【正文】 信息安全風(fēng)險評估 中國科學(xué)院研究生院 信息安全國家重點實驗室 趙戰(zhàn)生 2022年 7月 3日 內(nèi)容概要 ? 國信辦下達(dá)的研究任務(wù)及研究進(jìn)展 ? 國際上風(fēng)險評估的發(fā)展及現(xiàn)狀 ? 我國信息系統(tǒng)安全風(fēng)險評估的現(xiàn)狀和問題 ? 什么是信息安全風(fēng)險評估 ? 為什么要進(jìn)行風(fēng)險評估 ? 怎樣進(jìn)行風(fēng)險評估 國信辦下達(dá)的 研究任務(wù) 及研究進(jìn)展 ? 2022年 7月 22日，國務(wù)院信息化領(lǐng)導(dǎo)小組第三次會議專題討論了 《 關(guān)于加強(qiáng)信息安全保障工作的意見 〉 ，9月中央辦公廳、國務(wù)院辦公廳轉(zhuǎn)發(fā)了 《 國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見 〉（ 2022[27]號文件）。文件要求采取必要措施進(jìn)行信息安全風(fēng)險的防范。 ? 7月 23日國信辦安全組決定委托國家信息中心組建成立 “ 信息安全風(fēng)險評估課題組 ” ，對信息安全風(fēng)險評估工作的現(xiàn)狀進(jìn)行全面深入了解，提出我國開展信息安全風(fēng)險評估的對策和辦法，為下一步信息安全的建設(shè)和管理做準(zhǔn)備。 ? 國家信息中心根據(jù)國務(wù)院信息辦安全組的要求 ,迅速成立了以國家信息中心公共技術(shù)服務(wù)部主任寧家駿為組長 ,包括崔書昆 、 曲成義 、 趙戰(zhàn)生 、 吳亞非 、 左曉棟博士 、 范紅博士和朱建勇博士組成 ， 賈穎禾為國信辦聯(lián)絡(luò)員的 “ 信息安全風(fēng)險評估 ” 起草組 , 開展信息安全風(fēng)險評估籌備工作 。 ? 后根據(jù)工作需要又吸收杜虹 、 景乾元兩位同志參加 。 ? 課題組在廣東、上海、北京共訪問了 50多個單位 ,召開了 5 次座談會。 ? 研究與起草階段 開了 7次研討會。 ? 經(jīng)過四個多月的努力 ,完成了： ? 信息安全風(fēng)險評估調(diào)查報告 ? 信息安全風(fēng)險評估研究報告 ? 關(guān)于信息安全風(fēng)險評估工作的意見 三份稿約十萬字 ? 提交的 《 信息安全風(fēng)險評估研究報告 》 在多次征求意見和修改后，作為全國信息安全保障工作會議下發(fā)的文件附件，在 2022年 1月 9日發(fā)放給會議參加者。 研究報告結(jié)構(gòu) ? 一、前言 ? 二、信息系統(tǒng)安全風(fēng)險評估的概念 ? 三、風(fēng)險評估的意義和作用 ? 四、信息安全風(fēng)險評估的目標(biāo)和目的 ? 五、信息安全風(fēng)險評估的基本要素 ? 六、風(fēng)險評估對信息系統(tǒng)生命周期的支持 ? 七、風(fēng)險評估的一般工作流程 ? 八、當(dāng)前存在的風(fēng)險評估理論和工具 ? 九、我國信息系統(tǒng)安全風(fēng)險評估的現(xiàn)狀和問題 ? 十、信息安全風(fēng)險評估工作的原則 ? 十一、等級保護(hù)、認(rèn)證認(rèn)可、風(fēng)險管理、風(fēng)險評估的關(guān)系 ? 十二、自評估、強(qiáng)制性檢查評估與委托評估 ? 十三、信息系統(tǒng)安全風(fēng)險評估的角色和責(zé)任 ? 十四、信息安全風(fēng)險評估的任務(wù)和措施 ? 附件 國際信息安全風(fēng)險評估的發(fā)展和現(xiàn)狀 ? 附件 風(fēng)險評估工作流程詳述 ? 附件 風(fēng)險控制及工作流程 ? 附件 美國對認(rèn)證認(rèn)可概念的看法 ? 附件 美國信息系統(tǒng)安全認(rèn)證認(rèn)可工作概述 ? 附件 對美國 OMB主任備忘錄的總結(jié) ? 附件 美國認(rèn)證認(rèn)可計劃中相關(guān)標(biāo)準(zhǔn)和指南概況 ? 2022年，課題組繼續(xù)進(jìn)行 《 關(guān)于信息安全風(fēng)險評估工作的意見 》 的研究起草 ? 