【正文】 信息安全風(fēng)險(xiǎn)評(píng)估 中國(guó)科學(xué)院研究生院 信息安全國(guó)家重點(diǎn)實(shí)驗(yàn)室 趙戰(zhàn)生 2022年 7月 3日 內(nèi)容概要 ? 國(guó)信辦下達(dá)的研究任務(wù)及研究進(jìn)展 ? 國(guó)際上風(fēng)險(xiǎn)評(píng)估的發(fā)展及現(xiàn)狀 ? 我國(guó)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的現(xiàn)狀和問(wèn)題 ? 什么是信息安全風(fēng)險(xiǎn)評(píng)估 ? 為什么要進(jìn)行風(fēng)險(xiǎn)評(píng)估 ? 怎樣進(jìn)行風(fēng)險(xiǎn)評(píng)估 國(guó)信辦下達(dá)的 研究任務(wù) 及研究進(jìn)展 ? 2022年 7月 22日，國(guó)務(wù)院信息化領(lǐng)導(dǎo)小組第三次會(huì)議專題討論了 《 關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn) 〉 ，9月中央辦公廳、國(guó)務(wù)院辦公廳轉(zhuǎn)發(fā)了 《 國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn) 〉（ 2022[27]號(hào)文件）。文件要求采取必要措施進(jìn)行信息安全風(fēng)險(xiǎn)的防范。 ? 7月 23日國(guó)信辦安全組決定委托國(guó)家信息中心組建成立 “ 信息安全風(fēng)險(xiǎn)評(píng)估課題組 ” ，對(duì)信息安全風(fēng)險(xiǎn)評(píng)估工作的現(xiàn)狀進(jìn)行全面深入了解，提出我國(guó)開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估的對(duì)策和辦法，為下一步信息安全的建設(shè)和管理做準(zhǔn)備。 ? 國(guó)家信息中心根據(jù)國(guó)務(wù)院信息辦安全組的要求 ,迅速成立了以國(guó)家信息中心公共技術(shù)服務(wù)部主任寧家駿為組長(zhǎng) ,包括崔書昆 、 曲成義 、 趙戰(zhàn)生 、 吳亞非 、 左曉棟博士 、 范紅博士和朱建勇博士組成 ， 賈穎禾為國(guó)信辦聯(lián)絡(luò)員的 “ 信息安全風(fēng)險(xiǎn)評(píng)估 ” 起草組 , 開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估籌備工作 。 ? 后根據(jù)工作需要又吸收杜虹 、 景乾元兩位同志參加 。 ? 課題組在廣東、上海、北京共訪問(wèn)了 50多個(gè)單位 ,召開(kāi)了 5 次座談會(huì)。 ? 研究與起草階段 開(kāi)了 7次研討會(huì)。 ? 經(jīng)過(guò)四個(gè)多月的努力 ,完成了： ? 信息安全風(fēng)險(xiǎn)評(píng)估調(diào)查報(bào)告 ? 信息安全風(fēng)險(xiǎn)評(píng)估研究報(bào)告 ? 關(guān)于信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn) 三份稿約十萬(wàn)字 ? 提交的 《 信息安全風(fēng)險(xiǎn)評(píng)估研究報(bào)告 》 在多次征求意見(jiàn)和修改后，作為全國(guó)信息安全保障工作會(huì)議下發(fā)的文件附件，在 2022年 1月 9日發(fā)放給會(huì)議參加者。 研究報(bào)告結(jié)構(gòu) ? 一、前言 ? 二、信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的概念 ? 三、風(fēng)險(xiǎn)評(píng)估的意義和作用 ? 四、信息安全風(fēng)險(xiǎn)評(píng)估的目標(biāo)和目的 ? 五、信息安全風(fēng)險(xiǎn)評(píng)估的基本要素 ? 六、風(fēng)險(xiǎn)評(píng)估對(duì)信息系統(tǒng)生命周期的支持 ? 