【正文】 OSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全風(fēng)險評估的基本要素 ? 脆弱性： 信息資產(chǎn)及其防護措施在安全方面的不足和弱點。 ? 資產(chǎn)： 通過信息化建設(shè)積累起來的信息系統(tǒng)、信息、生產(chǎn)或服務(wù)能力、人員能力和贏得的信譽等。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全風(fēng)險評估的目標和目的 ? 信息系統(tǒng)安全風(fēng)險評估的總體目標是： 服務(wù)于國家信息化發(fā)展，促進信息安全保障體系的建設(shè)，提高信息系統(tǒng)的安全保護能力。他們提出，沒有有效的風(fēng)險評估，便會導(dǎo)致信息安全需求與安全解決方案的嚴重脫離。 ? 盲目追求安全和完全回避風(fēng)險是不現(xiàn)實的，也不是分級防護原則所要求的。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 風(fēng)險評估的意義和作用 ? 信息安全建設(shè)的基本原則包括必須從實際出發(fā)，堅持分級防護、突出重點。 ? 風(fēng)險評估將導(dǎo)出信息系統(tǒng)的安全需求，因此，所有信息安全建設(shè)都應(yīng)該以風(fēng)險評估為起點。 ? 信息安全建設(shè)的宗旨之一，就是在綜合考慮成本與效益的前提下，通過安全措施來控制風(fēng)險，使殘余風(fēng)險降低到可接受的程度。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 我國信息安全風(fēng)險評估工作的現(xiàn)狀與發(fā)展 國家信息中心 信息安全研究與服務(wù)中心 吳亞非 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ? 一 、信息安全風(fēng)險評估概述 ? 二、為什么要做信息安全風(fēng)險評估 ? 三、我國信息安全風(fēng)險評估回顧 ? 四、信息安全風(fēng)險評估今后三年的發(fā)展 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全風(fēng)險評估的概念 ? 信息系統(tǒng)的安全風(fēng)險 信息系統(tǒng)的安全風(fēng)險，是指由于系統(tǒng)存在的脆弱性，人為或自然的威脅導(dǎo)致安全事件發(fā)生的可能性及其造成的影響。信息系統(tǒng)的價值及其存在的脆弱性，使信息系統(tǒng)在現(xiàn)實環(huán)境中，總要面臨各種人為與自然的威脅，存在安全風(fēng)險也是必然的。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 風(fēng)險評估的意義和作用 ? 信息安全中的風(fēng)險評估是傳統(tǒng)的風(fēng)險理論和方法在信息系統(tǒng)中的運用，是科學(xué)地分析和理解信息與信息系統(tǒng)在保密性、完整性、可用性等方面所面臨的風(fēng)險，并在風(fēng)險的減少、轉(zhuǎn)移和規(guī)避等風(fēng)險控制方法之間做出決策的過程。 ? 進一步，持續(xù)的風(fēng)險評估工作可以成為檢查信息系統(tǒng)本身乃至信息系統(tǒng)擁有單位的績效的有力手段，風(fēng)險評估的結(jié)果能夠供相關(guān)主管單位參考，并使主管單位通過行政手段對信息系統(tǒng)的立項、投資、運行產(chǎn)生影響，促進信息系統(tǒng)擁有單位加強信息安全建設(shè)。 ? 安全是風(fēng)險與成本的綜合平衡。 ? 發(fā)達國家越來越重視信息安全風(fēng)險評估工作，提倡風(fēng)險評估制度化。 ? 在我國目前的國情下，為加強宏觀信息安全管理，促進信息安全保障體系建設(shè)，就必須加強風(fēng)險評估工作，并逐步使風(fēng)險評估工作朝向制度化的方向發(fā)展。 ? 依賴度 ：一個單位的使命對信息系統(tǒng)和信息的依靠程度。威脅由多種屬性來刻畫：威脅的主體（威脅源）、能力、資源、動機、途徑、可能性和后果。