【正文】 風(fēng)險評估的過程 安全措施 業(yè)務(wù)戰(zhàn)略 脆弱性 安全需求 威脅 風(fēng)險 殘余風(fēng)險 安全事件 依賴 具有 被滿足 利用 暴露 增加 導(dǎo)出 演變 未控制 可能誘發(fā) 殘留 成本 資產(chǎn) 資產(chǎn)價值 風(fēng)險要素關(guān)系示意圖 信息系統(tǒng)安全評估體系的構(gòu)成 風(fēng)險分析的基本要素 ?風(fēng)險分析中要涉及資產(chǎn)、威脅、脆弱性等基本要素。 ? 這個過程并不是 IT行業(yè)所獨有的，實際上它遍及我們?nèi)粘Ｉ钪行枰龀鰶Q定的任何事情。 對風(fēng)險評估總體要求的理解 ? 風(fēng)險評估工作總體要求是： ?充分發(fā)揮和調(diào)動各方面力量，運用風(fēng)險管理的思想，通過風(fēng)險評估，控制和降低風(fēng)險，全面提高信息系統(tǒng)防護能力，滿足信息安全需求，逐步建成有中國特色的風(fēng)險評估體系。其結(jié)果是殘留風(fēng)險是否達到可接受水平的一個明確界定，或者是一個是否應(yīng)當(dāng)實施額外的安全控制以進一步降低風(fēng)險的結(jié)論。信息安全風(fēng)險評估是指依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的機密性、完整性和可用性等安全屬性進行評價的過程。扁鵲說：兩個哥哥都是治大病于小恙，或者防病于未然，而他是直到病人病情完全顯露，才能加以診治?！卑踩L(fēng)險評估同樣蘊涵了這一思想。 （續(xù)） 提 綱 一、信息安全形勢需要評估 二、信息化風(fēng)險及風(fēng)險管理研究 三、信息安全風(fēng)險評估技術(shù)導(dǎo)引 四、信息安全風(fēng)險評估試點經(jīng)驗寶貴 克服安全“亞健康”的必由之路 ? 醫(yī)學(xué)專家告訴我們： ?人的軀體有健康、亞健康和患病等多種狀態(tài) ?但成年人多數(shù)處于亞健康狀態(tài) ?如何確認和發(fā)現(xiàn)問題，必須體檢 ? 信息系統(tǒng)也一樣，在安全狀態(tài)方面，常常處于“亞健康”甚至患病狀態(tài)，因此也要“體檢” — 這就是風(fēng)險評估 居安思危，思則有備 ? 溫總理： 清醒就是要認識到我們已經(jīng)取得的成績，只是在現(xiàn)代化的進程邁出了第一步，今后的路還更長，更艱苦。 ?再次，缺乏對信息安全風(fēng)險的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)。 ? （ 1）對信息化管理的理念認識和關(guān)注不足； ? （ 2）管理基礎(chǔ)（包括信息化建設(shè)中決策機制、信息透明和公開、實施過程的監(jiān)督等）不完善； ? （ 3）缺乏信息化建設(shè)周期中質(zhì)量控制和評估標(biāo)準(zhǔn)； （續(xù)） 第四，安全子系統(tǒng)建設(shè)資金的預(yù)算和管理能力差 ? （ 1）對信息系統(tǒng)未作風(fēng)險評估和分析，安全子系統(tǒng)建設(shè)投資預(yù)算缺乏科學(xué)依據(jù) ?或過度保護 ?或保護不力； ? （ 2）總體資金支持不足； ? （ 3）信息安全投資的回報難以監(jiān)控和評估。 信息安全基本屬性 ?機密性 Confidentiality ?完整性 Integrity ?可用性 Availability 信息化風(fēng)險的主要特征 ? 全球性 ? 傳染性 ? 復(fù)雜性 ? 隱蔽性 信息安全范疇 安全組織 訪問控制 業(yè)務(wù)不間斷運轉(zhuǎn) 物理安全 等等 …… 入侵預(yù)防與檢測 信息化風(fēng)險的內(nèi)在原因 基本原因在于內(nèi)因，由信息化自身的特點所決定： ? 第一，信息化的無疆界特征； ? 第二，信息化的低成本特征； ? 第三，信息化的開放性特征； ? 第四，信息化的匿名性特征。 ?信息化的風(fēng)險管理，其中信息安全風(fēng)險和保障網(wǎng)絡(luò)空間的安全已經(jīng)成為關(guān)系信息化能否健康發(fā)展的重大問題。由于利益驅(qū)動， “ 間諜軟件 ” 大都采用巧妙的形式潛伏于用戶的個人電腦中，它們更難被被發(fā)現(xiàn)，卻能竊取用戶寶貴個人資料，以非法獲利，這就是 “ 網(wǎng)上欺詐 ” 。 ? 包含間諜軟件、惡意插件和瀏覽器劫持在內(nèi)的流氓軟件也大行其道，它們侵入用戶電腦安裝插件和后門程序，竊取個人信息，一年之內(nèi)使自己的流量上升 600%；而通過設(shè)立搏彩、低價網(wǎng)絡(luò)購物等欺詐性網(wǎng)站直接騙取用戶錢財?shù)鹊?，更是?shù)不勝數(shù)。 ? “ 表哥，你最近還好嗎？知道我是誰嗎？看了我的相片你就知道了！ ” 這是在上海某銀行上班的楊先生收到一封郵件，誰知郵件還未打開，電腦出現(xiàn)了黑屏。 我國面臨的信息安全問題的性質(zhì) ? 我國面臨的信息安全問題已不再是一個局部性和技術(shù)性的問題，而是一個跨領(lǐng)域、跨行業(yè)、跨部門的綜合性安全問題。