提升信息安全風(fēng)險(xiǎn)評(píng)估意識(shí)強(qiáng)化信息安全保障體系建設(shè)課件

提升信息安全風(fēng)險(xiǎn)評(píng)估意識(shí)強(qiáng)化信息安全保障體系建設(shè)提升信息安全風(fēng)險(xiǎn)評(píng)估意識(shí)強(qiáng)化信息安全保障體系建設(shè)1信息安全面臨的威脅網(wǎng)上黑客與計(jì)算機(jī)欺詐網(wǎng)絡(luò)病毒的蔓延和破壞有害信息內(nèi)容污染與輿情誤導(dǎo)機(jī)要信息流失與“諜件”潛入內(nèi)部人員誤用、濫用、惡用IT產(chǎn)品的失控（分發(fā)式威脅）物理臨近式威脅網(wǎng)上恐怖活動(dòng)與信息戰(zhàn)網(wǎng)絡(luò)的脆弱性和系統(tǒng)漏洞2信息安全面臨的威脅網(wǎng)上黑客與計(jì)算機(jī)欺詐2網(wǎng)絡(luò)突發(fā)事件正在引起全球關(guān)注2000年2月7日美國(guó)網(wǎng)上恐怖事件造成巨大損失

（DDos、八大重要網(wǎng)站、$12億美元）2001年日本東京國(guó)際機(jī)場(chǎng)航管失靈，影響巨大

（紅色病毒、幾百架飛機(jī)無(wú)法起降、千人行程受阻）2003年美國(guó)銀行的ATM網(wǎng)遭入侵，損失慘重

（Slammer、幾十億美元）

2004年震蕩波幾天波及全球2005年CardSystem公司4000萬(wàn)張卡用戶信息被盜

（美國(guó)最大的竊密事件、植入特洛伊木馬、假冒消費(fèi)）網(wǎng)絡(luò)正在成為恐怖組織聯(lián)絡(luò)和指揮工具（911、倫敦事件）9.11事件造成世貿(mào)中心1200家企業(yè)信息網(wǎng)絡(luò)蕩然無(wú)存

（有DRP/NCP的400家企業(yè)能夠恢復(fù)和生存）網(wǎng)絡(luò)輿情的爆發(fā)波及到物理社會(huì)的穩(wěn)定信息網(wǎng)絡(luò)的失竊密事件層出不窮3網(wǎng)絡(luò)突發(fā)事件正在引起全球關(guān)注2我國(guó)網(wǎng)絡(luò)信息安全入侵事件態(tài)勢(shì)嚴(yán)竣(CNCERT/CC05年度報(bào)告數(shù)據(jù))

收到信息安全事件報(bào)告12萬(wàn)件(04年的2倍)監(jiān)測(cè)發(fā)現(xiàn)2萬(wàn)臺(tái)計(jì)算機(jī)被木馬遠(yuǎn)程控制(04年的2倍)發(fā)現(xiàn)1.4萬(wàn)個(gè)網(wǎng)站遭黑客篡改,其中政府網(wǎng)站2千(04年的2倍)網(wǎng)絡(luò)釣魚(身份竊取)事件報(bào)告400件(04年的2倍)監(jiān)測(cè)發(fā)現(xiàn)70萬(wàn)臺(tái)計(jì)算機(jī)被植入諜件(源頭主要在國(guó)外)發(fā)現(xiàn)僵尸網(wǎng)絡(luò)143個(gè)(受控計(jì)算機(jī)250萬(wàn)臺(tái))4我國(guó)網(wǎng)絡(luò)信息安全入侵事件態(tài)勢(shì)嚴(yán)竣收到信息安全事件報(bào)告1互聯(lián)網(wǎng)信息安全威脅的某些新動(dòng)向

僵尸網(wǎng)絡(luò)威脅興起諜件泛濫值得嚴(yán)重關(guān)注網(wǎng)絡(luò)釣魚的獲利動(dòng)機(jī)明顯網(wǎng)頁(yè)篡改(嵌入惡意代碼),誘人上當(dāng)DDoS開(kāi)始用于敲詐

木馬潛伏孕育著殺機(jī)獲利和竊信傾向正在成為主流5互聯(lián)網(wǎng)信息安全威脅的某些新動(dòng)向領(lǐng)導(dǎo)重視、管理較嚴(yán)、常規(guī)的系統(tǒng)和外防機(jī)制基本到位深層隱患值得深思

內(nèi)控機(jī)制脆弱高危漏洞存在信息安全域界定與邊控待探索風(fēng)險(xiǎn)自評(píng)估能力弱災(zāi)難恢復(fù)不到位用戶自控權(quán)不落實(shí)----------“重要信息系統(tǒng)”安全態(tài)勢(shì)與深層隱患（案例考察）6領(lǐng)導(dǎo)重視、管理較嚴(yán)、常規(guī)的系統(tǒng)和外防機(jī)制基本到位“重要信息系國(guó)家信息化領(lǐng)導(dǎo)小組第三次會(huì)議《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》—中辦發(fā)[2003]27號(hào)文—

堅(jiān)持積極防御、綜合防范全面提高信息安全防護(hù)能力

重點(diǎn)保障信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境保障和促進(jìn)信息化發(fā)展、保護(hù)公眾利益、維護(hù)國(guó)家安全立足國(guó)情、以我為主、管理與技術(shù)并重、統(tǒng)籌規(guī)劃、突出重點(diǎn)

發(fā)揮各界積極性、共同構(gòu)筑國(guó)家信息安全保障體系

7國(guó)家信息化領(lǐng)導(dǎo)小組第三次會(huì)議《關(guān)于加國(guó)家信息安全保障工作要點(diǎn)

實(shí)行信息安全等級(jí)保護(hù)制度：風(fēng)險(xiǎn)與成本、資源優(yōu)化配置、安全風(fēng)險(xiǎn)評(píng)估

基于密碼技術(shù)網(wǎng)絡(luò)信任體系建設(shè)：密碼管理體制、身份認(rèn)證、授權(quán)管理、責(zé)任認(rèn)定

建設(shè)信息安全監(jiān)控體系：提高對(duì)網(wǎng)絡(luò)攻擊、病毒入侵、網(wǎng)絡(luò)失竊密、有害信息的防范能力

重視信息安全應(yīng)急處理工作：指揮、響應(yīng)、協(xié)調(diào)、通報(bào)、支援、抗毀、災(zāi)備

推動(dòng)信息安全技術(shù)研發(fā)與產(chǎn)業(yè)發(fā)展：關(guān)鍵技術(shù)、自主創(chuàng)新、強(qiáng)化可控、引導(dǎo)與市場(chǎng)、測(cè)評(píng)認(rèn)證、采購(gòu)、服務(wù)

信息安全法制與標(biāo)準(zhǔn)建設(shè)：信息安全法、打擊網(wǎng)絡(luò)犯罪、標(biāo)準(zhǔn)體系、規(guī)范網(wǎng)絡(luò)行為

信息安全人材培養(yǎng)與增強(qiáng)安全意識(shí)：學(xué)科、培訓(xùn)、意識(shí)、技能、自律、守法

信息安全組織建設(shè)：信息安全協(xié)調(diào)小組、責(zé)任制、依法管理8國(guó)家信息安全保障工作要點(diǎn)實(shí)行信息國(guó)家信息安全保障工作高層會(huì)議(2004.1.9)

