信息安全-典型風險評估案例結(jié)果分析

1、整理ppt典型風險評估案例結(jié)果分析典型風險評估案例結(jié)果分析 賈賈 穎穎 禾禾國務院信息化工作辦公室國務院信息化工作辦公室網(wǎng)絡與信息安全組網(wǎng)絡與信息安全組20042004年年6 6月月1111日日整理ppt 典型風險評估案例結(jié)果分析典型風險評估案例結(jié)果分析源自源自1996年美國國會總審計署（年美國國會總審計署（GAO）的）的報告的研究報告的研究整理ppt（GAO） 對國防部的計算機攻擊帶來不斷對國防部的計算機攻擊帶來不斷增加的風險增加的風險（Computer Attacks at Department of Defense Pose Increasing Risks）整理ppt目的匿名的和未授權

2、的用戶正在不斷的攻擊和非法訪問國防部計算機系統(tǒng)的敏感信息，給國家安全帶來了很大威脅。在這種情況下，GAO被邀請對國防信息網(wǎng)絡進行風險評估，以便確定哪些國防系統(tǒng)正在遭受攻擊、信息系統(tǒng)受到損害的可能性以及國防系統(tǒng)保護敏感信息所面臨的挑戰(zhàn)。整理ppt第一部分：典型個案羅馬實驗室攻擊案例整理ppto攻擊者控制羅馬實驗室的支持信息系統(tǒng)許多天，并且建立了同外部Internet的連接。在這期間，他們拷貝并下載了許多機密的數(shù)據(jù)，包括象國防任務指令系統(tǒng)的數(shù)據(jù)。o通過偽裝成羅馬實驗室的合法用戶，他們同時成功的連接到了其他重要的政府網(wǎng)絡，并實施了成功的攻擊。包括（National Aeronautics and S

3、pace administrations(NASA) Goddard Space Flight Center，Wright-Patterson Air Force Base，some Defense contractors， and other private sector organizations）整理ppt整理ppto美國空軍信息中心美國空軍信息中心（Air Force Information Warfare Center (AFIWC)）估計這次攻擊使得政府為這次事件花費了$500,000。這包括將網(wǎng)絡隔離、驗證系統(tǒng)的完整性、安全安全補丁、恢復系統(tǒng)以及調(diào)查費用等等。o從計算機系統(tǒng)中丟失

4、的及其有價值的數(shù)據(jù)的損失是無法估量的。比如：羅馬實驗室用了3年的時間，花費了400萬美圓進行的空軍指令性研究項目，已經(jīng)無法實施。整理ppt其它的攻擊案例一o1995年到1996年，一個攻擊者從亞立桑那州利用互聯(lián)網(wǎng)訪問了一個美國大學的計算機系統(tǒng)，以它為跳板，進入了美國海軍研究實驗室、NASA、Los Alamos國家實驗室的網(wǎng)絡中。這些網(wǎng)絡中存儲了大量絕密信息，比如：飛機設計、雷達技術、衛(wèi)星技術、武器和作戰(zhàn)控制系統(tǒng)等等。海軍根本沒有辦法確定那次攻擊造成多么巨大的損失。整理ppt案例二o在1990年四月到1991年三月之間，荷蘭的黑客滲透進了34個國防計算機系統(tǒng)。他對系統(tǒng)進行修改，從而獲得了更高的

5、訪問權限。他讀取郵件，搜索敏感的關鍵字，比如象核設施、武器、導彈等等，并且下載了很多軍事數(shù)據(jù)。o攻擊完成后，他修改系統(tǒng)的日志以避免被探測到。整理ppt第二部分第二部分 現(xiàn)實現(xiàn)實整理ppt1.國防部的計算環(huán)境o國防部有200個指揮中心、16個信息處理中心，2百萬個用戶，210萬臺計算機，10，000個網(wǎng)絡。o最高機密信息相對而言比較安全，有如下幾個個方面因素：保存在物理隔離的網(wǎng)絡中（邊界）經(jīng)過機密處理（信息保護）只在安全的路經(jīng)中傳輸（傳輸）（美國國家通信系統(tǒng)的要求：第一等的用戶，第一時間，第一個知道，第一個搞清楚，第一個行動）整理ppt整理ppt2. 黑客的攻擊手段o黑客的攻擊手段多種多樣，比較

