【文章內(nèi)容簡介】 導(dǎo)下，進(jìn)行了大量的安全產(chǎn)品的功能評測，并逐步向安全產(chǎn)品的性能評測、安全性評測提高。通過自己的工作實(shí)踐和社會需求的牽引，并在注意到美國提出的聯(lián)邦 IT系統(tǒng)安全認(rèn)證認(rèn)可指南等國外動態(tài)后，逐步認(rèn)識到，僅僅進(jìn)行安全產(chǎn)品的測評認(rèn)證不能解決信息系統(tǒng)的安全。因此，國家部門建立的測評認(rèn)證機(jī)構(gòu)開始把信息系統(tǒng)的安全評測納入自己的工作范疇，風(fēng)險(xiǎn)評估一般也作為系統(tǒng)安全評估的一個環(huán)節(jié)，納入其中。 開展了風(fēng)險(xiǎn)評估的國內(nèi)信息安全廠商： 國內(nèi)已經(jīng)有一批信息安全企業(yè)（如 30盛安、啟明星辰、聯(lián)想、科友、綠盟、思樂等）開始對客戶提供信息系統(tǒng)安全評估服務(wù)，并且承擔(dān)了一些行業(yè)單位的系統(tǒng)安全評估工作。他們一般參考國際標(biāo)準(zhǔn)（多數(shù)參考BS 779 ISO/IEC 1779 SSECMM、AS/NZS4360，有的僅參考信息安全產(chǎn)品評測標(biāo)準(zhǔn)，如 CC等）和我國的國家標(biāo)準(zhǔn) GB 17859。評估工具一般使用自己開發(fā)或免費(fèi)獲得的系統(tǒng)漏洞掃描軟件。評估過程一般是在簽定保密協(xié)議的前提下，閱讀被評單位的安全管理文檔和系統(tǒng)設(shè)計(jì)文檔、問卷調(diào)查、現(xiàn)場考察、掃描漏洞（個別企業(yè)會開展?jié)B透性測試）并最終給出評估報(bào)告和安全改進(jìn)建議。 外資企業(yè)在我國進(jìn)行的系統(tǒng)安全評估： 外資企業(yè)（如安氏中國、英國 BSI、 IBM、微軟等）已經(jīng)涉足我國的信息系統(tǒng)安全評估工作，并且圍繞著信息安全技術(shù)及安全評測，進(jìn)行了一些教育培訓(xùn)和系統(tǒng)評估的工作，甚至在很多關(guān)鍵行業(yè)（如銀行、電信行業(yè)），開展了較多的風(fēng)險(xiǎn)評估服務(wù)。從積極意義上看，他們帶來了國外風(fēng)險(xiǎn)評估的理念和標(biāo)準(zhǔn)，宣傳了風(fēng)險(xiǎn)評估的重要性和必要性，培養(yǎng)了一批進(jìn)行系統(tǒng)安全評估的技術(shù)人員（其中不少已經(jīng)回流到國內(nèi)安全企業(yè)，成為這些廠商進(jìn)行安全評估、安全產(chǎn)品設(shè)計(jì)開發(fā)、安全服務(wù)的業(yè)務(wù)骨干）。 信息化依賴程度高的行業(yè)和部門： 如海關(guān)總署、電力、金融、鐵路、通信、寶鋼、上海社會保障中心等行業(yè)和部門，信息化手段已經(jīng)成為其生產(chǎn)第一線上不可或缺的工作平臺。其中有的單位也發(fā)生過一些安全事件，對正常生產(chǎn)帶來了一些影響。在安全事件的驅(qū)動下，行業(yè)管理部門制定了針對本行業(yè)有關(guān)信息安全要求的文件。這些行業(yè)重視了生產(chǎn)系統(tǒng)和辦公系統(tǒng)以及互連網(wǎng)之間的隔離和安全防護(hù)，并針對性地進(jìn)行了一些風(fēng)險(xiǎn)評估工作。有的單位還建立了行業(yè)性的信息安全實(shí)驗(yàn)室，開展了針對本行業(yè)的信息安全需求和解決方案的研究與規(guī)劃實(shí)施。但多數(shù)單位還是請信息安全產(chǎn)業(yè)（甚至請外資企業(yè)）和本單位的人員結(jié)合開展風(fēng)險(xiǎn)評估工作。 信息化依賴程度低的行業(yè)和部門： 這類行業(yè)和部門，信息化程度不高，依賴程度不強(qiáng)。一般對信息安全的內(nèi)涵和外延、信息安全保障的技術(shù)和管理涉足不深，認(rèn)識模糊，風(fēng)險(xiǎn)概念不強(qiáng)，有的處于計(jì)劃進(jìn)行風(fēng)險(xiǎn)評估的狀態(tài)，有的還根本沒有提上議事日程。 仍然存在的問題： 1．信息系統(tǒng)安全風(fēng)險(xiǎn)評估的研究積累不足。 信息系統(tǒng)風(fēng)險(xiǎn)評估既是一個管理問題，也是一個技術(shù)問題?？