-信息安全風(fēng)險(xiǎn)評(píng)估研究報(bào)告

信息平安風(fēng)險(xiǎn)評(píng)估中國(guó)科學(xué)院研究生院信息平安國(guó)家重點(diǎn)實(shí)驗(yàn)室趙戰(zhàn)生2004年7月3日內(nèi)容概要國(guó)信辦下達(dá)的研究任務(wù)及研究進(jìn)展國(guó)際上風(fēng)險(xiǎn)評(píng)估的開(kāi)展及現(xiàn)狀我國(guó)信息系統(tǒng)平安風(fēng)險(xiǎn)評(píng)估的現(xiàn)狀和問(wèn)題什么是信息平安風(fēng)險(xiǎn)評(píng)估為什么要進(jìn)行風(fēng)險(xiǎn)評(píng)估怎樣進(jìn)行風(fēng)險(xiǎn)評(píng)估國(guó)信辦下達(dá)的研究任務(wù)及研究進(jìn)展2003年7月22日，國(guó)務(wù)院信息化領(lǐng)導(dǎo)小組第三次會(huì)議專(zhuān)題討論了?關(guān)于加強(qiáng)信息平安保障工作的意見(jiàn)〉，9月中央辦公廳、國(guó)務(wù)院辦公廳轉(zhuǎn)發(fā)了?國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息平安保障工作的意見(jiàn)〉〔2003[27]號(hào)文件〕。文件要求采取必要措施進(jìn)行信息平安風(fēng)險(xiǎn)的防范。7月23日國(guó)信辦平安組決定委托國(guó)家信息中心組建成立“信息平安風(fēng)險(xiǎn)評(píng)估課題組〞，對(duì)信息平安風(fēng)險(xiǎn)評(píng)估工作的現(xiàn)狀進(jìn)行全面深入了解，提出我國(guó)開(kāi)展信息平安風(fēng)險(xiǎn)評(píng)估的對(duì)策和方法，為下一步信息平安的建設(shè)和管理做準(zhǔn)備。國(guó)家信息中心根據(jù)國(guó)務(wù)院信息辦平安組的要求,迅速成立了以國(guó)家信息中心公共技術(shù)效勞部主任寧家駿為組長(zhǎng),包括崔書(shū)昆、曲成義、趙戰(zhàn)生、吳亞非、左曉棟博士、范紅博士和朱建勇博士組成，賈穎禾為國(guó)信辦聯(lián)絡(luò)員的“信息平安風(fēng)險(xiǎn)評(píng)估〞起草組,開(kāi)展信息平安風(fēng)險(xiǎn)評(píng)估籌備工作。后根據(jù)工作需要又吸收杜虹、景乾元兩位同志參加。課題組在廣東、上海、北京共訪問(wèn)了50多個(gè)單位,召開(kāi)了5次座談會(huì)。研究與起草階段開(kāi)了7次研討會(huì)。經(jīng)過(guò)四個(gè)多月的努力,完成了：信息平安風(fēng)險(xiǎn)評(píng)估調(diào)查報(bào)告信息平安風(fēng)險(xiǎn)評(píng)估研究報(bào)告關(guān)于信息平安風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)三份稿約十萬(wàn)字提交的?信息平安風(fēng)險(xiǎn)評(píng)估研究報(bào)告?在屢次征求意見(jiàn)和修改后，作為全國(guó)信息平安保障工作會(huì)議下發(fā)的文件附件，在2004年1月9日發(fā)放給會(huì)議參加者。研究報(bào)告結(jié)構(gòu)一、前言二、信息系統(tǒng)平安風(fēng)險(xiǎn)評(píng)估的概念三、風(fēng)險(xiǎn)評(píng)估的意義和作用四、信息平安風(fēng)險(xiǎn)評(píng)估的目標(biāo)和目的五、信息平安風(fēng)險(xiǎn)評(píng)估的根本要素六、風(fēng)險(xiǎn)評(píng)估對(duì)信息系統(tǒng)生命周期的支持七、風(fēng)險(xiǎn)評(píng)估的一般工作流程八、當(dāng)前存在的風(fēng)險(xiǎn)評(píng)估理論和工具九、我國(guó)信息系統(tǒng)平安風(fēng)險(xiǎn)評(píng)估的現(xiàn)狀和問(wèn)題十、信息平安風(fēng)險(xiǎn)評(píng)估工作的原那么十一、等級(jí)保護(hù)、認(rèn)證認(rèn)可、風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)評(píng)估的關(guān)系十二、自評(píng)估、強(qiáng)制性檢查評(píng)估與委托評(píng)估十三、信息系統(tǒng)平安風(fēng)險(xiǎn)評(píng)估的角色和責(zé)任十四、信息平安風(fēng)險(xiǎn)評(píng)估的任務(wù)和措施附件1、國(guó)際信息平安風(fēng)險(xiǎn)評(píng)估的開(kāi)展和現(xiàn)狀附件2、風(fēng)險(xiǎn)評(píng)估工作流程詳述附件2、風(fēng)險(xiǎn)控制及工作流程附件4、美國(guó)對(duì)認(rèn)證認(rèn)可概念的看法附件5、美國(guó)信息系統(tǒng)平安認(rèn)證認(rèn)可工作概述附件6、對(duì)美國(guó)OMB主任備忘錄的總結(jié)附件7、美國(guó)認(rèn)證認(rèn)可方案中相關(guān)標(biāo)準(zhǔn)和指南概況2004年，課題組繼續(xù)進(jìn)行?關(guān)于信息平安風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)?的研究起草2004年國(guó)信辦平安組要求在已有工作根底上開(kāi)展風(fēng)險(xiǎn)評(píng)估相關(guān)標(biāo)準(zhǔn)的研究制定，標(biāo)準(zhǔn)包括：風(fēng)險(xiǎn)評(píng)估框架風(fēng)險(xiǎn)評(píng)估指南信息平安風(fēng)險(xiǎn)管理指南相關(guān)標(biāo)準(zhǔn)已經(jīng)形成初稿，正在進(jìn)一步研究修改中預(yù)期在近期完成“工作意見(jiàn)〞和“相關(guān)標(biāo)準(zhǔn)〞，并于下半年開(kāi)展信息平安風(fēng)險(xiǎn)評(píng)估的試點(diǎn)工作。

