【文章內(nèi)容簡(jiǎn)介】 導(dǎo)下，進(jìn)行了大量的安全產(chǎn)品的功能評(píng)測(cè)，并逐步向安全產(chǎn)品的性能評(píng)測(cè)、安全性評(píng)測(cè)提高。通過(guò)自己的工作實(shí)踐和社會(huì)需求的牽引，并在注意到美國(guó)提出的聯(lián)邦 IT系統(tǒng)安全認(rèn)證認(rèn)可指南等國(guó)外動(dòng)態(tài)后，逐步認(rèn)識(shí)到，僅僅進(jìn)行安全產(chǎn)品的測(cè)評(píng)認(rèn)證不能解決信息系統(tǒng)的安全。因此，國(guó)家部門(mén)建立的測(cè)評(píng)認(rèn)證機(jī)構(gòu)開(kāi)始把信息系統(tǒng)的安全評(píng)測(cè)納入自己的工作范疇，風(fēng)險(xiǎn)評(píng)估一般也作為系統(tǒng)安全評(píng)估的一個(gè)環(huán)節(jié)，納入其中。 開(kāi)展了風(fēng)險(xiǎn)評(píng)估的國(guó)內(nèi)信息安全廠商： 國(guó)內(nèi)已經(jīng)有一批信息安全企業(yè)（如 30盛安、啟明星辰、聯(lián)想、科友、綠盟、思樂(lè)等）開(kāi)始對(duì)客戶提供信息系統(tǒng)安全評(píng)估服務(wù)，并且承擔(dān)了一些行業(yè)單位的系統(tǒng)安全評(píng)估工作。他們一般參考國(guó)際標(biāo)準(zhǔn)（多數(shù)參考BS 779 ISO/IEC 1779 SSECMM、AS/NZS4360，有的僅參考信息安全產(chǎn)品評(píng)測(cè)標(biāo)準(zhǔn)，如 CC等）和我國(guó)的國(guó)家標(biāo)準(zhǔn) GB 17859。評(píng)估工具一般使用自己開(kāi)發(fā)或免費(fèi)獲得的系統(tǒng)漏洞掃描軟件。評(píng)估過(guò)程一般是在簽定保密協(xié)議的前提下，閱讀被評(píng)單位的安全管理文檔和系統(tǒng)設(shè)計(jì)文檔、問(wèn)卷調(diào)查、現(xiàn)場(chǎng)考察、掃描漏洞（個(gè)別企業(yè)會(huì)開(kāi)展?jié)B透性測(cè)試）并最終給出評(píng)估報(bào)告和安全改進(jìn)建議。 外資企業(yè)在我國(guó)進(jìn)行的系統(tǒng)安全評(píng)估： 外資企業(yè)（如安氏中國(guó)、英國(guó) BSI、 IBM、微軟等）已經(jīng)涉足我國(guó)的信息系統(tǒng)安全評(píng)估工作，并且圍繞著信息安全技術(shù)及安全評(píng)測(cè)，進(jìn)行了一些教育培訓(xùn)和系統(tǒng)評(píng)估的工作，甚至在很多關(guān)鍵行業(yè)（如銀行、電信行業(yè)），開(kāi)展了較多的風(fēng)險(xiǎn)評(píng)估服務(wù)。從積極意義上看，他們帶來(lái)了國(guó)外風(fēng)險(xiǎn)評(píng)估的理念和標(biāo)準(zhǔn)，宣傳了風(fēng)險(xiǎn)評(píng)估的重要性和必要性，培養(yǎng)了一批進(jìn)行系統(tǒng)安全評(píng)估的技術(shù)人員（其中不少已經(jīng)回流到國(guó)內(nèi)安全企業(yè)，成為這些廠商進(jìn)行安全評(píng)估、安全產(chǎn)品設(shè)計(jì)開(kāi)發(fā)、安全服務(wù)的業(yè)務(wù)骨干）。 信息化依賴程度高的行業(yè)和部門(mén)： 如海關(guān)總署、電力、金融、鐵路、通信、寶鋼、上海社會(huì)保障中心等行業(yè)和部門(mén)，信息化手段已經(jīng)成為其生產(chǎn)第一線上不可或缺的工作平臺(tái)。其中有的單位也發(fā)生過(guò)一些安全事件，對(duì)正常生產(chǎn)帶來(lái)了一些影響。在安全事件的驅(qū)動(dòng)下，行業(yè)管理部門(mén)制定了針對(duì)本行業(yè)有關(guān)信息安全要求的文件。