,信息安全風險評估,國家信息中心信息安全研究與服務中心吳亞非,隨著國民經濟和社會信息化進程的全面加快，網絡和信息系統的基礎性、全局性作用日益增強,國民經濟和社會發展對基礎信息網絡和重要信息系統的依賴性越來越大，由此而產生的信息安全問題對國家安全的影響日益增加、日益突出。網絡與信息安全已上升為一個事關國家政治穩定、社會安定、經濟有序運行和社會主義精神文明建設的全局性問題。,黨中央、國務院高度重視網絡與信息安全工作,中辦發200327號文件提出了加強信息安全保障工作的總體要求和主要原則，并在工作部署中，將信息安全風險評估作為一項重要的舉措;2004年1月9日，黃菊同志在關于“全面加強信息安全保障工作，促進信息化健康發展”的講話中，提出了“抓緊研究制定基礎信息網絡和重要信息系統風險評估的管理規范，并組織力量提供技術支持。根據風險評估結果，進行相應等級的安全建設和管理，特別是對涉及國家機密的信息系統，要按照黨和國家有關保密規定進行保護。對涉及國計民生的重要信息系統，要進行必要的信息安全檢查。”的明確要求,黨中央、國務院高度重視網絡與信息安全工作,黨的十六屆四中全會，更是把信息安全和政治安全、經濟安全、文化安全放在同等重要的位置并列提出，這在我們黨的歷史上是前所未有的。,開展信息安全風險評估工作的重要意義,如何確切掌握網絡和信息系統的安全程度、分析安全威脅來自何方、安全風險有多大，加強信息安全保障工作應采取哪些措施，要投入多少人力、財力和物力；確定已采取的信息安全措施是否有效以及提出按照相應信息安全等級進行安全建設和管理的依據等一系列具體問題。風險評估是解決上述問題的重要方法和基礎性工作。系統的安全性可通過風險大小來度量,科學地分析系統在保密性、完整性、可用性等方面所面臨的威脅，發現系統安全的主要問題和矛盾，就能夠在安全風險的預防、減少、轉移、補償和分散等之間做出決策，最大限度地控制和化解安全威脅。,開展信息安全風險評估工作的概況,調查研究階段標準草案編制階段全國試點工作階段,調查研究階段,2003年7月組建成立“信息安全風險評估課題組”，對信息安全風險評估工作的現狀進行全面深入了解，提出我國開展信息安全風險評估的對策和辦法，為下一步信息安全的建設和管理做準備。2003年8月至12月,課題組先后對四個地區(北京、廣州、深圳和上海)，十幾個行業的50多家單位進行了深入細致的調查與研究，召開了9次座談會，經過四個多月的努力,完成了約十萬字的信息安全風險評估調查報告、信息安全風險評估研究報告文稿；其中信息安全風險評估研究報告列為2004年1月全國信息安全保障會議的傳閱文件。,信息安全風險評估調查報告認為,各單位對信息安全風險評估的重視程度與信息化程度成正比關系,信息安全風險評估調查報告認為,國內現階段信息安全風險評估狀況國內部門、地區和單位現階段風險評估狀況可分為以下幾類：一是有認識、有行動、有措施、有效果；二是有認識、有行動、但措施不當；三是有認識、無行動、無措施；四是無認識、無行動、無措施。部門、地區和單位發展不平衡。行業單位重視風險評估的一個重要原因是“安全事件驅動”。,信息安全風險評估調查報告認為,信息安全風險評估不規范。目前國內現在還沒有一個典型意義上、系統、完整的信息安全風險評估。有的風險評估往往只給出一個籠統的報告；有的只是用技術工具測一測，沒有系統規范評論，而且對于風險評估需要分級分類的觀點也未達成共識；由于沒有評估標準,對同一個系統評估,不同評估單位得出不同的評估結果。,信息安全風險評估調查報告認為,存在的主要問題1、無組織管理機構2、法制建設欠缺3、管理標準與技術標準滯后4、風險評估人才匱乏,4、風險評估人才匱乏,信息安全風險評估研究報告指出,1、信息系統的安全性可以通過風險的大小來度量,通過科學地分析系統在保密性、完整性、可用性等方面所面臨的威脅，發現系統安全的主要問題和矛盾，就能夠在安全風險的預防、減少、轉移、補償和分散等之間做出決策，最大限度地控制和化解安全威脅。