信息安全测评与风险评估 教学课件 总论.ppt

信息安全测评与风险评估 教学课件 总论.ppt

  1. 1、本文档共20页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
本次课程要点 * * * 信息安全测评与风险评估 工程 艺术 天作之合 s 信息安全测评与风险评估 信息安全实验室教学团队 重庆大学 软件学院 工程 艺术 天作之合 本门课的组织形式 讨论、互动、动手 每次课程之后均需以小组为单位提交报告 2~3人一组(小组代号要有个性) 总成绩 = 平时报告(60%)+ Final Defense(40%) 教师团队 + 高年级本科生/研究生助教 本书创作背景简介 信息安全测评方法 信息安全测评流程 案例讨论与分析 为什么要写这部书—“八年抗战” “网络安全研究室” 二十几平米的“豪宅”,十几个朝气蓬勃的年轻人,七八台破电脑,还有两个追梦的“老顽童” :CC、SSE-CMM、TCSEC(彩虹系列/橘皮书) “重庆市信息安全技术中心” 600余平米的专业实验室(群)、充满“梦想和激情”的团队:重庆市和国家级的科研任务和测评工作:等级保护和风险评估系列标准 “武林豪杰的英雄帖” 王渝次、赵泽良、杜虹、詹榜华、冯登国:急需培养既掌握了国家标准又具有“实战能力”的信息安全测评工程师。重庆大学这方面做得还不错,可以为我国高校信息安全专业的本科生写一本这样的教材吗? 几句心里话 “不唯书、不唯上、只唯实”:做人的态度 “怀疑、批判、创新、求实、协作”:一名科技工作者的态度 “居安思危,思则有备,有备无患”:一名测评工程师的态度 “三严要求”:严肃的科学精神,严谨的工作作风,严格的贯标过程 “天作之合”:工程与艺术完美的结合 系统科学的思想 如何治理洪涝灾害? 都江堰水利工程(256 B.C.)对信息社会的启示录: “堵”还是“疏”?“道法自然”,“人水和谐” “三字经、六字诀”(深淘滩、低作堰…) “八字格言”(乘势利导、因时制宜;遇弯截角,逢正抽心…) 复杂信息系统测评 信息安全测评中的系统工程思想 怀疑、批判、创新 求实、协作 系统工程 贯标 国内外标准化组织 ISO/IEC(国际标准化组织/国际电工委员会) ITU(国际电信联盟) IETF(互联网工程任务组) NIST(美国国家标准技术研究院):NIST SP 800系列 BSI(英国标准技术研究院):BS 7799 CITS(中国信息安全标准化技术委员会):已经颁布了近百个国家或行业标准(本书主要参考标准:《信息系统安全等级保护定级指南》(GB/T 22240-2008),《信息安全风险评估规范》(GB/T 20984-2007)) 其他有用的资源 / 美国政府计算机应急响应小组 / 世界首家计算机应急响应小组(CMU/SEI) / 国际“通用漏洞利用通报组织” / 中国计算机安全组织 / 国家互联网应急响应中心 / 国家计算机病毒应急处理中心 /html/downloadxiazai.htm 中国信息安全等级保护网 / 中国信息安全博士网 /index.php 信息安全专业论坛 / 工业和信息化部信息安全协调司 密码研发是核心 安全协议是桥梁 体系结构是基础 安全芯片是关键 监控管理是保障 系统测评是考验 信息安全技术保障框架 测评 测评 信息安全技术保障框架 测评 为何测评(why) 计算机信息系统等级保护溯源 美国国防科学委员会(军用计算机信息系统安全评价标准,1967年) 美国国防部(颁布《可信计算机系统评价准则》(TCSEC),1985年) 公安部开始同步跟踪研究 (1980年初) 《计算机信息系统安全保护等级划分准则》(GB 17859,1997年) 历史的回声 对等级保护新的认识 《信息系统安全等级保护定级指南》(GB/T 22240-2008) 从“技术定级”到“灾难定级” 五级标准 第五级:信息系统受到破坏后,会对国家安全造成特别严重的损害 第四级:信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害, 或者对国家安全造成严重损害 第三级:信息系统受到破坏后,会对社会秩序和公共利益造成严重损害, 或者对国家安全造成损害 第二级:信息系统受到破坏后,会对公民、法人和其他组织的合法权利 产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全 第一级:信息系统受到破坏后,会对公民、法人和其他组织的 合法权利造成损害,但不损害国家安全、社会秩序和公共利益 何时测评(when) 设计阶段 建设阶段 运维阶段 废弃阶段

文档评论(0)

153****9595 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档