1信息平安風(fēng)險(xiǎn)評(píng)估保障2信息平安面臨的威脅網(wǎng)上黑客與計(jì)算機(jī)欺詐網(wǎng)絡(luò)病毒的蔓延和破壞有害信息內(nèi)容污染與輿情誤導(dǎo)機(jī)要信息流失與“諜件〞潛入內(nèi)部人員誤用、濫用、惡用IT產(chǎn)品的失控〔分發(fā)式威脅〕物理臨近式威脅網(wǎng)上恐怖活動(dòng)與信息戰(zhàn)網(wǎng)絡(luò)的脆弱性和系統(tǒng)漏洞3網(wǎng)絡(luò)突發(fā)事件正在引起全球關(guān)注2000年2月7日美國(guó)網(wǎng)上恐怖事件造成巨大損失〔DDos、八大重要網(wǎng)站、$12億美元〕2001年日本東京國(guó)際機(jī)場(chǎng)航管失靈，影響巨大〔紅色病毒、幾百架飛機(jī)無(wú)法起降、千人行程受阻〕2003年美國(guó)銀行的ATM網(wǎng)遭入侵，損失沉重〔Slammer、幾十億美元〕2004年震蕩波幾天涉及全球2005年CardSystem公司4000萬(wàn)張卡用戶(hù)信息被盜〔美國(guó)最大的竊密事件、植入特洛伊木馬、假冒消費(fèi)〕網(wǎng)絡(luò)正在成為恐怖組織聯(lián)絡(luò)和指揮工具〔911、倫敦事件〕9.11事件造成世貿(mào)中心1200家企業(yè)信息網(wǎng)絡(luò)蕩然無(wú)存〔有DRP/NCP的400家企業(yè)能夠恢復(fù)和生存〕網(wǎng)絡(luò)輿情的爆發(fā)涉及到物理社會(huì)的穩(wěn)定信息網(wǎng)絡(luò)的失竊密事件層出不窮4我國(guó)網(wǎng)絡(luò)信息平安入侵事件態(tài)勢(shì)嚴(yán)竣(CNCERT/CC05年度報(bào)告數(shù)據(jù))收到信息平安事件報(bào)告12萬(wàn)件(04年的2倍)監(jiān)測(cè)發(fā)現(xiàn)2萬(wàn)臺(tái)計(jì)算機(jī)被木馬遠(yuǎn)程控制(04年的2倍)發(fā)現(xiàn)1.4萬(wàn)個(gè)網(wǎng)站遭黑客篡改,其中政府網(wǎng)站2千(04年的2倍)網(wǎng)絡(luò)釣魚(yú)(身份竊取)事件報(bào)告400件(04年的2倍)監(jiān)測(cè)發(fā)現(xiàn)70萬(wàn)臺(tái)計(jì)算機(jī)被植入諜件(源頭主要在國(guó)外)發(fā)現(xiàn)僵尸網(wǎng)絡(luò)143個(gè)(受控計(jì)算機(jī)250萬(wàn)臺(tái))5互聯(lián)網(wǎng)信息平安威脅的某些新動(dòng)向

僵尸網(wǎng)絡(luò)威脅興起諜件泛濫值得嚴(yán)重關(guān)注網(wǎng)絡(luò)釣魚(yú)的獲利動(dòng)機(jī)明顯網(wǎng)頁(yè)篡改(嵌入惡意代碼),誘人上當(dāng)

DDoS開(kāi)始用于敲詐

木馬潛伏孕育著殺機(jī)獲利和竊信傾向正在成為主流6領(lǐng)導(dǎo)重視、管理較嚴(yán)、常規(guī)的系統(tǒng)和外防機(jī)制根本到位深層隱患值得深思

