曲成義研究員提升信息安全風(fēng)險(xiǎn)評(píng)估意識(shí)

強(qiáng)化信息安全保障體系建設(shè)1信息安全面臨的威脅網(wǎng)上黑客與計(jì)算機(jī)欺詐網(wǎng)絡(luò)病毒的蔓延和破壞有害信息內(nèi)容污染與輿情誤導(dǎo)機(jī)要信息流失與“諜件”潛入內(nèi)部人員誤用、濫用、惡用IT產(chǎn)品的失控（分發(fā)式威脅）物理臨近式威脅網(wǎng)上恐怖活動(dòng)與信息戰(zhàn)網(wǎng)絡(luò)的脆弱性和系統(tǒng)漏洞2網(wǎng)絡(luò)突發(fā)事件正在引起全球關(guān)注2000年2月7日美國(guó)網(wǎng)上恐怖事件造成巨大損失

（DDos、八大重要網(wǎng)站、$12億美元）2001年日本東京國(guó)際機(jī)場(chǎng)航管失靈，影響巨大

（紅色病毒、幾百架飛機(jī)無法起降、千人行程受阻）2003年美國(guó)銀行的ATM網(wǎng)遭入侵，損失慘重

（Slammer、幾十億美元）

2004年震蕩波幾天波及全球2005年CardSystem公司4000萬張卡用戶信息被盜

（美國(guó)最大的竊密事件、植入特洛伊木馬、假冒消費(fèi)）網(wǎng)絡(luò)正在成為恐怖組織聯(lián)絡(luò)和指揮工具（911、倫敦事件）9.11事件造成世貿(mào)中心1200家企業(yè)信息網(wǎng)絡(luò)蕩然無存

（有DRP/NCP的400家企業(yè)能夠恢復(fù)和生存）網(wǎng)絡(luò)輿情的爆發(fā)波及到物理社會(huì)的穩(wěn)定信息網(wǎng)絡(luò)的失竊密事件層出不窮3我國(guó)網(wǎng)絡(luò)信息安全入侵事件態(tài)勢(shì)嚴(yán)竣(CNCERT/CC05年度報(bào)告數(shù)據(jù))

收到信息安全事件報(bào)告12萬件(04年的2倍)監(jiān)測(cè)發(fā)現(xiàn)2萬臺(tái)計(jì)算機(jī)被木馬遠(yuǎn)程控制(04年的2倍)發(fā)現(xiàn)1.4萬個(gè)網(wǎng)站遭黑客篡改,其中政府網(wǎng)站2千(04年的2倍)網(wǎng)絡(luò)釣魚(身份竊取)事件報(bào)告400件(04年的2倍)監(jiān)測(cè)發(fā)現(xiàn)70萬臺(tái)計(jì)算機(jī)被植入諜件(源頭主要在國(guó)外)發(fā)現(xiàn)僵尸網(wǎng)絡(luò)143個(gè)(受控計(jì)算機(jī)250萬臺(tái))4互聯(lián)網(wǎng)信息安全威脅的某些新動(dòng)向

僵尸網(wǎng)絡(luò)威脅興起諜件泛濫值得嚴(yán)重關(guān)注網(wǎng)絡(luò)釣魚的獲利動(dòng)機(jī)明顯網(wǎng)頁(yè)篡改(嵌入惡意代碼),誘人上當(dāng)DDoS開始用于敲詐

木馬潛伏孕育著殺機(jī)獲利和竊信傾向正在成為主流5領(lǐng)導(dǎo)重視、管理較嚴(yán)、常規(guī)的系統(tǒng)和外防機(jī)制基本到位深層隱患值得深思

內(nèi)控機(jī)制脆弱高危漏洞存在信息安全域界定與邊控待探索風(fēng)險(xiǎn)自評(píng)估能力弱災(zāi)難恢復(fù)不到位用戶自控權(quán)不落實(shí)----------“重要信息系統(tǒng)”安全態(tài)勢(shì)與深層隱患（案例考察）6國(guó)家信息化領(lǐng)導(dǎo)小組第三次會(huì)議《關(guān)于加強(qiáng)信息安全保障工作的意見》—中辦發(fā)[2003]27號(hào)文—

堅(jiān)持積極防御、綜合防范全面提高信息安全防護(hù)能力

重點(diǎn)保障信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境保障和促進(jìn)信息化發(fā)展、保護(hù)公眾利益、維護(hù)國(guó)家安全立足國(guó)情、以我為主、管理與技術(shù)并重、統(tǒng)籌規(guī)劃、突出重點(diǎn)

