我国信息安全风险评估工作的现状与发展(PPT 65页).pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 组建‘中国信息安全风险评估论坛’ ,目前正在筹建中 “中国信息安全风险评估论坛”主页 中国信息安全风险评估论坛 信息安全风险评估培训 为了落实和推进国务院信息办的工作要求，更好的开展培训工作，国家信息中心信息安全研究与服务中心组织了《信息安全风险评估培训教材》的编写工作。该培训教材从国家政策、技术标准、技术方法、产品工具以及实施案例几个方面，详细描述信息安全风险评估工作的主要内容。 全书共四篇：信息安全风险评估理念、技术和方法、产品与工具以及评估案例；全书约24万字。 特点：深入浅出，实用为主；靠近实战，边学边用。 谢谢 * * * * * * * * * * * * * * * * * * * * * * * * * * * 为什么要做信息安全风险评估 第五，重视风险评估是信息化发达国家的重要经验。早在上个世纪70年代初期美国政府就提出了风险评估的要求，2002年颁布的《2002联邦信息安全管理法》对信息安全风险评估提出了更加具体的要求。欧洲等其他信息化发达国家也非常重视开展信息安全风险评估工作，将开展信息安全风险评估工作作为提高信息安全保障水平的重要手段。发达国家的这些经验值得我们学习和借鉴。 为什么要做信息安全风险评估 2005年2月，美国总统信息技术顾问委员会（PITAC）向美国总统提交了一份研究报告《网络空间安全：迫在眉睫的危机》，提出美国目前网络空间安全所面临的重大问题包括： 1、IT基础设施在恐怖和敌对攻击面前非常脆弱 2、网络漏洞和网络攻击增长速度非常快（20％－40％） 3、无所不在的互联意味着处处可能存在安全漏洞 4、软件是主要漏洞的所在 5、无穷无尽的打补丁并不是好的解决办法 6、需要新的基础性安全模型和方法 7、联邦政府在研发工作中的核心地位 8、网络空间安全的非技术因素 为了应对这些威胁，在《网络空间安全：迫在眉睫的危机》报告中，PITAC提出了10大优先研究项目，其中信息安全风险评估位列其中。其主要研究内容包括： （1）开发网络空间安全测试方法、评估标准 （2）风险分析方法和基于不同领域的评估方法（政治、军事、经济等） （3）安全风险以及一致性检查的自动评估工具的研发 （4）对易受到攻击对象的评估研究工作，如源代码扫描工具 （5）通过研究过程管理、配置管理和补丁管理的最佳策略方案，来发现并提供有效的安全管理实施方案 为什么要做信息安全风险评估 三、我国信息安全风险评估回顾 调查与研究 标准编制与试点 政策文件起草 我国信息安全风险评估回顾 2003年7月《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发［2003］27号）中专门提出开展风险评估的要求 ： 对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要性、涉密程度和面临的风险等因素，进行相应等级的安全建设和管理 调查研究工作 国信办安全组为落实中办发2003[27]号文件的要求，于2003年7月决定委托国家信息中心组建“信息安全风险评估课题组”，对我国信息安全风险评估工作的现状进行调查，提出我国开展风险评估的对策和办法 成员单位：国家信息中心、公安部、安全部、信息产业部、国家认监委、国家标准化委、国家密码管理局、国家保密局、国家计算机网络与信息安全中心、中国信息安全产品测评认证中心、北京市信息办、解放军测评认证中心 调查研究工作 课题组先后对四个地区(北京、广州、深圳和上海)，十几个行业的50多家单位进行了调查 完成了《信息安全风险评估调查报告》、《信息安全风险评估研究报告》和《关于加强信息安全风险评估工作的建议》稿 调查报告反映的主要情况及问题 被调查单位信息化程度各有不同 对风险评估的重视程度与信息化程度成正比关系 国内现阶段风险评估状况 风险评估已逐渐成为信息安全的一个新的点 发现的八个问题，其中评估流程不规范是一大问题 研究报告的主要内容 信息系统安全风险评估的概念 风险评估的意义和作用 信息安全风险评估的目标和目的 信息安全风险评估的基本要素 风险评估对信息系统生命周期的支持 风险评估的一般工作流程 当前存在的风险评估理论和工具 我国信息系统安全风险评估的现状和问题 信息安全风险评估工作的原则 等级保护、认证认可、风险管理、风险评估的关系 自评估、强制性检查评估与委托评