结论
1 评估工作概述
1.1评估范围
1.2评估组织
2 评估依据和标
3 资产识别
3.1资产识别内容和方法
3.2 重要资产的确定及三性赋值
4 威胁识别
5 脆弱性识别
5.1脆弱性识别内容及方法
5.2脆弱性识别结果
6 综合风险分析
6.1风险分析方法
6.2风险等级划分
6.3不可接受风险划分
6.4 风险分析结果
7 风险统计
8 不可接受风险处理计划
2021-05-15 17:36:38
923KB
1
本《实施指南》以国家标准GB/T 20984-2007《信息安全技术信息安全风险评估规范》为基础,结合目前国内外相关的标准与方法,详细介绍了风险评估的内涵、实施流程、操作要点、记录结果等内容,为各单位实施自评估、提高安全风险意识提供
帮助。
2021-05-15 17:34:38
565KB
1
完整英文电子版NIST 标准(800-30): Guide for Conducting Risk Assessments of Information Security Risk(信息安全风险的风险评估指南)。
本标准(800-30)的目的是为联邦信息系统和组织进行风险评估提供指导,扩大了本标准800-39的指导。在风险管理层次的所有三个层次上进行的风险评估,是整个风险管理过程的一部分--为高级领导/执行人员提供必要的信息,以确定适当的行动方案来应对已确定的风险。特别是,本文件为开展风险评估过程中的每一个步骤(即,准备评估、进行评估、沟通评估结果和维护评估)提供了指导,以及风险评估和其他组织风险管理过程如何相互补充和通报。特别出版物800-30还为各组织提供指导,以确定需要持续监测的具体风险因素,从而使各组织能够确定风险是否已增加到不可接受的水平。
2021-05-03 09:05:59
797KB
本文件为信息安全风险管理提供了指导方针,支持ISO/IEC 27001中规定的一般概念,旨在帮助基于风险管理方法的信息安全满意实现。本文件适用于所有类型的试图管理可能危及组织信息安全风险的组织(例如,商业企业、 政府机构、非营利组织)。
2021-04-06 18:00:12
8.69MB
1
风险评估概述、风险评估模型及流程、风险评估实施(资产识别与赋值、脆弱性评估、渗透测试、策略分析、安全审计、业务流程审计、网络架构评估、风险处置、安全加固)、风险计算、风险评估实施流程、具备项目流程分解等
2021-03-18 19:00:07
1.11MB