曲成義研究員提升信息安全風(fēng)險(xiǎn)評(píng)估意識(shí)

強(qiáng)化信息安全保障體系建設(shè)1信息安全面臨的威脅網(wǎng)上黑客與計(jì)算機(jī)欺詐網(wǎng)絡(luò)病毒的蔓延和破壞有害信息內(nèi)容污染與輿情誤導(dǎo)機(jī)要信息流失與“諜件”潛入內(nèi)部人員誤用、濫用、惡用IT產(chǎn)品的失控（分發(fā)式威脅）物理臨近式威脅網(wǎng)上恐怖活動(dòng)與信息戰(zhàn)網(wǎng)絡(luò)的脆弱性和系統(tǒng)漏洞2網(wǎng)絡(luò)突發(fā)事件正在引起全球關(guān)注2000年2月7日美國(guó)網(wǎng)上恐怖事件造成巨大損失

（DDos、八大重要網(wǎng)站、$12億美元）2001年日本東京國(guó)際機(jī)場(chǎng)航管失靈，影響巨大

（紅色病毒、幾百架飛機(jī)無(wú)法起降、千人行程受阻）2003年美國(guó)銀行的ATM網(wǎng)遭入侵，損失慘重

（Slammer、幾十億美元）

2004年震蕩波幾天波及全球2005年CardSystem公司4000萬(wàn)張卡用戶信息被盜

（美國(guó)最大的竊密事件、植入特洛伊木馬、假冒消費(fèi)）網(wǎng)絡(luò)正在成為恐怖組織聯(lián)絡(luò)和指揮工具（911、倫敦事件）9.11事件造成世貿(mào)中心1200家企業(yè)信息網(wǎng)絡(luò)蕩然無(wú)存

（有DRP/NCP的400家企業(yè)能夠恢復(fù)和生存）網(wǎng)絡(luò)輿情的爆發(fā)波及到物理社會(huì)的穩(wěn)定信息網(wǎng)絡(luò)的失竊密事件層出不窮3我國(guó)網(wǎng)絡(luò)信息安全入侵事件態(tài)勢(shì)嚴(yán)竣(CNCERT/CC05年度報(bào)告數(shù)據(jù))

收到信息安全事件報(bào)告12萬(wàn)件(04年的2倍)監(jiān)測(cè)發(fā)現(xiàn)2萬(wàn)臺(tái)計(jì)算機(jī)被木馬遠(yuǎn)程控制(04年的2倍)發(fā)現(xiàn)1.4萬(wàn)個(gè)網(wǎng)站遭黑客篡改,其中政府網(wǎng)站2千(04年的2倍)網(wǎng)絡(luò)釣魚(身份竊取)事件報(bào)告400件(04年的2倍)監(jiān)測(cè)發(fā)現(xiàn)70萬(wàn)臺(tái)計(jì)算機(jī)被植入諜件(源頭主要在國(guó)外)發(fā)現(xiàn)僵尸網(wǎng)絡(luò)143個(gè)(受控計(jì)算機(jī)250萬(wàn)臺(tái))4互聯(lián)網(wǎng)信息安全威脅的某些新動(dòng)向

僵尸網(wǎng)絡(luò)威脅興起諜件泛濫值得嚴(yán)重關(guān)注網(wǎng)絡(luò)釣魚的獲利動(dòng)機(jī)明顯網(wǎng)頁(yè)篡改(嵌入惡意代碼),誘人上當(dāng)DDoS開(kāi)始用于敲詐

木馬潛伏孕育著殺機(jī)獲利和竊信傾向正在成為主流5領(lǐng)導(dǎo)重視、管理較嚴(yán)、常規(guī)的系統(tǒng)和外防機(jī)制基本到位深層隱患值得深思

內(nèi)控機(jī)制脆弱高危漏洞存在信息安全域界定與邊控待探索風(fēng)險(xiǎn)自評(píng)估能力弱災(zāi)難恢復(fù)不到位用戶自控權(quán)不落實(shí)----------“重要信息系統(tǒng)”安全態(tài)勢(shì)與深層隱患（案例考察）6國(guó)家信息化領(lǐng)導(dǎo)小組第三次會(huì)議《關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》—中辦發(fā)[2003]27號(hào)文—

