信息安全風(fēng)險評估技術(shù)簡介112

信息平安風(fēng)險評估技術(shù)簡介寧家駿〔國家信息中心信息平安研究與效勞中心〕2005.12

提綱一、信息平安形勢需要評估二、信息化風(fēng)險及風(fēng)險管理研究三、信息平安風(fēng)險評估技術(shù)導(dǎo)引四、信息平安風(fēng)險評估試點經(jīng)驗珍貴加強信息平安保障工作是當(dāng)前形勢的需要落實27號文件，一手抓信息化，一手抓平安，誰主管誰負責(zé)，誰運營誰負責(zé)積極防御、綜合防范重點保障網(wǎng)絡(luò)根底設(shè)施和重要信息系統(tǒng)的平安正確處理等級保護與風(fēng)險評估的關(guān)系加強信息平安根底設(shè)施建設(shè)我國信息平安問題的突出表現(xiàn)病毒肆虐、黑客侵擾、系統(tǒng)故障等造成的經(jīng)濟損失呈逐年增長態(tài)勢境外敵對勢力利用信息通訊網(wǎng)絡(luò)造謠誹謗、組織發(fā)動、煽動鬧事和破壞；國外反華勢力加大對我意識形態(tài)和文化滲透。不良和有害信息屢禁不止，利用信息網(wǎng)絡(luò)技術(shù)從事犯罪活動日益猖獗，網(wǎng)絡(luò)群體層出不窮，網(wǎng)上輿論傳播直接影響社會穩(wěn)定。通訊與信息網(wǎng)絡(luò)上失密、泄密及竊密事件時有發(fā)生。直接影響到政府管理效率和公眾形象。環(huán)境和背景近年來，我國經(jīng)濟社會持續(xù)快速開展開展，信息化步伐加快，在促進經(jīng)濟開展、調(diào)整經(jīng)濟結(jié)構(gòu)、改造傳統(tǒng)產(chǎn)業(yè)和提高人民生活質(zhì)量等方面發(fā)揮了不可替代的重要作用。一方面社會經(jīng)濟對信息化的依賴程度越來越高，同時逐步建設(shè)和積累了一批珍貴的信息資產(chǎn)。與之而來的各類計算機犯罪及“黑客〞攻擊網(wǎng)絡(luò)事件屢有發(fā)生，手段也越來越高技術(shù)化，從而對各國的主權(quán)、平安和社會穩(wěn)定構(gòu)成了威脅。計算機互聯(lián)網(wǎng)絡(luò)涉及社會經(jīng)濟生活各個領(lǐng)域，并直接與世界相聯(lián)，可以說是國家的一個政治“關(guān)口〞，一條經(jīng)濟“命脈〞。網(wǎng)絡(luò)與信息平安已上升為一個事關(guān)國家政治穩(wěn)定、社會安定、經(jīng)濟有序運行和社會主義精神文明建設(shè)的全局性問題。我國面臨的信息平安問題的性質(zhì)我國面臨的信息平安問題已不再是一個局部性和技術(shù)性的問題，而是一個跨領(lǐng)域、跨行業(yè)、跨部門的綜合性平安問題。它不僅是一個“不對稱〞的高技術(shù)對抗問題，而且是一個直接影響國計民生、關(guān)乎國家平安與政權(quán)穩(wěn)定的現(xiàn)實問題。確保信息網(wǎng)絡(luò)平安也正在成為新世紀(jì)國家平安的重要基石和根本內(nèi)涵。病毒等網(wǎng)絡(luò)欺詐行為導(dǎo)致全球經(jīng)濟損失驚人最近Gartner組織公布了一項研究報告：每年由于病毒等網(wǎng)絡(luò)欺詐行為導(dǎo)致全球經(jīng)濟損失高達160多億美元?！氨砀?，你最近還好嗎？知道我是誰嗎？看了我的相片你就知道了！〞這是在上海某銀行上班的楊先生收到一封郵件，誰知郵件還未翻開，電腦出現(xiàn)了黑屏。楊先生還沒有弄清是哪個“表妹〞發(fā)來的玉照便喪失了大量銀行保密資料，給單位造成的損失無法估量。去年6月浙江警方破獲一起“黑客竊取網(wǎng)游密碼案〞，單單一個黑客就竊取網(wǎng)游賬號6萬多個，價值上百萬元。去年6月3日至9月19日，就發(fā)現(xiàn)較大規(guī)模僵尸網(wǎng)絡(luò)59個，平均每天發(fā)現(xiàn)3萬個受黑客控制的“僵尸〞計算機。包含間諜軟件、惡意插件和瀏覽器劫持在內(nèi)的流氓軟件也大行其道，它們侵入用戶電腦安裝插件和后門程序，竊取個人信息，一年之內(nèi)使自己的流量上升600%；而通過設(shè)立搏彩、低價網(wǎng)絡(luò)購物等欺詐性網(wǎng)站直接騙取用戶錢財?shù)鹊龋菙?shù)不勝數(shù)。從鴆酒到慢藥：“混合性威脅〞的時代已經(jīng)到來根據(jù)IDC最新的調(diào)查結(jié)果，如今計算機用戶面臨的三項最嚴重的平安威脅依次是垃圾郵件、DdoS攻擊和網(wǎng)上欺詐。與前些年平安威脅大多來自病毒和蠕蟲等的大規(guī)模猛烈爆發(fā)不同，近年來各種各樣的“諜件〞或惡意代碼開始在網(wǎng)上肆虐，其瘋狂程度已超過了傳統(tǒng)的病毒威脅。倘假設(shè)把病毒比作劇毒的鴆酒，那么“間諜軟件〞就如同小說里的“慢藥〞，毒性更強，中毒后還不易被覺察。由于利益驅(qū)動，“間諜軟件〞大都采用巧妙的形式潛伏于用戶的個人電腦中，它們更難被被發(fā)現(xiàn)，卻能竊取用戶珍貴個人資料，以非法獲利，這就是“網(wǎng)上欺詐〞。今天用戶面對的平安威脅更復(fù)雜，經(jīng)常是由多種善變的威脅組成的“混合型威脅〞，包括病毒、蠕蟲、間諜軟件、拒絕效勞攻擊等。網(wǎng)絡(luò)平安問題正日益嚴峻?？蒲?、產(chǎn)業(yè)與服務(wù)體系技術(shù)與管理標(biāo)準(zhǔn)體系國家信息平安保障體系