6、典型的是sendmail攻擊、口令攻擊、數(shù)據(jù)竊聽等等。o黑客在進攻計算機系統(tǒng)時，通常使用多種技術或工具并利用系統(tǒng)的漏洞在網(wǎng)絡上進行。整理ppt整理ppt3. 攻擊行為的數(shù)量迅速增長oDISA估計去年國防網(wǎng)絡遭受了250,000次攻擊。被發(fā)現(xiàn)的攻擊行為非常少，因此很難統(tǒng)計確切數(shù)字。許多機構(gòu)只發(fā)現(xiàn)了少量的攻擊，在已經(jīng)發(fā)現(xiàn)的這些少量的攻擊行為中，被報告的攻擊行為又只占非常少的比例。這個估計的數(shù)字建立在DISA的漏洞分析漏洞分析和評估和評估的基礎上。為了進行評估，DISA的人員從互聯(lián)網(wǎng)上發(fā)動攻擊。從1992年來，DISA發(fā)動了38,000次攻擊活動，用以檢測網(wǎng)絡的受保護情況。o（如下圖所示）整理ppt

7、oDISA對美軍網(wǎng)絡實施的38000次滲透性攻擊測試，24700次即65的攻擊行為取得了成功。在這些成功的攻擊中，只有988即4被發(fā)現(xiàn)。在被發(fā)現(xiàn)的攻擊活動中，只有267次即27被報告給了DISA。也就是說，只有不到1/150的攻擊事件被報告。整理ppt整理pptoDISA也維護了官方報道的有關攻擊行為的數(shù)據(jù)。下圖顯示了相關情況：整理ppt第三部分第三部分重要結(jié)論重要結(jié)論整理ppt一. 評估結(jié)果簡述結(jié)論：針對國防計算機系統(tǒng)的攻擊是非常嚴重的，國防系統(tǒng)面臨的威脅在不斷的加重。1. 攻擊行為的確切數(shù)字很難統(tǒng)計，因為只有非常小一部分被探測到并且被報告出來。然而DISA（Defense Informat

8、ion Systems Agency）的數(shù)據(jù)顯示，國防系統(tǒng)去年一年遭受了250，000的攻擊行為，其中有65的攻擊取得了成功。每年的攻擊行為都以兩倍的速度在遞增。整理ppt2. 攻擊行為的花費非常小，但是給國防系統(tǒng)帶來的威脅卻非常大。攻擊者已經(jīng)控制了許多國防信息系統(tǒng)，其中有些系統(tǒng)非常敏感，比如：武器研發(fā)、財政等等。攻擊者也經(jīng)常偷竊、修改、破壞重要的數(shù)據(jù)和軟件。在著名的“羅馬實驗室”案例中，兩個黑客控制了實驗室的支持系統(tǒng)，并同外部的Internet站點建立了連接，偷走了許多重要的數(shù)據(jù)。整理ppt3. 盡管正在采取措施來解決日益嚴重的威脅，但是在限制進入計算機的非法訪問時，面臨巨大的挑戰(zhàn)。目前，在

9、風險評估、保護系統(tǒng)、緊急響應、評估損害程度等方面還沒有統(tǒng)一的策略。整理ppt二. 重要發(fā)現(xiàn)計算機攻擊行為正在迅速增長為了保護信息系統(tǒng)，國防部不得不保護巨大的信息基礎設施：210萬臺計算機、10，000個局域網(wǎng)、100多個廣域網(wǎng)。各個國防系統(tǒng)都在越來越依賴計算機系統(tǒng)，特別是在武器設計、敵對目標識別、發(fā)放薪水、管理后勤等領域。為了加強通信和信息共享，許多國防網(wǎng)絡連接到了互聯(lián)網(wǎng)上，這使得他們非常容易受到威脅。整理ppt2. 攻擊行為造成了嚴重破壞DISA估計國防網(wǎng)絡去年受到了250,000次的攻擊。然而，確切的數(shù)字難以統(tǒng)計，因為只有1/150的攻擊行為被發(fā)現(xiàn)和報告。另外，在測試信息系統(tǒng)時，DISA有

