曲成義研究員提升信息安全風(fēng)險評估意識

強(qiáng)化信息安全保障體系建設(shè)1信息安全面臨的威脅網(wǎng)上黑客與計算機(jī)欺詐網(wǎng)絡(luò)病毒的蔓延和破壞有害信息內(nèi)容污染與輿情誤導(dǎo)機(jī)要信息流失與“諜件”潛入內(nèi)部人員誤用、濫用、惡用IT產(chǎn)品的失控（分發(fā)式威脅）物理臨近式威脅網(wǎng)上恐怖活動與信息戰(zhàn)網(wǎng)絡(luò)的脆弱性和系統(tǒng)漏洞2網(wǎng)絡(luò)突發(fā)事件正在引起全球關(guān)注2000年2月7日美國網(wǎng)上恐怖事件造成巨大損失

（DDos、八大重要網(wǎng)站、$12億美元）2001年日本東京國際機(jī)場航管失靈，影響巨大

（紅色病毒、幾百架飛機(jī)無法起降、千人行程受阻）2003年美國銀行的ATM網(wǎng)遭入侵，損失慘重

（Slammer、幾十億美元）

2004年震蕩波幾天波及全球2005年CardSystem公司4000萬張卡用戶信息被盜

（美國最大的竊密事件、植入特洛伊木馬、假冒消費）網(wǎng)絡(luò)正在成為恐怖組織聯(lián)絡(luò)和指揮工具（911、倫敦事件）9.11事件造成世貿(mào)中心1200家企業(yè)信息網(wǎng)絡(luò)蕩然無存

（有DRP/NCP的400家企業(yè)能夠恢復(fù)和生存）網(wǎng)絡(luò)輿情的爆發(fā)波及到物理社會的穩(wěn)定信息網(wǎng)絡(luò)的失竊密事件層出不窮3我國網(wǎng)絡(luò)信息安全入侵事件態(tài)勢嚴(yán)竣(CNCERT/CC05年度報告數(shù)據(jù))

收到信息安全事件報告12萬件(04年的2倍)監(jiān)測發(fā)現(xiàn)2萬臺計算機(jī)被木馬遠(yuǎn)程控制(04年的2倍)發(fā)現(xiàn)1.4萬個網(wǎng)站遭黑客篡改,其中政府網(wǎng)站2千(04年的2倍)網(wǎng)絡(luò)釣魚(身份竊取)事件報告400件(04年的2倍)監(jiān)測發(fā)現(xiàn)70萬臺計算機(jī)被植入諜件(源頭主要在國外)發(fā)現(xiàn)僵尸網(wǎng)絡(luò)143個(受控計算機(jī)250萬臺)4互聯(lián)網(wǎng)信息安全威脅的某些新動向

僵尸網(wǎng)絡(luò)威脅興起諜件泛濫值得嚴(yán)重關(guān)注網(wǎng)絡(luò)釣魚的獲利動機(jī)明顯網(wǎng)頁篡改(嵌入惡意代碼),誘人上當(dāng)DDoS開始用于敲詐

木馬潛伏孕育著殺機(jī)獲利和竊信傾向正在成為主流5領(lǐng)導(dǎo)重視、管理較嚴(yán)、常規(guī)的系統(tǒng)和外防機(jī)制基本到位深層隱患值得深思

內(nèi)控機(jī)制脆弱高危漏洞存在信息安全域界定與邊控待探索風(fēng)險自評估能力弱災(zāi)難恢復(fù)不到位用戶自控權(quán)不落實----------“重要信息系統(tǒng)”安全態(tài)勢與深層隱患（案例考察）6國家信息化領(lǐng)導(dǎo)小組第三次會議《關(guān)于加強(qiáng)信息安全保障工作的意見》—中辦發(fā)[2003]27號文—

堅持積極防御、綜合防范全面提高信息安全防護(hù)能力

重點保障信息網(wǎng)絡(luò)和重要信息系統(tǒng)安全創(chuàng)建安全健康的網(wǎng)絡(luò)環(huán)境保障和促進(jìn)信息化發(fā)展、保護(hù)公眾利益、維護(hù)國家安全立足國情、以我為主、管理與技術(shù)并重、統(tǒng)籌規(guī)劃、突出重點