七、風(fēng)險(xiǎn)評(píng)估的一般工作流程 ? 八、當(dāng)前存在的風(fēng)險(xiǎn)評(píng)估理論和工具 ? 九、我國(guó)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的現(xiàn)狀和問(wèn)題 ? 十、信息安全風(fēng)險(xiǎn)評(píng)估工作的原則 ? 十一、等級(jí)保護(hù)、認(rèn)證認(rèn)可、風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)評(píng)估的關(guān)系 ? 十二、自評(píng)估、強(qiáng)制性檢查評(píng)估與委托評(píng)估 ? 十三、信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的角色和責(zé)任 ? 十四、信息安全風(fēng)險(xiǎn)評(píng)估的任務(wù)和措施 ? 附件 國(guó)際信息安全風(fēng)險(xiǎn)評(píng)估的發(fā)展和現(xiàn)狀 ? 附件 風(fēng)險(xiǎn)評(píng)估工作流程詳述 ? 附件 風(fēng)險(xiǎn)控制及工作流程 ? 附件 美國(guó)對(duì)認(rèn)證認(rèn)可概念的看法 ? 附件 美國(guó)信息系統(tǒng)安全認(rèn)證認(rèn)可工作概述 ? 附件 對(duì)美國(guó) OMB主任備忘錄的總結(jié) ? 附件 美國(guó)認(rèn)證認(rèn)可計(jì)劃中相關(guān)標(biāo)準(zhǔn)和指南概況 ? 2022年，課題組繼續(xù)進(jìn)行 《 關(guān)于信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn) 》 的研究起草 ? 2022年國(guó)信辦安全組要求在已有工作基礎(chǔ)上開(kāi)展風(fēng)險(xiǎn)評(píng)估相關(guān)標(biāo)準(zhǔn)的研究制定，標(biāo)準(zhǔn)包括： ? 風(fēng)險(xiǎn)評(píng)估框架 ? 風(fēng)險(xiǎn)評(píng)估指南 ? 信息安全風(fēng)險(xiǎn)管理指南 ? 相關(guān)標(biāo)準(zhǔn)已經(jīng)形成初稿，正在進(jìn)一步研究修改中 ? 預(yù)期在近期完成 “ 工作意見(jiàn) ” 和 “ 相關(guān)標(biāo)準(zhǔn) ” ，并于下半年開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估的試點(diǎn)工作。 國(guó)際上風(fēng)險(xiǎn)評(píng)估 的發(fā)展及現(xiàn)狀 ? 美國(guó)是國(guó)際上對(duì)信息安全風(fēng)險(xiǎn)評(píng)估研究歷史最長(zhǎng)和工作最豐富的國(guó)家。隨著信息化應(yīng)用需求的牽引，安全事件的驅(qū)動(dòng)和信息安全技術(shù)、信息安全管理概念的發(fā)展深化，他們對(duì)信息安全風(fēng)險(xiǎn)評(píng)估的認(rèn)識(shí)也逐步加深。從最初關(guān)注計(jì)算機(jī)保密發(fā)展到目前關(guān)注信息系統(tǒng)基礎(chǔ)設(shè)施的信息保障，大體經(jīng)歷了以下三個(gè)階段： 第一個(gè)階段 （ 6070年代） 以計(jì)算機(jī)為對(duì)象的信息保密階段 ? 背景 ： 計(jì)算機(jī)開(kāi)始應(yīng)用于政府軍隊(duì)。 ? 標(biāo)志性行動(dòng)： 1967年 11月，美國(guó)國(guó)防科學(xué)委員會(huì)委托蘭德公司、邁特公司（ MITIE）及其它和國(guó)防工業(yè)有關(guān)的一些公司，開(kāi)始研究計(jì)算機(jī)安全問(wèn)題。到1970年 2月，經(jīng)過(guò)將近兩年半的工作，主要對(duì)當(dāng)時(shí)的大型機(jī)、遠(yuǎn)程終端進(jìn)行了研究，分析。作了第一次比較大規(guī)模的風(fēng)險(xiǎn)評(píng)估。 ? 