堅(jiān)持積極防御、綜合防范全面提高信息安全防護(hù)能力

重點(diǎn)保障信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境保障和促進(jìn)信息化發(fā)展、保護(hù)公眾利益、維護(hù)國(guó)家安全立足國(guó)情、以我為主、管理與技術(shù)并重、統(tǒng)籌規(guī)劃、突出重點(diǎn)

發(fā)揮各界積極性、共同構(gòu)筑國(guó)家信息安全保障體系

7國(guó)家信息安全保障工作要點(diǎn)

實(shí)行信息安全等級(jí)保護(hù)制度：風(fēng)險(xiǎn)與成本、資源優(yōu)化配置、安全風(fēng)險(xiǎn)評(píng)估

基于密碼技術(shù)網(wǎng)絡(luò)信任體系建設(shè)：密碼管理體制、身份認(rèn)證、授權(quán)管理、責(zé)任認(rèn)定

建設(shè)信息安全監(jiān)控體系：提高對(duì)網(wǎng)絡(luò)攻擊、病毒入侵、網(wǎng)絡(luò)失竊密、有害信息的防范能力

重視信息安全應(yīng)急處理工作：指揮、響應(yīng)、協(xié)調(diào)、通報(bào)、支援、抗毀、災(zāi)備

推動(dòng)信息安全技術(shù)研發(fā)與產(chǎn)業(yè)發(fā)展：關(guān)鍵技術(shù)、自主創(chuàng)新、強(qiáng)化可控、引導(dǎo)與市場(chǎng)、測(cè)評(píng)認(rèn)證、采購(gòu)、服務(wù)

信息安全法制與標(biāo)準(zhǔn)建設(shè)：信息安全法、打擊網(wǎng)絡(luò)犯罪、標(biāo)準(zhǔn)體系、規(guī)范網(wǎng)絡(luò)行為

信息安全人材培養(yǎng)與增強(qiáng)安全意識(shí)：學(xué)科、培訓(xùn)、意識(shí)、技能、自律、守法

信息安全組織建設(shè)：信息安全協(xié)調(diào)小組、責(zé)任制、依法管理8國(guó)家信息安全保障工作高層會(huì)議(2004.1.9)

信息安全的重要性：IT增長(zhǎng)25%、GDP的6%、強(qiáng)烈依賴

信息安全的重大案例信息安全存在的問(wèn)題

一個(gè)并重、兩手抓、三個(gè)同步新思路、新眼光，建立信息安全保障體系

關(guān)鍵技術(shù)產(chǎn)品要自主可控認(rèn)真落實(shí)中央27號(hào)文件9《國(guó)家信息安全戰(zhàn)略報(bào)告》

—國(guó)信[2005]2號(hào)文—

維護(hù)國(guó)家在網(wǎng)絡(luò)空間的根本利益確保國(guó)家的經(jīng)濟(jì)、政治、文化和信息的安全三大信息基礎(chǔ)設(shè)施、八大重要信息系統(tǒng)、信息內(nèi)容信息安全基礎(chǔ)支撐能力信息安全防護(hù)與對(duì)抗能力網(wǎng)絡(luò)突發(fā)事件快速反應(yīng)能力網(wǎng)絡(luò)輿情駕馭能力綜合治理、協(xié)調(diào)聯(lián)動(dòng)、群防群治政策、標(biāo)準(zhǔn)、管理、技術(shù)、產(chǎn)業(yè)、人材、理論