信息安全的重要性：IT增長(zhǎng)25%、GDP的6%、強(qiáng)烈依賴

信息安全的重大案例信息安全存在的問(wèn)題

一個(gè)并重、兩手抓、三個(gè)同步新思路、新眼光，建立信息安全保障體系

關(guān)鍵技術(shù)產(chǎn)品要自主可控認(rèn)真落實(shí)中央27號(hào)文件9國(guó)家信息安全保障工作高層會(huì)議信息安全的重要性：IT增長(zhǎng)2《國(guó)家信息安全戰(zhàn)略報(bào)告》

—國(guó)信[2005]2號(hào)文—

維護(hù)國(guó)家在網(wǎng)絡(luò)空間的根本利益確保國(guó)家的經(jīng)濟(jì)、政治、文化和信息的安全三大信息基礎(chǔ)設(shè)施、八大重要信息系統(tǒng)、信息內(nèi)容信息安全基礎(chǔ)支撐能力信息安全防護(hù)與對(duì)抗能力網(wǎng)絡(luò)突發(fā)事件快速反應(yīng)能力網(wǎng)絡(luò)輿情駕馭能力綜合治理、協(xié)調(diào)聯(lián)動(dòng)、群防群治政策、標(biāo)準(zhǔn)、管理、技術(shù)、產(chǎn)業(yè)、人材、理論

構(gòu)筑國(guó)家信息安全保障體系信息安全長(zhǎng)效機(jī)制信息安全戰(zhàn)略的主動(dòng)權(quán)------

10《國(guó)家信息安全戰(zhàn)略報(bào)告》維護(hù)國(guó)家《2006-2020年國(guó)家信息化發(fā)展戰(zhàn)略》

—中辦[2006]11號(hào)文—

第

(八)部分:“建設(shè)國(guó)家信息安全保障體系”實(shí)現(xiàn)信息化與信息安全協(xié)調(diào)發(fā)展增強(qiáng)信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)抗毀能力增強(qiáng)國(guó)家信息安全保障能力研究國(guó)際信息安全先進(jìn)理論、先進(jìn)技術(shù)掌握核心安全技術(shù)、提高關(guān)鍵設(shè)備裝備能力促進(jìn)我國(guó)信息安全技術(shù)和產(chǎn)業(yè)的自主發(fā)展完善國(guó)家信息安全長(zhǎng)效機(jī)制------

11《2006-2020年國(guó)家信息化發(fā)展戰(zhàn)略》“信息安全”內(nèi)涵保值威脅威脅發(fā)起者資產(chǎn)擁有者對(duì)策脆弱性風(fēng)險(xiǎn)系統(tǒng)資產(chǎn)使命貶值利用增加濫用與破壞發(fā)現(xiàn)意識(shí)到減少降低合法與可用？12“信息安全”內(nèi)涵保值威脅威脅發(fā)起者資產(chǎn)擁有者對(duì)策脆弱性風(fēng)險(xiǎn)系信息安全概念演變?cè)缙冢和ㄐ疟Ｃ茈A段（ComSec），通信內(nèi)容保密為主中期：信息安全階段（InfoSec），信息自身的靜態(tài)防護(hù)為主近期：信息保障階段（InformationAssurance—IA），強(qiáng)調(diào)動(dòng)態(tài)的、縱深的、生命周期的、整個(gè)信息系統(tǒng)資產(chǎn)的信息對(duì)抗。我們當(dāng)前所指“信息安全”=“信息保障”，即“在整個(gè)生命周期中，處在縱深防御和動(dòng)態(tài)對(duì)抗的信息系統(tǒng)，為保障其中數(shù)據(jù)及服務(wù)的完整性、保密性、可用性（防拒絕和破壞）、真實(shí)性（交互雙方的數(shù)據(jù)、人員的身份和權(quán)限、設(shè)施的鑒別）、可控性（監(jiān)控、審計(jì)、取證、防有害內(nèi)容傳播）、可靠性而抵制各類威脅所提供的一種能力13信息安全概念演變?cè)缙冢和ㄐ疟Ｃ茈A段（ComSec），通信內(nèi)容信息系統(tǒng)安全整體對(duì)策(一)構(gòu)建信息安全保障體系(二)作好信息安全風(fēng)險(xiǎn)評(píng)估14信息系統(tǒng)安全整體對(duì)策14

(一)構(gòu)建信息安全保障體系1515電子政務(wù)安全保障體系框架安全法規(guī)安全管理安全標(biāo)準(zhǔn)安全工程與服務(wù)安全基礎(chǔ)設(shè)施安全技術(shù)與產(chǎn)品16電子政務(wù)安全保障體系框架安安安安安安16信息安全法規(guī)《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》

（國(guó)信辦[2005]1號(hào)文）《信息安全等級(jí)保護(hù)管理辦法（試行）》

（公通字[2006]7號(hào)文）《中華人民共和國(guó)保守國(guó)家秘密法》(在修訂)《信息安全法》（信息安全管理?xiàng)l例）《電子簽名法》（2005年4月1日實(shí)施）------------17信息安全法規(guī)《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》17行政管理體制:國(guó)家網(wǎng)絡(luò)信息安全協(xié)調(diào)小組，部門，地區(qū)技術(shù)管理體制:CSO信息系統(tǒng)安全管理準(zhǔn)則（ISO17799）--GBxxxx管理策略組織與人員資產(chǎn)分類與安全控制配置與運(yùn)行網(wǎng)絡(luò)信息安全域與通信安全異常事件與審計(jì)信息標(biāo)記與文檔物理與環(huán)境開(kāi)發(fā)與維護(hù)作業(yè)連續(xù)性保障符合性信息安全組織管理18行政管理體制:國(guó)家網(wǎng)絡(luò)信息安全協(xié)調(diào)小組，部門，地區(qū)信息安全組國(guó)家信息安全標(biāo)準(zhǔn)化委員會(huì)安全功能定義安全要素設(shè)計(jì)：物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、管理全程安全控制風(fēng)險(xiǎn)全程管理安全有效評(píng)估強(qiáng)壯性策略（02.4.15成立.十個(gè)工作組）標(biāo)準(zhǔn)體系與協(xié)調(diào)（含可信計(jì)算）涉密信息系統(tǒng)保密密碼算法與模塊PKI/PMI安全評(píng)估應(yīng)急處理安全管理(風(fēng)險(xiǎn)評(píng)估)電子證據(jù)身份標(biāo)識(shí)與鑒別操作系統(tǒng)與數(shù)據(jù)國(guó)家報(bào)批搞16項(xiàng)、送審稿25項(xiàng)、研制近70項(xiàng)19國(guó)家信息安全標(biāo)準(zhǔn)化委員會(huì)安全功能定義（02.4.15成立.十信息系統(tǒng)安全工程和服務(wù)安全需求分析：威脅，弱點(diǎn)，風(fēng)險(xiǎn)，資產(chǎn)、使命、對(duì)策、安全體系結(jié)構(gòu)與功能定義安全要素設(shè)計(jì)：物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、管理安全系統(tǒng)構(gòu)建與集成管理服務(wù)全程的信息安全風(fēng)險(xiǎn)評(píng)估信息系統(tǒng)強(qiáng)壯性策略、（ISSE，IATF，CC，TESEC）20信息系統(tǒng)安全工程和服務(wù)安全需求分析：威脅，弱點(diǎn)，風(fēng)險(xiǎn)，資

信息加密技術(shù)（對(duì)稱、公開(kāi)、可恢復(fù)、量子、隱藏)

