风险评估主机点评

邢叭废乒文档下载免费文档下载http://doc.
100lw.
com/本文档下载自文档下载网,内容可能不完整,您可以点击以下网址继续阅读或下载:http://doc.
100lw.
com/doc/fee9109522c03c6a00825ffd信息安全风险评估信息安全风险评估信息安全风险评估中国科学院研究生院信息安全国家重点实验室赵战生年7月3日[此处图片未下载成功]内容概要国信办下达的研究任务及研究进展国际上风险评估的发展及现状我国信息系统安全风险评估的现状和问题什么是信息安全风险评估为什么要进行风险评估怎样进行风险评估[此处图片未下载成功]国信办下达的研究任务及研究进展[此处图片未下载成功]2003年7月22日,国务院信息化领导小组第三次会议专题讨论了《关于加强信息安全保障工作的意见〉,9月中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见〉(2003[27]号文件).
文件要求采取必要措施进行信息安全风险的防范.
7月23日国信办安全组决定委托国家信息中心组建成立"信息安全风险评估课题组",对信息安全风险评估工作的现状进行全面深入了解,提出我国开展信息安全风险评估的对策和办法,为下一步信息安全的建设和管理做准备.
[此处图片未下载成功]国家信息中心根据国务院信息办安全组的要求,迅速成立了以国家信息中心公共技术服务部主任宁家骏为组长,包括崔书昆、曲成义、赵战生、吴亚非、左晓栋博士、范红博士和朱建勇博士组成,贾颖禾为国信办联络员的"信息安全风险评估"起草组,开展信息安全风险评估筹备工作.
后根据工作需要又吸收杜虹、景乾元两位同志参加.
[此处图片未下载成功]课题组在广东、上海、北京共访问了50多个单位,召开了5次座谈会.
研究与起草阶段开了7次研讨会.
经过四个多月的努力,完成了:信息安全风险评估调查报告信息安全风险评估研究报告关于信息安全风险评估工作的意见三份稿约十万字[此处图片未下载成功]提交的《信息安全风险评估研究报告》在多次征求意见和修改后,作为全国信息安全保障工作会议下发的文件,在2004年1月9日发放给会议参加者.
[此处图片未下载成功]研究报告结构http://doc.
100lw.
com/doc/fee9109522c03c6a00825ffd一、前言二、信息系统安全风险评估的概念三、风险评估的意义和作用四、信息安全风险评估的目标和目的五、信息安全风险评估的基本要素六、风险评估对信息系统生命周期的支持七、风险评估的一般工作流程八、当前存在的风险评估理论和工具九、我国信息系统安全风险评估的现状和问题十、信息安全风险评估工作的原则十一、等级保护、认证认可、风险管理、风险评估的关系十二、自评估、强制性检查评估与委托评估十三、信息系统安全风险评估的角色和责任十四、信息安全风险评估的任务和措施[此处图片未下载成功]1、国际信息安全风险评估的发展和现状2、风险评估工作流程详述2、风险控制及工作流程4、美国对认证认可概念的看法5、美国信息系统安全认证认可工作概述6、对美国OMB主任备忘录的总结7、美国认证认可计划中相关标准和指南概况[此处图片未下载成功]2004年,课题组继续进行《关于信息安全风险评估工作的意见》的研究起草2004年国信办安全组要求在已有工作基础上开展风险评估相关标准的研究制定,标准包括:风险评估框架风险评估指南信息安全风险管理指南[此处图片未下载成功]相关标准已经形成初稿,正在进一步研究修改中预期在近期完成"工作意见"和"相关标准",并于下半年开展信息安全风险评估的试点工作.
[此处图片未下载成功]国际上风险评估的发展及现状[此处图片未下载成功]美国是国际上对信息安全风险评估研究历史最长和工作最丰富的国家.
随着信息化应用需求的牵引,安全事件的驱动和信息安全技术、信息安全管理概念的发展深化,他们对信息安全风险评估的认识也逐步加深.
从最初关注计算机保密发展到目前关注信息系统基础设施的信息保障,大体经历了以下三个阶段:[此处图片未下载成功]第一个http://doc.
100lw.
com/doc/fee9109522c03c6a00825ffd阶段(60-70年代)以计算机为对象的信息保密阶段背景:计算机开始应用于政府军队.
标志性行动:1967年11月,美国国防科学委员会委托兰德公司、迈特公司(MITIE)及其它和国防工业有关的一些公司,开始研究计算机安全问题.
到1970年2月,经过将近两年半的工作,主要对当时的大型机、远程终端进行了研究,分析.
作了第一次比较大规模的风险评估.
[此处图片未下载成功]特点:仅重点针对了计算机系统的保密性问题提出要求,对安全的评估只限于保密性.
[此处图片未下载成功]第二个阶段(80-90年代)以计算机和网络为对象的信息安全保护阶段背景:计算机系统形成了网络化的应用.
标志性行动:出现了初期的针对美国军方的计算机黑客行为,1988年1989年,美国的计算机网络出现了一系列重大事件.
美国的审计总署(GAO)对美国国内主要由国防部使用的计算机网络进行了大规模的持续评估.
[此处图片未下载成功]特点:逐步认识到了更多的信息安全属性(保密性、完整性、可用性),从关注操作系统安全发展到关注操作系统、网络和数据库.
试图通过对安全产品的质量保证和安全评测来保障系统安全,但实际上仅仅奠定了安全产品测评认证的基础和工作程序.
[此处图片未下载成功]第三个阶段(90年代末,21世纪初)以信息系统关键基础设施为对象的信息保障阶段背景:计算机网络系统成为关键基础设施的核心.
2000年前后,由于国际范围内出现了大规模黑客攻击,以及信息战的理论逐步走向成熟,信息攻防成为战争手段和国家综合利用的一种方式,且美国的军、政、经济和社会活动对信息基础设施的依赖程度达到了空前的高度,迫使美国又开始了对信息系统新一轮的评估和研究,产生了一些新的概念,法规和标准.
[此处图片未下载成功]标志性的行动:在军方提出信息保障(IA)概念的基础上,克林顿和布什两届总统持续数年进行了国家信息安全保护计划和信息保障战http://doc.