發(fā)揮各界積極性、共同構(gòu)筑國(guó)家信息安全保障體系

7國(guó)家信息安全保障工作要點(diǎn)

實(shí)行信息安全等級(jí)保護(hù)制度：風(fēng)險(xiǎn)與成本、資源優(yōu)化配置、安全風(fēng)險(xiǎn)評(píng)估

基于密碼技術(shù)網(wǎng)絡(luò)信任體系建設(shè)：密碼管理體制、身份認(rèn)證、授權(quán)管理、責(zé)任認(rèn)定

建設(shè)信息安全監(jiān)控體系：提高對(duì)網(wǎng)絡(luò)攻擊、病毒入侵、網(wǎng)絡(luò)失竊密、有害信息的防范能力

重視信息安全應(yīng)急處理工作：指揮、響應(yīng)、協(xié)調(diào)、通報(bào)、支援、抗毀、災(zāi)備

推動(dòng)信息安全技術(shù)研發(fā)與產(chǎn)業(yè)發(fā)展：關(guān)鍵技術(shù)、自主創(chuàng)新、強(qiáng)化可控、引導(dǎo)與市場(chǎng)、測(cè)評(píng)認(rèn)證、采購(gòu)、服務(wù)

信息安全法制與標(biāo)準(zhǔn)建設(shè)：信息安全法、打擊網(wǎng)絡(luò)犯罪、標(biāo)準(zhǔn)體系、規(guī)范網(wǎng)絡(luò)行為

信息安全人材培養(yǎng)與增強(qiáng)安全意識(shí)：學(xué)科、培訓(xùn)、意識(shí)、技能、自律、守法

信息安全組織建設(shè)：信息安全協(xié)調(diào)小組、責(zé)任制、依法管理8國(guó)家信息安全保障工作高層會(huì)議(2004.1.9)

信息安全的重要性：IT增長(zhǎng)25%、GDP的6%、強(qiáng)烈依賴

信息安全的重大案例信息安全存在的問題

一個(gè)并重、兩手抓、三個(gè)同步新思路、新眼光，建立信息安全保障體系

關(guān)鍵技術(shù)產(chǎn)品要自主可控認(rèn)真落實(shí)中央27號(hào)文件9《國(guó)家信息安全戰(zhàn)略報(bào)告》

—國(guó)信[2005]2號(hào)文—

維護(hù)國(guó)家在網(wǎng)絡(luò)空間的根本利益確保國(guó)家的經(jīng)濟(jì)、政治、文化和信息的安全三大信息基礎(chǔ)設(shè)施、八大重要信息系統(tǒng)、信息內(nèi)容信息安全基礎(chǔ)支撐能力信息安全防護(hù)與對(duì)抗能力網(wǎng)絡(luò)突發(fā)事件快速反應(yīng)能力網(wǎng)絡(luò)輿情駕馭能力綜合治理、協(xié)調(diào)聯(lián)動(dòng)、群防群治政策、標(biāo)準(zhǔn)、管理、技術(shù)、產(chǎn)業(yè)、人材、理論