國(guó)際上風(fēng)險(xiǎn)評(píng)估

的開(kāi)展及現(xiàn)狀美國(guó)是國(guó)際上對(duì)信息平安風(fēng)險(xiǎn)評(píng)估研究歷史最長(zhǎng)和工作最豐富的國(guó)家。隨著信息化應(yīng)用需求的牽引，平安事件的驅(qū)動(dòng)和信息平安技術(shù)、信息平安管理概念的開(kāi)展深化，他們對(duì)信息平安風(fēng)險(xiǎn)評(píng)估的認(rèn)識(shí)也逐步加深。從最初關(guān)注計(jì)算機(jī)保密開(kāi)展到目前關(guān)注信息系統(tǒng)根底設(shè)施的信息保障，大體經(jīng)歷了以下三個(gè)階段：第一個(gè)階段〔60-70年代〕以計(jì)算機(jī)為對(duì)象的信息保密階段背景：計(jì)算機(jī)開(kāi)始應(yīng)用于政府軍隊(duì)。標(biāo)志性行動(dòng)：1967年11月，美國(guó)國(guó)防科學(xué)委員會(huì)委托蘭德公司、邁特公司〔MITIE〕及其它和國(guó)防工業(yè)有關(guān)的一些公司，開(kāi)始研究計(jì)算機(jī)平安問(wèn)題。到1970年2月，經(jīng)過(guò)將近兩年半的工作，主要對(duì)當(dāng)時(shí)的大型機(jī)、遠(yuǎn)程終端進(jìn)行了研究，分析。作了第一次比較大規(guī)模的風(fēng)險(xiǎn)評(píng)估。特點(diǎn)：僅重點(diǎn)針對(duì)了計(jì)算機(jī)系統(tǒng)的保密性問(wèn)題提出要求，對(duì)平安的評(píng)估只限于保密性。第二個(gè)階段〔80-90年代〕以計(jì)算機(jī)和網(wǎng)絡(luò)為對(duì)象的信息平安保護(hù)階段背景：計(jì)算機(jī)系統(tǒng)形成了網(wǎng)絡(luò)化的應(yīng)用。標(biāo)志性行動(dòng)：出現(xiàn)了初期的針對(duì)美國(guó)軍方的計(jì)算機(jī)黑客行為，1988年1989年，美國(guó)的計(jì)算機(jī)網(wǎng)絡(luò)出現(xiàn)了一系列重大事件。美國(guó)的審計(jì)總署〔GAO〕對(duì)美國(guó)國(guó)內(nèi)主要由國(guó)防部使用的計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行了大規(guī)模的持續(xù)評(píng)估。特點(diǎn)：逐步認(rèn)識(shí)到了更多的信息平安屬性〔保密性、完整性、可用性〕，從關(guān)注操作系統(tǒng)平安開(kāi)展到關(guān)注操作系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)庫(kù)。試圖通過(guò)對(duì)平安產(chǎn)品的質(zhì)量保證和平安評(píng)測(cè)來(lái)保障系統(tǒng)平安，但實(shí)際上僅僅奠定了平安產(chǎn)品測(cè)評(píng)認(rèn)證的根底和工作程序。第三個(gè)階段〔90年代末，21世紀(jì)初〕以信息系統(tǒng)關(guān)鍵根底設(shè)施為對(duì)象的信息保障階段背景：計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng)成為關(guān)鍵根底設(shè)施的核心。2000年前后，由于國(guó)際范圍內(nèi)出現(xiàn)了大規(guī)模黑客攻擊，以及信息戰(zhàn)的理論逐步走向成熟，信息攻防成為戰(zhàn)爭(zhēng)手段和國(guó)家綜合利用的一種方式，且美國(guó)的軍、政、經(jīng)濟(jì)和社會(huì)活動(dòng)對(duì)信息根底設(shè)施的依賴(lài)程度到達(dá)了空前的高度，迫使美國(guó)又開(kāi)始了對(duì)信息系統(tǒng)新一輪的評(píng)估和研究，產(chǎn)生了一些新的概念，法規(guī)和標(biāo)準(zhǔn)。標(biāo)志性的行動(dòng)：在軍方提出信息保障〔IA〕概念的根底上，克林頓和布什兩屆總統(tǒng)持續(xù)數(shù)年進(jìn)行了國(guó)家信息平安保護(hù)方案和信息保障戰(zhàn)略的研究。到目前為止，形成了與國(guó)家平安、反恐戰(zhàn)略、國(guó)土平安等國(guó)家戰(zhàn)略相配套的網(wǎng)絡(luò)空間信息保障的國(guó)家戰(zhàn)略。各個(gè)行業(yè)也逐步提出了本行業(yè)的信息平安戰(zhàn)略，風(fēng)險(xiǎn)評(píng)估思想在其中得到了重要的貫徹。1996年美國(guó)國(guó)會(huì)總審計(jì)署〔GAO〕的報(bào)告的研究DISA對(duì)美軍網(wǎng)絡(luò)實(shí)施的38000次滲透性攻擊測(cè)試，24700次即65％的攻擊行為取得了成功。在這些成功的攻擊中，只有988即4％被發(fā)現(xiàn)。在被發(fā)現(xiàn)的攻擊活動(dòng)中，只有267次即27％被報(bào)告給了DISA。也就是說(shuō)，只有不到1/150的攻擊事件被報(bào)告。有關(guān)風(fēng)險(xiǎn)評(píng)估的重要工作結(jié)果：1997年美國(guó)國(guó)防部發(fā)布了?國(guó)防部IT平安認(rèn)證和認(rèn)可過(guò)程?〔DITSCAP〕。1998年12月，NIST公布了?IT系統(tǒng)平安方案開(kāi)發(fā)指南?〔SP800-18〕。此前的OMBA-130曾要求，應(yīng)該將風(fēng)險(xiǎn)評(píng)估作為基于風(fēng)險(xiǎn)的方法的一局部來(lái)為系統(tǒng)實(shí)現(xiàn)適當(dāng)?shù)摹⒈惧X(qián)有效性更好的平安，用來(lái)評(píng)估系統(tǒng)風(fēng)險(xiǎn)性質(zhì)和級(jí)別的方法中應(yīng)該包括對(duì)風(fēng)險(xiǎn)管理主要因素的考慮：系統(tǒng)和應(yīng)用的價(jià)值、威脅、脆弱性、當(dāng)前或所建議的平安措施的有效性。因此，NIST在為信息系統(tǒng)開(kāi)發(fā)的平安方案模版中專(zhuān)門(mén)對(duì)所用的風(fēng)險(xiǎn)評(píng)估方法加以了描述，例如所選的風(fēng)險(xiǎn)評(píng)估方法是否對(duì)威脅、脆弱性及補(bǔ)充性平安防護(hù)措施進(jìn)行了標(biāo)識(shí)？此外，NIST還要求平安方案中應(yīng)包括風(fēng)險(xiǎn)評(píng)估的日期，且要說(shuō)明已標(biāo)識(shí)的風(fēng)險(xiǎn)是如何與系統(tǒng)的保密性、完整性和可用性要求相關(guān)聯(lián)的。2000年4月，負(fù)責(zé)國(guó)家平安系統(tǒng)的國(guó)家平安系統(tǒng)委員會(huì)〔此前稱(chēng)為國(guó)家平安電信和信息系統(tǒng)平安委員會(huì)〕發(fā)布了專(zhuān)門(mén)針對(duì)國(guó)家平安系統(tǒng)的?國(guó)家信息保障認(rèn)證和認(rèn)可過(guò)程?〔NIACAP〕。NIST在2000年11月為CIO委員會(huì)制定的?聯(lián)邦I(lǐng)T平安評(píng)估框架?中提出了自評(píng)估的5個(gè)級(jí)別。2001年11月，針對(duì)?聯(lián)邦I(lǐng)T平安評(píng)估框架?，NIST公布了?IT系統(tǒng)平安自評(píng)估指南?〔SP800-26〕，針對(duì)三大類(lèi)17項(xiàng)平安控制提出了17張調(diào)查表。2001年12月，NIST發(fā)布了?IT平安根底技術(shù)模型?〔SP800-33〕，提出了信息系統(tǒng)平安的目標(biāo)、目的、平安效勞的模型、平安目的的實(shí)現(xiàn)和平安控制措施在風(fēng)險(xiǎn)管理中的作用。2002年1月，NIST發(fā)布了?IT系統(tǒng)風(fēng)險(xiǎn)管理指南?〔SP800-30〕，概述了風(fēng)險(xiǎn)評(píng)估的重要性、風(fēng)險(xiǎn)評(píng)估在系統(tǒng)生命周期中的地位、進(jìn)行風(fēng)險(xiǎn)評(píng)估的角色和任務(wù)。說(shuō)明了風(fēng)險(xiǎn)評(píng)估的步驟、風(fēng)險(xiǎn)緩解的控制和評(píng)估評(píng)價(jià)的方法。2002年公布了?聯(lián)邦信息平安管理法案?〔FISMA〕，提出聯(lián)邦各機(jī)構(gòu)的信息平安工程必須包括：定期的風(fēng)險(xiǎn)評(píng)估，包括評(píng)估由于對(duì)信息和信息系統(tǒng)進(jìn)行未授權(quán)訪問(wèn)、使用、泄露、中斷、修改或者破壞而帶來(lái)的危害的大小?；陲L(fēng)險(xiǎn)評(píng)估的政策和流程，將信息平安風(fēng)險(xiǎn)通過(guò)本錢(qián)有效性較好的手段而降低到一個(gè)可接受的水平，并確保信息平安在各機(jī)構(gòu)信息系統(tǒng)的整個(gè)生命周期中都得到了處理。子方案，用于為網(wǎng)絡(luò)、設(shè)施、一個(gè)或一組信息系統(tǒng)提供足夠的信息平安。平安意識(shí)培訓(xùn)，用于使相關(guān)人員〔包括聯(lián)邦信息系統(tǒng)的合同商和其他用戶〕知曉其行為中的信息平安風(fēng)險(xiǎn)，并了解其有責(zé)任遵循機(jī)構(gòu)的風(fēng)險(xiǎn)控制政策和流程。對(duì)信息平安政策、流程、實(shí)踐措施和平安控制的有效性所實(shí)施的定期測(cè)試和評(píng)估。這些測(cè)試和評(píng)估的實(shí)施頻率取決于風(fēng)險(xiǎn)本身，但至少每年要實(shí)施一次。對(duì)矯正措施進(jìn)行規(guī)劃、實(shí)現(xiàn)、評(píng)估和記錄的過(guò)程，用于處理聯(lián)邦機(jī)構(gòu)信息平安政策、流程和實(shí)踐中所出現(xiàn)的任何缺陷。對(duì)平安事件進(jìn)行檢測(cè)、報(bào)告和響應(yīng)的流程。用來(lái)確保信息系統(tǒng)運(yùn)行的連續(xù)性的方案和流程。2002年2月，美國(guó)國(guó)家平安局〔NSA〕公布了?信息平安評(píng)估能力成熟度模型?〔IA-CMM〕2.1版。提出了包括評(píng)估信息平安風(fēng)險(xiǎn)在內(nèi)的9個(gè)過(guò)程域和29個(gè)子域。描述了與之有關(guān)的能力成熟度的五個(gè)級(jí)別。2002年10月，NIST發(fā)布了?聯(lián)邦I(lǐng)T系統(tǒng)平安認(rèn)證和認(rèn)可指南?〔SP800-37〕的第1.0版。2003年6月，NIST發(fā)布了?聯(lián)邦I(lǐng)T系統(tǒng)平安認(rèn)證和認(rèn)可指南?〔SP800-37〕的第2.0版。2003年9月NIST發(fā)布了FIPS199：?聯(lián)邦信息和信息系統(tǒng)的平安分類(lèi)標(biāo)準(zhǔn)?。2003年10月NIST發(fā)布了NIST800-37的伴隨文檔：NISTSP800-53?聯(lián)邦I(lǐng)T系統(tǒng)最小平安控制?，提出了管理、運(yùn)行、技術(shù)三大類(lèi)18族100多項(xiàng)平安控制。其他有關(guān)NISTSP800-37的伴隨文檔：NISTSP800-53A?聯(lián)邦I(lǐng)T系統(tǒng)平安控制驗(yàn)證技術(shù)和流程?、NISTSP800-60?如何將各種信息和信息系統(tǒng)映射到平安類(lèi)別中的指南?正在制定之中。NIST已經(jīng)假設(shè)干次推遲了這些文檔的預(yù)計(jì)發(fā)布日期，根據(jù)最新的進(jìn)度，上述文檔在2005年才能全部定稿。NIST認(rèn)證認(rèn)可系列指南的相互關(guān)系

