【正文】 第七，保護(hù)隱私，數(shù)據(jù)安全，技術(shù)管理方面的不足。 在泄露隱私方面： ? （ 1）不當(dāng)授權(quán)他人或機(jī)構(gòu)濫用用戶(hù)信息； ? （ 2）未遵循法律或法規(guī)制定相應(yīng)的隱私和記錄管理政策。 在影響數(shù)據(jù)安全方面： ? （ 1）工作人員對(duì)安全因素和措施缺乏足夠認(rèn)知； ? （ 2）難以解決相關(guān)安全問(wèn)題； ? （ 3）病毒或黑客攻擊導(dǎo)致系統(tǒng)癱瘓； ? （ 4）由于一個(gè)主要系統(tǒng)癱瘓導(dǎo)致其它系統(tǒng)的失靈。 （續(xù)） 提 綱 一、信息安全形勢(shì)需要評(píng)估 二、信息化風(fēng)險(xiǎn)及風(fēng)險(xiǎn)管理研究 三、信息安全風(fēng)險(xiǎn)評(píng)估技術(shù)導(dǎo)引 四、信息安全風(fēng)險(xiǎn)評(píng)估試點(diǎn)經(jīng)驗(yàn)寶貴 克服安全“亞健康”的必由之路 ? 醫(yī)學(xué)專(zhuān)家告訴我們： ?人的軀體有健康、亞健康和患病等多種狀態(tài) ?但成年人多數(shù)處于亞健康狀態(tài) ?如何確認(rèn)和發(fā)現(xiàn)問(wèn)題，必須體檢 ? 信息系統(tǒng)也一樣，在安全狀態(tài)方面，常常處于“亞健康”甚至患病狀態(tài)，因此也要“體檢” — 這就是風(fēng)險(xiǎn)評(píng)估 居安思危，思則有備 ? 溫總理： 清醒就是要認(rèn)識(shí)到我們已經(jīng)取得的成績(jī)，只是在現(xiàn)代化的進(jìn)程邁出了第一步，今后的路還更長(zhǎng)，更艱苦。形勢(shì)稍好，尤需兢慎。思所以危則安，思所以亂則治，思所以亡則存。 ? 《 左傳 》 云：“居安思危，思則有備，有備無(wú)患，敢以此規(guī)。”安全風(fēng)險(xiǎn)評(píng)估同樣蘊(yùn)涵了這一思想。 ? 曾有一個(gè)關(guān)于名醫(yī)扁鵲的傳說(shuō)。扁鵲有兄弟三人，有一次齊國(guó)國(guó)君問(wèn)他：“其孰最善為醫(yī)？”扁鵲答：兩個(gè)哥哥都在自己之上。齊王不解。扁鵲說(shuō)：兩個(gè)哥哥都是治大病于小恙，或者防病于未然，而他是直到病人病情完全顯露，才能加以診治。 ? 扁鵲的話(huà)告訴我們一個(gè)簡(jiǎn)單的道理：事后控制不如事中控制，事中控制不如事前控制。健康安全是這樣，網(wǎng)絡(luò)信息安全亦然。 風(fēng)險(xiǎn)評(píng)估的理念 ?安全需要風(fēng)險(xiǎn)管理，信息安全更需要風(fēng)險(xiǎn)管理 ?風(fēng)險(xiǎn)評(píng)估是當(dāng)前解決信息安全問(wèn)題的重要手段 風(fēng)險(xiǎn)評(píng)估是一種方法和依據(jù) ? 信息安全風(fēng)險(xiǎn)是由于資產(chǎn)的重要性，人為或自然的威脅利用信息系統(tǒng)及其管理體系的脆弱性，導(dǎo)致安全事件一旦發(fā)生所造成的影響。信息安全風(fēng)險(xiǎn)評(píng)估是指依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的機(jī)密性、完整性和可用性等安全屬性進(jìn)行評(píng)價(jià)的過(guò)程。它要評(píng)估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來(lái)判斷安全事件一旦發(fā)生對(duì)組織造成的影響，即信息安全的風(fēng)險(xiǎn)。 ? 信息安全風(fēng)險(xiǎn)評(píng)估是信息系統(tǒng)安全保障機(jī)制建立過(guò)程中的一種評(píng)價(jià)方法，其結(jié)果為信息安全風(fēng)險(xiǎn)管理提供依據(jù)。 信息安全風(fēng)險(xiǎn)評(píng)估的概念 ? 風(fēng)險(xiǎn)評(píng)估是對(duì)系統(tǒng)進(jìn)行信息安全風(fēng)險(xiǎn)管理的基礎(chǔ)，也是系統(tǒng)的使用單位或組織判定在系統(tǒng)的整個(gè)生命周期中，有關(guān)風(fēng)險(xiǎn)級(jí)別的過(guò)程。其結(jié)果是殘留風(fēng)險(xiǎn)是否達(dá)到可接受水平的一個(gè)明確界定，或者是一個(gè)是否應(yīng)當(dāng)實(shí)施額外的安全控制以進(jìn)一步降低風(fēng)險(xiǎn)的結(jié)論。 ? 信息安全風(fēng)險(xiǎn)定義為有害事件發(fā)生的可能性和該事件可能對(duì)組織的使命所產(chǎn)生影響的函數(shù)。 ?為了確定這種可能性，需要對(duì)系統(tǒng)的威脅以及由此表現(xiàn)出來(lái)的脆弱性進(jìn)行分析。 ?影響則是按照系統(tǒng)在單位任務(wù)實(shí)施中的重要程度來(lái)確定的。 對(duì)風(fēng)險(xiǎn)評(píng)估總體要求的理解 ? 風(fēng)險(xiǎn)評(píng)估工作總體要求是： ?充分發(fā)揮和調(diào)動(dòng)各方面力量，運(yùn)用風(fēng)險(xiǎn)管理的思想，通過(guò)風(fēng)險(xiǎn)評(píng)估，控制和降低風(fēng)險(xiǎn)，全面提高信息系統(tǒng)防護(hù)能力，滿(mǎn)足信息安全需求，逐步建成有中國(guó)特色的風(fēng)險(xiǎn)評(píng)估體系。 ?評(píng)估我國(guó)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)，掌握我國(guó)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全狀態(tài)，及時(shí)采取合適的應(yīng)對(duì)措施，保障它們的正常運(yùn)行。 ?通過(guò)對(duì)國(guó)家級(jí)重點(diǎn)電子政務(wù)系統(tǒng)、電子商務(wù)系統(tǒng)以及重要信息基礎(chǔ)設(shè)施的風(fēng)險(xiǎn)評(píng)估工作，從中摸索經(jīng)驗(yàn)，不斷探索，逐步完善我國(guó)風(fēng)險(xiǎn)評(píng)估工作的管理機(jī)制。 風(fēng)險(xiǎn)管理貫穿于信息系統(tǒng)生命周期的整個(gè)過(guò)程 ? 風(fēng)險(xiǎn)管理是管理者權(quán)衡保護(hù)措施的運(yùn)行和經(jīng)濟(jì)成本與獲得的收益之間關(guān)系的一個(gè)過(guò)程。 ? 這個(gè)過(guò)程并不是 IT行業(yè)所獨(dú)有的，實(shí)際上它遍及我們?nèi)粘Ｉ钪行枰龀鰶Q定的任何事情。 ? 進(jìn)行風(fēng)險(xiǎn)管理的最終目的就是要在這種平衡關(guān)系下，將風(fēng)險(xiǎn)最小化，這也是在信息系統(tǒng)生命周期過(guò)程中需要實(shí)施信息安全風(fēng)險(xiǎn)管理的根本原因。 ? 所有與安全性相關(guān)的活動(dòng)都是信息安全風(fēng)險(xiǎn)管理的組成部分?？梢哉f(shuō)，信息安全風(fēng)險(xiǎn)管理貫穿于系統(tǒng)生命周期的整個(gè)過(guò)程，即初始階段、開(kāi)發(fā) /獲取階段、實(shí)施階段、運(yùn)行 /維護(hù)階段。 美國(guó) NIST提出的信息系統(tǒng)安全框架 風(fēng)險(xiǎn)評(píng)估的過(guò)程 安全措施 業(yè)務(wù)戰(zhàn)略 脆弱性 安全需求 威脅 風(fēng)險(xiǎn) 殘余風(fēng)險(xiǎn) 安全事件 依賴(lài) 具有 被滿(mǎn)足 利用 暴露 增加 導(dǎo)出 演變 未控制 可能誘發(fā) 殘留 成本 資產(chǎn) 資產(chǎn)價(jià)值 風(fēng)險(xiǎn)要素關(guān)系示意圖 信息系統(tǒng)安全評(píng)估體系的構(gòu)成 風(fēng)險(xiǎn)分析的基本要素 ?風(fēng)險(xiǎn)分析中要涉及資產(chǎn)、威脅、脆弱性等基本要素。 ?每個(gè)要素有各自的屬性 ?資產(chǎn)的屬性是資產(chǎn)價(jià)值； ?威脅的屬性是威脅出現(xiàn)的頻率； ?脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度 。 資產(chǎn)識(shí)別 ? 資產(chǎn)是具有價(jià)值的信息或資源，是安全策略保護(hù)的對(duì)象。它能夠以多種形式存在，有無(wú)形的、有形的，有硬件、軟件，有文檔、代碼，也有服務(wù)、形象等。機(jī)密性、完整性和可用性是評(píng)價(jià)資產(chǎn)的三個(gè)安全屬性。信息安全風(fēng)險(xiǎn)評(píng)估中資產(chǎn)的價(jià)值不僅僅以資產(chǎn)的賬面價(jià)格來(lái)衡量，而是由資產(chǎn)在這三個(gè)安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時(shí)所造成的影響程度來(lái)決定的。