【正文】 多單位的風(fēng)險評估工作沒有與信息系統(tǒng)的生命周期和安全建設(shè)聯(lián)系起來，僅僅是為了評估而評估，由于在風(fēng)險評估后沒有針對風(fēng)險評估的結(jié)果采取對策，安全狀況最終并未取得實(shí)質(zhì)性的增強(qiáng)和改善，這些風(fēng)險評估工作僅僅起到了應(yīng)付領(lǐng)導(dǎo)的作用。評估結(jié)果有時缺乏嚴(yán)肅的認(rèn)可。而評估方也感到委屈，認(rèn)為自己在評估工作中投入的成本已經(jīng)很大，評估的程度也很深，卻得不到對方認(rèn)同。評估工作常出現(xiàn)評估方和被評單位兩不滿意的情況。 風(fēng)險評估是責(zé)任性極強(qiáng)的嚴(yán)肅工作。在很多單位中，安全技術(shù)管理部門的人員一般認(rèn)為聘請外單位進(jìn)行評估有 “ 外來的和尚好念經(jīng) ” 的效果，這樣的評估結(jié)論容易引起領(lǐng)導(dǎo)重視，認(rèn)為能夠促使領(lǐng)導(dǎo)下決心加大安全投入的力度。不少骨干來自在外資信息安全企業(yè)工作回流的人員。 調(diào)研中，各單位普遍反映，熟悉和有能力進(jìn)行系統(tǒng)安全建設(shè)甚至是風(fēng)險評估的專業(yè)技術(shù)和管理人才嚴(yán)重匱乏。否則，必然是風(fēng)險評估工作的效果受限于各部門和個人的認(rèn)識，這些部門有什么認(rèn)識，有多大能力，風(fēng)險評估就只能進(jìn)行到什么程度，參差不齊，難以達(dá)標(biāo)。但是，急需解決的是什么才是真正意義上的負(fù)責(zé)，怎樣才算負(fù)責(zé)。 計(jì)算機(jī)信息系統(tǒng)安全等級保護(hù)制度的貫徹中，提出了 “ 誰主管，誰負(fù)責(zé)。不但需要深化研究 IT技術(shù)平臺的共性化的風(fēng)險，還需要推動對不同行業(yè)部門的個性化風(fēng)險的深化研究，否則風(fēng)險評估將會出現(xiàn)關(guān)注面的缺失。特別是隨著信息化應(yīng)用的日益拓展，風(fēng)險已經(jīng)不僅僅來自于通用的信息技術(shù)平臺，而更進(jìn)一步與各個行業(yè)的應(yīng)用、服務(wù)、生產(chǎn)的特性密切相關(guān)。我國的科學(xué)研究計(jì)劃中，有關(guān)信息系統(tǒng)安全風(fēng)險評估的重點(diǎn)科研項(xiàng)目非常之少。 信息系統(tǒng)風(fēng)險評估既是一個管理問題，也是一個技術(shù)問題。一般對信息安全的內(nèi)涵和外延、信息安全保障的技術(shù)和管理涉足不深，認(rèn)識模糊，風(fēng)險概念不強(qiáng)，有的處于計(jì)劃進(jìn)行風(fēng)險評估的狀態(tài)，有的還根本沒有提上議事日程。但多數(shù)單位還是請信息安全產(chǎn)業(yè)（甚至請外資企業(yè)）和本單位的人員結(jié)合開展風(fēng)險評估工作。這些行業(yè)重視了生產(chǎn)系統(tǒng)和辦公系統(tǒng)以及互連網(wǎng)之間的隔離和安全防護(hù)，并針對性地進(jìn)行了一些風(fēng)險評估工作。其中有的單位也發(fā)生過一些安全事件，對正常生產(chǎn)帶來了一些影響。從積極意義上看，他們帶來了國外風(fēng)險評估的理念和標(biāo)準(zhǔn)，宣傳了風(fēng)險評估的重要性和必要性，培養(yǎng)了一批進(jìn)行系統(tǒng)安全評估的技術(shù)人員（其中不少已經(jīng)回流到國內(nèi)安全企業(yè)，成為這些廠商進(jìn)行安全評估、安全產(chǎn)品設(shè)計(jì)開發(fā)、安全服務(wù)的業(yè)務(wù)骨干）。評估過程一般是在簽定保密協(xié)議的前提下，閱讀被評單位的安全管理文檔和系統(tǒng)設(shè)計(jì)文檔、問卷調(diào)查、現(xiàn)場考察、掃描漏洞（個別企業(yè)會開展?jié)B透性測試）并最終給出評估報(bào)告和安全改進(jìn)建議。他們一般參考國際標(biāo)準(zhǔn)（多數(shù)參考BS 779 ISO/IEC 1779 SSECMM、AS/NZS4360，有的僅參考信息安全產(chǎn)品評測標(biāo)準(zhǔn)，如 CC等）和我國的國家標(biāo)準(zhǔn) GB 17859。