10、65的攻擊行為取得了成功。攻擊行為給國防系統(tǒng)帶來的財政負擔是巨大的。1994年的“羅馬實驗室”事件使國防部花費了500,000$，用于評估對信息系統(tǒng)的損壞程度、修補漏洞、識別黑客等。整理ppt3. 對國家安全的潛在威脅對國家安全的潛在威脅對國防系統(tǒng)的的入侵會嚴重的損害國家安全。計算機網(wǎng)絡與互聯(lián)網(wǎng)系統(tǒng)相連，使得我們的敵人只使用簡單的裝備和較低的代價就能夠取得非常大的回報。結(jié)果，越來越多的恐怖分子和敵對分子威脅國家的安全。NSA已經(jīng)知道潛在的對手以及開發(fā)了針對國防信息系統(tǒng)進行攻擊的知識庫。根據(jù)國防部的官員透露，這些方法包括計算機病毒、自動攻擊程序等都可以讓攻擊者在世界的任何地方發(fā)動攻擊。世界上有1

11、20個國家都在對攻擊技術進行研究整理ppt反擊攻擊行為面臨的挑戰(zhàn)隨著互聯(lián)網(wǎng)應用的不斷普及，攻擊技術的不斷發(fā)展、攻擊工具和方法的不斷進化，防止計算機系統(tǒng)的非法訪問越來越困難。國防系統(tǒng)正在采取措施來加強信息系統(tǒng)的安全以防止攻擊事件，但是需要更多的資源以及管理上的認可。目前的許多對計算機攻擊行為的防御策略已經(jīng)過時或沒有效果。許多國防策略都是在計算機系統(tǒng)隔離的時代制定的，已經(jīng)不適應當前的形勢。整理ppt三. 建議 為了建立起有效信息系統(tǒng)安全流程，必須有足夠的資源、管理層的認可、以及充分的優(yōu)先權。尤其是下列因素：改善安全政策和流程增加用戶的意識以及責任保證網(wǎng)絡安全人員有足夠的時間和訓練開發(fā)更有效的技術性

12、保護和監(jiān)視程序評估國防緊急響應能力整理ppt后續(xù)影響后續(xù)影響整理ppto1996年年5月月20日日GAO的報告發(fā)表的報告發(fā)表o1996年年7月月15日克林頓發(fā)布日克林頓發(fā)布13010號總統(tǒng)號總統(tǒng)行政令，成立由總統(tǒng)牽頭、十個部長參加的行政令，成立由總統(tǒng)牽頭、十個部長參加的關鍵基礎設施保護委員會。關鍵基礎設施保護委員會。o1998年至年至2001年年10月克林頓和布什兩屆月克林頓和布什兩屆政府連續(xù)發(fā)布四個總統(tǒng)令（政府連續(xù)發(fā)布四個總統(tǒng)令（PDD63等）等） ，鞏固和加強頂層協(xié)調(diào)。鞏固和加強頂層協(xié)調(diào)。o2000年年1月公布月公布“保護網(wǎng)絡空間國家計劃保護網(wǎng)絡空間國家計劃”。o2003年年3月公布月公布

13、“保護網(wǎng)絡空間國家戰(zhàn)略保護網(wǎng)絡空間國家戰(zhàn)略”整理ppto2001和和2002財年的聯(lián)邦政府信息安全管理報告，財年的聯(lián)邦政府信息安全管理報告，將最重要的將最重要的24個部門的信息安全的風險評估狀況，個部門的信息安全的風險評估狀況，作為信息安全考核的作為信息安全考核的6個指標之一，放在第一的位置。個指標之一，放在第一的位置。o2003財年的聯(lián)邦政府信息安全管理報告，又將考核財年的聯(lián)邦政府信息安全管理報告，又將考核的范圍擴大了的范圍擴大了50個獨立總局，并將風險評估基礎上個獨立總局，并將風險評估基礎上的認證認可作為一項新考核指標。的認證認可作為一項新考核指標。o1998年開始美國政府出資（特別是年開