構(gòu)筑國(guó)家信息安全保障體系信息安全長(zhǎng)效機(jī)制信息安全戰(zhàn)略的主動(dòng)權(quán)------

10《2006-2020年年國(guó)國(guó)家家信信息息化化發(fā)發(fā)展展戰(zhàn)戰(zhàn)略略》》—中辦辦[2006]11號(hào)號(hào)文文—第(八八)部部分分:““建建設(shè)設(shè)國(guó)國(guó)家家信信息息安安全全保保障障體體系系””實(shí)現(xiàn)現(xiàn)信信息息化化與與信信息息安安全全協(xié)協(xié)調(diào)調(diào)發(fā)發(fā)展展增強(qiáng)強(qiáng)信信息息基基礎(chǔ)礎(chǔ)設(shè)設(shè)施施和和重重要要信信息息系系統(tǒng)統(tǒng)抗抗毀毀能能力力增強(qiáng)強(qiáng)國(guó)國(guó)家家信信息息安安全全保保障障能能力力研究究國(guó)國(guó)際際信信息息安安全全先先進(jìn)進(jìn)理理論論、、先先進(jìn)進(jìn)技技術(shù)術(shù)掌握握核核心心安安全全技技術(shù)術(shù)、、提提高高關(guān)關(guān)鍵鍵設(shè)設(shè)備備裝裝備備能能力力促進(jìn)進(jìn)我我國(guó)國(guó)信信息息安安全全技技術(shù)術(shù)和和產(chǎn)產(chǎn)業(yè)業(yè)的的自自主主發(fā)發(fā)展展完善國(guó)家家信息安安全長(zhǎng)效效機(jī)制------11“信息安安全”內(nèi)內(nèi)涵保值威脅威脅發(fā)起者資產(chǎn)擁有者對(duì)策脆弱性風(fēng)險(xiǎn)系統(tǒng)資產(chǎn)使命貶值利用增加濫用與破破壞發(fā)現(xiàn)意識(shí)到減少降低合法與可可用？12信息安全全概念演演變?cè)缙冢和ㄍㄐ疟Ｃ苊茈A段（（ComSec），通通信內(nèi)容容保密為為主中期：信信息安全全階段（（InfoSec），，信息自自身的靜靜態(tài)防護(hù)護(hù)為主近期：信信息保障障階段（（InformationAssurance—IA）），強(qiáng)調(diào)動(dòng)態(tài)態(tài)的、縱縱深的、、生命周周期的、、整個(gè)信信息系統(tǒng)統(tǒng)資產(chǎn)的的信息對(duì)對(duì)抗。我們當(dāng)前前所指““信息安安全”=““信息保保障”，，即“在整個(gè)個(gè)生命周周期中，，處在縱縱深防御御和動(dòng)態(tài)態(tài)對(duì)抗的的信息系系統(tǒng)，為為保障其其中數(shù)據(jù)據(jù)及服務(wù)務(wù)的完整整性、保保密性、、可用性性（防拒拒絕和破破壞）、、真實(shí)性性（交互互雙方的的數(shù)據(jù)、、人員的的身份和和權(quán)限、、設(shè)施的的鑒別））、可控控性（監(jiān)監(jiān)控、審審計(jì)、取取證、防防有害內(nèi)內(nèi)容傳播播）、、可靠性性而抵制制各類威威脅所提提供的一一種能力力13信息系統(tǒng)統(tǒng)安全整整體對(duì)策策(一)構(gòu)構(gòu)建信息安全全保障體體系(二)作作好信息安全全風(fēng)險(xiǎn)評(píng)評(píng)估14(一)構(gòu)構(gòu)建信息安全全保障體體系15電子政務(wù)務(wù)安全保保障體系系框架安全法規(guī)安全管理安全標(biāo)準(zhǔn)安全工程與服務(wù)安全基礎(chǔ)設(shè)施安全技術(shù)與產(chǎn)品16信息安全全法規(guī)《關(guān)于開開展信息息安全風(fēng)風(fēng)險(xiǎn)評(píng)估估工作的的意見》》（國(guó)信辦[2005]1號(hào)文））《信息安安全等級(jí)級(jí)保護(hù)管管理辦法法（試行行）》（公通字字[2006]7號(hào)文文）《中華人人民共和和國(guó)保守守國(guó)家秘秘密法》》(在修訂訂)《信息安安全法》》（信息安全全管理?xiàng)l條例）《電子簽簽名法》》（2005年4月1日日實(shí)施））------------17行政管理理體制:國(guó)家網(wǎng)絡(luò)絡(luò)信息安安全協(xié)調(diào)調(diào)小組，，部門，，地區(qū)技術(shù)管理理體制:CSO信息系統(tǒng)統(tǒng)安全管管理準(zhǔn)則則（ISO17799）--GBxxxx管理策略略組織與人人員資產(chǎn)分類類與安全全控制配置與運(yùn)運(yùn)行網(wǎng)絡(luò)信息息安全域域與通信信安全異常事件件與審計(jì)計(jì)信息標(biāo)記記與文檔檔物理與環(huán)環(huán)境開發(fā)與維維護(hù)作業(yè)連續(xù)續(xù)性保障障符合性信息安全全組織管管理18國(guó)家信息息安全標(biāo)標(biāo)準(zhǔn)化委委員會(huì)安全功能能定義安全要素素設(shè)計(jì)：：物理、網(wǎng)網(wǎng)絡(luò)、系系統(tǒng)、應(yīng)應(yīng)用、管管理全程安全全控制風(fēng)險(xiǎn)全程程管理安全有效效評(píng)估強(qiáng)壯性策策略（02.4.15成立立.十個(gè)個(gè)工作組組）標(biāo)準(zhǔn)體系系與協(xié)調(diào)調(diào)（含可可信計(jì)算算）涉密信息息系統(tǒng)保保密密碼算法法與模塊塊PKI/PMI安全評(píng)估估應(yīng)急處理理安全管理理(風(fēng)險(xiǎn)險(xiǎn)評(píng)估)電子證據(jù)據(jù)身份標(biāo)識(shí)識(shí)與鑒別別操作系統(tǒng)統(tǒng)與數(shù)據(jù)據(jù)國(guó)家報(bào)批批搞16項(xiàng)、送送審稿25項(xiàng)、、研制近近70項(xiàng)項(xiàng)19信息系統(tǒng)統(tǒng)安全工工程和服服務(wù)安全需求求分析：：威脅，弱弱點(diǎn)，風(fēng)風(fēng)險(xiǎn)，資資產(chǎn)、使使命、對(duì)對(duì)策、安全體系系結(jié)構(gòu)與與功能定定義安全要素素設(shè)計(jì)：：物理、網(wǎng)網(wǎng)絡(luò)、系系統(tǒng)、應(yīng)應(yīng)用、管管理安全系系統(tǒng)構(gòu)建建與集成成管理服服務(wù)全程的信信息安全全風(fēng)險(xiǎn)評(píng)評(píng)估信息系統(tǒng)統(tǒng)強(qiáng)壯壯性策略略、（ISSE，IATF，CC，TESEC）20信息加密密技術(shù)（對(duì)稱、、公開、、可恢復(fù)復(fù)、量子子、隱藏藏)鑒別與認(rèn)證（口令/密碼、、動(dòng)態(tài)口口令/ToKen、CA/簽名、、物理識(shí)識(shí)別）訪問控制制技術(shù)（ACL、RBAC、、DAC、MAC、能能力表、、AA））網(wǎng)絡(luò)邊界界安全技技術(shù)（FW、、Proxy、、NG、、GAP、UTM）病毒防治治技術(shù)（防、查查、殺、、清）網(wǎng)絡(luò)隱患患掃描與與發(fā)現(xiàn)（缺陷、、后門、、嵌入、、惡意代代碼）內(nèi)容識(shí)別別與過濾濾技術(shù)（關(guān)鍵字字、特征征、上下下文、自自然語言言）主機(jī)內(nèi)控控防護(hù)技技術(shù)（監(jiān)控、、檢測(cè)、、防泄、、管理、、審計(jì)））信息安全全技術(shù)領(lǐng)領(lǐng)域21信息安全全風(fēng)險(xiǎn)評(píng)評(píng)估技術(shù)術(shù)（收集、、分析、、檢測(cè)、、滲透、、管理））網(wǎng)絡(luò)檢測(cè)測(cè)、預(yù)警警和攻擊擊技術(shù)（IDS、Agent、面防防、追蹤蹤、反擊擊、陷阱阱）“內(nèi)容””產(chǎn)權(quán)保保護(hù)技術(shù)術(shù)（數(shù)字水水印、安安全容器器、加密密、簽名名）“安全基基”技術(shù)術(shù)（補(bǔ)丁、、配置、、清除、、監(jiān)視、、加固、、監(jiān)視、、升級(jí)））審計(jì)與取取證（全局審審計(jì)、審審計(jì)保護(hù)護(hù)、反向向工程、、恢復(fù)提提?。