1、我看信息安全風(fēng)險評估工作寧家駿（國家信息中心）2005.10提綱信息安全與風(fēng)險評估風(fēng)險評估貴在探索努力研發(fā)符合我國特色的評估體系安全保密需要風(fēng)險評估克服安全“亞健康”的必由之路醫(yī)學(xué)專家告訴我們：人的軀體有健康、亞健康和患病等多種狀態(tài)但成年人多數(shù)處于亞健康狀態(tài)如何確認(rèn)和發(fā)現(xiàn)問題，必須體檢信息系統(tǒng)也一樣，在安全狀態(tài)方面，常常處于“亞健康”甚至患病狀態(tài)，因此也要“體檢”這就是風(fēng)險評估環(huán)境和背景近年來，我國經(jīng)濟(jì)社會持續(xù)快速發(fā)展發(fā)展，信息化步伐加快，在促進(jìn)經(jīng)濟(jì)發(fā)展、調(diào)整經(jīng)濟(jì)結(jié)構(gòu)、改造傳統(tǒng)產(chǎn)業(yè)和提高人民生活質(zhì)量等方面發(fā)揮了不可替代的重要作用。一方面社會經(jīng)濟(jì)對信息化的依賴程度越來越高，同時逐步建設(shè)和積累了一

2、批寶貴的信息資產(chǎn)。 與之而來的各類計算機(jī)犯罪及“黑客”攻擊網(wǎng)絡(luò)事件屢有發(fā)生，手段也越來越高技術(shù)化，從而對各國的主權(quán)、安全和社會穩(wěn)定構(gòu)成了威脅。 計算機(jī)互聯(lián)網(wǎng)絡(luò)涉及社會經(jīng)濟(jì)生活各個領(lǐng)域，并直接與世界相聯(lián)，可以說是國家的一個政治“關(guān)口”，一條經(jīng)濟(jì)“命脈”。網(wǎng)絡(luò)與信息安全已上升為一個事關(guān)國家政治穩(wěn)定、社會安定、經(jīng)濟(jì)有序運(yùn)行和社會主義精神文明建設(shè)的全局性問題。 風(fēng)險評估是一種方法和依據(jù)信息安全風(fēng)險是由于資產(chǎn)的重要性，人為或自然的威脅利用信息系統(tǒng)及其管理體系的脆弱性，導(dǎo)致安全事件一旦發(fā)生所造成的影響。信息安全風(fēng)險評估是指依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的機(jī)密性、完整

3、性和可用性等安全屬性進(jìn)行評價的過程。它要評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性，并結(jié)合安全事件所涉及的資產(chǎn)價值來判斷安全事件一旦發(fā)生對組織造成的影響，即信息安全的風(fēng)險。信息安全風(fēng)險評估是信息系統(tǒng)安全保障機(jī)制建立過程中的一種評價方法，其結(jié)果為信息安全風(fēng)險管理提供依據(jù)。風(fēng)險評估的理念安全需要風(fēng)險管理，信息安全更需要風(fēng)險管理風(fēng)險評估是當(dāng)前解決信息安全問題的重要手段安全措施 抵御業(yè)務(wù)戰(zhàn)略脆弱性安全需求威脅風(fēng)險殘余風(fēng)險安全事件依賴具有被滿足利用暴露降低增加加依賴增加導(dǎo)出演變 未被滿足未控制可能誘發(fā)殘留成本資產(chǎn)資產(chǎn)價值風(fēng)險要素關(guān)系示意圖風(fēng)險分析的基本要素風(fēng)險分析中要涉及資產(chǎn)、威脅、脆弱性

