【正文】 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 我國信息安全風(fēng)險(xiǎn)評估工作的現(xiàn)狀與發(fā)展 國家信息中心 信息安全研究與服務(wù)中心 吳亞非 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ? 一 、 信息安全風(fēng)險(xiǎn)評估概述 ? 二、為什么要做信息安全風(fēng)險(xiǎn)評估 ? 三、我國信息安全風(fēng)險(xiǎn)評估回顧 ? 四、信息安全風(fēng)險(xiǎn)評估今后三年的發(fā)展 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全風(fēng)險(xiǎn)評估的概念 ? 信息系統(tǒng)的安全風(fēng)險(xiǎn) 信息系統(tǒng)的安全風(fēng)險(xiǎn)，是指由于系統(tǒng)存在的脆弱性，人為或自然的威脅導(dǎo)致安全事件發(fā)生的可能性及其造成的影響。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全風(fēng)險(xiǎn)評估 是指依據(jù)國家有關(guān)信息技術(shù)標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)評價(jià)的過程 它要評估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實(shí)際負(fù)面影響，并根據(jù)安全事件發(fā)生的可能性和負(fù)面影響的程度來識別信息系統(tǒng)的安全風(fēng)險(xiǎn)。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全風(fēng)險(xiǎn)評估 ? 人們的認(rèn)識能力和實(shí)踐能力是有局限性的，因此，信息系統(tǒng)存在脆弱性是不可避免的。信息系統(tǒng)的價(jià)值及其存在的脆弱性，使信息系統(tǒng)在現(xiàn)實(shí)環(huán)境中，總要面臨各種人為與自然的威脅，存在安全風(fēng)險(xiǎn)也是必然的。 ? 信息安全建設(shè)的宗旨之一，就是在綜合考慮成本與效益的前提下，通過安全措施來控制風(fēng)險(xiǎn)，使殘余風(fēng)險(xiǎn)降低到可接受的程度。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全風(fēng)險(xiǎn)評估 ? 因?yàn)槿魏涡畔⑾到y(tǒng)都會有安全風(fēng)險(xiǎn)，所以，人們追求的所謂安全的信息系統(tǒng)，實(shí)際是指信息系統(tǒng)在實(shí)施了風(fēng)險(xiǎn)評估并做出風(fēng)險(xiǎn)控制后，仍然存在的殘余風(fēng)險(xiǎn)可被接受的信息系統(tǒng)。 ? 因此，要追求信息系統(tǒng)的安全，就不能脫離全面、完整的信息系統(tǒng)的安全評估，就必須運(yùn)用信息系統(tǒng)安全風(fēng)險(xiǎn)評估的思想和規(guī)范，對信息系統(tǒng)開展安全風(fēng)險(xiǎn)評估。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 風(fēng)險(xiǎn)評估的意義和作用 ? 信息安全中的風(fēng)險(xiǎn)評估是傳統(tǒng)的風(fēng)險(xiǎn)理論和方法在信息系統(tǒng)中的運(yùn)用，是科學(xué)地分析和理解信息與信息系統(tǒng)在保密性、完整性、可用性等方面所面臨的風(fēng)險(xiǎn)，并在風(fēng)險(xiǎn)的減少、轉(zhuǎn)移和規(guī)避等風(fēng)險(xiǎn)控制方法之間做出決策的過程。 ? 風(fēng)險(xiǎn)評估將導(dǎo)出信息系統(tǒng)的安全需求，因此，所有信息安全建設(shè)都應(yīng)該以風(fēng)險(xiǎn)評估為起點(diǎn)。信息安全建設(shè)的最終目的是服務(wù)于信息化，但其直接目的是為了控制安全風(fēng)險(xiǎn) 。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 風(fēng)險(xiǎn)評估的意義和作用 ? 只有在正確、全面地了解和理解安全風(fēng)險(xiǎn)后，才能決定如何處理安全風(fēng)險(xiǎn)，從而在信息安全的投資、信息安全措施的選擇、信息安全保障體系的建設(shè)等問題中做出合理的決策。 ? 