構(gòu)筑國(guó)家信息安全保障體系信息安全長(zhǎng)效機(jī)制信息安全戰(zhàn)略的主動(dòng)權(quán)------

10《2006-2020年年國(guó)家家信息息化發(fā)發(fā)展戰(zhàn)戰(zhàn)略》》—中辦[2006]11號(hào)號(hào)文—第(八)部部分:““建建設(shè)國(guó)國(guó)家信信息安安全保保障體體系””實(shí)現(xiàn)信信息化化與信信息安安全協(xié)協(xié)調(diào)發(fā)發(fā)展增強(qiáng)信信息基基礎(chǔ)設(shè)設(shè)施和和重要要信息息系統(tǒng)統(tǒng)抗毀毀能力力增強(qiáng)國(guó)國(guó)家信信息安安全保保障能能力研究國(guó)國(guó)際信信息安安全先先進(jìn)理理論、、先進(jìn)進(jìn)技術(shù)術(shù)掌握握核核心心安安全全技技術(shù)術(shù)、、提提高高關(guān)關(guān)鍵鍵設(shè)設(shè)備備裝裝備備能能力力促進(jìn)進(jìn)我我國(guó)國(guó)信信息息安安全全技技術(shù)術(shù)和和產(chǎn)產(chǎn)業(yè)業(yè)的的自自主主發(fā)發(fā)展展完善善國(guó)國(guó)家家信信息息安安全全長(zhǎng)長(zhǎng)效效機(jī)機(jī)制制------11“信信息息安安全全””內(nèi)內(nèi)涵涵保值值威脅脅威脅發(fā)起者資產(chǎn)擁有者對(duì)策脆弱性風(fēng)險(xiǎn)系統(tǒng)資產(chǎn)使命貶值值利用用增加加濫用用與與破破壞壞發(fā)現(xiàn)現(xiàn)意識(shí)識(shí)到到減少少降低低合法法與與可可用用？12信息息安安全全概概念念演演變變?cè)缙谄冢海和ㄍㄐ判疟１Ｃ苊茈A階段段（（ComSec）），，通通信信內(nèi)內(nèi)容容保保密密為為主主中期期：：信信息息安安全全階階段段（（InfoSec）），，信信息息自自身身的的靜靜態(tài)態(tài)防防護(hù)護(hù)為為主主近期期：：信信息息保保障障階階段段（（InformationAssurance—IA）），，強(qiáng)調(diào)調(diào)動(dòng)動(dòng)態(tài)態(tài)的的、、縱縱深深的的、、生生命命周周期期的的、、整整個(gè)個(gè)信信息息系系統(tǒng)統(tǒng)資資產(chǎn)產(chǎn)的的信信息息對(duì)對(duì)抗抗。。我們們當(dāng)當(dāng)前前所所指指““信信息息安安全全””=““信信息息保保障障””，，即“在在整整個(gè)個(gè)生生命命周周期期中中，，處處在在縱縱深深防防御御和和動(dòng)動(dòng)態(tài)態(tài)對(duì)對(duì)抗抗的的信信息息系系統(tǒng)統(tǒng)，，為為保保障障其其中中數(shù)數(shù)據(jù)據(jù)及及服服務(wù)務(wù)的的完完整整性性、、保保密密性性、、可可用用性性（（防防拒拒絕絕和和破破壞壞））、、真真實(shí)實(shí)性性（（交交互互雙雙方方的的數(shù)數(shù)據(jù)據(jù)、、人人員員的的身身份份和和權(quán)權(quán)限限、、設(shè)設(shè)施施的的鑒鑒別別））、、可可控控性性（（監(jiān)監(jiān)控控、、審審計(jì)計(jì)、、取取證證、、防防有有害害內(nèi)內(nèi)容容傳傳播播））、、可可靠靠性性而而抵抵制制各各類類威威脅脅所所提提供供的的一一種種能能力力13信息系統(tǒng)安安全整體對(duì)對(duì)策(一)構(gòu)建建信息安全保保障體系(二)作好好信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估14(一)構(gòu)建建信息安全保保障體系15電子政務(wù)安安全保障體體系框架安全法規(guī)安全管理安全標(biāo)準(zhǔn)安全工程與服務(wù)安全基礎(chǔ)設(shè)施安全技術(shù)與產(chǎn)品16信息安全法法規(guī)《關(guān)于開(kāi)展