【正文】 驗(yàn)證，提出了修訂建議 ? 絕大多數(shù)試點(diǎn)單位大都參照了去年國信辦和國家安標(biāo)委組織編寫的《信息安全風(fēng)險(xiǎn)評(píng)估指南》及《信息安全風(fēng)險(xiǎn)管理指南》。 ? 試點(diǎn)單位大都結(jié)合自身的具體情況，選擇了相應(yīng)的評(píng)估方法和適當(dāng)?shù)陌踩刂拼胧┘肮芾砹鞒?，?shí)踐經(jīng)驗(yàn)證明各試點(diǎn)單位評(píng)估基于的基本原則和核心方法與試行標(biāo)準(zhǔn)指南大體吻合一致。 收獲和體會(huì) ? 提高了對(duì)風(fēng)險(xiǎn)評(píng)估工作的認(rèn)識(shí)和理解 ? — 科學(xué)方法、長效機(jī)制 ? 為國信辦風(fēng)險(xiǎn)評(píng)估工作文件起草積累了素材 ? 檢驗(yàn)了標(biāo)準(zhǔn)，兩項(xiàng)試行標(biāo)準(zhǔn)得到了肯定 ? 初步規(guī)范了評(píng)估內(nèi)容，演練了評(píng)估的實(shí)施流程 ? 試行了部分評(píng)估技術(shù)方法，重視了評(píng)估的科學(xué)性 ?評(píng)估方法的百花齊放和創(chuàng)新性 ? 體現(xiàn)了創(chuàng)新，積累了成果，培訓(xùn)了人才 試點(diǎn)工作技術(shù)上特點(diǎn) ? 計(jì)劃比較周密 ? 注意控制了評(píng)估自身的風(fēng)險(xiǎn) ? 注意遵循和驗(yàn)證標(biāo)準(zhǔn)討論稿 ? 及時(shí)總結(jié)經(jīng)驗(yàn)和問題 ? 始終重視人才培養(yǎng) ? 在技術(shù)上通過評(píng)估方法的多樣化，進(jìn)行了有益的探索 試點(diǎn)工作出現(xiàn)了一批成果 ? 上海市的風(fēng)險(xiǎn)評(píng)估管理軟件 ?評(píng)估模型和方法的創(chuàng)新與探索 ? 北京市利用了已有的工具平臺(tái)，形成了評(píng)估輔助工具平臺(tái) ? 黑龍江提出了基于模糊綜合判定理論的風(fēng)險(xiǎn)評(píng)估判定方法 ? 既有量化的探索，也有定性為主的探索 ? 云南提出了增加業(yè)務(wù)流分析和已有控制措施的有效性識(shí)別或判定 試點(diǎn)工作出現(xiàn)了一批成果（續(xù)） ? 國家稅務(wù)總局提出了差距分析法，細(xì)化了流程 ? 國電公司提出了符合行業(yè)特點(diǎn)的方法，初步形成了行業(yè)安全評(píng)估方法論，涵蓋了安全定義、安全評(píng)測(cè)和風(fēng)險(xiǎn)分析的全過程 典型方法之一：計(jì)算系統(tǒng)綜合風(fēng)險(xiǎn) ? 規(guī)范的評(píng)估過程 ?摸清家底：劃分資產(chǎn)類型，建立重要資產(chǎn)清單，識(shí)別資產(chǎn)重要性 ?分析威脅和分析脆弱性兩種途徑 ?按層次分析脆弱性 ?判定安全時(shí)間及其影響 ?計(jì)算威脅風(fēng)險(xiǎn)值 ?制定風(fēng)險(xiǎn)控制措施 典型方法之一：計(jì)算系統(tǒng)綜合風(fēng)險(xiǎn)（續(xù)） ? 資產(chǎn)綜合風(fēng)險(xiǎn)計(jì)算三種做法 ?選擇該資產(chǎn)中分析風(fēng)險(xiǎn)最高的作為風(fēng)險(xiǎn)，乘以資產(chǎn)值，作為該資產(chǎn)風(fēng)險(xiǎn) ?將資產(chǎn)中每一威脅的風(fēng)險(xiǎn)之于資產(chǎn)值相乘，得到多個(gè)資產(chǎn)的風(fēng)險(xiǎn)值 ?構(gòu)建模型，進(jìn)行綜合計(jì)算 ? 綜合風(fēng)險(xiǎn)： ?R=V*[∑ cRti*Qc+∑ ARti*QA+∑ IRti*Qi] ?其中 R:總風(fēng)險(xiǎn)， V:該資產(chǎn)得分， ∑ 為威脅累計(jì) ?C:機(jī)密性， I:完整性， A:可用性 典型方法之二：差距分析 ? 風(fēng)險(xiǎn)評(píng)估方法 差距分析法 ? 建立分析模型 ? 在風(fēng)險(xiǎn)評(píng)估中通過識(shí)別、判斷和分析目標(biāo)系統(tǒng)的安全現(xiàn)狀與安全要求之間的差距確定系統(tǒng)風(fēng)險(xiǎn)的分析方法。也就是說，目標(biāo)系統(tǒng)的可接受風(fēng)險(xiǎn)和系統(tǒng)殘余風(fēng)險(xiǎn)間的差距就是系統(tǒng)存在的風(fēng)險(xiǎn) 。 構(gòu)建差距分析法模型 ? 風(fēng)險(xiǎn)分析模型 系 統(tǒng) 安 全 要 求系 統(tǒng) 安 全 現(xiàn) 狀風(fēng) 險(xiǎn)系 統(tǒng) 使 命綜 合 分 析對(duì) 比 分 析系 統(tǒng) 所 屬 行 業(yè)安 全 要 求系 統(tǒng) 安 全 要 求系 統(tǒng) 安 全 現(xiàn) 狀系 統(tǒng) 安 全 環(huán) 境對(duì) 比 分 析國 家 法 律 法 規(guī) 差距分析法的實(shí)施路徑 ? 