提升信息安全风险评估意识强化信息安全保障体系建设【49页】.ppt

领导重视、管理较严、常规的系统和外防机制基本到位 深层隐患值得深思 内控机制脆弱 高危漏洞存在 信息安全域界定与边控待探索 风险自评估能力弱 灾难恢复不到位 用户自控权不落实 - - - - - - - - - - “信息安全”内涵 信息安全概念演变 早期：通信保密阶段（ComSec），通信内容保密为主 中期：信息安全阶段（InfoSec），信息自身的静态防护为主 近期：信息保障阶段（Information Assurance—IA ）， 强调动态的、纵深的、生命周期的、整个信息系统资产的信息对抗。 我们当前所指“信息安全” = “信息保障”， 即“在整个生命周期中，处在纵深防御和动态对抗的信息系统，为保障其中数据及服务的完整性、保密性、可用性（防拒绝和破坏）、真实性（交互双方的数据、人员的身份和权限、设施的鉴别）、可控性（监控、审计、取证、防有害内容传播） 、可靠性而抵制各类威胁所提供的一种能力 信息系统安全整体对策 (一)构建信息安全保障体系 (二)作好信息安全风险评估 (一)构建信息安全保障体系 行政管理体制:国家网络信息安全协调小组，部门，地区 技术管理体制:CSO 信息系统安全管理准则（ISO 17799）--GBxxxx 管理策略 组织与人员 资产分类与安全控制 配置与运行 网络信息安全域与通信安全 异常事件与审计 信息标记与文档 物理与环境 开发与维护 作业连续性保障 符合性 信息网络安全域纵深防御框架 (二)作好信息安全风险评估 信息系统安全风险管理 信息系统安全风险评估的特征 信息系统是一个巨型复杂系统（系统要素、安全要素） 信息系统受制于外部因素（物理环境、行政管理、人员） 信息系统安全风险评估是一项系统工程 发现隐患、采取对策、提升强度、总结经验 自评估、委托评估、检察评估 信息系统安全评估目的 信息系统生命周期中安全保障与评估 国内信息安全评估机构的现状 国家信息安全标准化委员会（“信息安全评估工作组-WG5） 国家信息安全测评中心（信息技术安全性评估准则-GB/T 18336）（EG信息系统安全保障评估准则） 公安部（计算机信息系统安全保护等级划分准则-GB 17859-1999）（计算机信息系统安全等级保护通用技术要求-GA/T 390-2002） 国家保密局（涉及国家秘密的计算机信息系统安全保密测评指南-BMZ 3-2001） 北京市信息办（党政机关信息系统安全测评规范） 上海市信息办（信息系统安全测评规范） 解放军（信息系统安全评估规范） 其它 建立国家信息安全评估体系 信息安全评估标准和规范体系 IT产品、IT系统、IT服务 信息安全评估监管体系 对评估组织与评估行为的监管(等级,资质,规则) 信息安全评估组织体系，在认监委、信息办领导下 国际信息系统安全测评状况 NIACAP DICSCAP NSTISSI FIPS 102 行业与企业的风险评估投入明显 （1%——5%） 信息系统安全评估方法 定性分析与定量结合 评估机构与评估专家结合 评估考查与评估检测结合 技术安全与管理安全结合 信息系统安全分析与检测 管理安全分析 组织、人员、制度、资产控制、物理、操作、连续性、应急 过程安全分析 威胁、风险、脆弱性、需求、策略、方案、符合性 分发、运行、维护、更新、废弃 技术安全分析与检测 安全机制、功能和强度分析 网络设施、安全设施及主机配置安全分析 网络设备和主机设备脆弱性分析 系统穿透性测试 风险评估实施步骤 (1) 风险评估的准备 (2) 资产识别 (3) 威胁识别 (4) 脆弱性识别 (5) 已有安全措施的确认 (6) 风险分析 (7) 风险评估文件记录 (8) 风险评估对策 风险评估流程 风险分析示意图 风险评估工具 （1）风险评估管理工具 基于安全标准、基于知识、基于模型 采点、收集、描述、分析 （2） 风险评估检测工具 脆弱性扫描：网络、主机、数据库、网站、 滲透性测试：黑客、病毒、木马、谍件、劫持、拒绝、破译 （3） 风险评估辅助工具 入侵检测、安全审计、拓扑发现、资产收集 知识库、漏洞库、算法库、模型库、指标库 信息系统安全整体对策 (一)构建信息安全保障体系 （重视顶层设计） (二)作好信息安全风险评估 （是起点、也覆