信息安全测评与风险评估教学课件总论

1、s,信息安全测评与风险评估,信息安全实验室教学团队 重庆大学 软件学院,工程 艺术 天作之合,本门课的组织形式,讨论、互动、动手,每次课程之后均需以小组为单位提交报告,23人一组（小组代号要有个性,总成绩 = 平时报告（60%）+ Final Defense（40,教师团队 + 高年级本科生/研究生助教,本次课程要点,为什么要写这部书“八年抗战,网络安全研究室” 二十几平米的“豪宅”，十几个朝气蓬勃的年轻人，七八台破电脑，还有两个追梦的“老顽童” ：CC、SSE-CMM、TCSEC（彩虹系列/橘皮书,重庆市信息安全技术中心” 600余平米的专业实验室（群）、充满“梦想和激情”的团队：重庆市和国

2、家级的科研任务和测评工作：等级保护和风险评估系列标准,武林豪杰的英雄帖” 王渝次、赵泽良、杜虹、詹榜华、冯登国：急需培养既掌握了国家标准又具有“实战能力”的信息安全测评工程师。重庆大学这方面做得还不错，可以为我国高校信息安全专业的本科生写一本这样的教材吗,几句心里话,不唯书、不唯上、只唯实”：做人的态度,怀疑、批判、创新、求实、协作”：一名科技工作者的态度,居安思危，思则有备，有备无患”：一名测评工程师的态度,三严要求”：严肃的科学精神，严谨的工作作风，严格的贯标过程,天作之合”：工程与艺术完美的结合,系统科学的思想,如何治理洪涝灾害,都江堰水利工程（256 B.C.）对信息社会的启示录： “

3、堵”还是“疏”？“道法自然”，“人水和谐” “三字经、六字诀”（深淘滩、低作堰） “八字格言”（乘势利导、因时制宜；遇弯截角，逢正抽心,信息安全测评中的系统工程思想,怀疑、批判、创新 求实、协作,系统工程,贯标,国内外标准化组织,ISO/IEC（国际标准化组织/国际电工委员会） ITU（国际电信联盟） IETF（互联网工程任务组,NIST（美国国家标准技术研究院）：NIST SP 800系列 BSI（英国标准技术研究院）：BS 7799,CITS（中国信息安全标准化技术委员会）：已经颁布了近百个国家或行业标准（本书主要参考标准：信息系统安全等级保护定级指南（GB/T 22240-2008），信

4、息安全风险评估规范（GB/T 20984-2007,其他有用的资源,/ 美国政府计算机应急响应小组 / 世界首家计算机应急响应小组（CMU/SEI） / 国际“通用漏洞利用通报组织” http:/ 中国计算机安全组织 http:/ 国家互联网应急响应中心 http:/www.antivirus- 国家计算机病毒应急处理中心 http:/ 中国信息安全等级保护网 http:/ 中国信息安全博士网 /index.php 信息安全专业论坛 http

5、:/ 工业和信息化部信息安全协调司,信息安全技术保障框架,信息安全技术保障框架,为何测评（why,计算机信息系统等级保护溯源 美国国防科学委员会（军用计算机信息系统安全评价标准，1967年） 美国国防部（颁布可信计算机系统评价准则（TCSEC），1985年） 公安部开始同步跟踪研究 （1980年初） 计算机信息系统安全保护等级划分准则（GB 17859，1997年,历史的回声,对等级保护新的认识 信息系统安全等级保护定级指南（GB/T 22240-2008,五级标准,第五级：信息系统受到破坏后，会对国家安全造成特别严重的损害,第四级：信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，

6、 或者对国家安全造成严重损害,第三级：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害， 或者对国家安全造成损害,第二级：信息系统受到破坏后，会对公民、法人和其他组织的合法权利 产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全,第一级：信息系统受到破坏后，会对公民、法人和其他组织的 合法权利造成损害，但不损害国家安全、社会秩序和公共利益,何时测评（when,设计阶段,建设阶段,运维阶段,废弃阶段,测评什么（what,公网、外网、内网 公网：互联网、电子商务（eBay，淘宝网，QQ） 外网：电子政务外网、企事业单位外网 内网：电子政务内网、重要行业专网、涉密网,外网测评特点 DMZ、安全域 对内保护、对外服务 遵循国家通用标准 （如GB/T 22240-2008,内网测评特点 内外网“绝对”隔离 内部安全域及符合性测评 遵循国家特殊标准,谁来测评（who,自评 熟悉本单位业务特点 本单位管理和技术人员（例如信息中心） 特殊技能的培养？ 测评结果的可信性,委评 权威机构授权 专业技术机构管理和技术人员（现在的我们，将来的你们） 测评结果的可信性 急需此类人才,如何准备测评（how,测评案例分析,巴山市政府电子政务信息系统，为本市提供 G2G：政府部门之间协同办公 G2E：面向企业服务 G2P：面向公众服务,G2G：ht