14、始美國政府出資（特別是2002年以后）年以后） ，由制訂相關指導性文件和標準，推動風險評由制訂相關指導性文件和標準，推動風險評估和風險管理工作的開展，這一過程還在發(fā)展中。估和風險管理工作的開展，這一過程還在發(fā)展中。整理ppt風險評估亟待探討和解決的幾風險評估亟待探討和解決的幾個問題個問題 賈賈 穎穎 禾禾國務院信息化工作辦公室國務院信息化工作辦公室網(wǎng)絡與信息安全組網(wǎng)絡與信息安全組20042004年年6 6月月1111日日整理ppt1、定義問題：信息系統(tǒng)安全風險評估的概念、定義問題：信息系統(tǒng)安全風險評估的概念 信息系統(tǒng)的安全風險，是指由于系統(tǒng)存在的脆弱性，人為或自然的信息系統(tǒng)的安全風險，是指由于

15、系統(tǒng)存在的脆弱性，人為或自然的威脅導致安全事件發(fā)生的可能性及其造成的影響。威脅導致安全事件發(fā)生的可能性及其造成的影響。 信息安全風險評估，則是指依據(jù)有關信息安全技術標準，對信息系信息安全風險評估，則是指依據(jù)有關信息安全技術標準，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安統(tǒng)及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學評價的過程，它要評估信息系統(tǒng)的脆弱性、信息系全屬性進行科學評價的過程，它要評估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實際負面影響，統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實際負面影響，并根據(jù)安全事件發(fā)

16、生的可能性和負面影響的程度來識別信息系統(tǒng)的并根據(jù)安全事件發(fā)生的可能性和負面影響的程度來識別信息系統(tǒng)的安全風險。安全風險。 信息安全是一個動態(tài)的復雜過程，它貫穿于信息資產(chǎn)和信息系統(tǒng)的信息安全是一個動態(tài)的復雜過程，它貫穿于信息資產(chǎn)和信息系統(tǒng)的整個生命周期。信息安全的威脅來自于內(nèi)部破壞、外部攻擊、內(nèi)外整個生命周期。信息安全的威脅來自于內(nèi)部破壞、外部攻擊、內(nèi)外勾結(jié)進行的破壞以及自然危害。必須按照風險管理的思想，對可能勾結(jié)進行的破壞以及自然危害。必須按照風險管理的思想，對可能的威脅、脆弱性和需要保護的信息資源進行分析，依據(jù)風險評估的的威脅、脆弱性和需要保護的信息資源進行分析，依據(jù)風險評估的結(jié)果為信息系統(tǒng)

17、選擇適當?shù)陌踩胧?，妥善應對可能發(fā)生的風險。結(jié)果為信息系統(tǒng)選擇適當?shù)陌踩胧?，妥善應對可能發(fā)生的風險。整理ppt 人們的認識能力和實踐能力是有局限性的，因此，人們的認識能力和實踐能力是有局限性的，因此，信息系統(tǒng)存在脆弱性是不可避免的。信息系統(tǒng)的價值信息系統(tǒng)存在脆弱性是不可避免的。信息系統(tǒng)的價值及其存在的脆弱性，使信息系統(tǒng)在現(xiàn)實環(huán)境中，總要及其存在的脆弱性，使信息系統(tǒng)在現(xiàn)實環(huán)境中，總要面臨各種人為或自然的威脅，存在安全風險也是必然面臨各種人為或自然的威脅，存在安全風險也是必然的。信息安全建設的宗旨之一，就是在綜合考慮成本的。信息安全建設的宗旨之一，就是在綜合考慮成本與效益的前提下，通過安全措施來