鑒別與認(rèn)證（口令/密碼、動(dòng)態(tài)口令/ToKen、CA/簽名、物理識(shí)別）

訪問(wèn)控制技術(shù)（ACL、RBAC、DAC、MAC、能力表、AA）

網(wǎng)絡(luò)邊界安全技術(shù)（FW、Proxy、NG、GAP、UTM）

病毒防治技術(shù)（防、查、殺、清）

網(wǎng)絡(luò)隱患掃描與發(fā)現(xiàn)（缺陷、后門、嵌入、惡意代碼）

內(nèi)容識(shí)別與過(guò)濾技術(shù)（關(guān)鍵字、特征、上下文、自然語(yǔ)言）

主機(jī)內(nèi)控防護(hù)技術(shù)（監(jiān)控、檢測(cè)、防泄、管理、審計(jì)）信息安全技術(shù)領(lǐng)域21信息加密技術(shù)（對(duì)稱、公開(kāi)、可恢復(fù)、量子、隱藏)信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估技術(shù)（收集、分析、檢測(cè)、滲透、管理）網(wǎng)絡(luò)檢測(cè)、預(yù)警和攻擊技術(shù)（IDS、Agent、面防、追蹤、反擊、陷阱）

“內(nèi)容”產(chǎn)權(quán)保護(hù)技術(shù)（數(shù)字水印、安全容器、加密、簽名）

“安全基”技術(shù)（補(bǔ)丁、配置、清除、監(jiān)視、加固、監(jiān)視、升級(jí)）審計(jì)與取證（全局審計(jì)、審計(jì)保護(hù)、反向工程、恢復(fù)提?。?/p>

備份與容災(zāi)（SAN、NAS、集群、冗余、鏡象）

可信計(jì)算（TCG、TCPA、TSS、TPM、TWC、----）信息安全集成管理（信息共享、協(xié)同聯(lián)動(dòng)、策略牽引）信息安全技術(shù)領(lǐng)域22信息安全風(fēng)險(xiǎn)評(píng)估技術(shù)（收集、分析、檢測(cè)、滲透、管理）信息安全信息網(wǎng)絡(luò)安全域縱深防御框架核心內(nèi)網(wǎng)局域計(jì)算環(huán)境（安全域a）專用外網(wǎng)局域計(jì)算環(huán)境（安全域m）公共服務(wù)網(wǎng)局域計(jì)算環(huán)境（安全域n）Internet、TSP、PSTN、VPN網(wǎng)絡(luò)通信基礎(chǔ)設(shè)施（光纖、無(wú)線、衛(wèi)星）信息安全基礎(chǔ)設(shè)施(PKI、PMI、KMI、CERT、DRI)網(wǎng)絡(luò)安全邊界23信息網(wǎng)絡(luò)安全域縱深防御框架核心內(nèi)網(wǎng)專用外網(wǎng)公共服務(wù)網(wǎng)InteEG用主流的信息安全產(chǎn)品防范外部入侵類放火墻、防病毒、入侵檢測(cè)、物理隔離防控內(nèi)部作案類強(qiáng)審計(jì)、主機(jī)內(nèi)控、主機(jī)安保、系統(tǒng)級(jí)安全類加密、鑒別、授權(quán)、掃描、災(zāi)備、過(guò)濾、物理安全、集成管理、安全測(cè)評(píng)24EG用主流的信息安全產(chǎn)品防范外部入侵類24信息安全基礎(chǔ)設(shè)施的支撐數(shù)字證書認(rèn)證體系（CA/PKI）網(wǎng)絡(luò)應(yīng)急支援體系（CERT）災(zāi)難恢復(fù)基礎(chǔ)設(shè)施（DRI）病毒防治服務(wù)體系（AVERT）產(chǎn)品與系統(tǒng)安全檢測(cè)、評(píng)估體系（CC/TCSEC）密鑰管理基礎(chǔ)設(shè)施（KMI）授權(quán)管理基礎(chǔ)設(shè)施（AA/PMI）信息安全事件通報(bào)與會(huì)商體系網(wǎng)絡(luò)監(jiān)控與預(yù)警體系信息保密檢查體系信息安全偵控體系網(wǎng)絡(luò)輿情掌控與治理體系25信息安全基礎(chǔ)設(shè)施的支撐數(shù)字證書認(rèn)證體系（CA/PKI）2信息安全保障體系建設(shè)的目標(biāo)1）增加信息網(wǎng)絡(luò)四種安全能力信息安全防護(hù)能力隱患發(fā)現(xiàn)能力網(wǎng)絡(luò)應(yīng)急反應(yīng)能力信息對(duì)抗能力2）保障信息及其服務(wù)具有六性保密性、完整性、可用性、真實(shí)性、可核查性（可控性）、可靠性26信息安全保障體系建設(shè)的目標(biāo)信息安全防護(hù)能力2）保障信息及其

(二)作好信息安全風(fēng)險(xiǎn)評(píng)估2727

提升信息安全風(fēng)險(xiǎn)評(píng)估意識(shí)

社會(huì)、經(jīng)濟(jì)、政治、文化對(duì)信息化的強(qiáng)烈依賴作業(yè)連續(xù)性保障（BCM/BCP）引起普遍關(guān)注

信息安全保障體系建設(shè)（IA）成為焦點(diǎn)實(shí)施信息安全的風(fēng)險(xiǎn)管理正在被認(rèn)同提升信息安全風(fēng)險(xiǎn)評(píng)估意識(shí)和能力是當(dāng)務(wù)之急

信息安全風(fēng)險(xiǎn)評(píng)估既是信息安全建設(shè)的起點(diǎn)也覆蓋終生創(chuàng)建一個(gè)安全的信息化環(huán)境保障信息化健康發(fā)展

28提升信息安全風(fēng)險(xiǎn)評(píng)估意識(shí)威脅脆弱性防護(hù)措施風(fēng)險(xiǎn)資產(chǎn)防護(hù)需求價(jià)值抗擊利用增加增加暴露被滿足引出增加擁有風(fēng)險(xiǎn)管理要素關(guān)系圖29威脅脆弱性防護(hù)措施風(fēng)險(xiǎn)資產(chǎn)防護(hù)需求價(jià)值抗擊利用增加增加暴露被信息系統(tǒng)安全風(fēng)險(xiǎn)管理比較和對(duì)比可用攻擊研究敵方行為理論開(kāi)創(chuàng)任務(wù)影響理論比較和對(duì)比各種行為行動(dòng)決策對(duì)策識(shí)別與特征描述任務(wù)關(guān)鍵性參數(shù)權(quán)衡脆弱性與攻擊的識(shí)別與特征描述威脅的識(shí)別與特征描述任務(wù)影響的識(shí)別與描述基礎(chǔ)研究與事件分離系統(tǒng)改進(jìn)風(fēng)險(xiǎn)分析30信息系統(tǒng)安全風(fēng)險(xiǎn)管理比較和對(duì)比研究敵方開(kāi)創(chuàng)任務(wù)比較和對(duì)比行動(dòng)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的特征信息系統(tǒng)是一個(gè)巨型復(fù)雜系統(tǒng)（系統(tǒng)要素、安全要素）信息系統(tǒng)受制于外部因素（物理環(huán)境、行政管理、人員）信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估是一項(xiàng)系統(tǒng)工程發(fā)現(xiàn)隱患、采取對(duì)策、提升強(qiáng)度、總結(jié)經(jīng)驗(yàn)自評(píng)估、委托評(píng)估、檢察評(píng)估31信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的特征信息系統(tǒng)是一個(gè)巨型復(fù)雜系統(tǒng)（系統(tǒng)要信息系統(tǒng)安全評(píng)估目的提供采取降低影響完成保護(hù)安全保證技術(shù)提供者系統(tǒng)評(píng)估者安全保證信心風(fēng)險(xiǎn)對(duì)策資產(chǎn)使命資產(chǎn)擁有者價(jià)值給出證據(jù)生成保證具有32信息系統(tǒng)安全評(píng)估目的提供采取降低影響完成保護(hù)安全保證技術(shù)提供