進(jìn)一步，持續(xù)的風(fēng)險(xiǎn)評估工作可以成為檢查信息系統(tǒng)本身乃至信息系統(tǒng)擁有單位的績效的有力手段，風(fēng)險(xiǎn)評估的結(jié)果能夠供相關(guān)主管單位參考，并使主管單位通過行政手段對信息系統(tǒng)的立項(xiàng)、投資、運(yùn)行產(chǎn)生影響，促進(jìn)信息系統(tǒng)擁有單位加強(qiáng)信息安全建設(shè)。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 風(fēng)險(xiǎn)評估的意義和作用 ? 信息安全建設(shè)的基本原則包括必須從實(shí)際出發(fā)，堅(jiān)持分級防護(hù)、突出重點(diǎn)。 ? 風(fēng)險(xiǎn)評估正是這一要求在實(shí)際工作中的具體體現(xiàn)。 ? 從理論上講，不存在絕對的安全，實(shí)踐中也不可能做到絕對安全，風(fēng)險(xiǎn)總是客觀存在的。 ? 安全是風(fēng)險(xiǎn)與成本的綜合平衡。 ? 盲目追求安全和完全回避風(fēng)險(xiǎn)是不現(xiàn)實(shí)的，也不是分級防護(hù)原則所要求的。 ? 要從實(shí)際出發(fā)，堅(jiān)持分級防護(hù)、突出重點(diǎn)，就必須正確地評估風(fēng)險(xiǎn)，以便采取科學(xué)、客觀、經(jīng)濟(jì)和有效的措施。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 風(fēng)險(xiǎn)評估的意義和作用 3. 加強(qiáng)風(fēng)險(xiǎn)評估工作是當(dāng)前信息安全工作的客觀需要和緊迫需求 ? 由于信息技術(shù)的飛速發(fā)展，關(guān)系國計(jì)民生的關(guān)鍵信息基礎(chǔ)設(shè)施的規(guī)模越來越大，同時(shí)也極大地增加了系統(tǒng)的復(fù)雜程度。 ? 發(fā)達(dá)國家越來越重視信息安全風(fēng)險(xiǎn)評估工作，提倡風(fēng)險(xiǎn)評估制度化。他們提出，沒有有效的風(fēng)險(xiǎn)評估，便會導(dǎo)致信息安全需求與安全解決方案的嚴(yán)重脫離。因此，他們強(qiáng)調(diào)“沒有任何事情比解決錯(cuò)誤的問題和建立錯(cuò)誤的系統(tǒng)更沒有效率的了?！边@些發(fā)達(dá)國家近年來大力加強(qiáng)了以風(fēng)險(xiǎn)評估為核心的信息系統(tǒng)安全評估工作，并通過法規(guī)、標(biāo)準(zhǔn)手段加以保障，逐步以此形成了橫跨立法、行政、司法的完整的信息安全管理體系。 ? 在我國目前的國情下，為加強(qiáng)宏觀信息安全管理，促進(jìn)信息安全保障體系建設(shè)，就必須加強(qiáng)風(fēng)險(xiǎn)評估工作，并逐步使風(fēng)險(xiǎn)評估工作朝向制度化的方向發(fā)展。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全風(fēng)險(xiǎn)評估的目標(biāo)和目的 ? 信息系統(tǒng)安全風(fēng)險(xiǎn)評估的總體目標(biāo)是： 服務(wù)于國家信息化發(fā)展，促進(jìn)信息安全保障體系的建設(shè)，提高信息系統(tǒng)的安全保護(hù)能力。 ? 信息系統(tǒng)安全風(fēng)險(xiǎn)評估的目的是： 認(rèn)清信息安全環(huán)境、信息安全狀況；有助于達(dá)成共識，明確責(zé)任；采取或完善安全保障措施，使其更加經(jīng)濟(jì)有效，并使信息安全策略保持一致性和持續(xù)性。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全風(fēng)險(xiǎn)評估的基本要素 ? 使命： 一個(gè)單位通過信息化實(shí)現(xiàn)的工作任務(wù)。 ? 依賴度 ：一個(gè)單位的使命對信息系統(tǒng)和信息的依靠程度。 ? 資產(chǎn)： 通過信息化建設(shè)積累起來的信息系統(tǒng)、信息、生產(chǎn)或服務(wù)能力、人員能力和贏得的信譽(yù)等。 ? 價(jià)值： 資產(chǎn)的重要程度和敏感程度。 ? 威脅： 一個(gè)單位的信息資產(chǎn)的安全可能受到的侵害。威脅由多種屬性來刻畫：威脅的主體（威脅源）、能力、資源、動機(jī)、途徑、可能性和后果。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全風(fēng)險(xiǎn)評估的基本要素 ? 脆弱性： 信息資產(chǎn)及其防護(hù)措施在安全方面的