內(nèi)控機(jī)制脆弱高危漏洞存在信息平安域界定與邊控待探索風(fēng)險(xiǎn)自評(píng)估能力弱災(zāi)難恢復(fù)不到位用戶(hù)自控權(quán)不落實(shí)----------“重要信息系統(tǒng)〞平安態(tài)勢(shì)與深層隱患〔案例考察〕7國(guó)家信息化領(lǐng)導(dǎo)小組第三次會(huì)議?關(guān)于加強(qiáng)信息平安保障工作的意見(jiàn)?—中辦發(fā)[2003]27號(hào)文—堅(jiān)持積極防御、綜合防范全面提高信息平安防護(hù)能力重點(diǎn)保障信息網(wǎng)絡(luò)和重要信息系統(tǒng)平安創(chuàng)立平安健康的網(wǎng)絡(luò)環(huán)境保障和促進(jìn)信息化開(kāi)展、保護(hù)公眾利益、維護(hù)國(guó)家平安立足國(guó)情、以我為主、管理與技術(shù)并重、統(tǒng)籌規(guī)劃、突出重點(diǎn)發(fā)揮各界積極性、共同構(gòu)筑國(guó)家信息平安保障體系

8國(guó)家信息平安保障工作要點(diǎn)實(shí)行信息平安等級(jí)保護(hù)制度：風(fēng)險(xiǎn)與本錢(qián)、資源優(yōu)化配置、平安風(fēng)險(xiǎn)評(píng)估基于密碼技術(shù)網(wǎng)絡(luò)信任體系建設(shè)：密碼管理體制、身份認(rèn)證、授權(quán)管理、責(zé)任認(rèn)定建設(shè)信息平安監(jiān)控體系：提高對(duì)網(wǎng)絡(luò)攻擊、病毒入侵、網(wǎng)絡(luò)失竊密、有害信息的防范能力重視信息平安應(yīng)急處理工作：指揮、響應(yīng)、協(xié)調(diào)、通報(bào)、支援、抗毀、災(zāi)備推動(dòng)信息平安技術(shù)研發(fā)與產(chǎn)業(yè)開(kāi)展：關(guān)鍵技術(shù)、自主創(chuàng)新、強(qiáng)化可控、引導(dǎo)與市場(chǎng)、測(cè)評(píng)認(rèn)證、采購(gòu)、效勞信息平安法制與標(biāo)準(zhǔn)建設(shè)：信息平安法、打擊網(wǎng)絡(luò)犯罪、標(biāo)準(zhǔn)體系、標(biāo)準(zhǔn)網(wǎng)絡(luò)行為信息平安人材培養(yǎng)與增強(qiáng)平安意識(shí)：學(xué)科、培訓(xùn)、意識(shí)、技能、自律、守法信息平安組織建設(shè)：信息平安協(xié)調(diào)小組、責(zé)任制、依法管理9國(guó)家信息平安保障工作高層會(huì)議(2004.1.9)信息平安的重要性：IT增長(zhǎng)25%、GDP的6%、強(qiáng)烈依賴(lài)信息平安的重大案例信息平安存在的問(wèn)題一個(gè)并重、兩手抓、三個(gè)同步新思路、新眼光，建立信息平安保障體系關(guān)鍵技術(shù)產(chǎn)品要自主可控認(rèn)真落實(shí)中央27號(hào)文件10?國(guó)家信息平安戰(zhàn)略報(bào)告?—國(guó)信[2005]2號(hào)文—

維護(hù)國(guó)家在網(wǎng)絡(luò)空間的根本利益確保國(guó)家的經(jīng)濟(jì)、政治、文化和信息的平安三大信息根底設(shè)施、八大重要信息系統(tǒng)、信息內(nèi)容信息平安根底支撐能力信息平安防護(hù)與對(duì)抗能力網(wǎng)絡(luò)突發(fā)事件快速反響能力網(wǎng)絡(luò)輿情駕馭能力綜合治理、協(xié)調(diào)聯(lián)動(dòng)、群防群治政策、標(biāo)準(zhǔn)、管理、技術(shù)、產(chǎn)業(yè)、人材、理論構(gòu)筑國(guó)家信息平安保障體系信息平安長(zhǎng)效機(jī)制信息平安戰(zhàn)略的主動(dòng)權(quán)------