NISTFIPS199信息系統(tǒng)的安全分類(lèi)NISTSP800-53安全控制NISTSP800-53A安全控制的驗(yàn)證技術(shù)和流程N(yùn)ISTSP800-37定義了標(biāo)準(zhǔn)的信息系統(tǒng)安全認(rèn)證認(rèn)可方法風(fēng)險(xiǎn)評(píng)估安全計(jì)劃更新后的安全計(jì)劃安全測(cè)試和評(píng)估報(bào)告最終的風(fēng)險(xiǎn)評(píng)估報(bào)告NISTSP800-60信息系統(tǒng)安全類(lèi)別的映射特點(diǎn)：隨著信息保障的研究的深入，關(guān)注的平安屬性擴(kuò)大到了保密性、完整性、可用性、可認(rèn)證性、不可否認(rèn)性五個(gè)方面；保障對(duì)象明確為信息、信息系統(tǒng)；保障能力明確來(lái)源于技術(shù)、管理和人員三個(gè)方面；關(guān)注局域計(jì)算環(huán)境、邊界與外部連接、網(wǎng)絡(luò)根底設(shè)施；以保護(hù)、檢測(cè)、反響、恢復(fù)四個(gè)工作環(huán)節(jié)形成支撐條件，構(gòu)建縱深防御體系。認(rèn)識(shí)到CC和FIPS140-2等標(biāo)準(zhǔn)僅僅適合平安產(chǎn)品的測(cè)評(píng)認(rèn)證。對(duì)于信息系統(tǒng)那么需要確立新的包括非技術(shù)因素的全面評(píng)估。逐步形成了風(fēng)險(xiǎn)評(píng)估、自評(píng)估、認(rèn)證認(rèn)可的工作思路，而風(fēng)險(xiǎn)評(píng)估工作貫穿于認(rèn)證認(rèn)可工作的各個(gè)階段中，且實(shí)現(xiàn)了制度化。風(fēng)險(xiǎn)評(píng)估已經(jīng)成為一種通用的方法學(xué)和根底理論，應(yīng)用到了廣泛的信息平安實(shí)踐工作之中。其他國(guó)家和地區(qū)的情況

英國(guó)標(biāo)準(zhǔn)化協(xié)會(huì)〔BSI〕1995年公布了?信息平安管理指南?〔BS7799〕，BS7799分為兩個(gè)局部：BS7799-1?信息平安管理實(shí)施規(guī)那么?和BS7799-2?信息平安管理體系標(biāo)準(zhǔn)?。2002年又公布了?信息平安管理系統(tǒng)標(biāo)準(zhǔn)說(shuō)明?〔BS7799-2:2002〕。它將信息平安管理的有關(guān)問(wèn)題劃分成了10個(gè)控制要項(xiàng)、36個(gè)控制目標(biāo)和127個(gè)控制措施。目前，在BS77992中，提出了如何了建立信息平安管理體系的步驟。在信息平安管理體系的核心部位是風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)管理。目前，全球通過(guò)BS7799認(rèn)證的數(shù)量已到達(dá)282家，其中絕大局部分布在歐洲和亞洲，整個(gè)中國(guó)地區(qū)〔包括香港和臺(tái)灣在內(nèi)〕通過(guò)BS7799認(rèn)證的數(shù)量已有18家。德國(guó)的聯(lián)邦信息技術(shù)平安局的信息平安管理是通過(guò)他們2001年7月公布和不斷更新的?信息技術(shù)基線保護(hù)手冊(cè)?〔ITBaselineProtectionManual(ITBPMorBPM)〕來(lái)加以指導(dǎo)的。BPM比英國(guó)的BS7799更加詳細(xì)地對(duì)威脅和平安措施加以了分類(lèi)，具體地開(kāi)列威脅清單和平安措施清單，并通過(guò)維護(hù)網(wǎng)上更新來(lái)實(shí)現(xiàn)與時(shí)俱進(jìn)的平安需求。該文將威脅目錄分為五類(lèi)272種〔嚴(yán)重影響13種，機(jī)構(gòu)缺陷67種，人為故障47種，技術(shù)故障43種，成心行為102種〕，平安措施目錄分為六類(lèi)607種〔根底設(shè)施類(lèi)57種，機(jī)構(gòu)類(lèi)226種，個(gè)人類(lèi)26種，軟件和硬件類(lèi)135種，通信類(lèi)88種，意外事故方案類(lèi)75種〕。澳大利亞/新西蘭風(fēng)險(xiǎn)管理準(zhǔn)那么聯(lián)合委員會(huì)于1995年公布了世界上第一部風(fēng)險(xiǎn)管理的正式標(biāo)準(zhǔn)：AS/NZS4360。這是一個(gè)針對(duì)普遍風(fēng)險(xiǎn)〔而非信息平安風(fēng)險(xiǎn)〕的風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)，成為關(guān)注一般風(fēng)險(xiǎn)管理的人員的通用準(zhǔn)那么。AS/NZS4360在1999年又公布了其修改版本。澳大利亞的經(jīng)驗(yàn)說(shuō)明：這些準(zhǔn)那么雖然不能直接為內(nèi)部審計(jì)人員提供一個(gè)風(fēng)險(xiǎn)模型，但卻為產(chǎn)生風(fēng)險(xiǎn)模型奠定了根底。加拿大風(fēng)險(xiǎn)管理準(zhǔn)那么委員會(huì)于1997年公布了?風(fēng)險(xiǎn)管理：決策者的指導(dǎo)?〔AN/CSAQ850-97〕。國(guó)際標(biāo)準(zhǔn)化組織在信息平安管理方面，早在1996年就開(kāi)始制定?信息技術(shù)信息平安管理指南?〔ISO/IEC13335〕，它分成?信息平安的概念和模型?、?信息平安管理和規(guī)劃?、?信息平安管理技術(shù)?、?基線方法?、?網(wǎng)絡(luò)平安管理指南?五個(gè)局部。其后，國(guó)際標(biāo)準(zhǔn)化組織又通過(guò)了依據(jù)BS7799-1制定的?信息平安管理實(shí)施指南?〔ISO/IEC17779:2000〕，提出了基于風(fēng)險(xiǎn)管理的信息平安管理體系。綜觀國(guó)際情況，信息平安風(fēng)險(xiǎn)評(píng)估經(jīng)歷了一個(gè)從只重技術(shù)到技術(shù)、管理并重的全面評(píng)估，從單機(jī)到網(wǎng)絡(luò)再到信息系統(tǒng)根底設(shè)施，從單一平安屬性到多種平安屬性開(kāi)展。當(dāng)前，正在信息保障的概念下，還處在不斷深化完善之中?？傮w上看，雖然傳統(tǒng)的風(fēng)險(xiǎn)評(píng)估不是一個(gè)陌生問(wèn)題。但是信息系統(tǒng)的平安風(fēng)險(xiǎn)評(píng)估在國(guó)際上仍是一個(gè)尚在探討的未決問(wèn)題。美國(guó)國(guó)家平安局的有關(guān)領(lǐng)導(dǎo)曾檢討道，橘皮書(shū)時(shí)代提出過(guò)軍隊(duì)和政府的信息系統(tǒng)在某個(gè)時(shí)段應(yīng)到達(dá)某個(gè)平安級(jí)別的要求，但是，實(shí)際上他們僅僅落實(shí)了一批經(jīng)過(guò)測(cè)評(píng)認(rèn)證的平安產(chǎn)品，而系統(tǒng)平安什么也沒(méi)有作到。近年來(lái)，美國(guó)的信息平安研究人員正加緊工作，方案在國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所〔NIST〕制定的以SP800-37為核心的配套指南完善后，于2004年開(kāi)展新一輪的聯(lián)邦信息系統(tǒng)認(rèn)證認(rèn)可工作。我國(guó)信息系統(tǒng)平安風(fēng)險(xiǎn)評(píng)估