18、控制風險，使殘余與效益的前提下，通過安全措施來控制風險，使殘余風險降低到可接受的程度。風險降低到可接受的程度。 因為任何信息系統(tǒng)都會有安全風險，所以，人們因為任何信息系統(tǒng)都會有安全風險，所以，人們追求的所謂安全的信息系統(tǒng)，實際是指信息系統(tǒng)在實追求的所謂安全的信息系統(tǒng)，實際是指信息系統(tǒng)在實施了風險評估并做出風險控制后，仍然存在的殘余風施了風險評估并做出風險控制后，仍然存在的殘余風險可被接受的信息系統(tǒng)。因此，要追求信息系統(tǒng)的安險可被接受的信息系統(tǒng)。因此，要追求信息系統(tǒng)的安全，就不能脫離全面、完整的信息系統(tǒng)的安全評估，全，就不能脫離全面、完整的信息系統(tǒng)的安全評估，就必須運用風險評估的思想和規(guī)范，對信

19、息系統(tǒng)開展就必須運用風險評估的思想和規(guī)范，對信息系統(tǒng)開展風險評估。風險評估。整理ppt2、作用問題：風險評估是分析確定風險的過程、作用問題：風險評估是分析確定風險的過程 任何系統(tǒng)的安全性都可以通過風險的大小來衡量。科學任何系統(tǒng)的安全性都可以通過風險的大小來衡量。科學分析系統(tǒng)的安全風險，綜合平衡風險和代價的過程就是分析系統(tǒng)的安全風險，綜合平衡風險和代價的過程就是風險評估。風險評估不是某個系統(tǒng)（包括信息系統(tǒng)）所風險評估。風險評估不是某個系統(tǒng)（包括信息系統(tǒng)）所特有的。在日常生活和工作中，風險評估也是隨處可見，特有的。在日常生活和工作中，風險評估也是隨處可見，為了分析確定系統(tǒng)風險及風險大小，進而決定采

20、取什么為了分析確定系統(tǒng)風險及風險大小，進而決定采取什么措施去減少、避免風險，把殘余風險控制在可以容忍的措施去減少、避免風險，把殘余風險控制在可以容忍的范圍內(nèi)。人們經(jīng)常會提出這樣一些問題：什么地方、什范圍內(nèi)。人們經(jīng)常會提出這樣一些問題：什么地方、什么時間可能出問題？出問題的可能性有多大？這些問題么時間可能出問題？出問題的可能性有多大？這些問題的后果是什么？應該采取什么樣的措施加以避免和彌補？的后果是什么？應該采取什么樣的措施加以避免和彌補？并總是試圖找出最合理的答案。這一過程實際上就是風并總是試圖找出最合理的答案。這一過程實際上就是風險評估。早在上個世紀初期，科學家就已開始研究風險險評估。早在上

21、個世紀初期，科學家就已開始研究風險管理理論。管理理論。整理ppto3、戰(zhàn)略和策略問題：信息安全風險評估是信息安、戰(zhàn)略和策略問題：信息安全風險評估是信息安全建設的起點和基礎全建設的起點和基礎o 信息安全風險評估是風險評估理論和方法在信信息安全風險評估是風險評估理論和方法在信息系統(tǒng)中的運用，是科學分析理解信息和信息系統(tǒng)息系統(tǒng)中的運用，是科學分析理解信息和信息系統(tǒng)在機密性、完整性、可用性等方面所面臨的風險，在機密性、完整性、可用性等方面所面臨的風險，并在風險的預防、風險的控制、風險的轉(zhuǎn)移、風險并在風險的預防、風險的控制、風險的轉(zhuǎn)移、風險的補償、風險的分散等之間作出決擇的過程。所有的補償、風險的分散等

22、之間作出決擇的過程。所有信息安全建設都應該是基于信息安全風險評估，只信息安全建設都應該是基于信息安全風險評估，只有在正確地、全面地理解風險后，才能在控制風險、有在正確地、全面地理解風險后，才能在控制風險、減少風險之間作出正確的判斷，決定調(diào)動多少資源、減少風險之間作出正確的判斷，決定調(diào)動多少資源、以什么的代價、采取什么樣的應對措施去化解、控以什么的代價、采取什么樣的應對措施去化解、控制風險。制風險。整理ppto4、操作和運行問題：信息安全風險評估是需求主、操作和運行問題：信息安全風險評估是需求主導和突出重點原則的具體體現(xiàn)導和突出重點原則的具體體現(xiàn)o 如果說信息安全建設必須從實際出發(fā)，堅持需如果說

