1、我看信息安全風險評估工作我看信息安全風險評估工作寧家駿（國家信息中心）2005.10提綱提綱o信息安全與風險評估信息安全與風險評估o風險評估貴在探索風險評估貴在探索o努力研發符合我國特色的評估體系努力研發符合我國特色的評估體系o安全保密需要風險評估安全保密需要風險評估克服安全克服安全“亞健康亞健康”的必由之的必由之路路o醫學專家告訴我們：醫學專家告訴我們：n人的軀體有健康、亞健康和患病等多種狀態人的軀體有健康、亞健康和患病等多種狀態n但成年人多數處于亞健康狀態但成年人多數處于亞健康狀態n如何確認和發現問題，必須體檢如何確認和發現問題，必須體檢o信息系統也一樣，在安全狀態方面，常常處信息系統也一

2、樣，在安全狀態方面，常常處于于“亞健康亞健康”甚至患病狀態，因此也要甚至患病狀態，因此也要“體體檢檢”這就是風險評估這就是風險評估環境和背景環境和背景o近年來，我國經濟社會持續快速發展發展，信息化步伐加近年來，我國經濟社會持續快速發展發展，信息化步伐加快，在促進經濟發展、調整經濟結構、改造傳統產業和提快，在促進經濟發展、調整經濟結構、改造傳統產業和提高人民生活質量等方面發揮了不可替代的重要作用。一方高人民生活質量等方面發揮了不可替代的重要作用。一方面社會經濟對信息化的依賴程度越來越高，同時逐步建設面社會經濟對信息化的依賴程度越來越高，同時逐步建設和積累了一批寶貴的信息資產。和積累了一批寶貴的信

3、息資產。 o與之而來的各類計算機犯罪及與之而來的各類計算機犯罪及“黑客黑客”攻擊網絡事件屢有攻擊網絡事件屢有發生，手段也越來越高技術化，從而對各國的主權、安全發生，手段也越來越高技術化，從而對各國的主權、安全和社會穩定構成了威脅。和社會穩定構成了威脅。 o計算機互聯網絡涉及社會經濟生活各個領域，并直接與世計算機互聯網絡涉及社會經濟生活各個領域，并直接與世界相聯，可以說是國家的一個政治界相聯，可以說是國家的一個政治“關口關口”，一條經濟，一條經濟“命脈命脈”。網絡與信息安全已上升為一個事關國家政治穩。網絡與信息安全已上升為一個事關國家政治穩定、社會安定、經濟有序運行和社會主義精神文明建設的定、社

4、會安定、經濟有序運行和社會主義精神文明建設的全局性問題。全局性問題。 風險評估是一種方法和依據風險評估是一種方法和依據o信息安全風險是由于資產的重要性，人為或自然的威信息安全風險是由于資產的重要性，人為或自然的威脅利用信息系統及其管理體系的脆弱性，導致安全事脅利用信息系統及其管理體系的脆弱性，導致安全事件一旦發生所造成的影響。信息安全風險評估是指依件一旦發生所造成的影響。信息安全風險評估是指依據有關信息安全技術與管理標準，對信息系統及由其據有關信息安全技術與管理標準，對信息系統及由其處理、傳輸和存儲的信息的機密性、完整性和可用性處理、傳輸和存儲的信息的機密性、完整性和可用性等安全屬性進行評價的

5、過程。它要評估資產面臨的威等安全屬性進行評價的過程。它要評估資產面臨的威脅以及威脅利用脆弱性導致安全事件的可能性，并結脅以及威脅利用脆弱性導致安全事件的可能性，并結合安全事件所涉及的資產價值來判斷安全事件一旦發合安全事件所涉及的資產價值來判斷安全事件一旦發生對組織造成的影響，即信息安全的風險。生對組織造成的影響，即信息安全的風險。o信息安全風險評估是信息系統安全保障機制建立過程信息安全風險評估是信息系統安全保障機制建立過程中的一種評價方法，其結果為信息安全風險管理提供中的一種評價方法，其結果為信息安全風險管理提供依據。依據。風險評估的理念風險評估的理念o安全需要風險管理，信息安全更需要安全需要

