某通信公司网络信息安全培训课程
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
特点:
仅重点针对了计算机系统的保密性问题提出要求,对安全的评估只限 于保密性,且重点在于安全评估,对风险问题考虑不多。
第二个阶段(80-90年代)以计算机和网络为对象的信息系统安全保护阶段
评估对象多为产品,很少延拓至系统,因而在严格意义上仍不是全面 的风险评估。
第三个阶段(90年代末,21世纪初)以信息系统为对象的信息保障阶段
随着信息保障的研究的深入,保障对象明确为信息和信息系统;保障能 力明确来源于技术、管理和人员三个方面;逐步形成了风险评估、自评 估、认证认可的工作思路
风险评估在我国的进展
• 2002年在863计划中首次规划了《系统安全风险分析和 评估方法研究》课题
• 2003年8月至今年在国信办直接指导下,组成了风险评 估课题组
SECURITY = QUALITY
Availability
连续 Continuity Interruption 中断 准时 Punctuality Delay 延迟
Confidentiality
排他 Exclusivity Divulgation 泄露
风险构成
资产
资产
RISK
威胁
脆弱性
风险的构成
提纲
什么是风险评估? 为什么要进行风险评估? 风险评估怎样确保安全生产? 中国移动风险自评估将向何处发展?
什么是风险评估?
风险评估(WHAT?)
信息安全风险评估,是从风险管理角度,运用 科学的方法和手段,系统地分析信息系统所面临的 威胁及其存在的脆弱性,评估安全事件一旦发生可 能造成的危害程度,提出有针对性的抵御威胁的防 护对策和整改措施。并为防范和化解信息安全风险 ,或者将风险控制在可接受的水平,从而最大限度 地保障网络和信息安全提供科学依据(国信办 [2006]5号文件)。
RISK
RISK
RiRskISK
威胁 脆弱性
风险的降低
残余风险
图示:
A(Asset):资产 V(Vulnerability):脆弱性 T(Threat):威胁 S(Safeguard):保护措施 R(Residual Risk):残余风险 C(Constrains):约束
信息安全的含义
正确性 Correctness
Integrity
完备性 Completeness
有效性 Validity
真实性 Authenticity
不可否认 Non-repudiation
Manipulation 被操纵 Destruction 被破坏 Falsification 被篡改、伪造 Repudiation 被拒绝、否定
风险评估要素关系图
图中方框部分的内容为风险评估的基本要素;椭 圆部分的内容是与这些要素相关的属性。
风险评估围绕着基本要素展开,同时需要充分 考虑与基本要素相关的各类属性。
(1)业务战略的实现对资产具有依赖性, 依赖程度越高,要求其风险越小; (2)资产是有价值的,组织的业务战略对 资产的依赖程度越高,资产价值就越大; (3)风险是由威胁引发的,资产面临的威 胁越多则风险越大,并可能演变成安全事件 ; (4)资产的脆弱性可以暴露资产的价值, 资产具有的弱点越多则风险越大; (5)脆弱性是未被满足的安全需求,威胁 利用脆弱性危害资产; (6)风险的存在及对风险的认识导出安全 需求; (7)安全需求可通过安全措施得以满足, 需要结合资产价值考虑实施成本; (8)安全措施可抵御威胁,降低风险; (9)残余风险是未被安全措施控制的风险 。有些是安全措施不当或无效,需要加强才 可控制的风险;而有些则是在综合考虑了安 全成本与效益后未去控制的风险; (10)残余风险应受到密切监视,它可能 会在将来诱发新的安全事件。
