【正文】 A/VPN/WEP 40 ? 安全需求分析： 威脅，弱點，風(fēng)險，對策 ? 安全功能定義 ? 安全要素設(shè)計： 物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、管理 ? 全程安全控制 ? 風(fēng)險全程管理 ? 安全有效評估 ? 強壯性策略 （ ISSE， IATF， CC， TESEC） 信息系統(tǒng)安全工程和服務(wù) 41 比較和對比 可用攻擊 研究敵方 行為理論 開創(chuàng)任務(wù) 影響理論 比較和對比 各種行為 行動決策 對策識別 與特征描述 任務(wù)關(guān)鍵性 參數(shù)權(quán)衡 脆弱性與攻 擊的識別與 特征描述 威脅的識別 與特征描述 任務(wù)影響的 識別與描述 基礎(chǔ)研究與事件分離 系統(tǒng)改進 風(fēng)險分析 風(fēng) 險 管 理 流 程 42 信息安全有效評估流程 提供 采取 降低 影響 完成 保護 安全保證技術(shù)提供者 系統(tǒng)評估者 安全保證 信心 風(fēng)險 對策 資產(chǎn) 使命 資產(chǎn)擁有者 價值 給出證據(jù) 生成保證 具有 43 ? 威脅級別 （ Tn） ? 資產(chǎn)價值等級 （ Vn） ? 安全機制強度等級 （ SMLn) ? 安全技術(shù)保障強壯性級別 （ IATRn） IATRn = f（ Vn 、 Tn 、 SMLn 、 EALn） 信息安全保障強壯性策略 44 企業(yè)（部門）信息安全保障系統(tǒng)建設(shè) ?企業(yè) （ 部門 ） 信息安全的關(guān)注點 ?信息系統(tǒng)使命和系統(tǒng)價值保護 ?核心競爭力與競爭情報的保護 ?管理 、 生產(chǎn) 、 交易 、 客戶和供應(yīng)信息鏈的安全保護 ?國家信息安全保障體系框架指導(dǎo)下進行 ?遵循國家相關(guān)的標(biāo)準(zhǔn) 、 法規(guī)和政策 ?充分享用國家提供的信息安全基礎(chǔ)設(shè)施的支撐能力 ?自主和可控的利用信息安全產(chǎn)業(yè)提供的產(chǎn)品和服務(wù) ?在信息系統(tǒng)的生命周期中進行信息安全全面規(guī)劃 使命確立 、 結(jié)構(gòu)設(shè)計 、 威脅分析 、 脆弱性分析 、 風(fēng)險分析 、 安全需求挖掘 、 安全體系設(shè)計 、 采購與實施 、 運行操作 、 維護更新 。1 構(gòu)建信息安全保障 體系的思考 2022年 9月 2 全球信息化發(fā)展 ? 信息化成為經(jīng)濟發(fā)展的重要推動力 ? 信息化引發(fā)全球的產(chǎn)業(yè)革命 ? 信息化成為國際經(jīng)濟競爭的焦點 ? 信息化成為國力和經(jīng)濟增長力的重要標(biāo)志 ? 信息化是全球經(jīng)濟和社會發(fā)展的大趨勢 3 全球信息化動向 ?1993： 美國提出“信息高速公路”（ NII） ?1994： ITU會議戈爾提出 GII ?1995： G7會議支持 GII ?1996： 日本“電子信息技術(shù)開發(fā)計劃” ?1997： 歐盟提出“信息社會計劃” ?1998： 馬來西亞“多媒體走廊” ?1999： 新加坡實施“智慧島”（ IT2022） 制訂 ICT21 ?2022： 全球信息社會憲章（ G8） 影響 — 動力、知識 — 潛能、挑戰(zhàn) — 機遇 4 ? 互聯(lián)網(wǎng)推動企業(yè)（部門）信息平臺的重構(gòu) Intra/Extra/Inter ? 互聯(lián)網(wǎng)將成為國家重要的基礎(chǔ)設(shè)施 美國： 40%網(wǎng)民、 30%金融、 25%產(chǎn)品、 30%股市 ? 互聯(lián)網(wǎng)刺激了信息產(chǎn)業(yè)的迅速發(fā)展 軟件業(yè)、硬件制造業(yè)、信息服務(wù)業(yè) 網(wǎng)絡(luò)經(jīng)濟是新經(jīng)濟的集中表現(xiàn) ? 互聯(lián)網(wǎng)是新興數(shù)字化業(yè)務(wù)的搖籃 EC、 EG、 DE、 DM、 NM、 CW、 AM 互聯(lián)網(wǎng)的崛起 5 互聯(lián)網(wǎng)存在的六大問題 ? 無主管的自由王國： 有害信息、非法聯(lián)絡(luò)、違規(guī)行為 ? 不設(shè)防的網(wǎng)絡(luò)空間： 國家安全、企業(yè)利益、個人隱私 ? 法律約束脆弱