因此，國家部門建立的測評認(rèn)證機(jī)構(gòu)開始把信息系統(tǒng)的安全評測納入自己的工作范疇，風(fēng)險評估一般也作為系統(tǒng)安全評估的一個環(huán)節(jié)，納入其中。 國家部門建立的測評認(rèn)證機(jī)構(gòu)： 在國家標(biāo)準(zhǔn) GB 178591999和 GB/T 183362022的原則指導(dǎo)下，進(jìn)行了大量的安全產(chǎn)品的功能評測，并逐步向安全產(chǎn)品的性能評測、安全性評測提高。 從本課題調(diào)研的情況看，我國各個部門和行業(yè)對信息安全風(fēng)險評估的認(rèn)識和開展的情況是不平衡的。 ? 計(jì)算機(jī)網(wǎng)絡(luò)安全管理部門經(jīng)過二十多年的探索準(zhǔn)備以及對犯罪案件和安全事件的偵破處理，積累了經(jīng)驗(yàn)和知識，組織制定了一系列的技術(shù)標(biāo)準(zhǔn)，正在為實(shí)施計(jì)算機(jī)信息系統(tǒng)安全的等級保護(hù)制度進(jìn)行試點(diǎn)和政策性文件的準(zhǔn)備。信息安全的風(fēng)險意識也開始建立，并逐步有所加強(qiáng)。 1994年 2月頒布的 《 中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例 》 提出了計(jì)算機(jī)信息系統(tǒng)實(shí)行安全等級保護(hù)的要求。但是，當(dāng)時缺乏風(fēng)險意識，在領(lǐng)導(dǎo)和信息系統(tǒng)管理者的思想中，通常追求的是萬無一失、絕對安全。早期的信息安全工作中心是信息保密，通過保密檢查來發(fā)現(xiàn)問題，改進(jìn)提高。近年來，美國的信息安全研究人員正加緊工作，計(jì)劃在國家標(biāo)準(zhǔn)和技術(shù)研究所（ NIST）制定的以 SP 80037為核心的配套指南完善后，于 2022年開展新一輪的聯(lián)邦信息系統(tǒng)認(rèn)證認(rèn)可工作。但是信息系統(tǒng)的安全風(fēng)險評估在國際上仍是一個尚在探討的未決問題。當(dāng)前，正在信息保障的概念下，還處在不斷深化完善之中。其后，國際標(biāo)準(zhǔn)化組織又通過了依據(jù) BS 77991制定的 《 信息安全管理實(shí)施指南 》（ ISO/IEC 17779:2022），提出了基于風(fēng)險管理的信息安全管理體系。 ? 加拿大風(fēng)險管理準(zhǔn)則委員會于 1997年頒布了 《 風(fēng)險管理：決策者的指導(dǎo) 》 （ AN/CSAQ85097）。 AS/NZS4360在1999年又頒布了其修改版本。 ? 澳大利亞 /新西蘭風(fēng)險管理準(zhǔn)則聯(lián)合委員會于1995年頒布了世界上第一部風(fēng)險管理的正式標(biāo)準(zhǔn)：AS/NZS4360。BPM比英國的 BS 7799更加詳細(xì)地對威脅和安全措施加以了分類，具體地開列威脅清單和安全措施清單，并通過維護(hù)網(wǎng)上更新來實(shí)現(xiàn)與時俱進(jìn)的安全需求。目前，全球通過 BS7799認(rèn)證的數(shù)量已達(dá)到 282家，其中絕大部分分布在歐洲和亞洲，整個中國地區(qū)（包括香港和臺灣在內(nèi)）通過 BS7799認(rèn)證的數(shù)量已有 18家。目前，在 BS77992中，提出了如何了建立信息安全管理體系的步驟。 2022年又頒布了 《 信息安全管理系統(tǒng)規(guī)范說明 》 （ BS 77992:2022）。 ? 風(fēng)險評估已經(jīng)成為一種通用的方法學(xué)和基礎(chǔ)理論，應(yīng)用到了廣泛的信息安全實(shí)踐工作之中。對于信息系統(tǒng)則需要確立新的包括非技術(shù)因素的全面評估。 NIST認(rèn)證認(rèn)可系列指南的相互關(guān)系 NIST FIPS 199 信息系統(tǒng)的安全分類 NIST SP 80053 安全控制 NIST SP 80053A 安全控制的驗(yàn)證技術(shù)和流程 NIST SP 80037 定義了標(biāo)準(zhǔn)的信息系統(tǒng)安全認(rèn)證認(rèn)可方法 風(fēng)險評估 安全計(jì)劃 更新后的安全計(jì)劃 安全測試和評估報(bào)告 最終的風(fēng)險評估報(bào)告 NIST SP 80060 信息系統(tǒng)安全類別的映射 運(yùn)行環(huán)境認(rèn)可機(jī)構(gòu)? 