【正文】 個部分： BS 77991《 信息安全管理實施規(guī)則 》 和 BS 77992《 信息安全管理體系規(guī)范 》 。它將信息安全管理的有關問題劃分成了10個控制要項、 36 個控制目標和 127 個控制措施。 ? 在信息安全管理體系的核心部位是風險評估和風險管理。 ? 德國的聯(lián)邦信息技術安全局的信息安全管理是通過他們 2022年 7月頒布和不斷更新的 《 信息技術基線保護手冊 》 （ IT Baseline Protection Manual (ITBPM or BPM)）來加以指導的。該文將威脅目錄分為五類 272種（嚴重影響13種，機構缺陷 67種，人為故障 47種，技術故障 43種，故意行為 102種），安全措施目錄分為六類 607種（基礎設施類 57種，機構類 226種，個人類 26種，軟件和硬件類 135種，通信類 88種，意外事故計劃類 75種）。這是一個針對普遍風險（而非信息安全風險）的風險管理標準，成為關注一般風險管理的人員的通用準則。澳大利亞的經驗表明：這些準則雖然不能直接為內部審計人員提供一個風險模型，但卻為產生風險模型奠定了基礎。 ? 國際標準化組織在信息安全管理方面，早在1996年就開始制定 《 信息技術 信息安全管理指南 》 （ ISO/IEC 13335），它分成《 信息安全的概念和模型 》 、 《 信息安全管理和規(guī)劃 》 、 《 信息安全管理技術 》 、 《 基線方法 》 、 《 網(wǎng)絡安全管理指南 》 五個部分。 ? 綜觀國際情況，信息安全風險評估經歷了一個從只重技術到技術、管理并重的全面評估，從單機到網(wǎng)絡再到信息系統(tǒng)基礎設施，從單一安全屬性到多種安全屬性發(fā)展。 ? 總體上看，雖然傳統(tǒng)的風險評估不是一個陌生問題。美國國家安全局的有關領導曾檢討道，橘皮書時代提出過軍隊和政府的信息系統(tǒng)在某個時段應達到某個安全級別的要求，但是，實際上他們僅僅落實了一批經過測評認證的安全產品，而系統(tǒng)安全什么也沒有作到。 我國信息系統(tǒng)安全風險評估 的現(xiàn)狀和問題 ? 我國的信息系統(tǒng)安全評估工作是隨著對信息安全問題的認識的逐步深化不斷發(fā)展的。 80年代后，隨著計算機的推廣應用，隨即提出了計算機安全的問題，開展了計算機安全檢查工作。 ? 90年代后，隨著互連網(wǎng)在我國得到了廣泛的社會化應用，國際大環(huán)境的信息安全問題和信息戰(zhàn)的威脅直接在我國的信息環(huán)境中有所反映。其后，在有關部門的組織下，不斷開展了有關等級保護評價準則、安全產品的測評認證、系統(tǒng)安全等級劃分指南的研究，初步提出了一系列相關技術標準和管理規(guī)范。 ? 目前，就信息安全保障的主管機關而言，國家保密管理部門，由于有優(yōu)良的工作傳統(tǒng)、組織機構和國家保密法的依據(jù)，思想明確，技術規(guī)范相對齊全，工作力度比較強，到位情況比較好。 ? 但密碼管理、保密管理、計算機網(wǎng)絡信息安全管理、信息內容安全管理等部門的協(xié)調協(xié)同還有待加強。國內現(xiàn)階段風險評估的狀況，可分為以下幾類： ? 一是有認識、有行動、有措施、有效果； ? 二是有認識、有行動但措施不當； ? 三是有認識、無行動、無措施； ? 四是無認識、無行動、無措施。通過自己的工作實踐和社會需求的牽引，并在注意到美國提出的聯(lián)邦 IT系統(tǒng)安全認證認可指南等國外動態(tài)后，逐步認識到，僅僅進行安全產品的測評認證不能解決信息系統(tǒng)的安全。 開展了風險評估的國內信息安全廠商： 國內已經有一批信息安全企業(yè)（如 30盛安、啟明星辰、聯(lián)想、科友、綠盟、思樂等）開始對客戶提供信息系統(tǒng)安全評估服務，并且承擔了一些行業(yè)單位的系統(tǒng)安全評估工作。評估工具一般使用自己開發(fā)或免費獲得的系統(tǒng)漏洞掃描軟件。 外資企業(yè)在我國進行的系統(tǒng)安全評估： 外資企業(yè)（如安氏中國、英國 BSI、 IBM、微軟等）已經涉足我國的信息系統(tǒng)安全評估工作，并且圍繞著信息安全技術及安全評測，進行了一些教育培訓和系統(tǒng)評估的工作，甚至在很多關鍵行業(yè)（如銀行、電信行業(yè)），開展了較多的風險評估服務。 信息化依賴程度高的行業(yè)和部門： 如海關總署、電力、金融、鐵路、通信、寶鋼、上海社會保障中心等行業(yè)和部門，信息化手段已經成為其生產第一線上不可或缺的工作平臺。在安全事件的驅動下，行業(yè)管理部門制定了針對本行業(yè)有關信息安全要求的文件。有的單位還建立了行業(yè)性的信息安全實驗室，開展了針對本行業(yè)的信息安全需求和解決方案的研究與規(guī)劃實施。 信息化依賴程度低的行業(yè)和部門： 這類行業(yè)和部門，信息化程度不高，依賴程度不強。 仍然存在的問題： 1．信息系統(tǒng)安全風險評估的研究積累不足?？