11?2006-2021年國(guó)家信息化開(kāi)展戰(zhàn)略?—中辦[2006]11號(hào)文—

第(八)局部:“建設(shè)國(guó)家信息平安保障體系〞實(shí)現(xiàn)信息化與信息平安協(xié)調(diào)開(kāi)展增強(qiáng)信息根底設(shè)施和重要信息系統(tǒng)抗毀能力增強(qiáng)國(guó)家信息平安保障能力研究國(guó)際信息平安先進(jìn)理論、先進(jìn)技術(shù)掌握核心平安技術(shù)、提高關(guān)鍵設(shè)備裝備能力促進(jìn)我國(guó)信息平安技術(shù)和產(chǎn)業(yè)的自主開(kāi)展完善國(guó)家信息平安長(zhǎng)效機(jī)制------

12“信息平安〞內(nèi)涵保值威脅威脅發(fā)起者資產(chǎn)擁有者對(duì)策脆弱性風(fēng)險(xiǎn)系統(tǒng)資產(chǎn)使命貶值利用增加濫用與破壞發(fā)現(xiàn)意識(shí)到減少降低合法與可用？13信息平安概念演變?cè)缙冢和ㄐ疟Ｃ茈A段〔ComSec〕，通信內(nèi)容保密為主中期：信息平安階段〔InfoSec〕，信息自身的靜態(tài)防護(hù)為主近期：信息保障階段〔InformationAssurance—IA〕，強(qiáng)調(diào)動(dòng)態(tài)的、縱深的、生命周期的、整個(gè)信息系統(tǒng)資產(chǎn)的信息對(duì)抗。我們當(dāng)前所指“信息平安〞=“信息保障〞，即“在整個(gè)生命周期中，處在縱深防御和動(dòng)態(tài)對(duì)抗的信息系統(tǒng)，為保障其中數(shù)據(jù)及效勞的完整性、保密性、可用性〔防拒絕和破壞〕、真實(shí)性〔交互雙方的數(shù)據(jù)、人員的身份和權(quán)限、設(shè)施的鑒別〕、可控性〔監(jiān)控、審計(jì)、取證、防有害內(nèi)容傳播〕、可靠性而抵抗各類(lèi)威脅所提供的一種能力14信息系統(tǒng)平安整體對(duì)策(一)構(gòu)建信息平安保障體系(二)作好信息平安風(fēng)險(xiǎn)評(píng)估15