發(fā)揮各界積極性、共同構(gòu)筑國家信息安全保障體系

7國家信息安全保障工作要點

實行信息安全等級保護(hù)制度：風(fēng)險與成本、資源優(yōu)化配置、安全風(fēng)險評估

基于密碼技術(shù)網(wǎng)絡(luò)信任體系建設(shè)：密碼管理體制、身份認(rèn)證、授權(quán)管理、責(zé)任認(rèn)定

建設(shè)信息安全監(jiān)控體系：提高對網(wǎng)絡(luò)攻擊、病毒入侵、網(wǎng)絡(luò)失竊密、有害信息的防范能力

重視信息安全應(yīng)急處理工作：指揮、響應(yīng)、協(xié)調(diào)、通報、支援、抗毀、災(zāi)備

推動信息安全技術(shù)研發(fā)與產(chǎn)業(yè)發(fā)展：關(guān)鍵技術(shù)、自主創(chuàng)新、強(qiáng)化可控、引導(dǎo)與市場、測評認(rèn)證、采購、服務(wù)

信息安全法制與標(biāo)準(zhǔn)建設(shè)：信息安全法、打擊網(wǎng)絡(luò)犯罪、標(biāo)準(zhǔn)體系、規(guī)范網(wǎng)絡(luò)行為

信息安全人材培養(yǎng)與增強(qiáng)安全意識：學(xué)科、培訓(xùn)、意識、技能、自律、守法

信息安全組織建設(shè)：信息安全協(xié)調(diào)小組、責(zé)任制、依法管理8國家信息安全保障工作高層會議(2004.1.9)

信息安全的重要性：IT增長25%、GDP的6%、強(qiáng)烈依賴

信息安全的重大案例信息安全存在的問題

一個并重、兩手抓、三個同步新思路、新眼光，建立信息安全保障體系

關(guān)鍵技術(shù)產(chǎn)品要自主可控認(rèn)真落實中央27號文件9《國家信息安全戰(zhàn)略報告》

—國信[2005]2號文—

維護(hù)國家在網(wǎng)絡(luò)空間的根本利益確保國家的經(jīng)濟(jì)、政治、文化和信息的安全三大信息基礎(chǔ)設(shè)施、八大重要信息系統(tǒng)、信息內(nèi)容信息安全基礎(chǔ)支撐能力信息安全防護(hù)與對抗能力網(wǎng)絡(luò)突發(fā)事件快速反應(yīng)能力網(wǎng)絡(luò)輿情駕馭能力綜合治理、協(xié)調(diào)聯(lián)動、群防群治政策、標(biāo)準(zhǔn)、管理、技術(shù)、產(chǎn)業(yè)、人材、理論