4、等基本要素。每個要素有各自的屬性資產(chǎn)的屬性是資產(chǎn)價值；威脅的屬性是威脅出現(xiàn)的頻率；脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度。否是否是風(fēng)險評估準(zhǔn)備已有安全措施的確認(rèn)風(fēng)險計算風(fēng)險是否接受保持已有的安全措施施施施選擇適當(dāng)?shù)陌踩胧┎⒃u估殘余風(fēng)險實(shí)施風(fēng)險管理脆弱性識別威脅識別資產(chǎn)識別是否接受殘余風(fēng)險 風(fēng)險分析評估過程文檔評估過程文檔風(fēng)險評估文件記錄評估結(jié)果文檔風(fēng)險評估實(shí)施流程示意圖風(fēng)險分析主要內(nèi)容對資產(chǎn)進(jìn)行識別，并對資產(chǎn)的重要性進(jìn)行賦值；對威脅進(jìn)行識別，描述威脅的屬性，并對威脅出現(xiàn)的頻率賦值；對資產(chǎn)的脆弱性進(jìn)行識別，并對具體資產(chǎn)的脆弱性的嚴(yán)重程度賦值；根據(jù)威脅和脆弱性的識別結(jié)果判斷安全事件發(fā)生的可能性；根據(jù)脆

5、弱性的嚴(yán)重程度及安全事件所作用資產(chǎn)的重要性計算安全事件的損失；根據(jù)安全事件發(fā)生的可能性以及安全事件的損失，計算安全事件一旦發(fā)生對組織的影響，即風(fēng)險值。不打無準(zhǔn)備之仗做好準(zhǔn)備風(fēng)險評估的準(zhǔn)備是整個風(fēng)險評估過程有效性的保證。在風(fēng)險評估實(shí)施前，應(yīng)：確定風(fēng)險評估的目標(biāo)；確定風(fēng)險評估的范圍；組建適當(dāng)?shù)脑u估管理與實(shí)施團(tuán)隊(duì)；選擇與組織相適應(yīng)的具體的風(fēng)險判斷方法；獲得最高管理者對風(fēng)險評估工作的支持。風(fēng)險評估的準(zhǔn)備階段明確目標(biāo)應(yīng)明確風(fēng)險評估的目標(biāo)，為風(fēng)險評估的過程提供導(dǎo)向。信息系統(tǒng)是重要的資產(chǎn)，其機(jī)密性、完整性和可用性對于維持競爭優(yōu)勢、獲利能力、法規(guī)要求和組織形象是必要的。確定范圍基于風(fēng)險評估目標(biāo)確定評估范圍是完

6、成風(fēng)險評估的前提。風(fēng)險評估范圍可能是組織全部的信息及與信息處理相關(guān)的各類資產(chǎn)、管理機(jī)構(gòu)，也可能是某獨(dú)立的系統(tǒng)，關(guān)鍵業(yè)務(wù)流程，與客戶知識產(chǎn)權(quán)相關(guān)的系統(tǒng)或部門等。組建團(tuán)隊(duì)組建適當(dāng)?shù)娘L(fēng)險評估管理與實(shí)施團(tuán)隊(duì)，以支持整個過程的推進(jìn)，如成立由管理層、相關(guān)業(yè)務(wù)骨干、IT技術(shù)人員等組成的風(fēng)險評估小組。評估團(tuán)隊(duì)?wèi)?yīng)能夠保證風(fēng)險評估工作的有效開展。選擇方法應(yīng)考慮評估的目的、范圍、時間、效果、人員素質(zhì)等因素來選擇具體的風(fēng)險判斷方法，使之能夠與組織環(huán)境和安全要求相適應(yīng)。獲得支持上述所有內(nèi)容確定后應(yīng)得到組織的最高管理者的支持、批準(zhǔn)，并對管理和技術(shù)人員進(jìn)行傳達(dá)和在組織范圍就風(fēng)險評估進(jìn)行培訓(xùn)資產(chǎn)識別資產(chǎn)是具有價值的信息或資源

