【正文】 風(fēng)險(xiǎn)評(píng)估既是一個(gè)管理過(guò)程，也是一個(gè)技術(shù)性過(guò)程，需要制訂科學(xué)、實(shí)用、有效的工作流程和技術(shù)標(biāo)準(zhǔn)。各信息系統(tǒng)的主管部門(mén)和運(yùn)營(yíng)單位對(duì)此負(fù)有組織領(lǐng)導(dǎo)的責(zé)任。在日常生活和工作中，風(fēng)險(xiǎn)評(píng)估也是隨處可見(jiàn)，為了分析確定系統(tǒng)風(fēng)險(xiǎn)及風(fēng)險(xiǎn)大小，進(jìn)而決定采取什么措施去減少、避免風(fēng)險(xiǎn)，把殘余風(fēng)險(xiǎn)控制在可以容忍的范圍內(nèi)。 2003年3月公布“保護(hù)網(wǎng)絡(luò)空間國(guó)家戰(zhàn)略”,2001和2002財(cái)年的聯(lián)邦政府信息安全管理報(bào)告，將最重要的24個(gè)部門(mén)的信息安全的風(fēng)險(xiǎn)評(píng)估狀況，作為信息安全考核的6個(gè)指標(biāo)之一，放在第一的位置。另外，在測(cè)試信息系統(tǒng)時(shí)，DISA有65％的攻擊行為取得了成功。,DISA也維護(hù)了官方報(bào)道的有關(guān)攻擊行為的數(shù)據(jù)。他對(duì)系統(tǒng)進(jìn)行修改，從而獲得了更高的訪問(wèn)權(quán)限。,第一部分：典型個(gè)案,羅馬實(shí)驗(yàn)室攻擊案例,攻擊者控制羅馬實(shí)驗(yàn)室的支持信息系統(tǒng)許多天，并且建立了同外部Internet的連接。 黑客在進(jìn)攻計(jì)算機(jī)系統(tǒng)時(shí)，通常使用多種技術(shù)或工具并利用系統(tǒng)的漏洞在網(wǎng)絡(luò)上進(jìn)行。,2. 攻擊行為的花費(fèi)非常小，但是給國(guó)防系統(tǒng)帶來(lái)的威脅卻非常大。結(jié)果，越來(lái)越多的恐怖分子和敵對(duì)分子威脅國(guó)家的安全。 信息安全是一個(gè)動(dòng)態(tài)的復(fù)雜過(guò)程，它貫穿于信息資產(chǎn)和信息系統(tǒng)的整個(gè)生命周期。所有信息安全建設(shè)都應(yīng)該是基于信息安全風(fēng)險(xiǎn)評(píng)估，只有在正確地、全面地理解風(fēng)險(xiǎn)后，才能在控制風(fēng)險(xiǎn)、減少風(fēng)險(xiǎn)之間作出正確的判斷，決定調(diào)動(dòng)多少資源、以什么的代價(jià)、采取什么樣的應(yīng)對(duì)措施去化解、控制風(fēng)險(xiǎn)。管理能力，保護(hù)能力，事件發(fā)現(xiàn)和處置能力等諸多信息安全關(guān)鍵能力的提高，往往需要在所管轄的范圍內(nèi)，根據(jù)自身的實(shí)際情況，進(jìn)行自我評(píng)估，層層落實(shí)責(zé)任。五是風(fēng)險(xiǎn)評(píng)估帶來(lái)的新風(fēng)險(xiǎn)的有效控制還沒(méi)有得到很好的解決。一是風(fēng)險(xiǎn)評(píng)估的認(rèn)識(shí)不高，經(jīng)驗(yàn)不足。,借鑒國(guó)外經(jīng)驗(yàn)問(wèn)題：重視風(fēng)險(xiǎn)評(píng)估是信息化比較發(fā)達(dá)國(guó)家的基本經(jīng)驗(yàn) 由于信息技術(shù)的飛速發(fā)展，關(guān)系國(guó)計(jì)民生的關(guān)鍵信息基礎(chǔ)設(shè)施的規(guī)模越來(lái)越大，同時(shí)也極大地增加了復(fù)雜程度，發(fā)達(dá)國(guó)家越來(lái)越重視信息安全風(fēng)險(xiǎn)評(píng)估工作，提倡風(fēng)險(xiǎn)評(píng)估制度化。 因?yàn)槿魏涡畔⑾到y(tǒng)都會(huì)有安全風(fēng)險(xiǎn)，所以，人們追求的所謂安全的信息系統(tǒng)，實(shí)際是指信息系統(tǒng)在實(shí)施了風(fēng)險(xiǎn)評(píng)估并做出風(fēng)險(xiǎn)控制后，仍然存在的殘余風(fēng)險(xiǎn)可被接受的信息系統(tǒng)。許多國(guó)防策略都是在計(jì)算機(jī)系統(tǒng)隔離的時(shí)代制定的，已經(jīng)不適應(yīng)當(dāng)前的形勢(shì)。,二. 重要發(fā)現(xiàn),計(jì)算機(jī)攻擊行為正在迅速增長(zhǎng) 為了保護(hù)信息系統(tǒng)，國(guó)防部不得不保護(hù)巨大的信息基礎(chǔ)設(shè)施：210萬(wàn)臺(tái)計(jì)算機(jī)、10，000個(gè)局域網(wǎng)、100多個(gè)廣域網(wǎng)。從1992年來(lái)，DISA發(fā)動(dòng)了38,000次攻擊活動(dòng)，用以檢測(cè)網(wǎng)絡(luò)的受保護(hù)情況。比如：羅馬實(shí)驗(yàn)室用了3年的時(shí)間，花費(fèi)了400萬(wàn)美圓進(jìn)行的空軍指令性研究項(xiàng)目，已經(jīng)無(wú)法實(shí)施。 從計(jì)算機(jī)系統(tǒng)中丟失的及其有價(jià)值的數(shù)據(jù)的損失是無(wú)法估量的。為了進(jìn)行評(píng)估，DISA的人員從互聯(lián)網(wǎng)上發(fā)動(dòng)攻擊。目前，在風(fēng)險(xiǎn)評(píng)估、保護(hù)系統(tǒng)、緊急響應(yīng)、評(píng)估損害程度等方面還沒(méi)有統(tǒng)一的策略。目前的許多對(duì)計(jì)算機(jī)攻擊行為的防御策略已經(jīng)過(guò)時(shí)或沒(méi)有效果。信息安全建設(shè)的宗旨之一，就是在綜合考慮成本與效益的前提下，通過(guò)安全措施來(lái)控制風(fēng)險(xiǎn)，使殘余風(fēng)險(xiǎn)降低到可接受的程度。堅(jiān)持從實(shí)際出發(fā)，堅(jiān)持需