展信息安全全風(fēng)險(xiǎn)評(píng)估估工作的意意見(jiàn)》（國(guó)信辦[2005]1號(hào)文））《信息安全全等級(jí)保護(hù)護(hù)管理辦法法（試行））》（公通字[2006]7號(hào)文文）《中華人民民共和國(guó)保保守國(guó)家秘秘密法》》(在修訂)《信息安全全法》（信息安全管管理?xiàng)l例））《電子簽名名法》（2005年4月1日實(shí)施））------------17行政管理體體制:國(guó)家網(wǎng)絡(luò)信信息安全協(xié)協(xié)調(diào)小組，，部門，地地區(qū)技術(shù)管理體體制:CSO信息系統(tǒng)安安全管理準(zhǔn)準(zhǔn)則（ISO17799））--GBxxxx管理策略組織與人員員資產(chǎn)分類與與安全控制制配置與運(yùn)行行網(wǎng)絡(luò)信息安安全域與通通信安全異常事件與與審計(jì)信息標(biāo)記與與文檔物理與環(huán)境境開(kāi)發(fā)與維護(hù)護(hù)作業(yè)連續(xù)性性保障符合性信息安全組組織管理18國(guó)家信息安安全標(biāo)準(zhǔn)化化委員會(huì)安全功能定定義安全要素設(shè)設(shè)計(jì)：物理、網(wǎng)絡(luò)絡(luò)、系統(tǒng)、、應(yīng)用、管管理全程安全控控制風(fēng)險(xiǎn)全程管管理安全有效評(píng)評(píng)估強(qiáng)壯性策略略成成立.十個(gè)個(gè)工作組））標(biāo)準(zhǔn)體系與與協(xié)調(diào)（含含可信計(jì)算算）涉密信息系系統(tǒng)保密密碼算法與與模塊PKI/PMI安全評(píng)估應(yīng)急處理安全管理(風(fēng)險(xiǎn)評(píng)估估)電子證據(jù)身份標(biāo)識(shí)與與鑒別操作系統(tǒng)與與數(shù)據(jù)國(guó)家報(bào)批搞搞16項(xiàng)、、送審稿25項(xiàng)、研研制近70項(xiàng)19信息系統(tǒng)安安全工程和和服務(wù)安全需求分分析：威脅，弱點(diǎn)點(diǎn)，風(fēng)險(xiǎn)，，資產(chǎn)、使使命、對(duì)策策、安全體系結(jié)結(jié)構(gòu)與功能能定義安全要素設(shè)設(shè)計(jì)：物理、網(wǎng)絡(luò)絡(luò)、系統(tǒng)、、應(yīng)用、管管理安全系統(tǒng)統(tǒng)構(gòu)建與集集成管理服服務(wù)全程的信息息安全風(fēng)險(xiǎn)險(xiǎn)評(píng)估信息系統(tǒng)強(qiáng)強(qiáng)壯性策策略、（ISSE，IATF，CC，TESEC）20信息加密技技術(shù)（對(duì)稱、公公開(kāi)、可恢恢復(fù)、量子子、隱藏)鑒別與認(rèn)證（口令/密密碼、動(dòng)態(tài)態(tài)口令/ToKen、CA/簽名、、物理識(shí)別別）訪問(wèn)控制技技術(shù)（ACL、、RBAC、DAC、MAC、能力表表、AA））網(wǎng)絡(luò)邊界安安全技術(shù)（FW、Proxy、NG、、GAP、、UTM））病毒防治技技術(shù)（防、查、、殺、清））網(wǎng)絡(luò)隱患掃掃描與發(fā)現(xiàn)現(xiàn)（缺陷、后后門、嵌入入、惡意代代碼）內(nèi)容識(shí)別與與過(guò)濾技術(shù)術(shù)（關(guān)鍵字、、特征、上上下文、自自然語(yǔ)言））主機(jī)內(nèi)控防防護(hù)技術(shù)（監(jiān)控、檢檢測(cè)、防泄泄、管理、、審計(jì)）信息安全技技術(shù)領(lǐng)域21信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估技技術(shù)（收集、分分析、檢測(cè)測(cè)、滲透、、管理）網(wǎng)絡(luò)檢測(cè)、、預(yù)警和攻攻擊技術(shù)（IDS、、Agent、面防防、追蹤、、反擊、陷陷阱）“內(nèi)容”產(chǎn)產(chǎn)權(quán)保護(hù)技技術(shù)（數(shù)字水印印、安全容容器、加密密、簽名））“安全基””技術(shù)（補(bǔ)丁、配配置、清除除、監(jiān)視、、加固、監(jiān)監(jiān)視、升級(jí)級(jí)）審計(jì)與取證證（全局審計(jì)計(jì)、審計(jì)保保護(hù)、反向向工程、恢恢復(fù)提?。