freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

信息安全風(fēng)險評估ppt課件(已修改)

2025-01-30 07:37 本頁面
 

【正文】 信息安全風(fēng)險評估 中國科學(xué)院研究生院 信息安全國家重點實驗室 趙戰(zhàn)生 2022年 7月 3日 內(nèi)容概要 ? 國信辦下達(dá)的研究任務(wù)及研究進(jìn)展 ? 國際上風(fēng)險評估的發(fā)展及現(xiàn)狀 ? 我國信息系統(tǒng)安全風(fēng)險評估的現(xiàn)狀和問題 ? 什么是信息安全風(fēng)險評估 ? 為什么要進(jìn)行風(fēng)險評估 ? 怎樣進(jìn)行風(fēng)險評估 國信辦下達(dá)的 研究任務(wù) 及研究進(jìn)展 ? 2022年 7月 22日,國務(wù)院信息化領(lǐng)導(dǎo)小組第三次會議專題討論了 《 關(guān)于加強(qiáng)信息安全保障工作的意見 〉 ,9月中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)了 《 國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見 〉( 2022[27]號文件)。文件要求采取必要措施進(jìn)行信息安全風(fēng)險的防范。 ? 7月 23日國信辦安全組決定委托國家信息中心組建成立 “ 信息安全風(fēng)險評估課題組 ” ,對信息安全風(fēng)險評估工作的現(xiàn)狀進(jìn)行全面深入了解,提出我國開展信息安全風(fēng)險評估的對策和辦法,為下一步信息安全的建設(shè)和管理做準(zhǔn)備。 ? 國家信息中心根據(jù)國務(wù)院信息辦安全組的要求 ,迅速成立了以國家信息中心公共技術(shù)服務(wù)部主任寧家駿為組長 ,包括崔書昆 、 曲成義 、 趙戰(zhàn)生 、 吳亞非 、 左曉棟博士 、 范紅博士和朱建勇博士組成 , 賈穎禾為國信辦聯(lián)絡(luò)員的 “ 信息安全風(fēng)險評估 ” 起草組 , 開展信息安全風(fēng)險評估籌備工作 。 ? 后根據(jù)工作需要又吸收杜虹 、 景乾元兩位同志參加 。 ? 課題組在廣東、上海、北京共訪問了 50多個單位 ,召開了 5 次座談會。 ? 研究與起草階段 開了 7次研討會。 ? 經(jīng)過四個多月的努力 ,完成了: ? 信息安全風(fēng)險評估調(diào)查報告 ? 信息安全風(fēng)險評估研究報告 ? 關(guān)于信息安全風(fēng)險評估工作的意見 三份稿約十萬字 ? 提交的 《 信息安全風(fēng)險評估研究報告 》 在多次征求意見和修改后,作為全國信息安全保障工作會議下發(fā)的文件附件,在 2022年 1月 9日發(fā)放給會議參加者。 研究報告結(jié)構(gòu) ? 一、前言 ? 二、信息系統(tǒng)安全風(fēng)險評估的概念 ? 三、風(fēng)險評估的意義和作用 ? 四、信息安全風(fēng)險評估的目標(biāo)和目的 ? 五、信息安全風(fēng)險評估的基本要素 ? 六、風(fēng)險評估對信息系統(tǒng)生命周期的支持 ? 七、風(fēng)險評估的一般工作流程 ? 八、當(dāng)前存在的風(fēng)險評估理論和工具 ? 九、我國信息系統(tǒng)安全風(fēng)險評估的現(xiàn)狀和問題 ? 十、信息安全風(fēng)險評估工作的原則 ? 十一、等級保護(hù)、認(rèn)證認(rèn)可、風(fēng)險管理、風(fēng)險評估的關(guān)系 ? 十二、自評估、強(qiáng)制性檢查評估與委托評估 ? 十三、信息系統(tǒng)安全風(fēng)險評估的角色和責(zé)任 ? 十四、信息安全風(fēng)險評估的任務(wù)和措施 ? 附件 國際信息安全風(fēng)險評估的發(fā)展和現(xiàn)狀 ? 附件 風(fēng)險評估工作流程詳述 ? 附件 風(fēng)險控制及工作流程 ? 附件 美國對認(rèn)證認(rèn)可概念的看法 ? 附件 美國信息系統(tǒng)安全認(rèn)證認(rèn)可工作概述 ? 附件 對美國 OMB主任備忘錄的總結(jié) ? 附件 美國認(rèn)證認(rèn)可計劃中相關(guān)標(biāo)準(zhǔn)和指南概況 ? 