23、信息安全建設必須從實際出發(fā)，堅持需求主導、突出重點，則風險評估（需求分析）就是求主導、突出重點，則風險評估（需求分析）就是這一原則在實際工作中的重要體現(xiàn)。從理論上講不這一原則在實際工作中的重要體現(xiàn)。從理論上講不存在絕對的安全，風險總是客觀存在的。安全是安存在絕對的安全，風險總是客觀存在的。安全是安全風險與安全建設管理代價的綜合平衡。不計成本、全風險與安全建設管理代價的綜合平衡。不計成本、片面地追求絕對安全、試圖消滅風險或完全避免風片面地追求絕對安全、試圖消滅風險或完全避免風險是不現(xiàn)實的，也不是需求主導原則所要求的。堅險是不現(xiàn)實的，也不是需求主導原則所要求的。堅持從實際出發(fā)，堅持需求主導、突出重

24、點，就必須持從實際出發(fā)，堅持需求主導、突出重點，就必須科學地評估風險，有效控制風險?？茖W地評估風險，有效控制風險。整理ppto5、借鑒國外經(jīng)驗問題：重視風險評估是信息化比較發(fā)達國家、借鑒國外經(jīng)驗問題：重視風險評估是信息化比較發(fā)達國家的基本經(jīng)驗的基本經(jīng)驗o 由于信息技術的飛速發(fā)展，關系國計民生的關鍵信息基礎設由于信息技術的飛速發(fā)展，關系國計民生的關鍵信息基礎設施的規(guī)模越來越大，同時也極大地增加了復雜程度，發(fā)達國家施的規(guī)模越來越大，同時也極大地增加了復雜程度，發(fā)達國家越來越重視信息安全風險評估工作，提倡風險評估制度化。上越來越重視信息安全風險評估工作，提倡風險評估制度化。上個世紀個世紀70年代，美

25、國政府就發(fā)布了年代，美國政府就發(fā)布了自動化數(shù)據(jù)處理風險評估自動化數(shù)據(jù)處理風險評估指南指南。其后頒布的關于信息安全基本政策文件。其后頒布的關于信息安全基本政策文件聯(lián)邦信息資聯(lián)邦信息資源安全源安全明確提出了信息安全風險評估的要求，要求聯(lián)邦政府明確提出了信息安全風險評估的要求，要求聯(lián)邦政府部門依據(jù)信息和信息系統(tǒng)所面臨的風險，根據(jù)信息丟失、濫用、部門依據(jù)信息和信息系統(tǒng)所面臨的風險，根據(jù)信息丟失、濫用、泄露、未授權訪問等造成損失的大小，制訂、實施信息安全計泄露、未授權訪問等造成損失的大小，制訂、實施信息安全計劃，以保證信息和信息系統(tǒng)應有的安全。有些國家和國際組織劃，以保證信息和信息系統(tǒng)應有的安全。有些國

26、家和國際組織還十分重視階段性的再評估工作，以求得信息安全措施可以持還十分重視階段性的再評估工作，以求得信息安全措施可以持續(xù)地適應信息安全形勢的變化和發(fā)展。續(xù)地適應信息安全形勢的變化和發(fā)展。整理ppto6、責任、角色和管理問題：信息安全風險評估的組織者是信息系統(tǒng)、責任、角色和管理問題：信息安全風險評估的組織者是信息系統(tǒng)的主管部門和運營單位的主管部門和運營單位o 風險評估作為信息安全保障的一項基礎性工作，其評估的結(jié)果是風險評估作為信息安全保障的一項基礎性工作，其評估的結(jié)果是領導層進行決策的重要依據(jù)；且由于在評估過程中不可避免地涉及評領導層進行決策的重要依據(jù)；且由于在評估過程中不可避免地涉及評估對象