7、，是安全策略保護(hù)的對象。它能夠以多種形式存在，有無形的、有形的，有硬件、軟件，有文檔、代碼，也有服務(wù)、形象等。機(jī)密性、完整性和可用性是評價資產(chǎn)的三個安全屬性。信息安全風(fēng)險評估中資產(chǎn)的價值不僅僅以資產(chǎn)的賬面價格來衡量，而是由資產(chǎn)在這三個安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時所造成的影響程度來決定的。安全屬性達(dá)成程度的不同將使資產(chǎn)具有不同的價值，而資產(chǎn)面臨的威脅、存在的脆弱性、以及已采取的安全措施都將對資產(chǎn)安全屬性的達(dá)成程度產(chǎn)生影響。為此，有必要對組織中的資產(chǎn)進(jìn)行識別。資產(chǎn)分類風(fēng)險評估中，資產(chǎn)大多屬于不同的信息系統(tǒng)，如OA系統(tǒng)、網(wǎng)管系統(tǒng)、業(yè)務(wù)生產(chǎn)系統(tǒng)等，而且對于提供多種業(yè)務(wù)的組織，其支持業(yè)務(wù)持

8、續(xù)運(yùn)行的系統(tǒng)數(shù)量可能更多。這時首先需要將信息系統(tǒng)及相關(guān)的資產(chǎn)進(jìn)行恰當(dāng)?shù)姆诸?，以此為基礎(chǔ)進(jìn)行下一步的風(fēng)險評估。在實(shí)際工作中，具體的資產(chǎn)分類方法可以根據(jù)具體的評估對象和要求，由評估者來靈活把握。根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、服務(wù)、人員等類。風(fēng)險評估尚需探索、貴在實(shí)踐今年我有幸參加了國信辦組織的一些試點(diǎn)工作看到了試點(diǎn)單位的成績和取得的經(jīng)驗(yàn)，獲益良多也發(fā)現(xiàn)了還有不少問題急需探索和研究參與了試點(diǎn)咨詢工作協(xié)助修訂關(guān)于開展信息安全風(fēng)險評估工作的意見，提供相關(guān)的咨詢和技術(shù)支持。參與試點(diǎn)的相關(guān)咨詢工作1、準(zhǔn)備階段：組織八個試點(diǎn)單位的相關(guān)人員進(jìn)行培訓(xùn)，明確風(fēng)險評估流程和風(fēng)險評估準(zhǔn)備階段的

9、任務(wù)，協(xié)助試點(diǎn)單位制定其風(fēng)險評估實(shí)施方案。標(biāo)準(zhǔn)培訓(xùn)試點(diǎn)方案編制的培訓(xùn)2、實(shí)施階段：調(diào)研試點(diǎn)方案實(shí)施情況，了解試點(diǎn)單位對評估及管理的流程、方法、工具的使用存在的問題，充實(shí)和完善標(biāo)準(zhǔn)。選擇重點(diǎn)單位進(jìn)行調(diào)研，并對關(guān)鍵階段進(jìn)行蹲點(diǎn)，以切實(shí)了解單位試點(diǎn)工作過程中存在的問題，為兩個標(biāo)準(zhǔn)的完善提供實(shí)踐素材；進(jìn)行試點(diǎn)中期總結(jié)，為指導(dǎo)意見提供階段性素材；根據(jù)試點(diǎn)單位需求，進(jìn)行有針對性的培訓(xùn)和咨詢，協(xié)助完成試點(diǎn)工作參與了試點(diǎn)咨詢工作（續(xù)）總結(jié)階段：協(xié)助國信辦匯總試點(diǎn)工作情況，總結(jié)修改意見，并完善標(biāo)準(zhǔn)。在各試點(diǎn)單位正式總結(jié)之前，召開專家組評審會；為國信辦試點(diǎn)工作總結(jié)提供基礎(chǔ)素材。標(biāo)準(zhǔn)的完善充實(shí)和完善信息安全風(fēng)險評估