構(gòu)筑國家信息安全保障體系信息安全長效機(jī)制信息安全戰(zhàn)略的主動權(quán)------

10《2006-2020年年國家信息化化發(fā)展戰(zhàn)略》》—中辦[2006]11號文—第(八)部分分:“建建設(shè)國家信息息安全保障體體系”實現(xiàn)信息化與與信息安全協(xié)協(xié)調(diào)發(fā)展增強(qiáng)信息基礎(chǔ)礎(chǔ)設(shè)施和重要要信息系統(tǒng)抗抗毀能力增強(qiáng)國家信息息安全保障能能力研究國際信息息安全先進(jìn)理理論、先進(jìn)技技術(shù)掌握核心安全全技術(shù)、提高高關(guān)鍵設(shè)備裝裝備能力促進(jìn)我國信息息安全技術(shù)和和產(chǎn)業(yè)的自主主發(fā)展完善國家信息息安全長效機(jī)機(jī)制------11“信息安全””內(nèi)涵保值威脅威脅發(fā)起者資產(chǎn)擁有者對策脆弱性風(fēng)險系統(tǒng)資產(chǎn)使命貶值利用增加濫用與破壞發(fā)現(xiàn)意識到減少降低合法與可用？12信息安全概念念演變早期：通信保保密階段（ComSec），通信內(nèi)內(nèi)容保密為主主中期：信息安安全階段（InfoSec），信息息自身的靜態(tài)態(tài)防護(hù)為主近期：信息保保障階段（InformationAssurance—IA），強(qiáng)調(diào)動態(tài)的、、縱深的、生生命周期的、、整個信息系系統(tǒng)資產(chǎn)的信信息對抗。我們當(dāng)前所指指“信息安全全”=““信息保障””，即“在整個生命命周期中，處處在縱深防御御和動態(tài)對抗抗的信息系統(tǒng)統(tǒng)，為保障其其中數(shù)據(jù)及服服務(wù)的完整性性、保密性、、可用性（防防拒絕和破壞壞）、真實性性（交互雙方方的數(shù)據(jù)、人人員的身份和和權(quán)限、設(shè)施施的鑒別）、、可控性（監(jiān)監(jiān)控、審計、、取證、防有有害內(nèi)容傳播播）、可靠靠性而抵制各各類威脅所提提供的一種能能力13信息系統(tǒng)安全全整體對策(一)構(gòu)建信息安全保障障體系(二)作好信息安全風(fēng)險險評估14(一)構(gòu)建信息安全保障障體系15電子政務(wù)安全全保障體系框框架安全法規(guī)安全管理安全標(biāo)準(zhǔn)安全工程與服務(wù)安全基礎(chǔ)設(shè)施安全技術(shù)與產(chǎn)品16信息安全法規(guī)規(guī)《關(guān)于開展信信息安全風(fēng)險險評估工作的的意見》（國信辦[2005]1號號文）《信息安全等等級保護(hù)管理理辦法（試行行）》（公通字[2006]7號文）《中華人民共共和國保守國國家秘密法》》(在修訂)《信息安全法法》（信息安全管理理條例）《電子簽名法法》（2005年年4月1日實實施）------------17行政管理體制制:國家網(wǎng)絡(luò)信息息安全協(xié)調(diào)小小組，部門，，地區(qū)技術(shù)管理體制制:CSO信息系統(tǒng)安全全管理準(zhǔn)則（（ISO17799））--GBxxxx管理策略組織與人員資產(chǎn)分類與安安全控制配置與運行網(wǎng)絡(luò)信息安全全域與通信安安全異常事件與審審計信息標(biāo)記與文文檔物理與環(huán)境開發(fā)與維護(hù)作業(yè)連續(xù)性保保障符合性信息安全組織織管理18國家信息安全全標(biāo)準(zhǔn)化委員員會安全功能定義義安全要素設(shè)計計：物理、網(wǎng)絡(luò)、、系統(tǒng)、應(yīng)用用、管理全程安全控制制風(fēng)險全程管理理安全有效評估估強(qiáng)壯性策略（02.4.15成立.