6、風險管理，信息安全更需要風險管理風險管理o風險評估是當前解決信息安全問題的風險評估是當前解決信息安全問題的重要手段重要手段安全措施安全措施 抵御業務戰略業務戰略脆弱性脆弱性安全需求安全需求威脅威脅風險風險殘余風險殘余風險安全事件安全事件依賴具有被滿足利用暴露降低增加加依賴增加導出演變 未被滿足未控制可能誘發殘留成本資產資產資產價值資產價值風險要素關系示意圖風險要素關系示意圖風險分析的基本要素風險分析的基本要素o風險分析中要涉及資產、威脅、脆弱風險分析中要涉及資產、威脅、脆弱性等基本要素。性等基本要素。o每個要素有各自的屬性每個要素有各自的屬性n資產的屬性是資產價值；資產的屬性是資產價值；n威脅

7、的屬性是威脅出現的頻率；威脅的屬性是威脅出現的頻率；n脆弱性的屬性是資產弱點的嚴重程度脆弱性的屬性是資產弱點的嚴重程度。否是否是風險評估準備已有安全措施的確認風險計算風險是否接受保持已有的安全措施施施施選擇適當的安全措施并評估殘余風險實施風險管理脆弱性識別威脅識別資產識別是否接受殘余風險 風險分析評估過程文檔評估過程文檔風險評估文件記錄評估結果文檔 風險評估實施流程示意圖風險評估實施流程示意圖風險分析主要內容o對資產進行識別，并對資產的重要性進行賦值；對資產進行識別，并對資產的重要性進行賦值；o對威脅進行識別，描述威脅的屬性，并對威脅出現的頻對威脅進行識別，描述威脅的屬性，并對威脅出現的頻率賦

8、值；率賦值；o對資產的脆弱性進行識別，并對具體資產的脆弱性的嚴對資產的脆弱性進行識別，并對具體資產的脆弱性的嚴重程度賦值；重程度賦值；o根據威脅和脆弱性的識別結果判斷安全事件發生的可能根據威脅和脆弱性的識別結果判斷安全事件發生的可能性；性；o根據脆弱性的嚴重程度及安全事件所作用資產的重要性根據脆弱性的嚴重程度及安全事件所作用資產的重要性計算安全事件的損失；計算安全事件的損失；o根據安全事件發生的可能性以及安全事件的損失，計算根據安全事件發生的可能性以及安全事件的損失，計算安全事件一旦發生對組織的影響，即風險值。安全事件一旦發生對組織的影響，即風險值。不打無準備之仗不打無準備之仗做好準備做好準備

9、o風險評估的準備是整個風險評估過程有效風險評估的準備是整個風險評估過程有效性的保證。在風險評估實施前，應：性的保證。在風險評估實施前，應：n確定風險評估的目標；確定風險評估的目標；n確定風險評估的范圍；確定風險評估的范圍；n組建適當的評估管理與實施團隊；組建適當的評估管理與實施團隊；n選擇與組織相適應的具體的風險判斷方法；選擇與組織相適應的具體的風險判斷方法；n獲得最高管理者對風險評估工作的支持。獲得最高管理者對風險評估工作的支持。風險評估的準備階段風險評估的準備階段o明確目標明確目標n應明確風險評估的目標，為風險評估的過程提供導向。信息系統是重要的應明確風險評估的目標，為風險評估的過程提供導

10、向。信息系統是重要的資產，其機密性、完整性和可用性對于維持競爭優勢、獲利能力、法規要資產，其機密性、完整性和可用性對于維持競爭優勢、獲利能力、法規要求和組織形象是必要的。求和組織形象是必要的。o確定范圍確定范圍n基于風險評估目標確定評估范圍是完成風險評估的前提。風險評估范圍可基于風險評估目標確定評估范圍是完成風險評估的前提。風險評估范圍可能是組織全部的信息及與信息處理相關的各類資產、管理機構，也可能是能是組織全部的信息及與信息處理相關的各類資產、管理機構，也可能是某獨立的系統，關鍵業務流程，與客戶知識產權相關的系統或部門等。某獨立的系統，關鍵業務流程，與客戶知識產權相關的系統或部門等。o組建團

