【正文】 域、跨行業(yè)、跨部門的綜合性安全問題。 ?信息化的風險管理，其中信息安全風險和保障網(wǎng)絡(luò)空間的安全已經(jīng)成為關(guān)系信息化能否健康發(fā)展的重大問題。 （續(xù)） 提 綱 一、信息安全形勢需要評估 二、信息化風險及風險管理研究 三、信息安全風險評估技術(shù)導引 四、信息安全風險評估試點經(jīng)驗寶貴 克服安全“亞健康”的必由之路 ? 醫(yī)學專家告訴我們： ?人的軀體有健康、亞健康和患病等多種狀態(tài) ?但成年人多數(shù)處于亞健康狀態(tài) ?如何確認和發(fā)現(xiàn)問題，必須體檢 ? 信息系統(tǒng)也一樣，在安全狀態(tài)方面，常常處于“亞健康”甚至患病狀態(tài)，因此也要“體檢” — 這就是風險評估 居安思危，思則有備 ? 溫總理： 清醒就是要認識到我們已經(jīng)取得的成績，只是在現(xiàn)代化的進程邁出了第一步，今后的路還更長，更艱苦。其結(jié)果是殘留風險是否達到可接受水平的一個明確界定，或者是一個是否應(yīng)當實施額外的安全控制以進一步降低風險的結(jié)論。機密性、完整性和可用性是評價資產(chǎn)的三個安全屬性。 ? 威脅分類 ? 威脅賦值： ?評估確定威脅發(fā)生的可能性是威脅評估階段的重要工作，評估者應(yīng)根據(jù)經(jīng)驗和（或）有關(guān)的統(tǒng)計數(shù)據(jù)來判斷威脅發(fā)生的頻率或者發(fā)生的概率。 ? 風險計算的過程是： ?對信息資產(chǎn)進行識別，并對資產(chǎn)賦值； ?對威脅進行分析，并對威脅發(fā)生的可能性賦值； ?識別信息資產(chǎn)的脆弱性，并對弱點的嚴重程度賦值； ?根據(jù)威脅和脆弱性計算安全事件發(fā)生的可能性； ?結(jié)合信息資產(chǎn)的重要性和在此資產(chǎn)上發(fā)生安全事件的可能性計算信息資產(chǎn)的風險值。A System Security公司推出了COBRA工具，用來進行信息安全風險評估。例如，設(shè) “ 高 ” 的值為 3， “ 中 ” 的值為 2， “ 低 ” 的值為 1。 系統(tǒng)安全風險動態(tài)分析與評估方法 ? 信息安全管理是指導和控制機構(gòu)的關(guān)于信息安全風險的相互協(xié)調(diào)的活動，關(guān)于信息安全風險的指導和控制活動通常包括制定信息安全方針、風險評估、控制目標與方式選擇、風險控制、安全保證等。專家們通過腦風暴會議方式，確定系統(tǒng)所有可能偏離正常設(shè)計的異常運行問題，并分析這種偏離正常運行的原因、可能性和可能造成的后果及后果的嚴重性等。 ? 范圍 ? 信息化程度較高的行業(yè)部門的信息系統(tǒng)，如金融、稅務(wù)、電力； ? 建設(shè)發(fā)展中的電子政務(wù)重要信息系統(tǒng)； ? 部分涉密信息系統(tǒng)； ? 信息化程度不同的地方單位。建設(shè)風險評估技術(shù)支撐體系。制定國家基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的風險評估總體規(guī)劃以及“十一五”期間的工作計劃。 Markov過程完全由其轉(zhuǎn)移概率矩陣所確定。 FMECA（ Failure Mode Effects and Criticality Analysis）是一種可靠性、安全性、維修性、保障性分析與設(shè)計技術(shù)，用來分析、審查系統(tǒng)及其設(shè)備的潛在故障模式，確定其對系統(tǒng)和設(shè)備工作能力的影響，從而發(fā)現(xiàn)設(shè)計中潛在的薄弱環(huán)節(jié)，提出可能采取的預(yù)防改進措施，以消除或減少故障發(fā)生的可能性，提高系統(tǒng)和設(shè)備的可靠性、安全性、維修性、保障性水平。 ? 基于知識的風險評估方法充分利用多年來開發(fā)的保護措施和安全實踐，依照機構(gòu)的相似性程度進行快速的安全實施和包裝，以減少機構(gòu)的安全風險。 ? 多數(shù)定性風險分析方法依據(jù)機構(gòu)面臨的威脅、脆弱點以及控制措施等元素來決定安全風險等級。 ? 工具輔助評估 ?工具的出現(xiàn)在一定程度上解決了手動評估的局限性。 ?確定風險評估的目標 ?確定風險評估的范圍 ?建立適當?shù)慕M織結(jié)構(gòu) ?建立系統(tǒng)性的風險評估方法 ?獲得最高管理者對風險評估策劃的批準 風險評估依據(jù) ? 政策法規(guī)：中辦發(fā)［ 2022］ 27號文件和國信辦文件 ? 國際標準：如 BS77991 《 信息安全管理實施細則 》 、 BS77992 《 信息安全管理體系規(guī)范 》 等 ? 國家標準或正在審批的討論稿，如 GB 178591999 計算機信息系統(tǒng)安全保護等級劃分準則 》 和 《 信息安全風險評估指南 》 等 ? 行業(yè)通用標準等其它標準 風險評估原則 ? 可控性原則 ?（ 1）人員可控性 ?（ 2）工具可控性 ?（ 3）項目過程可控性 ? 