這些行業(yè)重視了生產(chǎn)系統(tǒng)和辦公系統(tǒng)以及互連網(wǎng)之間的隔離和安全防護(hù)，并針對(duì)性地進(jìn)行了一些風(fēng)險(xiǎn)評(píng)估工作。有的單位還建立了行業(yè)性的信息安全實(shí)驗(yàn)室，開(kāi)展了針對(duì)本行業(yè)的信息安全需求和解決方案的研究與規(guī)劃實(shí)施。但多數(shù)單位還是請(qǐng)信息安全產(chǎn)業(yè)（甚至請(qǐng)外資企業(yè)）和本單位的人員結(jié)合開(kāi)展風(fēng)險(xiǎn)評(píng)估工作。 信息化依賴程度低的行業(yè)和部門(mén)： 這類(lèi)行業(yè)和部門(mén)，信息化程度不高，依賴程度不強(qiáng)。一般對(duì)信息安全的內(nèi)涵和外延、信息安全保障的技術(shù)和管理涉足不深，認(rèn)識(shí)模糊，風(fēng)險(xiǎn)概念不強(qiáng)，有的處于計(jì)劃進(jìn)行風(fēng)險(xiǎn)評(píng)估的狀態(tài)，有的還根本沒(méi)有提上議事日程。 仍然存在的問(wèn)題： 1．信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的研究積累不足。 信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估既是一個(gè)管理問(wèn)題，也是一個(gè)技術(shù)問(wèn)題?？茖W(xué)的風(fēng)險(xiǎn)評(píng)估需要理論、方法、技術(shù)和工具來(lái)支撐。我國(guó)的科學(xué)研究計(jì)劃中，有關(guān)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的重點(diǎn)科研項(xiàng)目非常之少。對(duì)國(guó)際上的理論和技術(shù)發(fā)展的了解、跟蹤、分析也不夠系統(tǒng)、深入和廣泛。特別是隨著信息化應(yīng)用的日益拓展，風(fēng)險(xiǎn)已經(jīng)不僅僅來(lái)自于通用的信息技術(shù)平臺(tái)，而更進(jìn)一步與各個(gè)行業(yè)的應(yīng)用、服務(wù)、生產(chǎn)的特性密切相關(guān)。因此，僅靠目前的 IT企業(yè)，通用技術(shù)平臺(tái)的脆弱性分析，難以真正掌握和了解具體行業(yè)、部門(mén)的資產(chǎn)、威脅和風(fēng)險(xiǎn)。不但需要深化研究 IT技術(shù)平臺(tái)的共性化的風(fēng)險(xiǎn)，還需要推動(dòng)對(duì)不同行業(yè)部門(mén)的個(gè)性化風(fēng)險(xiǎn)的深化研究，否則風(fēng)險(xiǎn)評(píng)估將會(huì)出現(xiàn)關(guān)注面的缺失。 2．缺乏信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的規(guī)范化標(biāo)準(zhǔn)。 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)制度的貫徹中，提出了 “ 誰(shuí)主管，誰(shuí)負(fù)責(zé)。誰(shuí)運(yùn)營(yíng)，誰(shuí)負(fù)責(zé) ” 的原則。但是，急需解決的是什么才是真正意義上的負(fù)責(zé)，怎樣才算負(fù)責(zé)。這需要針對(duì)風(fēng)險(xiǎn)評(píng)估的任務(wù)、責(zé)任、過(guò)程、程序制定規(guī)范的標(biāo)準(zhǔn)，才能統(tǒng)一要求，落到實(shí)處。否則，必然是風(fēng)險(xiǎn)評(píng)估工作的效果受限于各部門(mén)和個(gè)人的認(rèn)識(shí)，這些部門(mén)有什么認(rèn)識(shí)，有多大能力，風(fēng)險(xiǎn)評(píng)估就只能進(jìn)行到什么程度，參差不齊，難以達(dá)標(biāo)。 3．