信息安全風(fēng)險(xiǎn)評(píng)估是提升

信息安全體系強(qiáng)度重要保證

信息系統(tǒng)資產(chǎn)是有價(jià)資產(chǎn)脆弱性/威脅力力圖使資產(chǎn)貶值影響/風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)估：發(fā)現(xiàn)、預(yù)防、降低、轉(zhuǎn)移、補(bǔ)償、承受采取措施以提升系統(tǒng)安全強(qiáng)度保護(hù)信息系統(tǒng)資產(chǎn)價(jià)值（保密性、完整性、可用性）完成系統(tǒng)的使命

33信息安全風(fēng)險(xiǎn)評(píng)估是提升信息系統(tǒng)生命周期中

安全保障與評(píng)估策劃與組織開(kāi)發(fā)與采購(gòu)信息系統(tǒng)安全保障與評(píng)估實(shí)施與交付運(yùn)行與維護(hù)更新與廢棄34信息系統(tǒng)生命周期中

安全保障與評(píng)估策劃與組織開(kāi)發(fā)與采購(gòu)信息系國(guó)家對(duì)信息安全風(fēng)險(xiǎn)評(píng)估工作高度重視

國(guó)信辦[2005]5號(hào)文件<信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作方案>“國(guó)信辦”與“安標(biāo)委”

《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T報(bào)批稿）

“國(guó)信辦”抓緊風(fēng)險(xiǎn)評(píng)估試點(diǎn)、宣貫和推廣（05、06年）“保密局”涉密信息領(lǐng)域風(fēng)險(xiǎn)評(píng)估規(guī)范”科技部“

信息安全風(fēng)險(xiǎn)評(píng)估方法、工具、模型研制35國(guó)家對(duì)信息安全風(fēng)險(xiǎn)評(píng)估工作國(guó)信辦[2005]5號(hào)文件35國(guó)內(nèi)信息安全評(píng)估機(jī)構(gòu)的現(xiàn)狀國(guó)家信息安全標(biāo)準(zhǔn)化委員會(huì)（“信息安全評(píng)估工作組-WG5）國(guó)家信息安全測(cè)評(píng)中心（信息技術(shù)安全性評(píng)估準(zhǔn)則-GB/T18336）（EG信息系統(tǒng)安全保障評(píng)估準(zhǔn)則）

公安部（計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則-GB17859-1999）（計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求-GA/T390-2002）

國(guó)家保密局（涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)安全保密測(cè)評(píng)指南-BMZ3-2001）

北京市信息辦（黨政機(jī)關(guān)信息系統(tǒng)安全測(cè)評(píng)規(guī)范）上海市信息辦（信息系統(tǒng)安全測(cè)評(píng)規(guī)范）解放軍（信息系統(tǒng)安全評(píng)估規(guī)范）其它36國(guó)內(nèi)信息安全評(píng)估機(jī)構(gòu)的現(xiàn)狀國(guó)家信息安全標(biāo)準(zhǔn)化委員會(huì)（“信息安建立國(guó)家信息安全評(píng)估體系信息安全評(píng)估標(biāo)準(zhǔn)和規(guī)范體系

IT產(chǎn)品、IT系統(tǒng)、IT服務(wù)信息安全評(píng)估監(jiān)管體系

對(duì)評(píng)估組織與評(píng)估行為的監(jiān)管(等級(jí),資質(zhì),規(guī)則)信息安全評(píng)估組織體系，在認(rèn)監(jiān)委、信息辦領(lǐng)導(dǎo)下

認(rèn)可機(jī)構(gòu)認(rèn)證機(jī)構(gòu)評(píng)估技術(shù)支援中心（實(shí)驗(yàn)室）專家委員會(huì)檢測(cè)、評(píng)估機(jī)構(gòu)檢測(cè)、評(píng)估機(jī)構(gòu)評(píng)估操作層技術(shù)支持層認(rèn)證層認(rèn)可監(jiān)管層37建立國(guó)家信息安全評(píng)估體系信息安全評(píng)估標(biāo)準(zhǔn)和規(guī)范體系認(rèn)可機(jī)構(gòu)認(rèn)國(guó)際信息系統(tǒng)安全測(cè)評(píng)狀況NIACAPDICSCAPNSTISSIFIPS102

行業(yè)與企業(yè)的風(fēng)險(xiǎn)評(píng)估投入明顯（1%——5%）38國(guó)際信息系統(tǒng)安全測(cè)評(píng)狀況NIACAP38信息系統(tǒng)安全評(píng)估方法定性分析與定量結(jié)合評(píng)估機(jī)構(gòu)與評(píng)估專家結(jié)合評(píng)估考查與評(píng)估檢測(cè)結(jié)合技術(shù)安全與管理安全結(jié)合39信息系統(tǒng)安全評(píng)估方法定性分析與定量結(jié)合39信息系統(tǒng)安全分析與檢測(cè)管理安全分析

組織、人員、制度、資產(chǎn)控制、物理、操作、連續(xù)性、應(yīng)急過(guò)程安全分析

威脅、風(fēng)險(xiǎn)、脆弱性、需求、策略、方案、符合性分發(fā)、運(yùn)行、維護(hù)、更新、廢棄技術(shù)安全分析與檢測(cè)

安全機(jī)制、功能和強(qiáng)度分析網(wǎng)絡(luò)設(shè)施、安全設(shè)施及主機(jī)配置安全分析網(wǎng)絡(luò)設(shè)備和主機(jī)設(shè)備脆弱性分析系統(tǒng)穿透性測(cè)試40信息系統(tǒng)安全分析與檢測(cè)管理安全分析40風(fēng)險(xiǎn)評(píng)估實(shí)施步驟(1)風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備(2)資產(chǎn)識(shí)別(3)威脅識(shí)別(4)脆弱性識(shí)別(5)已有安全措施的確認(rèn)(6)風(fēng)險(xiǎn)分析(7)風(fēng)險(xiǎn)評(píng)估文件記錄(8)風(fēng)險(xiǎn)評(píng)估對(duì)策41風(fēng)險(xiǎn)評(píng)估實(shí)施步驟41風(fēng)險(xiǎn)評(píng)估流程42風(fēng)險(xiǎn)評(píng)估流程42

風(fēng)險(xiǎn)分析示意圖43風(fēng)險(xiǎn)分析示意圖43風(fēng)險(xiǎn)評(píng)估工具（1）風(fēng)險(xiǎn)評(píng)估管理工具

基于安全標(biāo)準(zhǔn)、基于知識(shí)、基于模型采點(diǎn)、收集、描述、分析（2）風(fēng)險(xiǎn)評(píng)估檢測(cè)工具

脆弱性掃描：網(wǎng)絡(luò)、主機(jī)、數(shù)據(jù)庫(kù)、網(wǎng)站、滲透性測(cè)試：黑客、病毒、木馬、諜件、劫持、拒絕、破譯（3）風(fēng)險(xiǎn)評(píng)估輔助工具

入侵檢測(cè)、安全審計(jì)、拓?fù)浒l(fā)現(xiàn)、資產(chǎn)收集知識(shí)庫(kù)、漏洞庫(kù)、算法庫(kù)、模型庫(kù)、指標(biāo)庫(kù)44風(fēng)險(xiǎn)評(píng)估工具44信息安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)成效顯著（05年）

提高了風(fēng)險(xiǎn)意識(shí)、培育自評(píng)估能力（8個(gè)試點(diǎn)、幾千人日）三要素的識(shí)別與賦值能力有所提高、（并探索行業(yè)細(xì)則）發(fā)現(xiàn)和消除大量隱患、提升了安全強(qiáng)度（表層與深層）

