我国信息安全风险评估工作的现状与发展125.ppt

《我国信息安全风险评估工作的现状与发展125.ppt》由会员分享，可在线阅读，更多相关《我国信息安全风险评估工作的现状与发展125.ppt（65页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 我国信息安全风险评估工作的现状与发展国家信息中心国家信息

2、中心 信息安全研究与服务中心信息安全研究与服务中心吴亚非吴亚非SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 一一、信息安全风险评估概述信息安全风险评估概述二、为什么要做信息安全风险评估二、为什么要做信息安全风险评估三、我国信息安全风险评估回顾三、我国信息安全风险评估回顾四、信息安全风险评估今后三年的发展四、信息安全风险评估今后三年的发展SIC INFOSEC SIC IN

3、FOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全风险评估的概念信息安全风险评估的概念信息系统的安全风险信息系统的安全风险 信息系统的安全风险，是指由于系统存在的信息系统的安全风险，是指由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。的可能性及其造成的影响。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC

4、 INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全风险评估信息安全风险评估 是指依据国家有关信息技术标准，对信息系是指依据国家有关信息技术标准，对信息系统及由其处理、传输和存储的信息的保密性、统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过完整性和可用性等安全属性进行科学评价的过程程 它要评估信息系统的脆弱性、信息系统面它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的临的威胁以及脆弱性

5、被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性实际负面影响，并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。和负面影响的程度来识别信息系统的安全风险。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全风险评估信息安全风险评估人们的认识能力和实践能力是有局限性的，因人们的认识能力和实践能力是有局限性的，因此，信息系统存在脆弱性是不可避

6、免的。信息此，信息系统存在脆弱性是不可避免的。信息系统的价值及其存在的脆弱性，使信息系统在系统的价值及其存在的脆弱性，使信息系统在现实环境中，总要面临各种人为与自然的威胁，现实环境中，总要面临各种人为与自然的威胁，存在安全风险也是必然的。存在安全风险也是必然的。信息安全建设的宗旨之一，就是在综合考虑成信息安全建设的宗旨之一，就是在综合考虑成本与效益的前提下，通过安全措施来控制风险，本与效益的前提下，通过安全措施来控制风险，使残余风险降低到可接受的程度。使残余风险降低到可接受的程度。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOS

7、EC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全风险评估信息安全风险评估因为任何信息系统都会有安全风险，所以，人因为任何信息系统都会有安全风险，所以，人们追求的所谓安全的信息系统，实际是指信息们追求的所谓安全的信息系统，实际是指信息系统在实施了风险评估并做出风险控制后，仍系统在实施了风险评估并做出风险控制后，仍然存在的残余风险可被接受的信息系统。然存在的残余风险可被接受的信息系统。因此，要追求信息系统的安全，就不能脱离全因此，要追求信息系统的安全，就不能脱离全面、完整的信息系统

8、的安全评估，就必须运用面、完整的信息系统的安全评估，就必须运用信息系统安全风险评估的思想和规范，对信息信息系统安全风险评估的思想和规范，对信息系统开展安全风险评估。系统开展安全风险评估。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险评估的意义和作用风险评估的意义和作用1.1.风险评估是信息系统安全的基础性工作风险评估是信息系统安全的基础性工作信息安全中的风险评估是传统

9、的风险理论和方信息安全中的风险评估是传统的风险理论和方法在信息系统中的运用，是科学地分析和理解法在信息系统中的运用，是科学地分析和理解信息与信息系统在保密性、完整性、可用性等信息与信息系统在保密性、完整性、可用性等方面所面临的风险，并在风险的减少、转移和方面所面临的风险，并在风险的减少、转移和规避等风险控制方法之间做出决策的过程。规避等风险控制方法之间做出决策的过程。风险评估将导出信息系统的安全需求，因此，风险评估将导出信息系统的安全需求，因此，所有信息安全建设都应该以风险评估为起点。所有信息安全建设都应该以风险评估为起点。信息安全建设的最终目的是服务于信息化，但信息安全建设的最终目的是服务于

10、信息化，但其直接目的是为了控制安全风险其直接目的是为了控制安全风险。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险评估的意义和作用风险评估的意义和作用只有在正确、全面地了解和理解安全风险后，只有在正确、全面地了解和理解安全风险后，才能决定如何处理安全风险，从而在信息安全才能决定如何处理安全风险，从而在信息安全的投资、信息安全措施的选择、信息安全保障的投资、信息安全措施