茖W(xué)的風(fēng)險(xiǎn)評估需要理論、方法、技術(shù)和工具來支撐。我國的科學(xué)研究計(jì)劃中，有關(guān)信息系統(tǒng)安全風(fēng)險(xiǎn)評估的重點(diǎn)科研項(xiàng)目非常之少。對國際上的理論和技術(shù)發(fā)展的了解、跟蹤、分析也不夠系統(tǒng)、深入和廣泛。特別是隨著信息化應(yīng)用的日益拓展，風(fēng)險(xiǎn)已經(jīng)不僅僅來自于通用的信息技術(shù)平臺，而更進(jìn)一步與各個行業(yè)的應(yīng)用、服務(wù)、生產(chǎn)的特性密切相關(guān)。因此，僅靠目前的 IT企業(yè)，通用技術(shù)平臺的脆弱性分析，難以真正掌握和了解具體行業(yè)、部門的資產(chǎn)、威脅和風(fēng)險(xiǎn)。不但需要深化研究 IT技術(shù)平臺的共性化的風(fēng)險(xiǎn)，還需要推動對不同行業(yè)部門的個性化風(fēng)險(xiǎn)的深化研究，否則風(fēng)險(xiǎn)評估將會出現(xiàn)關(guān)注面的缺失。 2．缺乏信息系統(tǒng)安全風(fēng)險(xiǎn)評估的規(guī)范化標(biāo)準(zhǔn)。 計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)制度的貫徹中，提出了 “ 誰主管，誰負(fù)責(zé)。誰運(yùn)營，誰負(fù)責(zé) ” 的原則。但是，急需解決的是什么才是真正意義上的負(fù)責(zé)，怎樣才算負(fù)責(zé)。這需要針對風(fēng)險(xiǎn)評估的任務(wù)、責(zé)任、過程、程序制定規(guī)范的標(biāo)準(zhǔn)，才能統(tǒng)一要求，落到實(shí)處。否則，必然是風(fēng)險(xiǎn)評估工作的效果受限于各部門和個人的認(rèn)識，這些部門有什么認(rèn)識，有多大能力，風(fēng)險(xiǎn)評估就只能進(jìn)行到什么程度，參差不齊，難以達(dá)標(biāo)。 3．熟悉和有能力進(jìn)行風(fēng)險(xiǎn)評估的專業(yè)技術(shù)和管理人才匱乏。 調(diào)研中，各單位普遍反映，熟悉和有能力進(jìn)行系統(tǒng)安全建設(shè)甚至是風(fēng)險(xiǎn)評估的專業(yè)技術(shù)和管理人才嚴(yán)重匱乏。一些已開始進(jìn)行信息系統(tǒng)安全評估的國內(nèi)企業(yè)，也是骨干成員邊學(xué)習(xí)，邊培養(yǎng)一般業(yè)務(wù)人員，邊進(jìn)行評估項(xiàng)目。不少骨干來自在外資信息安全企業(yè)工作回流的人員。被評單位更是缺乏有能力進(jìn)行配合的人員。在很多單位中，安全技術(shù)管理部門的人員一般認(rèn)為聘請外單位進(jìn)行評估有 “ 外來的和尚好念經(jīng) ” 的效果，這樣的評估結(jié)論容易引起領(lǐng)導(dǎo)重視，認(rèn)為能夠促使領(lǐng)導(dǎo)下決心加大安全投入的力度。 4．信息系統(tǒng)安全風(fēng)險(xiǎn)評估的角色和責(zé)任混亂。 風(fēng)險(xiǎn)評估是責(zé)任性極強(qiáng)的嚴(yán)肅工作。評估中應(yīng)該有什么人參加？他們應(yīng)該扮演什么角色？承擔(dān)什么責(zé)任？這些責(zé)任通過什么過程和手續(xù)體現(xiàn)？這一系列的問題還沒有明確的答案。評估工作常出現(xiàn)評估方和被評單位兩不滿意的情況。有的被評單位在工作進(jìn)行到一定階段后，認(rèn)為評估結(jié)論不用請人來做也能想出（對信息安全管理體系的評估尤其如此），而且還花費(fèi)了很多資金。而評估方也感到委屈，認(rèn)為自己在評估工作中投入的成本已經(jīng)很大，評估的程度也很深，卻得不到對方認(rèn)同。此外，目前由信息安全企業(yè)實(shí)施的風(fēng)險(xiǎn)評估工作中，被評單位的實(shí)際配合往往不夠，限制頗多，使評估方難于了解該單位的業(yè)務(wù)特點(diǎn)和管理要求。評估結(jié)果有時(shí)缺乏嚴(yán)肅的認(rèn)可。改進(jìn)工作的建議和結(jié)論時(shí)遭束之高閣。很多單位的風(fēng)險(xiǎn)評估工作沒有與信息系統(tǒng)的生命周期和安全建設(shè)聯(lián)系起來，僅僅是為了評估而評估，由于在風(fēng)險(xiǎn)評估后沒有針對風(fēng)險(xiǎn)評估的結(jié)果采取對策，安全狀況最終并未取得實(shí)質(zhì)性的增強(qiáng)和改善，這些風(fēng)險(xiǎn)評估工作僅僅起到了應(yīng)付領(lǐng)導(dǎo)的作用。 