采用了多種評(píng)估模式并總結(jié)經(jīng)驗(yàn)（自評(píng)、委托、檢查）實(shí)效性/關(guān)鍵性/涉密性/常規(guī)性等系統(tǒng)的分類指導(dǎo)風(fēng)險(xiǎn)評(píng)估方法、工具、平臺(tái)有所創(chuàng)新

應(yīng)急予案、離線評(píng)估、管理軟件、識(shí)別知識(shí)化、多種評(píng)估方法—----評(píng)估過(guò)程的風(fēng)險(xiǎn)控制對(duì)策（管理、協(xié)議、技術(shù)、機(jī)制）全程的風(fēng)險(xiǎn)評(píng)估分類試點(diǎn)（規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)行、更新）評(píng)估協(xié)同機(jī)制的探索（業(yè)主、建設(shè)、評(píng)估三方協(xié)同）體系與深層隱患的評(píng)估開(kāi)始引起重視45信息安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)成效顯著（05年）信息安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)狀況（06年）

正在制訂培訓(xùn)計(jì)劃、提高風(fēng)險(xiǎn)意識(shí)和培育自評(píng)估能力策劃宣貫國(guó)家信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范、并探索行業(yè)細(xì)則出臺(tái)政府相關(guān)風(fēng)險(xiǎn)評(píng)估的規(guī)定（政府令）制訂部門和地區(qū)的全局評(píng)估計(jì)劃和選擇試范點(diǎn)推動(dòng)屬地原則和縱向支持的原則組織培訓(xùn)信息安全評(píng)估人才和組建隊(duì)伍

探索各種評(píng)估模式的試點(diǎn)采用（自評(píng)、委托、檢查）對(duì)實(shí)效性/關(guān)鍵性/涉密性/常規(guī)性等試點(diǎn)系統(tǒng)的進(jìn)行選擇考慮風(fēng)險(xiǎn)評(píng)估方法、工具、平臺(tái)的采用對(duì)評(píng)估試點(diǎn)階段的選擇（規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)行、更新）向有關(guān)部門提出培訓(xùn)、支援、規(guī)范、規(guī)則、試點(diǎn)----等建議46信息安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)狀況（06年）大力推進(jìn)信息安全風(fēng)險(xiǎn)評(píng)估工作

提高信息安全風(fēng)險(xiǎn)評(píng)估意識(shí)”信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范“即將出臺(tái)和宣貫風(fēng)險(xiǎn)評(píng)估試點(diǎn)將進(jìn)一步擴(kuò)展和推廣風(fēng)險(xiǎn)評(píng)估制度化、等級(jí)化、建立長(zhǎng)效機(jī)制風(fēng)險(xiǎn)評(píng)估方法、工具、平臺(tái)深入開(kāi)發(fā)和推薦風(fēng)險(xiǎn)評(píng)估技術(shù)基礎(chǔ)設(shè)施的建設(shè)風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)的行政準(zhǔn)入許可相關(guān)標(biāo)準(zhǔn)規(guī)范的制訂相關(guān)法規(guī)的出臺(tái)

47大力推進(jìn)信息安全風(fēng)險(xiǎn)評(píng)估工作提高信息信息系統(tǒng)安全整體對(duì)策(一)構(gòu)建信息安全保障體系

（重視頂層設(shè)計(jì)）(二)作好信息安全風(fēng)險(xiǎn)評(píng)估

（是起點(diǎn)、也覆蓋終生）48信息系統(tǒng)安全整體對(duì)策48提升信息安全風(fēng)險(xiǎn)評(píng)估意識(shí)強(qiáng)化信息安全保障體系建設(shè)提升信息安全風(fēng)險(xiǎn)評(píng)估意識(shí)強(qiáng)化信息安全保障體系建設(shè)49信息安全面臨的威脅網(wǎng)上黑客與計(jì)算機(jī)欺詐網(wǎng)絡(luò)病毒的蔓延和破壞有害信息內(nèi)容污染與輿情誤導(dǎo)機(jī)要信息流失與“諜件”潛入內(nèi)部人員誤用、濫用、惡用IT產(chǎn)品的失控（分發(fā)式威脅）物理臨近式威脅網(wǎng)上恐怖活動(dòng)與信息戰(zhàn)網(wǎng)絡(luò)的脆弱性和系統(tǒng)漏洞50信息安全面臨的威脅網(wǎng)上黑客與計(jì)算機(jī)欺詐2網(wǎng)絡(luò)突發(fā)事件正在引起全球關(guān)注2000年2月7日美國(guó)網(wǎng)上恐怖事件造成巨大損失

（DDos、八大重要網(wǎng)站、$12億美元）2001年日本東京國(guó)際機(jī)場(chǎng)航管失靈，影響巨大

（紅色病毒、幾百架飛機(jī)無(wú)法起降、千人行程受阻）2003年美國(guó)銀行的ATM網(wǎng)遭入侵，損失慘重

（Slammer、幾十億美元）

2004年震蕩波幾天波及全球2005年CardSystem公司4000萬(wàn)張卡用戶信息被盜

（美國(guó)最大的竊密事件、植入特洛伊木馬、假冒消費(fèi)）網(wǎng)絡(luò)正在成為恐怖組織聯(lián)絡(luò)和指揮工具（911、倫敦事件）9.11事件造成世貿(mào)中心1200家企業(yè)信息網(wǎng)絡(luò)蕩然無(wú)存

（有DRP/NCP的400家企業(yè)能夠恢復(fù)和生存）網(wǎng)絡(luò)輿情的爆發(fā)波及到物理社會(huì)的穩(wěn)定信息網(wǎng)絡(luò)的失竊密事件層出不窮51網(wǎng)絡(luò)突發(fā)事件正在引起全球關(guān)注2我國(guó)網(wǎng)絡(luò)信息安全入侵事件態(tài)勢(shì)嚴(yán)竣(CNCERT/CC05年度報(bào)告數(shù)據(jù))

收到信息安全事件報(bào)告12萬(wàn)件(04年的2倍)監(jiān)測(cè)發(fā)現(xiàn)2萬(wàn)臺(tái)計(jì)算機(jī)被木馬遠(yuǎn)程控制(04年的2倍)發(fā)現(xiàn)1.4萬(wàn)個(gè)網(wǎng)站遭黑客篡改,其中政府網(wǎng)站2千(04年的2倍)網(wǎng)絡(luò)釣魚(身份竊取)事件報(bào)告400件(04年的2倍)監(jiān)測(cè)發(fā)現(xiàn)70萬(wàn)臺(tái)計(jì)算機(jī)被植入諜件(源頭主要在國(guó)外)發(fā)現(xiàn)僵尸網(wǎng)絡(luò)143個(gè)(受控計(jì)算機(jī)250萬(wàn)臺(tái))52我國(guó)網(wǎng)絡(luò)信息安全入侵事件態(tài)勢(shì)嚴(yán)竣收到信息安全事件報(bào)告1互聯(lián)網(wǎng)信息安全威脅的某些新動(dòng)向

僵尸網(wǎng)絡(luò)威脅興起諜件泛濫值得嚴(yán)重關(guān)注網(wǎng)絡(luò)釣魚的獲利動(dòng)機(jī)明顯網(wǎng)頁(yè)篡改(嵌入惡意代碼),誘人上當(dāng)DDoS開(kāi)始用于敲詐

木馬潛伏孕育著殺機(jī)獲利和竊信傾向正在成為主流53互聯(lián)網(wǎng)信息安全威脅的某些新動(dòng)向領(lǐng)導(dǎo)重視、管理較嚴(yán)、常規(guī)的系統(tǒng)和外防機(jī)制基本到位深層隱患值得深思

