信息安全风险评估[精选].pptVIP

信息安全风险评估 中国科学院研究生院 信息安全国家重点实验室 赵战生 2004年7月3日 内容概要 国信办下达的研究任务及研究进展 国际上风险评估的发展及现状 我国信息系统安全风险评估的现状和问题 什么是信息安全风险评估 为什么要进行风险评估 怎样进行风险评估 国信办下达的 研究任务 及研究进展 2003年7月22日，国务院信息化领导小组第三次会议专题讨论了《关于加强信息安全保障工作的意见〉，9月中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见〉（2003[27]号文件）。文件要求采取必要措施进行信息安全风险的防范。 7月23日国信办安全组决定委托国家信息中心组建成立“信息安全风险评估课题组”，对信息安全风险评估工作的现状进行全面深入了解，提出我国开展信息安全风险评估的对策和办法，为下一步信息安全的建设和管理做准备。 国家信息中心根据国务院信息办安全组的要求,迅速成立了以国家信息中心公共技术服务部主任宁家骏为组长,包括崔书昆、曲成义、赵战生、吴亚非、左晓栋博士、范红博士和朱建勇博士组成，贾颖禾为国信办联络员的“信息安全风险评估”起草组, 开展信息安全风险评估筹备工作。 后根据工作需要又吸收杜虹、景乾元两位同志参加。 课题组在广东、上海、北京共访问了50多个单位,召开了5 次座谈会。 研究与起草阶段开了7次研讨会。 经过四个多月的努力,完成了： 信息安全风险评估调查报告 信息安全风险评估研究报告 关于信息安全风险评估工作的意见 三份稿约十万字 提交的《信息安全风险评估研究报告》在多次征求意见和修改后，作为全国信息安全保障工作会议下发的文件附件，在2004年1月9日发放给会议参加者。 研究报告结构 一、前言 二、信息系统安全风险评估的概念 三、风险评估的意义和作用 四、信息安全风险评估的目标和目的 五、信息安全风险评估的基本要素 六、风险评估对信息系统生命周期的支持 七、风险评估的一般工作流程 八、当前存在的风险评估理论和工具 九、我国信息系统安全风险评估的现状和问题 十、信息安全风险评估工作的原则 十一、等级保护、认证认可、风险管理、风险评估的关系 十二、自评估、强制性检查评估与委托评估 十三、信息系统安全风险评估的角色和责任 十四、信息安全风险评估的任务和措施 附件1、国际信息安全风险评估的发展和现状 附件2、风险评估工作流程详述 附件2、风险控制及工作流程 附件4、美国对认证认可概念的看法 附件5、美国信息系统安全认证认可工作概述 附件6、对美国OMB主任备忘录的总结 附件7、美国认证认可计划中相关标准和指南概况 2004年，课题组继续进行《关于信息安全风险评估工作的意见》的研究起草 2004年国信办安全组要求在已有工作基础上开展风险评估相关标准的研究制定，标准包括： 风险评估框架 风险评估指南 信息安全风险管理指南 相关标准已经形成初稿，正在进一步研究修改中 预期在近期完成“工作意见”和“相关标准”，并于下半年开展信息安全风险评估的试点工作。 国际上风险评估的发展及现状 美国是国际上对信息安全风险评估研究历史最长和工作最丰富的国家。随着信息化应用需求的牵引，安全事件的驱动和信息安全技术、信息安全管理概念的发展深化，他们对信息安全风险评估的认识也逐步加深。从最初关注计算机保密发展到目前关注信息系统基础设施的信息保障，大体经历了以下三个阶段： 第一个阶段（60-70年代） 以计算机为对象的信息保密阶段 背景： 计算机开始应用于政府军队。 标志性行动： 1967年11月，美国国防科学委员会委托兰德公司、迈特公司（MITIE）及其它和国防工业有关的一些公司，开始研究计算机安全问题。到1970年2月，经过将近两年半的工作，主要对当时的大型机、远程终端进行了研究，分析。作了第一次比较大规模的风险评估。 特点： 仅重点针对了计算机系统的保密性问题提出要求，对安全的评估只限于保密性。 第二个阶段（80-90年代） 以计算机和网络为对象的信息安全保护阶段 背景： 计算机系统形成了网络化的应用。 标志性行动： 出现了初期的针对美国军方的计算机黑客行为，1988年1989年，美国的计算机网络出现了一系列重大事件。美国的审计总署（GAO）对美国国内主要由国防部使用的计算机网络进行了大规模的持续评估。 特点： 逐步认识到了更多的信息安全属性（保密性、完整性、可用性），从关注操作系统安全发展到关注操作系统、网络和数据库。试图通过对安全产品的质量保证和安全评测来保障系统安全，但实际上仅仅奠定了安全产品测评认证的基础和工作程序。 第三个阶段（90年代末，21世纪初） 以信息系统关键基础设施为对象的信息保障阶段