Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

香港六合彩

872 views

Published on

香港六合彩放慢了脚步,希望能看到那人因为急速逃跑而留下奔跑的影踪,可眼前的一座大院落里嘈杂的人来人往遮掩住了所有可能追索到的痕迹。
  香港六合彩稍微迟疑了下,突然看到那个人在这院落中一闪,香港六合彩甚至都没有抬头看是什么地方就走过去。
  呵!真是巧啊,香港六合彩还说香港六合彩不是窑子里的姐儿?耳边传来的声音熟悉,抬起头正好和早上的登徒子来个照面。香港六合彩看着香港六合彩邪邪的奸笑头皮有点麻,怎么这么倒霉又遇到香港六合彩?
  是香港六合彩?是香港六合彩,怎么着,原来香港六合彩是红袖招的姑娘,新来的?男子的声音里透着一丝龌龊。香港六合彩这才抬起头,啊?头顶上的匾额清清楚楚的写着三个子:红袖招。香港六合彩眨眨眼,这就是传说中的勾栏院?自己追坏蛋竟然追到这里?
  男子的手自然而然的揽了过来:来吧,害什么臊啊,香港六合彩可是这里最大的恩客,常常光顾的!
  香港六合彩终于又开始笑了,笑得要多灿烂有多灿烂,男子下意识的被迷醉了,眼前一花,两个耳光就胡了上去,清脆的响声,香港六合彩顺便抓住那揽过来的臭手一个大背跨摔了出去。
男子的功夫也了得,飞出去的一刻拧身过来稳稳的站在哪里,喘了口气:香港六合彩这个疯女人,不准备做生意啦?香港六合彩走几步到台阶高处站稳,因为这样香港六合彩才能低头藐视香港六合彩:香港六合彩这个花花公子,姑奶奶有没有说过要是让香港六合彩再见到香港六合彩一次就打香港六合彩一次!