(一)構(gòu)建信息平安保障體系16電子政務(wù)平安保障體系框架安全法規(guī)安全管理安全標(biāo)準(zhǔn)安全工程與服務(wù)安全基礎(chǔ)設(shè)施安全技術(shù)與產(chǎn)品17信息平安法規(guī)?關(guān)于開(kāi)展信息平安風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)?〔國(guó)信辦[2005]1號(hào)文〕?信息平安等級(jí)保護(hù)管理方法〔試行〕?〔公通字[2006]7號(hào)文〕?中華人民共和國(guó)保守國(guó)家秘密法?(在修訂)?信息平安法?〔信息平安管理?xiàng)l例〕?電子簽名法?〔2005年4月1日實(shí)施〕------------18行政管理體制:國(guó)家網(wǎng)絡(luò)信息平安協(xié)調(diào)小組，部門(mén)，地區(qū)技術(shù)管理體制:CSO信息系統(tǒng)平安管理準(zhǔn)那么〔ISO17799〕--GBxxxx管理策略組織與人員資產(chǎn)分類(lèi)與平安控制配置與運(yùn)行網(wǎng)絡(luò)信息平安域與通信平安異常事件與審計(jì)信息標(biāo)記與文檔物理與環(huán)境開(kāi)發(fā)與維護(hù)作業(yè)連續(xù)性保障符合性信息平安組織管理19國(guó)家信息平安標(biāo)準(zhǔn)化委員會(huì)平安功能定義平安要素設(shè)計(jì)：物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、管理全程平安控制風(fēng)險(xiǎn)全程管理平安有效評(píng)估強(qiáng)壯性策略〔成立.十個(gè)工作組〕標(biāo)準(zhǔn)體系與協(xié)調(diào)〔含可信計(jì)算〕涉密信息系統(tǒng)保密密碼算法與模塊PKI/PMI平安評(píng)估應(yīng)急處理平安管理(風(fēng)險(xiǎn)評(píng)估)電子證據(jù)身份標(biāo)識(shí)與鑒別操作系統(tǒng)與數(shù)據(jù)國(guó)家報(bào)批搞16項(xiàng)、送審稿25項(xiàng)、研制近70項(xiàng)20信息系統(tǒng)平安工程和效勞平安需求分析：威脅，弱點(diǎn)，風(fēng)險(xiǎn)，資產(chǎn)、使命、對(duì)策、平安體系結(jié)構(gòu)與功能定義平安要素設(shè)計(jì)：物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、管理平安系統(tǒng)構(gòu)建與集成管理效勞全程的信息平安風(fēng)險(xiǎn)評(píng)估信息系統(tǒng)強(qiáng)壯性策略、〔ISSE，IATF，CC，TESEC〕21信息加密技術(shù)〔對(duì)稱(chēng)、公開(kāi)、可恢復(fù)、量子、隱藏)鑒別與認(rèn)證〔口令/密碼、動(dòng)態(tài)口令/ToKen、CA/簽名、物理識(shí)別〕訪問(wèn)控制技術(shù)〔ACL、RBAC、DAC、MAC、能力表、AA〕網(wǎng)絡(luò)邊界平安技術(shù)〔FW、Proxy、NG、GAP、UTM〕病毒防治技術(shù)〔防、查、殺、清〕網(wǎng)絡(luò)隱患掃描與發(fā)現(xiàn)〔缺陷、后門(mén)、嵌入、惡意代碼〕內(nèi)容識(shí)別與過(guò)濾技術(shù)〔關(guān)鍵字、特征、上下文、自然語(yǔ)言〕主機(jī)內(nèi)控防護(hù)技術(shù)〔監(jiān)控、檢測(cè)、防泄、管理、審計(jì)〕信息平安技術(shù)領(lǐng)域22信息平安風(fēng)險(xiǎn)評(píng)估技術(shù)〔收集、分析、檢測(cè)、滲透、管理〕網(wǎng)絡(luò)檢測(cè)、預(yù)警和攻擊技術(shù)〔IDS、Agent、面防、追蹤、還擊、陷阱〕“內(nèi)容〞產(chǎn)權(quán)保護(hù)技術(shù)〔數(shù)字水印、平安容器、加密、簽名〕“平安基〞技術(shù)〔補(bǔ)丁、配置、去除、監(jiān)視、加固、監(jiān)視、升級(jí)〕審計(jì)與取證〔全局審計(jì)、審計(jì)保護(hù)、反向工程、恢復(fù)提取〕備份與容災(zāi)〔SAN、NAS、集群、冗余、鏡象〕可信計(jì)算〔TCG、TCPA、TSS、TPM、TWC、----〕信息平安集成管理〔信息共享、協(xié)同聯(lián)動(dòng)、策略牽引〕信息平安技術(shù)領(lǐng)域23信息網(wǎng)絡(luò)平安域縱深防御框架核心內(nèi)網(wǎng)局域計(jì)算環(huán)境〔平安域a〕專(zhuān)用外網(wǎng)局域計(jì)算環(huán)境〔平安域m〕公共效勞網(wǎng)局域計(jì)算環(huán)境〔平安域n〕Internet、TSP、PSTN、VPN網(wǎng)絡(luò)通信根底設(shè)施〔光纖、無(wú)線、衛(wèi)星〕信息平安根底設(shè)施(PKI、PMI、KMI、CERT、DRI)網(wǎng)絡(luò)平安邊界24EG用主流的信息平安產(chǎn)品防范外部入侵類(lèi)放火墻、防病毒、入侵檢測(cè)、物理隔離防控內(nèi)部作案類(lèi)強(qiáng)審計(jì)、主機(jī)內(nèi)控、主機(jī)安保、系統(tǒng)級(jí)平安類(lèi)加密、鑒別、授權(quán)、掃描、災(zāi)備、過(guò)濾、物理平安、集成管理、平安測(cè)評(píng)25信息平安根底設(shè)施的支撐數(shù)字證書(shū)認(rèn)證體系〔CA/PKI〕網(wǎng)絡(luò)應(yīng)急支援體系〔CERT〕災(zāi)難恢復(fù)根底設(shè)施〔DRI〕病毒防治效勞體系〔AVERT〕產(chǎn)品與系統(tǒng)平安檢測(cè)、評(píng)估體系〔CC/TCSEC〕密鑰管理根底設(shè)施〔KMI〕授權(quán)管理根底設(shè)施〔AA/PMI〕信息平安事件通報(bào)與會(huì)商體系網(wǎng)絡(luò)監(jiān)控與預(yù)警體系信息保密檢查體系信息平安偵控體系網(wǎng)絡(luò)輿情掌控與治理體系26信息平安保障體系建設(shè)的目標(biāo)1〕增加信息網(wǎng)絡(luò)四種平安能力信息平安防護(hù)能力隱患發(fā)現(xiàn)能力網(wǎng)絡(luò)應(yīng)急反響能力信息對(duì)抗能力2〕保障信息及其效勞具有六性保密性、完整性、可用性、真實(shí)性、可核查性〔可控性〕、可靠性27