熟悉和有能力進(jìn)行風(fēng)險(xiǎn)評(píng)估的專(zhuān)業(yè)技術(shù)和管理人才匱乏。 調(diào)研中，各單位普遍反映，熟悉和有能力進(jìn)行系統(tǒng)安全建設(shè)甚至是風(fēng)險(xiǎn)評(píng)估的專(zhuān)業(yè)技術(shù)和管理人才嚴(yán)重匱乏。一些已開(kāi)始進(jìn)行信息系統(tǒng)安全評(píng)估的國(guó)內(nèi)企業(yè)，也是骨干成員邊學(xué)習(xí)，邊培養(yǎng)一般業(yè)務(wù)人員，邊進(jìn)行評(píng)估項(xiàng)目。不少骨干來(lái)自在外資信息安全企業(yè)工作回流的人員。被評(píng)單位更是缺乏有能力進(jìn)行配合的人員。在很多單位中，安全技術(shù)管理部門(mén)的人員一般認(rèn)為聘請(qǐng)外單位進(jìn)行評(píng)估有 “ 外來(lái)的和尚好念經(jīng) ” 的效果，這樣的評(píng)估結(jié)論容易引起領(lǐng)導(dǎo)重視，認(rèn)為能夠促使領(lǐng)導(dǎo)下決心加大安全投入的力度。 4．信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的角色和責(zé)任混亂。 風(fēng)險(xiǎn)評(píng)估是責(zé)任性極強(qiáng)的嚴(yán)肅工作。評(píng)估中應(yīng)該有什么人參加？他們應(yīng)該扮演什么角色？承擔(dān)什么責(zé)任？這些責(zé)任通過(guò)什么過(guò)程和手續(xù)體現(xiàn)？這一系列的問(wèn)題還沒(méi)有明確的答案。評(píng)估工作常出現(xiàn)評(píng)估方和被評(píng)單位兩不滿意的情況。有的被評(píng)單位在工作進(jìn)行到一定階段后，認(rèn)為評(píng)估結(jié)論不用請(qǐng)人來(lái)做也能想出（對(duì)信息安全管理體系的評(píng)估尤其如此），而且還花費(fèi)了很多資金。而評(píng)估方也感到委屈，認(rèn)為自己在評(píng)估工作中投入的成本已經(jīng)很大，評(píng)估的程度也很深，卻得不到對(duì)方認(rèn)同。此外，目前由信息安全企業(yè)實(shí)施的風(fēng)險(xiǎn)評(píng)估工作中，被評(píng)單位的實(shí)際配合往往不夠，限制頗多，使評(píng)估方難于了解該單位的業(yè)務(wù)特點(diǎn)和管理要求。評(píng)估結(jié)果有時(shí)缺乏嚴(yán)肅的認(rèn)可。改進(jìn)工作的建議和結(jié)論時(shí)遭束之高閣。很多單位的風(fēng)險(xiǎn)評(píng)估工作沒(méi)有與信息系統(tǒng)的生命周期和安全建設(shè)聯(lián)系起來(lái)，僅僅是為了評(píng)估而評(píng)估，由于在風(fēng)險(xiǎn)評(píng)估后沒(méi)有針對(duì)風(fēng)險(xiǎn)評(píng)估的結(jié)果采取對(duì)策，安全狀況最終并未取得實(shí)質(zhì)性的增強(qiáng)和改善，這些風(fēng)險(xiǎn)評(píng)估工作僅僅起到了應(yīng)付領(lǐng)導(dǎo)的作用。 5．風(fēng)險(xiǎn)評(píng)估存在風(fēng)險(xiǎn)。 由于與信息系統(tǒng)漏洞有關(guān)的信息、各單位信息安全保障的現(xiàn)狀和問(wèn)題是涉及單位要害、利益、聲譽(yù)的事項(xiàng)，所以風(fēng)險(xiǎn)評(píng)估是敏感的工作。調(diào)研中一些單位反映了如下一些情況： ? 有的公司參加評(píng)估的人員，在離職赴國(guó)外學(xué)習(xí)中，將被評(píng)單位的問(wèn)題和解決辦法作為自己的學(xué)業(yè)論文內(nèi)容公諸于世。 ? 有的公司把為某單位的評(píng)估項(xiàng)目作為自己的成功案例公諸于世。 ? 某單位在進(jìn)行風(fēng)險(xiǎn)評(píng)估前，雖然也存在網(wǎng)絡(luò)入侵現(xiàn)象，但是這些入侵僅處于試探和掃描狀況。