10、指南和信息安全風(fēng)險管理指南，通過試點(diǎn)工作提出兩個標(biāo)準(zhǔn)的修改意見。同時進(jìn)行與標(biāo)準(zhǔn)相關(guān)的配套理論、方法和規(guī)范的研究。試點(diǎn)工作與標(biāo)準(zhǔn)驗(yàn)證試點(diǎn)工作對去年國信辦組織制定的兩項(xiàng)試行標(biāo)準(zhǔn)進(jìn)行了驗(yàn)證，提出了修訂建議絕大多數(shù)試點(diǎn)單位大都參照了去年國信辦和國家安標(biāo)委組織編寫的信息安全風(fēng)險評估指南及信息安全風(fēng)險管理指南。試點(diǎn)單位大都結(jié)合自身的具體情況，選擇了相應(yīng)的評估方法和適當(dāng)?shù)陌踩刂拼胧┘肮芾砹鞒?，?shí)踐經(jīng)驗(yàn)證明各試點(diǎn)單位評估基于的基本原則和核心方法與試行標(biāo)準(zhǔn)指南大體吻合一致。 收獲和體會提高了對風(fēng)險評估工作的認(rèn)識和理解方法科學(xué)、機(jī)制長效為國信辦風(fēng)險評估工作文件起草積累了素材檢驗(yàn)了標(biāo)準(zhǔn)，兩項(xiàng)試行標(biāo)準(zhǔn)得到了基本肯定

11、初步規(guī)范了評估內(nèi)容，演練了評估的實(shí)施流程體現(xiàn)了創(chuàng)新，積累了成果，培訓(xùn)了人才試點(diǎn)工作技術(shù)上特點(diǎn)方法科學(xué)，積極探索既注意了統(tǒng)一規(guī)范，又堅持了方法的多樣性注意遵循和驗(yàn)證標(biāo)準(zhǔn)（討論稿）試行了部分評估技術(shù)方法，重視了評估的科學(xué)性評估方法的百花齊放和創(chuàng)新性注意控制了評估自身的風(fēng)險及時總結(jié)經(jīng)驗(yàn)和問題典型方法之一：綜合風(fēng)險計算法評估過程規(guī)范化摸清家底：劃分資產(chǎn)類型，建立重要資產(chǎn)清單，識別資產(chǎn)重要性分析威脅和分析脆弱性兩種途徑按層次分析脆弱性判定安全時間及其影響計算威脅風(fēng)險值制定風(fēng)險控制措施典型方法之一：計算系統(tǒng)綜合風(fēng)險（續(xù)）資產(chǎn)綜合風(fēng)險計算三種做法選擇該資產(chǎn)中分析風(fēng)險最高的作為風(fēng)險，乘以資產(chǎn)值，作為該資產(chǎn)風(fēng)險

12、將資產(chǎn)中每一威脅的風(fēng)險之于資產(chǎn)值相乘，得到多個資產(chǎn)的風(fēng)險值構(gòu)建模型，進(jìn)行綜合計算綜合風(fēng)險：R=V*cRti*Qc+ARti*QA+IRti*Qi其中R:總風(fēng)險，V:該資產(chǎn)得分， 為威脅累計C:機(jī)密性，I:完整性，A:可用性典型方法之二：差距分析風(fēng)險評估方法-差距分析法建立分析模型在風(fēng)險評估中通過識別、判斷和分析目標(biāo)系統(tǒng)的安全現(xiàn)狀與安全要求之間的差距確定系統(tǒng)風(fēng)險的分析方法。也就是說，目標(biāo)系統(tǒng)的可接受風(fēng)險和系統(tǒng)殘余風(fēng)險間的差距就是系統(tǒng)存在的風(fēng)險。構(gòu)建差距分析法模型 風(fēng)險分析模型差距分析法的實(shí)施路徑步驟一 :調(diào)研目標(biāo)系統(tǒng)狀況步驟二：確定信息系統(tǒng)安全要求任務(wù)1：確定信息系統(tǒng)安全等級任務(wù)2：確定和規(guī)范化