安全屬性達(dá)成程度的不同將使資產(chǎn)具有不同的價(jià)值，而資產(chǎn)面臨的威脅、存在的脆弱性、以及已采取的安全措施都將對(duì)資產(chǎn)安全屬性的達(dá)成程度產(chǎn)生影響。為此，有必要對(duì)組織中的資產(chǎn)進(jìn)行識(shí)別。 資產(chǎn)識(shí)別 ? 資產(chǎn)定義 ? 資產(chǎn)是企業(yè)、機(jī)構(gòu)直接賦予了價(jià)值因而需要保護(hù)的東西。它可能是以多種形式存在，有無(wú)形的、有有形的，有硬件、有軟件，有文檔、代碼，也有服務(wù)、企業(yè)形象等。 ? 通常信息資產(chǎn)的機(jī)密性、完整性和可用性是公認(rèn)的能夠反映資產(chǎn)安全特性的三個(gè)要素。 ? 資產(chǎn)還具有很強(qiáng)的時(shí)間特性，它的價(jià)值和安全屬性都會(huì)隨著時(shí)間的推移發(fā)生變化，所以應(yīng)該根據(jù)時(shí)間變化的頻度制定資產(chǎn)相關(guān)的評(píng)估和安全策略的頻度。 ? 資產(chǎn)分類(lèi) ? 在一般的評(píng)估體中，資產(chǎn)大多屬于不同的信息系統(tǒng)，如 OA系統(tǒng)，網(wǎng)管系統(tǒng)，業(yè)務(wù)生產(chǎn)系統(tǒng)等。這時(shí)首先需要將信息系統(tǒng)及其中的信息資產(chǎn)進(jìn)行恰當(dāng)?shù)姆诸?lèi)，才能在此基礎(chǔ)上進(jìn)行下一步的風(fēng)險(xiǎn)評(píng)估工作。 ? 資產(chǎn)賦值 ? 資產(chǎn)賦值是對(duì)資產(chǎn)安全價(jià)值的估價(jià) 資產(chǎn)分類(lèi) ? 風(fēng)險(xiǎn)評(píng)估中，資產(chǎn)大多屬于不同的信息系統(tǒng)，如OA系統(tǒng)、網(wǎng)管系統(tǒng)、業(yè)務(wù)生產(chǎn)系統(tǒng)等，而且對(duì)于提供多種業(yè)務(wù)的組織，其支持業(yè)務(wù)持續(xù)運(yùn)行的系統(tǒng)數(shù)量可能更多。這時(shí)首先需要將信息系統(tǒng)及相關(guān)的資產(chǎn)進(jìn)行恰當(dāng)?shù)姆诸?lèi)，以此為基礎(chǔ)進(jìn)行下一步的風(fēng)險(xiǎn)評(píng)估。在實(shí)際工作中，具體的資產(chǎn)分類(lèi)方法可以根據(jù)具體的評(píng)估對(duì)象和要求，由評(píng)估者來(lái)靈活把握。 ? 根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務(wù)、人員等類(lèi)。 威脅識(shí)別 ? 威脅定義 ?安全威脅是對(duì)機(jī)構(gòu)及其資產(chǎn)構(gòu)成潛在破壞的可能性因素或者事件。無(wú)論對(duì)于多么安全的信息系統(tǒng)，安全威脅是一個(gè)客觀存在的事物，它是風(fēng)險(xiǎn)評(píng)估的重要因素之一。 ? 威脅分類(lèi) ? 威脅賦值： ?評(píng)估確定威脅發(fā)生的可能性是威脅評(píng)估階段的重要工作，評(píng)估者應(yīng)根據(jù)經(jīng)驗(yàn)和（或）有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來(lái)判斷威脅發(fā)生的頻率或者發(fā)生的概率。其中，威脅發(fā)生的可能性受下列因素影響： ? 資產(chǎn)的吸引力； ? 資產(chǎn)轉(zhuǎn)化成報(bào)酬的容易程度； ? 威脅的技術(shù)力量； ? 脆弱性被利用的難易程度。 脆弱性識(shí)別 ? 脆弱性定義 ? 脆弱性評(píng)估也稱(chēng)為弱點(diǎn)評(píng)估，是風(fēng)險(xiǎn)評(píng)估中重要的內(nèi)容。弱點(diǎn)是資產(chǎn)本身存在的，它可以被威脅利用、引起資產(chǎn)或商業(yè)目標(biāo)的損害。弱點(diǎn)包括物理環(huán)境、機(jī)構(gòu)、過(guò)程、人員、管理、配置、硬件、軟件和信息等各種資產(chǎn)的脆弱性。 ? 脆弱性識(shí)別將針對(duì)每一項(xiàng)需要保護(hù)的信息資產(chǎn)，找出每一種威脅所能利用的脆弱性，并對(duì)脆弱性的嚴(yán)重程度進(jìn)行評(píng)估，為其賦相對(duì)等級(jí)值。脆弱性識(shí)別所采用的方法主要為：?jiǎn)柧碚{(diào)查、人員問(wèn)詢(xún)、工具掃描、手動(dòng)檢查、文檔審查、滲透測(cè)試等。 ? 脆弱性分類(lèi) ? 脆弱性主要從技術(shù)和管理兩個(gè)方面進(jìn)