返回
全球信息安全风险评估发展及现状

全球信息安全风险评估发展及现状

ID:41938137

大小:27.50 KB

页数:3页

时间:2019-09-04

全球信息安全风险评估发展及现状_第1页
全球信息安全风险评估发展及现状_第2页
全球信息安全风险评估发展及现状_第3页
资源描述:

《全球信息安全风险评估发展及现状》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、信息安全数据分析根据卡巴斯基实验室安全网络(KSN)收集和处理到的数据,卡巴斯基发布了《2010年第一季度信息安全威胁报告》。该报告给出了几个有意思的数据。首先是全球安全态势,在全球不同国家,共计发生327,59&028次恶意程序试图感染用户计算机的行为,同上一季度相比,总体增长26.8%,网络罪犯所采取的攻击策略有所改变:目前,针对中国地区用户的网络攻击同比下降了13%。其次是哪些国家的用户最容易遭受网络攻击的侵害,根据卡巴斯基的报告,前三甲是中国、俄罗斯和印度,分别占18.05%、13.18%和8.52%。而一直叫嚷受到中国大陆黑客攻击的美国只能屈居第四,

2、占总比的5.25%,不到中国的三分之一。中国依然是“最易遭受网络攻击的国家”o最后来了解一下来自互联网的威胁,卡巴斯基给出了互联网上排名前十的最常见恶意软件家族,排名询三的分别是Iframe>Generic和Hexzone。另一个威胁是漏洞,在2010年第一季度,卡巴斯基实验室在用户计算机上共检测到12,111,862个未修补的漏洞。同上一季度相比,增长了6.9%。排名前十位的漏洞中,有六种来自微软的软件产品,有九种可以被网络罪犯用来获取系统的安全控制权。可见,保护计算的最好的办法是及时安装漏洞补丁。全球信息安全风险评估发展及现状美国人发明了计算机,并在此后一

3、直引领着计算机技术发展的方向。同样,美国最早开展计算机安全研究,一直主导着信息安全技术和理论的发展。因此,美国在信息安全评佔理论和方法上的研究,代表该领域国际上的最新发展。美国从1967年开始研究计算机安全问题,从1967年11月至1970年2月,美国美国国防科学委员会委托兰德公司、迈特公司(MTTTE)及其它和国防工业有关的一些公司,经过将近两年半的工作,主要对当时的大型机、远程终端进行•了研究和分析,完成了第一次比较大规模的风险评估。在此基础上,经过近10年的研究,MBS(美国国家标准局)1979年颁布了一个风险评估的标准:《自动数据处理系统(ADP)风险

4、分析标准》(FIPS65)o从此拉开了信息安全风险评估理论和方法研究的序幕,包扌舌美国80年代的彩虹系列(即橘皮书,美国早期的一套比较完整的从理论到方法的有关信息安全评估的准则,形成T1981-1985),1992年美国联邦政府制泄的《联邦信息技术安全评估准则》(FC),以及1993年发布的《信息技术安全通用评估准则》,最终演化为1999年的国际标准ISO/IEC15408。跨入21世纪,随着网络和信息技术的发展,互联网及其应用高速发展,同时国际范围内岀现了人规模黑公攻击,信息战的理论逐步发展,并口美国的军事、政治、经济和社会活动对信息基础设施的依赖程度达到了

5、空前的高度,在此环境下,美国又开始了对信息系统新一轮的评估和研究,产生了一些新的概念、法规和标准。从2002年1月开始,NIST先发布了《TT系统风险管理指南》(SP800-30)、《联邦IT系统安全认证和认可指南》(SP800-37)、《联邦信息和信息系统的安全分类标准》(F1PS199)、《联邦IT系统最小安全控制》(SP800-53)、《将各种信息和信息系统映射到安全类别的指南》(SP800-60)等多个文档。虽然美国引领了网络和信息技术的发展,但是冃前影响最广泛的网络和信息安全方面的标准ISO/IEC17799:2005(其前身是BS7799Part1

6、,全称是CodeofPracticeforInformationSecurity,也即为信息安全的实施细则)却来自英国,并被人多数国家认可和使用。冃前我们常讲的ISO27001和ISO27002,其前身分别是BS7799part2和BS7799part1。信息安全评估涉及到方方面面,安全标准也十分庞朵,各种评估标准的侧重点也不一样,比如《信息技术安全性评估准则(CC)》和《美国国防部可信计算机评估准则(TCSEC)》等更侧重于对系统和产品的技术指标的评估;《系统安全工程能力成熟模型(SSE-CMM)》更侧重于对安全产品开发、安全系统集成等安全工程过程的管理。T

7、SO/TEC17799(也就是ISO27001和ISO27002)在对信息系统日常安全管理方面具有无法取代的地位,因此,忖前国外很多企业接受ISO27001:2005(BS7799-2)的认证,即信息安全管理体系认证证书。国内情况比较简单,出于关于安全风险评估研究起步的较晚,H前国内整体处于起步和借鉴阶段,在安全风险评估的标准研究上还处于跟踪国际标准的初级探索阶段。国家质量技术监督局于2001年依据国际标准CC颁布了GB/T18336《信息技术安全技术信息技术安全性评估准则》,相关的标准还有依据美国的TCSEC及红皮书于1999年发布的GB17859《计算机信

8、息系统安全保护等级划分准则》,以及我国

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。