• 源自文库着企业对IT技术的依赖性越来越强,信息安全风险在企 业运营中的地位越来越重要因此,信息安全风险管理成为 企业在运营过程中的最基本的工具;
• 较全面的信息安全风险评估日益重要,一方面风险管理 是运营过程中的必不可少的工具;另一方面风险评估能够 主动了解风险状况,进行相应的改进,实现从supporter向 enabler的转变
• 安全源于风险。 • 在信息化建设中,建设与运营的网络与信
息系统由于可能存在的系统设计缺陷、隐含 于软硬件设备的缺陷、系统集成时带来的缺 陷,以及可能存在的某些管理薄弱环节,尤 其当网络与信息系统中拥有极为重要的信息 资产时,都将使得面临复杂环境的网络与信 息系统潜在着若干不同程度的安全风险。
• 风险评估可以不断深入地发现系统建设 中的安全隐患,采取或完善更加经济有效 的安全保障措施,来消除安全建设中的盲 目乐观或盲目恐惧,提出有针对性的从实 际出发的解决方法,提高系统安全的科学 管理水平,进而全面提升网络与信息系统 的安全保障能力。
风险评估美国发展史
第一个Architecture (GAA)阶段(60-70年代)以计算机为对象的信息保密阶段
1967年11月到1970年2月,美国国防科学委员会委托兰德公司、 迈特公司(MITIE)及其它和国防工业有关的一些公司对当时的大型机 、远程终端进行了研究,分析。作了第一次比较大规模的风险评估。
某通信公司网络信息安 全培训课程
2020年4月27日星期一
引言
• 信息安全工作目标演进:从安全支撑保障、体现价值逐步 转向推进业务系统创造价值
• 业务支撑从support向enabler转变,2007年3月沙跃家副 总裁07业务支撑工作会议
• “狠抓网络安全,确保奥运盛会”,2008年3月李跃副总裁 成都网络工作会议
• 2004年,国家信息中心《风险评估指南》, 《风险管理 指南》
• 2005年,全国风险评估试点 • 在试点和调研基础上,由国信办会同公安部,安全部,
等起草了《关于开展信息安全风险评估工作的意见》征 求意见稿 • 2006年, 所有的部委和所有省市选择部分单位开展本地 风险评估试点工作
信产部电信网安全防护标准体系
信息产业部电信研究院通信标准研究所 等级保护、风险评估、灾难备份/恢复 三层结构
第一层:电信网和互联网安全防护 管理指南
第二层:三个实施指南 第三层:针对电信网和互联网所涵
盖的内容,编制全程全网的防护要 求、检测要求
电信网和互联网安全防护体系标准
为什么要进行风险评估?
风险评估(WHY?)
仅重点针对了计算机系统的保密性问题提出要求,对安全的评估只限 于保密性,且重点在于安全评估,对风险问题考虑不多。
第二个阶段(80-90年代)以计算机和网络为对象的信息系统安全保护阶段
评估对象多为产品,很少延拓至系统,因而在严格意义上仍不是全面 的风险评估。
第三个阶段(90年代末,21世纪初)以信息系统为对象的信息保障阶段
随着信息保障的研究的深入,保障对象明确为信息和信息系统;保障能 力明确来源于技术、管理和人员三个方面;逐步形成了风险评估、自评 估、认证认可的工作思路
风险评估在我国的进展
• 2002年在863计划中首次规划了《系统安全风险分析和 评估方法研究》课题
• 2003年8月至今年在国信办直接指导下,组成了风险评 估课题组
SECURITY = QUALITY
Availability
连续 Continuity Interruption 中断 准时 Punctuality Delay 延迟
Confidentiality
排他 Exclusivity Divulgation 泄露
风险构成
资产
资产
RISK
威胁
脆弱性
风险的构成
提纲
什么是风险评估? 为什么要进行风险评估? 风险评估怎样确保安全生产? 中国移动风险自评估将向何处发展?
什么是风险评估?
风险评估(WHAT?)