2022年國信辦安全組要求在已有工作基礎(chǔ)上開展風(fēng)險評估相關(guān)標(biāo)準(zhǔn)的研究制定，標(biāo)準(zhǔn)包括： ? 風(fēng)險評估框架 ? 風(fēng)險評估指南 ? 信息安全風(fēng)險管理指南 ? 相關(guān)標(biāo)準(zhǔn)已經(jīng)形成初稿，正在進(jìn)一步研究修改中 ? 預(yù)期在近期完成 “ 工作意見 ” 和 “ 相關(guān)標(biāo)準(zhǔn) ” ，并于下半年開展信息安全風(fēng)險評估的試點工作。 國際上風(fēng)險評估 的發(fā)展及現(xiàn)狀 ? 美國是國際上對信息安全風(fēng)險評估研究歷史最長和工作最豐富的國家。隨著信息化應(yīng)用需求的牽引，安全事件的驅(qū)動和信息安全技術(shù)、信息安全管理概念的發(fā)展深化，他們對信息安全風(fēng)險評估的認(rèn)識也逐步加深。從最初關(guān)注計算機(jī)保密發(fā)展到目前關(guān)注信息系統(tǒng)基礎(chǔ)設(shè)施的信息保障，大體經(jīng)歷了以下三個階段： 第一個階段 （ 6070年代） 以計算機(jī)為對象的信息保密階段 ? 背景 ： 計算機(jī)開始應(yīng)用于政府軍隊。 ? 標(biāo)志性行動： 1967年 11月，美國國防科學(xué)委員會委托蘭德公司、邁特公司（ MITIE）及其它和國防工業(yè)有關(guān)的一些公司，開始研究計算機(jī)安全問題。到1970年 2月，經(jīng)過將近兩年半的工作，主要對當(dāng)時的大型機(jī)、遠(yuǎn)程終端進(jìn)行了研究，分析。作了第一次比較大規(guī)模的風(fēng)險評估。 ? 特點： ? 僅重點針對了計算機(jī)系統(tǒng)的保密性問題提出要求，對安全的評估只限于保密性。 第二個階段 （ 8090年代） 以計算機(jī)和網(wǎng)絡(luò)為對象的信息安全保護(hù)階段 ? 背景： 計算機(jī)系統(tǒng)形成了網(wǎng)絡(luò)化的應(yīng)用。 ? 標(biāo)志性行動： 出現(xiàn)了初期的針對美國軍方的計算機(jī)黑客行為，1988年 1989年，美國的計算機(jī)網(wǎng)絡(luò)出現(xiàn)了一系列重大事件。美國的審計總署（ GAO）對美國國內(nèi)主要由國防部使用的計算機(jī)網(wǎng)絡(luò)進(jìn)行了大規(guī)模的持續(xù)評估。 ? 特點： 逐步認(rèn)識到了更多的信息安全屬性（保密性、完整性、可用性），從關(guān)注操作系統(tǒng)安全發(fā)展到關(guān)注操作系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)庫。試圖通過對安全產(chǎn)品的質(zhì)量保證和安全評測來保障系統(tǒng)安全，但實際上僅僅奠定了安全產(chǎn)品測評認(rèn)證的基礎(chǔ)和工作程序。 第三個階段 （ 90年代末， 21世紀(jì)初） 以信息系統(tǒng)關(guān)鍵基礎(chǔ)設(shè)施為對象的信息保障階段 ? 背景： 計算機(jī)網(wǎng)絡(luò)系統(tǒng)成為關(guān)鍵基礎(chǔ)設(shè)施的核心。 2022年前后，由于國際范圍內(nèi)出現(xiàn)了大規(guī)模黑客攻擊，以及信息戰(zhàn)的理論逐步走向成熟，信息攻防成為戰(zhàn)爭手段和國家綜合利用的一種方式，且美國的軍、政、經(jīng)濟(jì)和社會活動對信息基礎(chǔ)設(shè)施的依賴程度達(dá)到了空前的高度，迫使美國又開始了對信息系統(tǒng)新一輪的評估和研究，產(chǎn)生了一些新的概念，法規(guī)和標(biāo)準(zhǔn)。 ? 標(biāo)志性的行動： 在軍方提出信息保障（ IA）概念的基礎(chǔ)上，克林頓和布什兩屆總統(tǒng)持續(xù)數(shù)年進(jìn)行了國家信息安全保護(hù)計劃和信息保障戰(zhàn)略的研究。到目前為止，形成了與國家安全、反恐戰(zhàn)略、國土安全等國家戰(zhàn)略相配套的網(wǎng)絡(luò)空間信息保障的國家戰(zhàn)略。