100lw.
com/doc/fee9109522c03c6a00825ffd略的研究.

到目前为止,形成了与国家安全、反恐战略、国土安全等国家战略相配套的网络空间信息保障的国家战略.
各个行业也逐步提出了本行业的信息安全战略,风险评估思想在其中得到了重要的贯彻.
[此处图片未下载成功]1996年美国国会总审计署(GAO)的报告的研究[此处图片未下载成功]DISA对美军网络实施的38000次渗透性攻击测试,24700次即65%的攻击行为取得了成功.
在这些成功的攻击中,只有988即4%被发现.
在被发现的攻击活动中,只有267次即27%被报告给了DISA.
也就是说,只有不到1/150的攻击事件被报告.
[此处图片未下载成功]有关风险评估的重要工作结果:1997年美国国防部发布了《国防部IT安全认证和认可过程》(DITSCAP).
1998年12月,NIST颁布了《IT系统安全计划开发指南》(SP800-18).
此前的OMBA-130曾要求,应该将风险评估作为基于风险的方法的一部分来为系统实现适当的、成本有效性更好的安全,用来评估系统风险性质和级别的方法中应该包括对风险管理主要因素的考虑:系统和应用的价值、威胁、脆弱性、当前或所建议的安全措施的有效性.
因此,NIST在为信息系统开发的安全计划模版中专门对所用的风险评估方法加以了描述,例如所选的风险评估方法是否对威胁、脆弱性及补充性安全防护措施进行了标识此外,NIST还要求安全计划中应包括风险评估的日期,且要说明已标识的风险是如何与系统的保密性、完整性和可用性要求相关联的.
[此处图片未下载成功]2000年4月,负责国家安全系统的国家安全系统委员会(此前称为国家安全电信和信息系统安全委员会)发布了专门针对国家安全系统的《国家信息保障认证和认可过程》(NIACAP).
NIST在2000年11月为CIO委员会制定的《联邦IT安全评估框架》中提出了自评估的5个级别.
2001年11月,针对《联邦IT安全评估框架》,NIST颁布了《IT系统安全自评估指南》(SP800-26http://doc.
100lw.
com/doc/fee9109522c03c6a00825ffd),针对三大类17项安全控制提出了17张调查表.
2001年12月,NIST发布了《IT安全基础技术模型》(SP800-33),提出了信息系统安全的目标、目的、安全服务的模型、安全目的的实现和安全控制措施在风险管理中的作用.
2002年1月,NIST发布了《IT系统风险管理指南》(SP800-30),概述了风险评估的重要性、风险评估在系统生命周期中的地位、进行风险评估的角色和任务.
阐明了风险评估的步骤、风险缓解的控制和评估评价的方法.
[此处图片未下载成功]2002年颁布了《联邦信息安全管理法案》(FISMA),提出联邦各机构的信息安全项目必须包括:定期的风险评估,包括评估由于对信息和信息系统进行未授权访问、使用、泄露、中断、修改或者破坏而带来的危害的大小.
基于风险评估的政策和流程,将信息安全风险通过成本有效性较好的手段而降低到一个可接受的水平,并确保信息安全在各机构信息系统的整个生命周期中都得到了处理.
子计划,用于为网络、设施、一个或一组信息系统提供足够的信息安全.
安全意识培训,用于使相关人员(包括联邦信息系统的合同商和其他用户)知晓其行为中的信息安全风险,并了解其有责任遵循机构的风险控制政策和流程.
对信息安全政策、流程、实践措施和安全控制的有效性所实施的定期测试和评估.
这些测试和评估的实施频率取决于风险本身,但至少每年要实施一次.
对矫正措施进行规划、实现、评估和记录的过程,用于处理联邦机构信息安全政策、流程和实践中所出现的任何缺陷.
对安全事件进行检测、报告和响应的流程.
用来确保信息系统运行的连续性的计划和流程.
[此处图片未下载成功]年2月,美国国家安全局(NSA)颁布了《信息安全评估能力成熟度模型》(IA-CMM)2.
1版.
提出了包括评估信息安全风险在内的9个过程域和29个子域.
描述了与之有关的能力成熟度的五个级别.
2002年10月,NIST发布了《联邦IT系统安全认证和认可指南》(SP8http://doc.
100lw.
com/doc/fee9109522c03c6a00825ffd00-37)的第1.
0版.
2003年6月,NIST发布了《联邦IT系统安全认证和认可指南》(SP800-37)的第2.
0版.
2003年9月NIST发布了FIPS199:《联邦信息和信息系统的安全分类标准》.
2003年10月NIST发布了NIST800-37的伴随文档:NISTSP800-53《联邦IT系统最小安全控制》,提出了管理、运行、技术三大类18族100多项安全控制.
其他有关NISTSP800-37的伴随文档:NISTSP800-53A《联邦IT系统安全控制验证技术和流程》、NISTSP800-60《如何将各种信息和信息系统映射到安全类别中的指南》正在制定之中.
NIST已经若干次推迟了这些文档的预计发布日期,根据最新的进度,上述文档在2005年才能全部定稿.
[此处图片未下载成功]NIST认证认可系列指南的相互关系NISTFIPS199信息系统的安全分类NISTSP800-60信息系统安全类别的映射风险评估NISTSP800-53安全控制安全计划SP800-37NISTSP800-53A安全控制的验证技术和流程定义了标准的信息系统安全认证认可方法更新后的安全计划安全测试和评估报告最终的风险评估报告[此处图片未下载成功]实验室环境运行环境认可机构保护轮廓IT产品经过认证的产品实际的威胁和脆弱性评估系统级保护轮廓产品NIAPCCEVS具体的IT系统技术性安全经认可的测试实验室轮廓产品通用子系统CMVPFIPS140-2测试证据密码模块安全目标评估报告认证报告风险管理安全策略系统安全计划人员安全流程安全物理安全://doc.