11、隊組建團隊n組建適當的風險評估管理與實施團隊，以支持整個過程的推進，如成立由組建適當的風險評估管理與實施團隊，以支持整個過程的推進，如成立由管理層、相關業務骨干、管理層、相關業務骨干、ITIT技術人員等組成的風險評估小組。評估團隊應技術人員等組成的風險評估小組。評估團隊應能夠保證風險評估工作的有效開展。能夠保證風險評估工作的有效開展。o選擇方法選擇方法n應考慮評估的目的、范圍、時間、效果、人員素質等因素來選擇具體的風應考慮評估的目的、范圍、時間、效果、人員素質等因素來選擇具體的風險判斷方法，使之能夠與組織環境和安全要求相適應。險判斷方法，使之能夠與組織環境和安全要求相適應。o獲得支持獲得支持n

12、上述所有內容確定后應得到組織的最高管理者的支持、批準，并對管理和上述所有內容確定后應得到組織的最高管理者的支持、批準，并對管理和技術人員進行傳達和在組織范圍就風險評估進行培訓技術人員進行傳達和在組織范圍就風險評估進行培訓資產識別o資產是具有價值的信息或資源，是安全策略保護的對象。它能夠以多種形式存在，有無形的、有形的，有硬件、軟件，有文檔、代碼，也有服務、形象等。機密性、完整性和可用性是評價資產的三個安全屬性。信息安全風險評估中資產的價值不僅僅以資產的賬面價格來衡量，而是由資產在這三個安全屬性上的達成程度或者其安全屬性未達成時所造成的影響程度來決定的。安全屬性達成程度的不同將使資產具有不同的價

13、值，而資產面臨的威脅、存在的脆弱性、以及已采取的安全措施都將對資產安全屬性的達成程度產生影響。為此，有必要對組織中的資產進行識別。資產分類o風險評估中，資產大多屬于不同的信息系統，如OA系統、網管系統、業務生產系統等，而且對于提供多種業務的組織，其支持業務持續運行的系統數量可能更多。這時首先需要將信息系統及相關的資產進行恰當的分類，以此為基礎進行下一步的風險評估。在實際工作中，具體的資產分類方法可以根據具體的評估對象和要求，由評估者來靈活把握。o根據資產的表現形式，可將資產分為數據、軟件、硬件、文檔、服務、人員等類。風險評估尚需探索、貴在實踐風險評估尚需探索、貴在實踐o今年我有幸參加了國信辦組

14、織的一些今年我有幸參加了國信辦組織的一些試點工作試點工作o看到了試點單位的成績和取得的經驗，看到了試點單位的成績和取得的經驗，獲益良多獲益良多o也發現了還有不少問題急需探索和研也發現了還有不少問題急需探索和研究究參與了試點咨詢工作o協助修訂協助修訂關于開展信息安全風險評估工作的意見關于開展信息安全風險評估工作的意見，提，提供相關的咨詢和技術支持。供相關的咨詢和技術支持。o參與試點的相關咨詢工作參與試點的相關咨詢工作n1 1、準備階段：組織八個試點單位的相關人員進行培訓，明確風險、準備階段：組織八個試點單位的相關人員進行培訓，明確風險評估流程和風險評估準備階段的任務，協助試點單位制定其風險評評估

15、流程和風險評估準備階段的任務，協助試點單位制定其風險評估實施方案。估實施方案。o標準培訓標準培訓o試點方案編制的培訓試點方案編制的培訓n2 2、實施階段：調研試點方案實施情況，了解試點單位對評估及管、實施階段：調研試點方案實施情況，了解試點單位對評估及管理的流程、方法、工具的使用存在的問題，充實和完善標準。理的流程、方法、工具的使用存在的問題，充實和完善標準。o選擇重點單位進行調研，并對關鍵階段進行蹲點，以切實了解單位試選擇重點單位進行調研，并對關鍵階段進行蹲點，以切實了解單位試點工作過程中存在的問題，為兩個標準的完善提供實踐素材；點工作過程中存在的問題，為兩個標準的完善提供實踐素材；o進行試