在請(qǐng)外部單位進(jìn)行評(píng)估檢測(cè)之后，入侵者反而直奔系統(tǒng)要害而來(lái)了。 ? 總之，我國(guó)在信息安全的測(cè)評(píng)認(rèn)證方面開(kāi)展了一些工作，積累了一些經(jīng)驗(yàn)，但是對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估還處于起步階段，有待規(guī)范提高，并需納入等級(jí)保護(hù)的總體制度和機(jī)制中。已經(jīng)顯現(xiàn)的問(wèn)題和可能發(fā)生的問(wèn)題，也有待深入研究，提出解決辦法。 什么是信息安全風(fēng)險(xiǎn)評(píng)估 風(fēng)險(xiǎn)是個(gè)傳統(tǒng)概念 ? 天有不測(cè)風(fēng)云，人有旦夕禍福 IT成為成熟的生產(chǎn)力還要走很長(zhǎng)的路 ? RSA2022會(huì)議的一個(gè)報(bào)告提出問(wèn)題 ? 為什么是今天的軟件工程方法學(xué)有缺點(diǎn) ? 為什么軟件缺點(diǎn)對(duì) cybersecurity 是一個(gè)關(guān)鍵的挑戰(zhàn) ? 我們?yōu)槭裁磻?yīng)該立刻修正我們寫(xiě)軟件的方式 ? 我們?nèi)绾螠y(cè)度軟件質(zhì)量和軟件安全性 ? 我們必須對(duì)軟件開(kāi)發(fā)者提供什么激勵(lì) ? Complexity: Bugs per KLOC ? 5 B/KLOC in QAtested software ? QA testing includes fault injection and failure analysis ? 50 B/KLOC in featuretested (mercial) software ? Examples ? Solaris 7 = 400 KLOC 2K –20K bugs ? Linux = MLOC –75K bugs ? Windows NT = 35 MLOC 175K – bugs ? Windows XP = 40 MLOC 200K – bugs ? Boeing 777 = 7 MLOC 35K –350K bugs 數(shù)學(xué)支持攻擊者 ? 沖擊波的成功是合乎邏輯的 ? 考慮 30 K 節(jié)網(wǎng)絡(luò) (中型的公司 ) ? 每個(gè)節(jié)平均有 3,000個(gè) exe 模塊 ? 每個(gè)模塊有關(guān) 100 KB ? 假設(shè)每行代碼 (LOC) =10byte代碼 ? 然后每個(gè) 100 KB exe 模塊 =10 KLOC ? 每個(gè)模塊有約 50( 到 500)bug ? 這樣每個(gè)主節(jié)點(diǎn)存在 150 K(到 M)bug在這樣的網(wǎng)絡(luò)中 ? 150 Kbug*30K節(jié)點(diǎn) = B bug ? 假定 10% 的 bug能造成安全失敗 ? 那么有 45 M 個(gè)可被遠(yuǎn)程利用的 bug 信息化的發(fā)展在數(shù)字世界凸顯了風(fēng)險(xiǎn) 面對(duì)對(duì)風(fēng)險(xiǎn)存在不同認(rèn)識(shí) ? 有的同志把信息安全目標(biāo)定位于 : ? 系統(tǒng)永不停機(jī) ? 數(shù)據(jù)永不丟失 ? 網(wǎng)絡(luò)永不癱瘓 ? 信息永不泄密 ? 有的同志認(rèn)為信息安全無(wú)能為力 ? 美國(guó) FBI對(duì)付不了黑客 ? 信息安全專(zhuān)家對(duì)付不了中學(xué)生 ? 有的同志覺(jué)得信息安全問(wèn)題越來(lái)越說(shuō)不清楚 ? 信息系統(tǒng)是一個(gè)智能化、人機(jī)交互、非線性、時(shí)變、復(fù)雜、巨系統(tǒng) 出路何在？ ? 科學(xué)的發(fā)展觀 ? 人類(lèi)對(duì)真理的認(rèn)識(shí)是一個(gè)不斷的求極限的過(guò)程 ? 具體問(wèn)題具