返回
风险评估在重要信息系统安全保护实践中的应用

风险评估在重要信息系统安全保护实践中的应用

ID:34533023

大小:253.89 KB

页数:3页

时间:2019-03-07

风险评估在重要信息系统安全保护实践中的应用_第1页
风险评估在重要信息系统安全保护实践中的应用_第2页
风险评估在重要信息系统安全保护实践中的应用_第3页
资源描述:

《风险评估在重要信息系统安全保护实践中的应用》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、doi:10.3969~.issn.1671-1122.2009.10.024(1.联想网御科技(北京)有限公司,北京100086;2.中国科学院软件研究所,北京100190)体安全规划、安全摘要:风险评估和重要信息系统安全保护是我国信息安全评估中的重要工作,目前我国安全评估的设计与实施、安全方法比较匮乏,安全保护具有落地难的问题。本文对风险评估和重要信息系统安全保护之间的关系、风险评估和重要信息系统安全测评的结合以及风险管理在重要信息系统安全保护中的应用三个方面进行研究.运行与维护、信息系阐述风险评估在重要信息

2、系统安全保护中的应用。本文为安全评估工作提供了一种结合风险评估的重要信统终止。如图1所示:息系统安全评估方法。重要信息系统关键词:风险评估;风险管理安全保护根据系统中图分类号:TP893.08文献标识码:A分析结果对安全需求进行分析,设计安0概述全规划方案并实施安全措施。在系统运行和维护阶段对系统安全评估是信息安全领域的重要工作,国外对安全评进行监视和维护,并定期浮估安全状况,直到系统中止运行,估的研究始于上世纪八十年代,目前已形成了由一系列标准、采取安全的处理措施结束系统生命周期为止。方法和工具组成的较为完整的

3、安全体系。西方各国先后提出风险评估通过对系统面临的风险进行识别和分析,得一到了TCSEC、ITSEC、CC、BS7799等标准⋯。其中,CC和风险产生时带来的影响和危害,设计相应的安全措施来保护BS7799成为了国际上通用的安全技术和管理标准。我国安系统。风险评估在重要信息系统安全保护的五个阶段中都能全评估工作起步较晚,在对国外标准进行研究的基础上,进起到重要作用。行风险评估工作的同时,研究和开展了重要信息系统安全保1.2风险评估在重要信息系统安全保护中的应用护工作。目前国外安全评估工作的研究侧重于自动安全检测、

4、Jxl险评估在重要信息系统安全保护生命周期五个阶段中信息安全评估能力等方面。我国的工作重点依然放在安全评的作用如图2所示:估相关标准理论及工具的研究。l¨一0一⋯··I我国的安全评估工作已取得了一定的成效,但是在工具、()厂-...●标准和方法上都有一定的不足,而国外的方法和标准与我国j_I⋯{一≮。_国情有一定的不适应性,因此需要不断研究和改进。风险评。。‘乱I卜。。]._估目前已处于较为成熟的阶段,将其融入到重要信息系统安全保护中会有很大的帮助。本文将从二者之间的关系、二者图2风险评估和重要信息系统安全保护关

5、系图(1)在系统分析阶段的应用。风险评估中资产识别要完的结合以及风险管理在重要信息成信息系统的描述和划分,系统资产的定义、分类和赋值。系统安全保护中的应用三个角度L里—j系统分析部分根据以上信息进行分析,根据系统重要程度进分析风险评估在重要信息系统安,行定级。定级可按照系统整体定级和系统CIA属性两种方式。全保护实践中的应用。苎!第一种是基于标准的方法,第二种是推荐的具有可行性的方————L——1风险评估与重要信息系f宣争蝗iI‘,实施法,根据系统的CIA属性组织测评指标。统安全保护的关系l1”(2)在总体安全规

6、划阶段的应用。在此阶段,需要依靠———L~i运行维扩}风险评估结果结合重要信息系统安全测评确定与安全基本要1.1重要信息系统安全保护及求之间的差距,得到安全需求,并根据资产的重要程度以及其生命周期所面临风险的级别确定其特殊安全要求,最终得到系统安全重要信息系统的安全保护工图1重要信息系统安全需求报告,主要包括系统描述、系统当前状况、系统安全需作分为五个阶段:系统分析、总保护生命周期67求及系统所面临的风险等信息。识别:资产名称、资产种类、资产赋值结果、资产描述等。(3)在安全设计与实施阶段的应用。风险评估中已有安

7、(2)威胁和脆弱性识别。风险评估中的威胁识别和脆弱性全措施确认以及风险识别中安全控制措施的选择构成了针对识别对系统所面临的威胁和系统本身的弱点进行定义和赋值。系统风险的安全对策方案。在安全设计过程中,可以采纳此同时,还包括资产赋值以及风险识别相关内容。主要包括以下安全对策方案,或在此基础上针对安全要求进行改进得到安信包:威胁信息:威胁名称、威胁描述、威胁目标,威胁级别等:全设计方案,并依据此方案进行安全实施。脆弱性信息:脆弱性名称、脆弱性描述、脆弱性来源、脆弱性(4)在安全运行与维护阶段的应用。在此阶段,安全监级

8、别等;其它息:资产名称、资产赋值、险级别等。控根据风险评估得到的威胁和脆弱性信息,对系统面临的风(3)已有安全措施识别。风险评估中已有安全措施的确认险进行监控。安全事件与应急是针对已发生的安全事件及时以及风险分析中安全控制措施的选择构成了针对系统风险的安做出响应,针对安全事件进行响应的依据来自于风险评估中全对策方案。已有安全措施的识别能够避免系统安全建设工作所确定的安全控

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。