內(nèi)控機(jī)制脆弱高危漏洞存在信息安全域界定與邊控待探索風(fēng)險(xiǎn)自評(píng)估能力弱災(zāi)難恢復(fù)不到位用戶自控權(quán)不落實(shí)----------“重要信息系統(tǒng)”安全態(tài)勢(shì)與深層隱患（案例考察）54領(lǐng)導(dǎo)重視、管理較嚴(yán)、常規(guī)的系統(tǒng)和外防機(jī)制基本到位“重要信息系國(guó)家信息化領(lǐng)導(dǎo)小組第三次會(huì)議《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》—中辦發(fā)[2003]27號(hào)文—

堅(jiān)持積極防御、綜合防范全面提高信息安全防護(hù)能力

重點(diǎn)保障信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境保障和促進(jìn)信息化發(fā)展、保護(hù)公眾利益、維護(hù)國(guó)家安全立足國(guó)情、以我為主、管理與技術(shù)并重、統(tǒng)籌規(guī)劃、突出重點(diǎn)

發(fā)揮各界積極性、共同構(gòu)筑國(guó)家信息安全保障體系

55國(guó)家信息化領(lǐng)導(dǎo)小組第三次會(huì)議《關(guān)于加國(guó)家信息安全保障工作要點(diǎn)

實(shí)行信息安全等級(jí)保護(hù)制度：風(fēng)險(xiǎn)與成本、資源優(yōu)化配置、安全風(fēng)險(xiǎn)評(píng)估

基于密碼技術(shù)網(wǎng)絡(luò)信任體系建設(shè)：密碼管理體制、身份認(rèn)證、授權(quán)管理、責(zé)任認(rèn)定

建設(shè)信息安全監(jiān)控體系：提高對(duì)網(wǎng)絡(luò)攻擊、病毒入侵、網(wǎng)絡(luò)失竊密、有害信息的防范能力

重視信息安全應(yīng)急處理工作：指揮、響應(yīng)、協(xié)調(diào)、通報(bào)、支援、抗毀、災(zāi)備

推動(dòng)信息安全技術(shù)研發(fā)與產(chǎn)業(yè)發(fā)展：關(guān)鍵技術(shù)、自主創(chuàng)新、強(qiáng)化可控、引導(dǎo)與市場(chǎng)、測(cè)評(píng)認(rèn)證、采購(gòu)、服務(wù)

信息安全法制與標(biāo)準(zhǔn)建設(shè)：信息安全法、打擊網(wǎng)絡(luò)犯罪、標(biāo)準(zhǔn)體系、規(guī)范網(wǎng)絡(luò)行為

信息安全人材培養(yǎng)與增強(qiáng)安全意識(shí)：學(xué)科、培訓(xùn)、意識(shí)、技能、自律、守法

信息安全組織建設(shè)：信息安全協(xié)調(diào)小組、責(zé)任制、依法管理56國(guó)家信息安全保障工作要點(diǎn)實(shí)行信息國(guó)家信息安全保障工作高層會(huì)議(2004.1.9)

信息安全的重要性：IT增長(zhǎng)25%、GDP的6%、強(qiáng)烈依賴

信息安全的重大案例信息安全存在的問(wèn)題

一個(gè)并重、兩手抓、三個(gè)同步新思路、新眼光，建立信息安全保障體系

關(guān)鍵技術(shù)產(chǎn)品要自主可控認(rèn)真落實(shí)中央27號(hào)文件57國(guó)家信息安全保障工作高層會(huì)議信息安全的重要性：IT增長(zhǎng)2《國(guó)家信息安全戰(zhàn)略報(bào)告》

—國(guó)信[2005]2號(hào)文—

維護(hù)國(guó)家在網(wǎng)絡(luò)空間的根本利益確保國(guó)家的經(jīng)濟(jì)、政治、文化和信息的安全三大信息基礎(chǔ)設(shè)施、八大重要信息系統(tǒng)、信息內(nèi)容信息安全基礎(chǔ)支撐能力信息安全防護(hù)與對(duì)抗能力網(wǎng)絡(luò)突發(fā)事件快速反應(yīng)能力網(wǎng)絡(luò)輿情駕馭能力綜合治理、協(xié)調(diào)聯(lián)動(dòng)、群防群治政策、標(biāo)準(zhǔn)、管理、技術(shù)、產(chǎn)業(yè)、人材、理論

構(gòu)筑國(guó)家信息安全保障體系信息安全長(zhǎng)效機(jī)制信息安全戰(zhàn)略的主動(dòng)權(quán)------

58《國(guó)家信息安全戰(zhàn)略報(bào)告》維護(hù)國(guó)家《2006-2020年國(guó)家信息化發(fā)展戰(zhàn)略》

—中辦[2006]11號(hào)文—

第

(八)部分:“建設(shè)國(guó)家信息安全保障體系”實(shí)現(xiàn)信息化與信息安全協(xié)調(diào)發(fā)展增強(qiáng)信息基礎(chǔ)設(shè)施和重要信息系統(tǒng)抗毀能力增強(qiáng)國(guó)家信息安全保障能力研究國(guó)際信息安全先進(jìn)理論、先進(jìn)技術(shù)掌握核心安全技術(shù)、提高關(guān)鍵設(shè)備裝備能力促進(jìn)我國(guó)信息安全技術(shù)和產(chǎn)業(yè)的自主發(fā)展完善國(guó)家信息安全長(zhǎng)效機(jī)制------

59《2006-2020年國(guó)家信息化發(fā)展戰(zhàn)略》“信息安全”內(nèi)涵保值威脅威脅發(fā)起者資產(chǎn)擁有者對(duì)策脆弱性風(fēng)險(xiǎn)系統(tǒng)資產(chǎn)使命貶值利用增加濫用與破壞發(fā)現(xiàn)意識(shí)到減少降低合法與可用？60“信息安全”內(nèi)涵保值威脅威脅發(fā)起者資產(chǎn)擁有者對(duì)策脆弱性風(fēng)險(xiǎn)系信息安全概念演變?cè)缙冢和ㄐ疟Ｃ茈A段（ComSec），通信內(nèi)容保密為主中期：信息安全階段（InfoSec），信息自身的靜態(tài)防護(hù)為主近期：信息保障階段（InformationAssurance—IA），強(qiáng)調(diào)動(dòng)態(tài)的、縱深的、生命周期的、整個(gè)信息系統(tǒng)資產(chǎn)的信息對(duì)抗。我們當(dāng)前所指“信息安全”=“信息保障”，即“在整個(gè)生命周期中，處在縱深防御和動(dòng)態(tài)對(duì)抗的信息系統(tǒng)，為保障其中數(shù)據(jù)及服務(wù)的完整性、保密性、可用性（防拒絕和破壞）、真實(shí)性（交互雙方的數(shù)據(jù)、人員的身份和權(quán)限、設(shè)施的鑒別）、可控性（監(jiān)控、審計(jì)、取證、防有害內(nèi)容傳播）、可靠性而抵制各類威脅所提供的一種能力61信息安全概念演變?cè)缙冢和ㄐ疟Ｃ茈A段（ComSec），通信內(nèi)容信息系統(tǒng)安全整體對(duì)策(一)構(gòu)建信息安全保障體系(二)作好信息安全風(fēng)險(xiǎn)評(píng)估62信息系統(tǒng)安全整體對(duì)策14

