【正文】 “ 慢藥 ” ，毒性更強，中毒后還不易被察覺。 從鴆酒到慢藥：“混合性威脅”的時代已經(jīng)到來 ? 根據(jù) IDC最新的調(diào)查結(jié)果，如今計算機用戶面臨的三項最嚴(yán)重的安全威脅依次是垃圾郵件、 DdoS攻擊和網(wǎng)上欺詐。 ? 去年 6月 3日至 9月 19日，就發(fā)現(xiàn)較大規(guī)模僵尸網(wǎng)絡(luò) 59個，平均每天發(fā)現(xiàn) 3萬個受黑客控制的 “ 僵尸 ” 計算機。楊先生還沒有弄清是哪個 “ 表妹 ” 發(fā)來的玉照便丟失了大量銀行保密資料，給單位造成的損失無法估量。 病毒等網(wǎng)絡(luò)欺詐行為導(dǎo)致全球經(jīng)濟損失驚人 ? 最近 Gartner組織公布了一項研究報告：每年由于病毒等網(wǎng)絡(luò)欺詐行為導(dǎo)致全球經(jīng)濟損失高達(dá) 160多億美元。 ? 它不僅是一個“不對稱”的高技術(shù)對抗問題，而且是一個直接影響國計民生、關(guān)乎國家安全與政權(quán)穩(wěn)定的現(xiàn)實問題。網(wǎng)絡(luò)與信息安全已上升為一個事關(guān)國家政治穩(wěn)定、社會安定、經(jīng)濟有序運行和社會主義精神文明建設(shè)的全局性問題。 ? 與之而來的各類計算機犯罪及“黑客”攻擊網(wǎng)絡(luò)事件屢有發(fā)生，手段也越來越高技術(shù)化，從而對各國的主權(quán)、安全和社會穩(wěn)定構(gòu)成了威脅。 環(huán)境和背景 ? 近年來，我國經(jīng)濟社會持續(xù)快速發(fā)展發(fā)展，信息化步伐加快，在促進(jìn)經(jīng)濟發(fā)展、調(diào)整經(jīng)濟結(jié)構(gòu)、改造傳統(tǒng)產(chǎn)業(yè)和提高人民生活質(zhì)量等方面發(fā)揮了不可替代的重要作用。 ? 通訊與信息網(wǎng)絡(luò)上失密 、 泄密及竊密事件時有發(fā)生 。信息安全風(fēng)險評估技術(shù)簡介 寧家駿 （ 國家信息中心信息安全研究與服務(wù)中心 ） 提 綱 一、信息安全形勢需要評估 二、信息化風(fēng)險及風(fēng)險管理研究 三、信息安全風(fēng)險評估技術(shù)導(dǎo)引 四、信息安全風(fēng)險評估試點經(jīng)驗寶貴 加強信息安全保障工作是當(dāng)前形勢的需要 ? 落實 27號文件，一手抓信息化，一手抓安全， ? 誰主管誰負(fù)責(zé)，誰運營誰負(fù)責(zé) ? 積極防御、綜合防范 ? 重點保障網(wǎng)絡(luò)基礎(chǔ)設(shè)施和重要信息系統(tǒng)的安全 ? 正確處理等級保護(hù)與風(fēng)險評估的關(guān)系 ? 加強信息安全基礎(chǔ)設(shè)施建設(shè) 我國信息安全問題的突出表現(xiàn) ? 病毒肆虐 、 黑客侵?jǐn)_ 、 系統(tǒng)故障等造成的經(jīng)濟損失呈逐年增長態(tài)勢 ? 境外敵對勢力利用信息通訊網(wǎng)絡(luò)造謠誹謗 、 組織動員 、 煽動鬧事和破壞；國外反華勢力加大對我意識形態(tài)和文化滲透 。 ? 不良和有害信息屢禁不止 ， 利用信息網(wǎng)絡(luò)技術(shù)從事犯罪活動日益猖獗 ， 網(wǎng)絡(luò)群體層出不窮 ， 網(wǎng)上輿論傳播直接影響社會穩(wěn)定 。 直接影響到政府管理效率和公眾形象 。一方面社會經(jīng)濟對信息化的依賴程度越來越高，同時逐步建設(shè)和積累了一批寶貴的信息資產(chǎn)。 ? 計算機互聯(lián)網(wǎng)絡(luò)涉及社會經(jīng)濟生活各個領(lǐng)域，并直接與世界相聯(lián)，可以說是國家的一個政治“關(guān)口”，一條經(jīng)濟“命脈”。 我國面臨的信息安全問題的性質(zhì) ? 我國面臨的信息安全問題已不再是一個局部性和技術(shù)性的問題，而是一個跨領(lǐng)域、跨行業(yè)、跨部門的綜合性安全問題。 ? 確保信息網(wǎng)絡(luò)安全也正在成為新世紀(jì)國家安全的重要基石和基本內(nèi)涵。 ? “ 表哥，你最近還好嗎？知道我是誰嗎？看了我的相片你就知道了！ ” 這是在上海某銀行上班的楊先生收到一封郵件，誰知郵件還未打開，電腦出現(xiàn)了黑屏。 ? 去年 6月浙江警方破獲一起 “ 黑客竊取網(wǎng)游密碼案 ” ，單單一個黑客就竊取網(wǎng)游賬號 6萬多個，價值上百萬元。 ? 包含間諜軟件、惡意插件和瀏覽器劫持在內(nèi)的流氓軟件也大行其道，它們侵入用戶電腦安裝插件和后門程序，竊取個人信息，一年之內(nèi)使自己的流量上升 600%；而通過設(shè)立搏彩、低價網(wǎng)絡(luò)購物等欺詐性網(wǎng)站直接騙取用戶錢財?shù)鹊?，更是?shù)不勝數(shù)。與前些年安全威脅大多來自病毒和蠕蟲等的大規(guī)模猛烈爆發(fā)不同，近年來各種各樣的 “ 諜件 ” 或惡意代碼開始在網(wǎng)上肆虐，其瘋狂程度已超過了傳統(tǒng)的病毒威脅。由于利益驅(qū)動， “ 間諜軟件 ” 大都采用巧妙的形式潛伏于用戶的個人電腦中，它們更難被被發(fā)現(xiàn)，卻能竊取用戶寶貴個人資料，以非法獲利，這就是 “ 網(wǎng)上欺詐 ” 。網(wǎng)絡(luò)安全問題正日益嚴(yán)峻。 ?信息化的風(fēng)險管理，其中信息安全風(fēng)險和保障網(wǎng)絡(luò)空間的安全已經(jīng)成為關(guān)系信息化能否健康發(fā)展的重大問題。 ? 信息化的風(fēng)險被界定為信息化可能或者實際帶來的消極威脅。 信息安全基本屬性 ?機密性 Confidentiality ?完整性 Integrity ?可用性 Availability 信息化風(fēng)險的主要特征 ? 全球性 ? 傳染性 ? 復(fù)雜性 ? 隱蔽性 信息安全范疇 安全組織 訪問控制 業(yè)務(wù)不間斷運轉(zhuǎn) 物理安全 等等 …… 入侵預(yù)防與檢測 信息化風(fēng)險的內(nèi)在原因 基本原因在于內(nèi)因，由信息化自身的特點所決定： ? 第一，信息化的無疆界特征； ? 第二，信息化的低成本特征； ? 第三，信息化的開放性特征； ? 第四，信息化的匿名性特征。 信息化風(fēng)險的外部原因 第一，戰(zhàn)略能力不足，規(guī)劃不明確。 ? （ 1）對信息化管理的理念認(rèn)識和關(guān)注不足； ? （ 2）管理基礎(chǔ)（包括信息化建設(shè)中決策機制、信息透明和公開、實施過程的監(jiān)督等）不完善； ? （ 3）缺乏信息化建設(shè)周期中質(zhì)量控制和評估標(biāo)準(zhǔn)； （續(xù)） 第四，安全子系統(tǒng)建設(shè)資金的預(yù)算和管理能力差 ? （ 1）對信息系統(tǒng)未作風(fēng)險評估和分析，安全子系統(tǒng)建設(shè)投資預(yù)算缺乏科學(xué)依據(jù) ?或過度保護(hù) ?