提綱一、信息平安形勢依然嚴峻二、信息化風(fēng)險及風(fēng)險管理研究三、信息平安風(fēng)險評估技術(shù)導(dǎo)引四、信息平安風(fēng)險評估試點經(jīng)驗珍貴二、信息化風(fēng)險及風(fēng)險管理研究隨著信息化的開展，信息化的風(fēng)險與風(fēng)險管理問題已經(jīng)成為各個國家、國際組織所普遍關(guān)注的問題。信息化的風(fēng)險管理，其中信息平安風(fēng)險和保障網(wǎng)絡(luò)空間的平安已經(jīng)成為關(guān)系信息化能否健康開展的重大問題。2.1信息化風(fēng)險的定義風(fēng)險指行動或者事件的結(jié)果的不確定性〔uncertaintyofoutcome〕。信息化的風(fēng)險被界定為信息化可能或者實際帶來的消極威脅。風(fēng)險管理泛指評估風(fēng)險、確認風(fēng)險、回應(yīng)風(fēng)險的過程。2.2信息平安根本屬性機密性Confidentiality完整性Integrity可用性Availability2.3信息化風(fēng)險的主要特征

全球性傳染性復(fù)雜性隱蔽性

信息平安范疇平安組織訪問控制業(yè)務(wù)不間斷運轉(zhuǎn)物理平安等等……入侵預(yù)防與檢測2.4信息化風(fēng)險的內(nèi)在原因

根本原因在于內(nèi)因，由信息化自身的特點所決定：第一，信息化的無疆界特征；第二，信息化的低本錢特征；第三，信息化的開放性特征；第四，信息化的匿名性特征。第一，自然災(zāi)害；第二，誤操作和平安生產(chǎn)事故；第三，病毒、蠕蟲以及網(wǎng)絡(luò)攻擊；第四，由于信任體系不完善，借助信息化手段進行欺詐；第五，因內(nèi)部因素而造成的信息、數(shù)據(jù)的修改和喪失和內(nèi)部泄密；；第六，因外部因素造成信息、數(shù)據(jù)的泄露、篡改和喪失；第七，平安防范措施不到位的高端技術(shù)。2.5信息化風(fēng)險的外部原因2.6我國信息平安風(fēng)險的生成機理第一，戰(zhàn)略能力缺乏，規(guī)劃不明確?！?〕缺乏工程的建設(shè)戰(zhàn)略〔2〕缺乏工程的中長期開展規(guī)劃〔3〕缺乏明確工程的開展步驟〔4〕缺乏工程的階段性績效標(biāo)準(zhǔn)第二，領(lǐng)導(dǎo)與組織能力不到位，統(tǒng)籌協(xié)調(diào)不力領(lǐng)導(dǎo)對于風(fēng)險管理的重視缺乏，無視信息化工程的風(fēng)險問題；信息化目標(biāo)的錯誤設(shè)定，片面追求某些指標(biāo)，無視質(zhì)量；信息孤島問題以及跨部門之信息化進程的協(xié)調(diào)問題；信息平安總體設(shè)計不到位；工程建設(shè)規(guī)劃、評估和監(jiān)理存在缺位和缺乏2.6我國信息平安風(fēng)險的生成機理〔續(xù)〕第三，信息化管理的能力差，管理體系不成熟?！?〕對信息化管理的理念認識和關(guān)注缺乏；〔2〕管理根底〔包括信息化建設(shè)中決策機制、信息透明和公開、實施過程的監(jiān)督等〕不完善；〔3〕缺乏信息化建設(shè)周期中質(zhì)量控制和評估標(biāo)準(zhǔn)；2.6我國信息平安風(fēng)險的生成機理〔續(xù)〕第四，平安子系統(tǒng)建設(shè)資金的預(yù)算和管理能力差〔1〕對信息系統(tǒng)未作風(fēng)險評估和分析，平安子系統(tǒng)建設(shè)投資預(yù)算缺乏科學(xué)依據(jù)或過度保護或保護不力；〔2〕總體資金支持缺乏；〔3〕信息平安投資的回報難以監(jiān)控和評估。2.6我國信息平安風(fēng)險的生成機理〔續(xù)〕第五，人力資源缺乏〔1〕缺乏信息平安風(fēng)險管理的人員〔2〕缺乏具備信息平安管理能力和資格的人員；〔3〕培訓(xùn)滯后于工程，培訓(xùn)效果差。2.6我國信息平安風(fēng)險的生成機理〔續(xù)〕第六，法規(guī)、標(biāo)準(zhǔn)與政策滯后于信息化開展相關(guān)法制工作滯后于信息化建設(shè)需求；首先，缺乏對信息化的全面立法支持，缺乏保障政府信息化的根本法律，如政府信息公開法、政府信息資源管理法。其次，原有的一些法律已不能適應(yīng)信息化時代的要求，如著作權(quán)法、專利法、刑法等，亟待修訂。再次，缺乏對信息平安風(fēng)險的管理標(biāo)準(zhǔn)和技術(shù)標(biāo)準(zhǔn)。2.6我國信息平安風(fēng)險的生成機理〔續(xù)〕第七，保護隱私，數(shù)據(jù)平安，技術(shù)管理方面的缺乏。在泄露隱私方面：〔1〕不當(dāng)授權(quán)他人或機構(gòu)濫用用戶信息；〔2〕未遵循法律或法規(guī)制定相應(yīng)的隱私和記錄管理政策。在影響數(shù)據(jù)平安方面：〔1〕工作人員對平安因素和措施缺乏足夠認知；〔2〕難以解決相關(guān)平安問題；〔3〕病毒或黑客攻擊導(dǎo)致系統(tǒng)癱瘓；〔4〕由于一個主要系統(tǒng)癱瘓導(dǎo)致其它系統(tǒng)的失靈。2.6我國信息平安風(fēng)險的生成機理〔續(xù)〕