11、的选择、信息安全保障体系的建设等问题中做出合理的决策。体系的建设等问题中做出合理的决策。进一步，持续的风险评估工作可以成为检查信进一步，持续的风险评估工作可以成为检查信息系统本身乃至信息系统拥有单位的绩效的有息系统本身乃至信息系统拥有单位的绩效的有力手段，风险评估的结果能够供相关主管单位力手段，风险评估的结果能够供相关主管单位参考，并使主管单位通过行政手段对信息系统参考，并使主管单位通过行政手段对信息系统的立项、投资、运行产生影响，促进信息系统的立项、投资、运行产生影响，促进信息系统拥有单位加强信息安全建设。拥有单位加强信息安全建设。SIC INFOSEC SIC INFOSEC SIC IN

12、FOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险评估的意义和作用风险评估的意义和作用2 2.风险评估是分级防护和突出重点的具体体现风险评估是分级防护和突出重点的具体体现信息安全建设的基本原则包括必须从实际出发，坚持分级防护、信息安全建设的基本原则包括必须从实际出发，坚持分级防护、突出重点。突出重点。风险评估正是这一要求在实际工作中的具体体现。风险评估正是这一要求在实际工作中的具体体现。从理论上讲，不存在绝对的安全，实践中也不可能

13、做到绝对安全，从理论上讲，不存在绝对的安全，实践中也不可能做到绝对安全，风险总是客观存在的。风险总是客观存在的。安全是风险与成本的综合平衡。安全是风险与成本的综合平衡。盲目追求安全和完全回避风险是不现实的，也不是分级防护原则盲目追求安全和完全回避风险是不现实的，也不是分级防护原则所要求的。所要求的。要从实际出发，坚持分级防护、突出重点，就必须正确地评估风要从实际出发，坚持分级防护、突出重点，就必须正确地评估风险，以便采取科学、客观、经济和有效的措施。险，以便采取科学、客观、经济和有效的措施。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC

14、INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险评估的意义和作用风险评估的意义和作用3.3.加强风险评估工作是当前信息安全工作的客观需要和紧迫需求加强风险评估工作是当前信息安全工作的客观需要和紧迫需求由于信息技术的飞速发展，关系国计民生的关键信息基础设施的由于信息技术的飞速发展，关系国计民生的关键信息基础设施的规模越来越大，同时也极大地增加了系统的复杂程度。规模越来越大，同时也极大地增加了系统的复杂程度。发达国家越来越重视信息安全风险评估工作，提倡风险评估制度发达国家越来

15、越重视信息安全风险评估工作，提倡风险评估制度化。他们提出，没有有效的风险评估，便会导致信息安全需求与化。他们提出，没有有效的风险评估，便会导致信息安全需求与安全解决方案的严重脱离。因此，他们强调安全解决方案的严重脱离。因此，他们强调“没有任何事情比解没有任何事情比解决错误的问题和建立错误的系统更没有效率的了。决错误的问题和建立错误的系统更没有效率的了。”这些发达国这些发达国家近年来大力加强了以风险评估为核心的信息系统安全评估工作，家近年来大力加强了以风险评估为核心的信息系统安全评估工作，并通过法规、标准手段加以保障，逐步以此形成了横跨立法、行并通过法规、标准手段加以保障，逐步以此形成了横跨立法

16、、行政、司法的完整的信息安全管理体系。政、司法的完整的信息安全管理体系。在我国目前的国情下，为加强宏观信息安全管理，促进信息安全在我国目前的国情下，为加强宏观信息安全管理，促进信息安全保障体系建设，就必须加强风险评估工作，并逐步使风险评估工保障体系建设，就必须加强风险评估工作，并逐步使风险评估工作朝向制度化的方向发展。作朝向制度化的方向发展。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFO

17、SEC SIC 信息安全风险评估的目标和目的信息安全风险评估的目标和目的信息系统安全风险评估的总体目标是：信息系统安全风险评估的总体目标是：服务于国家信息化发展，促进信息安全保障服务于国家信息化发展，促进信息安全保障体系的建设，提高信息系统的安全保护能力。体系的建设，提高信息系统的安全保护能力。信息系统安全风险评估的目的是：信息系统安全风险评估的目的是：认清信息安全环境、信息安全状况；有助于认清信息安全环境、信息安全状况；有助于达成共识，明确责任；采取或完善安全保障措达成共识，明确责任；采取或完善安全保障措施，使其更加经济有效，并使信息安全策略保施，使其更加经济有效，并使信息安全策略保持一致性