各個行業(yè)也逐步提出了本行業(yè)的信息安全戰(zhàn)略，風(fēng)險評估思想在其中得到了重要的貫徹。 1996年美國國會總審計署（ GAO）的 報告的研究 ? DISA對美軍網(wǎng)絡(luò)實施的 38000次滲透性攻擊測試， 24700次即 65％的攻擊行為取得了成功。在這些成功的攻擊中，只有 988即 4％被發(fā)現(xiàn)。在被發(fā)現(xiàn)的攻擊活動中，只有 267次即 27％被報告給了 DISA。也就是說，只有不到 1/150的攻擊事件被報告。 ? 有關(guān)風(fēng)險評估的重要工作結(jié)果： ? 1997年美國國防部發(fā)布了 《 國防部 IT安全認(rèn)證和認(rèn)可過程 》（ DITSCAP）。 ? 1998年 12月， NIST頒布了 《 IT系統(tǒng)安全計劃開發(fā)指南 》（ SP 80018）。此前的 OMB A130曾要求，應(yīng)該將風(fēng)險評估作為基于風(fēng)險的方法的一部分來為系統(tǒng)實現(xiàn)適當(dāng)?shù)?、成本有效性更好的安全，用來評估系統(tǒng)風(fēng)險性質(zhì)和級別的方法中應(yīng)該包括對風(fēng)險管理主要因素的考慮：系統(tǒng)和應(yīng)用的價值、威脅、脆弱性、當(dāng)前或所建議的安全措施的有效性。因此，NIST在為信息系統(tǒng)開發(fā)的安全計劃模版中專門對所用的風(fēng)險評估方法加以了描述，例如所選的風(fēng)險評估方法是否對威脅、脆弱性及補(bǔ)充性安全防護(hù)措施進(jìn)行了標(biāo)識？此外， NIST還要求安全計劃中應(yīng)包括風(fēng)險評估的日期，且要說明已標(biāo)識的風(fēng)險是如何與系統(tǒng)的保密性、完整性和可用性要求相關(guān)聯(lián)的。 ? 2022年 4月，負(fù)責(zé)國家安全系統(tǒng)的國家安全系統(tǒng)委員會（此前稱為國家安全電信和信息系統(tǒng)安全委員會）發(fā)布了專門針對國家安全系統(tǒng)的 《 國家信息保障認(rèn)證和認(rèn)可過程 》（ NIACAP）。 ? NIST在 2022年 11月為 CIO委員會制定的 《 聯(lián)邦 IT安全評估框架 》 中提出了自評估的 5個級別。 ? 2022年 11月，針對 《 聯(lián)邦 IT安全評估框架 》 ， NIST頒布了 《 IT系統(tǒng)安全自評估指南 》 （ SP 80026），針對三大類17項安全控制提出了 17張調(diào)查表。 ? 2022年 12月， NIST發(fā)布了 《 IT安全基礎(chǔ)技術(shù)模型 》 （ SP 80033），提出了信息系統(tǒng)安全的目標(biāo)、目的、安全服務(wù)的模型、安全目的的實現(xiàn)和安全控制措施在風(fēng)險管理中的作用。 ? 2022年 1月， NIST發(fā)布了 《 IT系統(tǒng)風(fēng)險管理指南 》 （ SP 80030），概述了風(fēng)險評估的重要性、風(fēng)險評估在系統(tǒng)生命周期中的地位、進(jìn)行風(fēng)險評估的角色和任務(wù)。闡明了風(fēng)險評估的步驟、風(fēng)險緩解的控制和評估評價的方法。 ? 2022年頒布了 《 聯(lián)邦信息安全管理法案 》（ FISMA），提出聯(lián)邦各機(jī)構(gòu)的信息安全項目必須包括： ? 定期的風(fēng)險評估，包括評估由于對信息和信息系統(tǒng)進(jìn)行未授權(quán)訪問、使用、泄露、中斷、修改或者破壞而帶來的危害的大小。 ? 基于風(fēng)險評估的政策和流程，將信息安全風(fēng)險通過成本有效性較好的手段而降低到一個可接受的水平，并確保信息安全在各機(jī)構(gòu)信息系統(tǒng)的整個生命周期中都得到了處理。 ? 子計劃，用于為網(wǎng)絡(luò)、設(shè)施、一個或一組信息系統(tǒng)提供足夠的信息安全。 ? 安全意識培訓(xùn)，用于使相關(guān)人員（包括聯(lián)邦信息系統(tǒng)的合同商和其他用戶）知曉其行