步驟一 :調(diào)研目標(biāo)系統(tǒng)狀況 ? 步驟二：確定信息系統(tǒng)安全要求 ? 任務(wù) 1：確定信息系統(tǒng)安全等級(jí) ? 任務(wù) 2：確定和規(guī)范化描述信息系統(tǒng)的安全要求 ? 步驟三：評(píng)估信息系統(tǒng)安全現(xiàn)狀 ? 任務(wù) 1：信息系統(tǒng)安全現(xiàn)狀評(píng)估報(bào)告 ? 步驟四：對(duì)信息安全風(fēng)險(xiǎn)進(jìn)行差距分析和風(fēng)險(xiǎn)計(jì)算 ? 任務(wù) 1：評(píng)估信息系統(tǒng)安全現(xiàn)狀對(duì)信息系統(tǒng)安全要求的符合程度，即信息系統(tǒng)現(xiàn)有安全措施在當(dāng)前系統(tǒng)運(yùn)行環(huán)境下是否滿足其安全要求 ? 任務(wù) 2：對(duì)信息系統(tǒng)安全執(zhí)行能力進(jìn)行評(píng)估，評(píng)估信息系統(tǒng)安全級(jí)（包括技術(shù)架構(gòu)能力級(jí)、工程能力級(jí)和管理能力級(jí)的評(píng)定） ,與要達(dá)到目標(biāo)的安全等級(jí) ? 步驟五：用戶根據(jù)安全風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行風(fēng)險(xiǎn)控制，形成滿足其信息系統(tǒng)安全要求的信息系統(tǒng)安全保障能力 。 典型方法之三：量化風(fēng)險(xiǎn) ? 對(duì)風(fēng)險(xiǎn)量化計(jì)算方法進(jìn)行擴(kuò)展 ?風(fēng)險(xiǎn)的計(jì)算方法目前還沒有明細(xì)的技術(shù)標(biāo)準(zhǔn)，通常效果比較好的計(jì)算方式為： ?R＝ A＊ T＊ V=E*D； T=Ts*Tf， E＝ A＊ Ts， D= Tf* V ?其中 R為風(fēng)險(xiǎn)值， A為資產(chǎn)價(jià)值， T為威脅值，V為脆弱性值， E為資產(chǎn)損失產(chǎn)生的影響， D為資產(chǎn)暴露程度， Ts為威脅的嚴(yán)重程度， Tf為威脅發(fā)生的可能性。 典型方法之三：量化風(fēng)險(xiǎn)（續(xù)） ? 在本次試點(diǎn)中，結(jié)合試點(diǎn)單位評(píng)估實(shí)踐經(jīng)驗(yàn)、以及行業(yè)管理特性，有的試點(diǎn)單位對(duì)風(fēng)險(xiǎn)計(jì)算方法進(jìn)行了如下的擴(kuò)展： ?其中： c代表“機(jī)密性方面的”、 i代表“完整性方面的”、 a代表“可用性方面的”， t代表“技術(shù)方面的”、 m代表“管理方面的”、 o代表“運(yùn)維方面的”、 W為技術(shù)、運(yùn)維和管理脆弱性之間的相關(guān)性， Wt 、 Wm 、 Wo 之和等于 1。 ?? oaoioc mamimctaVVVVVVVVV titc??aicAAA??TTT?omtWWW??R 典型方法之四：面向關(guān)鍵信息資產(chǎn)的 評(píng)估方法 （續(xù)） ? 威脅路徑分析法 ? 面向關(guān)鍵信息資產(chǎn)的層次分析法 ? 利用等級(jí)保護(hù)支撐平臺(tái)的評(píng)估方法 多級(jí)安全服務(wù)勢(shì)在必行 ?依據(jù)需求開展多層次的安全服務(wù) ?評(píng)估 ?設(shè)計(jì) ?實(shí)施 ?維護(hù) 試點(diǎn)工作發(fā)現(xiàn)的問題 ? 技術(shù) ?評(píng)測(cè)工具， 缺乏統(tǒng)一的要求和資質(zhì)認(rèn)定 ?模擬環(huán)境或聯(lián)機(jī)旁路測(cè)試環(huán)境的不完備和缺乏 ?測(cè)試深度的不平衡 ? 管理 ? 標(biāo)準(zhǔn)規(guī)范 ?試行標(biāo)準(zhǔn)指南總體得到肯定，但尚需進(jìn)一步完善 建設(shè)獨(dú)立自主、符合國際慣例的風(fēng)險(xiǎn)評(píng)估技術(shù)支撐體系 ? 舉國家之力，支持建設(shè)獨(dú)立自主、符合國際慣例的風(fēng)險(xiǎn)評(píng)估技術(shù)支撐體系。 ?建設(shè)國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)設(shè)施和基礎(chǔ)環(huán)境； ?落實(shí)開發(fā)相關(guān)技術(shù)和產(chǎn)品的攻關(guān)項(xiàng)目。