提綱一、信息平安形勢需要評估二、信息化風(fēng)險及風(fēng)險管理研究三、信息平安風(fēng)險評估技術(shù)導(dǎo)引四、信息平安風(fēng)險評估試點經(jīng)驗珍貴克服平安“亞健康〞的必由之路醫(yī)學(xué)專家告訴我們：人的軀體有健康、亞健康和患病等多種狀態(tài)但成年人多數(shù)處于亞健康狀態(tài)如何確認和發(fā)現(xiàn)問題，必須體檢信息系統(tǒng)也一樣，在平安狀態(tài)方面，常常處于“亞健康〞甚至患病狀態(tài)，因此也要“體檢〞—這就是風(fēng)險評估居安思危，思那么有備溫總理：清醒就是要認識到我們已經(jīng)取得的成績，只是在現(xiàn)代化的進程邁出了第一步，今后的路還更長，更艱苦。形勢稍好，尤需兢慎。思所以危那么安，思所以亂那么治，思所以亡那么存。?左傳?云：“居安思危，思那么有備，有備無患，敢以此規(guī)。〞平安風(fēng)險評估同樣蘊涵了這一思想。曾有一個關(guān)于名醫(yī)扁鵲的傳說。扁鵲有兄弟三人，有一次齊國國君問他：“其孰最善為醫(yī)？〞扁鵲答：兩個哥哥都在自己之上。齊王不解。扁鵲說：兩個哥哥都是治大病于小恙，或者防病于未然，而他是直到病人病情完全顯露，才能加以診治。扁鵲的話告訴我們一個簡單的道理：事后控制不如事中控制，事中控制不如事前控制。健康平安是這樣，網(wǎng)絡(luò)信息平安亦然。風(fēng)險評估的理念平安需要風(fēng)險管理，信息平安更需要風(fēng)險管理風(fēng)險評估是當(dāng)前解決信息平安問題的重要手段風(fēng)險評估是一種方法和依據(jù)信息平安風(fēng)險是由于資產(chǎn)的重要性，人為或自然的威脅利用信息系統(tǒng)及其管理體系的脆弱性，導(dǎo)致平安事件一旦發(fā)生所造成的影響。信息平安風(fēng)險評估是指依據(jù)有關(guān)信息平安技術(shù)與管理標(biāo)準(zhǔn)，對信息系統(tǒng)及由其處理、傳輸和存儲的信息的機密性、完整性和可用性等平安屬性進行評價的過程。它要評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致平安事件的可能性，并結(jié)合平安事件所涉及的資產(chǎn)價值來判斷平安事件一旦發(fā)生對組織造成的影響，即信息平安的風(fēng)險。信息平安風(fēng)險評估是信息系統(tǒng)平安保障機制建立過程中的一種評價方法，其結(jié)果為信息平安風(fēng)險管理提供依據(jù)。信息平安風(fēng)險評估的概念風(fēng)險評估是對系統(tǒng)進行信息平安風(fēng)險管理的根底，也是系統(tǒng)的使用單位或組織判定在系統(tǒng)的整個生命周期中，有關(guān)風(fēng)險級別的過程。其結(jié)果是殘留風(fēng)險是否到達可接受水平的一個明確界定，或者是一個是否應(yīng)當(dāng)實施額外的平安控制以進一步降低風(fēng)險的結(jié)論。信息平安風(fēng)險定義為有害事件發(fā)生的可能性和該事件可能對組織的使命所產(chǎn)生影響的函數(shù)。為了確定這種可能性，需要對系統(tǒng)的威脅以及由此表現(xiàn)出來的脆弱性進行分析。影響那么是按照系統(tǒng)在單位任務(wù)實施中的重要程度來確定的。對風(fēng)險評估總體要求的理解風(fēng)險評估工作總體要求是：充分發(fā)揮和調(diào)動各方面力量，運用風(fēng)險管理的思想，通過風(fēng)險評估，控制和降低風(fēng)險，全面提高信息系統(tǒng)防護能力，滿足信息平安需求，逐步建成有中國特色的風(fēng)險評估體系。評估我國根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)，掌握我國根底信息網(wǎng)絡(luò)和重要信息系統(tǒng)的平安狀態(tài)，及時采取適宜的應(yīng)對措施，保障它們的正常運行。通過對國家級重點電子政務(wù)系統(tǒng)、電子商務(wù)系統(tǒng)以及重要信息根底設(shè)施的風(fēng)險評估工作，從中摸索經(jīng)驗，不斷探索，逐步完善我國風(fēng)險評估工作的管理機制。風(fēng)險管理貫穿于信息系統(tǒng)生命周期的整個過程風(fēng)險管理是管理者權(quán)衡保護措施的運行和經(jīng)濟本錢與獲得的收益之間關(guān)系的一個過程。這個過程并不是IT行業(yè)所獨有的，實際上它普及我們?nèi)粘Ｉ钪行枰龀鰶Q定的任何事情。進行風(fēng)險管理的最終目的就是要在這種平衡關(guān)系下，將風(fēng)險最小化，這也是在信息系統(tǒng)生命周期過程中需要實施信息平安風(fēng)險管理的根本原因。所有與平安性相關(guān)的活動都是信息平安風(fēng)險管理的組成局部?？梢哉f，信息平安風(fēng)險管理貫穿于系統(tǒng)生命周期的整個過程，即初始階段、開發(fā)/獲取階段、實施階段、運行/維護階段。

美國NIST提出的信息系統(tǒng)平安框架風(fēng)險評估的過程安全措施

抵御業(yè)務(wù)戰(zhàn)略脆弱性安全需求威脅風(fēng)險殘余風(fēng)險安全事件依賴具有被滿足利用暴露降低增加加依賴增加導(dǎo)出演變

未被滿足未控制可能誘發(fā)殘留成本資產(chǎn)資產(chǎn)價值風(fēng)險要素關(guān)系示意圖信息系統(tǒng)平安評估體系的構(gòu)成風(fēng)險分析的根本要素風(fēng)險分析中要涉及資產(chǎn)、威脅、脆弱性等根本要素。每個要素有各自的屬性資產(chǎn)的屬性是資產(chǎn)價值；威脅的屬性是威脅出現(xiàn)的頻率；脆弱性的屬性是資產(chǎn)弱點的嚴重程度。資產(chǎn)識別資產(chǎn)是具有價值的信息或資源，是平安策略保護的對象。它能夠以多種形式存在，有無形的、有形的，有硬件、軟件，有文檔、代碼，也有效勞、形象等。機密性、完整性和可用性是評價資產(chǎn)的三個平安屬性。信息平安風(fēng)險評估中資產(chǎn)的價值不僅僅以資產(chǎn)的賬面價格來衡量，而是由資產(chǎn)在這三個平安屬性上的達成程度或者其平安屬性未達成時所造成的影響程度來決定的。平安屬性達成程度的不同將使資產(chǎn)具有不同的價值，而資產(chǎn)面臨的威脅、存在的脆弱性、以及已采取的平安措施都將對資產(chǎn)平安屬性的達成程度產(chǎn)生影響。