100lw.
com/doc/fee9109522c03c6a00825ffdpar标准指南认证认可[此处图片未下载成功]特点:随着信息保障的研究的深入,关注的安全属性扩大到了保密性、完整性、可用性、可认证性、不可否认性五个方面;保障对象明确为信息、信息系统;保障能力明确来源于技术、管理和人员三个方面;关注局域计算环境、边界与外部连接、网络基础设施;以保护、检测、反应、恢复四个工作环节形成支撑条件,构建纵深防御体系.
认识到CC和FIPS140-2等标准仅仅适合安全产品的测评认证.
对于信息系统则需要确立新的包括非技术因素的全面评估.
逐步形成了风险评估、自评估、认证认可的工作思路,而风险评估工作贯穿于认证认可工作的各个阶段中,且实现了制度化.
风险评估已经成为一种通用的方法学和基础理论,应用到了广泛的信息安全实践工作之中.
[此处图片未下载成功]其他国家和地区的情况英国标准化协会(BSI)1995年颁布了《信息安全管理指南》(BS7799),BS7799分为两个部分:BS7799-1《信息安全管理实施规则》和BS7799-2《信息安全管理体系规范》.
2002年又颁布了《信息安全管理系统规范说明》(BS7799-2:2002).
它将信息安全管理的有关问题划分成了10个控制要项、36个控制目标和127个控制措施.
目前,在BS77992中,提出了如何了建立信息安全管理体系的步骤.
在信息安全管理体系的核心部位是风险评估和风险管理.
目前,全球通过BS7799认证的数量已达到282家,其中绝大部分分布在欧洲和亚洲,整个中国地区(包括香港和台湾在内)通过BS7799认证的数量已有18家.

[此处图片未下载成功]德国的联邦信息技术安全局的信息安全管理是通过他们2001年7月颁布和不断更新的《信息技术基线保护手册》(ITBaselineProtectionManual(ITBPMorBPM))来加以指导的.
BPM比英国的BS7799更加详细地对威胁和安全措施加以了分类,具体地开列威胁清单和安全措http://doc.
100lw.
com/doc/fee9109522c03c6a00825ffd施清单,并通过维护网上更新来实现与时俱进的安全需求.
该文将威胁目录分为五类272种(严重影响13种,机构缺陷67种,人为故障47种,技术故障43种,故意行为102种),安全措施目录分为六类607种(基础设施类57种,机构类226种,个人类26种,软件和硬件类1种,通信类88种,意外事故计划类75种).
[此处图片未下载成功]澳大利亚/新西兰风险管理准则联合委员会于1995年颁布了世界上第一部风险管理的正式标准:AS/NZS4360.
这是一个针对普遍风险(而非信息安全风险)的风险管理标准,成为关注一般风险管理的人员的通用准则.
AS/NZS4360在1999年又颁布了其修改版本.
澳大利亚的经验表明:这些准则虽然不能直接为内部审计人员提供一个风险模型,但却为产生风险模型奠定了基础.
加拿大风险管理准则委员会于1997年颁布了《风险管理:决策者的指导》(AN/CSAQ85097).
[此处图片未下载成功]国际标准化组织在信息安全管理方面,早在1996年就开始制定《信息技术信息安全管理指南》(ISO/IEC13335),它分成《信息安全的概念和模型》、《信息安全管理和规划》、《信息安全管理技术》、《基线方法》、《网络安全管理指南》五个部分.
其后,国际标准化组织又通过了依据BS7799-1制定的《信息安全管理实施指南》(ISO/IEC17779:2000),提出了基于风险管理的信息安全管理体系.
[此处图片未下载成功]综观国际情况,信息安全风险评估经历了一个从只重技术到技术、管理并重的全面评估,从单机到网络再到信息系统基础设施,从单一安全属性到多种安全属性发展.
当前,正在信息保障的概念下,还处在不断深化完善之中.
[此处图片未下载成功]总体上看,虽然传统的风险评估不是一个陌生问题.
但是信息系统的安全风险评估在国际上仍是一个尚在探讨的未决问题.
美国国家安全局的有关领导曾检讨道,橘皮书时代提出过军队和政府的信息系统在某个时段应http://doc.
100lw.
com/doc/fee9109522c03c6a00825ffd达到某个安全级别的要求,但是,实际上他们仅仅落实了一批经过测评认证的安全产品,而系统安全什么也没有作到.
近年来,美国的信息安全研究人员正加紧工作,计划在国家标准和技术研究所(NIST)制定的以SP800-37为核心的配套指南完善后,于2004年开展新一轮的联邦信息系统认证认可工作.
[此处图片未下载成功]我国信息系统安全风险评估的现状和问题[此处图片未下载成功]我国的信息系统安全评估工作是随着对信息安全问题的认识的逐步深化不断发展的.
早期的信息安全工作中心是信息保密,通过保密检查来发现问题,改进提高.
80年代后,随着计算机的推广应用,随即提出了计算机安全的问题,开展了计算机安全检查工作.
但是,当时缺乏风险意识,在领导和信息系统管理者的思想中,通常追求的是万无一失、绝对安全.
[此处图片未下载成功]90年代后,随着互连网在我国得到了广泛的社会化应用,国际大环境的信息安全问题和信息战的威胁直接在我国的信息环境中有所反映.
1994年2月颁布的《中华人民共和国计算机信息系统安全保护条例》提出了计算机信息系统实行安全等级保护的要求.
其后,在有关部门的组织下,不断开展了有关等级保护评价准则、安全产品的测评认证、系统安全等级划分指南的研究,初步提出了一系列相关技术标准和管理规范.
信息安全的风险意识也开始建立,并逐步有所加强.
[此处图片未下载成功]目前,就信息安全保障的主管机关而言,国家保密管理部门,由于有优良的工作传统、组织机构和国家保密法的依据,思想明确,技术规范相对齐全,工作力度比较强,到位情况比较好.
计算机网络安全管理部门经过二十多年的探索准备以及对犯罪案件和安全事件的侦破处理,积累了经验和知识,组织制定了一系列的技术标准,正在为实施计算机信息系统安全的等级保护制度进行试点和政策性文件的准备.
但密码管理、保密管理、计算机网络信息安全管理、信息内容安全管理等部门的协调协同还有待加强.
[此处图片未下载成功]http://doc.