通過研發(fā)自主關(guān)鍵技術(shù)和設(shè)備，滿足國家網(wǎng)絡(luò)基礎(chǔ)設(shè)施和重要信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估需求，支持安全評(píng)估應(yīng)用 ?逐步建立符合國際慣例、達(dá)到國際先進(jìn)水平的安全評(píng)估技術(shù)支撐體系 安全測(cè)試評(píng)估工具、平臺(tái)與環(huán)境 促進(jìn)建立國家信息安全測(cè)試評(píng)估體系 —— 形成示范應(yīng)用 產(chǎn)品和系統(tǒng) 測(cè)試評(píng)估工具 產(chǎn)品和系統(tǒng) 測(cè)試評(píng)估支撐環(huán)境 建立先進(jìn)的測(cè)試評(píng)估標(biāo)準(zhǔn)體系和開發(fā)環(huán)境 系統(tǒng)等級(jí)保護(hù)測(cè)試評(píng)估平臺(tái) 安全測(cè)試評(píng)估技術(shù)與系統(tǒng) 下一步建議 ? 認(rèn)真總結(jié)經(jīng)驗(yàn) ? 統(tǒng)一規(guī)劃、建立制度。制定國家基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估總體規(guī)劃以及“十一五”期間的工作計(jì)劃。積極推進(jìn)風(fēng)險(xiǎn)評(píng)估基本管理制度的建立；應(yīng)盡快就國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估工作所涉及的領(lǐng)導(dǎo)體制、協(xié)調(diào)機(jī)制、認(rèn)證與認(rèn)可、監(jiān)管和督察、評(píng)估時(shí)間、評(píng)估對(duì)象、評(píng)估范圍、評(píng)估方式、評(píng)估人員資質(zhì)、評(píng)估結(jié)果發(fā)布和備案等內(nèi)容，進(jìn)一步研究，形成風(fēng)險(xiǎn)評(píng)估管理法規(guī)制度 ? 加快建立逐步完善標(biāo)準(zhǔn)規(guī)范體系。標(biāo)準(zhǔn)規(guī)范是推廣實(shí)施風(fēng)險(xiǎn)評(píng)估工作的法律依據(jù)和技術(shù)保障，要加快風(fēng)險(xiǎn)評(píng)估管理與技術(shù)標(biāo)準(zhǔn)的制定和完善，研究評(píng)估機(jī)構(gòu)服務(wù)標(biāo)準(zhǔn)、資質(zhì)認(rèn)可與資質(zhì)的核查評(píng)估的管理辦法；盡快出臺(tái)國家標(biāo)準(zhǔn)。 下一步建議（續(xù)） ? 國家立項(xiàng)，支持相關(guān)工作的深入。建設(shè)風(fēng)險(xiǎn)評(píng)估技術(shù)支撐體系。建設(shè)國家基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)設(shè)施和基礎(chǔ)環(huán)境；落實(shí)開發(fā)相關(guān)技術(shù)和產(chǎn)品的攻關(guān)項(xiàng)目。 ? 加強(qiáng)風(fēng)險(xiǎn)評(píng)估工作隊(duì)伍的建設(shè)，重視培訓(xùn)、建立風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)管理制度 ? 在已有基礎(chǔ)上，整合資源，分類指導(dǎo)，組建不同等級(jí)的風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)，分別承擔(dān)國家和地方基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)以及本行業(yè)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估工作，形成風(fēng)險(xiǎn)評(píng)估的骨干力量。 ? 風(fēng)險(xiǎn)評(píng)估敏感性很強(qiáng)，如果引導(dǎo)不當(dāng)，管理不到位，有可能因風(fēng)險(xiǎn)評(píng)估帶來新的安全隱患。對(duì)國家基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估，實(shí)行資質(zhì)準(zhǔn)入制度，只充許經(jīng)國家批準(zhǔn)的風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)實(shí)施風(fēng)險(xiǎn)評(píng)估。國家必須加強(qiáng)風(fēng)險(xiǎn)評(píng)估評(píng)估工作的管理，建立服務(wù)標(biāo)準(zhǔn)、資質(zhì)認(rèn)可與資質(zhì)核查評(píng)估制度。 限于水平，可能還有許多不妥之處，歡迎批評(píng)指正 ! 謝 謝! 演講完畢，謝謝觀看！