27、大量的內(nèi)部、敏感甚至機密信息，對評估的時間、對象、范圍、估對象大量的內(nèi)部、敏感甚至機密信息，對評估的時間、對象、范圍、方式、評估人員、評估結(jié)果發(fā)布等都應該由領導層決定。各信息系統(tǒng)方式、評估人員、評估結(jié)果發(fā)布等都應該由領導層決定。各信息系統(tǒng)的主管部門和運營單位對此負有組織領導的責任。國家要求各部門各的主管部門和運營單位對此負有組織領導的責任。國家要求各部門各單位重視信息安全風險評估工作，制定政策、法規(guī)、標準，組織研發(fā)，單位重視信息安全風險評估工作，制定政策、法規(guī)、標準，組織研發(fā)，并采取適當形式進行督促。國家的信息安全風險綜合評估由各部門協(xié)并采取適當形式進行督促。國家的信息安全風險綜合評估由各部門

28、協(xié)調(diào)合作承擔。調(diào)合作承擔。o 自我評估應該成為信息安全風險評估的主要形式。信息安全建設自我評估應該成為信息安全風險評估的主要形式。信息安全建設是一個自我完善和自我提高的過程。管理能力，保護能力，事件發(fā)現(xiàn)是一個自我完善和自我提高的過程。管理能力，保護能力，事件發(fā)現(xiàn)和處置能力等諸多信息安全關鍵能力的提高，往往需要在所管轄的范和處置能力等諸多信息安全關鍵能力的提高，往往需要在所管轄的范圍內(nèi)，根據(jù)自身的實際情況，進行自我評估，層層落實責任。風險評圍內(nèi)，根據(jù)自身的實際情況，進行自我評估，層層落實責任。風險評估應作為一項經(jīng)常性工作，同本單位的工作總結(jié)、安全檢查等結(jié)合起估應作為一項經(jīng)常性工作，同本單位的工作

29、總結(jié)、安全檢查等結(jié)合起來。來。整理ppto7、信息使用問題：信息安全風險評估工作的協(xié)調(diào)合作與信息、信息使用問題：信息安全風險評估工作的協(xié)調(diào)合作與信息交流交流o 隨著互聯(lián)互通的發(fā)展，信息系統(tǒng)相互依賴性的增加，信息安隨著互聯(lián)互通的發(fā)展，信息系統(tǒng)相互依賴性的增加，信息安全的相互共同責任越來越大，因此，風險評估有關的信息交流全的相互共同責任越來越大，因此，風險評估有關的信息交流共享是必需的，這是互聯(lián)互通的參與者相互負責任的體現(xiàn)，也共享是必需的，這是互聯(lián)互通的參與者相互負責任的體現(xiàn)，也是搞好安全防范工作的重要的前提之一，符合所有參與者的共是搞好安全防范工作的重要的前提之一，符合所有參與者的共同利益。在信

30、息安全風險評估中，凡與互聯(lián)的其它參與者有關同利益。在信息安全風險評估中，凡與互聯(lián)的其它參與者有關的情況，應該依據(jù)牽涉范圍，及時交換或公布，以便有關聯(lián)的的情況，應該依據(jù)牽涉范圍，及時交換或公布，以便有關聯(lián)的單位盡早采取應對措施。信息共享的同時意味著必要的保密責單位盡早采取應對措施。信息共享的同時意味著必要的保密責任與義務的轉(zhuǎn)移，因此，強調(diào)信息共享的同時，也應有制度性任與義務的轉(zhuǎn)移，因此，強調(diào)信息共享的同時，也應有制度性的要求，明確共享信息保密、完整、可用的責任和義務。的要求，明確共享信息保密、完整、可用的責任和義務。整理ppto8、我們的薄弱環(huán)節(jié)問題：當前開展信息安全風險評估要研究解決的、我們的薄弱環(huán)節(jié)問題：當前開展信息安全風險評估要研究解決的幾個問題幾個問題o 經(jīng)過幾年的探索，我國有關方面已經(jīng)在信息安