CISE讲义CISP—01—信息安全测评服务介绍—new.ppt

CISP-01-信息安全测评服务介绍 中国信息安全测评中心 2008年11月 对风险评估的理解与分析 国家政策 27号文件提出了明确要求： 要重视信息安全风险评估工作，对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要性、涉密程度和面临的信息安全风险等因素，进行相应等级的安全建设和管理 2003年，国务院信息办成立风险评估课题组，开展有关调研工作。 2005年在银行、税务、电力等行业和部门以及北京、上海、黑龙江、云南等地方开展试点，取得了预期效果。 2005年12月，国家网络与信息安全系统小组第五次会议审议通过了《关于开展信息安全风险评估工作的意见》，提出了风险评估的原则、工作要求和工作部署。 2006年3月，国务院信息办分别在北京和昆明召开了风险评估文件宣贯会，并印发了《信息安全风险评估指南》。 国家发展和改革委员会令[2007]第55号项目建设单位或其委托的专业机构应按照风险评估的相关规定，对建成项目进行信息安全风险评估，检验其网络和信息系统对安全环境变化的适应性及安全措施的有效性，保障信息安全目标的实现 2008年8月6日国家发展和改革委员会、公安部、国家必威体育官网网址局《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》发改高技[2008]2071号：国家电子政务网络、重点业务信息系统、基础信息库以及相关支撑体系等国家电子政务工程建设项目，应开展信息安全风险评估工作；非涉密信息系统的信息安全风险评估，有国家信息技术安全研究中心、中国信息安全测评中心、公安部信息安全等级保护评估中心等三家专业测评机构承担 国家对风险评估用户范围确定 重点部门、重点行业（电信、广电、银行、证券、保险、税务、海关、铁路、民航、电力）的网络信息系统风险评估工作提出了明确要求。 安全技术评估 渗透测试方式 风险评估项目流程 风险评估流程 资产评估：资产评估是确定资产在信息安全属性（机密性、完整性、可用性等）缺失时，对信息系统造成的影响的过程。在实际的评估中，资产评估包含：资产识别、资产安全要求识别、资产赋值 威胁评估：威胁评估是通过技术手段、统计数据和经验判断来确定信息系统面临的威胁的过程。威胁评估中的主要工作包括两个方面，一是要根据特定资产运行环境来确定其所面临的威胁来源，另一方面要确定这些威胁的严重程度和发生的频率。每个资产由于所处的环境不同，面临的威胁也不尽相同，因此对评估范围内的资产需要根据资产评估的分类结果，进行单独的或整体的威胁评估。实际的评估过程中，按照网络和物理环境、以及资产的保护等级将资产划分为若干部分，对这几部分进行统一的威胁判断。 脆弱性评估：脆弱性评估是对信息系统中存在的可被威胁利用的问题的发现与分析的过程。按照信息系统的运作方式，将与信息系统的安全性相关的内容划分成技术和管理两个方面。试点工作中，对信息系统脆弱性的评估从这两个方面出发，进行综合的考察，并确定其相互作用程度。 风险计算：在完成资产评估、威胁评估和脆弱性评估后，根据资产及其关联的威胁和脆弱性的赋值情况可计算出风险值。 风险决策：是在风险排序的基础上，分析各种风险要素、以及被评估系统的实际情况，决定对风险采取接受、消除或转移等处理方式的过程 风险决策是提出安全建议的基础，科学、合理的风险决策是提高安全建议质量、防止过度防护和防护不足的保障。 安全建议是根据风险决策中提出的安全防护需求，经过合理的统计和归纳，形成安全解决方案建议的过程。安全建议报告的内容包含了安全建议阶段的所有工作内容，具体包括如下的技术细节： 需求分析 安全建议 关联性分析 实施建议 地址：北京市海淀区上地西路8号院1号楼 邮编：100085 电话：010传真： 010网址： -*- 谢谢！ * * 信息化基于数据流程 单体 多体是信息安全生态系统 -*- 2006年8月在中国证监会组织的证券期货业的信息安全风险评估试点工作中，中心积极参与了制定《证券行业信息安全风险评估工作指南》的编写，并承担证券行业试点国泰君安证券有限公司集中交易系统风险评估的项目实施，为探索证券期货业信息系统安全的适用性、合理性，积累了宝贵经验。 2007年7月中国信息安全产品测评认证中心在国务院信息化领导小组工作办公室组织的2007年度国家基础信息网络和重要信息系统检查评估工作中，作为国家专门队伍承担了：《深圳国税信息系统安全检查评估》、《中国证券登记结算公司信息系统安全检查评估》。 信息安全风险评估 -*- 2008年国家部委级安全服务项目 1.国家税务总局委托我中心开展税务信息系统2008年度日常信息安全及特殊时期（两会、奥运会、法定长假）安全服务，查找漏洞排除隐患，制订漏洞修补建议，以确保税务