為此，有必要對組織中的資產(chǎn)進行識別。資產(chǎn)識別資產(chǎn)定義資產(chǎn)是企業(yè)、機構(gòu)直接賦予了價值因而需要保護的東西。它可能是以多種形式存在，有無形的、有有形的，有硬件、有軟件，有文檔、代碼，也有效勞、企業(yè)形象等。通常信息資產(chǎn)的機密性、完整性和可用性是公認的能夠反映資產(chǎn)平安特性的三個要素。資產(chǎn)還具有很強的時間特性，它的價值和平安屬性都會隨著時間的推移發(fā)生變化，所以應(yīng)該根據(jù)時間變化的頻度制定資產(chǎn)相關(guān)的評估和平安策略的頻度。資產(chǎn)分類在一般的評估體中，資產(chǎn)大多屬于不同的信息系統(tǒng)，如OA系統(tǒng)，網(wǎng)管系統(tǒng)，業(yè)務(wù)生產(chǎn)系統(tǒng)等。這時首先需要將信息系統(tǒng)及其中的信息資產(chǎn)進行恰當(dāng)?shù)姆诸?，才能在此根底上進行下一步的風(fēng)險評估工作。資產(chǎn)賦值資產(chǎn)賦值是對資產(chǎn)平安價值的估價資產(chǎn)分類風(fēng)險評估中，資產(chǎn)大多屬于不同的信息系統(tǒng)，如OA系統(tǒng)、網(wǎng)管系統(tǒng)、業(yè)務(wù)生產(chǎn)系統(tǒng)等，而且對于提供多種業(yè)務(wù)的組織，其支持業(yè)務(wù)持續(xù)運行的系統(tǒng)數(shù)量可能更多。這時首先需要將信息系統(tǒng)及相關(guān)的資產(chǎn)進行恰當(dāng)?shù)姆诸?，以此為根底進行下一步的風(fēng)險評估。在實際工作中，具體的資產(chǎn)分類方法可以根據(jù)具體的評估對象和要求，由評估者來靈活把握。根據(jù)資產(chǎn)的表現(xiàn)形式，可將資產(chǎn)分為數(shù)據(jù)、軟件、硬件、文檔、效勞、人員等類。威脅識別威脅定義平安威脅是對機構(gòu)及其資產(chǎn)構(gòu)成潛在破壞的可能性因素或者事件。無論對于多么平安的信息系統(tǒng)，平安威脅是一個客觀存在的事物，它是風(fēng)險評估的重要因素之一。威脅分類威脅賦值：評估確定威脅發(fā)生的可能性是威脅評估階段的重要工作，評估者應(yīng)根據(jù)經(jīng)驗和〔或〕有關(guān)的統(tǒng)計數(shù)據(jù)來判斷威脅發(fā)生的頻率或者發(fā)生的概率。其中，威脅發(fā)生的可能性受以下因素影響：1、資產(chǎn)的吸引力；2、資產(chǎn)轉(zhuǎn)化成報酬的容易程度；3、威脅的技術(shù)力量；4、脆弱性被利用的難易程度。脆弱性識別脆弱性定義脆弱性評估也稱為弱點評估，是風(fēng)險評估中重要的內(nèi)容。弱點是資產(chǎn)本身存在的，它可以被威脅利用、引起資產(chǎn)或商業(yè)目標(biāo)的損害。弱點包括物理環(huán)境、機構(gòu)、過程、人員、管理、配置、硬件、軟件和信息等各種資產(chǎn)的脆弱性。脆弱性識別將針對每一項需要保護的信息資產(chǎn)，找出每一種威脅所能利用的脆弱性，并對脆弱性的嚴重程度進行評估，為其賦相對等級值。脆弱性識別所采用的方法主要為：問卷調(diào)查、人員問詢、工具掃描、手動檢查、文檔審查、滲透測試等。脆弱性分類脆弱性主要從技術(shù)和管理兩個方面進行評估，其中在技術(shù)方面主要是通過遠程和本地兩種方式進行系統(tǒng)掃描；管理脆弱性評估方面可以按照BS7799等標(biāo)準(zhǔn)的平安管理要求對現(xiàn)有的平安管理制度及其執(zhí)行情況進行檢查，發(fā)現(xiàn)其中的管理漏洞和缺乏。脆弱性賦值風(fēng)險識別風(fēng)險計算風(fēng)險計算原理形式化描述為：R=f(A,V,T)=f(Ia,L(Va,T))注：R表示風(fēng)險；A表示資產(chǎn)；V表示脆弱性；T表示威脅；Ia表示資產(chǎn)發(fā)生平安事件后對機構(gòu)業(yè)務(wù)的影響(也稱為資產(chǎn)的重要程度)；Va表示某一資產(chǎn)本身的脆弱性，L表示威脅利用資產(chǎn)的脆弱性造成平安事件發(fā)生的可能性。不打無準(zhǔn)備之仗—做好準(zhǔn)備風(fēng)險評估的準(zhǔn)備是整個風(fēng)險評估過程有效性的保證。在風(fēng)險評估實施前，應(yīng)：確定風(fēng)險評估的目標(biāo)；確定風(fēng)險評估的范圍；組建適當(dāng)?shù)脑u估管理與實施團隊；選擇與組織相適應(yīng)的具體的風(fēng)險判斷方法；獲得最高管理者對風(fēng)險評估工作的支持。風(fēng)險評估的準(zhǔn)備風(fēng)險評估的準(zhǔn)備過程是組織進行風(fēng)險評估的根底，是整個風(fēng)險評估過程有效性的保證。確定風(fēng)險評估的目標(biāo)確定風(fēng)險評估的范圍建立適當(dāng)?shù)慕M織結(jié)構(gòu)建立系統(tǒng)性的風(fēng)險評估方法獲得最高管理者對風(fēng)險評估籌劃的批準(zhǔn)風(fēng)險評估依據(jù)1、政策法規(guī)：中辦發(fā)［2003］27號文件和國信辦文件2、國際標(biāo)準(zhǔn)：如BS7799-1?信息平安管理實施細那么?、BS7799-2?信息平安管理體系標(biāo)準(zhǔn)?等3、國家標(biāo)準(zhǔn)或正在審批的討論稿，如GB17859-1999計算機信息系統(tǒng)平安保護等級劃分準(zhǔn)那么?和?信息平安風(fēng)險評估指南?