100lw.
com/doc/fee9109522c03c6a00825ffd从本课题调研的情况看,我国各个部门和行业对信息安全风险评估的认识和开展的情况是不平衡的.
国内现阶段风险评估的状况,可分为以下几类:一是有认识、有行动、有措施、有效果;二是有认识、有行动但措施不当;三是有认识、无行动、无措施;四是无认识、无行动、无措施.
[此处图片未下载成功]国家部门建立的测评认证机构:在国家标准GB17859-1999和GB/T18336-2001的原则指导下,进行了大量的安全产品的功能评测,并逐步向安全产品的性能评测、安全性评测提高.
通过自己的工作实践和社会需求的牵引,并在注意到美国提出的联邦IT系统安全认证认可指南等国外动态后,逐步认识到,仅仅进行安全产品的测评认证不能解决信息系统的安全.
因此,国家部门建立的测评认证机构开始把信息系统的安全评测纳入自己的工作范畴,风险评估一般也作为系统安全评估的一个环节,纳入其中.
[此处图片未下载成功]开展了风险评估的国内信息安全厂商:国内已经有一批信息安全企业(如30盛安、启明星辰、联想、科友、绿盟、思乐等)开始对客户提供信息系统安全评估服务,并且承担了一些行业单位的系统安全评估工作.
他们一般参考国际标准(多数参考BS7799、ISO/IEC17799、SSE-CMM、AS/NZS4360,有的仅参考信息安全产品评测标准,如CC等)和我国的国家标准GB17859.
评估工具一般使用自己开发或免费获得的系统漏洞扫描软件.
评估过程一般是在签定保密协议的前提下,阅读被评单位的安全管理文档和系统设计文档、问卷调查、现场考察、扫描漏洞(个别企业会开展渗透性测试)并最终给出评估报告和安全改进建议.
[此处图片未下载成功]外资企业在我国进行的系统安全评估:外资企业(如安氏中国、英国BSI、IBM、微软等)已经涉足我国的信息系统安全评估工作,并且围绕着信息安全技术及安全评测,进行了一些教育培训和系统评估的工作,甚至在很多关键行业(如银行、电信行业),开展了较多的风险评估服http://doc.
100lw.
com/doc/fee9109522c03c6a00825ffd务.
从积极意义上看,他们带来了国外风险评估的理念和标准,宣传了风险评估的重要性和必要性,培养了一批进行系统安全评估的技术人员(其中不少已经回流到国内安全企业,成为这些厂商进行安全评估、安全产品设计开发、安全服务的业务骨干).
[此处图片未下载成功]信息化依赖程度高的行业和部门:如海关总署、电力、金融、铁路、通信、宝钢、上海社会保障中心等行业和部门,信息化手段已经成为其生产第一线上不可或缺的工作平台.
其中有的单位也发生过一些安全事件,对正常生产带来了一些影响.
在安全事件的驱动下,行业管理部门制定了针对本行业有关信息安全要求的文件.
这些行业重视了生产系统和办公系统以及互连网之间的隔离和安全防护,并针对性地进行了一些风险评估工作.
有的单位还建立了行业性的信息安全实验室,开展了针对本行业的信息安全需求和解决方案的研究与规划实施.
但多数单位还是请信息安全产业(甚至请外资企业)和本单位的人员结合开展风险评估工作.
[此处图片未下载成功]信息化依赖程度低的行业和部门:这类行业和部门,信息化程度不高,依赖程度不强.
一般对信息安全的内涵和外延、信息安全保障的技术和管理涉足不深,认识模糊,风险概念不强,有的处于计划进行风险评估的状态,有的还根本没有提上议事日程.
[此处图片未下载成功]仍然存在的问题:1.
信息系统安全风险评估的研究积累不足.
信息系统风险评估既是一个管理问题,也是一个技术问题.

科学的风险评估需要理论、方法、技术和工具来支撑.
我国的科学研究计划中,有关信息系统安全风险评估的重点科研项目非常之少.
对国际上的理论和技术发展的了解、跟踪、分析也不够系统、深入和广泛.
特别是随着信息化应用的日益拓展,风险已经不仅仅来自于通用的信息技术平台,而更进一步与各个行业的应用、服务、生产的特性密切相关.
因此,仅靠目前的IT企业,通用技术平台的脆弱性分析,难以真正掌握和了解具体行业、部门的资产、威胁和风险.
不但需要深化研究IT技术平台的共性化的风险,还需要推动对不同行业部门的个性化风险的深化研究,否则风险评估将会出现关http://doc.
100lw.
com/doc/fee9109522c03c6a00825ffd注面的缺失.

[此处图片未下载成功]2.
缺乏信息系统安全风险评估的规范化标准.
计算机信息系统安全等级保护制度的贯彻中,提出了"谁主管,谁负责.
谁运营,谁负责"的原则.
但是,急需解决的是什么才是真正意义上的负责,怎样才算负责.
这需要针对风险评估的任务、责任、过程、程序制定规范的标准,才能统一要求,落到实处.
否则,必然是风险评估工作的效果受限于各部门和个人的认识,这些部门有什么认识,有多大能力,风险评估就只能进行到什么程度,参差不齐,难以达标.
[此处图片未下载成功]3.
熟悉和有能力进行风险评估的专业技术和管理人才匮乏.
调研中,各单位普遍反映,熟悉和有能力进行系统安全建设甚至是风险评估的专业技术和管理人才严重匮乏.
一些已开始进行信息系统安全评估的国内企业,也是骨干成员边学习,边培养一般业务人员,边进行评估项目.
不少骨干来自在外资信息安全企业工作回流的人员.
被评单位更是缺乏有能力进行配合的人员.
在很多单位中,安全技术管理部门的人员一般认为聘请外单位进行评估有"外来的和尚好念经"的效果,这样的评估结论容易引起领导重视,认为能够促使领导下决心加大安全投入的力度.
[此处图片未下载成功]4.
信息系统安全风险评估的角色和责任混乱.
风险评估是责任性极强的严肃工作.
评估中应该有什么人参加他们应该扮演什么角色承担什么责任这些责任通过什么过程和手续体现这一系列的问题还没有明确的答案.