,信息安全風險評估研究報告指出,2、信息安全風險評估是解決如何確切掌握網絡和信息系統的安全程度、分析安全威脅來自何方、安全風險有多大，加強信息安全保障工作應采取哪些措施，要投入多少人力、財力和物力,確定已采取的信息安全措施是否有效以及提出按照相應信息安全等級進行安全建設和管理的依據等一系列具體問題的重要方法和基礎性工作。,信息安全風險評估研究報告指出,3、信息安全風險評估工作則是指依據國家有關信息安全技術標準，對信息系統及由其處理、傳輸和存儲的信息的保密性、完整性和可用性等安全屬性進行科學評價的過程，它要評估信息系統的脆弱性、信息系統面臨的威脅以及脆弱性被威脅源利用后所產生的實際負面影響，并根據安全事件發生的可能性和負面影響的程度來識別信息系統的安全風險。,信息安全風險評估研究報告提出,1、風險評估是信息系統安全的基礎性工作信息安全中的風險評估是傳統的風險理論和方法在信息系統中的運用，是科學地分析和理解信息與信息系統在保密性、完整性、可用性等方面所面臨的風險，并在風險的減少、轉移和規避等風險控制方法之間做出決策的過程。風險評估將導出信息系統的安全需求，因此，所有信息安全建設都應該以風險評估為起點。信息安全建設的最終目的是服務于信息化，但其直接目的是為了控制安全風險。,信息安全風險評估研究報告提出,2、風險評估是分級防護和突出重點的具體體現信息安全建設必須從實際出發，堅持分級防護、突出重點。風險評估正是這一要求在實際工作中的具體體現。從理論上講，不存在絕對的安全，實踐中也不可能做到絕對安全，風險總是客觀存在的。安全是風險與成本的綜合平衡。盲目追求安全和完全回避風險是不現實的，也不是分級防護原則所要求的。要從實際出發，堅持分級防護、突出重點，就必須正確地評估風險，以便采取有效、科學、客觀和經濟的措施。,信息安全風險評估研究報告認為,1、加強風險評估工作是當前信息安全工作的客觀需要和緊迫需求。2、風險評估工作當前是要加快法制建設和技術標準建設；3、加強風險評估核心技術研究與攻關，重點發展具有自主知識產權的相關技術和產品，為國家基礎信息網絡和重要信息系統的風險評估提供自主可控的工具、模型與實用技術；4、加強信息安全風險意識的宣傳教育，普及信息安全風險評估知識；加快培養信息安全風險評估的專門人才。,信息安全風險評估研究報告建議,1、信息安全風險評估的總體目標是：服務于國家信息化發展，促進信息安全保障體系的建設，提高信息系統的安全保護能力。,信息安全風險評估研究報告建議,2、信息安全風險評估的目的是：認清信息安全環境、信息安全狀況；有助于達成共識，明確責任；采取或完善安全保障措施，使其更加經濟有效，并使信息安全策略保持一致性和持續性。,信息安全風險評估研究報告建議,3、信息安全風險評估的形式是：自評估和安全檢查評估。安全檢查評估由信息安全主管機關或信息系統上級主管機關發起，依據國家風險評估的管理規范和技術標準進行的檢查評估,通過行政手段加強信息安全的重要措施。包括安全保密檢查、生產安全檢查、專項檢查等。自評估是信息系統運營或應用單位依靠自身力量或委托有資質的評估機構，依據國家風險評估的管理規范和技術標準，對自管的信息系統進行風險評估。,信息安全風險評估研究報告建議,4、信息安全風險評估的主要環節是：信息系統在設計階段進行風險評估以確定系統的安全目標；在建設驗收階段進行風險評估以確定系統的安全目標達到與否；在運行維護階段要針對安全形勢和問題,定期或不定期地不斷進行風險評估以確定安全措施的有效性，確保安全保障目標始終如一得以實現。,信息安全風險評估研究報告建議,5、信息安全風險評估的近期工作是：貫徹落實27號文件；建立健全和完善信息系統安全風險評估的工作機制；統籌建設信息安全風險評估的基礎設施和基礎環境。