特點(diǎn)： ? 僅重點(diǎn)針對(duì)了計(jì)算機(jī)系統(tǒng)的保密性問(wèn)題提出要求，對(duì)安全的評(píng)估只限于保密性。 第二個(gè)階段 （ 8090年代） 以計(jì)算機(jī)和網(wǎng)絡(luò)為對(duì)象的信息安全保護(hù)階段 ? 背景： 計(jì)算機(jī)系統(tǒng)形成了網(wǎng)絡(luò)化的應(yīng)用。 ? 標(biāo)志性行動(dòng)： 出現(xiàn)了初期的針對(duì)美國(guó)軍方的計(jì)算機(jī)黑客行為，1988年 1989年，美國(guó)的計(jì)算機(jī)網(wǎng)絡(luò)出現(xiàn)了一系列重大事件。美國(guó)的審計(jì)總署（ GAO）對(duì)美國(guó)國(guó)內(nèi)主要由國(guó)防部使用的計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行了大規(guī)模的持續(xù)評(píng)估。 ? 特點(diǎn)： 逐步認(rèn)識(shí)到了更多的信息安全屬性（保密性、完整性、可用性），從關(guān)注操作系統(tǒng)安全發(fā)展到關(guān)注操作系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)庫(kù)。試圖通過(guò)對(duì)安全產(chǎn)品的質(zhì)量保證和安全評(píng)測(cè)來(lái)保障系統(tǒng)安全，但實(shí)際上僅僅奠定了安全產(chǎn)品測(cè)評(píng)認(rèn)證的基礎(chǔ)和工作程序。 第三個(gè)階段 （ 90年代末， 21世紀(jì)初） 以信息系統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施為對(duì)象的信息保障階段 ? 背景： 計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)成為關(guān)鍵基礎(chǔ)設(shè)施的核心。 2022年前后，由于國(guó)際范圍內(nèi)出現(xiàn)了大規(guī)模黑客攻擊，以及信息戰(zhàn)的理論逐步走向成熟，信息攻防成為戰(zhàn)爭(zhēng)手段和國(guó)家綜合利用的一種方式，且美國(guó)的軍、政、經(jīng)濟(jì)和社會(huì)活動(dòng)對(duì)信息基礎(chǔ)設(shè)施的依賴程度達(dá)到了空前的高度，迫使美國(guó)又開(kāi)始了對(duì)信息系統(tǒng)新一輪的評(píng)估和研究，產(chǎn)生了一些新的概念，法規(guī)和標(biāo)準(zhǔn)。 ? 標(biāo)志性的行動(dòng)： 在軍方提出信息保障（ IA）概念的基礎(chǔ)上，克林頓和布什兩屆總統(tǒng)持續(xù)數(shù)年進(jìn)行了國(guó)家信息安全保護(hù)計(jì)劃和信息保障戰(zhàn)略的研究。到目前為止，形成了與國(guó)家安全、反恐戰(zhàn)略、國(guó)土安全等國(guó)家戰(zhàn)略相配套的網(wǎng)絡(luò)空間信息保障的國(guó)家戰(zhàn)略。各個(gè)行業(yè)也逐步提出了本行業(yè)的信息安全戰(zhàn)略，風(fēng)險(xiǎn)評(píng)估思想在其中得到了重要的貫徹。 1996年美國(guó)國(guó)會(huì)總審計(jì)署（ GAO）的 報(bào)告的研究 ? DISA對(duì)美軍網(wǎng)絡(luò)實(shí)施的 38000次滲透性攻擊測(cè)試， 24700次即 65％的攻擊行為取得了成功。在這些成功的攻擊中，只有 988即 4％被發(fā)現(xiàn)。在被發(fā)現(xiàn)的攻擊活動(dòng)中，只有 267次即 27％被報(bào)告給了 DISA。也就是說(shuō)，只有不到 1/150的攻擊事件被報(bào)告。 ? 有關(guān)風(fēng)險(xiǎn)評(píng)估的重要工作結(jié)果： ? 1997年美國(guó)國(guó)防部發(fā)布了 《 國(guó)防部 IT安全認(rèn)證和認(rèn)可過(guò)程 》（ DITSCAP）。 ? 