2022年,課題組繼續(xù)進(jìn)行 《 關(guān)于信息安全風(fēng)險評估工作的意見 》 的研究起草 ? 2022年國信辦安全組要求在已有工作基礎(chǔ)上開展風(fēng)險評估相關(guān)標(biāo)準(zhǔn)的研究制定,標(biāo)準(zhǔn)包括: ? 風(fēng)險評估框架 ? 風(fēng)險評估指南 ? 信息安全風(fēng)險管理指南 ? 相關(guān)標(biāo)準(zhǔn)已經(jīng)形成初稿,正在進(jìn)一步研究修改中 ? 預(yù)期在近期完成 “ 工作意見 ” 和 “ 相關(guān)標(biāo)準(zhǔn) ” ,并于下半年開展信息安全風(fēng)險評估的試點工作。 國際上風(fēng)險評估 的發(fā)展及現(xiàn)狀 ? 美國是國際上對信息安全風(fēng)險評估研究歷史最長和工作最豐富的國家。隨著信息化應(yīng)用需求的牽引,安全事件的驅(qū)動和信息安全技術(shù)、信息安全管理概念的發(fā)展深化,他們對信息安全風(fēng)險評估的認(rèn)識也逐步加深。從最初關(guān)注計算機(jī)保密發(fā)展到目前關(guān)注信息系統(tǒng)基礎(chǔ)設(shè)施的信息保障,大體經(jīng)歷了以下三個階段: 第一個階段 ( 6070年代) 以計算機(jī)為對象的信息保密階段 ? 背景 : 計算機(jī)開始應(yīng)用于政府軍隊。 ? 標(biāo)志性行動: 1967年 11月,美國國防科學(xué)委員會委托蘭德公司、邁特公司( MITIE)及其它和國防工業(yè)有關(guān)的一些公司,開始研究計算機(jī)安全問題。到1970年 2月,經(jīng)過將近兩年半的工作,主要對當(dāng)時的大型機(jī)、遠(yuǎn)程終端進(jìn)行了研究,分析。作了第一次比較大規(guī)模的風(fēng)險評估。 ? 特點: ? 僅重點針對了計算機(jī)系統(tǒng)的保密性問題提出要求,對安全的評估只限于保密性。 第二個階段 ( 8090年代) 以計算機(jī)和網(wǎng)絡(luò)為對象的信息安全保護(hù)階段 ? 背景: 計算機(jī)系統(tǒng)形成了網(wǎng)絡(luò)化的應(yīng)用。 ? 標(biāo)志性行動: 出現(xiàn)了初期的針對美國軍方的計算機(jī)黑客行為,1988年 1989年,美國的計算機(jī)網(wǎng)絡(luò)出現(xiàn)了一系列重大事件。美國的審計總署( GAO)對美國國內(nèi)主要由國防部使用的計算機(jī)網(wǎng)絡(luò)進(jìn)行了大規(guī)模的持續(xù)評估。 ? 特點: 逐步認(rèn)識到了更多的信息安全屬性(保密性、完整性、可用性),從關(guān)注操作系統(tǒng)安全發(fā)展到關(guān)注操作系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)庫。試圖通過對安全產(chǎn)品的質(zhì)量保證和安全評測來保障系統(tǒng)安全,但實際上僅僅奠定了安全產(chǎn)品測評認(rèn)證的基礎(chǔ)和工作程序。 第三個階段 ( 90年代末, 21世紀(jì)初) 以信息系統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施為對象的信息保障階段 ? 背景: 計算機(jī)網(wǎng)絡(luò)系統(tǒng)成為關(guān)鍵基礎(chǔ)設(shè)施的核心。 2022年前后,由于國際范圍內(nèi)出現(xiàn)了大規(guī)模黑客攻擊,以及信息戰(zhàn)的理論逐步走向成熟,信息攻防成為戰(zhàn)爭手段和國家綜合利用的一種方式,且美國的軍、政、經(jīng)濟(jì)和社會活動對信息基礎(chǔ)設(shè)施的依賴程度達(dá)到了空前的高度,迫使美國又開始了對信息系統(tǒng)新一輪的評估和研究,產(chǎn)生了一些新的概念,法規(guī)和標(biāo)準(zhǔn)。 ? 標(biāo)志性的行動: 在軍方提出信息保障( IA)概念的基礎(chǔ)上,克林頓和布什兩屆總統(tǒng)持續(xù)數(shù)年進(jìn)行了國家信息安全保護(hù)計劃和信息保障戰(zhàn)略的研究。到目前為止,形成了與國家安全、反恐戰(zhàn)略、國土安全等國家戰(zhàn)略相配套的網(wǎng)絡(luò)空間信息保障的國家戰(zhàn)略。