的現(xiàn)狀和問(wèn)題我國(guó)的信息系統(tǒng)平安評(píng)估工作是隨著對(duì)信息平安問(wèn)題的認(rèn)識(shí)的逐步深化不斷開(kāi)展的。早期的信息平安工作中心是信息保密，通過(guò)保密檢查來(lái)發(fā)現(xiàn)問(wèn)題，改進(jìn)提高。80年代后，隨著計(jì)算機(jī)的推廣應(yīng)用，隨即提出了計(jì)算機(jī)平安的問(wèn)題，開(kāi)展了計(jì)算機(jī)平安檢查工作。但是，當(dāng)時(shí)缺乏風(fēng)險(xiǎn)意識(shí)，在領(lǐng)導(dǎo)和信息系統(tǒng)管理者的思想中，通常追求的是萬(wàn)無(wú)一失、絕對(duì)平安。90年代后，隨著互連網(wǎng)在我國(guó)得到了廣泛的社會(huì)化應(yīng)用，國(guó)際大環(huán)境的信息平安問(wèn)題和信息戰(zhàn)的威脅直接在我國(guó)的信息環(huán)境中有所反映。1994年2月公布的?中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)平安保護(hù)條例?提出了計(jì)算機(jī)信息系統(tǒng)實(shí)行平安等級(jí)保護(hù)的要求。其后，在有關(guān)部門(mén)的組織下，不斷開(kāi)展了有關(guān)等級(jí)保護(hù)評(píng)價(jià)準(zhǔn)那么、平安產(chǎn)品的測(cè)評(píng)認(rèn)證、系統(tǒng)平安等級(jí)劃分指南的研究，初步提出了一系列相關(guān)技術(shù)標(biāo)準(zhǔn)和管理標(biāo)準(zhǔn)。信息平安的風(fēng)險(xiǎn)意識(shí)也開(kāi)始建立，并逐步有所加強(qiáng)。目前，就信息平安保障的主管機(jī)關(guān)而言，國(guó)家保密管理部門(mén)，由于有優(yōu)良的工作傳統(tǒng)、組織機(jī)構(gòu)和國(guó)家保密法的依據(jù)，思想明確，技術(shù)標(biāo)準(zhǔn)相對(duì)齊全，工作力度比較強(qiáng)，到位情況比較好。計(jì)算機(jī)網(wǎng)絡(luò)平安管理部門(mén)經(jīng)過(guò)二十多年的探索準(zhǔn)備以及對(duì)犯罪案件和平安事件的偵破處理，積累了經(jīng)驗(yàn)和知識(shí)，組織制定了一系列的技術(shù)標(biāo)準(zhǔn)，正在為實(shí)施計(jì)算機(jī)信息系統(tǒng)平安的等級(jí)保護(hù)制度進(jìn)行試點(diǎn)和政策性文件的準(zhǔn)備。但密碼管理、保密管理、計(jì)算機(jī)網(wǎng)絡(luò)信息平安管理、信息內(nèi)容平安管理等部門(mén)的協(xié)調(diào)協(xié)同還有待加強(qiáng)。從本課題調(diào)研的情況看，我國(guó)各個(gè)部門(mén)和行業(yè)對(duì)信息平安風(fēng)險(xiǎn)評(píng)估的認(rèn)識(shí)和開(kāi)展的情況是不平衡的。國(guó)內(nèi)現(xiàn)階段風(fēng)險(xiǎn)評(píng)估的狀況，可分為以下幾類(lèi)：一是有認(rèn)識(shí)、有行動(dòng)、有措施、有效果；二是有認(rèn)識(shí)、有行動(dòng)但措施不當(dāng)；三是有認(rèn)識(shí)、無(wú)行動(dòng)、無(wú)措施；四是無(wú)認(rèn)識(shí)、無(wú)行動(dòng)、無(wú)措施。國(guó)家部門(mén)建立的測(cè)評(píng)認(rèn)證機(jī)構(gòu)：在國(guó)家標(biāo)準(zhǔn)GB17859-1999和GB/T18336-2001的原那么指導(dǎo)下，進(jìn)行了大量的平安產(chǎn)品的功能評(píng)測(cè)，并逐步向平安產(chǎn)品的性能評(píng)測(cè)、平安性評(píng)測(cè)提高。通過(guò)自己的工作實(shí)踐和社會(huì)需求的牽引，并在注意到美國(guó)提出的聯(lián)邦I(lǐng)T系統(tǒng)平安認(rèn)證認(rèn)可指南等國(guó)外動(dòng)態(tài)后，逐步認(rèn)識(shí)到，僅僅進(jìn)行平安產(chǎn)品的測(cè)評(píng)認(rèn)證不能解決信息系統(tǒng)的平安。因此，國(guó)家部門(mén)建立的測(cè)評(píng)認(rèn)證機(jī)構(gòu)開(kāi)始把信息系統(tǒng)的平安評(píng)測(cè)納入自己的工作范疇，風(fēng)險(xiǎn)評(píng)估一般也作為系統(tǒng)平安評(píng)估的一個(gè)環(huán)節(jié)，納入其中。開(kāi)展了風(fēng)險(xiǎn)評(píng)估的國(guó)內(nèi)信息平安廠商：國(guó)內(nèi)已經(jīng)有一批信息平安企業(yè)〔如30盛安、啟明星辰、聯(lián)想、科友、綠盟、思樂(lè)等〕開(kāi)始對(duì)客戶提供信息系統(tǒng)平安評(píng)估效勞，并且承擔(dān)了一些行業(yè)單位的系統(tǒng)平安評(píng)估工作。他們一般參考國(guó)際標(biāo)準(zhǔn)〔多數(shù)參考BS7799、ISO/IEC17799、SSE-CMM、AS/NZS4360，有的僅參考信息平安產(chǎn)品評(píng)測(cè)標(biāo)準(zhǔn)，如CC等〕和我國(guó)的國(guó)家標(biāo)準(zhǔn)GB17859。評(píng)估工具一般使用自己開(kāi)發(fā)或免費(fèi)獲得的系統(tǒng)漏洞掃描軟件。評(píng)估過(guò)程一般是在簽定保密協(xié)議的前提下，閱讀被評(píng)單位的平安管理文檔和系統(tǒng)設(shè)計(jì)文檔、問(wèn)卷調(diào)查、現(xiàn)場(chǎng)考察、掃描漏洞〔個(gè)別企業(yè)會(huì)開(kāi)展?jié)B透性測(cè)試〕并最終給出評(píng)估報(bào)告和平安改進(jìn)建議。外資企業(yè)在我國(guó)進(jìn)行的系統(tǒng)平安評(píng)估：外資企業(yè)〔如安氏中國(guó)、英國(guó)BSI、IBM、微軟等〕已經(jīng)涉足我國(guó)的信息系統(tǒng)平安評(píng)估工作，并且圍繞著信息平安技術(shù)及平安評(píng)測(cè)，進(jìn)行了一些教育培訓(xùn)和系統(tǒng)評(píng)估的工作，甚至在很多關(guān)鍵行業(yè)〔如銀行、電信行業(yè)〕，開(kāi)展了較多的風(fēng)險(xiǎn)評(píng)估效勞。從積極意義上看，他們帶來(lái)了國(guó)外風(fēng)險(xiǎn)評(píng)估的理念和標(biāo)準(zhǔn)，宣傳了風(fēng)險(xiǎn)評(píng)估的重要性和必要性，培養(yǎng)了一批進(jìn)行系統(tǒng)平安評(píng)估的技術(shù)人員〔其中不少已經(jīng)回流到國(guó)內(nèi)平安企業(yè)，成為這些廠商進(jìn)行平安評(píng)估、平安產(chǎn)品設(shè)計(jì)開(kāi)發(fā)、平安效勞的業(yè)務(wù)骨干〕。信息化依賴(lài)程度高的行業(yè)和部門(mén)：如海關(guān)總署、電力、金融、鐵路、通信、寶鋼、上海社會(huì)保障中心等行業(yè)和部門(mén)，信息化手段已經(jīng)成為其生產(chǎn)第一線上不可或缺的工作平臺(tái)。其中有的單位也發(fā)生過(guò)一些平安事件，對(duì)正常生產(chǎn)帶來(lái)了一些影響。在平安事件的驅(qū)動(dòng)下，行業(yè)管理部門(mén)制定了針對(duì)本行業(yè)有關(guān)信息平安要求的文件。這些行業(yè)重視了生產(chǎn)系統(tǒng)和辦公系統(tǒng)以及互連網(wǎng)之間的隔離和平安防護(hù)，并針對(duì)性地進(jìn)行了一些風(fēng)險(xiǎn)評(píng)估工作。有的單位還建立了行業(yè)性的信息平安實(shí)驗(yàn)室，開(kāi)展了針對(duì)本行業(yè)的信息平安需求和解決方案的研究與規(guī)劃實(shí)施。但多數(shù)單位還是請(qǐng)信息平安產(chǎn)業(yè)〔甚至請(qǐng)外資企業(yè)〕和本單位的人員結(jié)合開(kāi)展風(fēng)險(xiǎn)評(píng)估工作。信息化依賴(lài)程度低的行業(yè)和部門(mén)：這類(lèi)行業(yè)和部門(mén)，信息化程度不高，依賴(lài)程度不強(qiáng)。