【正文】 驗證，提出了修訂建議 ? 絕大多數(shù)試點單位大都參照了去年國信辦和國家安標委組織編寫的《信息安全風險評估指南》及《信息安全風險管理指南》。 ? 試點單位大都結(jié)合自身的具體情況，選擇了相應(yīng)的評估方法和適當?shù)陌踩刂拼胧┘肮芾砹鞒?，實踐經(jīng)驗證明各試點單位評估基于的基本原則和核心方法與試行標準指南大體吻合一致。 收獲和體會 ? 提高了對風險評估工作的認識和理解 ? — 科學(xué)方法、長效機制 ? 為國信辦風險評估工作文件起草積累了素材 ? 檢驗了標準，兩項試行標準得到了肯定 ? 初步規(guī)范了評估內(nèi)容，演練了評估的實施流程 ? 試行了部分評估技術(shù)方法，重視了評估的科學(xué)性 ?評估方法的百花齊放和創(chuàng)新性 ? 體現(xiàn)了創(chuàng)新，積累了成果，培訓(xùn)了人才 試點工作技術(shù)上特點 ? 計劃比較周密 ? 注意控制了評估自身的風險 ? 注意遵循和驗證標準討論稿 ? 及時總結(jié)經(jīng)驗和問題 ? 始終重視人才培養(yǎng) ? 在技術(shù)上通過評估方法的多樣化，進行了有益的探索 試點工作出現(xiàn)了一批成果 ? 上海市的風險評估管理軟件 ?評估模型和方法的創(chuàng)新與探索 ? 北京市利用了已有的工具平臺，形成了評估輔助工具平臺 ? 黑龍江提出了基于模糊綜合判定理論的風險評估判定方法 ? 既有量化的探索，也有定性為主的探索 ? 云南提出了增加業(yè)務(wù)流分析和已有控制措施的有效性識別或判定 試點工作出現(xiàn)了一批成果（續(xù)） ? 國家稅務(wù)總局提出了差距分析法，細化了流程 ? 國電公司提出了符合行業(yè)特點的方法，初步形成了行業(yè)安全評估方法論，涵蓋了安全定義、安全評測和風險分析的全過程 典型方法之一：計算系統(tǒng)綜合風險 ? 規(guī)范的評估過程 ?摸清家底：劃分資產(chǎn)類型，建立重要資產(chǎn)清單，識別資產(chǎn)重要性 ?分析威脅和分析脆弱性兩種途徑 ?按層次分析脆弱性 ?判定安全時間及其影響 ?計算威脅風險值 ?制定風險控制措施 典型方法之一：計算系統(tǒng)綜合風險（續(xù)） ? 資產(chǎn)綜合風險計算三種做法 ?選擇該資產(chǎn)中分析風險最高的作為風險，乘以資產(chǎn)值，作為該資產(chǎn)風險 ?將資產(chǎn)中每一威脅的風險之于資產(chǎn)值相乘，得到多個資產(chǎn)的風險值 ?構(gòu)建模型，進行綜合計算 ? 綜合風險： ?R=V*[∑ cRti*Qc+∑ ARti*QA+∑ IRti*Qi] ?其中 R:總風險， V:該資產(chǎn)得分， ∑ 為威脅累計 ?C:機密性， I:完整性， A:可用性 典型方法之二：差距分析 ? 風險評估方法 差距分析法 ? 建立分析模型 ? 在風險評估中通過識別、判斷和分析目標系統(tǒng)的安全現(xiàn)狀與安全要求之間的差距確定系統(tǒng)風險的分析方法。也就是說，目標系統(tǒng)的可接受風險和系統(tǒng)殘余風險間的差距就是系統(tǒng)存在的風險 。 構(gòu)建差距分析法模型 ? 風險分析模型 系 統(tǒng) 安 全 要 求系 統(tǒng) 安 全 現(xiàn) 狀風 險系 統(tǒng) 使 命綜 合 分 析對 比 分 析系 統(tǒng) 所 屬 行 業(yè)安 全 要 求系 統(tǒng) 安 全 要 求系 統(tǒng) 安 全 現(xiàn) 狀系 統(tǒng) 安 全 環(huán) 境對 比 分 析國 家 法 律 法 規(guī) 差距分析法的實施路徑 ? 步驟一 :調(diào)研目標系統(tǒng)狀況 ? 步驟二：確定信息系統(tǒng)安全要求 ? 任務(wù) 1：確定信息系統(tǒng)安全等級 ? 任務(wù) 2：確定和規(guī)范化描述信息系統(tǒng)的安全要求 ? 步驟三：評估信息系統(tǒng)安全現(xiàn)狀 ? 任務(wù) 1：信息系統(tǒng)安全現(xiàn)狀評估報告 ? 步驟四：對信息安全風險進行差距分析和風險計算 ? 任務(wù) 1：評估信息系統(tǒng)安全現(xiàn)狀對信息系統(tǒng)安全要求的符合程度，即信息系統(tǒng)現(xiàn)有安全措施在當前系統(tǒng)運行環(huán)境下是否滿足其安全要求 ? 任務(wù) 2：對信息系統(tǒng)安全執(zhí)行能力進行評估，評估信息系統(tǒng)安全級（包括技術(shù)架構(gòu)能力級、工程能力級和管理能力級的評定） ,與要達到目標的安全等級 ? 步驟五：用戶根據(jù)安全風險評估的結(jié)果進行風險控制，形成滿足其信息系統(tǒng)安全要求的信息系統(tǒng)安全保障能力 。 典型方法之三：量化風險 ? 對風險量化計算方法進行擴展 ?風險的計算方法目前還沒有明細的技術(shù)標準，通常效果比較好的計算方式為： ?R＝ A＊ T＊ V=E*D； T=Ts*Tf， E＝ A＊ Ts， D= Tf* V ?其中 R為風險值， A為資產(chǎn)價值， T為威脅值，V為脆弱性值， E為資產(chǎn)損失產(chǎn)生的影響， D為資產(chǎn)暴露程度， Ts為威脅的嚴重程度， Tf為威脅發(fā)生的可能性。 