信息安全风险评估技术简介[86页].pptVIP

信息安全风险评估技术简介 ; 提 纲;加强信息安全保障工作是当前形势的需要;我国信息安全问题的突出表现;环境和背景;我国面临的信息安全问题的性质;病毒等网络欺诈行为导致全球经济损失惊人;从鸩酒到慢药：“混合性威胁”的时代已经到来;; 提 纲;二、信息化风险及风险管理研究;2.1 信息化风险的定义;2.2 信息安全基本属性;2.3 信息化风险的主要特征 ;信息安全范畴;2.4 信息化风险的内在原因 ;第一，自然灾害； 第二，误操作和安全生产事故； 第三，病毒、蠕虫以及网络攻击； 第四，由于信任体系不完善，借助信息化手段进行欺诈； 第五，因内部因素而造成的信息、数据的修改和丢失和内部泄密； ； 第六，因外部因素造成信息、数据的泄露、篡改和丢失； 第七，安全防范措施不到位的高端技术。;2.6我国信息安全风险的生成机理 ;第二，领导与组织能力不到位，统筹协调不力 领导对于风险管理的重视不足，忽视信息化项目的风险问题； 信息化目标的错误设定，片面追求某些指标，忽视质量； 信息孤岛问题以及跨部门之信息化进程的协调问题； 信息安全总体设计不到位； 项目建设规划、评估和监理存在缺位和不足;第三，信息化管理的能力差，管理体系不成熟。 （1）对信息化管理的理念认识和关注不足； （2）管理基础（包括信息化建设中决策机制、信息透明和公开、实施过程的监督等）不完善； （3）缺乏信息化建设周期中质量控制和评估标准；;第四，安全子系统建设资金的预算和管理能力差 （1）对信息系统未作风险评估和分析，安全子系统建设投资预算缺乏科学依据 或过度保护 或保护不力； （2）总体资金支持不足； （3）信息安全投资的回报难以监控和评估。 ;第五，人力资源不足 （1）缺乏信息安全风险管理的人员 （2）缺乏具备信息安全管理能力和资格的人员； （3）培训滞后于项目，培训效果差。 ;第六，法规、标准与政策滞后于信息化发展 相关法制工作滞后于信息化建设需求； 首先，缺乏对信息化的全面立法支持，缺乏保障政府信息化的基本法律，如政府信息公开法、政府信息资源管理法。 其次，原有的一些法律已不能适应信息化时代的要求，如著作权法、专利法、刑法等，亟待修订。 再次，缺乏对信息安全风险的管理规范和技术标准。;第七，保护隐私，数据安全，技术管理方面的不足。 在泄露隐私方面： （1）不当授权他人或机构滥用用户信息； （2）未遵循法律或法规制定相应的隐私和记录管理政策。 在影响数据安全方面： （1）工作人员对安全因素和措施缺乏足够认知； （2）难以解决相关安全问题； （3）病毒或黑客攻击导致系统瘫痪； （4）由于一个主要系统瘫痪导致其它系统的失灵。; 提 纲;克服安全“亚健康”的必由之路;居安思危，思则有备;风险评估的理念;风险评估是一种方法和依据;信息安全风险评估的概念;对风险评估总体要求的理解;风险管理贯穿于信息系统生命周期的整个过程;美国NIST提出的信息系统安全框架 ;风险评估的过程;;信息系统安全评估体系的构成 ;信息安全风险分析的基本要素;资产识别;资产识别;资产分类;威胁识别;脆弱性识别;风险识别;不打无准备之仗—做好准备;风险评估的准备;风险评估依据;风险评估原则;Recommendations;风险计算模型;风险结果的判定;风险评估结果纪录;信息安全风险评估基本方法;技术评估和整体评估;定性评估和定量评估;一种定量风险???估方法;基于知识的评估和基于模型的评估;系统安全风险动态分析与评估方法;典型的风险评估方法;典型的风险评估方法（2）;典型的风险评估方法（3）;典型的风险评估方法（4）;信息安全风险评估基础环境的准备; 提 纲;风险评估尚需探索、贵在实践;试点工作目的;选择试点单位;试点工作与标准验证;收获和体会;试点工作技术上特点;试点工作出现了一批成果;试点工作出现了一批成果（续）;典型方法之一：计算系统综合风险;典型方法之一：计算系统综合风险（续）;典型方法之二：差距分析;构建差距分析法模型 ;差距分析法的实施路径;典型方法之三：量化风险;典型方法之三：量化风险（续）;典型方法之四：面向关键信息资产的评估方法 （续）;多级安全服务势在必行;试点工作发现的问题;建设独立自主、符合国际惯例的风险评估技术支撑体系;安全测试评估工具、平台与环境;下一步建议;下一步建议（续）;限于水平，可能还有许多不妥之处，欢迎批评指正!