一般對(duì)信息平安的內(nèi)涵和外延、信息平安保障的技術(shù)和管理涉足不深，認(rèn)識(shí)模糊，風(fēng)險(xiǎn)概念不強(qiáng)，有的處于方案進(jìn)行風(fēng)險(xiǎn)評(píng)估的狀態(tài)，有的還根本沒(méi)有提上議事日程。仍然存在的問(wèn)題：1．信息系統(tǒng)平安風(fēng)險(xiǎn)評(píng)估的研究積累缺乏。信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估既是一個(gè)管理問(wèn)題，也是一個(gè)技術(shù)問(wèn)題。科學(xué)的風(fēng)險(xiǎn)評(píng)估需要理論、方法、技術(shù)和工具來(lái)支撐。我國(guó)的科學(xué)研究方案中，有關(guān)信息系統(tǒng)平安風(fēng)險(xiǎn)評(píng)估的重點(diǎn)科研工程非常之少。對(duì)國(guó)際上的理論和技術(shù)開(kāi)展的了解、跟蹤、分析也不夠系統(tǒng)、深入和廣泛。特別是隨著信息化應(yīng)用的日益拓展，風(fēng)險(xiǎn)已經(jīng)不僅僅來(lái)自于通用的信息技術(shù)平臺(tái)，而更進(jìn)一步與各個(gè)行業(yè)的應(yīng)用、效勞、生產(chǎn)的特性密切相關(guān)。因此，僅靠目前的IT企業(yè)，通用技術(shù)平臺(tái)的脆弱性分析，難以真正掌握和了解具體行業(yè)、部門(mén)的資產(chǎn)、威脅和風(fēng)險(xiǎn)。不但需要深化研究IT技術(shù)平臺(tái)的共性化的風(fēng)險(xiǎn)，還需要推動(dòng)對(duì)不同行業(yè)部門(mén)的個(gè)性化風(fēng)險(xiǎn)的深化研究，否那么風(fēng)險(xiǎn)評(píng)估將會(huì)出現(xiàn)關(guān)注面的缺失。2．缺乏信息系統(tǒng)平安風(fēng)險(xiǎn)評(píng)估的標(biāo)準(zhǔn)化標(biāo)準(zhǔn)。計(jì)算機(jī)信息系統(tǒng)平安等級(jí)保護(hù)制度的貫徹中，提出了“誰(shuí)主管，誰(shuí)負(fù)責(zé)。誰(shuí)運(yùn)營(yíng)，誰(shuí)負(fù)責(zé)〞的原那么。但是，急需解決的是什么才是真正意義上的負(fù)責(zé)，怎樣才算負(fù)責(zé)。這需要針對(duì)風(fēng)險(xiǎn)評(píng)估的任務(wù)、責(zé)任、過(guò)程、程序制定標(biāo)準(zhǔn)的標(biāo)準(zhǔn)，才能統(tǒng)一要求，落到實(shí)處。否那么，必然是風(fēng)險(xiǎn)評(píng)估工作的效果受限于各部門(mén)和個(gè)人的認(rèn)識(shí)，這些部門(mén)有什么認(rèn)識(shí)，有多大能力，風(fēng)險(xiǎn)評(píng)估就只能進(jìn)行到什么程度，參差不齊，難以達(dá)標(biāo)。3．熟悉和有能力進(jìn)行風(fēng)險(xiǎn)評(píng)估的專(zhuān)業(yè)技術(shù)和管理人才匱乏。調(diào)研中，各單位普遍反映，熟悉和有能力進(jìn)行系統(tǒng)平安建設(shè)甚至是風(fēng)險(xiǎn)評(píng)估的專(zhuān)業(yè)技術(shù)和管理人才嚴(yán)重匱乏。一些已開(kāi)始進(jìn)行信息系統(tǒng)平安評(píng)估的國(guó)內(nèi)企業(yè)，也是骨干成員邊學(xué)習(xí)，邊培養(yǎng)一般業(yè)務(wù)人員，邊進(jìn)行評(píng)估工程。不少骨干來(lái)自在外資信息平安企業(yè)工作回流的人員。被評(píng)單位更是缺乏有能力進(jìn)行配合的人員。在很多單位中，平安技術(shù)管理部門(mén)的人員一般認(rèn)為聘請(qǐng)外單位進(jìn)行評(píng)估有“外來(lái)的和尚好念經(jīng)〞的效果，這樣的評(píng)估結(jié)論容易引起領(lǐng)導(dǎo)重視，認(rèn)為能夠促使領(lǐng)導(dǎo)下決心加大平安投入的力度。4．信息系統(tǒng)平安風(fēng)險(xiǎn)評(píng)估的角色和責(zé)任混亂。風(fēng)險(xiǎn)評(píng)估是責(zé)任性極強(qiáng)的嚴(yán)肅工作。評(píng)估中應(yīng)該有什么人參加？他們應(yīng)該扮演什么角色？承擔(dān)什么責(zé)任？這些責(zé)任通過(guò)什么過(guò)程和手續(xù)表達(dá)？這一系列的問(wèn)題還沒(méi)有明確的答案。評(píng)估工作常出現(xiàn)評(píng)估方和被評(píng)單位兩不滿意的情況。有的被評(píng)單位在工作進(jìn)行到一定階段后，認(rèn)為評(píng)估結(jié)論不用請(qǐng)人來(lái)做也能想出〔對(duì)信息平安管理體系的評(píng)估尤其如此〕，而且還花費(fèi)了很多資金。而評(píng)估方也感到委屈，認(rèn)為自己在評(píng)估工作中投入的本錢(qián)已經(jīng)很大，評(píng)估的程度也很深，卻得不到對(duì)方認(rèn)同。此外，目前由信息平安企業(yè)實(shí)施的風(fēng)險(xiǎn)評(píng)估工作中，被評(píng)單位的實(shí)際配合往往不夠，限制頗多，使評(píng)估方難于了解該單位的業(yè)務(wù)特點(diǎn)和管理要求。評(píng)估結(jié)果有時(shí)缺乏嚴(yán)肅的認(rèn)可。改進(jìn)工作的建議和結(jié)論時(shí)遭束之高閣。很多單位的風(fēng)險(xiǎn)評(píng)估工作沒(méi)有與信息系統(tǒng)的生命周期和平安建設(shè)聯(lián)系起來(lái)，僅僅是為了評(píng)估而評(píng)估，由于在風(fēng)險(xiǎn)評(píng)估后沒(méi)有針對(duì)風(fēng)險(xiǎn)評(píng)估的結(jié)果采取對(duì)策，平安狀況最終并未取得實(shí)質(zhì)性的增強(qiáng)和改善，這些風(fēng)險(xiǎn)評(píng)估工作僅僅起到了應(yīng)付領(lǐng)導(dǎo)的作用。5．風(fēng)險(xiǎn)評(píng)估存在風(fēng)險(xiǎn)。由于與信息系統(tǒng)漏洞有關(guān)的信息、各單位信息平安保障的現(xiàn)狀和問(wèn)題是涉及單位要害、利益、聲譽(yù)的事項(xiàng)，所以風(fēng)險(xiǎn)評(píng)估是敏感的工作。調(diào)研中一些單位反映了如下一些情況：有的公司參加評(píng)估的人員，在離職赴國(guó)外學(xué)習(xí)中，將被評(píng)單位的問(wèn)題和解決方法作為自己的學(xué)業(yè)論文內(nèi)容公諸于世。有的公司把為某單位的評(píng)估工程作為自己的成功案例公諸于世。某單位在進(jìn)行風(fēng)險(xiǎn)評(píng)估前，雖然也存在網(wǎng)絡(luò)入侵現(xiàn)象，但是這些入侵僅處于試探和掃描狀況。在請(qǐng)外部單位進(jìn)行評(píng)估檢測(cè)之后，入侵者反而直奔系統(tǒng)要害而來(lái)了。總之，我國(guó)在信息平安的測(cè)評(píng)認(rèn)證方面開(kāi)展了一些工作，積累了一些經(jīng)驗(yàn)，但是對(duì)信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估還處于起步階段，有待標(biāo)準(zhǔn)提高，并需納入等級(jí)保護(hù)的總體制度和機(jī)制中。已經(jīng)顯現(xiàn)的問(wèn)題和可能發(fā)生的問(wèn)題，也有待深入研究，提出解決方法。什么是信息平安風(fēng)險(xiǎn)評(píng)估風(fēng)險(xiǎn)是個(gè)傳統(tǒng)概念天有不測(cè)風(fēng)云，人有旦夕禍福IT成為成熟的生產(chǎn)力還要走很長(zhǎng)的路RSA2004會(huì)議的一個(gè)報(bào)告提出問(wèn)題為什么是今天的軟件工程方法學(xué)有缺點(diǎn)為什么軟件缺點(diǎn)對(duì)cybersecurity是一個(gè)關(guān)鍵的挑戰(zhàn)我們?yōu)槭裁磻?yīng)該立刻修正我們寫(xiě)軟件的方式我們?nèi)绾螠y(cè)度軟件質(zhì)量和軟件平安性我們必須對(duì)軟件開(kāi)發(fā)者提供什么鼓勵(lì)Complexity:BugsperKLOC5B/KLOCinQA-testedsoftware