﹤浞菖c容容災(zāi)（SAN、、NAS、集群群、冗余余、鏡象象）可信計(jì)算算（TCG、TCPA、、TSS、TPM、、TWC、----））信息安全全集成管管理（信息共共享、協(xié)協(xié)同聯(lián)動(dòng)動(dòng)、策略略牽引））信息安全全技術(shù)領(lǐng)領(lǐng)域22信息網(wǎng)絡(luò)絡(luò)安全域域縱深防防御框架架核心內(nèi)網(wǎng)網(wǎng)局域計(jì)算算環(huán)境（安全域域a）專用外網(wǎng)網(wǎng)局域計(jì)算算環(huán)境（安全域域m）公共服務(wù)務(wù)網(wǎng)局域計(jì)算算環(huán)境（安全域域n）Internet、TSP、、PSTN、VPN網(wǎng)絡(luò)通信信基礎(chǔ)設(shè)設(shè)施（光纖、、無線、、衛(wèi)星））信息安全全基礎(chǔ)設(shè)設(shè)施(PKI、PMI、KMI、、CERT、DRI)網(wǎng)絡(luò)安全全邊界23EG用主主流的信信息安全全產(chǎn)品防范外部部入侵類類放火墻、、防病毒毒、入侵侵檢測(cè)、、物理隔離離防控內(nèi)部部作案類類強(qiáng)審計(jì)、、主機(jī)內(nèi)內(nèi)控、主主機(jī)安保保、系統(tǒng)級(jí)安安全類加密、鑒別、授權(quán)、、掃描、、災(zāi)備、過濾、、物理安全全、集成成管理、、安全測(cè)評(píng)評(píng)24信息安全全基礎(chǔ)設(shè)設(shè)施的支支撐數(shù)字證書書認(rèn)證體體系（CA/PKI））網(wǎng)絡(luò)應(yīng)急急支援體體系（CERT）災(zāi)難恢復(fù)復(fù)基礎(chǔ)設(shè)設(shè)施（DRI））病毒防治治服務(wù)體體系（AVERT）產(chǎn)品與系系統(tǒng)安全全檢測(cè)、、評(píng)估體體系（CC/TCSEC）密鑰管理理基礎(chǔ)設(shè)設(shè)施（KMI））授權(quán)管理理基礎(chǔ)設(shè)設(shè)施（AA/PMI））信息安全全事件通通報(bào)與會(huì)會(huì)商體系系網(wǎng)絡(luò)監(jiān)控控與預(yù)警警體系信息保密密檢查體體系信息安全全偵控體體系網(wǎng)絡(luò)輿情情掌控與與治理體體系25信息安全全保障體體系建設(shè)設(shè)的目標(biāo)標(biāo)1）增加加信息網(wǎng)網(wǎng)絡(luò)四種種安全能能力信息安全全防護(hù)能能力隱患發(fā)現(xiàn)能力力網(wǎng)絡(luò)應(yīng)急反應(yīng)應(yīng)能力信息對(duì)抗能力力2）保障信息息及其服務(wù)具具有六性保密性、完整整性、可用性性、真實(shí)性、可核核查性（可控控性）、可靠靠性26(二)作好信息安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估27提升信息安全全風(fēng)險(xiǎn)評(píng)估意意識(shí)社會(huì)、經(jīng)濟(jì)、、政治、文化化對(duì)信息化的的強(qiáng)烈依賴作業(yè)連續(xù)性保保障（BCM/BCP））引起普遍關(guān)關(guān)注信息安全保障障體系建設(shè)（（IA）成為為焦點(diǎn)實(shí)施信息安全全的風(fēng)險(xiǎn)管理理正在被認(rèn)同同提升信息安全全風(fēng)險(xiǎn)評(píng)估意意識(shí)和能力是是當(dāng)務(wù)之急信息安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估既是信息安全全建設(shè)的起點(diǎn)也覆蓋終生創(chuàng)建一個(gè)安全全的信息化環(huán)環(huán)境保障信息化健健康發(fā)展28威脅脆弱性防護(hù)措施風(fēng)險(xiǎn)資產(chǎn)防護(hù)需求價(jià)值抗擊利用增加增加暴露被滿足引出增加擁有風(fēng)險(xiǎn)管理要素素關(guān)系圖29信息系統(tǒng)安全全風(fēng)險(xiǎn)管理比較和對(duì)比可用攻擊研究敵方行為理論開創(chuàng)任務(wù)影響理論比較和對(duì)比各種行為行動(dòng)決策對(duì)策識(shí)別與特征描述任務(wù)關(guān)鍵性參數(shù)權(quán)衡脆弱性與攻擊的識(shí)別與特征描述威脅的識(shí)別與特征描述任務(wù)影響的識(shí)別與描述基礎(chǔ)研究與事事件分離系統(tǒng)改進(jìn)風(fēng)險(xiǎn)分析30信息系統(tǒng)安全全風(fēng)險(xiǎn)評(píng)估的的特征信息系