或保護(hù)不力； ? （ 2）總體資金支持不足； ? （ 3）信息安全投資的回報難以監(jiān)控和評估。 （續(xù)） 第六，法規(guī)、標(biāo)準(zhǔn)與政策滯后于信息化發(fā)展 ? 相關(guān)法制工作滯后于信息化建設(shè)需求； ?首先，缺乏對信息化的全面立法支持，缺乏保障政府信息化的基本法律，如政府信息公開法、政府信息資源管理法。 ?再次，缺乏對信息安全風(fēng)險的管理規(guī)范和技術(shù)標(biāo)準(zhǔn)。 在泄露隱私方面： ? （ 1）不當(dāng)授權(quán)他人或機構(gòu)濫用用戶信息； ? （ 2）未遵循法律或法規(guī)制定相應(yīng)的隱私和記錄管理政策。 （續(xù)） 提 綱 一、信息安全形勢需要評估 二、信息化風(fēng)險及風(fēng)險管理研究 三、信息安全風(fēng)險評估技術(shù)導(dǎo)引 四、信息安全風(fēng)險評估試點經(jīng)驗寶貴 克服安全“亞健康”的必由之路 ? 醫(yī)學(xué)專家告訴我們： ?人的軀體有健康、亞健康和患病等多種狀態(tài) ?但成年人多數(shù)處于亞健康狀態(tài) ?如何確認(rèn)和發(fā)現(xiàn)問題，必須體檢 ? 信息系統(tǒng)也一樣，在安全狀態(tài)方面，常常處于“亞健康”甚至患病狀態(tài)，因此也要“體檢” — 這就是風(fēng)險評估 居安思危，思則有備 ? 溫總理： 清醒就是要認(rèn)識到我們已經(jīng)取得的成績，只是在現(xiàn)代化的進(jìn)程邁出了第一步，今后的路還更長，更艱苦。思所以危則安，思所以亂則治，思所以亡則存?！卑踩L(fēng)險評估同樣蘊涵了這一思想。扁鵲有兄弟三人，有一次齊國國君問他：“其孰最善為醫(yī)？”扁鵲答：兩個哥哥都在自己之上。扁鵲說：兩個哥哥都是治大病于小恙，或者防病于未然，而他是直到病人病情完全顯露，才能加以診治。健康安全是這樣，網(wǎng)絡(luò)信息安全亦然。信息安全風(fēng)險評估是指依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的機密性、完整性和可用性等安全屬性進(jìn)行評價的過程。 ? 信息安全風(fēng)險評估是信息系統(tǒng)安全保障機制建立過程中的一種評價方法，其結(jié)果為信息安全風(fēng)險管理提供依據(jù)。其結(jié)果是殘留風(fēng)險是否達(dá)到可接受水平的一個明確界定，或者是一個是否應(yīng)當(dāng)實施額外的安全控制以進(jìn)一步降低風(fēng)險的結(jié)論。 ?為了確定這種可能性，需要對系統(tǒng)的威脅以及由此表現(xiàn)出來的脆弱性進(jìn)行分析。 對風(fēng)險評估總體要求的理解 ? 風(fēng)險評估工作總體要求是： ?充分發(fā)揮和調(diào)動各方面力量，運用風(fēng)險管理的思想，通過風(fēng)險評估，控制和降低風(fēng)險，全面提高信息系統(tǒng)防護(hù)能力，滿足信息安全需求，逐步建成有中國特色的風(fēng)險評估體系。 ?通過對國家級重點電子政務(wù)系統(tǒng)、電子商務(wù)系統(tǒng)以及重要信息基礎(chǔ)設(shè)施的風(fēng)險評估工作，從中摸索經(jīng)驗，不斷探索，逐步完善我國風(fēng)險評估工作的管理機制。 ? 這個過程并不是 IT行業(yè)所獨有的，實際上它遍及我們?nèi)粘Ｉ钪行枰龀鰶Q定的任何事情。 ? 所有與安全性相關(guān)的活動都是信息安全風(fēng)險管理的組成部分。