评估工作常出现评估方和被评单位两不满意的情况.
有的被评单位在工作进行到一定阶段后,认为评估结论不用请人来做也能想出(对信息安全管理体系的评估尤其如此),而且还花费了很多资金.
而评估方也感到委屈,认为自己在评估工作中投入的成本已经很大,评估的程度也很深,却得不到对方认同.
此外,目前由信息安全企业实施的风险评估工作中,被评单位的实际配合往往不够,限制颇多,使评估方难于了解该单位的业务特点和管理要求.
评估结果有时缺乏严肃的认可.
改进工作的建议和结论时遭束之高阁.
很多单位的风险评估工作没有与信息系统的生命周期和安全建设联系http://doc.
100lw.
com/doc/fee9109522c03c6a00825ffd起来,仅仅是为了评估而评估,由于在风险评估后没有针对风险评估的结果采取对策,安全状况最终并未取得实质性的增强和改善,这些风险评估工作仅仅起到了应付领导的作用.
[此处图片未下载成功]5.
风险评估存在风险.
由于与信息系统漏洞有关的信息、各单位信息安全保障的现状和问题是涉及单位要害、利益、声誉的事项,所以风险评估是敏感的工作.
调研中一些单位反映了如下一些情况:有的公司参加评估的人员,在离职赴国外学习中,将被评单位的问题和解决办法作为自己的学业论文内容公诸于世.
有的公司把为某单位的评估项目作为自己的成功案例公诸于世.
某单位在进行风险评估前,虽然也存在网络入侵现象,但是这些入侵仅处于试探和扫描状况.
在请外部单位进行评估检测之后,入侵者反而直奔系统要害而来了.
[此处图片未下载成功]总之,我国在信息安全的测评认证方面开展了一些工作,积累了一些经验,但是对信息系统的风险评估还处于起步阶段,有待规范提高,并需纳入等级保护的总体制度和机制中.
已经显现的问题和可能发生的问题,也有待深入研究,提出解决办法.
[此处图片未下载成功]什么是信息安全风险评估[此处图片未下载成功]风险是个传统概念天有不测风云,人有旦夕祸福[此处图片未下载成功]IT成为成熟的生产力还要走很长的路RSA2004会议的一个报告提出问题为什么是今天的软件工程方法学有缺点为什么软件缺点对cybersecurity是一个关键的挑战我们为什么应该立刻修正我们写软件的方式我们如何测度软件质量和软件安全性我们必须对软件开发者提供什么激励[此处图片未下载成功]Complexity:BugsperKLOC5B/KLOCinQA-testedsoftwareQAtestingincludesfaultinjectionandfailureanalysihttp://doc.
100lw.
com/doc/fee9109522c03c6a00825ffds50B/KLOCinfeature-tested(commercial)softwareExamplesSolaris7=400KLOC2K–20KbugsLinux=<1.
5MLOC7.
5K–75KbugsWindowsNT=35MLOC175K–1.
75MbugsWindowsXP=40MLOC200K–2.
00MbugsBoeing777=7MLOC35K–350Kbugs[此处图片未下载成功]数学支持攻击者冲击波的成功是合乎逻辑的考虑30K节网络(中型的公司)每个节平均有3,000个exe模块每个模块有关100KB假设每行代码(LOC)=10byte代码然后每个100KBexe模块=10KLOC每个模块有约50(到500)bug这样每个主节点存在150K(到1.
5M)bug在这样的网络中150Kbug*30K节点=4.
5Bbug假定10%的bug能造成安全失败那么有45M个可被远程利用的bug[此处图片未下载成功]信息化的发展在数字世界凸显了风险[此处图片未下载成功]面对对风险存在不同认识有的同志把信息安全目标定位于:系统永不停机数据永不丢失网络永不瘫痪信息永不泄密[此处图片未下载成功]有的同志认为信息安全无能为力美国FBI对付不了黑客信息安全专家对付不了中学生有的同志觉得信息安全问题越来越说不清楚信息系统是一个智能化、人机交互、非线性、时变、复杂、巨系统[此处图片未下载成功]出路何在科学的发展观人类对真理的认识是一个不断的求极限的过程具体问题具体分析是认识论的精髓实践是检验真理的唯一标准[此处图片http://doc.
100lw.
com/doc/fee9109522c03c6a00825ffd未下载成功]信息系统的安全风险信息系统的安全风险,是由来自人为的与自然的威胁利用系统存在的脆弱性造成的安全事件发生的可能性及其可能造成的影响.
[此处图片未下载成功]信息安全风险评估依据国家有关的政策法规及信息技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学、公正的综合评估的活动过程.
它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险.
[此处图片未下载成功]人们的认识能力和实践能力是有局限性的,因此,信息系统存在脆弱性是不可避免的.
信息系统的价值及其存在的脆弱性,使信息系统在现实环境中,总要面临各种人为与自然的威胁,存在安全风险也是必然的.
信息安全建设的宗旨之一,就是在综合考虑成本与效益的前提下,通过安全措施来控制风险,使残余风险降低到可接受的程度.
[此处图片未下载成功]因为任何信息系统都会有安全风险,所以,人们追求的所谓安全的信息系统,实际是指信息系统在实施了风险评估并做出风险控制后,仍然存在的残余风险可被接受的信息系统.
因此,要追求信息系统的安全,就不能脱离全面、完整的信息系统的安全评估,就必须运用信息系统安全风险评估的思想和规范,对信息系统开展安全风险评估.
[此处图片未下载成功]信息安全风险评估的基本要素资产威胁脆弱性风险[此处图片未下载成功]使命:一个单位通过信息化要来实现的工作任务.
依赖度:一个单位的使命对信息系统和信息的依靠程度.
资产:通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等.
价值:资产的重要程度和敏感程度.
威胁:一个单位的信息资产的安全可能受到的侵害.
威胁由多种属性来刻画:威胁的主体(威胁源)、能力、资源、动机、途径、可能性http://doc.
100lw.
com/doc/fee9109522c03c6a00825ffd和后果.