信息安全风险评估,是从风险管理角度,运用 科学的方法和手段,系统地分析信息系统所面临的 威胁及其存在的脆弱性,评估安全事件一旦发生可 能造成的危害程度,提出有针对性的抵御威胁的防 护对策和整改措施。并为防范和化解信息安全风险 ,或者将风险控制在可接受的水平,从而最大限度 地保障网络和信息安全提供科学依据(国信办 [2006]5号文件)。
RISK
RISK
RiRskISK
威胁 脆弱性
风险的降低
残余风险
图示:
A(Asset):资产 V(Vulnerability):脆弱性 T(Threat):威胁 S(Safeguard):保护措施 R(Residual Risk):残余风险 C(Constrains):约束
信息安全的含义
正确性 Correctness
Integrity
完备性 Completeness
有效性 Validity
真实性 Authenticity
不可否认 Non-repudiation
Manipulation 被操纵 Destruction 被破坏 Falsification 被篡改、伪造 Repudiation 被拒绝、否定
风险评估要素关系图
图中方框部分的内容为风险评估的基本要素;椭 圆部分的内容是与这些要素相关的属性。
风险评估围绕着基本要素展开,同时需要充分 考虑与基本要素相关的各类属性。
(1)业务战略的实现对资产具有依赖性, 依赖程度越高,要求其风险越小; (2)资产是有价值的,组织的业务战略对 资产的依赖程度越高,资产价值就越大; (3)风险是由威胁引发的,资产面临的威 胁越多则风险越大,并可能演变成安全事件 ; (4)资产的脆弱性可以暴露资产的价值, 资产具有的弱点越多则风险越大; (5)脆弱性是未被满足的安全需求,威胁 利用脆弱性危害资产; (6)风险的存在及对风险的认识导出安全 需求; (7)安全需求可通过安全措施得以满足, 需要结合资产价值考虑实施成本; (8)安全措施可抵御威胁,降低风险; (9)残余风险是未被安全措施控制的风险 。有些是安全措施不当或无效,需要加强才 可控制的风险;而有些则是在综合考虑了安 全成本与效益后未去控制的风险; (10)残余风险应受到密切监视,它可能 会在将来诱发新的安全事件。
• 源自文库着企业对IT技术的依赖性越来越强,信息安全风险在企 业运营中的地位越来越重要因此,信息安全风险管理成为 企业在运营过程中的最基本的工具;
• 较全面的信息安全风险评估日益重要,一方面风险管理 是运营过程中的必不可少的工具;另一方面风险评估能够 主动了解风险状况,进行相应的改进,实现从supporter向 enabler的转变
• 安全源于风险。 • 在信息化建设中,建设与运营的网络与信
息系统由于可能存在的系统设计缺陷、隐含 于软硬件设备的缺陷、系统集成时带来的缺 陷,以及可能存在的某些管理薄弱环节,尤 其当网络与信息系统中拥有极为重要的信息 资产时,都将使得面临复杂环境的网络与信 息系统潜在着若干不同程度的安全风险。
• 风险评估可以不断深入地发现系统建设 中的安全隐患,采取或完善更加经济有效 的安全保障措施,来消除安全建设中的盲 目乐观或盲目恐惧,提出有针对性的从实 际出发的解决方法,提高系统安全的科学 管理水平,进而全面提升网络与信息系统 的安全保障能力。
风险评估美国发展史
第一个Architecture (GAA)阶段(60-70年代)以计算机为对象的信息保密阶段
1967年11月到1970年2月,美国国防科学委员会委托兰德公司、 迈特公司(MITIE)及其它和国防工业有关的一些公司对当时的大型机 、远程终端进行了研究,分析。作了第一次比较大规模的风险评估。
某通信公司网络信息安 全培训课程
2020年4月27日星期一
引言
• 信息安全工作目标演进:从安全支撑保障、体现价值逐步 转向推进业务系统创造价值
• 业务支撑从support向enabler转变,2007年3月沙跃家副 总裁07业务支撑工作会议
• “狠抓网络安全,确保奥运盛会”,2008年3月李跃副总裁 成都网络工作会议
• 2004年,国家信息中心《风险评估指南》, 《风险管理 指南》
• 2005年,全国风险评估试点 • 在试点和调研基础上,由国信办会同公安部,安全部,
等起草了《关于开展信息安全风险评估工作的意见》征 求意见稿 • 2006年, 所有的部委和所有省市选择部分单位开展本地 风险评估试点工作
信产部电信网安全防护标准体系
信息产业部电信研究院通信标准研究所 等级保护、风险评估、灾难备份/恢复 三层结构
第一层:电信网和互联网安全防护 管理指南
第二层:三个实施指南 第三层:针对电信网和互联网所涵
盖的内容,编制全程全网的防护要 求、检测要求
电信网和互联网安全防护体系标准
为什么要进行风险评估?
风险评估(WHY?)