16、點中期總結，為指導意見提供階段性素材；進行試點中期總結，為指導意見提供階段性素材；o根據試點單位需求，進行有針對性的培訓和咨詢，協助完成試點工作根據試點單位需求，進行有針對性的培訓和咨詢，協助完成試點工作參與了試點咨詢工作（續）（續）o總結階段：協助國信辦匯總試點工作情況，總總結階段：協助國信辦匯總試點工作情況，總結修改意見，并完善標準。結修改意見，并完善標準。n在各試點單位正式總結之前，召開專家組評審會；在各試點單位正式總結之前，召開專家組評審會；n為國信辦試點工作總結提供基礎素材。為國信辦試點工作總結提供基礎素材。o標準的完善標準的完善n充實和完善充實和完善信息安全風險評估指南信息安全風險

17、評估指南和和信息安信息安全風險管理指南全風險管理指南，通過試點工作提出兩個標準的，通過試點工作提出兩個標準的修改意見。同時進行與標準相關的配套理論、方法修改意見。同時進行與標準相關的配套理論、方法和規范的研究。和規范的研究。試點工作與標準驗證試點工作與標準驗證o試點工作對去年國信辦組織制定的兩項試行標準進試點工作對去年國信辦組織制定的兩項試行標準進行了驗證，提出了修訂建議行了驗證，提出了修訂建議o絕大多數試點單位大都參照了去年國信辦和國家安絕大多數試點單位大都參照了去年國信辦和國家安標委組織編寫的標委組織編寫的信息安全風險評估指南信息安全風險評估指南及及信信息安全風險管理指南息安全風險管理指南

18、。o試點單位大都結合自身的具體情況，選擇了相應的試點單位大都結合自身的具體情況，選擇了相應的評估方法和適當的安全控制措施及管理流程，實踐評估方法和適當的安全控制措施及管理流程，實踐經驗證明各試點單位評估基于的基本原則和核心方經驗證明各試點單位評估基于的基本原則和核心方法與試行標準指南大體吻合一致。法與試行標準指南大體吻合一致。 收獲和體會收獲和體會o提高了對風險評估工作的認識和理解提高了對風險評估工作的認識和理解n方法科學、機制長效方法科學、機制長效o為國信辦風險評估工作文件起草積累了素材為國信辦風險評估工作文件起草積累了素材o檢驗了標準，兩項試行標準得到了基本肯定檢驗了標準，兩項試行標準得到

19、了基本肯定o初步規范了評估內容，演練了評估的實施流初步規范了評估內容，演練了評估的實施流程程o體現了創新，積累了成果，培訓了人才體現了創新，積累了成果，培訓了人才試點工作技術上特點o方法科學，積極探索方法科學，積極探索o既注意了統一規范，又堅持了方法的多樣性既注意了統一規范，又堅持了方法的多樣性n注意遵循和驗證標準（討論稿）注意遵循和驗證標準（討論稿）n試行了部分評估技術方法，重視了評估的科學試行了部分評估技術方法，重視了評估的科學性性n評估方法的百花齊放和創新性評估方法的百花齊放和創新性o注意控制了評估自身的風險注意控制了評估自身的風險o及時總結經驗和問題及時總結經驗和問題典型方法之一：綜合

20、風險計算法典型方法之一：綜合風險計算法o評估過程規范化評估過程規范化n摸清家底：劃分資產類型，建立重要資產清單，摸清家底：劃分資產類型，建立重要資產清單，識別資產重要性識別資產重要性n分析威脅和分析脆弱性兩種途徑分析威脅和分析脆弱性兩種途徑n按層次分析脆弱性按層次分析脆弱性n判定安全時間及其影響判定安全時間及其影響n計算威脅風險值計算威脅風險值n制定風險控制措施制定風險控制措施典型方法之一：計算系統綜合風險（續）典型方法之一：計算系統綜合風險（續）o資產綜合風險計算三種做法資產綜合風險計算三種做法n選擇該資產中分析風險最高的作為風險，乘以資產值，選擇該資產中分析風險最高的作為風險，乘以資產值，