QAtestingincludesfaultinjectionandfailureanalysis

50B/KLOCinfeature-tested(commercial)softwareExamplesSolaris7=400KLOC2K–20Kbugs

Linux=<1.5MLOC7.5K–75KbugsWindowsNT=35MLOC175K–1.75MbugsWindowsXP=40MLOC200K–2.00MbugsBoeing777=7MLOC35K–350Kbugs數(shù)學(xué)支持攻擊者

沖擊波的成功是符合邏輯的考慮30K節(jié)網(wǎng)絡(luò)(中型的公司)每個(gè)節(jié)平均有3,000個(gè)exe模塊每個(gè)模塊有關(guān)100KB假設(shè)每行代碼(LOC)=10byte代碼然后每個(gè)100KBexe模塊=10KLOC每個(gè)模塊有約50(到500)bug這樣每個(gè)主節(jié)點(diǎn)存在150K(到1.5M)bug在這樣的網(wǎng)絡(luò)中150Kbug*30K節(jié)點(diǎn)=4.5Bbug假定10%的bug能造成平安失敗那么有45M個(gè)可被遠(yuǎn)程利用的bug信息化的開(kāi)展在數(shù)字世界凸顯了風(fēng)險(xiǎn)面對(duì)對(duì)風(fēng)險(xiǎn)存在不同認(rèn)識(shí)有的同志把信息平安目標(biāo)定位于:系統(tǒng)永不停機(jī)數(shù)據(jù)永不喪失網(wǎng)絡(luò)永不癱瘓信息永不泄密有的同志認(rèn)為信息平安無(wú)能為力美國(guó)FBI對(duì)付不了黑客信息平安專(zhuān)家對(duì)付不了中學(xué)生有的同志覺(jué)得信息平安問(wèn)題越來(lái)越說(shuō)不清楚信息系統(tǒng)是一個(gè)智能化、人機(jī)交互、非線性、時(shí)變、復(fù)雜、巨系統(tǒng)出路何在？科學(xué)的開(kāi)展觀人類(lèi)對(duì)真理的認(rèn)識(shí)是一個(gè)不斷的求極限的過(guò)程具體問(wèn)題具體分析是認(rèn)識(shí)論的精髓實(shí)踐是檢驗(yàn)真理的唯一標(biāo)準(zhǔn)信息系統(tǒng)的平安風(fēng)險(xiǎn)

信息系統(tǒng)的平安風(fēng)險(xiǎn)，是由來(lái)自人為的與自然的威脅利用系統(tǒng)存在的脆弱性造成的平安事件發(fā)生的可能性及其可能造成的影響。信息平安風(fēng)險(xiǎn)評(píng)估

依據(jù)國(guó)家有關(guān)的政策法規(guī)及信息技術(shù)標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等平安屬性進(jìn)行科學(xué)、公正的綜合評(píng)估的活動(dòng)過(guò)程。它要評(píng)估信息系統(tǒng)的脆弱性、信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后所產(chǎn)生的實(shí)際負(fù)面影響，并根據(jù)平安事件發(fā)生的可能性和負(fù)面影響的程度來(lái)識(shí)別信息系統(tǒng)的平安風(fēng)險(xiǎn)。人們的認(rèn)識(shí)能力和實(shí)踐能力是有局限性的，因此，信息系統(tǒng)存在脆弱性是不可防止的。信息系統(tǒng)的價(jià)值及其存在的脆弱性，使信息系統(tǒng)在現(xiàn)實(shí)環(huán)境中，總要面臨各種人為與自然的威脅，存在平安風(fēng)險(xiǎn)也是必然的。信息平安建設(shè)的宗旨之一，就是在綜合考慮本錢(qián)與效益的前提下，通過(guò)平安措施來(lái)控制風(fēng)險(xiǎn)，使剩余風(fēng)險(xiǎn)降低到可接受的程度。因?yàn)槿魏涡畔⑾到y(tǒng)都會(huì)有平安風(fēng)險(xiǎn)，所以，人們追求的所謂平安的信息系統(tǒng)，實(shí)際是指信息系統(tǒng)在實(shí)施了風(fēng)險(xiǎn)評(píng)估并做出風(fēng)險(xiǎn)控制后，仍然存在的剩余風(fēng)險(xiǎn)可被接受的信息系統(tǒng)。因此，要追求信息系統(tǒng)的平安，就不能脫離全面、完整的信息系統(tǒng)的平安評(píng)估，就必須運(yùn)用信息系統(tǒng)平安風(fēng)險(xiǎn)評(píng)估的思想和標(biāo)準(zhǔn)，對(duì)信息系統(tǒng)開(kāi)展平安風(fēng)險(xiǎn)評(píng)估。信息平安風(fēng)險(xiǎn)評(píng)估的根本要素

資產(chǎn)威脅脆弱性風(fēng)險(xiǎn)

使命：一個(gè)單位通過(guò)信息化要來(lái)實(shí)現(xiàn)的工作任務(wù)。依賴(lài)度：一個(gè)單位的使命對(duì)信息系統(tǒng)和信息的依靠程度。資產(chǎn)：通過(guò)信息化建設(shè)積累起來(lái)的信息系統(tǒng)、信息、生產(chǎn)或效勞能力、人員能力和贏得的信譽(yù)等。價(jià)值：資產(chǎn)的重要程度和敏感程度。威脅：一個(gè)單位的信息資產(chǎn)的平安可能受到的侵害。威脅由多種屬性來(lái)刻畫(huà)：威脅的主體〔威脅源〕、能力、資源、動(dòng)機(jī)、途徑、可能性和后果。脆弱性：信息資產(chǎn)及其防護(hù)措施在平安方面的缺乏和弱點(diǎn)。脆弱性也常常被稱(chēng)為弱點(diǎn)或漏洞。風(fēng)險(xiǎn)：風(fēng)險(xiǎn)由意外事件發(fā)生的可能性及發(fā)生后可能產(chǎn)生的影響兩種指標(biāo)來(lái)衡量。風(fēng)險(xiǎn)是在考慮事件發(fā)生的可能性及其可能造成的影響下，脆弱性被威脅所利用后所產(chǎn)生的實(shí)際負(fù)面影響。風(fēng)險(xiǎn)是可能性和影響的函數(shù)，前者指威脅源利用一個(gè)潛在脆弱性的可能性，后者指不利事件對(duì)組織機(jī)構(gòu)產(chǎn)生的影響。剩余風(fēng)險(xiǎn)：采取了平安防護(hù)措施，提高了防護(hù)能力后，仍然可能存在的風(fēng)險(xiǎn)。平安需求：為保證單位的使命能夠正常行使，在信息平安防護(hù)措施方面提出的要求。平安防護(hù)措施：對(duì)付威脅，減少脆弱性，保護(hù)資產(chǎn)，限制意外事件的影響，檢測(cè)、響應(yīng)意外事件，促進(jìn)災(zāi)難恢復(fù)和打擊信息犯罪而實(shí)施的各種實(shí)踐、規(guī)程和機(jī)制的總稱(chēng)。要素關(guān)系圖〔一〕要素關(guān)系圖〔二〕安全分類(lèi)基于由于喪失保密性、完整性和可用性而給單位帶來(lái)的潛在影響，為信息系統(tǒng)劃分安全類(lèi)別風(fēng)險(xiǎn)評(píng)估對(duì)信息系統(tǒng)面臨的潛在威脅及其脆弱性進(jìn)行標(biāo)識(shí)，對(duì)規(guī)劃實(shí)現(xiàn)或?qū)嶋H已經(jīng)實(shí)現(xiàn)的安全防護(hù)措施及其對(duì)單位的潛在影響加以分析，確定預(yù)期的殘余風(fēng)險(xiǎn)信息系統(tǒng)對(duì)安全防護(hù)措施的驗(yàn)證（認(rèn)證）通過(guò)已建立的驗(yàn)證技術(shù)和流程來(lái)確定信息系統(tǒng)中安全防護(hù)措施的有效性；確定信息系統(tǒng)中的實(shí)際脆弱性，并給出矯正動(dòng)作建議安全防護(hù)措施的集成將安全防護(hù)措施集成到信息系統(tǒng)中；使用安全實(shí)施指南來(lái)確保正確的安全設(shè)置和切換；在交付和安裝之后實(shí)施集成和可接受性測(cè)試持續(xù)監(jiān)視定期驗(yàn)證信息系統(tǒng)中的安全防護(hù)措施，以確保其連續(xù)有效性；報(bào)告安全狀態(tài)配置管理和控制對(duì)信息系統(tǒng)及其運(yùn)行環(huán)境中的變更進(jìn)行控制和記錄；對(duì)這些變更的安全影響進(jìn)行評(píng)估安全授權(quán)（認(rèn)可）確定并接受單位的殘余風(fēng)險(xiǎn)；批準(zhǔn)信息系統(tǒng)在特定的運(yùn)行環(huán)境中投入運(yùn)行安全計(jì)劃確定并記錄信息系統(tǒng)的安全要求和安全防護(hù)措施（無(wú)論是規(guī)劃中還是已經(jīng)部署好的）落實(shí)安全防護(hù)措施為信息系統(tǒng)設(shè)計(jì)、開(kāi)發(fā)和實(shí)現(xiàn)安全防護(hù)措施開(kāi)發(fā)性安全測(cè)試和評(píng)估制定安全測(cè)試和評(píng)估計(jì)劃；在采用之前對(duì)信息系統(tǒng)中的安全防護(hù)措施實(shí)施測(cè)試和評(píng)估啟動(dòng)風(fēng)險(xiǎn)評(píng)估過(guò)程為什么要進(jìn)行風(fēng)險(xiǎn)評(píng)估信息平安風(fēng)險(xiǎn)評(píng)估的目標(biāo)和目的