﹤浞菖c容災(zāi)災(zāi)（SAN、NAS、集集群、冗余余、鏡象））可信計(jì)算（TCG、、TCPA、TSS、TPM、TWC、----）信息安全集集成管理（信息共享享、協(xié)同聯(lián)聯(lián)動(dòng)、策略略牽引）信息安全技技術(shù)領(lǐng)域22信息網(wǎng)絡(luò)安安全域縱深深防御框架架核心內(nèi)網(wǎng)局域計(jì)算環(huán)環(huán)境（安全域a）專用外網(wǎng)局域計(jì)算環(huán)環(huán)境（安全域m）公共服務(wù)網(wǎng)網(wǎng)局域計(jì)算環(huán)環(huán)境（安全域n）Internet、、TSP、、PSTN、VPN網(wǎng)絡(luò)通信基基礎(chǔ)設(shè)施（光纖、無(wú)無(wú)線、衛(wèi)星星）信息安全基基礎(chǔ)設(shè)施(PKI、、PMI、、KMI、、CERT、DRI)網(wǎng)絡(luò)安全邊邊界23EG用主流流的信息安安全產(chǎn)品防范外部入入侵類放火墻、防防病毒、入入侵檢測(cè)、、物理隔離防控內(nèi)部作作案類強(qiáng)審計(jì)、主主機(jī)內(nèi)控、、主機(jī)安保保、系統(tǒng)級(jí)安全全類加密、鑒別、授權(quán)、掃掃描、災(zāi)備、過(guò)濾、物理安全、、集成管理理、安全測(cè)評(píng)24信息安全基基礎(chǔ)設(shè)施的的支撐數(shù)字證書認(rèn)認(rèn)證體系（（CA/PKI）網(wǎng)絡(luò)應(yīng)急支支援體系（（CERT）災(zāi)難恢復(fù)基基礎(chǔ)設(shè)施（（DRI））病毒防治服服務(wù)體系（（AVERT）產(chǎn)品與系統(tǒng)統(tǒng)安全檢測(cè)測(cè)、評(píng)估體體系（CC/TCSEC）密鑰管理基基礎(chǔ)設(shè)施（（KMI））授權(quán)管理基基礎(chǔ)設(shè)施（（AA/PMI）信息息安安全全事事件件通通報(bào)報(bào)與與會(huì)會(huì)商商體體系系網(wǎng)絡(luò)絡(luò)監(jiān)監(jiān)控控與與預(yù)預(yù)警警體體系系信息息保保密密檢檢查查體體系系信息息安安全全偵偵控控體體系系網(wǎng)絡(luò)絡(luò)輿輿情情掌掌控控與與治治理理體體系系25信息息安安全全保保障障體體系系建建設(shè)設(shè)的的目目標(biāo)標(biāo)1））增增加加信信息息網(wǎng)網(wǎng)絡(luò)絡(luò)四四種種安安全全能能力力信息息安安全全防防護(hù)護(hù)能能力力隱患患發(fā)發(fā)現(xiàn)現(xiàn)能能力力網(wǎng)絡(luò)絡(luò)應(yīng)應(yīng)急急反反應(yīng)應(yīng)能能力力信息息對(duì)對(duì)抗抗能能力力2））保保障障信信息息及及其其服服務(wù)務(wù)具具有有六六性性保密密性性、、完完整整性性、、可可用用性性、、真實(shí)實(shí)性性、、可可核核查查性性（（可可控控性性））、、可可靠靠性性26(二二)作好好信息息安安全全風(fēng)風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估27提升升信信息息安安全全風(fēng)風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估意意識(shí)識(shí)社會(huì)會(huì)、、經(jīng)經(jīng)濟(jì)濟(jì)、、政政治治、、文文化化對(duì)對(duì)信信息息化化的的強(qiáng)強(qiáng)烈烈依依賴賴作業(yè)業(yè)連連續(xù)續(xù