13、描述信息系統(tǒng)的安全要求步驟三：評估信息系統(tǒng)安全現(xiàn)狀任務(wù)1：信息系統(tǒng)安全現(xiàn)狀評估報告步驟四：對信息安全風(fēng)險進(jìn)行差距分析和風(fēng)險計算任務(wù)1：評估信息系統(tǒng)安全現(xiàn)狀對信息系統(tǒng)安全要求的符合程度，即信息系統(tǒng)現(xiàn)有安全措施在當(dāng)前系統(tǒng)運(yùn)行環(huán)境下是否滿足其安全要求任務(wù)2：對信息系統(tǒng)安全執(zhí)行能力進(jìn)行評估，評估信息系統(tǒng)安全級（包括技術(shù)架構(gòu)能力級、工程能力級和管理能力級的評定）,與要達(dá)到目標(biāo)的安全等級步驟五：用戶根據(jù)信息系統(tǒng)安全風(fēng)險評估的結(jié)果進(jìn)行風(fēng)險控制，形成滿足其信息系統(tǒng)安全要求的信息系統(tǒng)安全保障能力。典型方法之三：量化風(fēng)險對風(fēng)險量化計算方法進(jìn)行擴(kuò)展風(fēng)險的計算方法目前還沒有明細(xì)的技術(shù)標(biāo)準(zhǔn)，通常效果比較好的計算方式為：

14、RATV=E*D；T=Ts*Tf，EATs，D= Tf* V其中R為風(fēng)險值， A為資產(chǎn)價值，T為威脅值，V為脆弱性值，E為資產(chǎn)損失產(chǎn)生的影響，D為資產(chǎn)暴露程度，Ts為威脅的嚴(yán)重程度，Tf為威脅發(fā)生的可能性。典型方法之三：量化風(fēng)險（續(xù)）在本次試點(diǎn)中，結(jié)合試點(diǎn)單位評估實(shí)踐經(jīng)驗(yàn)、以及行業(yè)管理特性，有的試點(diǎn)單位對風(fēng)險計算方法進(jìn)行了如下的擴(kuò)展：其中：c代表“機(jī)密性方面的”、i代表“完整性方面的”、a代表“可用性方面的”，t代表“技術(shù)方面的”、m代表“管理方面的”、o代表“運(yùn)維方面的”、W為技術(shù)、運(yùn)維和管理脆弱性之間的相關(guān)性，Wt 、Wm 、Wo 之和等于1。典型方法之四：面向關(guān)鍵信息資產(chǎn)的評估方法 （續(xù)

15、）威脅路徑分析法面向關(guān)鍵信息資產(chǎn)的層次分析法利用等級保護(hù)支撐平臺的評估方法 試點(diǎn)工作出現(xiàn)了一批成果上海市的風(fēng)險評估管理軟件評估模型和方法的創(chuàng)新與探索北京市利用了已有的工具平臺，形成了評估輔助工具平臺黑龍江提出了基于模糊綜合判定理論的風(fēng)險評估判定方法既有量化的探索，也有定性為主的探索云南提出了增加業(yè)務(wù)流分析和已有控制措施的有效性識別或判定試點(diǎn)工作出現(xiàn)了一批成果（續(xù)）國家稅務(wù)總局提出了差距分析法，細(xì)化了流程國電公司提出了符合行業(yè)特點(diǎn)的方法，初步形成了行業(yè)安全評估方法論，涵蓋了安全定義、安全評測和風(fēng)險分析的全過程試點(diǎn)工作發(fā)現(xiàn)的問題技術(shù)評測工具， 缺乏統(tǒng)一的要求和資質(zhì)認(rèn)定模擬環(huán)境或聯(lián)機(jī)旁路測試環(huán)境的不

16、完備和缺乏測試深度的不平衡管理標(biāo)準(zhǔn)規(guī)范試行標(biāo)準(zhǔn)指南總體得到肯定，但尚需進(jìn)一步完善下一步建議認(rèn)真總結(jié)經(jīng)驗(yàn)統(tǒng)一規(guī)劃、建立制度。制定國家基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)的風(fēng)險評估總體規(guī)劃以及“十一五”期間的工作計劃。積極推進(jìn)風(fēng)險評估基本管理制度的建立；應(yīng)盡快就國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)風(fēng)險評估工作所涉及的領(lǐng)導(dǎo)體制、協(xié)調(diào)機(jī)制、認(rèn)證與認(rèn)可、監(jiān)管和督察、評估時間、評估對象、評估范圍、評估方式、評估人員資質(zhì)、評估結(jié)果發(fā)布和備案等內(nèi)容，進(jìn)一步開展研究，形成風(fēng)險評估工作管理法規(guī)制度加快建立、逐步完善標(biāo)準(zhǔn)規(guī)范體系。標(biāo)準(zhǔn)規(guī)范是推廣和實(shí)施風(fēng)險評估工作的法律依據(jù)和技術(shù)保障，要加快風(fēng)險評估管理與技術(shù)標(biāo)準(zhǔn)的制定和完善， 研究評估