[此处图片未下载成功]脆弱性:信息资产及其防护措施在安全方面的不足和弱点.
脆弱性也常常被称为弱点或漏洞.
风险:风险由意外事件发生的可能性及发生后可能产生的影响两种指标来衡量.
风险是在考虑事件发生的可能性及其可能造成的影响下,脆弱性被威胁所利用后所产生的实际负面影响.
风险是可能性和影响的函数,前者指威胁源利用一个潜在脆弱性的可能性,后者指不利事件对组织机构产生的影响.
残余风险:采取了安全防护措施,提高了防护能力后,仍然可能存在的风险.
[此处图片未下载成功]安全需求:为保证单位的使命能够正常行使,在信息安全防护措施方面提出的要求.
安全防护措施:对付威胁,减少脆弱性,保护资产,限制意外事件的影响,检测、响应意外事件,促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称.
[此处图片未下载成功]要素关系图(一)[此处图片未下载成功]要素关系图(二)威胁施残威胁护措余风防风险防脆弱性护脆弱措施性威胁残脆弱性防护措风险施余脆弱性资产脆弱性脆弱性防护措施残余风险威胁险[此处图片未下载成功]启动风险评估过程安全分类基于由于丧失保密性、完整性和可用性而给单位带来的潜在影响,为信息系统划分安全类别风险评估对信息系统面临的潜在威胁及其脆弱性进行标识,对规划实现或实际已经实现的安全防护措施及其对单位的潜在影响加以分析,确定预期的残余风险持续监视定期验证信息系统中的安全防护措施,以确保其连续有效性;报告安全状态安全计划确定并http://doc.
100lw.
com/doc/fee9109522c03c6a00825ffd记录信息系统的安全要求和安全防护措施(无论是规划中还是已经部署好的)配置管理和控制对信息系统及其运行环境中的变更进行控制和记录;对这些变更的安全影响进行评估落实安全防护措施信息系统为信息系统设计、开发和实现安全防护措施安全授权(认可)确定并接受单位的残余风险;批准信息系统在特定的运行环境中投入运行开发性安全测试和评估制定安全测试和评估计划;在采用之前对信息系统中的安全防护措施实施测试和评估对安全防护措施的验证(认证)通过已建立的验证技术和流程来确定信息系统中安全防护措施的有效性;确定信息系统中的实际脆弱性,并给出矫正动作建议安全防护措施的集成将安全防护措施集成到信息系统中;使用安全实施指南来确保正确的安全设置和切换;在交付和安装之后实施集成和可接受性测试[此处图片未下载成功]为什么要进行风险评估[此处图片未下载成功]信息安全风险评估的目标和目的信息系统安全风险评估的总体目标是:服务于国家信息化建设,促进信息安全保障体系的建设,提高信息系统的安全保护能力.
信息系统安全风险评估的目的是:认清信息安全环境、信息安全状况;达成共识,明确责任;采取或完善安全保障措施;保持信息系统的建设与信息安全策略的一致性和持续性.
[此处图片未下载成功]信息安全风险评估的近期目标是:贯彻落实27号文件;启动评估工作流程、工作规范、评估标准的研究与制定;推进基础信息网络和重要信息系统的风险评估试点示范工作;促进信息系统安全等级保护制度的建设.
[此处图片未下载成功]风险评估的意义和作用1.
风险评估是信息系统安全的基础性工作信息安全中的风险评估是传统的风险理论和方法在信息系统中的运用,是科学地分析和理解信息与信息系统在保密性、完整性、可用性等方面所面临的风险,并在风险的减少、转移和规避等风险控制方法://doc.
100lw.
com/doc/fee9109522c03c6a00825ffd之间做出决策的过程.
风险评估将导出信息系统的安全需求,因此,所有信息安全建设都应该以风险评估为起点.
信息安全建设的最终目的是服务于信息化,但其直接目的是为了控制安全风险.
只有在正确、全面地了解和理解安全风险后,才能决定如何处理安全风险,从而在信息安全的投资、信息安全措施的选择、信息安全保障体系的建设等问题中做出合理的决策.
进一步,持续的风险评估工作可以成为检查信息系统本身乃至信息系统拥有单位的绩效的有力手段,风险评估的结果能够供相关主管单位参考,并使主管单位通过行政手段对信息系统的立项、投资、运行产生影响,促进信息系统拥有单位加强信息安全建设.
[此处图片未下载成功]2.
风险评估是分级防护和突出重点原则的具体体现信息安全建设的基本原则包括必须从实际出发,坚持分级防护、突出重点.
风险评估正是这一原则在实际工作中的具体体现.
从理论上讲,不存在绝对的安全,实践中也不可能做到绝对安全,风险总是客观存在的.
安全是风险与成本的综合平衡.
盲目追求安全和回避风险是不现实的,也不是分级防护原则所要求的.
要从实际出发,坚持分级防护、突出重点,就必须正确地评估风险,以便采取科学、客观、经济和有效的措施.
[此处图片未下载成功]3.
加强风险评估工作是当前信息安全工作的客观需要和紧迫需求由于信息技术的飞速发展,关系国计民生的关键信息基础设施的规模越来越大,同时也极大地增加了系统的复杂程度.
发达国家越来越重视信息安全风险评估工作,提倡风险评估制度化.
他们提出,没有有效的风险评估,便会导致信息安全需求与安全解决方案的严重脱离.
因此,美国国家安全局强调"没有任何事情比解决错误的问题和建立错误的系统更没有效率的了.
"这些发达国家近年来大力加强了以风险评估为核心的信息系统安全评估工作,并通过法规、标准手段加以保障,逐步以此形成了横跨立法、行政、司法的完整的信息安全管理体系.
在我国目前的国情下,为加强宏观信息安全管理,促进信息安全保障体系建设,就必须加强风险评估工作,并逐步使风险评估工作朝向制度化的方向发展.
://doc.
