【正文】 程中的安全風(fēng)險(xiǎn)，是一種較為全面的風(fēng)險(xiǎn)評(píng)估。評(píng)估內(nèi)容包括對(duì)真實(shí)運(yùn)行的信息系統(tǒng)、資產(chǎn)、威脅、脆弱性等各方面。 信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估 59 當(dāng)信息系統(tǒng)不能滿足現(xiàn)有要求時(shí)，信息系統(tǒng)進(jìn)入廢棄階段。根據(jù)廢棄的程度，又分為部分廢棄和全部廢棄兩種。 廢棄階段風(fēng)險(xiǎn)評(píng)估 著重在以下幾方面： 確保硬件和軟件等資產(chǎn)及殘留信息得到了適當(dāng)?shù)奶幹?，并確保系統(tǒng)組件被合理地丟棄或更換； 如果被廢棄的系統(tǒng)是某個(gè)系統(tǒng)的一部分，或與其他系統(tǒng)存在物理或邏輯上的連接，還應(yīng)考慮系統(tǒng)廢棄后與其他系統(tǒng)的連接是否被關(guān)閉； 如果在系統(tǒng)變更中廢棄，除對(duì)廢棄部分外，還應(yīng)對(duì)變更的部分進(jìn)行評(píng)估，以確定是否會(huì)增加風(fēng)險(xiǎn)或引入新的風(fēng)險(xiǎn)； 是否建立了流程，確保更新過(guò)程在一個(gè)安全、系統(tǒng)化的狀態(tài)下完成。 信息系統(tǒng)生命周期各階段的風(fēng)險(xiǎn)評(píng)估 內(nèi)容簡(jiǎn)介 基本概念 重要意義 工作方式 幾個(gè)關(guān)鍵問題 （ 1）風(fēng)險(xiǎn)評(píng)估的完整性 ?漏洞掃描、 IDS監(jiān)視、滲透性測(cè)試、調(diào)查問卷等工作只是風(fēng)險(xiǎn)評(píng)估中的步驟之一，尚不能稱之為完整的風(fēng)險(xiǎn)評(píng)估。在早期，很多企業(yè)和機(jī)構(gòu)聲稱的風(fēng)險(xiǎn)評(píng)估服務(wù)，實(shí)質(zhì)上是在以偏概全。 ?當(dāng)然，根據(jù)具體情況，在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)可以有所側(cè)重。例如，如果某單位曾經(jīng)實(shí)施過(guò)風(fēng)險(xiǎn)評(píng)估，其業(yè)務(wù)此后也沒有發(fā)生變化，那么再次評(píng)估時(shí)，該單位有可能只需關(guān)注新的漏洞就可以了。這時(shí)，風(fēng)險(xiǎn)評(píng)估就可以簡(jiǎn)化為脆弱性評(píng)估。 （ 2）風(fēng)險(xiǎn)評(píng)估的最終目的 ?風(fēng)險(xiǎn)評(píng)估結(jié)果是后續(xù)安全建設(shè)的依據(jù)。單獨(dú)的信息系統(tǒng)的安全風(fēng)險(xiǎn)值沒有實(shí)際意義，不能將計(jì)算風(fēng)險(xiǎn)值作為風(fēng)險(xiǎn)評(píng)估工作的唯一重點(diǎn)，也不能把風(fēng)險(xiǎn)值作為風(fēng)險(xiǎn)評(píng)估工作的唯一成果。否則，這是一種誤區(qū)。 ?風(fēng)險(xiǎn)的控制措施有四種，這與風(fēng)險(xiǎn)值和成本因素密切相關(guān)。而成本因素便是通過(guò)在風(fēng)險(xiǎn)評(píng)估的步驟中得出的信息進(jìn)行判斷的。 （ 3）風(fēng)險(xiǎn)控制的實(shí)施點(diǎn) 是 威脅源 系統(tǒng)設(shè)計(jì) 脆弱性 是 能被利用嗎？ 存在可發(fā)起攻擊的脆弱性 否 否 無(wú)風(fēng)險(xiǎn) 無(wú)風(fēng)險(xiǎn) 存在 威脅 攻 擊 的成 本 小于獲利 否 是 否 預(yù)期損失大于門限 無(wú)風(fēng)險(xiǎn) 無(wú)風(fēng)險(xiǎn) 是 不可接受的風(fēng)險(xiǎn) （ 3）風(fēng)險(xiǎn)控制的實(shí)施點(diǎn) ?當(dāng)存在系統(tǒng)脆弱性（缺陷或弱點(diǎn)）時(shí) ： 減少或修補(bǔ)系統(tǒng)脆弱性，降低脆弱性被攻擊的可能性； ?當(dāng)系統(tǒng)脆弱性可被惡意攻擊時(shí)：運(yùn)用層次化保護(hù)、結(jié)構(gòu)化設(shè)計(jì)、管理控制將風(fēng)險(xiǎn)最小化或防止脆弱性被利用； ?當(dāng)攻擊者的成本小于攻擊的可能所得時(shí)：運(yùn)用保護(hù)措施，通過(guò)提高攻擊者成本來(lái)降低攻擊者的攻擊動(dòng)機(jī)（例如使用系統(tǒng)訪問控制，限制系統(tǒng)用戶的訪問對(duì)象和行為）。 ?當(dāng)損失巨大時(shí)：運(yùn)用系統(tǒng)設(shè)計(jì)中的基本原則及結(jié)構(gòu)化設(shè)計(jì)、技術(shù)或非技術(shù)類保護(hù)措施來(lái)限制攻擊的范圍，從而降低可能的損失。 （ 4）風(fēng)險(xiǎn)評(píng)估與其它工作的關(guān)系 ?風(fēng)險(xiǎn)評(píng)估與其它工作不是并列關(guān)系。任何信息安全工作，其最終目的都是控制信息安全風(fēng)險(xiǎn)，使殘余風(fēng)險(xiǎn)可接受，從而促進(jìn)信息化健康發(fā)展。 ?因此，風(fēng)險(xiǎn)評(píng)估在實(shí)質(zhì)上不是一項(xiàng)獨(dú)立的過(guò)程，而是其它信息安全工作的基礎(chǔ)，貫穿在其它工作之中。更重要的是，基于風(fēng)險(xiǎn)的思想是信息安全中的核心思想。 ?風(fēng)險(xiǎn)評(píng)估突出了 “ 有的放矢 ” ，這個(gè) “ 的 ” 便是信息安全需求。而信息安全需求是貫穿在信息系統(tǒng)生命周期的全過(guò)程的。 66 （ 5）風(fēng)險(xiǎn)評(píng)估中的角色與責(zé)任 角色 責(zé)任 國(guó)家信息安全主管機(jī)關(guān) 制定風(fēng)險(xiǎn)評(píng)估的政策、法規(guī)和標(biāo)準(zhǔn) 督促、檢查和指導(dǎo) 業(yè)務(wù)主管機(jī)關(guān) 提出、制定并批準(zhǔn)本部門的信息安全風(fēng)險(xiǎn)管理 策略 領(lǐng)導(dǎo)和組織本部門內(nèi)的信息系統(tǒng)安全評(píng)估工作 基于本部門內(nèi)信息系統(tǒng)的特征以及風(fēng)險(xiǎn)評(píng)估的 結(jié)果，判斷信息系統(tǒng)殘余風(fēng)險(xiǎn)是否可接受，并 確定是否批準(zhǔn)信息系統(tǒng)投入運(yùn)行 檢查信息系統(tǒng)運(yùn)行中產(chǎn)生的安全狀態(tài)報(bào)告 定期或不定期地開展新的風(fēng)險(xiǎn)評(píng)估工作 信息系統(tǒng)擁有者 制定安全計(jì)劃，報(bào)上級(jí)審批 組織實(shí)施信息系統(tǒng)自評(píng)估工作 配合檢查評(píng)估或委托評(píng)估工作，并提供必要的 文檔等資源 向主管機(jī)關(guān)提出 新一輪風(fēng)險(xiǎn)評(píng)估的建議 改善信息安全措施，控制信息安全風(fēng)險(xiǎn) 信息系統(tǒng)承建者 根據(jù)對(duì)信息系統(tǒng)建設(shè)方案的風(fēng)險(xiǎn)評(píng)估結(jié)果，修 正安全方案，使安全方案成本合理、積極有效 ，在方案中有效地控制風(fēng)險(xiǎn) 規(guī)范建設(shè)，減少在建設(shè)階段引入的新風(fēng)險(xiǎn) 確保安全組件產(chǎn)品得到了相關(guān)機(jī)構(gòu)的認(rèn)證 信息系統(tǒng)安全評(píng)估機(jī)構(gòu) 提供獨(dú)立的風(fēng)險(xiǎn)評(píng)估 對(duì)信息系統(tǒng)中的安全措施進(jìn)行評(píng)估，以判斷（ 1 ）這些安全措施在特定運(yùn)行環(huán)境中的有效性； （ 2 ）實(shí)現(xiàn)了這些措施后系統(tǒng)中存在的殘余風(fēng)險(xiǎn) 提出調(diào)整建議，以減少或根除信息系統(tǒng)中的脆 弱性，有效對(duì)抗安全威脅，控制風(fēng)險(xiǎn) 保護(hù)風(fēng)險(xiǎn)評(píng) 估中獲得的敏感信息，防止被無(wú)關(guān)人員和單位 獲得 信息系統(tǒng)的關(guān)聯(lián)機(jī)構(gòu) 遵守安全策略、法規(guī)、合同等涉及信息系統(tǒng)交 互行為的安全要求，減少信息安全風(fēng)險(xiǎn) 協(xié)助風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)確定評(píng)估邊界 在風(fēng)險(xiǎn)評(píng)估中提供必要的資源和資料 （ 6）等級(jí)保護(hù)中是如何體現(xiàn)風(fēng)險(xiǎn)思想的 ?等級(jí)保護(hù)的定級(jí)過(guò)程 ? 這個(gè)過(guò)程引入了對(duì)風(fēng)險(xiǎn)的認(rèn)識(shí)，但其與風(fēng)險(xiǎn)評(píng)估過(guò)程的最大不同，在于沒有考慮系統(tǒng)中的安全脆弱性以及已有的安全措施。原因在于，為信息系統(tǒng)分類的過(guò)程不是確定信息系統(tǒng) “ 已有的 ” 安全級(jí)的過(guò)程，而是確定其 “ 應(yīng)有的 ” 安全級(jí)的過(guò)程。 ?對(duì)各級(jí)信息系統(tǒng)提出的安全要求，實(shí)質(zhì)上是能使該級(jí)信息系統(tǒng)的安全風(fēng)險(xiǎn)降低至可接受程度的安全要求。當(dāng)然，這種要求是普適性的，必要時(shí)，各個(gè)信息系統(tǒng)應(yīng)進(jìn)一步細(xì)化這些要求。 演講完畢，謝謝觀看！