17、機(jī)構(gòu)服務(wù)標(biāo)準(zhǔn)、資質(zhì)認(rèn)可與資質(zhì)的核查評估的管理辦法；盡快出臺國家標(biāo)準(zhǔn)。建設(shè)獨(dú)立自主、符合國際慣例的風(fēng)險評估技術(shù)支撐體系舉國家之力，支持建設(shè)獨(dú)立自主、符合國際慣例的風(fēng)險評估技術(shù)支撐體系。建設(shè)國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)風(fēng)險評估的基礎(chǔ)設(shè)施和基礎(chǔ)環(huán)境；落實(shí)開發(fā)相關(guān)技術(shù)和產(chǎn)品的攻關(guān)項(xiàng)目。通過研發(fā)自主關(guān)鍵技術(shù)和設(shè)備，滿足國家網(wǎng)絡(luò)基礎(chǔ)設(shè)施和重要信息系統(tǒng)的風(fēng)險評估需求，支持安全評估應(yīng)用逐步建立符合國際慣例、達(dá)到國際先進(jìn)水平的安全評估技術(shù)支撐體系安全測試評估工具、平臺與環(huán)境促進(jìn)建立國家信息安全測試評估體系形成示范應(yīng)用產(chǎn)品和系統(tǒng)測試評估工具產(chǎn)品和系統(tǒng)測試評估支撐環(huán)境建立先進(jìn)的測試評估標(biāo)準(zhǔn)體系和開發(fā)環(huán)境系統(tǒng)等級保

18、護(hù)測試評估平臺安全測試評估技術(shù)與系統(tǒng)下一步建議（續(xù)）加強(qiáng)風(fēng)險評估工作隊(duì)伍的建設(shè)，重視培訓(xùn)、建立風(fēng)險評估機(jī)構(gòu)管理制度在已有基礎(chǔ)上，整合資源，分類指導(dǎo)，組建不同等級的風(fēng)險評估機(jī)構(gòu)，分別承擔(dān)國家和地方基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)以及本行業(yè)信息系統(tǒng)風(fēng)險評估工作，形成風(fēng)險評估的骨干力量。風(fēng)險評估敏感性很強(qiáng)，如果引導(dǎo)不當(dāng)，管理不到位，有可能因?yàn)轱L(fēng)險評估帶來新的安全隱患。對國家基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的風(fēng)險評估，實(shí)行資質(zhì)準(zhǔn)入制度，只充許經(jīng)國家批準(zhǔn)的風(fēng)險評估機(jī)構(gòu)實(shí)施風(fēng)險評估。國家必須加強(qiáng)風(fēng)險評估評估工作的管理，建立服務(wù)標(biāo)準(zhǔn)、資質(zhì)認(rèn)可與資質(zhì)核查評估制度。限于水平和精力，不妥之處，歡迎批評指正!謝 謝!憂國忘家，捐軀濟(jì)難，忠臣之志也。三國曹植求自誠表。7月-227月-22Friday, July 22, 2022墨守成規(guī)，四平八穩(wěn)，優(yōu)柔寡斷，畏首畏尾，不是企業(yè)家的氣質(zhì)。03:01:5003:01:5003:017/22/2022 3:01:50 AM心境，是一種情感狀況，領(lǐng)有了好心情，也就擁有了，繼而占有了年青跟健康。就擁有了對將來生活的憧憬，充斥等待，讓咱們擁有一份善意情吧，由于生涯著就是榮幸和快活。