5．風(fēng)險(xiǎn)評估存在風(fēng)險(xiǎn)。 由于與信息系統(tǒng)漏洞有關(guān)的信息、各單位信息安全保障的現(xiàn)狀和問題是涉及單位要害、利益、聲譽(yù)的事項(xiàng)，所以風(fēng)險(xiǎn)評估是敏感的工作。調(diào)研中一些單位反映了如下一些情況： ? 有的公司參加評估的人員，在離職赴國外學(xué)習(xí)中，將被評單位的問題和解決辦法作為自己的學(xué)業(yè)論文內(nèi)容公諸于世。 ? 有的公司把為某單位的評估項(xiàng)目作為自己的成功案例公諸于世。 ? 某單位在進(jìn)行風(fēng)險(xiǎn)評估前，雖然也存在網(wǎng)絡(luò)入侵現(xiàn)象，但是這些入侵僅處于試探和掃描狀況。在請外部單位進(jìn)行評估檢測之后，入侵者反而直奔系統(tǒng)要害而來了。 ? 總之，我國在信息安全的測評認(rèn)證方面開展了一些工作，積累了一些經(jīng)驗(yàn)，但是對信息系統(tǒng)的風(fēng)險(xiǎn)評估還處于起步階段，有待規(guī)范提高，并需納入等級保護(hù)的總體制度和機(jī)制中。已經(jīng)顯現(xiàn)的問題和可能發(fā)生的問題，也有待深入研究，提出解決辦法。 什么是信息安全風(fēng)險(xiǎn)評估 風(fēng)險(xiǎn)是個傳統(tǒng)概念 ? 天有不測風(fēng)云，人有旦夕禍福 IT成為成熟的生產(chǎn)力還要走很長的路 ? RSA2022會議的一個報(bào)告提出問題 ? 為什么是今天的軟件工程方法學(xué)有缺點(diǎn) ? 為什么軟件缺點(diǎn)對 cybersecurity 是一個關(guān)鍵的挑戰(zhàn) ? 我們?yōu)槭裁磻?yīng)該立刻修正我們寫軟件的方式 ? 我們?nèi)绾螠y度軟件質(zhì)量和軟件安全性 ? 我們必須對軟件開發(fā)者提供什么激勵 ? Complexity: Bugs per KLOC ? 5 B/KLOC in QAtested software ? QA testing includes fault injection and failure analysis ? 50 B/KLOC in featuretested (mercial) software ? Examples ? Solaris 7 = 400 KLOC 2K –20K bugs ? Linux = MLOC –75K bugs ? Windows NT = 35 MLOC 175K – bugs ? Windows XP = 40 MLOC 200K – bugs ? Boeing 777 = 7 MLOC 35K –350K bugs 數(shù)學(xué)支持攻擊者 ? 沖擊波的成功是合乎邏輯的 ? 考慮 30 K 節(jié)網(wǎng)絡(luò) (中型的公司 ) ? 每個節(jié)平均有 3,000個 exe 模塊 ? 每個模塊有關(guān) 100 KB ? 假設(shè)每行代碼 (LOC) =10byte代碼 ? 然后每個 100 KB exe 模塊 =10 KLOC ? 每個模塊有約 50( 到 500)bug ? 這樣每個主節(jié)點(diǎn)存在 150 K(到 M)bug在這樣的網(wǎng)絡(luò)中 ? 150 Kbug*30K節(jié)點(diǎn) = B bug ? 假定 10% 的 bug能造成安全失敗 ? 那么有 45 M 個可被遠(yuǎn)程利用的 bug 信息化的發(fā)展在數(shù)字世界凸顯了風(fēng)險(xiǎn) 面對對風(fēng)險(xiǎn)存在不同認(rèn)識 ? 有的同志把信息安全目標(biāo)定位于 : ? 系統(tǒng)永不停機(jī) ? 數(shù)據(jù)永不丟失 ? 網(wǎng)絡(luò)永不癱瘓 ? 信息永不泄密 ? 有的同志認(rèn)為信息安全無能為力 ? 美國 FBI對付不了黑客 ? 信息安全專家對付不了中學(xué)生 ? 有的同志覺得信息安全問題越來越說不清楚 ? 信息系統(tǒng)是一個智能化、人機(jī)交互、非線性、時(shí)變、復(fù)雜、巨系統(tǒng) 出路何在？ ? 科學(xué)的發(fā)展觀 ? 人類對真理的認(rèn)識是一個不斷的求極限的過程 ? 具體問題具