標(biāo)準(zhǔn)? 指南? 認(rèn)證? 認(rèn)可實(shí)際的威脅和脆弱性? 風(fēng)險管理? 安全策略? 系統(tǒng)安全計(jì)劃? 人員安全? 流程安全? 物理安全技術(shù)性安全具體的 IT 系統(tǒng)產(chǎn)品通用子系統(tǒng)系統(tǒng)級保護(hù)輪廓實(shí)驗(yàn)室環(huán)境NI S T CM V PNIA P CC E V S經(jīng)認(rèn)可的測試實(shí)驗(yàn)室產(chǎn)品輪廓經(jīng)過認(rèn)證的產(chǎn)品證據(jù)? 安全目標(biāo)? 評估報(bào)告? 認(rèn)證報(bào)告F I P S 140 2 測試密碼模塊CC 評估IT 產(chǎn)品保護(hù)輪廓? 特點(diǎn)： ? 隨著信息保障的研究的深入，關(guān)注的安全屬性擴(kuò)大到了保密性、完整性、可用性、可認(rèn)證性、不可否認(rèn)性五個方面；保障對象明確為信息、信息系統(tǒng)；保障能力明確來源于技術(shù)、管理和人員三個方面；關(guān)注局域計(jì)算環(huán)境、邊界與外部連接、網(wǎng)絡(luò)基礎(chǔ)設(shè)施；以保護(hù)、檢測、反應(yīng)、恢復(fù)四個工作環(huán)節(jié)形成支撐條件，構(gòu)建縱深防御體系。 ? 其他有關(guān) NIST SP 80037的伴隨文檔： NIST SP 80053A《 聯(lián)邦 IT系統(tǒng)安全控制驗(yàn)證技術(shù)和流程 》 、 NIST SP 80060《 如何將各種信息和信息系統(tǒng)映射到安全類別中的指南 》 正在制定之中。 ? 2022年 9月 NIST發(fā)布了 FIPS 199： 《 聯(lián)邦信息和信息系統(tǒng)的安全分類標(biāo)準(zhǔn) 》 。 ? 2022年 10月， NIST發(fā)布了 《 聯(lián)邦 IT系統(tǒng)安全認(rèn)證和認(rèn)可指南 》（ SP 80037）的第 。 提出了包括評估信息安全風(fēng)險在內(nèi)的 9個過程域和 29個子域。 ? 用來確保信息系統(tǒng)運(yùn)行的連續(xù)性的計(jì)劃和流程。 ? 對矯正措施進(jìn)行規(guī)劃、實(shí)現(xiàn)、評估和記錄的過程，用于處理聯(lián)邦機(jī)構(gòu)信息安全政策、流程和實(shí)踐中所出現(xiàn)的任何缺陷。 ? 對信息安全政策、流程、實(shí)踐措施和安全控制的有效性所實(shí)施的定期測試和評估。 ? 子計(jì)劃，用于為網(wǎng)絡(luò)、設(shè)施、一個或一組信息系統(tǒng)提供足夠的信息安全。 ? 2022年頒布了 《 聯(lián)邦信息安全管理法案 》（ FISMA），提出聯(lián)邦各機(jī)構(gòu)的信息安全項(xiàng)目必須包括： ? 定期的風(fēng)險評估，包括評估由于對信息和信息系統(tǒng)進(jìn)行未授權(quán)訪問、使用、泄露、中斷、修改或者破壞而帶來的危害的大小。 ? 2022年 1月， NIST發(fā)布了 《 IT系統(tǒng)風(fēng)險管理指南 》 （ SP 80030），概述了風(fēng)險評估的重要性、風(fēng)險評估在系統(tǒng)生命周期中的地位、進(jìn)行風(fēng)險評估的角色和任務(wù)。 ? 2022年 11月，針對 《 聯(lián)邦 IT安全評估框架 》 ， NIST頒布了 《 IT系統(tǒng)安全自評估指南 》 （ SP 80026），針對三大類17項(xiàng)安全控制提出了 17張調(diào)查表。 ? 2022年 4月，負(fù)責(zé)國家安全系統(tǒng)的國家安全系統(tǒng)委員會（此前稱為國家安全電信和信息系統(tǒng)安全委員會）發(fā)布了專門針對國家安全系統(tǒng)的 《 國家信息保障認(rèn)證和認(rèn)可過程 》（ NIACAP）。此前的 OMB A130曾要求，應(yīng)該將風(fēng)險評估作為基于風(fēng)險的方法的一部分來為系統(tǒng)實(shí)現(xiàn)適當(dāng)?shù)?、成本有效性更好的安全，用來評估系統(tǒng)風(fēng)險性質(zhì)和級別的方法中應(yīng)該包括對風(fēng)險管理主要因素的考慮：系統(tǒng)和應(yīng)用