典型方法之三：量化風險（續(xù)） ? 在本次試點中，結(jié)合試點單位評估實踐經(jīng)驗、以及行業(yè)管理特性，有的試點單位對風險計算方法進行了如下的擴展： ?其中： c代表“機密性方面的”、 i代表“完整性方面的”、 a代表“可用性方面的”， t代表“技術(shù)方面的”、 m代表“管理方面的”、 o代表“運維方面的”、 W為技術(shù)、運維和管理脆弱性之間的相關(guān)性， Wt 、 Wm 、 Wo 之和等于 1。 ?? oaoioc mamimctaVVVVVVVVV titc??aicAAA??TTT?omtWWW??R 典型方法之四：面向關(guān)鍵信息資產(chǎn)的 評估方法 （續(xù)） ? 威脅路徑分析法 ? 面向關(guān)鍵信息資產(chǎn)的層次分析法 ? 利用等級保護支撐平臺的評估方法 多級安全服務(wù)勢在必行 ?依據(jù)需求開展多層次的安全服務(wù) ?評估 ?設(shè)計 ?實施 ?維護 試點工作發(fā)現(xiàn)的問題 ? 技術(shù) ?評測工具， 缺乏統(tǒng)一的要求和資質(zhì)認定 ?模擬環(huán)境或聯(lián)機旁路測試環(huán)境的不完備和缺乏 ?測試深度的不平衡 ? 管理 ? 標準規(guī)范 ?試行標準指南總體得到肯定，但尚需進一步完善 建設(shè)獨立自主、符合國際慣例的風險評估技術(shù)支撐體系 ? 舉國家之力，支持建設(shè)獨立自主、符合國際慣例的風險評估技術(shù)支撐體系。 ?建設(shè)國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)風險評估的基礎(chǔ)設(shè)施和基礎(chǔ)環(huán)境； ?落實開發(fā)相關(guān)技術(shù)和產(chǎn)品的攻關(guān)項目。通過研發(fā)自主關(guān)鍵技術(shù)和設(shè)備，滿足國家網(wǎng)絡(luò)基礎(chǔ)設(shè)施和重要信息系統(tǒng)的風險評估需求，支持安全評估應(yīng)用 ?逐步建立符合國際慣例、達到國際先進水平的安全評估技術(shù)支撐體系 安全測試評估工具、平臺與環(huán)境 促進建立國家信息安全測試評估體系 —— 形成示范應(yīng)用 產(chǎn)品和系統(tǒng) 測試評估工具 產(chǎn)品和系統(tǒng) 測試評估支撐環(huán)境 建立先進的測試評估標準體系和開發(fā)環(huán)境 系統(tǒng)等級保護測試評估平臺 安全測試評估技術(shù)與系統(tǒng) 下一步建議 ? 認真總結(jié)經(jīng)驗 ? 統(tǒng)一規(guī)劃、建立制度。制定國家基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的風險評估總體規(guī)劃以及“十一五”期間的工作計劃。積極推進風險評估基本管理制度的建立；應(yīng)盡快就國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)風險評估工作所涉及的領(lǐng)導(dǎo)體制、協(xié)調(diào)機制、認證與認可、監(jiān)管和督察、評估時間、評估對象、評估范圍、評估方式、評估人員資質(zhì)、評估結(jié)果發(fā)布和備案等內(nèi)容，進一步研究，形成風險評估管理法規(guī)制度 ? 加快建立逐步完善標準規(guī)范體系。標準規(guī)范是推廣實施風險評估工作的法律依據(jù)和技術(shù)保障，要加快風險評估管理與技術(shù)標準的制定和完善，研究評估機構(gòu)服務(wù)標準、資質(zhì)認可與資質(zhì)的核查評估的管理辦法；盡快出臺國家標準。 下一步建議（續(xù)） ? 國家立項，支持相關(guān)工作的深入。建設(shè)風險評估技術(shù)支撐體系。建設(shè)國家基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)風險評估的基礎(chǔ)設(shè)施和基礎(chǔ)環(huán)境；落實開發(fā)相關(guān)技術(shù)和產(chǎn)品的攻關(guān)項目。 ? 加強風險評估工作隊伍的建設(shè)，重視培訓(xùn)、建立風險評估機構(gòu)管理制度 ? 在已有基礎(chǔ)上，整合資源，分類指導(dǎo)，組建不同等級的風險評估機構(gòu)，分別承擔國家和地方基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)以及本行業(yè)信息系統(tǒng)風險評估工作，形成風險評估的骨干力量。 ? 風險評估敏感性很強，如果引導(dǎo)不當，管理不到位，有可能因風險評估帶來新的安全隱患。對國家基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的風險評估，實行資質(zhì)準入制度，只充許經(jīng)國家批準的風險評估機構(gòu)實施風險評估。國家必須加強風險評估評估工作的管理，建立服務(wù)標準、資質(zhì)認可與資質(zhì)核查評估制度。 限于水平，可能還有許多不妥之處，歡迎批評指正 ! 謝 謝! 演講完畢，謝謝觀看！