等4、行業(yè)通用標(biāo)準(zhǔn)等其它標(biāo)準(zhǔn)風(fēng)險評估原那么1、可控性原那么〔1〕人員可控性〔2〕工具可控性〔3〕工程過程可控性2、完整性原那么嚴格按照委托單位的評估要求和指定的范圍進行全面的評估效勞。3、最小影響原那么從工程管理層面和工具技術(shù)層面，力求將風(fēng)險評估對信息系統(tǒng)的正常運行的可能影響降低到最低限度。4、保密原那么Recommendations評估現(xiàn)狀確定范圍OrgChartsPolicesITSMOverview報告評審StructuredinterviewsProcessdefinitionsInterviewscheduleProcessrecords評估報告改進工程SIPCustomersurvey評估流程2.5InternalIntegration著重流程內(nèi)部的集成性2ProcessCapability重視流程執(zhí)行OtherProcessManagement1.5Mgntintent制定管理規(guī)范3.5QualityControl流程質(zhì)量監(jiān)控4Mgntinformation提供充分的管理信息Customer1Prerequisites/基本條件4.5ExternalIntegration與其它流程的緊密集成5CustomerInterface流程優(yōu)化和服務(wù)客戶3Products流程的可交付物風(fēng)險計算模型風(fēng)險計算模型包含信息資產(chǎn)、弱點/脆弱性、威脅等關(guān)鍵要素。每個要素有各自的屬性，信息資產(chǎn)的屬性是資產(chǎn)價值，弱點的屬性是弱點被威脅利用后對資產(chǎn)帶來的影響的嚴重程度，威脅的屬性是威脅發(fā)生的可能性。風(fēng)險計算的過程是：對信息資產(chǎn)進行識別，并對資產(chǎn)賦值；對威脅進行分析，并對威脅發(fā)生的可能性賦值；識別信息資產(chǎn)的脆弱性，并對弱點的嚴重程度賦值；根據(jù)威脅和脆弱性計算平安事件發(fā)生的可能性；結(jié)合信息資產(chǎn)的重要性和在此資產(chǎn)上發(fā)生平安事件的可能性計算信息資產(chǎn)的風(fēng)險值。風(fēng)險結(jié)果的判定風(fēng)險等級的劃分確定風(fēng)險數(shù)值的大小不是機構(gòu)風(fēng)險評估的最終目的，重要的是明確不同威脅對資產(chǎn)所產(chǎn)生的風(fēng)險的相對關(guān)系，即要確定不同風(fēng)險的優(yōu)先次序或等級，對于其中風(fēng)險級別高的資產(chǎn)應(yīng)被優(yōu)先分配資源進行保護。風(fēng)險等級建議從1到5劃分為五級。等級越大，風(fēng)險越高。風(fēng)險的等級應(yīng)得到機構(gòu)管理層的評審并批準(zhǔn)。控制措施的選擇剩余風(fēng)險的評價對于不可接受范圍內(nèi)的風(fēng)險，應(yīng)在選擇了適當(dāng)?shù)目刂拼胧┖?，對剩余風(fēng)險進行評價，判定風(fēng)險是否已經(jīng)降低到可接受的水平，為風(fēng)險管理提供輸入。剩余風(fēng)險的評價可以依據(jù)機構(gòu)風(fēng)險評估的準(zhǔn)那么進行，考慮選擇的控制措施和已有的控制措施對于威脅發(fā)生的可能性的降低。風(fēng)險評估結(jié)果紀(jì)錄根據(jù)評估實施情況和所搜集到的信息，如資產(chǎn)評估數(shù)據(jù)、威脅評估數(shù)據(jù)、脆弱性評估數(shù)據(jù)等，完成評估報告撰寫。評估報告是風(fēng)險評估結(jié)果的記錄文件，是實施風(fēng)險管理的主要依據(jù)，是對風(fēng)險評估活動進行評審和認可的根底資料，必須做到有據(jù)可查報告主要包括風(fēng)險評估范圍、風(fēng)險計算方法、平安問題歸納及描述、風(fēng)險級數(shù)、平安建議、風(fēng)險控制措施建議、剩余風(fēng)險描述等。風(fēng)險評估過程應(yīng)形成以下文件：風(fēng)險評估過程方案、風(fēng)險評估程序、信息資產(chǎn)識別清單、重要信息資產(chǎn)清單、威脅參考列表、脆弱性參考列表、風(fēng)險評估記錄、風(fēng)險處理方案：風(fēng)險評估報告：對整個風(fēng)險評估過程進行總結(jié)，說明機構(gòu)的風(fēng)險狀況及剩余風(fēng)險狀況，通過管理層的評審，確定評估后的風(fēng)險狀況滿足機構(gòu)業(yè)務(wù)開展及其他相關(guān)方的要求。信息平安風(fēng)險評估根本方法手動評估：在風(fēng)險評估工具出現(xiàn)前，平安評估工作都只能手工進行。其勞動量巨大，容易出現(xiàn)疏漏，而且由于依據(jù)各自經(jīng)驗，有較大的局限性。工具輔助評估工具的出現(xiàn)在一定程度上解決了手動評估的局限性。1985年，英國CCTA開發(fā)了CRAMM風(fēng)險評估工具。遵循BS7799標(biāo)準(zhǔn)。1991年，C&ASystemSecurity公司推出了COBRA工具，用來進行信息平安風(fēng)險評估。它可以看作一個基于專家系統(tǒng)和擴展知識庫的問卷系統(tǒng)，對所有的威脅和脆弱點評估其相對重要性，并且給出適宜的建議和解決方案，對每個風(fēng)險類別提供風(fēng)險分析報告和風(fēng)險值。技術(shù)評估和整體評估技術(shù)評估和整體評估技術(shù)評估是指對機構(gòu)的技術(shù)根底結(jié)構(gòu)和程序進行系統(tǒng)的、及時的檢查，包括對機構(gòu)內(nèi)部計算環(huán)境的平安性及其對內(nèi)外攻擊脆弱性的完整性攻擊?！?