它由安全事件發(fā)生的可能性及其造成的影響這兩種指標來衡量。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 風(fēng)險評估對信息系統(tǒng)生命周期的支持 生命周期階段 階段特征 來自風(fēng)險管理活動的支持 階段 1—— 規(guī)劃和啟動 提出信息系統(tǒng)的目的、需求、規(guī)模和安全要求。 階段 3—— 集成實現(xiàn) 信息系統(tǒng)的安全特性應(yīng)該被配置、激活、測試并得到驗證。 ?當定期對系統(tǒng)進行重新評估時，或者信息系統(tǒng)在其運行性生產(chǎn)環(huán)境（例如新的系統(tǒng)接口）中做出重大變更時，要對其進行風(fēng)險評估活動。并且要確保系統(tǒng)的更新?lián)Q代能以一個安全和系統(tǒng)化的方式完成。 ? 上述工作流程應(yīng)該是一個不斷重復(fù)的循環(huán)過程， 從不同階段進入風(fēng)險評估工作也可能進行簡化其中的某些步驟 。 ? 從計算方法區(qū)分，有定性的方法、定量的方法和部分定量的方法。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC ? 二、為什么要做信息安全風(fēng)險評估 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 為什么要做信息安全風(fēng)險評估 ? 第一，風(fēng)險評估是分析確定風(fēng)險的過程。所有信息安全建設(shè)和管理都應(yīng)該基于信息安全風(fēng)險評估，只有這樣，信息安全建設(shè)才能做到從實際出發(fā)，才能堅持需求主導(dǎo)、突出重點，才能以最小的代價去最大程度地保障信息安全。在不知不覺中就已經(jīng)中了招，在不知不覺中就已經(jīng)遭受了重大損失。從理論上講，不存在絕對的安全，風(fēng)險總是客觀存在的。 ? 這體現(xiàn)了信息安全的一個基本原則，就是堅持從實際出發(fā)，堅持有針對性地進行信息安全建設(shè)和管理。歐洲等其他信息化發(fā)達國家也非常重視開展信息安全風(fēng)險評估工作，將開展信息安全風(fēng)險評估工作作為提高信息安全保障水平的重要手段。 ? 國家信息中心信息安全研究與服務(wù)中心組織了近二十家有實際工作經(jīng)驗的企事業(yè)單位約四十多人，開了二十多次工作會議，進行了信息安全風(fēng)險評估標準規(guī)范草案的制定工作；到九月下旬 , 完成《 信息安全風(fēng)險評估指南 》 和 《 信息安全風(fēng)險管理指南 》 二個規(guī)范草案的初稿。國務(wù)院信息辦曲維枝副主任到會聽取了各試點單位的工作匯報 ,對試點工作的成果給予了高度評價 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 政策文件起草 ? 在調(diào)研和試點的基礎(chǔ)上，國信辦會同公安部、安全部、國家保密局、密碼管理局、總參三部等部門及有關(guān)專家起草了 《 關(guān)于開展信息安全風(fēng)險評估工作的意見 》 征求意見稿，反復(fù)征求了國家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組成員單位、重要信息系統(tǒng)主管部門、國家信息化專家咨詢委員會以及各試點單位意見，數(shù)易其稿。 SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 高度重視組織管理工作 ? 各信息化和信息安全主管部門要充分認識風(fēng)險評估工作對于提高信息安全管理水平的重要意義，切實加強對風(fēng)險評估工作的管理，抓緊制定貫徹落實的辦法，積極穩(wěn)妥地推進。 ? 依托自身技術(shù)力量 ? 委托具有相應(yīng)資質(zhì)的第三方機構(gòu)提供技術(shù)支持 ? 檢查評估 指信息系統(tǒng)上級管理部門或信息安全職能部門組織的信息安全風(fēng)險評估。該培訓(xùn)教材從國家政策、技術(shù)標準、技術(shù)方法、產(chǎn)品工具以及實施案例幾個方面，詳細描述信息安全風(fēng)險評估工作的主要內(nèi)