【正文】 ? 加強風(fēng)險評估工作隊伍的建設(shè)，重視培訓(xùn)、建立風(fēng)險評估機構(gòu)管理制度 ? 在已有基礎(chǔ)上，整合資源，分類指導(dǎo)，組建不同等級的風(fēng)險評估機構(gòu)，分別承擔(dān)國家和地方基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)以及本行業(yè)信息系統(tǒng)風(fēng)險評估工作，形成風(fēng)險評估的骨干力量。 ?建設(shè)國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)風(fēng)險評估的基礎(chǔ)設(shè)施和基礎(chǔ)環(huán)境； ?落實開發(fā)相關(guān)技術(shù)和產(chǎn)品的攻關(guān)項目。 試點工作與標(biāo)準(zhǔn)驗證 ? 試點工作對去年國信辦組織制定的兩項試行標(biāo)準(zhǔn)進行了驗證，提出了修訂建議 ? 絕大多數(shù)試點單位大都參照了去年國信辦和國家安標(biāo)委組織編寫的 《 信息安全風(fēng)險評估指南 》 及《 信息安全風(fēng)險管理指南 》 。 ? Markov模型根據(jù)系統(tǒng)的初始配置狀態(tài)，估計從一個已知狀態(tài)轉(zhuǎn)移到下一邏輯狀態(tài)的概率，直到系統(tǒng)到達(dá)一個最終或完全失效的狀態(tài)。 ?HazOp分析方法的主要目標(biāo)是識別出存在的問題，而不是解決問題。故障樹分析采用樹形圖的形式，把系統(tǒng)的故障與組成系統(tǒng)的部件的故障有機地聯(lián)系在一起。 ? 信息安全管理中認(rèn)為風(fēng)險的分析與評估是個動態(tài)的過程，所以相應(yīng)得分析與評估方法、評估工具都要體現(xiàn)動態(tài)性。這種方法的優(yōu)越性在于能夠直接提供推薦的保護措施、結(jié)構(gòu)框架和實施計劃。 ? 定量分析方法利用兩個基本的元素： ? 威脅事件發(fā)生的概率和可能造成的損失。 ? （ 4）幫助決策制訂者綜合平衡風(fēng)險以選擇成本效益對策 定性評估和定量評估 ? 定性分析方法是最廣泛使用的風(fēng)險分析方法。 ? 技術(shù)評估和整體評估 技術(shù)評估和整體評估 ? 技術(shù)評估是指對機構(gòu)的技術(shù)基礎(chǔ)結(jié)構(gòu)和程序進行系統(tǒng)的、及時的檢查，包括對機構(gòu)內(nèi)部計算環(huán)境的安全性及其對內(nèi)外攻擊脆弱性的完整性攻擊。 信息安全風(fēng)險評估基本方法 ? 手動評估：在風(fēng)險評估工具出現(xiàn)前，安全評估工作都只能手工進行。 ? 風(fēng)險等級建議從 1到 5劃分為五級。在風(fēng)險評估實施前，應(yīng)： ? 確定風(fēng)險評估的目標(biāo)； ? 確定風(fēng)險評估的范圍； ? 組建適當(dāng)?shù)脑u估管理與實施團隊； ? 選擇與組織相適應(yīng)的具體的風(fēng)險判斷方法； ? 獲得最高管理者對風(fēng)險評估工作的支持。 脆弱性識別 ? 脆弱性定義 ? 脆弱性評估也稱為弱點評估，是風(fēng)險評估中重要的內(nèi)容。 ? 資產(chǎn)賦值 ? 資產(chǎn)賦值是對資產(chǎn)安全價值的估價 資產(chǎn)分類 ? 風(fēng)險評估中，資產(chǎn)大多屬于不同的信息系統(tǒng)，如OA系統(tǒng)、網(wǎng)管系統(tǒng)、業(yè)務(wù)生產(chǎn)系統(tǒng)等，而且對于提供多種業(yè)務(wù)的組織，其支持業(yè)務(wù)持續(xù)運行的系統(tǒng)數(shù)量可能更多。