)性性保保障障（（BCM/BCP））引引起起普普遍遍關(guān)關(guān)注注信息息安安全全保保障障體體系系建建設(shè)設(shè)（（IA））成成為為焦焦點(diǎn)點(diǎn)實(shí)施施信信息息安安全全的的風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理正正在在被被認(rèn)認(rèn)同同提升升信信息息安安全全風(fēng)風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估意意識(shí)識(shí)和和能能力力是是當(dāng)當(dāng)務(wù)務(wù)之之急急信息息安安全全風(fēng)風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估既是是信信息息安安全全建建設(shè)設(shè)的的起點(diǎn)點(diǎn)也覆覆蓋蓋終生生創(chuàng)建建一一個(gè)個(gè)安安全全的的信信息息化化環(huán)環(huán)境境保障障信信息息化化健健康康發(fā)發(fā)展展28威脅脅脆弱弱性性防護(hù)護(hù)措措施施風(fēng)險(xiǎn)險(xiǎn)資產(chǎn)產(chǎn)防護(hù)護(hù)需需求求價(jià)值值抗擊擊利用用增加加增加加暴露露被滿滿足足引出出增加加擁有有風(fēng)險(xiǎn)險(xiǎn)管管理理要要素素關(guān)關(guān)系系圖圖29信息息系系統(tǒng)統(tǒng)安安全全風(fēng)風(fēng)險(xiǎn)險(xiǎn)管管理理比較和對(duì)比可用攻擊研究敵方行為理論開(kāi)創(chuàng)任務(wù)影響理論比較和對(duì)比各種行為行動(dòng)決策對(duì)策識(shí)別與特征描述任務(wù)關(guān)鍵性參數(shù)權(quán)衡脆弱性與攻擊的識(shí)別與特征描述威脅的識(shí)別與特征描述任務(wù)影響的識(shí)別與描述基礎(chǔ)礎(chǔ)研研究究與與事事件件分分離離系統(tǒng)統(tǒng)改改進(jìn)進(jìn)風(fēng)險(xiǎn)險(xiǎn)分分析析30信息息系系統(tǒng)統(tǒng)安安全全風(fēng)風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估的的特特征征信息系統(tǒng)是是一個(gè)巨型型復(fù)雜系統(tǒng)統(tǒng)（系統(tǒng)要要素、安全全要素）信息系統(tǒng)受受制于外部部因素（物物理環(huán)境、、行政管理理、人員））信息系統(tǒng)安安全風(fēng)險(xiǎn)評(píng)評(píng)估是一項(xiàng)項(xiàng)系統(tǒng)工程程發(fā)現(xiàn)隱患、、采取對(duì)策策、提升強(qiáng)強(qiáng)度、總結(jié)結(jié)經(jīng)驗(yàn)自評(píng)估、委委托評(píng)估、、檢察評(píng)估估31信息系統(tǒng)安安全評(píng)估目目的提供采取降低影響完成保護(hù)安全保證技術(shù)提供者系統(tǒng)評(píng)估者安全保證信心風(fēng)險(xiǎn)對(duì)策資產(chǎn)使命資產(chǎn)擁有者價(jià)值給出證據(jù)生成保證具有32信息安全風(fēng)風(fēng)險(xiǎn)評(píng)估是是提升信息安全體體系強(qiáng)度重重要保證信息系統(tǒng)資資產(chǎn)是有價(jià)價(jià)資產(chǎn)脆弱性/威威脅力力力圖使資產(chǎn)產(chǎn)貶值影響/風(fēng)風(fēng)險(xiǎn)分析風(fēng)險(xiǎn)評(píng)估：：發(fā)現(xiàn)、預(yù)防防、降低、、轉(zhuǎn)移、補(bǔ)補(bǔ)償、承受受采取措施以以提升系統(tǒng)統(tǒng)安全強(qiáng)度度保護(hù)信息系系統(tǒng)資產(chǎn)價(jià)價(jià)值（保密性、完完整性、可可用性）完成系統(tǒng)的的使命33信息系統(tǒng)生生命周期中中