完整性原則 ?嚴格按照委托單位的評估要求和指定的范圍進行全面的評估服務(wù)。在實際工作中，具體的資產(chǎn)分類方法可以根據(jù)具體的評估對象和要求，由評估者來靈活把握。 美國 NIST提出的信息系統(tǒng)安全框架 風險評估的過程 安全措施 業(yè)務(wù)戰(zhàn)略 脆弱性 安全需求 威脅 風險 殘余風險 安全事件 依賴 具有 被滿足 利用 暴露 增加 導出 演變 未控制 可能誘發(fā) 殘留 成本 資產(chǎn) 資產(chǎn)價值 風險要素關(guān)系示意圖 信息系統(tǒng)安全評估體系的構(gòu)成 風險分析的基本要素 ?風險分析中要涉及資產(chǎn)、威脅、脆弱性等基本要素。信息安全風險評估是指依據(jù)有關(guān)信息安全技術(shù)與管理標準，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的機密性、完整性和可用性等安全屬性進行評價的過程。 ?再次，缺乏對信息安全風險的管理規(guī)范和技術(shù)標準。由于利益驅(qū)動， “ 間諜軟件 ” 大都采用巧妙的形式潛伏于用戶的個人電腦中，它們更難被被發(fā)現(xiàn)，卻能竊取用戶寶貴個人資料，以非法獲利，這就是 “ 網(wǎng)上欺詐 ” 。一方面社會經(jīng)濟對信息化的依賴程度越來越高，同時逐步建設(shè)和積累了一批寶貴的信息資產(chǎn)。 ? 它不僅是一個“不對稱”的高技術(shù)對抗問題，而且是一個直接影響國計民生、關(guān)乎國家安全與政權(quán)穩(wěn)定的現(xiàn)實問題。 信息化風險的定義 ? 風險指行動或者事件的結(jié)果的不確定性（ uncertainty of oute）。形勢稍好，尤需兢慎。 ? 信息安全風險定義為有害事件發(fā)生的可能性和該事件可能對組織的使命所產(chǎn)生影響的函數(shù)。信息安全風險評估中資產(chǎn)的價值不僅僅以資產(chǎn)的賬面價格來衡量，而是由資產(chǎn)在這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。其中，威脅發(fā)生的可能性受下列因素影響： ? 資產(chǎn)的吸引力； ? 資產(chǎn)轉(zhuǎn)化成報酬的容易程度； ? 威脅的技術(shù)力量； ? 脆弱性被利用的難易程度。 風險結(jié)果的判定 ? 風險等級的劃分 ? 確定風險數(shù)值的大小不是機構(gòu)風險評估的最終目的，重要的是明確不同威脅對資產(chǎn)所產(chǎn)生的風險的相對關(guān)系，即要確定不同風險的優(yōu)先次序或等級，對于其中風險級別高的資產(chǎn)應(yīng)被優(yōu)先分配資源進行保護。它可以看作一個基于專家系統(tǒng)和擴展知識庫的問卷系統(tǒng)，對所有的威脅和脆弱點評估其相對重要性，并且給出合適的建議和解決方案，對每個風險類別提供風險分析報告和風險值。但是要注意的是，這里考慮的只是風險的相對等級，并不能說明該風險到底有多大。信息安全管理實際上是風險管理的過程，管理的基礎(chǔ)是風險的識別和評估。 ?HazOp是一個定性的標準危害分析技術(shù)，可用于一個新的系統(tǒng)或已有系統(tǒng)在更改后的初步安全風險評估。 ? 專家組提出建議，協(xié)助國信辦確定試點入選單位。建設(shè)國家基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)風險評估的基礎(chǔ)設(shè)施和基礎(chǔ)環(huán)境；落實開發(fā)相關(guān)技術(shù)和產(chǎn)品的攻關(guān)項目。通過研發(fā)自主關(guān)鍵技術(shù)和設(shè)備，滿足國家網(wǎng)絡(luò)基礎(chǔ)設(shè)施和重要信息系統(tǒng)的風險評估需求，支持安全評估應(yīng)用 ?逐步建立符合國際慣例、達到國際先進水平的安全評估技術(shù)支撐體系 安全測試評估工具、平臺與環(huán)境 促進建立國家信息安全測試評估體系 —— 形成示范應(yīng)用 產(chǎn)品和系統(tǒng) 測試評估工具 產(chǎn)品和系統(tǒng) 測試評估支撐環(huán)境 建立先進的測試評估標準體系和開發(fā)環(huán)境 系統(tǒng)等級保護測試評估平臺 安全測試評估技術(shù)與系統(tǒng) 下一步建議 ? 認真總結(jié)經(jīng)驗 ? 統(tǒng)一規(guī)劃、建立制度。 Markov過程的一個基本假設(shè)是在每個狀態(tài)，系統(tǒng)的行為是不會被記憶的。 典型的風險評估方法（ 2） ? 2 FMECA ? FMECA（故障模式影響及危害性分析）由兩部分工作構(gòu)成，即故障模式影響分析（ Failure Mode and Effects Analysis─FMEA ）和危害性分析（ Criticality Analysis— CA）。 ? 基于“良好實踐”的知識評估方法提出重用具有相似性機構(gòu)（主要從機構(gòu)的大小、范圍以及市場來判