1998年 12月， NIST頒布了 《 IT系統(tǒng)安全計(jì)劃開(kāi)發(fā)指南 》（ SP 80018）。此前的 OMB A130曾要求，應(yīng)該將風(fēng)險(xiǎn)評(píng)估作為基于風(fēng)險(xiǎn)的方法的一部分來(lái)為系統(tǒng)實(shí)現(xiàn)適當(dāng)?shù)?、成本有效性更好的安全，用?lái)評(píng)估系統(tǒng)風(fēng)險(xiǎn)性質(zhì)和級(jí)別的方法中應(yīng)該包括對(duì)風(fēng)險(xiǎn)管理主要因素的考慮：系統(tǒng)和應(yīng)用的價(jià)值、威脅、脆弱性、當(dāng)前或所建議的安全措施的有效性。因此，NIST在為信息系統(tǒng)開(kāi)發(fā)的安全計(jì)劃模版中專門對(duì)所用的風(fēng)險(xiǎn)評(píng)估方法加以了描述，例如所選的風(fēng)險(xiǎn)評(píng)估方法是否對(duì)威脅、脆弱性及補(bǔ)充性安全防護(hù)措施進(jìn)行了標(biāo)識(shí)？此外， NIST還要求安全計(jì)劃中應(yīng)包括風(fēng)險(xiǎn)評(píng)估的日期，且要說(shuō)明已標(biāo)識(shí)的風(fēng)險(xiǎn)是如何與系統(tǒng)的保密性、完整性和可用性要求相關(guān)聯(lián)的。 ? 2022年 4月，負(fù)責(zé)國(guó)家安全系統(tǒng)的國(guó)家安全系統(tǒng)委員會(huì)（此前稱為國(guó)家安全電信和信息系統(tǒng)安全委員會(huì)）發(fā)布了專門針對(duì)國(guó)家安全系統(tǒng)的 《 國(guó)家信息保障認(rèn)證和認(rèn)可過(guò)程 》（ NIACAP）。 ? NIST在 2022年 11月為 CIO委員會(huì)制定的 《 聯(lián)邦 IT安全評(píng)估框架 》 中提出了自評(píng)估的 5個(gè)級(jí)別。 ? 2022年 11月，針對(duì) 《 聯(lián)邦 IT安全評(píng)估框架 》 ， NIST頒布了 《 IT系統(tǒng)安全自評(píng)估指南 》 （ SP 80026），針對(duì)三大類17項(xiàng)安全控制提出了 17張調(diào)查表。 ? 2022年 12月， NIST發(fā)布了 《 IT安全基礎(chǔ)技術(shù)模型 》 （ SP 80033），提出了信息系統(tǒng)安全的目標(biāo)、目的、安全服務(wù)的模型、安全目的的實(shí)現(xiàn)和安全控制措施在風(fēng)險(xiǎn)管理中的作用。 ? 2022年 1月， NIST發(fā)布了 《 IT系統(tǒng)風(fēng)險(xiǎn)管理指南 》 （ SP 80030），概述了風(fēng)險(xiǎn)評(píng)估的重要性、風(fēng)險(xiǎn)評(píng)估在系統(tǒng)生命周期中的地位、進(jìn)行風(fēng)險(xiǎn)評(píng)估的角色和任務(wù)。闡明了風(fēng)險(xiǎn)評(píng)估的步驟、風(fēng)險(xiǎn)緩解的控制和評(píng)估評(píng)價(jià)的方法。 ? 2022年頒布了 《 聯(lián)邦信息安全管理法案 》（ FISMA），提出聯(lián)邦各機(jī)構(gòu)的信息安全項(xiàng)目必須包括： ? 定期的風(fēng)險(xiǎn)評(píng)估，包括評(píng)估由于對(duì)信息和信息系統(tǒng)進(jìn)行未授權(quán)訪問(wèn)、使用、泄露、中斷、修改或者破壞而帶來(lái)的危害的大小。 ? 基于風(fēng)險(xiǎn)評(píng)估的政策和流程，將信息安全風(fēng)險(xiǎn)通過(guò)成本有效性較好的手段而降低到一個(gè)可接受的水平，并確保信息安全在各機(jī)構(gòu)信息系統(tǒng)的整個(gè)生命周期中都得到了處理。 ? 子計(jì)劃，用于為網(wǎng)絡(luò)、設(shè)施、一個(gè)或一組信息系統(tǒng)提供足夠的信息安全。 ? 安全意識(shí)培訓(xùn)，用于使相關(guān)人員（包括聯(lián)邦信息系統(tǒng)的合同商和其他用戶）知曉其行