安全保保障與評(píng)估估策劃與組織開(kāi)發(fā)與采購(gòu)信息系統(tǒng)安全保障與評(píng)估實(shí)施與交付運(yùn)行與維護(hù)更新與廢棄34國(guó)家對(duì)信息息安全風(fēng)險(xiǎn)評(píng)估工工作高度重視國(guó)信辦[2005]5號(hào)文件件<信息系統(tǒng)統(tǒng)風(fēng)險(xiǎn)評(píng)估估試點(diǎn)工作作方案>“國(guó)信辦””與“安標(biāo)標(biāo)委”《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)規(guī)范》（GB/T報(bào)報(bào)批稿稿）“國(guó)信辦””抓緊風(fēng)險(xiǎn)評(píng)評(píng)估試點(diǎn)、、宣貫和推推廣（05、06年年）“保密局””涉密信息領(lǐng)領(lǐng)域風(fēng)險(xiǎn)評(píng)評(píng)估規(guī)范”科技部部“信息安全風(fēng)險(xiǎn)評(píng)估方方法、工具具、模型研研制35國(guó)內(nèi)信息安安全評(píng)估機(jī)機(jī)構(gòu)的現(xiàn)狀狀國(guó)家信息安安全標(biāo)準(zhǔn)化化委員會(huì)（（“信息安安全評(píng)估工工作組-WG5）國(guó)家信息安安全測(cè)評(píng)中中心（信息息技術(shù)安全全性評(píng)估準(zhǔn)準(zhǔn)則-GB/T18336）（EG信息系統(tǒng)安安全保障評(píng)評(píng)估準(zhǔn)則））公安部（計(jì)計(jì)算機(jī)信息息系統(tǒng)安全全保護(hù)等級(jí)級(jí)劃分準(zhǔn)則則-GB17859-1999）（計(jì)算機(jī)信信息系統(tǒng)安安全等級(jí)保保護(hù)通用技技術(shù)要求-GA/T390-2002）國(guó)家保密局局（涉及國(guó)國(guó)家秘密的的計(jì)算機(jī)信信息系統(tǒng)安安全保密測(cè)測(cè)評(píng)指南-BMZ3-2001）北京市信息息辦（黨政政機(jī)關(guān)信息息系統(tǒng)安全全測(cè)評(píng)規(guī)范范）上海市信息息辦（信息息系統(tǒng)安全全測(cè)評(píng)規(guī)范范）解放軍（信信息系統(tǒng)安安全評(píng)估規(guī)規(guī)范）其它36建立國(guó)家信信息安全評(píng)評(píng)估體系信息安全評(píng)評(píng)估標(biāo)準(zhǔn)和和規(guī)范體系系IT產(chǎn)品、、IT系統(tǒng)統(tǒng)、IT服服務(wù)信息安全評(píng)評(píng)估監(jiān)管體體系對(duì)評(píng)估組織織與評(píng)估行行為的監(jiān)管管(等級(jí),資質(zhì),規(guī)規(guī)則)信息安全評(píng)評(píng)估組織體體系，在認(rèn)認(rèn)監(jiān)委、信信息辦領(lǐng)導(dǎo)導(dǎo)下認(rèn)可機(jī)構(gòu)認(rèn)證機(jī)構(gòu)評(píng)估技術(shù)支援中心（實(shí)驗(yàn)室）專家委員會(huì)檢測(cè)、評(píng)估機(jī)構(gòu)檢測(cè)、評(píng)估機(jī)構(gòu)評(píng)估操作層技術(shù)支持層認(rèn)證層認(rèn)可監(jiān)管層37國(guó)際信息系系統(tǒng)安全測(cè)測(cè)評(píng)狀況NIACAPDICSCAPNSTISSIFIPS102行業(yè)與企業(yè)業(yè)的風(fēng)險(xiǎn)評(píng)評(píng)估投入明明顯（1%———5%）38信息系統(tǒng)安安全評(píng)估方方法定性分析與與定量結(jié)合合評(píng)估機(jī)構(gòu)與與評(píng)估專家家結(jié)合評(píng)估考查與與評(píng)估檢測(cè)測(cè)結(jié)合技術(shù)安全與與管理安全全結(jié)合39信息系統(tǒng)安安全分析與與檢測(cè)管理安全分分析組織、人員員、制度、、資產(chǎn)控制制、物理、、操作、連連續(xù)性、應(yīng)應(yīng)急過(guò)程安全分分析威脅、風(fēng)險(xiǎn)險(xiǎn)、脆弱性性、需求、、策略、方方案、符合合性分發(fā)、運(yùn)行行、維護(hù)、、更新、廢廢棄技術(shù)安全分分析與檢測(cè)測(cè)安全機(jī)制、、功能和強(qiáng)強(qiáng)度分析網(wǎng)絡(luò)設(shè)施、、安全設(shè)施施及主機(jī)配配置安全分分析網(wǎng)絡(luò)設(shè)備和和主機(jī)設(shè)備備脆弱性分分析系統(tǒng)穿透性性測(cè)試40風(fēng)險(xiǎn)評(píng)估實(shí)實(shí)施步驟(1)風(fēng)險(xiǎn)險(xiǎn)評(píng)估的準(zhǔn)準(zhǔn)備(2)資資產(chǎn)識(shí)別(3)威威脅識(shí)別(4)脆脆弱性識(shí)別別(5)已已有安全措措施的確認(rèn)認(rèn)(6)風(fēng)風(fēng)險(xiǎn)分析(7)風(fēng)風(fēng)險(xiǎn)評(píng)估文文件記錄(8)風(fēng)風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估對(duì)對(duì)策策41風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估流流程程42風(fēng)險(xiǎn)險(xiǎn)分分析析示示意意圖圖43風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估工工具具（1））風(fēng)風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估管管理理工工具具基于于安安全全標(biāo)標(biāo)準(zhǔn)準(zhǔn)、、基基于于知知識(shí)識(shí)、、基基于于模模型型采點(diǎn)點(diǎn)、、收收集集、、描描述述、、分分析析（2））風(fēng)風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估檢檢測(cè)測(cè)工工具具脆弱弱性性掃掃描描：：網(wǎng)網(wǎng)絡(luò)絡(luò)、、主主機(jī)機(jī)、、數(shù)數(shù)據(jù)據(jù)庫(kù)庫(kù)、、網(wǎng)網(wǎng)站站、、滲透透性性測(cè)測(cè)試試：：黑黑客客、、病病毒毒、、木木馬馬、、諜諜件件、、劫劫持持、、拒拒絕絕、、破破譯譯（3））風(fēng)風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估輔輔助助工工具具入侵侵檢檢測(cè)測(cè)、、安安全全審審計(jì)計(jì)、、拓拓?fù)鋼浒l(fā)發(fā)現(xiàn)現(xiàn)、、資資產(chǎn)產(chǎn)收收集集知識(shí)識(shí)庫(kù)庫(kù)、、漏漏洞洞庫(kù)庫(kù)、、算算法法庫(kù)庫(kù)、、模模型型庫(kù)庫(kù)、、指指標(biāo)標(biāo)庫(kù)庫(kù)44信息息安安全全風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估試試點(diǎn)點(diǎn)成成效效顯顯著著（（05年年））提高高了了風(fēng)風(fēng)險(xiǎn)險(xiǎn)意意識(shí)識(shí)、、培培育育自自評(píng)評(píng)估估能能力力（（8個(gè)個(gè)試試點(diǎn)點(diǎn)、、幾幾千千人人日日））三要要素素的的識(shí)識(shí)別別與與賦賦值值能能力力有有所所提提高高、、（（并并探探索索行行業(yè)業(yè)細(xì)細(xì)則則））發(fā)現(xiàn)現(xiàn)和和消消除除大大量量隱隱患患、、提提升升了了安安全全強(qiáng)強(qiáng)度度（（表表層層與與深深層層））采用用了了多多種種評(píng)評(píng)估估模模式式并并總總結(jié)結(jié)經(jīng)經(jīng)驗(yàn)驗(yàn)（（自自評(píng)評(píng)、、委委托托、、檢檢查查））實(shí)效效性性/關(guān)關(guān)鍵鍵性性/涉涉密密性性/常常規(guī)規(guī)性性等等系系統(tǒng)統(tǒng)的的分分類類指指導(dǎo)導(dǎo)風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估方方法法、、工工具具、、平平臺(tái)臺(tái)有有所所創(chuàng)創(chuàng)新新應(yīng)急急予予案案、、離離線線評(píng)評(píng)估估、、管管理理軟軟件件、、識(shí)識(shí)別別知知識(shí)識(shí)化化、、多多種種評(píng)評(píng)估估方方法法——----評(píng)估估過(guò)過(guò)程程的的風(fēng)風(fēng)險(xiǎn)險(xiǎn)控控制制對(duì)對(duì)策策（（管管理理、、協(xié)協(xié)議議、、技技術(shù)術(shù)、、機(jī)機(jī)制制））全程程的的風(fēng)風(fēng)險(xiǎn)險(xiǎn)評(píng)評(píng)估估分分類類試試點(diǎn)點(diǎn)（（規(guī)規(guī)劃劃、、設(shè)設(shè)計(jì)計(jì)、、實(shí)實(shí)施施、、運(yùn)運(yùn)行行、、更更新新））評(píng)估估協(xié)協(xié)同同機(jī)機(jī)制制的的探探索索（（業(yè)業(yè)主主、、建建設(shè)設(shè)、、評(píng)評(píng)估估三三方方協(xié)協(xié)同同））體系系與與深深層層隱隱患