(二)作好信息平安風(fēng)險(xiǎn)評(píng)估28

提升信息平安風(fēng)險(xiǎn)評(píng)估意識(shí)

社會(huì)、經(jīng)濟(jì)、政治、文化對(duì)信息化的強(qiáng)烈依賴(lài)作業(yè)連續(xù)性保障〔BCM/BCP〕引起普遍關(guān)注信息平安保障體系建設(shè)〔IA〕成為焦點(diǎn)實(shí)施信息平安的風(fēng)險(xiǎn)管理正在被認(rèn)同提升信息平安風(fēng)險(xiǎn)評(píng)估意識(shí)和能力是當(dāng)務(wù)之急信息平安風(fēng)險(xiǎn)評(píng)估既是信息平安建設(shè)的起點(diǎn)也覆蓋終生創(chuàng)立一個(gè)平安的信息化環(huán)境保障信息化健康開(kāi)展

29威脅脆弱性防護(hù)措施風(fēng)險(xiǎn)資產(chǎn)防護(hù)需求價(jià)值抗擊利用增加增加暴露被滿足引出增加擁有風(fēng)險(xiǎn)管理要素關(guān)系圖30信息系統(tǒng)平安風(fēng)險(xiǎn)管理比較和對(duì)比可用攻擊研究敵方行為理論開(kāi)創(chuàng)任務(wù)影響理論比較和對(duì)比各種行為行動(dòng)決策對(duì)策識(shí)別與特征描述任務(wù)關(guān)鍵性參數(shù)權(quán)衡脆弱性與攻擊的識(shí)別與特征描述威脅的識(shí)別與特征描述任務(wù)影響的識(shí)別與描述根底研究與事件別離系統(tǒng)改進(jìn)風(fēng)險(xiǎn)分析31信息系統(tǒng)平安風(fēng)險(xiǎn)評(píng)估的特征信息系統(tǒng)是一個(gè)巨型復(fù)雜系統(tǒng)〔系統(tǒng)要素、平安要素〕信息系統(tǒng)受制于外部因素〔物理環(huán)境、行政管理、人員〕信息系統(tǒng)平安風(fēng)險(xiǎn)評(píng)估是一項(xiàng)系統(tǒng)工程發(fā)現(xiàn)隱患、采取對(duì)策、提升強(qiáng)度、總結(jié)經(jīng)驗(yàn)自評(píng)估、委托評(píng)估、檢察評(píng)估32信息系統(tǒng)平安評(píng)估目的提供采取降低影響完成保護(hù)安全保證技術(shù)提供者系統(tǒng)評(píng)估者安全保證信心風(fēng)險(xiǎn)對(duì)策資產(chǎn)使命資產(chǎn)擁有者價(jià)值給出證據(jù)生成保證具有33

