附件-信息安全风险评估研究报告

附件-信息安全风险评估研究报告

ID:43199138

大小:633.50 KB

页数:99页

时间:2019-10-02

附件-信息安全风险评估研究报告_第1页
附件-信息安全风险评估研究报告_第2页
附件-信息安全风险评估研究报告_第3页
附件-信息安全风险评估研究报告_第4页
附件-信息安全风险评估研究报告_第5页
资源描述:

《附件-信息安全风险评估研究报告》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、信息安全风险评估中国科学院研究生院信息安全国家重点实验室赵战生2004年7月3日内容概要国信办下达的研究任务及研究进展国际上风险评估的发展及现状我国信息系统安全风险评估的现状和问题什么是信息安全风险评估为什么要进行风险评估怎样进行风险评估国信办下达的研究任务及研究进展2003年7月22日,国务院信息化领导小组第三次会议专题讨论了《关于加强信息安全保障工作的意见〉,9月中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见〉(2003[27]号文件)。文件要求采取必要措施进行信息安全风险的防范。7月23日国信办安全组决定委托国家信息中心组建

2、成立“信息安全风险评估课题组”,对信息安全风险评估工作的现状进行全面深入了解,提出我国开展信息安全风险评估的对策和办法,为下一步信息安全的建设和管理做准备。国家信息中心根据国务院信息办安全组的要求,迅速成立了以国家信息中心公共技术服务部主任宁家骏为组长,包括崔书昆、曲成义、赵战生、吴亚非、左晓栋博士、范红博士和朱建勇博士组成,贾颖禾为国信办联络员的“信息安全风险评估”起草组,开展信息安全风险评估筹备工作。后根据工作需要又吸收杜虹、景乾元两位同志参加。课题组在广东、上海、北京共访问了50多个单位,召开了5次座谈会。研究与起草阶段开了7次研讨会。经过四个多月的努力,完

3、成了:信息安全风险评估调查报告信息安全风险评估研究报告关于信息安全风险评估工作的意见三份稿约十万字提交的《信息安全风险评估研究报告》在多次征求意见和修改后,作为全国信息安全保障工作会议下发的文件附件,在2004年1月9日发放给会议参加者。研究报告结构一、前言二、信息系统安全风险评估的概念三、风险评估的意义和作用四、信息安全风险评估的目标和目的五、信息安全风险评估的基本要素六、风险评估对信息系统生命周期的支持七、风险评估的一般工作流程八、当前存在的风险评估理论和工具九、我国信息系统安全风险评估的现状和问题十、信息安全风险评估工作的原则十一、等级保护、认证认可、风险管

4、理、风险评估的关系十二、自评估、强制性检查评估与委托评估十三、信息系统安全风险评估的角色和责任十四、信息安全风险评估的任务和措施附件1、国际信息安全风险评估的发展和现状附件2、风险评估工作流程详述附件2、风险控制及工作流程附件4、美国对认证认可概念的看法附件5、美国信息系统安全认证认可工作概述附件6、对美国OMB主任备忘录的总结附件7、美国认证认可计划中相关标准和指南概况2004年,课题组继续进行《关于信息安全风险评估工作的意见》的研究起草2004年国信办安全组要求在已有工作基础上开展风险评估相关标准的研究制定,标准包括:风险评估框架风险评估指南信息安全风险管理指

5、南相关标准已经形成初稿,正在进一步研究修改中预期在近期完成“工作意见”和“相关标准”,并于下半年开展信息安全风险评估的试点工作。国际上风险评估 的发展及现状美国是国际上对信息安全风险评估研究历史最长和工作最丰富的国家。随着信息化应用需求的牵引,安全事件的驱动和信息安全技术、信息安全管理概念的发展深化,他们对信息安全风险评估的认识也逐步加深。从最初关注计算机保密发展到目前关注信息系统基础设施的信息保障,大体经历了以下三个阶段:第一个阶段(60-70年代)以计算机为对象的信息保密阶段背景:计算机开始应用于政府军队。标志性行动:1967年11月,美国国防科学委员会委托兰

6、德公司、迈特公司(MITIE)及其它和国防工业有关的一些公司,开始研究计算机安全问题。到1970年2月,经过将近两年半的工作,主要对当时的大型机、远程终端进行了研究,分析。作了第一次比较大规模的风险评估。特点:仅重点针对了计算机系统的保密性问题提出要求,对安全的评估只限于保密性。第二个阶段(80-90年代)以计算机和网络为对象的信息安全保护阶段背景:计算机系统形成了网络化的应用。标志性行动:出现了初期的针对美国军方的计算机黑客行为,1988年1989年,美国的计算机网络出现了一系列重大事件。美国的审计总署(GAO)对美国国内主要由国防部使用的计算机网络进行了大规模

7、的持续评估。特点:逐步认识到了更多的信息安全属性(保密性、完整性、可用性),从关注操作系统安全发展到关注操作系统、网络和数据库。试图通过对安全产品的质量保证和安全评测来保障系统安全,但实际上仅仅奠定了安全产品测评认证的基础和工作程序。第三个阶段(90年代末,21世纪初)以信息系统关键基础设施为对象的信息保障阶段背景:计算机网络系统成为关键基础设施的核心。2000年前后,由于国际范围内出现了大规模黑客攻击,以及信息战的理论逐步走向成熟,信息攻防成为战争手段和国家综合利用的一种方式,且美国的军、政、经济和社会活动对信息基础设施的依赖程度达到了空前的高度,迫使美国又开始

8、了对信息系

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。