各個行業(yè)也逐步提出了本行業(yè)的信息安全戰(zhàn)略,風(fēng)險評估思想在其中得到了重要的貫徹。 1996年美國國會總審計署( GAO)的 報告的研究 ? DISA對美軍網(wǎng)絡(luò)實施的 38000次滲透性攻擊測試, 24700次即 65%的攻擊行為取得了成功。在這些成功的攻擊中,只有 988即 4%被發(fā)現(xiàn)。在被發(fā)現(xiàn)的攻擊活動中,只有 267次即 27%被報告給了 DISA。也就是說,只有不到 1/150的攻擊事件被報告。 ? 有關(guān)風(fēng)險評估的重要工作結(jié)果: ? 1997年美國國防部發(fā)布了 《 國防部 IT安全認(rèn)證和認(rèn)可過程 》( DITSCAP)。 ? 1998年 12月, NIST頒布了 《 IT系統(tǒng)安全計劃開發(fā)指南 》( SP 80018)。此前的 OMB A130曾要求,應(yīng)該將風(fēng)險評估作為基于風(fēng)險的方法的一部分來為系統(tǒng)實現(xiàn)適當(dāng)?shù)?、成本有效性更好的安全,用來評估系統(tǒng)風(fēng)險性質(zhì)和級別的方法中應(yīng)該包括對風(fēng)險管理主要因素的考慮:系統(tǒng)和應(yīng)用的價值、威脅、脆弱性、當(dāng)前或所建議的安全措施的有效性。因此,NIST在為信息系統(tǒng)開發(fā)的安全計劃模版中專門對所用的風(fēng)險評估方法加以了描述,例如所選的風(fēng)險評估方法是否對威脅、脆弱性及補(bǔ)充性安全防護(hù)措施進(jìn)行了標(biāo)識?此外, NIST還要求安全計劃中應(yīng)包括風(fēng)險評估的日期,且要說明已標(biāo)識的風(fēng)險是如何與系統(tǒng)的保密性、完整性和可用性要求相關(guān)聯(lián)的。 ? 2022年 4月,負(fù)責(zé)國家安全系統(tǒng)的國家安全系統(tǒng)委員會(此前稱為國家安全電信和信息系統(tǒng)安全委員會)發(fā)布了專門針對國家安全系統(tǒng)的 《 國家信息保障認(rèn)證和認(rèn)可過程 》( NIACAP)。 ? NIST在 2022年 11月為 CIO委員會制定的 《 聯(lián)邦 IT安全評估框架 》 中提出了自評估的 5個級別。 ? 2022年 11月,針對 《 聯(lián)邦 IT安全評估框架 》 , NIST頒布了 《 IT系統(tǒng)安全自評估指南 》 ( SP 80026),針對三大類17項安全控制提出了 17張調(diào)查表。 ? 2022年 12月, NIST發(fā)布了 《 IT安全基礎(chǔ)技術(shù)模型 》 ( SP 80033),提出了信息系統(tǒng)安全的目標(biāo)、目的、安全服務(wù)的模型、安全目的的實現(xiàn)和安全控制措施在風(fēng)險管理中的作用。 ? 2022年 1月, NIST發(fā)布了 《 IT系統(tǒng)風(fēng)險管理指南 》 ( SP 80030),概述了風(fēng)險評估的重要性、風(fēng)險評估在系統(tǒng)生命周期中的地位、進(jìn)行風(fēng)險評估的角色和任務(wù)。闡明了風(fēng)險評估的步驟、風(fēng)險緩解的控制和評估評價的方法。 ? 2022年頒布了 《 聯(lián)邦信息安全管理法案 》( FISMA),提出聯(lián)邦各機(jī)構(gòu)的信息安全項目必須包括: ? 定期的風(fēng)險評估,包括評估由于對信息和信息系統(tǒng)進(jìn)行未授權(quán)訪問、使用、泄露、中斷、修改或者破壞而帶來的危害的大小。 ? 基于風(fēng)險評估的政策和流程,將信息安全風(fēng)險通過成本有效性較好的手段而降低到一個可接受的水平,并確保信息安全在各機(jī)構(gòu)信息系統(tǒng)的整個生命周期中都得到了處理。 ? 子計劃,用于為網(wǎng)絡(luò)、設(shè)施、一個或一組信息系統(tǒng)提供足夠的信息安全。 ? 安全意識培訓(xùn),用于使相關(guān)人員(包括聯(lián)邦信息系統(tǒng)的合同商和其他用戶)知曉其行
點擊復(fù)制文檔內(nèi)容
試題試卷相關(guān)推薦
文庫吧 www.dybbs8.com
公安備案圖鄂ICP備17016276號-1