100lw.
com/doc/fee9109522c03c6a00825ffd[此处图片未下载成功]怎样进行风险评估[此处图片未下载成功]从使命出发确认资产及其依赖度从资产的重要性和敏感程度(CIA)判断面对的威胁识别确定脆弱性分析威胁利用脆弱性对资产造成损失的可能性和可能产生的影响形成报告,提出选择合适的安全控制措施的建议[此处图片未下载成功]风险评估的一般工作流程[此处图片未下载成功][此处图片未下载成功][此处图片未下载成功]风险评估对信息系统生命周期的支持生命周期阶段阶段1——规划和启动阶段特征提出信息系统的目的、需求、规模和安全要求.
来自风险管理活动的支持风险评估活动可用于确定信息系统安全需求.
阶段2——设计开发或采购信息系统设计、购买、开发或建造.
在本阶段标识的风险可以用来为信息系统的安全分析提供支持,这可能会影响到系统在开发过程中要对体系结构和设计方案进行权衡.
阶段3——集成实现信息系统的安全特性应该被配置、风险评估可支持对系统实现效果的激活、测试并得到验证.
评价,考察其是否能满足要求,并考察系统所运行的环境是否是预期设计的.
有关风险的一系列决策必须在系统运行之前做出.
信息系统开始执行其功能,一般情况下系统要不断修改,添加硬件和软件,或改变机构的运行规则、策略或流程等.
当定期对系统进行重新评估时,或者信息系统在其运行性生产环境(例如新的系统接口)中做出重大变更时,要对其进行风险评估活动.
阶段4——运行和维护阶段5——废弃本阶段涉及到对信息、硬件和软当要废弃或替换系统组件时,要对件的废弃.
这些活动可能包括信其进行风险评估,以确保硬件和软息的移动、备份、丢弃、破坏以件得到了适当的废弃处置,且残留及对硬件和软件进行的密级处理.
信息也恰当地进行了处理.
并且要确保系统的更新换代http://doc.
100lw.
com/doc/fee9109522c03c6a00825ffd能以一个安全和系统化的方式完成.
[此处图片未下载成功]从风险评估实施的时机划分,可以分为面向待建系统的风险评估和面向运行系统的风险评估.
对于待建系统,如果已经有了设计方案或安全计划,则可以从这些文档中标识出部分脆弱性,如果系统建设尚处在启动或提议阶段,则无从评估其脆弱性,上述工作流程可以简化,省略对脆弱性的评估.
[此处图片未下载成功]当前存在的风险评估理论和工具当前,存在很多风险评估的理论,这些方法遵循了基本的风险评估流程,但在具体实施手段和风险的计算方法方面各有不同.
从计算方法区分,有定性的方法、定量的方法和半定量的方法.
从实施手段区分,有基于树的技术、动态系统的技术等.
在风险评估的某些具体阶段(例如威胁评估或脆弱性评估中),也存在更多的理论和方法,如脆弱性分类方法、威胁列表等.
[此处图片未下载成功]评估工具目前存在以下几类:扫描工具:包括主机扫描、网络扫描、数据库扫描,用于分析系统的常见漏洞;入侵检测系统(IDS):用于收集与统计威胁数据;渗透性测试工具:黑客工具,用于人工渗透,评估系统的深层次漏洞;主机安全性审计工具:用于分析主机系统配置的安全性;安全管理评价系统:用于安全访谈,评价安全管理措施;风险综合分析系统:在基础数据基础上,定量、综合分析系统的风险,并且提供分类统计、查询、TOPN查询以及报表输出功能;评估支撑环境工具:评估指标库、知识库、漏洞库、算法库、模型库.
[此处图片未下载成功]等级保护、认证认可、风险管理、风险评估的关系等级保护是计算机信息系统信息安全保障的重要制度和任务.
1994年《中华人民共和国计算机信息系统安全保护条例》中正式提出了实施等级保护的要求.
2003年中办发27号文件重申了这一重要任务.
[此处图片未下载成功]信息系统安全认证认可是发达国家普遍采取的信息系统安全评估与管理模式.
由于信息系统http://doc.
100lw.
com/doc/fee9109522c03c6a00825ffd不是产品,不具有流通性,对信息系统安全的认证是指运用技术和管理检查手段来测试、分析、评价信息安全保障是否到位.
信息安全产品的认证是信息系统安全认证的前提和基础,但不能代替对信息系统安全的认证.
信息系统安全认可则是单位的管理层或上级主管机关依据安全认证的结果,判断信息系统中存在的残余风险是否可以接受,从而决定是否允许信息系统投入建设或运行的过程.
[此处图片未下载成功]风险管理是安全管理的重要组成部分.
它包括:风险评估、风险控制(实施成本效益分析,选择安全防护措施来控制风险)以及根据风险评估结果对信息系统的运行中的相关事项(例如是否批准系统投入运行、是否加大信息安全建设投资等)做出决策.
[此处图片未下载成功]风险评估是认证认可和风险管理的重要组成部分,没有风险评估,认证认可和风险管理就会成为无源之水、无本之木,缺乏决策行动的依据与方向.
但风险管理属于概念和方法学的范畴,而认证认可则属于实践的层次,认证认可本身便是一种风险管理的实施措施.
[此处图片未下载成功]自评估、强制性检查评估与委托评估自评估是信息系统拥有单位,依靠自身力量,对自有的信息系统进行的风险评估活动.
信息系统的风险,不仅仅来自信息系统技术平台的共性,还来自于特定的应用服务.
由于具体单位的信息系统应用服务各具特性,这些个性化的过程和要求往往是敏感的,而且是没有长期接触该单位所属行业和部门的人难于在短期内熟悉和掌握的.
因此,自评估有利于保密;有利于发挥行业和部门内的人员的业务特长;有利于降低风险评估的费用;有利于提高本单位的风险评估能力与信息安全知识.
但是,如果没有统一的规范和要求,在缺乏信息系统安全风险评估专业人才的情况下,自评估的结果可能不深入,不规范,不到位.
自评估中,也可能会存在来自于本单位或上级单位领导的不利干预,从而出现风险评估结果不够客观或评估结果的置信度较低等问题.
某些时候,即使自评估的结果比较客观,但也可能不会被管理层所信任.
这种情况下,如果的确有必要实施自评估,或自评估的结果http://doc.
