資源描述:
《《信息安全風險評估》ppt課件》由會員上傳分享���,免費在線閱讀�,更多相關(guān)內(nèi)容在教育資源-天天文庫。
1�、信息安全風險評估中國科學院研究生院信息安全國家重點實驗室趙戰(zhàn)生2004年7月3日內(nèi)容概要國信辦下達的研究任務(wù)及研究進展國際上風險評估的發(fā)展及現(xiàn)狀我國信息系統(tǒng)安全風險評估的現(xiàn)狀和問題什么是信息安全風險評估為什么要進行風險評估怎樣進行風險評估國信辦下達的研究任務(wù)及研究進展2003年7月22日,國務(wù)院信息化領(lǐng)導小組第三次會議專題討論了《關(guān)于加強信息安全保障工作的意見〉�����,9月中央辦公廳���、國務(wù)院辦公廳轉(zhuǎn)發(fā)了《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見〉(2003[27]號文件)。文件要求采取必要措施進行信息安全風險的防范��。7月23日國信辦安全組決定委托國家信息中心組建成立“信息安全風
2�、險評估課題組”,對信息安全風險評估工作的現(xiàn)狀進行全面深入了解����,提出我國開展信息安全風險評估的對策和辦法,為下一步信息安全的建設(shè)和管理做準備���。國家信息中心根據(jù)國務(wù)院信息辦安全組的要求,迅速成立了以國家信息中心公共技術(shù)服務(wù)部主任寧家駿為組長,包括崔書昆�、曲成義����、趙戰(zhàn)生����、吳亞非��、左曉棟博士��、范紅博士和朱建勇博士組成�,賈穎禾為國信辦聯(lián)絡(luò)員的“信息安全風險評估”起草組,開展信息安全風險評估籌備工作。后根據(jù)工作需要又吸收杜虹�、景乾元兩位同志參加。課題組在廣東����、上海、北京共訪問了50多個單位,召開了5次座談會����。研究與起草階段開了7次研討會。經(jīng)過四個多月的努力,完成了:信息安全風險評估調(diào)查報告信
3��、息安全風險評估研究報告關(guān)于信息安全風險評估工作的意見三份稿約十萬字提交的《信息安全風險評估研究報告》在多次征求意見和修改后��,作為全國信息安全保障工作會議下發(fā)的文件附件��,在2004年1月9日發(fā)放給會議參加者。研究報告結(jié)構(gòu)一��、前言二����、信息系統(tǒng)安全風險評估的概念三、風險評估的意義和作用四��、信息安全風險評估的目標和目的五�、信息安全風險評估的基本要素六�����、風險評估對信息系統(tǒng)生命周期的支持七���、風險評估的一般工作流程八�、當前存在的風險評估理論和工具九�、我國信息系統(tǒng)安全風險評估的現(xiàn)狀和問題十、信息安全風險評估工作的原則十一�����、等級保護��、認證認可、風險管理��、風險評估的關(guān)系十二�、自評估、強制性檢查評估與
4�����、委托評估十三��、信息系統(tǒng)安全風險評估的角色和責任十四���、信息安全風險評估的任務(wù)和措施附件1����、國際信息安全風險評估的發(fā)展和現(xiàn)狀附件2���、風險評估工作流程詳述附件2����、風險控制及工作流程附件4�����、美國對認證認可概念的看法附件5、美國信息系統(tǒng)安全認證認可工作概述附件6�����、對美國OMB主任備忘錄的總結(jié)附件7�����、美國認證認可計劃中相關(guān)標準和指南概況2004年���,課題組繼續(xù)進行《關(guān)于信息安全風險評估工作的意見》的研究起草2004年國信辦安全組要求在已有工作基礎(chǔ)上開展風險評估相關(guān)標準的研究制定����,標準包括:風險評估框架風險評估指南信息安全風險管理指南相關(guān)標準已經(jīng)形成初稿��,正在進一步研究修改中預期在近期完成“工作
5�����、意見”和“相關(guān)標準”��,并于下半年開展信息安全風險評估的試點工作�����。國際上風險評估�的發(fā)展及現(xiàn)狀美國是國際上對信息安全風險評估研究歷史最長和工作最豐富的國家����。隨著信息化應(yīng)用需求的牽引,安全事件的驅(qū)動和信息安全技術(shù)����、信息安全管理概念的發(fā)展深化,他們對信息安全風險評估的認識也逐步加深���。從最初關(guān)注計算機保密發(fā)展到目前關(guān)注信息系統(tǒng)基礎(chǔ)設(shè)施的信息保障��,大體經(jīng)歷了以下三個階段:第一個階段(60-70年代)以計算機為對象的信息保密階段背景:計算機開始應(yīng)用于政府軍隊�。標志性行動:1967年11月���,美國國防科學委員會委托蘭德公司�、邁特公司(MITIE)及其它和國防工業(yè)有關(guān)的一些公司�����,開始研究計算機安全
6�����、問題。到1970年2月���,經(jīng)過將近兩年半的工作���,主要對當時的大型機、遠程終端進行了研究�����,分析�。作了第一次比較大規(guī)模的風險評估。特點:僅重點針對了計算機系統(tǒng)的保密性問題提出要求�,對安全的評估只限于保密性。第二個階段(80-90年代)以計算機和網(wǎng)絡(luò)為對象的信息安全保護階段背景:計算機系統(tǒng)形成了網(wǎng)絡(luò)化的應(yīng)用����。標志性行動:出現(xiàn)了初期的針對美國軍方的計算機黑客行為�,1988年1989年,美國的計算機網(wǎng)絡(luò)出現(xiàn)了一系列重大事件��。美國的審計總署(GAO)對美國國內(nèi)主要由國防部使用的計算機網(wǎng)絡(luò)進行了大規(guī)模的持續(xù)評估���。特點:逐步認識到了更多的信息安全屬性(保密性�、完整性、可用性)����,從關(guān)注操作系統(tǒng)安全發(fā)
7、展到關(guān)注操作系統(tǒng)����、網(wǎng)絡(luò)和數(shù)據(jù)庫。試圖通過對安全產(chǎn)品的質(zhì)量保證和安全評測來保障系統(tǒng)安全�����,但實際上僅僅奠定了安全產(chǎn)品測評認證的基礎(chǔ)和工作程序��。第三個階段(90年代末��,21世紀初)以信息系統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施為對象的信息保障階段背景:計算機網(wǎng)絡(luò)系統(tǒng)成為關(guān)鍵基礎(chǔ)設(shè)施的核心����。2000年前后,由于國際范圍內(nèi)出現(xiàn)了大規(guī)模黑客攻擊��,以及信息戰(zhàn)的理論逐步走向成熟���,信息攻防成為戰(zhàn)爭手段和國家綜合利用的一種方式�����,且美國的軍���、政���、經(jīng)濟和社會活動對信息基礎(chǔ)設(shè)施的依賴程度達到了空前的高度,迫使美國又開始了對信息系
