【正文】 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 我國信息安全風(fēng)險評估工作的現(xiàn)狀與發(fā)展 國家信息中心 信息安全研究與服務(wù)中心 吳亞非 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ? 一 、信息安全風(fēng)險評估概述 ? 二、為什么要做信息安全風(fēng)險評估 ? 三、我國信息安全風(fēng)險評估回顧 ? 四、信息安全風(fēng)險評估今后三年的發(fā)展 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全風(fēng)險評估的概念 ? 信息系統(tǒng)的安全風(fēng)險 信息系統(tǒng)的安全風(fēng)險，是指由于系統(tǒng)存在的脆弱性，人為或自然的威脅導(dǎo)致安全事件發(fā)生的可能性及其造成的影響。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全風(fēng)險評估 是指依據(jù)國家有關(guān)信息技術(shù)標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學(xué)評價的過程 它要評估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實際負(fù)面影響，并根據(jù)安全事件發(fā)生的可能性和負(fù)面影響的程度來識別信息系統(tǒng)的安全風(fēng)險。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全風(fēng)險評估 ? 人們的認(rèn)識能力和實踐能力是有局限性的，因此，信息系統(tǒng)存在脆弱性是不可避免的。信息系統(tǒng)的價值及其存在的脆弱性，使信息系統(tǒng)在現(xiàn)實環(huán)境中，總要面臨各種人為與自然的威脅，存在安全風(fēng)險也是必然的。 ? 信息安全建設(shè)的宗旨之一，就是在綜合考慮成本與效益的前提下，通過安全措施來控制風(fēng)險，使殘余風(fēng)險降低到可接受的程度。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全風(fēng)險評估 ? 因為任何信息系統(tǒng)都會有安全風(fēng)險，所以，人們追求的所謂安全的信息系統(tǒng)，實際是指信息系統(tǒng)在實施了風(fēng)險評估并做出風(fēng)險控制后，仍然存在的殘余風(fēng)險可被接受的信息系統(tǒng)。 ? 因此，要追求信息系統(tǒng)的安全，就不能脫離全面、完整的信息系統(tǒng)的安全評估，就必須運用信息系統(tǒng)安全風(fēng)險評估的思想和規(guī)范，對信息系統(tǒng)開展安全風(fēng)險評估。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 風(fēng)險評估的意義和作用 ? 信息安全中的風(fēng)險評估是傳統(tǒng)的風(fēng)險理論和方法在信息系統(tǒng)中的運用，是科學(xué)地分析和理解信息與信息系統(tǒng)在保密性、完整性、可用性等方面所面臨的風(fēng)險，并在風(fēng)險的減少、轉(zhuǎn)移和規(guī)避等風(fēng)險控制方法之間做出決策的過程。 ? 風(fēng)險評估將導(dǎo)出信息系統(tǒng)的安全需求，因此，所有信息安全建設(shè)都應(yīng)該以風(fēng)險評估為起點。信息安全建設(shè)的最終目的是服務(wù)于信息化，但其直接目的是為了控制安全風(fēng)險 。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 風(fēng)險評估的意義和作用 ? 只有在正確、全面地了解和理解安全風(fēng)險后，才能決定如何處理安全風(fēng)險，從而在信息安全的投資、信息安全措施的選擇、信息安全保障體系的建設(shè)等問題中做出合理的決策。 ? 進一步，持續(xù)的風(fēng)險評估工作可以成為檢查信息系統(tǒng)本身乃至信息系統(tǒng)擁有單位的績效的有力手段，風(fēng)險評估的結(jié)果能夠供相關(guān)主管單位參考，并使主管單位通過行政手段對信息系統(tǒng)的立項、投資、運行產(chǎn)生影響，促進信息系統(tǒng)擁有單位加強信息安全建設(shè)。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 風(fēng)險評估的意義和作用 ? 信息安全建設(shè)的基本原則包括必須從實際出發(fā)，堅持分級防護、突出重點。 ? 風(fēng)險評估正是這一要求在實際工作中的具體體現(xiàn)。 ? 從理論上講，不存在絕對的安全，實踐中也不可能做到絕對安全，風(fēng)險總是客觀存在的。 ? 安全是風(fēng)險與成本的綜合平衡。 ? 盲目追求安全和完全回避風(fēng)險是不現(xiàn)實的，也不是分級防護原則所要求的。 ? 要從實際出發(fā)，堅持分級防護、突出重點，就必須正確地評估風(fēng)險，以便采取科學(xué)、客觀、經(jīng)濟和有效的措施。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 風(fēng)險評估的意義和作用 3. 加強風(fēng)險評估工作是當(dāng)前信息安全工作的客觀需要和緊迫需求 ? 由于信息技術(shù)的飛速發(fā)展，關(guān)系國計民生的關(guān)鍵信息基礎(chǔ)設(shè)施的規(guī)模越來越大，同時也極大地增加了系統(tǒng)的復(fù)雜程度。 ? 發(fā)達國家越來越重視信息安全風(fēng)險評估工作，提倡風(fēng)險評估制度化。他們提出，沒有有效的風(fēng)險評估，便會導(dǎo)致信息安全需求與安全解決方案的嚴(yán)重脫離。因此，他們強調(diào)“沒有任何事情比解決錯誤的問題和建立錯誤的系統(tǒng)更沒有效率的了?！边@些發(fā)達國家近年來大力加強了以風(fēng)險評估為核心的信息系統(tǒng)安全評估工作，并通過法規(guī)、標(biāo)準(zhǔn)手段加以保障，逐步以此形成了橫跨立法、行政、司法的完整的信息安全管理體系。 ? 在我國目前的國情下，為加強宏觀信息安全管理，促進信息安全保障體系建設(shè)，就必須加強風(fēng)險評估工作，并逐步使風(fēng)險評估工作朝向制度化的方向發(fā)展。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全風(fēng)險評估的目標(biāo)和目的 ? 信息系統(tǒng)安全風(fēng)險評估的總體目標(biāo)是： 服務(wù)于國家信息化發(fā)展，促進信息安全保障體系的建設(shè)，提高信息系統(tǒng)的安全保護能力。 ? 信息系統(tǒng)安全風(fēng)險評估的目的是： 認(rèn)清信息安全環(huán)境、信息安全狀況；有助于達成共識，明確責(zé)任；采取或完善安全保障措施，使其更加經(jīng)濟有效，并使信息安全策略保持一致性和持續(xù)性。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全風(fēng)險評估的基本要素 ? 使命： 一個單位通過信息化實現(xiàn)的工作任務(wù)。 ? 依賴度 ：一個單位的使命對信息系統(tǒng)和信息的依靠程度。 ? 資產(chǎn)： 通過信息化建設(shè)積累起來的信息系統(tǒng)、信息、生產(chǎn)或服務(wù)能力、人員能力和贏得的信譽等。 ? 價值： 資產(chǎn)的重要程度和敏感程度。 ? 威脅： 一個單位的信息資產(chǎn)的安全可能受到的侵害。威脅由多種屬性來刻畫：威脅的主體（威脅源）、能力、資源、動機、途徑、可能性和后果。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全風(fēng)險評估的基本要素 ? 脆弱性： 信息資產(chǎn)及其防護措施在安全方面的