(一)構(gòu)建信息安全保障體系6315電子政務(wù)安全保障體系框架安全法規(guī)安全管理安全標(biāo)準(zhǔn)安全工程與服務(wù)安全基礎(chǔ)設(shè)施安全技術(shù)與產(chǎn)品64電子政務(wù)安全保障體系框架安安安安安安16信息安全法規(guī)《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》

（國(guó)信辦[2005]1號(hào)文）《信息安全等級(jí)保護(hù)管理辦法（試行）》

（公通字[2006]7號(hào)文）《中華人民共和國(guó)保守國(guó)家秘密法》(在修訂)《信息安全法》（信息安全管理?xiàng)l例）《電子簽名法》（2005年4月1日實(shí)施）------------65信息安全法規(guī)《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》17行政管理體制:國(guó)家網(wǎng)絡(luò)信息安全協(xié)調(diào)小組，部門，地區(qū)技術(shù)管理體制:CSO信息系統(tǒng)安全管理準(zhǔn)則（ISO17799）--GBxxxx管理策略組織與人員資產(chǎn)分類與安全控制配置與運(yùn)行網(wǎng)絡(luò)信息安全域與通信安全異常事件與審計(jì)信息標(biāo)記與文檔物理與環(huán)境開(kāi)發(fā)與維護(hù)作業(yè)連續(xù)性保障符合性信息安全組織管理66行政管理體制:國(guó)家網(wǎng)絡(luò)信息安全協(xié)調(diào)小組，部門，地區(qū)信息安全組國(guó)家信息安全標(biāo)準(zhǔn)化委員會(huì)安全功能定義安全要素設(shè)計(jì)：物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、管理全程安全控制風(fēng)險(xiǎn)全程管理安全有效評(píng)估強(qiáng)壯性策略（02.4.15成立.十個(gè)工作組）標(biāo)準(zhǔn)體系與協(xié)調(diào)（含可信計(jì)算）涉密信息系統(tǒng)保密密碼算法與模塊PKI/PMI安全評(píng)估應(yīng)急處理安全管理(風(fēng)險(xiǎn)評(píng)估)電子證據(jù)身份標(biāo)識(shí)與鑒別操作系統(tǒng)與數(shù)據(jù)國(guó)家報(bào)批搞16項(xiàng)、送審稿25項(xiàng)、研制近70項(xiàng)67國(guó)家信息安全標(biāo)準(zhǔn)化委員會(huì)安全功能定義（02.4.15成立.十信息系統(tǒng)安全工程和服務(wù)安全需求分析：威脅，弱點(diǎn)，風(fēng)險(xiǎn)，資產(chǎn)、使命、對(duì)策、安全體系結(jié)構(gòu)與功能定義安全要素設(shè)計(jì)：物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、管理安全系統(tǒng)構(gòu)建與集成管理服務(wù)全程的信息安全風(fēng)險(xiǎn)評(píng)估信息系統(tǒng)強(qiáng)壯性策略、（ISSE，IATF，CC，TESEC）68信息系統(tǒng)安全工程和服務(wù)安全需求分析：威脅，弱點(diǎn)，風(fēng)險(xiǎn)，資

信息加密技術(shù)（對(duì)稱、公開(kāi)、可恢復(fù)、量子、隱藏)

鑒別與認(rèn)證（口令/密碼、動(dòng)態(tài)口令/ToKen、CA/簽名、物理識(shí)別）

訪問(wèn)控制技術(shù)（ACL、RBAC、DAC、MAC、能力表、AA）

網(wǎng)絡(luò)邊界安全技術(shù)（FW、Proxy、NG、GAP、UTM）

病毒防治技術(shù)（防、查、殺、清）

網(wǎng)絡(luò)隱患掃描與發(fā)現(xiàn)（缺陷、后門、嵌入、惡意代碼）

內(nèi)容識(shí)別與過(guò)濾技術(shù)（關(guān)鍵字、特征、上下文、自然語(yǔ)言）

主機(jī)內(nèi)控防護(hù)技術(shù)（監(jiān)控、檢測(cè)、防泄、管理、審計(jì)）信息安全技術(shù)領(lǐng)域69信息加密技術(shù)（對(duì)稱、公開(kāi)、可恢復(fù)、量子、隱藏)信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估技術(shù)（收集、分析、檢測(cè)、滲透、管理）網(wǎng)絡(luò)檢測(cè)、預(yù)警和攻擊技術(shù)（IDS、Agent、面防、追蹤、反擊、陷阱）

“內(nèi)容”產(chǎn)權(quán)保護(hù)技術(shù)（數(shù)字水印、安全容器、加密、簽名）

“安全基”技術(shù)（補(bǔ)丁、配置、清除、監(jiān)視、加固、監(jiān)視、升級(jí)）審計(jì)與取證（全局審計(jì)、審計(jì)保護(hù)、反向工程、恢復(fù)提?。?/p>

備份與容災(zāi)（SAN、NAS、集群、冗余、鏡象）

可信計(jì)算（TCG、TCPA、TSS、TPM、TWC、----）信息安全集成管理（信息共享、協(xié)同聯(lián)動(dòng)、策略牽引）信息安全技術(shù)領(lǐng)域70信息安全風(fēng)險(xiǎn)評(píng)估技術(shù)（收集、分析、檢測(cè)、滲透、管理）信息安全信息網(wǎng)絡(luò)安全域縱深防御框架核心內(nèi)網(wǎng)局域計(jì)算環(huán)境（安全域a）專用外網(wǎng)局域計(jì)算環(huán)境（安全域m）公共服務(wù)網(wǎng)局域計(jì)算環(huán)境（安全域n）Internet、TSP、PSTN、VPN網(wǎng)絡(luò)通信基礎(chǔ)設(shè)施（光纖、無(wú)線、衛(wèi)星）信息安全基礎(chǔ)設(shè)施(PKI、PMI、KMI、CERT、DRI)網(wǎng)絡(luò)安全邊界71信息網(wǎng)絡(luò)安全域縱深防御框架核心內(nèi)網(wǎng)專用外網(wǎng)公共服務(wù)網(wǎng)InteEG用主流的信息安全產(chǎn)品防范外部入侵類放火墻、防病毒、入侵檢測(cè)、物理隔離防控內(nèi)部作案類強(qiáng)審計(jì)、主機(jī)內(nèi)控、主機(jī)安保、系統(tǒng)級(jí)安全類加密、鑒別、授權(quán)、掃描、災(zāi)備、過(guò)濾、物理安全、集成管理、安全測(cè)評(píng)72EG用主流的信息安全產(chǎn)品防范外部入侵類24信息安全基礎(chǔ)設(shè)施的支撐數(shù)字證書認(rèn)證體系（CA/PKI）網(wǎng)絡(luò)應(yīng)急支援體系（CERT）災(zāi)難恢復(fù)基礎(chǔ)設(shè)施（DRI）病毒防治服務(wù)體系（AVERT）產(chǎn)品與系統(tǒng)安全檢測(cè)、評(píng)估體系（CC/TCSEC）密鑰管理基礎(chǔ)設(shè)施（KMI）授權(quán)管理基礎(chǔ)設(shè)施（AA/PMI）信息安全事件通報(bào)與會(huì)商體系網(wǎng)絡(luò)監(jiān)控與預(yù)警體系信息保密檢查體系信息安全偵控體系網(wǎng)絡(luò)輿情掌控與治理體系73信息安全基礎(chǔ)設(shè)施的支撐數(shù)字證書認(rèn)證體系（CA/PKI）2信息安全保障體系建設(shè)的目標(biāo)1）增加信息網(wǎng)絡(luò)四種安全能力信息安全防護(hù)能力隱患發(fā)現(xiàn)能力網(wǎng)絡(luò)應(yīng)急反應(yīng)能力信息對(duì)抗能力2）保障信息及其服務(wù)具有六性保密性、完整性、可用性、真實(shí)性、可核查性（可控性）、可靠性74信息安全保障體系建設(shè)的目標(biāo)信息安全防護(hù)能力2）保障信息及其

