51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

全球信息安全风险评估发展及现状

作者:佚名
安全
本文通过对信息安全数据的分析,向读者介绍了全球信息安全风险评估发展及现状,意在让大家能够深刻认识到信息安全对于网络安全来说是一个非常关键的问题,希望以下的分析能够帮助到大家。

信息安全数据分析

根据卡巴斯基实验室安全网络(KSN)收集和处理到的数据, 卡巴斯基发布了《2010年第一季度信息安全威胁报告》。该报告给出了几个有意思的数据。 首先是全球安全态势, 在全球不同国家,共计发生327,598,028次恶意程序试图感染用户计算机的行为,同上一季度相比,总体增长26.8%, 网络罪犯所采取的攻击策略有所改变:目前,针对中国地区用户的网络攻击同比下降了13%。

其次是哪些国家的用户最容易遭受网络攻击的侵害, 根据卡巴斯基的报告,前三甲是中国、俄罗斯和印度,分别占18.05%、13.18%和8.52%。而一直叫嚷受到中国大陆黑客攻击的美国只能屈居第四, 占总比的5.25%, 不到中国的三分之一。中国依然是“最易遭受网络攻击的国家”。

最后来了解一下来自互联网的威胁,  卡巴斯基给出了互联网上排名前十的最常见恶意软件家族, 排名前三的分别是Iframe、Generic和Hexzone。 另一个威胁是漏洞, 在2010年第一季度,卡巴斯基实验室在用户计算机上共检测到12,111,862个未修补的漏洞。同上一季度相比,增长了6.9%。排名前十位的漏洞中,有六种来自微软的软件产品,有九种可以被网络罪犯用来获取系统的安全控制权。可见, 保护计算的最好的办法是及时安装漏洞补丁。

全球信息安全风险评估发展及现状

美国人发明了计算机, 并在此后一直引领着计算机技术发展的方向。同样,美国最早开展计算机安全研究, 一直主导着信息安全技术和理论的发展。 因此, 美国在信息安全评估理论和方法上的研究, 代表该领域国际上的最新发展。

美国从1967年开始研究计算机安全问题, 从1967年11月至1970年2月, 美国美国国防科学委员会委托兰德公司、迈特公司(MITIE)及其它和国防工业有关的一些公司,经过将近两年半的工作,主要对当时的大型机、远程终端进行了研究和分析,完成了第一次比较大规模的风险评估。在此基础上, 经过近10年的研究, NBS(美国国家标准局)1979年颁布了一个风险评估的标准:《自动数据处理系统(ADP)风险分析标准》(FIPS 65)。

从此拉开了信息安全风险评估理论和方法研究的序幕, 包括美国80年代的彩虹系列(即橘皮书, 美国早期的一套比较完整的从理论到方法的有关信息安全评估的准则, 形成于1981-1985), 1992年美国联邦政府制定的《联邦信息技术安全评估准则》(FC), 以及1993年发布的《信息技术安全通用评估准则》, 最终演化为1999年的国际标准ISO/IEC 15408。

跨入21世纪, 随着网络和信息技术的发展, 互联网及其应用高速发展,  同时国际范围内出现了大规模黑客攻击,信息战的理论逐步发展,并且美国的军事、政治、经济和社会活动对信息基础设施的依赖程度达到了空前的高度, 在此环境下, 美国又开始了对信息系统新一轮的评估和研究,产生了一些新的概念、法规和标准。从2002年1月开始, NIST先发布了《IT系统风险管理指南》(SP 800-30)、《联邦IT系统安全认证和认可指南》(SP 800-37)、《联邦信息和信息系统的安全分类标准》(FIPS 199)、《联邦IT系统最小安全控制》(SP 800-53)、《将各种信息和信息系统映射到安全类别的指南》(SP 800-60)等多个文档。

虽然美国引领了网络和信息技术的发展,但是目前影响最广泛的 网络和信息安全方面的标准ISO/IEC 17799:2005 (其前身是BS7799 Part 1, 全称是Code of Practice for Information Security,也即为信息安全的实施细则)却来自英国,并被大多数国家认可和使用。目前我们常讲的ISO 27001 和ISO 27002 , 其前身分别是BS7799  part 2 和BS7799  part 1。