〕評估整個計算根底結(jié)構(gòu)。〔2〕使用軟件工具分析根底結(jié)構(gòu)及其全部組件?！?〕提供詳細的分析報告，整體風(fēng)險評估擴展了上述技術(shù)評估的范圍，著眼于分析機構(gòu)內(nèi)部與平安相關(guān)的風(fēng)險，包括內(nèi)部和外部的風(fēng)險源、技術(shù)根底和機構(gòu)結(jié)構(gòu)以及基于電子的和基于人的風(fēng)險。關(guān)注的焦點主要集中在以下4個方面：〔1〕檢查與平安相關(guān)的實踐，標(biāo)識當(dāng)前平安實踐的優(yōu)點和弱點?！?〕包括對系統(tǒng)進行技術(shù)分析、對政策進行評審，以及對物理平安進行審查?！?〕檢查IT的根底結(jié)構(gòu)，以確定技術(shù)上的弱點。包括惡意代碼的入侵、數(shù)據(jù)的破壞或者消滅、信息喪失、拒絕效勞、訪問權(quán)限和特權(quán)的未授權(quán)變更等?！?〕幫助決策制訂者綜合平衡風(fēng)險以選擇本錢效益對策定性評估和定量評估定性分析方法是最廣泛使用的風(fēng)險分析方法。該方法通常只關(guān)注威脅事件所帶來的損失〔Loss〕，而忽略事件發(fā)生的概率〔Probability〕。多數(shù)定性風(fēng)險分析方法依據(jù)機構(gòu)面臨的威脅、脆弱點以及控制措施等元素來決定平安風(fēng)險等級。在定性評估時并不使用具體的數(shù)據(jù)，而是指定期望值，如設(shè)定每種風(fēng)險的影響值和概率值為“高〞、“中〞、“低〞。有時單純使用期望值，并不能明顯區(qū)別風(fēng)險值之間的差異?？梢钥紤]為定性數(shù)據(jù)指定數(shù)值。例如，設(shè)“高〞的值為3，“中〞的值為2，“低〞的值為1。但是要注意的是，這里考慮的只是風(fēng)險的相對等級，并不能說明該風(fēng)險到底有多大。定量分析方法利用兩個根本的元素：威脅事件發(fā)生的概率和可能造成的損失。把這兩個元素簡單相乘的結(jié)果稱為ALE〔AnnualLossExpectancy〕或EAC〔EstimatedAnnualCost〕。理論上可以依據(jù)ALE計算風(fēng)險等級，并且做出相應(yīng)的決策。一種定量風(fēng)險評估方法首先評估特定資產(chǎn)的價值V然后根據(jù)客觀數(shù)據(jù)計算威脅的頻率P；最后計算威脅影響系數(shù)μ，因為對于每一個風(fēng)險，并不是所有的資產(chǎn)所遭受的危害程度都是一樣的，程度的范圍可能從無危害到徹底危害。根據(jù)上述三個參數(shù)，計算ALE：ALE＝V×P×μ定量風(fēng)險分析方法要求特別關(guān)注資產(chǎn)的價值和威脅的量化數(shù)據(jù)，但是這種方法存在一個問題，就是數(shù)據(jù)的不可靠和不精確?；谥R的評估和基于模型的評估基于知識的風(fēng)險評估方法主要是依靠經(jīng)驗進行的，經(jīng)驗從平安專家處獲取并憑此來解決相似場景的風(fēng)險評估問題。這種方法的優(yōu)越性在于能夠直接提供推薦的保護措施、結(jié)構(gòu)框架和實施方案?；凇傲己脤嵺`〞的知識評估方法提出重用具有相似性機構(gòu)〔主要從機構(gòu)的大小、范圍以及市場來判斷機構(gòu)是否相似〕的“良好實踐〞?；谥R的風(fēng)險評估方法充分利用多年來開發(fā)的保護措施和平安實踐，依照機構(gòu)的相似性程度進行快速的平安實施和包裝，以減少機構(gòu)的平安風(fēng)險。然而，機構(gòu)相似性的判定、被評估機構(gòu)的平安需求分析以及關(guān)鍵資產(chǎn)確實定都是該方法的制約點。平安風(fēng)險評估是一個非常復(fù)雜的任務(wù)，這要求存在一個方法既能描述系統(tǒng)的細節(jié)又能描述系統(tǒng)的整體?；谀Ｐ偷脑u估可以分析系統(tǒng)自身內(nèi)部機制中存在的危險，同時又可以發(fā)現(xiàn)系統(tǒng)與外界環(huán)境交互中的不正常并有害的行為，從而完成系統(tǒng)弱點和平安威脅的定性分析。系統(tǒng)平安風(fēng)險動態(tài)分析與評估方法信息平安管理是指導(dǎo)和控制機構(gòu)的關(guān)于信息平安風(fēng)險的相互協(xié)調(diào)的活動，關(guān)于信息平安風(fēng)險的指導(dǎo)和控制活動通常包括制定信息平安方針、風(fēng)險評估、控制目標(biāo)與方式選擇、風(fēng)險控制、平安保證等。信息平安管理實際上是風(fēng)險管理的過程，管理的根底是風(fēng)險的識別和評估。信息平安管理中認為風(fēng)險的分析與評估是個動態(tài)的過程，所以相應(yīng)得分析與評估方法、評估工具都要表達動態(tài)性。PDCA〔PlanDoCheckAction〕是當(dāng)前代表性的動態(tài)風(fēng)險管理過程，方案〔Plan〕：定義信息平安管理體系得范圍，鑒別和評估業(yè)務(wù)風(fēng)險。實施〔Do〕：實施同意的風(fēng)險治理活動以及適當(dāng)?shù)目刂?。檢查〔Check〕：監(jiān)控控制的績效，審查變化中環(huán)境的風(fēng)險水平，執(zhí)行內(nèi)部信息平安管理體系審計。改進〔Action〕：在信息平安管理體系過程方面實行改進，并對控制進行必要的改進，以滿足環(huán)境的變化。典型的風(fēng)險評估方法1FTA故障樹最初是20世紀(jì)60年代為便于Minuteman火箭系統(tǒng)的分析而提出的，后來這種方法在航天工業(yè)、電子設(shè)備、化學(xué)工業(yè)、機械制造、核工業(yè)及一般電站的可靠性分析中得到了廣泛應(yīng)用，并且取得了不少成果。目前它主要用于分析大型復(fù)雜系統(tǒng)的可靠性及平安性，被公認為是對復(fù)雜系統(tǒng)可靠性、平安性進行分析的一種有效的方法。故障樹分析是一種top-down方法，通過對可能造成系統(tǒng)故障的硬件、軟件、環(huán)境、人為因素進行分析，畫出故障原因的各種可能組合方式和/或其發(fā)生概率，由總體至局部，按樹狀結(jié)構(gòu)，逐層細化的一種分析方法。故障樹分析采用樹形圖的形式，把系統(tǒng)的故障與組成系統(tǒng)的部件的故障有機地聯(lián)系在一起。典型的風(fēng)險評估方法〔2〕2FMECAFMECA〔故障模式影響及危害性分析〕由兩局部工作構(gòu)成，即故障模式影響分析〔FailureModeandEffectsAnalysis─FMEA〕和危害性分析〔CriticalityAnalysis—CA〕。FMECA〔FailureModeEffectsandCriticalityAnalysis〕是一種可靠性、平安性、維修性、保障性分析與設(shè)計技術(shù)，用來分析、審查系統(tǒng)及其設(shè)備的潛在故障模式，確定其對系統(tǒng)和設(shè)備工作能力的影響，從而發(fā)現(xiàn)設(shè)計中潛在的薄弱環(huán)節(jié)，提出可能采取的預(yù)防改進措施，以消除或減少故障發(fā)生的可能性，提高系統(tǒng)和設(shè)備的可靠性、平安性、維修性、保障性水平。FMECA是一種bottom-up分析方法，按規(guī)定的規(guī)那么記錄產(chǎn)品設(shè)計中所有可能的故障模式，分析每種故障模式對系統(tǒng)的工作及狀態(tài)〔包括整體完好、任務(wù)成功、維修保障、系統(tǒng)平安等〕的影響并確定單點故障，將每種故障模式按其影響的嚴重度及發(fā)生概率排序，從而發(fā)現(xiàn)設(shè)計中潛在的薄弱環(huán)節(jié)，提出可能采取的預(yù)防改進措施〔包括設(shè)計、工藝或管理〕，以消除或減少故障發(fā)生的可能性，保證系統(tǒng)的可靠性。典型的風(fēng)險評估方法〔3〕HazOpHazOp是Hazardandoperabilitystudy的簡稱，即危害及可操作性研究。HazOp分析是由專家組來進行的，它是一種系統(tǒng)潛在危害的結(jié)構(gòu)化檢查方法。專家們通過腦風(fēng)暴會議方式，確定系統(tǒng)所有可能偏離正常設(shè)計的異常運行問題，并分析這種偏離正常運行的原因、可能性和可能造成的后果及后果的嚴重性等。HazOp是一個定性的標(biāo)準(zhǔn)危害分析技術(shù)，可用于一個新的系統(tǒng)或已有系統(tǒng)在更改后的初步平安風(fēng)險評估。HazOp分析方法的主要目標(biāo)是識別出存在的問題，而不是解決問題。其生成結(jié)果是一個可能危害的列表。對每個危害，需要對可能的原因及后果進行進一步地評估。典型的風(fēng)險評估方法〔4〕4Markov方法有兩個根本的Markov分析方法：Markov鏈和Markov過程。Markov鏈?zhǔn)且粋€隨機變量的序列，將來的隨機變量只決定于當(dāng)前的隨機變量，但與當(dāng)前隨機變量之前的隨機變量無關(guān)。這與其他隨機事件是不相同的，因為很多隨機事件將來的事件發(fā)生是要受到以前發(fā)生事件的影響的，它們前后存在著較大的相關(guān)性，不是相互獨立的。Markov鏈可以是齊次的，也可以是非齊次的。齊次的Markov鏈的特征是狀態(tài)間的轉(zhuǎn)移率是常量，而非齊次Markov鏈的特征那么相反，狀態(tài)間的轉(zhuǎn)移率是變量，是時間的函數(shù)。Markov模型根據(jù)系統(tǒng)的初始配置狀態(tài)，估計從一個狀態(tài)轉(zhuǎn)移到下一邏輯狀態(tài)的概率，直到系統(tǒng)到達一個最終或完全失效的狀態(tài)。Markov過程的一個根本假設(shè)是在每個狀態(tài)，系統(tǒng)的行為是不會被記憶的。Markov過程完全由其轉(zhuǎn)移概率矩陣所確定。一個無記憶系統(tǒng)的特征就是系統(tǒng)的將來狀態(tài)只取決于其當(dāng)前狀態(tài)，而與過去無關(guān)。信息平安風(fēng)險評估根底環(huán)境的準(zhǔn)備工具風(fēng)險評估工具風(fēng)險計算工具風(fēng)險評估數(shù)據(jù)收集工具模擬環(huán)境測試平臺

提綱一、信息平安形勢需要評估二、信息化風(fēng)險及風(fēng)險管理研究三、信息平安風(fēng)險評估技術(shù)導(dǎo)引四、信息平安風(fēng)險評估試點經(jīng)驗珍貴風(fēng)險評估尚需探索、貴在實踐去年以來我有幸參加了國信辦組織的一些試點工作看到了試點單位的成績和取得的經(jīng)驗，獲益良多也發(fā)現(xiàn)了還有不少問題急需探索和研究試點工作目的試點工作的目的是:在現(xiàn)有管理體制下，摸索如何開展信息平安風(fēng)險評估工作，檢驗草擬的風(fēng)險評估相關(guān)標(biāo)準(zhǔn)標(biāo)準(zhǔn)的可行性與可用性，為全面推廣信息平安風(fēng)險評估工作和國家出臺有關(guān)文件做前期準(zhǔn)備。