18、和持续性。持一致性和持续性。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全风险评估的基本要素信息安全风险评估的基本要素使命：使命：一个单位通过信息化实现的工作任务。一个单位通过信息化实现的工作任务。依赖度依赖度：一个单位的使命对信息系统和信息的依靠程：一个单位的使命对信息系统和信息的依靠程度。度。资产：资产：通过信息化建设积累起来的信息系统、信息、通过信息化建设积

19、累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。生产或服务能力、人员能力和赢得的信誉等。价值：价值：资产的重要程度和敏感程度。资产的重要程度和敏感程度。威胁：威胁：一个单位的信息资产的安全可能受到的侵害。一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画：威胁的主体（威胁源）、能威胁由多种属性来刻画：威胁的主体（威胁源）、能力、资源、动机、途径、可能性和后果。力、资源、动机、途径、可能性和后果。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC

20、INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全风险评估的基本要素信息安全风险评估的基本要素脆弱性：脆弱性：信息资产及其防护措施在安全方面的信息资产及其防护措施在安全方面的不足和弱点。脆弱性也常常被称为漏洞。不足和弱点。脆弱性也常常被称为漏洞。风险：风险：由于系统存在的脆弱性，人为或自然的由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影威胁导致安全事件发生的可能性及其造成的影响。它由安全事件发生的可能性及其造成的影响。它由安全事件发生的可能性及其造成的影响这两种指标来衡量。响这两种指标来衡量。残余风险：残余风险：

21、采取了安全防护措施，提高了防护采取了安全防护措施，提高了防护能力后，仍然可能存在的风险。能力后，仍然可能存在的风险。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全风险评估的基本要素信息安全风险评估的基本要素安全需求：安全需求：为保证单位的使命能够正常行使，为保证单位的使命能够正常行使，在信息安全防护措施方面提出的要求。在信息安全防护措施方面提出的要求。安全防护措施

22、：安全防护措施：对付威胁，减少脆弱性，保护对付威胁，减少脆弱性，保护资产，限制意外事件的影响，检测、响应意外资产，限制意外事件的影响，检测、响应意外事件，促进灾难恢复和打击信息犯罪而实施的事件，促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。各种实践、规程和机制的总称。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险评估对信息系统生命周期的支持风险评估对信

23、息系统生命周期的支持生命周期阶段生命周期阶段阶段特征阶段特征来自风险管理活动的支持来自风险管理活动的支持阶段阶段1规划和启动规划和启动提出信息系统的目的、需求、规模提出信息系统的目的、需求、规模和安全要求。和安全要求。风险评估活动可用于确定信息系统安风险评估活动可用于确定信息系统安全需求。全需求。阶段阶段2设计开发或采购设计开发或采购信息系统设计、购买、开发或建造。信息系统设计、购买、开发或建造。在本阶段标识的风险可以用来为信息在本阶段标识的风险可以用来为信息系统的安全分析提供支持，这可能会影系统的安全分析提供支持，这可能会影响到系统在开发过程中要对体系结构和响到系统在开发过程中要对体系结构和

24、设计方案进行权衡。设计方案进行权衡。阶段阶段3集成实现集成实现信息系统的安全特性应该被配置、信息系统的安全特性应该被配置、激活、测试并得到验证。激活、测试并得到验证。风险评估可支持对系统实现效果的评风险评估可支持对系统实现效果的评价，考察其是否能满足要求，并考察系价，考察其是否能满足要求，并考察系统所运行的环境是否是预期设计的。有统所运行的环境是否是预期设计的。有关风险的一系列决策必须在系统运行之关风险的一系列决策必须在系统运行之前做出。前做出。阶段阶段4运行和维护运行和维护信息系统开始执行其功能，一般情信息系统开始执行其功能，一般情况下系统要不断修改，添加硬件和况下系统要不断修改，添加硬件和