統(tǒng)是一一個(gè)巨型復(fù)雜雜系統(tǒng)（系統(tǒng)統(tǒng)要素、安全全要素）信息系統(tǒng)受制制于外部因素素（物理環(huán)境境、行政管理理、人員）信息系統(tǒng)安全全風(fēng)險(xiǎn)評(píng)估是是一項(xiàng)系統(tǒng)工工程發(fā)現(xiàn)隱患、采采取對(duì)策、提提升強(qiáng)度、總總結(jié)經(jīng)驗(yàn)自評(píng)估、委托托評(píng)估、檢察察評(píng)估31信息系統(tǒng)安全全評(píng)估目的提供采取降低影響完成保護(hù)安全保證技術(shù)提供者系統(tǒng)評(píng)估者安全保證信心風(fēng)險(xiǎn)對(duì)策資產(chǎn)使命資產(chǎn)擁有者價(jià)值給出證據(jù)生成保證具有32信息安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估是提升升信息安全體系系強(qiáng)度重要保保證信息系統(tǒng)資產(chǎn)產(chǎn)是有價(jià)資產(chǎn)產(chǎn)脆弱性/威威脅力力圖使使資產(chǎn)貶值影響/風(fēng)險(xiǎn)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)估：發(fā)現(xiàn)、預(yù)防、、降低、轉(zhuǎn)移移、補(bǔ)償、承承受采取措施以提提升系統(tǒng)安全全強(qiáng)度保護(hù)信息系統(tǒng)統(tǒng)資產(chǎn)價(jià)值（（保密性、完整整性、可用性性）完成系統(tǒng)的使使命33信息系統(tǒng)生命命周期中安安全保障與評(píng)評(píng)估策劃與組織開發(fā)與采購(gòu)信息系統(tǒng)安全保障與評(píng)估實(shí)施與交付運(yùn)行與維護(hù)更新與廢棄34國(guó)家對(duì)信息安安全風(fēng)險(xiǎn)評(píng)估工作作高度重視國(guó)信辦[2005]5號(hào)號(hào)文件<信息系統(tǒng)風(fēng)風(fēng)險(xiǎn)評(píng)估試點(diǎn)點(diǎn)工作方案>“國(guó)信辦”與與“安標(biāo)委””《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范范》（GB/T報(bào)批批稿）“國(guó)信辦”抓緊風(fēng)險(xiǎn)評(píng)估估試點(diǎn)、宣貫貫和推廣（05、06年年）“保密局”涉密信息領(lǐng)域域風(fēng)險(xiǎn)評(píng)估規(guī)規(guī)范”科技部““信息安全風(fēng)險(xiǎn)評(píng)估方法法、工具、模模型研制35國(guó)內(nèi)信息安全全評(píng)估機(jī)構(gòu)的的現(xiàn)狀國(guó)家信息安全全標(biāo)準(zhǔn)化委員員會(huì)（“信息息安全評(píng)估工工作組-WG5）國(guó)家信息安全全測(cè)評(píng)中心（（信息技術(shù)安安全性評(píng)估準(zhǔn)準(zhǔn)則-GB/T18336）（EG信息系統(tǒng)安全全保障評(píng)估準(zhǔn)準(zhǔn)則）公安部（計(jì)算算機(jī)信息系統(tǒng)統(tǒng)安全保護(hù)等等級(jí)劃分準(zhǔn)則則-GB17859-1999））（計(jì)算機(jī)信息息系統(tǒng)安全等等級(jí)保護(hù)通用用技術(shù)要求-GA/T390-2002）國(guó)家保密局（（涉及國(guó)家秘秘密的計(jì)算機(jī)機(jī)信息系統(tǒng)安安全保密測(cè)評(píng)評(píng)指南-BMZ3-2001）北京市信息辦辦（黨政機(jī)關(guān)關(guān)信息系統(tǒng)安安全測(cè)評(píng)規(guī)范范）上海市信息辦辦（信息系統(tǒng)統(tǒng)安全測(cè)評(píng)規(guī)規(guī)范）解放軍（信息息系統(tǒng)安全評(píng)評(píng)估規(guī)范）其它36建立國(guó)家信息息安全評(píng)估體體系信息安全評(píng)估估標(biāo)準(zhǔn)和規(guī)范范體系IT產(chǎn)品、IT系統(tǒng)、IT服務(wù)信息安全評(píng)估估監(jiān)管體系對(duì)評(píng)估組織與與評(píng)估行為的的監(jiān)管(等級(jí)級(jí),資質(zhì),規(guī)規(guī)則)信息安全評(píng)估估組織體系，，在認(rèn)監(jiān)委、、信息辦領(lǐng)導(dǎo)導(dǎo)下認(rèn)可機(jī)構(gòu)認(rèn)證機(jī)構(gòu)評(píng)估技術(shù)支援中心（實(shí)驗(yàn)室）專家委員會(huì)檢測(cè)、評(píng)估機(jī)構(gòu)檢測(cè)、評(píng)估機(jī)構(gòu)評(píng)估操作層技術(shù)支持層認(rèn)證層認(rèn)可監(jiān)管層37國(guó)際信息系統(tǒng)統(tǒng)安全測(cè)評(píng)狀狀況NIACAPDICSCAPNSTISSIFIPS102行業(yè)與企業(yè)的的風(fēng)險(xiǎn)評(píng)估投投入明顯（1%——5%）38信息系統(tǒng)安全全評(píng)估方法定性分析與定定量結(jié)合評(píng)估機(jī)構(gòu)與評(píng)評(píng)估專家結(jié)合合評(píng)估考查與評(píng)評(píng)估檢測(cè)結(jié)合合技術(shù)安全與管管理安全結(jié)合合39信息系統(tǒng)安全全分析與檢測(cè)測(cè)管理安全分析析組織、人員、、制度、資產(chǎn)產(chǎn)控制、物理理、操作、連連續(xù)性、應(yīng)急急過程安全分析析威脅、風(fēng)險(xiǎn)、、脆弱性、需需求、策略、、方案、符合合性分發(fā)、運(yùn)行、、維護(hù)、更新新、廢棄技術(shù)安全分析析與檢測(cè)安全機(jī)制、功功能和強(qiáng)度分分析網(wǎng)絡(luò)設(shè)施、安安全設(shè)施及主主機(jī)配置安全全分析網(wǎng)絡(luò)設(shè)備和主主機(jī)設(shè)備脆弱弱性分析系統(tǒng)穿透性測(cè)測(cè)試40風(fēng)險(xiǎn)評(píng)估實(shí)施施步驟(1)風(fēng)險(xiǎn)評(píng)評(píng)估的準(zhǔn)備(2)資產(chǎn)產(chǎn)識(shí)別(3)威脅脅識(shí)別(4)脆弱弱性識(shí)別(5)已有有安全措施的的確認(rèn)(6)風(fēng)險(xiǎn)險(xiǎn)分析(7)風(fēng)險(xiǎn)險(xiǎn)評(píng)估文件記記錄(8)風(fēng)險(xiǎn)險(xiǎn)評(píng)估對(duì)策41風(fēng)險(xiǎn)評(píng)估流程程42風(fēng)險(xiǎn)分析示意意圖43風(fēng)險(xiǎn)評(píng)估工具具（1）風(fēng)險(xiǎn)評(píng)評(píng)估管理工具具基于安全標(biāo)準(zhǔn)準(zhǔn)、基于知識(shí)識(shí)、基于模型型采點(diǎn)、收集、、描述、分析析（2）風(fēng)險(xiǎn)險(xiǎn)評(píng)估檢測(cè)工工具脆弱性掃描：：網(wǎng)絡(luò)、主機(jī)機(jī)、數(shù)據(jù)庫(kù)、、網(wǎng)站、滲透性測(cè)試：：黑客、病毒毒、木馬、諜諜件、劫持、、拒絕、破譯譯（3）風(fēng)險(xiǎn)險(xiǎn)評(píng)估輔助工工具入侵檢測(cè)、安安全審計(jì)、拓拓?fù)浒l(fā)現(xiàn)、資資產(chǎn)收集知識(shí)庫(kù)、漏漏洞庫(kù)、算算法庫(kù)、模模型庫(kù)、指指標(biāo)庫(kù)44信息安全風(fēng)險(xiǎn)評(píng)估試試點(diǎn)成效顯顯著（05年）提高了風(fēng)險(xiǎn)險(xiǎn)意識(shí)、、培育自評(píng)評(píng)估能力（（8個(gè)試點(diǎn)點(diǎn)、幾千人人日）三要素的識(shí)識(shí)別與賦值值能力有所所提高、（（并探索行行業(yè)細(xì)則））發(fā)現(xiàn)和消除除大量隱患患、提升了了安全強(qiáng)度度（表層與與深層）采用了多種種評(píng)估模式式并總結(jié)經(jīng)經(jīng)驗(yàn)（自評(píng)評(píng)、委托、、檢查）實(shí)效性/關(guān)鍵性/涉密性性/常規(guī)性性