在試點工作中將探討以下問題：探索風(fēng)險評估管理機制的建設(shè)，研究如何落實中辦發(fā)27號文件“誰主管誰負責(zé)誰運營誰負責(zé)〞的原那么，包括信息平安風(fēng)險評估的領(lǐng)導(dǎo)體制、協(xié)調(diào)機制、審查與批準(zhǔn)、監(jiān)管、督察和備案等內(nèi)容；明確信息平安風(fēng)險評估的角色、責(zé)任、方法、過程及結(jié)果摸索協(xié)同開展風(fēng)險評估工作和信息平安等級保護工作、保密檢查工作的實踐經(jīng)驗；檢驗和完善信息平安風(fēng)險評估管理標(biāo)準(zhǔn)與技術(shù)標(biāo)準(zhǔn)；了解信息平安檢查評估和自評估模式的效果與缺乏；選擇試點單位1、條件試點單位的信息化系統(tǒng)已具有一定的規(guī)模，試點單位應(yīng)具備自己的技術(shù)一定的、專業(yè)隊伍和評估實踐經(jīng)驗。2、范圍信息化程度較高的行業(yè)部門的信息系統(tǒng)，如金融、稅務(wù)、電力；建設(shè)開展中的電子政務(wù)重要信息系統(tǒng)；局部涉密信息系統(tǒng)；信息化程度不同的地方單位。專家組提出建議，協(xié)助國信辦確定試點入選單位。試點工作與標(biāo)準(zhǔn)驗證試點工作對去年國信辦組織制定的兩項試行標(biāo)準(zhǔn)進行了驗證，提出了修訂建議絕大多數(shù)試點單位大都參照了去年國信辦和國家安標(biāo)委組織編寫的?信息平安風(fēng)險評估指南?及?信息平安風(fēng)險管理指南?。試點單位大都結(jié)合自身的具體情況，選擇了相應(yīng)的評估方法和適當(dāng)?shù)钠桨部刂拼胧┘肮芾砹鞒蹋瑢嵺`經(jīng)驗證明各試點單位評估基于的根本原那么和核心方法與試行標(biāo)準(zhǔn)指南大體吻合一致。收獲和體會提高了對風(fēng)險評估工作的認識和理解—科學(xué)方法、長效機制為國信辦風(fēng)險評估工作文件起草積累了素材檢驗了標(biāo)準(zhǔn)，兩項試行標(biāo)準(zhǔn)得到了肯定初步標(biāo)準(zhǔn)了評估內(nèi)容，演練了評估的實施流程試行了局部評估技術(shù)方法，重視了評估的科學(xué)性評估方法的百花齊放和創(chuàng)新性表達了創(chuàng)新，積累了成果，培訓(xùn)了人才試點工作技術(shù)上特點方案比較周密注意控制了評估自身的風(fēng)險注意遵循和驗證標(biāo)準(zhǔn)討論稿及時總結(jié)經(jīng)驗和問題始終重視人才培養(yǎng)在技術(shù)上通過評估方法的多樣化，進行了有益的探索試點工作出現(xiàn)了一批成果上海市的風(fēng)險評估管理軟件評估模型和方法的創(chuàng)新與探索北京市利用了已有的工具平臺，形成了評估輔助工具平臺黑龍江提出了基于模糊綜合判定理論的風(fēng)險評估判定方法既有量化的探索，也有定性為主的探索云南提出了增加業(yè)務(wù)流分析和已有控制措施的有效性識別或判定試點工作出現(xiàn)了一批成果〔續(xù)〕國家稅務(wù)總局提出了差距分析法，細化了流程國電公司提出了符合行業(yè)特點的方法，初步形成了行業(yè)平安評估方法論，涵蓋了平安定義、平安評測和風(fēng)險分析的全過程典型方法之一：計算系統(tǒng)綜合風(fēng)險標(biāo)準(zhǔn)的評估過程摸清家底：劃分資產(chǎn)類型，建立重要資產(chǎn)清單，識別資產(chǎn)重要性分析威脅和分析脆弱性兩種途徑按層次分析脆弱性判定平安時間及其影響計算威脅風(fēng)險值制定風(fēng)險控制措施典型方法之一：計算系統(tǒng)綜合風(fēng)險〔續(xù)〕資產(chǎn)綜合風(fēng)險計算三種做法選擇該資產(chǎn)中分析風(fēng)險最高的作為風(fēng)險，乘以資產(chǎn)值，作為該資產(chǎn)風(fēng)險將資產(chǎn)中每一威脅的風(fēng)險之于資產(chǎn)值相乘，得到多個資產(chǎn)的風(fēng)險值構(gòu)建模型，進行綜合計算綜合風(fēng)險：R=V*[∑cRti*Qc+∑ARti*QA+∑IRti*Qi]其中R:總風(fēng)險，V:該資產(chǎn)得分，∑為威脅累計C:機密性，I:完整性，A:可用性典型方法之二：差距分析風(fēng)險評估方法-差距分析法建立分析模型在風(fēng)險評估中通過識別、判斷和分析目標(biāo)系統(tǒng)的平安現(xiàn)狀與平安要求之間的差距確定系統(tǒng)風(fēng)險的分析方法。也就是說，目標(biāo)系統(tǒng)的可接受風(fēng)險和系統(tǒng)剩余風(fēng)險間的差距就是系統(tǒng)存在的風(fēng)險。構(gòu)建差距分析法模型

風(fēng)險分析模型 差距分析法的實施路徑步驟一:調(diào)研目標(biāo)系統(tǒng)狀況步驟二：確定信息系統(tǒng)平安要求任務(wù)1：確定信息系統(tǒng)平安等級任務(wù)2：確定和標(biāo)準(zhǔn)化描述信息系統(tǒng)的平安要求步驟三：評估信息系統(tǒng)平安現(xiàn)狀任務(wù)1：信息系統(tǒng)平安現(xiàn)狀評估報告步驟四：對信息平安風(fēng)險進行差距分析和風(fēng)險計算任務(wù)1：評估信息系統(tǒng)平安現(xiàn)狀對信息系統(tǒng)平安要求的符合程度，即信息系統(tǒng)現(xiàn)有平安措施在當(dāng)前系統(tǒng)運行環(huán)境下是否滿足其平安要求任務(wù)2：對信息系統(tǒng)平安執(zhí)行能力進行評估，評估信息系統(tǒng)平安級〔包括技術(shù)架構(gòu)能力級、工程能力級和管理能力級