(二)作好信息安全風(fēng)險(xiǎn)評(píng)估7527

提升信息安全風(fēng)險(xiǎn)評(píng)估意識(shí)

社會(huì)、經(jīng)濟(jì)、政治、文化對(duì)信息化的強(qiáng)烈依賴作業(yè)連續(xù)性保障（BCM/BCP）引起普遍關(guān)注

信息安全保障體系建設(shè)（IA）成為焦點(diǎn)實(shí)施信息安全的風(fēng)險(xiǎn)管理正在被認(rèn)同提升信息安全風(fēng)險(xiǎn)評(píng)估意識(shí)和能力是當(dāng)務(wù)之急

信息安全風(fēng)險(xiǎn)評(píng)估既是信息安全建設(shè)的起點(diǎn)也覆蓋終生創(chuàng)建一個(gè)安全的信息化環(huán)境保障信息化健康發(fā)展

76提升信息安全風(fēng)險(xiǎn)評(píng)估意識(shí)威脅脆弱性防護(hù)措施風(fēng)險(xiǎn)資產(chǎn)防護(hù)需求價(jià)值抗擊利用增加增加暴露被滿足引出增加擁有風(fēng)險(xiǎn)管理要素關(guān)系圖77威脅脆弱性防護(hù)措施風(fēng)險(xiǎn)資產(chǎn)防護(hù)需求價(jià)值抗擊利用增加增加暴露被信息系統(tǒng)安全風(fēng)險(xiǎn)管理比較和對(duì)比可用攻擊研究敵方行為理論開(kāi)創(chuàng)任務(wù)影響理論比較和對(duì)比各種行為行動(dòng)決策對(duì)策識(shí)別與特征描述任務(wù)關(guān)鍵性參數(shù)權(quán)衡脆弱性與攻擊的識(shí)別與特征描述威脅的識(shí)別與特征描述任務(wù)影響的識(shí)別與描述基礎(chǔ)研究與事件分離系統(tǒng)改進(jìn)風(fēng)險(xiǎn)分析78信息系統(tǒng)安全風(fēng)險(xiǎn)管理比較和對(duì)比研究敵方開(kāi)創(chuàng)任務(wù)比較和對(duì)比行動(dòng)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的特征信息系統(tǒng)是一個(gè)巨型復(fù)雜系統(tǒng)（系統(tǒng)要素、安全要素）信息系統(tǒng)受制于外部因素（物理環(huán)境、行政管理、人員）信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估是一項(xiàng)系統(tǒng)工程發(fā)現(xiàn)隱患、采取對(duì)策、提升強(qiáng)度、總結(jié)經(jīng)驗(yàn)自評(píng)估、委托評(píng)估、檢察評(píng)估79信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的特征信息系統(tǒng)是一個(gè)巨型復(fù)雜系統(tǒng)（系統(tǒng)要信息系統(tǒng)安全評(píng)估目的提供采取降低影響完成保護(hù)安全保證技術(shù)提供者系統(tǒng)評(píng)估者安全保證信心風(fēng)險(xiǎn)對(duì)策資產(chǎn)使命資產(chǎn)擁有者價(jià)值給出證據(jù)生成保證具有80信息系統(tǒng)安全評(píng)估目的提供采取降低影響完成保護(hù)安全保證技術(shù)提供

信息安全風(fēng)險(xiǎn)評(píng)估是提升

信息安全體系強(qiáng)度重要保證

信息系統(tǒng)資產(chǎn)是有價(jià)資產(chǎn)脆弱性/威脅力力圖使資產(chǎn)貶值影響/風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)估：發(fā)現(xiàn)、預(yù)防、降低、轉(zhuǎn)移、補(bǔ)償、承受采取措施以提升系統(tǒng)安全強(qiáng)度保護(hù)信息系統(tǒng)資產(chǎn)價(jià)值（保密性、完整性、可用性）完成系統(tǒng)的使命

81信息安全風(fēng)險(xiǎn)評(píng)估是提升信息系統(tǒng)生命周期中

安全保障與評(píng)估策劃與組織開(kāi)發(fā)與采購(gòu)信息系統(tǒng)安全保障與評(píng)估實(shí)施與交付運(yùn)行與維護(hù)更新與廢棄82信息系統(tǒng)生命周期中

安全保障與評(píng)估策劃與組織開(kāi)發(fā)與采購(gòu)信息系國(guó)家對(duì)信息安全風(fēng)險(xiǎn)評(píng)估工作高度重視

國(guó)信辦[2005]5號(hào)文件<信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作方案>“國(guó)信辦”與“安標(biāo)委”

《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T報(bào)批稿）

“國(guó)信辦”抓緊風(fēng)險(xiǎn)評(píng)估試點(diǎn)、宣貫和推廣（05、06年）“保密局”涉密信息領(lǐng)域風(fēng)險(xiǎn)評(píng)估規(guī)范”科技部“

信息安全風(fēng)險(xiǎn)評(píng)估方法、工具、模型研制83國(guó)家對(duì)信息安全風(fēng)險(xiǎn)評(píng)估工作國(guó)信辦[2005]5號(hào)文件35國(guó)內(nèi)信息安全評(píng)估機(jī)構(gòu)的現(xiàn)狀國(guó)家信息安全標(biāo)準(zhǔn)化委員會(huì)（“信息安全評(píng)估工作組-WG5）國(guó)家信息安全測(cè)評(píng)中心（信息技術(shù)安全性評(píng)估準(zhǔn)則-GB/T18336）（EG信息系統(tǒng)安全保障評(píng)估準(zhǔn)則）

公安部（計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則-GB17859-1999）（計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求-GA/T390-2002）

國(guó)家保密局（涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)安全保密測(cè)評(píng)指南-BMZ3-2001）

北京市信息辦（黨政機(jī)關(guān)信息系統(tǒng)安全測(cè)評(píng)規(guī)范）上海市信息辦（信息系統(tǒng)安全測(cè)評(píng)規(guī)范）解放軍（信息系統(tǒng)安全評(píng)估規(guī)范）其它84國(guó)內(nèi)信息安全評(píng)估機(jī)構(gòu)的現(xiàn)狀國(guó)家信息安全標(biāo)準(zhǔn)化委員會(huì)（“信息安建立國(guó)家信息安全評(píng)估體系信息安全評(píng)估標(biāo)準(zhǔn)和規(guī)范體系

IT產(chǎn)品、IT系統(tǒng)、IT服務(wù)信息安全評(píng)估監(jiān)管體系

對(duì)評(píng)估組織與評(píng)估行為的監(jiān)管(等級(jí),資質(zhì),規(guī)則)信息安全評(píng)估組織體系，在認(rèn)監(jiān)委、信息辦領(lǐng)導(dǎo)下

認(rèn)可機(jī)構(gòu)認(rèn)證機(jī)構(gòu)評(píng)估技術(shù)支援中心（實(shí)驗(yàn)室）專家委員會(huì)檢測(cè)、評(píng)估機(jī)構(gòu)檢測(cè)、評(píng)估機(jī)構(gòu)評(píng)估操作層技術(shù)支持層認(rèn)證層認(rèn)可監(jiān)管層85建立國(guó)家信息安全評(píng)估體系信息安全評(píng)估標(biāo)準(zhǔn)和規(guī)范體系認(rèn)可機(jī)構(gòu)認(rèn)國(guó)際信息系