100lw.
com/doc/fee9109522c03c6a00825ffd对管理层的决策关系重大,则可以采取专家组论证的方式加以解决.
[此处图片未下载成功]强制性检查评估则由信息安全主管机关或业务主管机关发起,旨在依据已经颁布的法规或标准,检查被评估单位是否满足了这些法规或标准.
这种评估具有强制性,是一种纯粹意义上的他评估,单位自身不能对该过程进行干预.
此外,强制性检查评估必须以明确的法规或标准为基础.
这是通过行政手段加强信息安全的重要手段.
[此处图片未下载成功]委托评估指信息系统使用单位委托具有风险评估能力的专业评估机构(国家建立的测评认证机构或安全企业)实施的评估活动.
它既有自评估的特点(由单位自身发起,且本单位对风险评估过程的影响可以很大),也有他评估的特点(由独立与本单位的另外一方实施评估).
[此处图片未下载成功]在委托评估中,接受委托的评估机构一般拥有风险评估的专业人才,风险评估的经验比较丰富,对IT技术风险的共性了解得比较深入,评估过程较为规范,评估结果的客观性比较好,置信度比较高.
但是,评估费用可能会较高,且可能会难以深入了解行业应用服务中的安全风险.
需着重指出,由于风险评估中必然会接触到被评估单位的敏感情况,且评估结果本身也属于敏感信息,因此委托评估中容易发生评估风险.
另外,评估方应与系统承建者保持独立,不能为同一实体,但在评估中可以向系统承建者进行咨询.
[此处图片未下载成功]信息系统安全风险评估的角色和责任角色责任提出、制定并批准本部门的信息安全风险管理策略领导和组织本部门内的信息系统安全评估工作基于本部门内信息系统的特征以及风险评估的结果,判断信息系统残余风险是否可接受,并确定是否批准信息系统投入运行检查信息系统运行中产生的安全状态报告定期或不定期地开展新的信息安全风险评估工作制定安全计划,报主管机关审批组织实施信息系统自评估工作配合强制性检查评估或委托评估工作,并提供必要的文档等资源向主管机关提出新一轮风险评估的建议改善信息安全防护措施,控制信息安全风险http://doc.
100lw.
com/doc/fee9109522c03c6a00825ffd根据对信息系统建设方案的风险评估结果,修正安全方案,使安全方案成本合理、积极有效,在方案中有效地控制风险规范建设,减少在建设阶段引入的新风险确保安全组件产品得到了相关机构的认证提供独立的信息系统安全风险评估对信息系统中的安全防护措施进行评估,以判断(1)这些安全防护措施在特定运行环境中的有效性;(2)实现了这些措施后系统中存在的残余风险提出调整建议,以减少或根除信息系统中的脆弱性,有效对抗安全威胁,控制风险保护风险评估中获得的敏感信息,防止被无关人员和单位获得遵守安全策略、法规、合同等涉及信息系统交互行为的安全要求,减少信息安全风险协助风险评估机构确定评估边界在风险评估中提供必要的资源和资料主管机关信息系统拥有者信息系统承建者信息系统安全评估机构信息系统的关联机构[此处图片未下载成功]信息安全风险评估的任务和措施任务1:建立健全和完善信息系统安全风险评估的工作机制.

措施:设立攻关课题,结合贯彻计算机信息系统安全等级保护要求,提出我国风险评估的工作的规范化过程、任务和程序.
明确所有者、管理者、运行者、建设者、使用者、共享信息和业务系统者和主管部门等各方职责.
结合贯彻计算机信息系统安全等级保护要求,建立健全国家重点信息系统安全风险评估监管和督察体系及国家和行业信息系统安全风险评估工作指导机构.
建立和完善国家或部门的信息系统安全风险评估工作管理与协调机制,完善部门协调机制.
促进相关资源的管理与共享,提高信息系统安全风险评估能力.
建立和完善信息系统安全风险评估工作的各项制度,实施信息系统安全风险评估工作的备案报告和定期检查制度.
[此处图片未下载成功]任务2:统筹建设信息安全风险评估的基础设施和基础环境,满足信息安全风险评估的需求.
措施:按照不同行业,培养多层次信息系统安全风险评估专业队伍.
完善我国信息系统信息安全风险评估服务的资质认证和行为规范,提高信息安全风险评估服务水平.
加强信息系统安全风险评估核心技术研究http://doc.
100lw.
com/doc/fee9109522c03c6a00825ffd与攻关,增强信息系统安全风险评估核心竞争力.
国家要组织攻关,力争在近几年内在核心环节有较大的突破,为国家基础信息网络和重要信息系统的评估提供自主可控的工具、模型与实用技术.
完善法律法规和标准体系建设,实现管理法制化和规范化.
重视信息安全风险评估有关信息的收集、分析和利用工作,增强我国信息系统安全风险评估的预警和报知能力.
建立国家基础信息网络和重要信息系统的风险评估数据库.
[此处图片未下载成功]任务3:对涉及国家电子政务、国防系统等重要信息系统开展风险评估,掌握关键信息系统的安全状况.
措施:对涉及国家电子政务、国防系统等重要信息系统的风险分析和分级保护策略进行认真研究,制定基本的安全策略和评估指南.
开展相关系统风险评估的试点工作,总结经验教训,逐步在面上推广,确保国家基础信息网络和重要信息系统功能和系统运行正常,安全措施有效,进一步增强系统保障能力.
[此处图片未下载成功]任务4:推动社会关注,提高风险意识.
措施:通过意识、培训、教育提高社会公众的信息安全风险意识.
通过信息安全企业对社会公众的安全服务解决社会公众在信息化中遇到的信息安全问题.
开展信息化道德教育,引导青少年的志趣、行为.
提倡爱国,报国,爱护信息化家园.
表彰遵纪守法,打击违规犯罪.
[此处图片未下载成功]谢谢大家[此处图片未下载成功]文档下载网是专业的免费文档搜索与下载网站,提供行业资料,考试资料,教学课件,学术论文,技术资料,研究报告,工作范文,资格考试,word文档,专业文献,应用文书,行业论文等文档搜索与文档下载,是您文档写作和查找参考资料的必备网站.