21、作為該資產風險作為該資產風險n將資產中每一威脅的風險之于資產值相乘，得到多個資將資產中每一威脅的風險之于資產值相乘，得到多個資產的風險值產的風險值n構建模型，進行綜合計算構建模型，進行綜合計算o綜合風險：綜合風險：nR=VR=V* *c cR Rtiti* *Q Qc c+A AR Rtiti* *Q QA A+I IR Rtiti* *Q Qi i n其中其中R:R:總風險，總風險，V:V:該資產得分，該資產得分， 為威脅累計為威脅累計nC:C:機密性，機密性，I:I:完整性，完整性，A:A:可用性可用性典型方法之二：差距分析典型方法之二：差距分析o風險評估方法風險評估方法- -差距分析法差

22、距分析法n建立分析模型建立分析模型o在風險評估中通過識別、判斷和分析目標系統在風險評估中通過識別、判斷和分析目標系統的安全現狀與安全要求之間的差距確定系統風的安全現狀與安全要求之間的差距確定系統風險的分析方法。也就是說，目標系統的可接受險的分析方法。也就是說，目標系統的可接受風險和系統殘余風險間的差距就是系統存在的風險和系統殘余風險間的差距就是系統存在的風險風險。構建差距分析法模型 o 風險分析模型風險分析模型差距分析法的實施路徑差距分析法的實施路徑o步驟一步驟一 : :調研目標系統狀況調研目標系統狀況o步驟二：確定信息系統安全要求步驟二：確定信息系統安全要求n任務任務1 1：確定信息系統安全

23、等級：確定信息系統安全等級n任務任務2 2：確定和規范化描述信息系統的安全要求：確定和規范化描述信息系統的安全要求o步驟三：評估信息系統安全現狀步驟三：評估信息系統安全現狀n任務任務1 1：信息系統安全現狀評估報告：信息系統安全現狀評估報告o步驟四：對信息安全風險進行差距分析和風險計算步驟四：對信息安全風險進行差距分析和風險計算n任務任務1 1：評估信息系統安全現狀對信息系統安全要求的符合程度，：評估信息系統安全現狀對信息系統安全要求的符合程度，即信息系統現有安全措施在當前系統運行環境下是否滿足其安全即信息系統現有安全措施在當前系統運行環境下是否滿足其安全要求要求n任務任務2 2：對信息系統安

24、全執行能力進行評估，評估信息系統安全：對信息系統安全執行能力進行評估，評估信息系統安全級（包括技術架構能力級、工程能力級和管理能力級的評定）級（包括技術架構能力級、工程能力級和管理能力級的評定）, ,與要達到目標的安全等級與要達到目標的安全等級o步驟五：用戶根據信息系統安全風險評估的結果進行風險控制，步驟五：用戶根據信息系統安全風險評估的結果進行風險控制，形成滿足其信息系統安全要求的信息系統安全保障能力形成滿足其信息系統安全要求的信息系統安全保障能力。典型方法之三：量化風險典型方法之三：量化風險o對風險量化計算方法進行擴展對風險量化計算方法進行擴展n風險的計算方法目前還沒有明細的技術標準，風險

25、的計算方法目前還沒有明細的技術標準，通常效果比較好的計算方式為：通常效果比較好的計算方式為：nR RA AT TV=EV=E* *D D；T=TsT=Ts* *TfTf，E EA ATsTs，D= TfD= Tf* * V Vn其中其中R R為風險值，為風險值， A A為資產價值，為資產價值，T T為威脅值，為威脅值，V V為脆弱性值，為脆弱性值，E E為資產損失產生的影響，為資產損失產生的影響，D D為資為資產暴露程度，產暴露程度，TsTs為威脅的嚴重程度，為威脅的嚴重程度，TfTf為威脅為威脅發生的可能性。發生的可能性。典型方法之三：量化風險（續）典型方法之三：量化風險（續）o在本次試點中