25、软件，或改变机构的运行规则、策软件，或改变机构的运行规则、策略或流程等。略或流程等。当定期对系统进行重新评估时，或者当定期对系统进行重新评估时，或者信息系统在其运行性生产环境（例如新信息系统在其运行性生产环境（例如新的系统接口）中做出重大变更时，要对的系统接口）中做出重大变更时，要对其进行风险评估活动。其进行风险评估活动。阶段阶段5废弃废弃本阶段涉及到对信息、硬件和软件本阶段涉及到对信息、硬件和软件的废弃。这些活动可能包括信息的的废弃。这些活动可能包括信息的移动、备份、丢弃、破坏以及对硬移动、备份、丢弃、破坏以及对硬件和软件进行的密级处理。件和软件进行的密级处理。当要废弃或替换系统组件时，要对

26、其当要废弃或替换系统组件时，要对其进行风险评估，以确保硬件和软件得到进行风险评估，以确保硬件和软件得到了适当的废弃处置，且残留信息也恰当了适当的废弃处置，且残留信息也恰当地进行了处理。并且要确保系统的更新地进行了处理。并且要确保系统的更新换代能以一个安全和系统化的方式完成。换代能以一个安全和系统化的方式完成。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 在在实实施施风风险

27、险评评估估中中，有有时时首首先先根根据据不不同同级级别别的的威威胁胁对对不不同同价价值值的的资资产产可可能能形形成成的的风风险险进进行行分分级级，进进而而选选择择适适合合级级别别的的保保证证措措施施。这这是是一一种种安全需求提炼的过程。安全需求提炼的过程。对对于于计计划划和和已已经经建建设设的的系系统统，则则应应该该考考虑虑和和分分析测试系统可能存在的脆弱性。析测试系统可能存在的脆弱性。上上述述工工作作流流程程应应该该是是一一个个不不断断重重复复的的循循环环过过程程，从从不不同同阶阶段段进进入入风风险险评评估估工工作作也也可可能能进进行行简简化化其中的某些步骤。其中的某些步骤。SIC INFO

28、SEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险评估理论和工具风险评估理论和工具通俗的讲，信息系统安全追求的是入侵和破坏通俗的讲，信息系统安全追求的是入侵和破坏行为，面对信息系统和信息，进不来，看不懂，行为，面对信息系统和信息，进不来，看不懂，拿不走，搞不乱。拿不走，搞不乱。风险评估的理论和工具也应该针对这些基本的风险评估的理论和工具也应该针对这些基本的安全要求，提供检测、判断、分析。

29、安全要求，提供检测、判断、分析。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 当前，国际上提出了一些广义传统的风险评估当前，国际上提出了一些广义传统的风险评估的理论（并非特别针对信息系统安全）。的理论（并非特别针对信息系统安全）。从计算方法区分，有定性的方法、定量的方法从计算方法区分，有定性的方法、定量的方法和部分定量的方法。和部分定量的方法。从实施手段区分，有基于树的技

30、术、动态系统从实施手段区分，有基于树的技术、动态系统的技术等。的技术等。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 定性的方法包括：定性的方法包括：初步的风险分析初步的风险分析（Preliminary Risk Analysis）危险和可操作性研究危险和可操作性研究（Hazard and Operability studies(HAZOP)）失效模式及影响分析失效模式及

31、影响分析（Failure Mode and Effects Analysis(FMEA/FMECA)）SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 基于树的技术基于树的技术（Tree Based Techniques）包括：）包括：故障树分析故障树分析（Fault tree analysis）事件树分析事件树分析（Event tree analysis）因果分析因果分析（

32、Cause-Consequence Analysis）管理失败风险树管理失败风险树（Management Oversight Risk Tree）安全管理组织检查技术安全管理组织检查技术（Safety Management Organization Review Technique）SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 动态系统的技术动态系统的技术（Techniq

33、ues for Dynamic system）包括：包括：尝试方法尝试方法（Go Method）有向图有向图/故障图故障图（Digraph/Fault Graph）马尔可夫建模马尔可夫建模（Markov Modeling）动态事件逻辑分析方法学动态事件逻辑分析方法学（Dynamic Event Logic Analytical Methodology）动态事件树分析方法动态事件树分析方法（Dynamic Event Tree Analysis Method）SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOS

34、EC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 评估工具目前存在以下几类：评估工具目前存在以下几类：扫描工具：扫描工具：包括主机扫描、网络扫描、数据库扫描，用于分析系统的包括主机扫描、网络扫描、数据库扫描，用于分析系统的常见漏洞；常见漏洞；入侵检测系统（入侵检测系统（IDSIDS）：）：用于收集与统计威胁数据；用于收集与统计威胁数据；渗透性测试工具：渗透性测试工具：黑客工具，用于人工渗透，评估系统的深层次漏洞；黑客工具，用于人工渗透，评估系统的深层次漏洞；主机安全性审计工具：主机安全性审计工具：用于分析主机系