信息平安風(fēng)險(xiǎn)評(píng)估是提升信息平安體系強(qiáng)度重要保證

信息系統(tǒng)資產(chǎn)是有價(jià)資產(chǎn)脆弱性/威脅力力圖使資產(chǎn)貶值影響/風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)估：發(fā)現(xiàn)、預(yù)防、降低、轉(zhuǎn)移、補(bǔ)償、承受采取措施以提升系統(tǒng)平安強(qiáng)度保護(hù)信息系統(tǒng)資產(chǎn)價(jià)值〔保密性、完整性、可用性〕完成系統(tǒng)的使命

34信息系統(tǒng)生命周期中

平安保障與評(píng)估策劃與組織開(kāi)發(fā)與采購(gòu)信息系統(tǒng)安全保障與評(píng)估實(shí)施與交付運(yùn)行與維護(hù)更新與廢棄35國(guó)家對(duì)信息平安風(fēng)險(xiǎn)評(píng)估工作高度重視

國(guó)信辦[2005]5號(hào)文件<信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估試點(diǎn)工作方案>“國(guó)信辦〞與“安標(biāo)委〞?信息平安風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)?〔GB/T報(bào)批稿〕“國(guó)信辦〞抓緊風(fēng)險(xiǎn)評(píng)估試點(diǎn)、宣貫和推廣〔05、06年〕“保密局〞涉密信息領(lǐng)域風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)〞科技部“信息平安風(fēng)險(xiǎn)評(píng)估方法、工具、模型研制36國(guó)內(nèi)信息平安評(píng)估機(jī)構(gòu)的現(xiàn)狀國(guó)家信息平安標(biāo)準(zhǔn)化委員會(huì)〔“信息平安評(píng)估工作組-WG5〕國(guó)家信息平安測(cè)評(píng)中心〔信息技術(shù)平安性評(píng)估準(zhǔn)那么-GB/T18336〕〔EG信息系統(tǒng)平安保障評(píng)估準(zhǔn)那么〕公安部〔計(jì)算機(jī)信息系統(tǒng)平安保護(hù)等級(jí)劃分準(zhǔn)那么-GB17859-1999〕〔計(jì)算機(jī)信息系統(tǒng)平安等級(jí)保護(hù)通用技術(shù)要求-GA/T390-2002〕國(guó)家保密局〔涉及國(guó)家秘密的計(jì)算機(jī)信息系統(tǒng)平安保密測(cè)評(píng)指南-BMZ3-2001〕北京市信息辦〔黨政機(jī)關(guān)信息系統(tǒng)平安測(cè)評(píng)標(biāo)準(zhǔn)〕上海市信息辦〔信息系統(tǒng)平安測(cè)評(píng)標(biāo)準(zhǔn)〕解放軍〔信息系統(tǒng)平安評(píng)估標(biāo)準(zhǔn)〕其它37建立國(guó)家信息平安評(píng)估體系信息平安評(píng)估標(biāo)準(zhǔn)和標(biāo)準(zhǔn)體系IT產(chǎn)品、IT系統(tǒng)、IT效勞信息平安評(píng)估監(jiān)管體系對(duì)評(píng)估組織與評(píng)估行為的監(jiān)管(等級(jí),資質(zhì),規(guī)那么)信息平安評(píng)估組織體系，在認(rèn)監(jiān)委、信息辦領(lǐng)導(dǎo)下