Published in: Technology, Economy & Finance

香港六合彩

  1. 1. 关于信息安全风险管理 理论与实践发展的一些思考 崔书昆 二 00 四年十月十二日
  2. 2. 关于信息安全风险管理理论与实践发展的一些思考 一、信息安全风险管理理论来源于信息安 全实践 二、我国信息安全实践对风险管理理论提 出了新问题、新要求 三、信息安全风险管理上存在的问题只能 靠信息安全实践来解决
  3. 3. 关于信息安全风险管理理论与实践发展的一些思考 一、信息安全风险管理理论来源于信息安 全实践 二、我国信息安全实践对风险管理理论提 出了新问题、新要求 三、信息安全风险管理上存在的问题只能 靠信息安全实践来解决
  4. 4. 一、信息安全风险管理理论来源于信息安全实践 风险管理( Risk management )包括风险识别、风险分析、风险评估和风险控制等内容。 国外许多专家认为,风险管理是信息安全的基础工作和核心任务之一,是最有效的一种措施,是保证信息安全投资回报率优化的科学方法。 现代风险管理理论产生于西方资本主义国家,它是为制定有效的经济发展战略和市场竞争策略而创造的一种理论、方法和措施。
  5. 5. 一、信息安全风险管理理论来源于信息安全实践 风险管理理论由于它的广泛适用性、现已应用于各国社会与经济发展、国家建设、国家安全、公共安全和信息安全诸多领域。 风险管理理论应用于信息安全领域始于 20 世纪 60 年代。此后,信息安全风险管理的实践和理论的发展大体上经过了三个阶段:
  6. 6. 一、信息安全风险管理理论来源于信息安全实践 (一)、 20 世纪 60 年代至 80 年代是信息安全风险管理 实践与理论发展的初期阶段 (二)、 20 世纪 80 年代末至 90 年代中期是信息安全风 险管理实践和理论走向初步成熟的阶段 (三)、 20 世纪 90 年代末,国际范围的风险管理实践 与理论进入第三个阶段,即全球化阶段
  7. 7. 一、信息安全风险管理理论来源于信息安全实践 (一)、 20 世纪 60 年代至 80 年代是信息安全风险管理实践与理论发展的初期阶段 20 世纪 60 年代,随着资源共享计算机系统和早期计算机网络的出现,计算机安全问题初步显露。 1967 年秋,美国国防部委托兰德公司为首的多个研究机构和企业,进行了美国历史上第一次大规模的计算机安全风险评估,历时三年。 1970 年初出版了一个长达数百页的机密报告《计算机安全控制》。该报告奠定了国际安全风险评估的理论基础。
  8. 8. 一、信息安全风险管理理论来源于信息安全实践 (一)、 20 世纪 60 年代至 80 年代是信息安全风险管理实践与理论发展的初期阶段 在此基础上,美国率先推出了首批关于信息安全风险管理及相关的安全评测标准。其中: 第一组标准是由国家标准局 (NBS) 制定的,如: FIPS PUB 31 自动数据处理系统物理安全和风险管理指南( 1974 年)。 FIPS PUB 65 自动数据处理系统风险分析指南( 1979 年)
  9. 9. 一、信息安全风险管理理论来源于信息安全实践 (一)、 20 世纪 60 年代至 80 年代是信息安全风险管理实践与理论发展的初期阶段 第二组是由美国国防部国家安全局于 1983 年后陆续制定的计算机系统安全评估系列标准,主要包括《可信计算机系统安全评估准则》 (TCSEC )、《可信网络解释》( TNI )、《特定环境下的安全需求》等等,总计约 40 来个各类标准。由于每个标准用不同颜色的封皮,俗称为“彩虹系列”。
  10. 10. 一、信息安全风险管理理论来源于信息安全实践 (一)、 20 世纪 60 年代至 80 年代是信息安全风险管理实践与理论发展的初期阶段 这套标准建立在风险评估理论基础上。该系列中《安全需求技术原理》标准指出:“评估一个计算机系统的安全级别依赖于该系统存在的风险水平,即风险因子( RISK INDEX )”,“还存在影响安全风险的其他诸如任务关键性、所需拒绝服务保护和威胁的严重性等因素。”
  11. 11. 一、信息安全风险管理理论来源于信息安全实践 (二)、 20 世纪 80 年代末至 90 年代中期是信息安全风险管理实践和理论走向初步成熟的阶段 1989 年美国率先建立了计算机应急组织,次年,建立了信息安全事件应急国际论坛( FIRST )。 1992 年美国国防部建立了漏洞分析与评估计划。 1994 年美国国家安全局等组织构成的联合委员会明确提出,美国国家信息安全必须建立在风险管理的基础上。