35、统配置的安全性；用于分析主机系统配置的安全性；安全管理评价系统：安全管理评价系统：用于安全访谈，评价安全管理措施；用于安全访谈，评价安全管理措施；风险综合分析系统：风险综合分析系统：在基础数据基础上，定量、综合分析系统的风在基础数据基础上，定量、综合分析系统的风险，并且提供分类统计、查询、险，并且提供分类统计、查询、TOP N查询以及报表输出功能；查询以及报表输出功能；评估支撑环境工具评估支撑环境工具:评估指标库、知识库、漏洞库、算法库、模型库。评估指标库、知识库、漏洞库、算法库、模型库。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC I

36、NFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 综观这些理论和工具的现状，存在的问题是：综观这些理论和工具的现状，存在的问题是：尚缺乏模型化和形式化描述及证明的科学深度；尚缺乏模型化和形式化描述及证明的科学深度；需要解决一般化的广义的理论如何用于信息系统的需要解决一般化的广义的理论如何用于信息系统的安全风险评估；安全风险评估；定性，定量的理论方法如何更加有效；定性，定量的理论方法如何更加有效；工具运用的结果如何能够反映实质，有效测度，准工具运用的结果如何能够反映实质，有效测度，

37、准确无误；确无误；工具的使用如何能够综合协调。工具的使用如何能够综合协调。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 二、为什么要做信息安全风险评估二、为什么要做信息安全风险评估SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC S

38、IC INFOSEC SIC INFOSEC SIC INFOSEC SIC 为什么要做信息安全风险评估为什么要做信息安全风险评估第一，风险评估是分析确定风险的过程。风险是客观存在的，在日常生活和工作中随处可见。为了了解系统究竟面临什么风险、有多大风险，以及应该采取什么样的措施去减少、化解或规避风险，人们经常会提出这样一些问题：什么地方、什么时间可能出问题？会出什么性质的问题？出问题的可能性有多大？这些问题可能产生的后果是什么？应该采取什么样的措施加以避免和弥补？并总是试图找出最合理的答案。这个过程实际就是风险评估SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC

39、INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 为什么要做信息安全风险评估为什么要做信息安全风险评估第二，信息安全风险评估是信息安全建设的起点和基础，对于信息系统也是如此。所有信息安全建设和管理都应该基于信息安全风险评估，只有这样，信息安全建设才能做到从实际出发，才能坚持需求主导、突出重点，才能以最小的代价去最大程度地保障信息安全。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC S

40、IC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 为什么要做信息安全风险评估为什么要做信息安全风险评估第三，信息安全风险评估是信息安全建设和管理的科学方法。风险评估提供了这么一种方法，它是我们传统经验方法的总结和提升，是风险理论和技术的具体应用。信息安全的一个最大特点就是看不见摸不着。在不知不觉中就已经中了招，在不知不觉中就已经遭受了重大损失。信息安全要讲加强领导，要讲责任制，但如果没有科学的方法和手段，即使领导现场坐镇，即使人盯死守，也仍然可能发现不了问题，也仍然可能出问题。这就是27号文件强

41、调管理与技术并重的根本原因。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 为什么要做信息安全风险评估为什么要做信息安全风险评估第四，风险评估实际上是在倡导一种适度安全。从理论上讲，不存在绝对的安全，风险总是客观存在的。风险评估并不追求零风险、不计成本的绝对安全，或者试图完全消灭风险或避免风险。信息安全风险评估要求在认清风险的基础上，决定哪些风险是必须要避免的，哪些风险是可

42、以容忍的。也就是说，信息安全风险评估要求我们算账，要求我们在风险与建设和管理成本之间寻求一个最佳平衡点。这体现了信息安全的一个基本原则，就是坚持从实际出发，坚持有针对性地进行信息安全建设和管理。这也就是适度安全。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 为什么要做信息安全风险评估为什么要做信息安全风险评估第五，重视风险评估是信息化发达国家的重要经验。早在上个世纪70年

