我国信息安全风险评估工作的现状与发展125

我国信息安全风险评估工作的现状与发展125

ID:43106478

大小:475.50 KB

页数:65页

时间:2019-09-30

我国信息安全风险评估工作的现状与发展125_第1页
我国信息安全风险评估工作的现状与发展125_第2页
我国信息安全风险评估工作的现状与发展125_第3页
我国信息安全风险评估工作的现状与发展125_第4页
我国信息安全风险评估工作的现状与发展125_第5页
资源描述:

《我国信息安全风险评估工作的现状与发展125》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、我国信息安全风险评估工作的现状与发展国家信息中心信息安全研究与服务中心吴亚非一、信息安全风险评估概述二、为什么要做信息安全风险评估三、我国信息安全风险评估回顾四、信息安全风险评估今后三年的发展信息安全风险评估的概念信息系统的安全风险信息系统的安全风险,是指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。信息安全风险评估是指依据国家有关信息技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程它要评估信息系统的脆弱性、信息系统面临的威

2、胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。信息安全风险评估人们的认识能力和实践能力是有局限性的,因此,信息系统存在脆弱性是不可避免的。信息系统的价值及其存在的脆弱性,使信息系统在现实环境中,总要面临各种人为与自然的威胁,存在安全风险也是必然的。信息安全建设的宗旨之一,就是在综合考虑成本与效益的前提下,通过安全措施来控制风险,使残余风险降低到可接受的程度。信息安全风险评估因为任何信息系统都会有安全风险,所以,人们追求的所谓安全的信息系统

3、,实际是指信息系统在实施了风险评估并做出风险控制后,仍然存在的残余风险可被接受的信息系统。因此,要追求信息系统的安全,就不能脱离全面、完整的信息系统的安全评估,就必须运用信息系统安全风险评估的思想和规范,对信息系统开展安全风险评估。风险评估的意义和作用1.风险评估是信息系统安全的基础性工作信息安全中的风险评估是传统的风险理论和方法在信息系统中的运用,是科学地分析和理解信息与信息系统在保密性、完整性、可用性等方面所面临的风险,并在风险的减少、转移和规避等风险控制方法之间做出决策的过程。风险评估将导出信息系统的

4、安全需求,因此,所有信息安全建设都应该以风险评估为起点。信息安全建设的最终目的是服务于信息化,但其直接目的是为了控制安全风险。风险评估的意义和作用只有在正确、全面地了解和理解安全风险后,才能决定如何处理安全风险,从而在信息安全的投资、信息安全措施的选择、信息安全保障体系的建设等问题中做出合理的决策。进一步,持续的风险评估工作可以成为检查信息系统本身乃至信息系统拥有单位的绩效的有力手段,风险评估的结果能够供相关主管单位参考,并使主管单位通过行政手段对信息系统的立项、投资、运行产生影响,促进信息系统拥有单位加强

5、信息安全建设。风险评估的意义和作用2.风险评估是分级防护和突出重点的具体体现信息安全建设的基本原则包括必须从实际出发,坚持分级防护、突出重点。风险评估正是这一要求在实际工作中的具体体现。从理论上讲,不存在绝对的安全,实践中也不可能做到绝对安全,风险总是客观存在的。安全是风险与成本的综合平衡。盲目追求安全和完全回避风险是不现实的,也不是分级防护原则所要求的。要从实际出发,坚持分级防护、突出重点,就必须正确地评估风险,以便采取科学、客观、经济和有效的措施。风险评估的意义和作用3.加强风险评估工作是当前信息安全工

6、作的客观需要和紧迫需求由于信息技术的飞速发展,关系国计民生的关键信息基础设施的规模越来越大,同时也极大地增加了系统的复杂程度。发达国家越来越重视信息安全风险评估工作,提倡风险评估制度化。他们提出,没有有效的风险评估,便会导致信息安全需求与安全解决方案的严重脱离。因此,他们强调“没有任何事情比解决错误的问题和建立错误的系统更没有效率的了。”这些发达国家近年来大力加强了以风险评估为核心的信息系统安全评估工作,并通过法规、标准手段加以保障,逐步以此形成了横跨立法、行政、司法的完整的信息安全管理体系。在我国目前的国

7、情下,为加强宏观信息安全管理,促进信息安全保障体系建设,就必须加强风险评估工作,并逐步使风险评估工作朝向制度化的方向发展。信息安全风险评估的目标和目的信息系统安全风险评估的总体目标是:服务于国家信息化发展,促进信息安全保障体系的建设,提高信息系统的安全保护能力。信息系统安全风险评估的目的是:认清信息安全环境、信息安全状况;有助于达成共识,明确责任;采取或完善安全保障措施,使其更加经济有效,并使信息安全策略保持一致性和持续性。信息安全风险评估的基本要素使命:一个单位通过信息化实现的工作任务。依赖度:一个单位的

8、使命对信息系统和信息的依靠程度。资产:通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。价值:资产的重要程度和敏感程度。威胁:一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画:威胁的主体(威胁源)、能力、资源、动机、途径、可能性和后果。信息安全风险评估的基本要素脆弱性:信息资产及其防护措施在安全方面的不足和弱点。脆弱性也常常被称为漏洞。风险:由于系统存在的脆弱性,人为或自

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。