信息系統(tǒng)平安風(fēng)險(xiǎn)評(píng)估的總體目標(biāo)是：效勞于國(guó)家信息化建設(shè)，促進(jìn)信息平安保障體系的建設(shè)，提高信息系統(tǒng)的平安保護(hù)能力。信息系統(tǒng)平安風(fēng)險(xiǎn)評(píng)估的目的是：認(rèn)清信息平安環(huán)境、信息平安狀況；達(dá)成共識(shí)，明確責(zé)任；采取或完善平安保障措施；保持信息系統(tǒng)的建設(shè)與信息平安策略的一致性和持續(xù)性。信息平安風(fēng)險(xiǎn)評(píng)估的近期目標(biāo)是：貫徹落實(shí)27號(hào)文件；啟動(dòng)評(píng)估工作流程、工作標(biāo)準(zhǔn)、評(píng)估標(biāo)準(zhǔn)的研究與制定；推進(jìn)根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估試點(diǎn)示范工作；促進(jìn)信息系統(tǒng)平安等級(jí)保護(hù)制度的建設(shè)。風(fēng)險(xiǎn)評(píng)估的意義和作用

1.風(fēng)險(xiǎn)評(píng)估是信息系統(tǒng)平安的根底性工作信息平安中的風(fēng)險(xiǎn)評(píng)估是傳統(tǒng)的風(fēng)險(xiǎn)理論和方法在信息系統(tǒng)中的運(yùn)用，是科學(xué)地分析和理解信息與信息系統(tǒng)在保密性、完整性、可用性等方面所面臨的風(fēng)險(xiǎn)，并在風(fēng)險(xiǎn)的減少、轉(zhuǎn)移和躲避等風(fēng)險(xiǎn)控制方法之間做出決策的過(guò)程。風(fēng)險(xiǎn)評(píng)估將導(dǎo)出信息系統(tǒng)的平安需求，因此，所有信息平安建設(shè)都應(yīng)該以風(fēng)險(xiǎn)評(píng)估為起點(diǎn)。信息平安建設(shè)的最終目的是效勞于信息化，但其直接目的是為了控制平安風(fēng)險(xiǎn)。只有在正確、全面地了解和理解平安風(fēng)險(xiǎn)后，才能決定如何處理平安風(fēng)險(xiǎn)，從而在信息平安的投資、信息平安措施的選擇、信息平安保障體系的建設(shè)等問(wèn)題中做出合理的決策。進(jìn)一步，持續(xù)的風(fēng)險(xiǎn)評(píng)估工作可以成為檢查信息系統(tǒng)本身乃至信息系統(tǒng)擁有單位的績(jī)效的有力手段，風(fēng)險(xiǎn)評(píng)估的結(jié)果能夠供相關(guān)主管單位參考，并使主管單位通過(guò)行政手段對(duì)信息系統(tǒng)的立項(xiàng)、投資、運(yùn)行產(chǎn)生影響，促進(jìn)信息系統(tǒng)擁有單位加強(qiáng)信息平安建設(shè)。2.風(fēng)險(xiǎn)評(píng)估是分級(jí)防護(hù)和突出重點(diǎn)原那么的具體表達(dá)信息平安建設(shè)的根本原那么包括必須從實(shí)際出發(fā)，堅(jiān)持分級(jí)防護(hù)、突出重點(diǎn)。風(fēng)險(xiǎn)評(píng)估正是這一原那么在實(shí)際工作中的具體表達(dá)。從理論上講，不存在絕對(duì)的平安，實(shí)踐中也不可能做到絕對(duì)平安，風(fēng)險(xiǎn)總是客觀存在的。平安是風(fēng)險(xiǎn)與本錢(qián)的綜合平衡。盲目追求平安和回避風(fēng)險(xiǎn)是不現(xiàn)實(shí)的，也不是分級(jí)防護(hù)原那么所要求的。要從實(shí)際出發(fā)，堅(jiān)持分級(jí)防護(hù)、突出重點(diǎn)，就必須正確地評(píng)估風(fēng)險(xiǎn)，以便采取科學(xué)、客觀、經(jīng)濟(jì)和有效的措施。3.加強(qiáng)風(fēng)險(xiǎn)評(píng)估工作是當(dāng)前信息平安工作的客觀需要和緊迫需求由于信息技術(shù)的飛速開(kāi)展，關(guān)系國(guó)計(jì)民生的關(guān)鍵信息根底設(shè)施的規(guī)模越來(lái)越大，同時(shí)也極大地增加了系統(tǒng)的復(fù)雜程度。興旺國(guó)家越來(lái)越重視信息平安風(fēng)險(xiǎn)評(píng)估工作，提倡風(fēng)險(xiǎn)評(píng)估制度化。他們提出，沒(méi)有有效的風(fēng)險(xiǎn)評(píng)估，便會(huì)導(dǎo)致信息平安需求與平安解決方案的嚴(yán)重脫離。因此，美國(guó)國(guó)家平安局強(qiáng)調(diào)“沒(méi)有任何事情比解決錯(cuò)誤的問(wèn)題和建立錯(cuò)誤的系統(tǒng)更沒(méi)有效率的了。〞這些興旺國(guó)家近年來(lái)大力加強(qiáng)了以風(fēng)險(xiǎn)評(píng)估為核心的信息系統(tǒng)平安評(píng)估工作，并通過(guò)法規(guī)、標(biāo)準(zhǔn)手段加以保障，逐步以此形成了橫跨立法、行政、司法的完整的信息平安管理體系。在我國(guó)目前的國(guó)情下，為加強(qiáng)宏觀信息平安管理，促進(jìn)信息平安保障體系建設(shè)，就必須加強(qiáng)風(fēng)險(xiǎn)評(píng)估工作，并逐步使風(fēng)險(xiǎn)評(píng)估工作朝向制度化的方向開(kāi)展。怎樣進(jìn)行風(fēng)險(xiǎn)評(píng)估從使命出發(fā)確認(rèn)資產(chǎn)及其依賴(lài)度從資產(chǎn)的重要性和敏感程度〔CIA〕判斷面對(duì)的威脅識(shí)別確定脆弱性分析威脅利用脆弱性對(duì)資產(chǎn)造成損失的可能性和可能產(chǎn)生的影響形成報(bào)告，提出選擇適宜的平安控制措施的建議風(fēng)險(xiǎn)評(píng)估的一般工作流程

風(fēng)險(xiǎn)評(píng)估對(duì)信息系統(tǒng)生命周期的支持

生命周期階段階段特征來(lái)自風(fēng)險(xiǎn)管理活動(dòng)的支持階段1——規(guī)劃和啟動(dòng)提出信息系統(tǒng)的目的、需求、規(guī)模和安全要求。風(fēng)險(xiǎn)評(píng)估活動(dòng)可用于確定信息系統(tǒng)安全需求。階段2——設(shè)計(jì)開(kāi)發(fā)或采購(gòu)信息系統(tǒng)設(shè)計(jì)、購(gòu)買(mǎi)、開(kāi)發(fā)或建造。在本階段標(biāo)識(shí)的風(fēng)險(xiǎn)可以用來(lái)為信息系統(tǒng)的安全分析提供支持，這可能會(huì)影響到系統(tǒng)在開(kāi)發(fā)過(guò)程中要對(duì)體系結(jié)構(gòu)和設(shè)計(jì)方案進(jìn)行權(quán)衡。階段3——集成實(shí)現(xiàn)信息系統(tǒng)的安全特性應(yīng)該被配置、激活、測(cè)試并得到驗(yàn)證。風(fēng)險(xiǎn)評(píng)估可支持對(duì)系統(tǒng)實(shí)現(xiàn)效果的評(píng)價(jià)，考察其是否能滿足要求，并考察系統(tǒng)所運(yùn)行的環(huán)境是否是預(yù)期設(shè)計(jì)的。有關(guān)風(fēng)險(xiǎn)的一系列決策必須在系統(tǒng)運(yùn)行之前做出。階段4——運(yùn)行和維護(hù)信息系統(tǒng)開(kāi)始執(zhí)行其功能，一般情況下系統(tǒng)要不斷修改，添加硬件和軟件，或改變機(jī)構(gòu)的運(yùn)行規(guī)則、策略或流程等。當(dāng)定期對(duì)系統(tǒng)進(jìn)行重新評(píng)估時(shí)，或者信息系統(tǒng)在其運(yùn)行性生產(chǎn)環(huán)境（例如新的系統(tǒng)接口）中做出重大變更時(shí)，要對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估活動(dòng)。階段5——廢棄本階段涉及到對(duì)信息、硬件和軟件的廢棄。這些活動(dòng)可能包括信息的移動(dòng)、備份、丟棄、破壞以及對(duì)硬件和軟件進(jìn)行的密級(jí)處理。當(dāng)要廢棄或替換系統(tǒng)組件時(shí)，要對(duì)其進(jìn)行風(fēng)險(xiǎn)評(píng)估，以確保硬件和軟件得到了適當(dāng)?shù)膹U棄處置，且殘留信息也恰當(dāng)?shù)剡M(jìn)行了處理。并且要確保系統(tǒng)的更新?lián)Q代能以一個(gè)安全和系統(tǒng)化的方式完成。從風(fēng)險(xiǎn)評(píng)估實(shí)施的時(shí)機(jī)劃分，可以分為面向待建系統(tǒng)的風(fēng)險(xiǎn)評(píng)估和面向運(yùn)行系統(tǒng)的風(fēng)險(xiǎn)評(píng)估。對(duì)于待建系統(tǒng)，如果已經(jīng)有了設(shè)計(jì)方案或平安方案，那么可以從這些文檔中標(biāo)識(shí)出局部脆弱性，如果系統(tǒng)建設(shè)尚處在啟動(dòng)或提議階段，那么無(wú)從評(píng)估其脆弱性，上述工作流程可以簡(jiǎn)化，省略對(duì)脆弱性的評(píng)估。當(dāng)前存在的風(fēng)險(xiǎn)評(píng)估理論和工具