信息安全评估涉及到方方面面,安全标准也十分庞杂,各种评估标准的侧重点也不一样,比如《信息技术安全性评估准则(CC) 》和《美国国防部可信计算机评估准则(TCSEC) 》等更侧重于对系统和产品的技术指标的评估;《系统安全工程能力成熟模型(SSE-CMM) 》更侧重于对安全产品开发、安全系统集成等安全工程过程的管理。ISO/IEC 17799 (也就是ISO 27001 和ISO 27002)在对信息系统日常安全管理方面具有无法取代的地位,因此,目前国外很多企业接受ISO 27001:2005(BS7799-2)的认证,即信息安全管理体系认证证书。

国内情况比较简单,由于关于安全风险评估研究起步的较晚,目前国内整体处于起步和借鉴阶段,在安全风险评估的标准研究上还处于跟踪国际标准的初级探索阶段。国家质量技术监督局于2001年依据国际标准CC颁布了GB/T 18336《信息技术 安全技术 信息技术安全性评估准则》,相关的标准还有依据美国的TCSEC及红皮书于1999年发布的GB17859《计算机信息系统安全保护等级划分准则》,以及我国专门针对信息系统安全风险评估制定标准《信息安全技术 信息安全风险评估规范》(GB20984-2007)和《信息安全风险管理指南》。

当前我国正在进行的“信息系统安全等级保护”也是进行信息安全评估的一种重要形式, 其重要性不亚于60年代初, 美国通过两年半的时间进行的第一次全美国范围内的大规模的风险评估。

信息系统安全等级保护工作在国内的状况, 与美国2002年颁布的《联邦信息安全管理法案》(FISMA)有相似之处。该法案试图通过采取适当的安全控制措施来保证联邦机构的信息系统安全性,是当前美国信息安全领域的一个重要发展计划。

【编辑推荐】

  1. 六大网络安全威胁发展趋势
  2. 网络信息安全产业发展之网络时代
  3. 现代云计算安全企业应更看重什么
责任编辑:佚名 来源: 中国教育网
信息安全
相关推荐
物联网的风险评估现状
互联网的安全风险评估方法在最近的十年里发展迅速。这些风险评估方法为政府和企业机构提供了一个可以防范相关安全风险的平台。随着网络系统复杂度以及自动化程度的提高,尤其在物联网系统领域,我们急需一种新的方法来评估网络风险以及建立信任体系。

2020-06-29 08:10:44

物联网安全技术
信息安全风险评估需注重细化威胁
2009年12月1日,我国最大的信息安全产品与服务提供商,天融信公司受邀参加了由中国信息安全评测中心主办的“第二届信息安全漏洞分析与风险评估大会”。

2009-12-03 00:41:45

如何高效地执行信息安全风险评估
信息安全风险评估工作对于组织进行信息安全风险的有效管理、识别并修复安全风险点具有非常重要的意义。本文侧重于风险评估过程的实践经验以及对执行方法的一些理解和建议。

2011-12-06 13:30:45

全球中国云计算产业发展现状
全球云计算产业虽处于发展初期,市场规模不大,但将会引导传统ICT产业向社会化服务转型,未来发展空间十分广阔。2011年全球云计算服务规模约为900亿美元,美国云服务市场规模约占全球60%

2012-07-17 09:08:39

云计算产业发展现状
全球中国云计算产业发展现状
全球云计算产业虽处于发展初期,市场规模不大,但将会引导传统ICT产业向社会化服务转型,未来发展空间十分广阔。2011年全球云计算服务规模约为900亿美元,美国云服务市场规模约占全球60%,远高于欧洲(24.7%)和日本(10%)等国家和地区。

2012-07-13 14:42:02

云计算
如何简化企业信息安全风险评估工作
随着信息技术的快速发展和广泛应用,信息技术已深入到各行各业之中。越来越多的企业和组织应用信息技术为其业务提供支持和服务,企业的信息化水平也在不断的提高,而信息安全问题也随之而来。

2009-10-15 16:20:52

风险评估企业信息安全谷安天下
网络安全:完善信息网络安全风险评估
对于信息网络而言,目前看来在设计或建设阶段尚不能满足绝对安全的需要,而信息安全风险评估有助于军队信息化建设的有序开展,促进信息安全保障体系的完善,提高信息系统的安全防护能力。