一方面社會經(jīng)濟對信息化的依賴程度越來越高，同時逐步建設(shè)和積累了一批寶貴的信息資產(chǎn)。 ? 不良和有害信息屢禁不止 ， 利用信息網(wǎng)絡(luò)技術(shù)從事犯罪活動日益猖獗 ， 網(wǎng)絡(luò)群體層出不窮 ， 網(wǎng)上輿論傳播直接影響社會穩(wěn)定 。 ? 通訊與信息網(wǎng)絡(luò)上失密 、 泄密及竊密事件時有發(fā)生 。 ? 與之而來的各類計算機犯罪及“黑客”攻擊網(wǎng)絡(luò)事件屢有發(fā)生，手段也越來越高技術(shù)化，從而對各國的主權(quán)、安全和社會穩(wěn)定構(gòu)成了威脅。 ? 它不僅是一個“不對稱”的高技術(shù)對抗問題，而且是一個直接影響國計民生、關(guān)乎國家安全與政權(quán)穩(wěn)定的現(xiàn)實問題。楊先生還沒有弄清是哪個 “ 表妹 ” 發(fā)來的玉照便丟失了大量銀行保密資料，給單位造成的損失無法估量。 從鴆酒到慢藥：“混合性威脅”的時代已經(jīng)到來 ? 根據(jù) IDC最新的調(diào)查結(jié)果，如今計算機用戶面臨的三項最嚴重的安全威脅依次是垃圾郵件、 DdoS攻擊和網(wǎng)上欺詐。 ? 今天用戶面對的安全威脅更復(fù)雜，經(jīng)常是由多種善變的威脅組成的 “ 混合型威脅 ” ，包括病毒、蠕蟲、間諜軟件、拒絕服務(wù)攻擊等。 信息化風(fēng)險的定義 ? 風(fēng)險指行動或者事件的結(jié)果的不確定性（ uncertainty of oute）。 ? 第一，自然災(zāi)害； ? 第二，誤操作和安全生產(chǎn)事故； ? 第三，病毒、蠕蟲以及網(wǎng)絡(luò)攻擊； ? 第四，由于信任體系不完善，借助信息化手段進行欺詐； ? 第五，因內(nèi)部因素而造成的信息、數(shù)據(jù)的修改和丟失和內(nèi)部泄密； ； ? 第六，因外部因素造成信息、數(shù)據(jù)的泄露、篡改和丟失； ? 第七，安全防范措施不到位的高端技術(shù)。 （續(xù)） 第五，人力資源不足 ? （ 1）缺乏信息安全風(fēng)險管理的人員 ? （ 2）缺乏具備信息安全管理能力和資格的人員； ? （ 3）培訓(xùn)滯后于項目，培訓(xùn)效果差。 （續(xù) ） 第七，保護隱私，數(shù)據(jù)安全，技術(shù)管理方面的不足。形勢稍好，尤需兢慎。 ? 曾有一個關(guān)于名醫(yī)扁鵲的傳說。 ? 扁鵲的話告訴我們一個簡單的道理：事后控制不如事中控制，事中控制不如事前控制。它要評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響，即信息安全的風(fēng)險。 ? 信息安全風(fēng)險定義為有害事件發(fā)生的可能性和該事件可能對組織的使命所產(chǎn)生影響的函數(shù)。 ?評估我國基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)，掌握我國基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全狀態(tài)，及時采取合適的應(yīng)對措施，保障它們的正常運行。 ? 進行風(fēng)險管理的最終目的就是要在這種平衡關(guān)系下，將風(fēng)險最小化，這也是在信息系統(tǒng)生命周期過程中需要實施信息安全風(fēng)險管理的根本原因。 ?每個要素有各自的屬性 ?資產(chǎn)的屬性是資產(chǎn)價值； ?威脅的屬性是威脅出現(xiàn)的頻率； ?脆弱性的屬性是資產(chǎn)弱點的嚴重程度 。信息安全風(fēng)險評估中資產(chǎn)的價值不僅僅以資產(chǎn)的賬面價格來衡量，而是由資產(chǎn)在這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。它可能是以多種形式存在，有無形的、有有形的，有硬件、有軟件，有文檔、代碼，也有服務(wù)、企業(yè)形象等。這時首先需要將信息系統(tǒng)及其中的信息資產(chǎn)進行恰當(dāng)?shù)姆诸悾拍茉诖嘶A(chǔ)上進行下一步的風(fēng)險評估工作。 ? 根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務(wù)、人員等類。其中，威脅發(fā)生的可能性受下列因素影響： ? 資產(chǎn)的吸引力； ? 資產(chǎn)轉(zhuǎn)化成報酬的容易程度； ? 威脅的技術(shù)力量； ? 脆弱性被利用的難易程度。 ? 脆弱性識別將針對每一項需要保護的信息資產(chǎn)，找出每一種威脅所能利用的脆弱性，并對脆弱性的嚴重程度進行評估，為其賦相對等級值。 不打無準(zhǔn)備之仗 — 做好準(zhǔn)備 ? 風(fēng)險評估的準(zhǔn)備是整個風(fēng)險評估過程有效性的保證。 ? 最小影響原則 ?從項目管理層面和工具技術(shù)層面，力求將風(fēng)險評估對信息系統(tǒng)的正常運行的可能影響降低到最低限度。