26、，結合試點單位評估實踐經驗、以及在本次試點中，結合試點單位評估實踐經驗、以及行業管理特性，有的試點單位對風險計算方法進行行業管理特性，有的試點單位對風險計算方法進行了如下的擴展：了如下的擴展：n其中：其中：c c代表代表“機密性方面的機密性方面的”、i i代表代表“完整完整性方面的性方面的”、a a代表代表“可用性方面的可用性方面的”，t t代表代表“技術方面的技術方面的”、m m代表代表“管理方面的管理方面的”、o o代代表表“運維方面的運維方面的”、W W為技術、運維和管理脆弱為技術、運維和管理脆弱性之間的相關性，性之間的相關性，Wt Wt 、Wm Wm 、Wo Wo 之和等于之和等于1

27、1。oaoiocmamimctaVVVVVVVVVtitcaicAAAaicTTTomtWWWR典型方法之四：面向關鍵信息資產的評估方法典型方法之四：面向關鍵信息資產的評估方法 （續）（續）o威脅路徑分析法威脅路徑分析法o面向關鍵信息資產的層次分析法面向關鍵信息資產的層次分析法o利用等級保護支撐平臺的評估方法利用等級保護支撐平臺的評估方法 試點工作出現了一批成果試點工作出現了一批成果o上海市的風險評估管理軟件上海市的風險評估管理軟件n評估模型和方法的創新與探索評估模型和方法的創新與探索o北京市利用了已有的工具平臺，形成了評估北京市利用了已有的工具平臺，形成了評估輔助工具平臺輔助工具平臺o黑龍江

28、提出了基于模糊綜合判定理論的風險黑龍江提出了基于模糊綜合判定理論的風險評估判定方法評估判定方法o既有量化的探索，也有定性為主的探索既有量化的探索，也有定性為主的探索o云南提出了增加業務流分析和已有控制措施云南提出了增加業務流分析和已有控制措施的有效性識別或判定的有效性識別或判定試點工作出現了一批成果（續）試點工作出現了一批成果（續）o國家稅務總局提出了差距分析法，細化了流國家稅務總局提出了差距分析法，細化了流程程o國電公司提出了符合行業特點的方法，初步國電公司提出了符合行業特點的方法，初步形成了行業安全評估方法論，涵蓋了安全定形成了行業安全評估方法論，涵蓋了安全定義、安全評測和風險分析的全過程

29、義、安全評測和風險分析的全過程試點工作發現的問題試點工作發現的問題o技術技術n評測工具，評測工具， 缺乏統一的要求和資質認定缺乏統一的要求和資質認定n模擬環境或聯機旁路測試環境的不完備和缺乏模擬環境或聯機旁路測試環境的不完備和缺乏n測試深度的不平衡測試深度的不平衡o管理管理o標準規范標準規范n試行標準指南總體得到肯定，但尚需進一步完善試行標準指南總體得到肯定，但尚需進一步完善下一步建議下一步建議o認真總結經驗認真總結經驗o統一規劃、建立制度。制定國家基礎網絡和重要信息系統的風統一規劃、建立制度。制定國家基礎網絡和重要信息系統的風險評估總體規劃以及險評估總體規劃以及“十一五十一五”期間的工作計劃

30、。積極推進風期間的工作計劃。積極推進風險評估基本管理制度的建立；應盡快就國家基礎信息網絡和重險評估基本管理制度的建立；應盡快就國家基礎信息網絡和重要信息系統風險評估工作所涉及的領導體制、協調機制、認證要信息系統風險評估工作所涉及的領導體制、協調機制、認證與認可、監管和督察、評估時間、評估對象、評估范圍、評估與認可、監管和督察、評估時間、評估對象、評估范圍、評估方式、評估人員資質、評估結果發布和備案等內容，進一步開方式、評估人員資質、評估結果發布和備案等內容，進一步開展研究，形成風險評估工作管理法規制度展研究，形成風險評估工作管理法規制度o加快建立、逐步完善標準規范體系。標準規范是推廣和實施風加快建立、逐步完善標準規范體系。標準規范是推廣和實施風險評估工作的法律依據和技術保障，要加快風險評估管理與技險評估工作的法律依據和技術保障，要加快風險評估管理與技術標準的制定和完善，術標準的制定和完善， 研究評估機構服務標準、資質認可與資