當(dāng)前，存在很多風(fēng)險(xiǎn)評(píng)估的理論，這些方法遵循了根本的風(fēng)險(xiǎn)評(píng)估流程，但在具體實(shí)施手段和風(fēng)險(xiǎn)的計(jì)算方法方面各有不同。從計(jì)算方法區(qū)分，有定性的方法、定量的方法和半定量的方法。從實(shí)施手段區(qū)分，有基于樹(shù)的技術(shù)、動(dòng)態(tài)系統(tǒng)的技術(shù)等。在風(fēng)險(xiǎn)評(píng)估的某些具體階段〔例如威脅評(píng)估或脆弱性評(píng)估中〕，也存在更多的理論和方法，如脆弱性分類(lèi)方法、威脅列表等。評(píng)估工具目前存在以下幾類(lèi)：掃描工具：包括主機(jī)掃描、網(wǎng)絡(luò)掃描、數(shù)據(jù)庫(kù)掃描，用于分析系統(tǒng)的常見(jiàn)漏洞；入侵檢測(cè)系統(tǒng)〔IDS〕：用于收集與統(tǒng)計(jì)威脅數(shù)據(jù)；滲透性測(cè)試工具：黑客工具，用于人工滲透，評(píng)估系統(tǒng)的深層次漏洞；主機(jī)平安性審計(jì)工具：用于分析主機(jī)系統(tǒng)配置的平安性；平安管理評(píng)價(jià)系統(tǒng)：用于平安訪談，評(píng)價(jià)平安管理措施；風(fēng)險(xiǎn)綜合分析系統(tǒng)：在根底數(shù)據(jù)根底上，定量、綜合分析系統(tǒng)的風(fēng)險(xiǎn)，并且提供分類(lèi)統(tǒng)計(jì)、查詢、TOPN查詢以及報(bào)表輸出功能；評(píng)估支撐環(huán)境工具:評(píng)估指標(biāo)庫(kù)、知識(shí)庫(kù)、漏洞庫(kù)、算法庫(kù)、模型庫(kù)。等級(jí)保護(hù)、認(rèn)證認(rèn)可、風(fēng)險(xiǎn)管理、風(fēng)險(xiǎn)評(píng)估的關(guān)系

等級(jí)保護(hù)是計(jì)算機(jī)信息系統(tǒng)信息平安保障的重要制度和任務(wù)。1994年?中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)平安保護(hù)條例?中正式提出了實(shí)施等級(jí)保護(hù)的要求。2003年中辦發(fā)27號(hào)文件重申了這一重要任務(wù)。信息系統(tǒng)平安認(rèn)證認(rèn)可是興旺國(guó)家普遍采取的信息系統(tǒng)平安評(píng)估與管理模式。由于信息系統(tǒng)不是產(chǎn)品，不具有流通性，對(duì)信息系統(tǒng)平安的認(rèn)證是指運(yùn)用技術(shù)和管理檢查手段來(lái)測(cè)試、分析、評(píng)價(jià)信息平安保障是否到位。信息平安產(chǎn)品的認(rèn)證是信息系統(tǒng)平安認(rèn)證的前提和根底，但不能代替對(duì)信息系統(tǒng)平安的認(rèn)證。信息系統(tǒng)平安認(rèn)可那么是單位的管理層或上級(jí)主管機(jī)關(guān)依據(jù)平安認(rèn)證的結(jié)果，判斷信息系統(tǒng)中存在的剩余風(fēng)險(xiǎn)是否可以接受，從而決定是否允許信息系統(tǒng)投入建設(shè)或運(yùn)行的過(guò)程。風(fēng)險(xiǎn)管理是平安管理的重要組成局部。它包括：風(fēng)險(xiǎn)評(píng)估、風(fēng)險(xiǎn)控制〔實(shí)施本錢(qián)效益分析，選擇平安防護(hù)措施來(lái)控制風(fēng)險(xiǎn)〕以及根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果對(duì)信息系統(tǒng)的運(yùn)行中的相關(guān)事項(xiàng)〔例如是否批準(zhǔn)系統(tǒng)投入運(yùn)行、是否加大信息平安建設(shè)投資等〕做出決策。風(fēng)險(xiǎn)評(píng)估是認(rèn)證認(rèn)可和風(fēng)險(xiǎn)管理的重要組成局部，沒(méi)有風(fēng)險(xiǎn)評(píng)估，認(rèn)證認(rèn)可和風(fēng)險(xiǎn)管理就會(huì)成為無(wú)源之水、無(wú)本之木，缺乏決策行動(dòng)的依據(jù)與方向。但風(fēng)險(xiǎn)管理屬于概念和方法學(xué)的范疇，而認(rèn)證認(rèn)可那么屬于實(shí)踐的層次，認(rèn)證認(rèn)可本身便是一種風(fēng)險(xiǎn)管理的實(shí)施措施。自評(píng)估、強(qiáng)制性檢查評(píng)估與委托評(píng)估

自評(píng)估是信息系統(tǒng)擁有單位，依靠自身力量，對(duì)自有的信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估活動(dòng)。信息系統(tǒng)的風(fēng)險(xiǎn)，不僅僅來(lái)自信息系統(tǒng)技術(shù)平臺(tái)的共性，還來(lái)自于特定的應(yīng)用效勞。由于具體單位的信息系統(tǒng)應(yīng)用效勞各具特性，這些個(gè)性化的過(guò)程和要求往往是敏感的，而且是沒(méi)有長(zhǎng)期接觸該單位所屬行業(yè)和部門(mén)的人難于在短期內(nèi)熟悉和掌握的。因此，自評(píng)估有利于保密；有利于發(fā)揮行業(yè)和部門(mén)內(nèi)的人員的業(yè)務(wù)特長(zhǎng)；有利于降低風(fēng)險(xiǎn)評(píng)估的費(fèi)用；有利于提高本單位的風(fēng)險(xiǎn)評(píng)估能力與信息平安知識(shí)。但是，如果沒(méi)有統(tǒng)一的標(biāo)準(zhǔn)和要求，在缺乏信息系統(tǒng)平安風(fēng)險(xiǎn)評(píng)估專(zhuān)業(yè)人才的情況下，自評(píng)估的結(jié)果可能不深入，不標(biāo)準(zhǔn)，不到位。自評(píng)估中，也可能會(huì)存在來(lái)自于本單位或上級(jí)單位領(lǐng)導(dǎo)的不利干預(yù)，從而出現(xiàn)風(fēng)險(xiǎn)評(píng)估結(jié)果不夠客觀或評(píng)估結(jié)果的置信度較低等問(wèn)題。某些時(shí)候，即使自評(píng)估的結(jié)果比較客觀，但也可能不會(huì)被管理層所信任。這種情況下，如果確實(shí)有必要實(shí)施自評(píng)估，或自評(píng)估的結(jié)果對(duì)管理層的決策關(guān)系重大，那么可以采取專(zhuān)家組論證的方式加以解決。強(qiáng)制性檢查評(píng)估那么由信息平安主管機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起，旨在依據(jù)已經(jīng)公布的法規(guī)或標(biāo)準(zhǔn)，檢查被評(píng)估單位是否滿足了這些法規(guī)或標(biāo)準(zhǔn)。這種評(píng)估具有強(qiáng)制性，是一種純粹意義上的他評(píng)估，單位自身不能對(duì)該過(guò)程進(jìn)行干預(yù)。此外，強(qiáng)制性檢查評(píng)估必須以明確的法規(guī)或標(biāo)準(zhǔn)為根底。這是通過(guò)行政手段加強(qiáng)信息平安的重要手段。委托評(píng)估指信息系統(tǒng)使用單位委托具有風(fēng)險(xiǎn)評(píng)估能力的專(zhuān)業(yè)評(píng)估機(jī)構(gòu)〔國(guó)家建立的測(cè)評(píng)認(rèn)證機(jī)構(gòu)或平安企業(yè)〕實(shí)施的評(píng)估活動(dòng)。它既有自評(píng)估的特點(diǎn)〔由單位自身發(fā)起，且本單位對(duì)風(fēng)險(xiǎn)評(píng)估過(guò)程的影響可以很大〕，也有他評(píng)估的特點(diǎn)〔由獨(dú)立與本單位的另外一方實(shí)施評(píng)估〕。在委托評(píng)估中，接受委托的評(píng)估機(jī)構(gòu)一般擁有風(fēng)險(xiǎn)評(píng)估的專(zhuān)業(yè)人才，風(fēng)險(xiǎn)評(píng)估