茖W的風險評估需要理論、方法、技術和工具來支撐。對國際上的理論和技術發(fā)展的了解、跟蹤、分析也不夠系統(tǒng)、深入和廣泛。因此，僅靠目前的 IT企業(yè)，通用技術平臺的脆弱性分析，難以真正掌握和了解具體行業(yè)、部門的資產、威脅和風險。 2．缺乏信息系統(tǒng)安全風險評估的規(guī)范化標準。誰運營，誰負責 ” 的原則。這需要針對風險評估的任務、責任、過程、程序制定規(guī)范的標準，才能統(tǒng)一要求，落到實處。 3．熟悉和有能力進行風險評估的專業(yè)技術和管理人才匱乏。一些已開始進行信息系統(tǒng)安全評估的國內企業(yè)，也是骨干成員邊學習，邊培養(yǎng)一般業(yè)務人員，邊進行評估項目。被評單位更是缺乏有能力進行配合的人員。 4．信息系統(tǒng)安全風險評估的角色和責任混亂。評估中應該有什么人參加？他們應該扮演什么角色？承擔什么責任？這些責任通過什么過程和手續(xù)體現(xiàn)？這一系列的問題還沒有明確的答案。有的被評單位在工作進行到一定階段后，認為評估結論不用請人來做也能想出（對信息安全管理體系的評估尤其如此），而且還花費了很多資金。此外，目前由信息安全企業(yè)實施的風險評估工作中，被評單位的實際配合往往不夠，限制頗多，使評估方難于了解該單位的業(yè)務特點和管理要求。改進工作的建議和結論時遭束之高閣。 5．風險評估存在風險。調研中一些單位反映了如下一些情況： ? 有的公司參加評估的人員，在離職赴國外學習中，將被評單位的問題和解決辦法作為自己的學業(yè)論文內容公諸于世。 ? 某單位在進行風險評估前，雖然也存在網(wǎng)絡入侵現(xiàn)象，但是這些入侵僅處于試探和掃描狀況。 ? 總之，我國在信息安全的測評認證方面開展了一些工作，積累了一些經驗，但是對信息系統(tǒng)的風險評估還處于起步階段，有待規(guī)范提高，并需納入等級保護的總體制度和機制中。 什么是信息安全風險評估 風險是個傳統(tǒng)概念 ? 天有不測風云，人有旦夕禍福 IT成為成熟的生產力還要走很長的路 ? RSA2022會議的一個報告提出問題 ? 為什么是今天的軟件工程方法學有缺點 ? 為什么軟件缺點對 cybersecurity 是一個關鍵的挑戰(zhàn) ? 我們?yōu)槭裁磻摿⒖绦拚覀儗戃浖姆绞? ? 我們如何測度軟件質量和軟件安全性 ? 我們必須對軟件開發(fā)者提供什么激勵 ? Complexity: Bugs per KLOC ? 5 B/KLOC in QAtested software ? QA testing includes fault injection and failure analysis ? 50 B/KLOC in featuretested (mercial) software ? Examples ? Solaris 7 = 400 KLOC 2K –20K bugs ? Linux = MLOC –75K bugs ? Windows NT = 35 MLOC 175K – bugs ? Windows XP = 40 MLOC 200K – bugs ? Boeing 777 = 7 MLOC 35K –350K bugs 數(shù)學支持攻擊者 ? 沖擊波的成功是合乎邏輯的 ? 考慮 30 K 節(jié)網(wǎng)絡 (中型的公司 ) ? 每個節(jié)平均有 3,000個 exe 模塊 ? 每個模塊有關 100 KB ? 假設每行代碼 (LOC) =10byte代碼 ? 然后每個 100 KB exe 模塊 =10 KLOC ? 每個模塊有約 50( 到 500)bug ? 這樣每個主節(jié)點存在 150 K(到 M)bug在這樣的網(wǎng)絡中 ? 150 Kbug*30K節(jié)點 = B bug ? 假定 10% 的 bug能造成安全失敗 ? 那么有 45 M 個可被遠程利用的 bug 信息化的發(fā)展在數(shù)字世界凸顯了風險 面對對風險存在不同認識 ? 有的同志把信息安全目標定位于 : ? 系統(tǒng)永不停機 ? 數(shù)據(jù)永不丟失 ? 網(wǎng)絡永不癱瘓 ? 信息永不泄密 ? 有的同志認為信息安全無能為力 ? 美國 FBI對付不了黑客 ? 信息安全專家對付不了中學生 ? 有的同志覺得信息安全問題越來越說不清楚 ? 信息系統(tǒng)是一個智能化、人機交互、非線性、時變、復雜、巨系統(tǒng) 出路何在？ ? 科學的發(fā)展觀 ? 人類對真理的認識是一個不斷的求極限的過程 ? 具體問題具體分析是認識論的精髓 ? 實踐是檢驗真理的唯一標準 信息系統(tǒng)的安全風險 信息系統(tǒng)的安全風險，是由來自人為的與自然的威脅利用系統(tǒng)存在的脆弱性造成的安全事件發(fā)生的可能性及其可能造成的影響。它要評估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產生的實際負面影響，并根據(jù)安全事件發(fā)生的可能性和負面