啟動評估工作流程、工作規范標準的研究與制定；推進基礎信息網絡和重要信息系統的風險評估試點示范工作；加強宣傳教育，提高風險意識。,標準草案編制階段,根據信息安全風險評估研究報告近期工作的建議,2004年三月下旬課題組專家經過充分的討論與分析，報國務院信息辦安全組批準,開展了信息安全風險評估指南和信息安全風險管理指南二個規范草案的制定。國家信息中心信息安全研究與服務中心在課題組專家的指導下，組織了近二十家有實際工作經驗的企事業單位約四十多人，開了二十多次工作會議，進行了信息安全風險評估標準規范草案的制定工作；到九月下旬,完成信息安全風險評估指南和信息安全風險管理指南二個規范草案的初稿。2004年全國信息安全標準化技術委員會將信息安全風險評估指南列入2005年度國家信息安全標準制定工作計劃中,將信息安全風險管理指南列入國家信息安全標準研究工作規劃中。,信息安全風險評估指南,信息安全風險評估指南規定了信息安全風險評估的工作流程、評估內容、評估方法和風險判斷準則，適用于信息系統的使用單位進行自我風險評估，以及風險評估機構對信息系統進行獨立的風險評估。主要用以識別信息系統中存在的風險；為確立信息系統安全等級提供參考；指導信息系統的安全管理；為執法部門監督提供參考；信息系統建設完成后，驗收時用于參考；為信息系統業務發生變更時提供安全參考。,信息安全風險評估指南,信息安全風險評估指南分為兩個部分：第一部分：主體部分。主要介紹風險評估的定義、風險評估的模型以及風險評估的實施過程。對資產、威脅和脆弱性的識別進行了詳細的描述，同時描述了風險評估在信息系統生命周期中的作用，以及風險評估的不同形式。指南將原則性與可操作性進行有機的結合，既為風險評估的實施者、信息安全管理人員以及相關人員提供風險評估的依據，同時也力求避免評估過程的僵化。第二部分：附錄部分。包括信息安全風險評估的方法、工具介紹和一個實施案例。目的是使用戶了解到風險評估方法的多樣性和靈活性。,信息安全風險管理指南,信息安全風險管理指南定義了信息安全風險管理的內容和過程。風險管理的目的和意義是風險管理可使信息系統的主管者和運營者在安全措施的成本與資產價值之間尋求平衡，并最終通過對支持其使命的信息系統及數據進行保護而提高其使命能力。風險管理由三個部分組成：風險評估、風險減緩以及基于風險的決策。風險評估過程將全面評估信息系統的資產、威脅、脆弱性以及現有的安全措施，分析安全事件發生的可能性以及可能的損失，從而確定信息系統的風險，并判斷風險的優先級，建議處理風險的措施。基于風險評估的結果，風險處理過程將考察信息安全措施的成本，選擇合適的方法處理風險，將風險控制到可接受的程度。基于風險的決策是風險管理的最后過程，旨在由信息系統的主管者或運營者判斷殘余風險是否處在可接受的水平之內。基于這一判斷，主管者或運營者將做出決策，決定是否允許信息系統運行。,全國試點工作階段,2005年春節前夕，國務院信息辦安全組決定在前兩年課題組風險評估研究工作的基礎上，由國務院信息辦組織,在北京市、上海市、黑龍江省、云南省、人民銀行、國家稅務總局、國家電力總公司和國家信息中心八個部門開展風險評估試點工作，目的是在現有基礎信息網絡和重要信息系統的管理體制下，探索如何推進開展信息安全風險評估工作，檢驗草擬的國家標準草案的可行性與可用性，為推廣信息安全風險評估工作和國家出臺相關政策文件做前期準備。,全國試點工作階段,在試點工作中將解決和搞清楚以下問題：1、探索信息安全風險評估管理機制的建設，研究如何落實中辦發27號文件“誰主管誰負責誰運營誰負責”的原則，包括信息安全風險評估的領導體制、協調機制、審查與批準、監管、督察和備案等內容；明確信息安全風險評估的角色、責任、方法、過程及結果2、摸索協同開展風險評估工作和信息安全等級保護工作、保密檢查工作的實踐經驗；3、完善信息安全風險評估管理規范與技術標準；4、了解信息安全檢查評估和自評估模式的效果與不足；5、完善國家相關政策文件。