認(rèn)可機(jī)構(gòu)認(rèn)證機(jī)構(gòu)評(píng)估技術(shù)支援中心（實(shí)驗(yàn)室）專(zhuān)家委員會(huì)檢測(cè)、評(píng)估機(jī)構(gòu)檢測(cè)、評(píng)估機(jī)構(gòu)評(píng)估操作層技術(shù)支持層認(rèn)證層認(rèn)可監(jiān)管層38國(guó)際信息系統(tǒng)平安測(cè)評(píng)狀況NIACAPDICSCAPNSTISSIFIPS102行業(yè)與企業(yè)的風(fēng)險(xiǎn)評(píng)估投入明顯〔1%——5%〕39信息系統(tǒng)平安評(píng)估方法定性分析與定量結(jié)合評(píng)估機(jī)構(gòu)與評(píng)估專(zhuān)家結(jié)合評(píng)估考查與評(píng)估檢測(cè)結(jié)合技術(shù)平安與管理平安結(jié)合40信息系統(tǒng)平安分析與檢測(cè)管理平安分析組織、人員、制度、資產(chǎn)控制、物理、操作、連續(xù)性、應(yīng)急過(guò)程平安分析威脅、風(fēng)險(xiǎn)、脆弱性、需求、策略、方案、符合性分發(fā)、運(yùn)行、維護(hù)、更新、廢棄技術(shù)平安分析與檢測(cè)平安機(jī)制、功能和強(qiáng)度分析網(wǎng)絡(luò)設(shè)施、平安設(shè)施及主機(jī)配置平安分析網(wǎng)絡(luò)設(shè)備和主機(jī)設(shè)備脆弱性分析系統(tǒng)穿透性測(cè)試41風(fēng)險(xiǎn)評(píng)估實(shí)施步驟(1)風(fēng)險(xiǎn)評(píng)估的準(zhǔn)備(2)資產(chǎn)識(shí)別(3)威脅識(shí)別(4)脆弱性識(shí)別(5)已有平安措施確實(shí)認(rèn)(6)風(fēng)險(xiǎn)分析(7)風(fēng)險(xiǎn)評(píng)估文件記錄(8)風(fēng)險(xiǎn)評(píng)估對(duì)策42

風(fēng)險(xiǎn)評(píng)估流程43

風(fēng)險(xiǎn)分析示意圖44風(fēng)險(xiǎn)評(píng)估工具〔1〕風(fēng)險(xiǎn)評(píng)估管理工具基于平安標(biāo)準(zhǔn)、基于知識(shí)、基于模型采點(diǎn)、收集、描述、分析〔2〕風(fēng)險(xiǎn)評(píng)估檢測(cè)工具脆弱性掃描：網(wǎng)絡(luò)、主機(jī)、數(shù)據(jù)庫(kù)、網(wǎng)站、滲透性測(cè)試：黑客、病毒、木馬、諜件、劫持、拒絕、破譯〔3〕風(fēng)險(xiǎn)評(píng)估輔助工具入侵檢測(cè)、平安審計(jì)、拓?fù)浒l(fā)現(xiàn)、資產(chǎn)收集知識(shí)庫(kù)、漏洞庫(kù)、算法庫(kù)、模型庫(kù)、指標(biāo)庫(kù)45信息平安風(fēng)險(xiǎn)評(píng)估試點(diǎn)成效顯著〔05年〕提高了風(fēng)險(xiǎn)意識(shí)、培育自評(píng)估能力〔8個(gè)試點(diǎn)、幾千人日〕三要素的識(shí)別與賦值能力有所提高、〔并探索行業(yè)細(xì)那么〕發(fā)現(xiàn)和消除大量隱患、提升了平安強(qiáng)度〔表層與深層〕采用了多種評(píng)估模式并總結(jié)經(jīng)驗(yàn)〔自評(píng)、委托、檢查〕實(shí)效性/關(guān)鍵性/涉密性/常規(guī)性等系統(tǒng)的分類(lèi)指導(dǎo)