  12. 12. 一、信息安全风险管理理论来源于信息安全实践 (二)、 20 世纪 80 年代末至 90 年代中期是信息安全风险管理实践和理论走向初步成熟的阶段 1995 年 9 月至 1996 年 4 月,美国总审计局为因应国会“加强信息安全、降低信息战威胁”的要求,对美国国防系统的信息系统进行了大规模风险评估,于 1996 年 5 月发表了名为《信息安全—针对国防部的计算机攻击正构成日益增大的风险》的报告。
  13. 13. 1995 年 12 月美国国防部提出了信息安全的动态模型,即“防护—监测—反应”多环节保障体系,后通称“ PDR 模型”。 1990 年,欧洲英、法、德、荷四国着手制定了共同的信息技术安全评估标准( ITSEC ),强调要把信息系统实用环境中的威胁与风险纳入评估视野。加拿大也制定了本国的信息安全测评标准。 一、信息安全风险管理理论来源于信息安全实践 (二)、 20 世纪 80 年代末至 90 年代中期是信息安全风险管理实践和理论走向初步成熟的阶段
  14. 14. 一、信息安全风险管理理论来源于信息安全实践 (二)、 20 世纪 80 年代末至 90 年代中期是信息安全风险管理实践和理论走向初步成熟的阶段 1993 年欧美六个国家又启动了建立共同评测标准(即后来的 CC 标准)的计划。这个期间英国自己还研发了基于风险管理的 BS7799 信息安全管理标准,澳大利亚和新西兰制定了共同的风险管理标准 AS/NES4360 。此外,荷兰、德国、挪威等国也制定了相应的本国标准。所有这些标准,都强调风险评估和管理的重要性、基础性作用。
  15. 15. 一、信息安全风险管理理论来源于信息安全实践 (二)、 20 世纪 80 年代末至 90 年代中期是信息安全风险管理实践和理论走向初步成熟的阶段 1997 年 12 月,美国国防部发表了《信息技术安全认证和批准程序》( DITSCAP ),成为美国涉密信息系统的安全评估和风险管理的重要标准和依据。
  16. 16. 一、信息安全风险管理理论来源于信息安全实践 (三)、 20 世纪 90 年代末,国际范围的风险管理实践与理论进入第三个阶段,即全球化阶段 由于 90 年代以来因特网、移动通信和跨国光缆的高速发展,各国原本局限于本国内的信息网络迅速跨越国境连成一片。与此同时,信息安全也成为世界各国面临的共同挑战 。 。
  17. 17. 一、信息安全风险管理理论来源于信息安全实践 (三)、 20 世纪 90 年代末,国际范围的风险管理实践与理论进入第三个阶段,即全球化阶段 在共同需求的驱动下, 1996 年国际标准组织发布了 ISO/IEC TR 13335 标准即《信息技术安全管理指南》。 1999 年发布了 ISO/IEC15408 标准即《信息技术安全评估共同准则》( CC 标准)。 2000 年又发布了 ISO/IEC177799 即《信息技术信息安全管理实用规则》。
  18. 18. 一、信息安全风险管理理论来源于信息安全实践 (三)、 20 世纪 90 年代末,国际范围的风险管理实践与理论进入第三个阶段,即全球化阶段 国际标准的出台,反过来又推动了各国自身风险管理标准研发的进程。例如美国,从 90 年代末开始,在风险管理相关标准的制定上掀起了一个新高潮,仅 NIST (美国国家标准与技术局)近几年制定的与风险管理相关的标准就达十多个。
  19. 19. 一、信息安全风险管理理论来源于信息安全实践 (三)、 20 世纪 90 年代末,国际范围的风险管理实践与理论进入第三个阶段,即全球化阶段 美国国防部于 2002 年发布了《信息(安全)保障》指令( 8500·1 ),于 2003 年发布了《信息(安全)保障实现》指令( 8500·2 )两个文件,作为国防系统安全评估也包括风险管理的依据。
  20. 20. 一、信息安全风险管理理论来源于信息安全实践 (三)、 20 世纪 90 年代末,国际范围的风险管理实践与理论进入第三个阶段,即全球化阶段 基中正式发布的此类标准主要有: S P800—26 信息技术系统安全自评估指南( 2001 年) SP800—30 信息技术系统风险管理指南( 2002 年) SP800—51CVE 使用和漏洞命名法( 2002 年)等等。