43、代初期美国政府就提出了风险评估的要求，2002年颁布的2002联邦信息安全管理法对信息安全风险评估提出了更加具体的要求。欧洲等其他信息化发达国家也非常重视开展信息安全风险评估工作，将开展信息安全风险评估工作作为提高信息安全保障水平的重要手段。发达国家的这些经验值得我们学习和借鉴。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 为什么要做信息安全风险评估为什么要做信息安全风险

44、评估 20052005年年2 2月，美国总统信息技术顾问委员会（月，美国总统信息技术顾问委员会（PITACPITAC）向美国总统）向美国总统提交了一份研究报告提交了一份研究报告网络空间安全：迫在眉睫的危机网络空间安全：迫在眉睫的危机，提出美，提出美国目前网络空间安全所面临的重大问题包括：国目前网络空间安全所面临的重大问题包括：1 1、ITIT基础设施在恐怖和敌对攻击面前非常脆弱基础设施在恐怖和敌对攻击面前非常脆弱 2 2、网络漏洞和网络攻击增长速度非常快（、网络漏洞和网络攻击增长速度非常快（20204040）3 3、无所不在的互联意味着处处可能存在安全漏洞、无所不在的互联意味着处处可能存在安全

45、漏洞 4 4、软件是主要漏洞的所在、软件是主要漏洞的所在 5 5、无穷无尽的打补丁并不是好的解决办法、无穷无尽的打补丁并不是好的解决办法 6 6、需要新的基础性安全模型和方法、需要新的基础性安全模型和方法 7 7、联邦政府在研发工作中的核心地位、联邦政府在研发工作中的核心地位 8 8、网络空间安全的非技术因素、网络空间安全的非技术因素SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC

46、SIC 为了应对这些威胁，在为了应对这些威胁，在网络空间安全：迫在眉睫的危机网络空间安全：迫在眉睫的危机报告报告中，中，PITACPITAC提出了提出了1010大优先研究项目，其中信息安全风险评估位列其大优先研究项目，其中信息安全风险评估位列其中。其主要研究内容包括：中。其主要研究内容包括：（1 1）开发网络空间安全测试方法、评估标准）开发网络空间安全测试方法、评估标准 （2 2）风险分析方法和基于不同领域的评估方法（政治、军事、经）风险分析方法和基于不同领域的评估方法（政治、军事、经济等）济等）（3 3）安全风险以及一致性检查的自动评估工具的研发）安全风险以及一致性检查的自动评估工具的研发

47、（4 4）对易受到攻击对象的评估研究工作，如源代码扫描工具）对易受到攻击对象的评估研究工作，如源代码扫描工具 （5 5）通过研究过程管理、配置管理和补丁管理的最佳策略方案，）通过研究过程管理、配置管理和补丁管理的最佳策略方案，来发现并提供有效的安全管理实施方案来发现并提供有效的安全管理实施方案 为什么要做信息安全风险评估为什么要做信息安全风险评估SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC IN

48、FOSEC SIC 三、我国信息安全风险评估回顾三、我国信息安全风险评估回顾 调查与研究 标准编制与试点 政策文件起草SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 我国信息安全风险评估回顾我国信息安全风险评估回顾 2003年年7月月国家信息化领导小组关于加强信息安全保障国家信息化领导小组关于加强信息安全保障工作的意见工作的意见（中办发（中办发200327号）中专门提出开展

49、风险号）中专门提出开展风险评估的要求评估的要求：对网络与信息系统安全的潜在威胁、薄弱环节、对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系防护措施等进行分析评估，综合考虑网络与信息系统的重要性、涉密程度和面临的风险等因素，进行统的重要性、涉密程度和面临的风险等因素，进行相应等级的安全建设和管理相应等级的安全建设和管理SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SI

50、C INFOSEC SIC 调查研究工作n国信办安全组为落实中办发国信办安全组为落实中办发200327号文件的要求，于号文件的要求，于2003年年7月决定委托国家信息中心组建月决定委托国家信息中心组建“信息安全风险评估课题组信息安全风险评估课题组”，对我国信息安全风险评估工作的现状进行调查，提出我国开展对我国信息安全风险评估工作的现状进行调查，提出我国开展风险评估的对策和办法风险评估的对策和办法n成员单位：国家信息中心、公安部、安全部、信息产业部、国成员单位：国家信息中心、公安部、安全部、信息产业部、国家认监委、国家标准化委、国家密码管理局、国家保密局、国家认监委、国家标准化委、国家密码管理局