返回
信息安全风险管理理论

信息安全风险管理理论

ID:1494472

大小:315.00 KB

页数:33页

时间:2017-11-12

信息安全风险管理理论_第1页
信息安全风险管理理论_第2页
信息安全风险管理理论_第3页
信息安全风险管理理论_第4页
信息安全风险管理理论_第5页
资源描述:

《信息安全风险管理理论》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、关于信息安全风险管理 理论与实践发展的一些思考XXXXX年X月XX日关于信息安全风险管理理论与实践发展的一些思考一、信息安全风险管理理论来源于信息安全实践二、我国信息安全实践对风险管理理论提出了新问题、新要求三、信息安全风险管理上存在的问题只能靠信息安全实践来解决关于信息安全风险管理理论与实践发展的一些思考一、信息安全风险管理理论来源于信息安全实践二、我国信息安全实践对风险管理理论提出了新问题、新要求三、信息安全风险管理上存在的问题只能靠信息安全实践来解决一、信息安全风险管理理论来源于信息安全实践风险管理(Riskmanagement)包括风险识别、风险分析、风险评估和风险控

2、制等内容。国外许多专家认为,风险管理是信息安全的基础工作和核心任务之一,是最有效的一种措施,是保证信息安全投资回报率优化的科学方法。现代风险管理理论产生于西方资本主义国家,它是为制定有效的经济发展战略和市场竞争策略而创造的一种理论、方法和措施。一、信息安全风险管理理论来源于信息安全实践风险管理理论由于它的广泛适用性、现已应用于各国社会与经济发展、国家建设、国家安全、公共安全和信息安全诸多领域。风险管理理论应用于信息安全领域始于20世纪60年代。此后,信息安全风险管理的实践和理论的发展大体上经过了三个阶段:一、信息安全风险管理理论来源于信息安全实践(一)、20世纪60年代至80

3、年代是信息安全风险管理实践与理论发展的初期阶段(二)、20世纪80年代末至90年代中期是信息安全风险管理实践和理论走向初步成熟的阶段(三)、20世纪90年代末,国际范围的风险管理实践与理论进入第三个阶段,即全球化阶段一、信息安全风险管理理论来源于信息安全实践(一)、20世纪60年代至80年代是信息安全风险管理实践与理论发展的初期阶段20世纪60年代,随着资源共享计算机系统和早期计算机网络的出现,计算机安全问题初步显露。1967年秋,美国国防部委托兰德公司为首的多个研究机构和企业,进行了美国历史上第一次大规模的计算机安全风险评估,历时三年。1970年初出版了一个长达数百页的机密

4、报告《计算机安全控制》。该报告奠定了国际安全风险评估的理论基础。一、信息安全风险管理理论来源于信息安全实践(一)、20世纪60年代至80年代是信息安全风险管理实践与理论发展的初期阶段在此基础上,美国率先推出了首批关于信息安全风险管理及相关的安全评测标准。其中:第一组标准是由国家标准局(NBS)制定的,如:FIPSPUB31自动数据处理系统物理安全和风险管理指南(1974年)。FIPSPUB65自动数据处理系统风险分析指南(1979年)一、信息安全风险管理理论来源于信息安全实践(一)、20世纪60年代至80年代是信息安全风险管理实践与理论发展的初期阶段第二组是由美国国防部国家安

5、全局于1983年后陆续制定的计算机系统安全评估系列标准,主要包括《可信计算机系统安全评估准则》(TCSEC)、《可信网络解释》(TNI)、《特定环境下的安全需求》等等,总计约40来个各类标准。由于每个标准用不同颜色的封皮,俗称为“彩虹系列”。一、信息安全风险管理理论来源于信息安全实践(一)、20世纪60年代至80年代是信息安全风险管理实践与理论发展的初期阶段这套标准建立在风险评估理论基础上。该系列中《安全需求技术原理》标准指出:“评估一个计算机系统的安全级别依赖于该系统存在的风险水平,即风险因子(RISKINDEX)”,“还存在影响安全风险的其他诸如任务关键性、所需拒绝服务保

6、护和威胁的严重性等因素。”一、信息安全风险管理理论来源于信息安全实践(二)、20世纪80年代末至90年代中期是信息安全风险管理实践和理论走向初步成熟的阶段1989年美国率先建立了计算机应急组织,次年,建立了信息安全事件应急国际论坛(FIRST)。1992年美国国防部建立了漏洞分析与评估计划。1994年美国国家安全局等组织构成的联合委员会明确提出,美国国家信息安全必须建立在风险管理的基础上。一、信息安全风险管理理论来源于信息安全实践(二)、20世纪80年代末至90年代中期是信息安全风险管理实践和理论走向初步成熟的阶段1995年9月至1996年4月,美国总审计局为因应国会“加强信

7、息安全、降低信息战威胁”的要求,对美国国防系统的信息系统进行了大规模风险评估,于1996年5月发表了名为《信息安全—针对国防部的计算机攻击正构成日益增大的风险》的报告。1995年12月美国国防部提出了信息安全的动态模型,即“防护—监测—反应”多环节保障体系,后通称“PDR模型”。1990年,欧洲英、法、德、荷四国着手制定了共同的信息技术安全评估标准(ITSEC),强调要把信息系统实用环境中的威胁与风险纳入评估视野。加拿大也制定了本国的信息安全测评标准。一、信息安全风险管理理论来源于信息安全实践(二)、2

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。