安全屬性達(dá)成程度的不同將使資產(chǎn)具有不同的價值，而資產(chǎn)面臨的威脅、存在的脆弱性、以及已采取的安全措施都將對資產(chǎn)安全屬性的達(dá)成程度產(chǎn)生影響。 ? 所有與安全性相關(guān)的活動都是信息安全風(fēng)險管理的組成部分。 ?為了確定這種可能性，需要對系統(tǒng)的威脅以及由此表現(xiàn)出來的脆弱性進行分析。健康安全是這樣，網(wǎng)絡(luò)信息安全亦然。思所以危則安，思所以亂則治，思所以亡則存。 （續(xù)） 第六，法規(guī)、標(biāo)準(zhǔn)與政策滯后于信息化發(fā)展 ? 相關(guān)法制工作滯后于信息化建設(shè)需求； ?首先，缺乏對信息化的全面立法支持，缺乏保障政府信息化的基本法律，如政府信息公開法、政府信息資源管理法。 ? 信息化的風(fēng)險被界定為信息化可能或者實際帶來的消極威脅。與前些年安全威脅大多來自病毒和蠕蟲等的大規(guī)模猛烈爆發(fā)不同，近年來各種各樣的 “ 諜件 ” 或惡意代碼開始在網(wǎng)上肆虐，其瘋狂程度已超過了傳統(tǒng)的病毒威脅。 ? 確保信息網(wǎng)絡(luò)安全也正在成為新世紀(jì)國家安全的重要基石和基本內(nèi)涵。 直接影響到政府管理效率和公眾形象 。 環(huán)境和背景 ? 近年來，我國經(jīng)濟社會持續(xù)快速發(fā)展發(fā)展，信息化步伐加快，在促進經(jīng)濟發(fā)展、調(diào)整經(jīng)濟結(jié)構(gòu)、改造傳統(tǒng)產(chǎn)業(yè)和提高人民生活質(zhì)量等方面發(fā)揮了不可替代的重要作用。 病毒等網(wǎng)絡(luò)欺詐行為導(dǎo)致全球經(jīng)濟損失驚人 ? 最近 Gartner組織公布了一項研究報告：每年由于病毒等網(wǎng)絡(luò)欺詐行為導(dǎo)致全球經(jīng)濟損失高達(dá) 160多億美元。 ? 倘若把病毒比作劇毒的鴆酒，那么 “ 間諜軟件 ” 就如同小說里的 “ 慢藥 ” ，毒性更強，中毒后還不易被察覺。 ? 風(fēng)險管理泛指評估風(fēng)險、確認(rèn)風(fēng)險、回應(yīng)風(fēng)險的過程。 ?其次，原有的一些法律已不能適應(yīng)信息化時代的要求，如著作權(quán)法、專利法、刑法等，亟待修訂。 ? 《 左傳 》 云：“居安思危，思則有備，有備無患，敢以此規(guī)。 風(fēng)險評估的理念 ?安全需要風(fēng)險管理，信息安全更需要風(fēng)險管理 ?風(fēng)險評估是當(dāng)前解決信息安全問題的重要手段 風(fēng)險評估是一種方法和依據(jù) ? 信息安全風(fēng)險是由于資產(chǎn)的重要性，人為或自然的威脅利用信息系統(tǒng)及其管理體系的脆弱性，導(dǎo)致安全事件一旦發(fā)生所造成的影響。 ?影響則是按照系統(tǒng)在單位任務(wù)實施中的重要程度來確定的?？梢哉f，信息安全風(fēng)險管理貫穿于系統(tǒng)生命周期的整個過程，即初始階段、開發(fā) /獲取階段、實施階段、運行 /維護階段。為此，有必要對組織中的資產(chǎn)進行識別。這時首先需要將信息系統(tǒng)及相關(guān)的資產(chǎn)進行恰當(dāng)?shù)姆诸?，以此為基礎(chǔ)進行下一步的風(fēng)險評估。弱點是資產(chǎn)本身存在的，它可以被威脅利用、引起資產(chǎn)或商業(yè)目標(biāo)的損害。 風(fēng)險評估的準(zhǔn)備 ?風(fēng)險評估的準(zhǔn)備過程是組織進行風(fēng)險評估的基礎(chǔ)，是整個風(fēng)險評估過程有效性的保證。等級越大，風(fēng)險越高。其勞動量巨大，容易出現(xiàn)疏漏，而且由于依據(jù)各自經(jīng)驗，有較大的局限性。 ? （ 1）評估整個計算基礎(chǔ)結(jié)構(gòu)。該方法通常只關(guān)注威脅事件所帶來的損失（ Loss），而忽略事件發(fā)生的概率（ Probability）。 ? 把這兩個元素簡單相乘的結(jié)果稱為 ALE（ Annual Loss Expectancy）或 EAC（ Estimated Annual Cost）。 ? 基于“良好實踐”的知識評估方法提出重用具有相似性機構(gòu)（主要從機構(gòu)的大小、范圍以及市場來判斷機構(gòu)是否相似）的“良好實踐”。 ? PDCA（ Plan Do Check Action）是當(dāng)前代表性的動態(tài)風(fēng)險管理過程， ? 計劃（ Plan）：定義信息安全管理體系得范圍，鑒別和評估業(yè)務(wù)風(fēng)險。 典型的風(fēng)險評估方法（ 2） ? 2 FMECA ? FMECA（故障模式影響及危害性分析）由兩部分工作構(gòu)成，即故障模式影響分析（ Failure Mode and Effects Analysis─FMEA ）和危害性分析（ Criticality Analysis— CA）。其生成結(jié)果是一個可能危害的列表。 Markov過程的一個基本假設(shè)是在每個狀態(tài)，系統(tǒng)的行為是不會被記憶的。 ? 試點單位大都結(jié)合自身的具體情況，選擇了相應(yīng)的評估方法和適當(dāng)?shù)陌踩刂拼胧┘肮芾砹鞒?，實踐經(jīng)驗證明各試點單位評估基于的基本原則和核心方法與試行標(biāo)準(zhǔn)指南大體吻合一致。通過研發(fā)自主關(guān)鍵技術(shù)和設(shè)備，滿足國家網(wǎng)絡(luò)基礎(chǔ)設(shè)施和重要信息系統(tǒng)的風(fēng)險評估需求，支持安全評估應(yīng)用 ?逐步建立符合國際慣例、達(dá)到國際先進水平的安全評估技術(shù)支撐體系 安全測試評估工具、平臺與環(huán)境 促進建立國家信息安全測試評估體系 —— 形成示范應(yīng)用 產(chǎn)品和系統(tǒng) 測試評估工具 產(chǎn)品和系統(tǒng) 測試評估支撐環(huán)境 建立先進的測試評估標(biāo)準(zhǔn)體系和開發(fā)環(huán)境 系統(tǒng)等級保護測試評估平臺 安全測試評估技術(shù)與系統(tǒng) 下一步建議 ? 認(rèn)真總結(jié)經(jīng)驗 ? 統(tǒng)一規(guī)劃、建立制度。 ? 風(fēng)險評估敏感性很強，如果引導(dǎo)不當(dāng)，管理不到位，有可能因風(fēng)險評估帶來新的安全隱患。建設(shè)國家基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)風(fēng)險評估的基礎(chǔ)設(shè)施和基礎(chǔ)環(huán)境；落實開發(fā)相關(guān)技術(shù)和產(chǎn)品的攻關(guān)項目。 ?? oaoioc mamimctaVVVVVVVVV titc?? aicAAA?? aicTTT? omtWWW??R典型方法之四：面向關(guān)鍵信息資產(chǎn)的 評估方法 （續(xù)） ? 威脅路徑分析法 ? 面向關(guān)鍵信息資產(chǎn)的層次分析法 ? 利用等級保護支撐平臺的評估方法 多級安全服務(wù)勢在必行 ?依據(jù)需求開展多層次的安全服務(wù) ?評估 ?設(shè)計 ?實施 ?維護 試點工作發(fā)現(xiàn)的問題 ? 技術(shù) ?評測工具， 缺乏統(tǒng)一的要求和資質(zhì)認(rèn)定 ?模擬環(huán)境或聯(lián)機旁路測試環(huán)境的不完備和缺乏 ?測試深度的不平衡 ? 管理 ? 標(biāo)準(zhǔn)規(guī)范