2011-08-11 11:13:24

简析信息安全风险评估的方法与特点
基于资产的风险评估方法是指在风险分析中,识别信息资产、威胁、脆弱性三要素,在此基础上,分别对资产、威胁、和脆弱性及其关联进行分析和赋值,采用选定的风险评估模型进行计算,由此得出安全事件发生的可能性和损失,及其对组织的影响(即安全风险值)。

2022-06-27 13:28:33

安全风险风险评估方法
天融信获国家首批信息安全风险评估服务资质认证
对于风险评估工作的组织管理和实施,多年来我国政府进行了周密部署,提出了若干工作要求。强调信息安全风险评估是信息安全保障工作的基础性工作和重要环节,应贯穿于网络和信息系统建设运行的全过程,在网络与信息系统的设计、验收和运行维护阶段均应当进行信息安全风险评估。

2010-06-12 13:31:58

天融信信息安全风险评估认证
实践经验:如何提高信息安全风险评估效果和效率
提到信息安全就必然涉及风险评估,风险评估已经成为信息安全工作的重要组成部分,也是现代信息安全理论重要基础之一。风险评估的方法有很多种,例如,定量评估、基线评估、非正式(非结构化)评估、详细评估(基于信息资产的风险评估),综合评估,等等。

2013-01-06 16:08:43

风险评估信息安全
数据安全:什么是数据风险评估
作为一项保护措施,组织应定期执行数据风险评估,以审查和保护敏感信息。但什么是数据风险评估以及执行数据风险评估的优秀方法是什么?

2024-01-05 08:36:01

数据安全技术能力发展现状挑战解析
本文将通过研究梳理国内外数据安全技术手段发展现状,分析总结存在的问题,并提出对策建议,以期提升我国数据安全技术保障能力,降低数据安全风险。

2021-04-14 09:49:42

数据安全数据泄露网络安全
浅析我国电子商务发展安全环境现状
根据CNNIC发布的《中国互联网络热点调查报告》中显示:网上购物大军达到2000万人,在全体互联网网民中,有过购物经历的网民占近20%的比例。根据国家信息化办公室公布的数据,目前仍有60%的中小企业的信息化程度处于初级阶段。

2009-02-18 09:43:09

全球5G发展现状解析
5G,从2019年的首次商用,至今已有两年。这项新一代的移动通信技术在全球发展地怎么样了呢

2021-08-15 12:56:56

5G现状商用
全球TDD 4G发展现状
总结TDLTE的芯片与终端发展现状、国内及全球其他国家地区TDLTE网络建设现状。TDLTE技术发展势头良好,芯片已经可以满足数据业务应用,TDD4G智能终端(尤其是智能手机)正在被陆续推出。

2013-11-05 09:51:33

评估工业安全风险为什么这么难?
网络威胁影响日益引起政企事业单位甚至个人的关注和重视,确保工业控制系统(ICS)安全从未像如今这般紧迫。

2018-06-22 07:51:13

企业数据安全状况评估风险管理
据CSI和FBI每年的联合调查报告显示:近几年信息安全事件造成的损失当中,30%~40%是由电子文件的泄漏造成的。而在《财富》杂志排名前1000位的公司每年因电子文件泄漏造成的损失总值高达500多亿美元,该数值增速呈逐年加快之势。

2011-06-23 16:03:53

数据安全加密
物联网发展中的安全风险对策研究
本文分析了国内外物联网安全政策、技术、标准、产业等形势,重点强调了当前我国物联网发展中存在的安全风险

2022-02-12 11:14:25

物联网安全物联网IOT
基于OSSIM平台的信息系统安全风险评估实施指南
一些人会认为,风险评估不就是扫描主机麻,拿一些国外著名安全工具全网扫描,这种行为就是风险评估,效果肯定好不了,现在很多公司内网都有自动补丁分发系统,杀毒系统,等等,最重要的问题是扫描出的东西是你关心的内容吗?其实要进行风险评估,首先要进行网络资产调研。

2016-10-07 21:56:28

2020年全球信息安全市场发展现状分析 市场规模破千亿美元
近年来,信息安全兼并收购案例频发,国际企业通过收购完善自身产品结构,提高自身产品的安全性。

2020-08-11 09:27:08

信息安全数据技术
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服