  21. 21. 关于信息安全风险管理理论与实践发展的一些思考 一、信息安全风险管理理论来源于信息安 全实践 二、我国信息安全实践对风险管理理论提 出了新问题、新要求 三、信息安全风险管理上存在的问题只能 靠信息安全实践来解决
  22. 22. 二、我国信息安全实践对风险管理理论提出了新问题、新要求 20 世纪 90 年代以来,随着经济全球化和世界科技革命,我国的信息技术、信息产业和信息网络蓬勃发展。信息安全日益突出,风险管理的重要性空前彰显。 2002 年我国在 863 计划中首次规划了《系统安全风险分析和评估方法研究》课题 。
  23. 23. 二、我国信息安全实践对风险管理理论提出了新问题、新要求 2003 年 8 月至今年在国信办直接指导下,组成了风险评估课题组,开展了系统的风险评估和管理理论研究。这期间,我国一些国家研究机构、大专院校、民营企业、外资企业、向国内介绍了美、英等发达国家关于信息安全风险评估、风险管理的理论、方法和经验,为我国这个领域工作的开展发挥了重要作用。
  24. 24. 二、我国信息安全实践对风险管理理论提出了新问题、新要求 但是在新形势下,我国风险管理理论和实践还存在不少亟待解决的问题。根据“国信办信息安全风险评估课题组”去年年底至今年年初进行调研中接触到的情况,我认为可以归纳为如下五个方面的问题:
  25. 25. 二、我国信息安全实践对风险管理理论提出了新问题、新要求 (一)、绝对安全的观念束缚着风险管理思想的树立 (二)、主观上风险意识谈薄影响着对我国在信息安 全上面临高风险形势的认识 (三)、现代信息网络已成为复杂系统,现有的风险 管理理论和手段难以完全满足有关要求 (四)、风险管理理论研究与信息安全实践结合不够 紧密 (五)、现有的风险评估、管理理论和方法有待完善
  26. 26. 二、我国信息安全实践对风险管理理论提出了新问题、新要求 (一)、绝对安全的观念束缚着风险管理思想的树立 但信息安全保密实践历史告诉我们,安全保密是一个动态过程,安全事件是一种随机事件,很难做到百分之百安全。祈求“绝对安全”将在人力物力上付出极大代价,造成严重浪费。
  27. 27. 二、我国信息安全实践对风险管理理论提出了新问题、新要求 (二)、主观上风险意识谈薄影响着对我国在信息安全上面临高风险形势的认识 一些有关人员风险意识谈薄,信息安全知识不足,却津津乐道“太平盛世”,双耳不闻“盛世危言”,甚至认为,谈风险是“杞人忧天”,说安全是“天下本无事庸人自扰之”。这些都严重影响了正确认识形势,树立信息安全风险观念。
  28. 28. 二、我国信息安全实践对风险管理理论提出了新问题、新要求 (三)、现代信息网络已成为复杂系统,现有的风险管理理论和手段难以完全满足有关要求 信息系统在规模上日益庞大,网络结构越来越复杂。这样的复杂型系统进行有效地风险分析、评估和管理,需要更先进的理论和手段,现有的理论难以充分满足其要求。
  29. 29. 二、我国信息安全实践对风险管理理论提出了新问题、新要求 (四)、风险管理理论研究与信息安全实践结合不够紧密 在信息安全实践中主动结合风险管理理论不够。近几年由一批留学人员、民营企业将系统的风险评估理论带回国内,引起有关部门重视 。
  30. 30. 二、我国信息安全实践对风险管理理论提出了新问题、新要求 (五)、现有的风险评估、管理理论和方法有待完善 当前一些研究人员正在探讨的“网络控制论”、“自动化分析工具”和“形式化分析方法”等新理论、新方法有可能为未来的风险评估和管理提供一些新的、可借鉴的方法和工具。
  31. 31. 关于信息安全风险管理理论与实践发展的一些思考 一、信息安全风险管理理论来源于信息安 全实践 二、我国信息安全实践对风险管理理论提 出了新问题、新要求 三、信息安全风险管理上存在的问题只能 靠信息安全实践来解决
  32. 32. 三、信息安全风险管理上存在的问题只能靠信息安全实践来解决 目前信息安全风险管理中存在的诸多问题也只能在实践中、发展中加以解决。 有如下五点建议:
  33. 33. 三、信息安全风险管理上存在的问题只能靠信息安全实践来解决 (一)、把风险管理思想、理论和方法与信息系统的等 级保护工作紧密结合起来 (二)、普及风险管理知识,增强信息安全风险意识 (三)、深化风险管理理论研究,科学规范风险管理工 作体系 (四)、重视技术开发,打造新的高效的风险评估工具 (五)、加紧建设风险管理的专业队伍

×