十個工作組組）標(biāo)準(zhǔn)體系與協(xié)協(xié)調(diào)（含可信信計算）涉密信息系統(tǒng)統(tǒng)保密密碼算法與模模塊PKI/PMI安全評估應(yīng)急處理安全管理(風(fēng)風(fēng)險評估)電子證據(jù)身份標(biāo)識與鑒鑒別操作系統(tǒng)與數(shù)數(shù)據(jù)國家報批搞16項、送審審稿25項、、研制近70項19信息系統(tǒng)安全全工程和服務(wù)務(wù)安全需求分析析：威脅，弱點，，風(fēng)險，資產(chǎn)產(chǎn)、使命、對對策、安全體系結(jié)構(gòu)構(gòu)與功能定義義安全要素設(shè)計計：物理、網(wǎng)絡(luò)、、系統(tǒng)、應(yīng)用用、管理安全系統(tǒng)構(gòu)構(gòu)建與集成管管理服務(wù)全程的信息安安全風(fēng)險評估估信息系統(tǒng)強(qiáng)強(qiáng)壯性策略、、（ISSE，，IATF，，CC，TESEC）20信息加密技術(shù)術(shù)（對稱、公開開、可恢復(fù)、、量子、隱藏藏)鑒別與認(rèn)證（口令/密碼碼、動態(tài)口令令/ToKen、CA/簽名、物物理識別）訪問控制技術(shù)術(shù)（ACL、RBAC、DAC、MAC、能力表表、AA）網(wǎng)絡(luò)邊界安全全技術(shù)（FW、Proxy、NG、GAP、UTM））病毒防治技術(shù)術(shù)（防、查、殺殺、清）網(wǎng)絡(luò)隱患掃描描與發(fā)現(xiàn)（缺陷、后門門、嵌入、惡惡意代碼）內(nèi)容識別與過過濾技術(shù)（關(guān)鍵字、特特征、上下文文、自然語言言）主機(jī)內(nèi)控防護(hù)護(hù)技術(shù)（監(jiān)控、檢測測、防泄、管管理、審計））信息安全技術(shù)術(shù)領(lǐng)域21信息安全風(fēng)險險評估技術(shù)（收集、分析析、檢測、滲滲透、管理））網(wǎng)絡(luò)檢測、預(yù)預(yù)警和攻擊技技術(shù)（IDS、Agent、、面防、追蹤蹤、反擊、陷陷阱）“內(nèi)容”產(chǎn)權(quán)權(quán)保護(hù)技術(shù)（數(shù)字水印、、安全容器、、加密、簽名名）“安全基”技技術(shù)（補(bǔ)丁、配置置、清除、監(jiān)監(jiān)視、加固、、監(jiān)視、升級級）審計與取證（全局審計、、審計保護(hù)、、反向工程、、恢復(fù)提取））備份與容災(zāi)（SAN、NAS、集群、、冗余、鏡象象）可信計算（TCG、TCPA、TSS、TPM、TWC、----）信息安全集成成管理（信息共享、、協(xié)同聯(lián)動、、策略牽引））信息安全技術(shù)術(shù)領(lǐng)域22信息網(wǎng)絡(luò)安全全域縱深防御御框架核心內(nèi)網(wǎng)局域計算環(huán)境境（安全域a））專用外網(wǎng)局域計算環(huán)境境（安全域m））公共服務(wù)網(wǎng)局域計算環(huán)境境（安全域n））Internet、TSP、PSTN、VPN網(wǎng)絡(luò)通信基礎(chǔ)礎(chǔ)設(shè)施（光纖、無線線、衛(wèi)星）信息安全基礎(chǔ)礎(chǔ)設(shè)施(PKI、PMI、KMI、CERT、DRI)網(wǎng)絡(luò)安全邊界界23EG用主流的的信息安全產(chǎn)產(chǎn)品防范外部入侵侵類放火墻、防病病毒、入侵檢檢測、物理隔離防控內(nèi)部作案案類強(qiáng)審計、主機(jī)機(jī)內(nèi)控、主機(jī)機(jī)安保、系統(tǒng)級安全類類加密、鑒別、授權(quán)、掃描描、災(zāi)備、過濾、物理安全、集集成管理、安全測評24信息安全基礎(chǔ)礎(chǔ)設(shè)施的支撐撐數(shù)字證書認(rèn)證證體系（CA/PKI））網(wǎng)絡(luò)應(yīng)急支援援體系（CERT）災(zāi)難恢復(fù)基礎(chǔ)礎(chǔ)設(shè)施（DRI）病毒防治服務(wù)務(wù)體系（AVERT）產(chǎn)品與系統(tǒng)安安全檢測、評評估體系（CC/TCSEC）密鑰管理基礎(chǔ)礎(chǔ)設(shè)施（KMI）授權(quán)管理基礎(chǔ)礎(chǔ)設(shè)施（AA/PMI））信息安全事件件通報與會商商體系網(wǎng)絡(luò)監(jiān)控與預(yù)預(yù)警體系信息保密檢查查體系信息安全偵控控體系網(wǎng)絡(luò)輿情掌控控與治理體系系25信息安全保障障體系建設(shè)的的目標(biāo)1）增加信息息網(wǎng)絡(luò)四種安安全能力信息安全防護(hù)護(hù)能力隱患發(fā)現(xiàn)能力力網(wǎng)絡(luò)應(yīng)急反應(yīng)應(yīng)能力信息對抗能力力2）保障信息息及其服務(wù)具具有六性保密性、完整整性、可用性性、真實性、可核核查性（可控控性）、可靠靠性26(二)作好信息安全風(fēng)險險評估27提升信息安全全風(fēng)險評估意意識社會、經(jīng)濟(jì)、、政治、文化化對信息化的的強(qiáng)烈依賴作業(yè)連續(xù)性保保障（BCM/BCP））引起普遍關(guān)關(guān)注信息安全保障障體系建設(shè)（（IA）成為為焦點實施信息安全全的風(fēng)險管理理正在被認(rèn)同同提升信息安全全風(fēng)險評估意意識和能力是是當(dāng)務(wù)之急信息安全風(fēng)險險評估既是信息安全全建設(shè)的起點也覆蓋終生創(chuàng)建一個安全全的信息化環(huán)環(huán)境保障信息化健健康發(fā)展28威脅脆弱性防護(hù)措施風(fēng)險資產(chǎn)防護(hù)需求價值抗擊利用增加增加暴露被滿足引出增加擁有風(fēng)險管理要素素關(guān)系圖29信息系統(tǒng)安全全風(fēng)險管理比較和對比可用攻擊研究敵方行為理論開創(chuàng)任務(wù)影響理論比較和對比各種行為行動決策對策識別與特征描述任務(wù)關(guān)鍵性參數(shù)權(quán)衡脆弱性與攻擊的識別與特征描述威脅的識別與特征描述任務(wù)影響的識別與描述基礎(chǔ)研究與事事件分離系統(tǒng)改進(jìn)風(fēng)險分析30信息系統(tǒng)安全全風(fēng)險評估的的特征信息系統(tǒng)是一一個巨型復(fù)雜雜系統(tǒng)（系統(tǒng)統(tǒng)要素、安全全要素）信息系統(tǒng)受制制于外部因素素（物理環(huán)境境、行政管理理、人員）信息系統(tǒng)安全全風(fēng)險評估是是一項系統(tǒng)工工程發(fā)現(xiàn)隱患、采采取對策、提提升強(qiáng)度、總總結(jié)經(jīng)驗自評估、委托托評估、檢察察評估31信息系統(tǒng)安全全評估目的提供采取降低影響完成保護(hù)安全保證技術(shù)提供者系統(tǒng)評估者安全保證信心風(fēng)險對策資產(chǎn)使命資產(chǎn)擁有者價值給出證證據(jù)生成保保證具有32信息安安全風(fēng)風(fēng)險評評估是是提升升信息安安全體體系強(qiáng)強(qiáng)度重重要保保證信息系系統(tǒng)資資產(chǎn)是是有價價資產(chǎn)產(chǎn)脆弱性性/威威脅脅力力力圖使使資產(chǎn)產(chǎn)貶值值影響/風(fēng)風(fēng)險分分析風(fēng)險評評估：：發(fā)現(xiàn)、、預(yù)防防、降降低、、轉(zhuǎn)移移、補(bǔ)補(bǔ)償、、承受受采取措措施以以提升升系統(tǒng)統(tǒng)安全全強(qiáng)度度保護(hù)信信息系系統(tǒng)資資產(chǎn)價價值（（保密性性、完完整性性、可可用性性）完成系系統(tǒng)的的使命命33信息系系統(tǒng)生生命周周期中中安安全保保障與與評估估策劃與組織開發(fā)與采購信息系統(tǒng)安全保障與評估實施與交付運行與維護(hù)更新與廢棄34國家對對信息息安全全風(fēng)險評評估工工作高度重重視國信辦辦[2005]5號號文件件<信息息系統(tǒng)統(tǒng)風(fēng)險險評估估試點點工作作方案案>“國信信辦””與““安標(biāo)標(biāo)委””《信息安安全風(fēng)險評評估規(guī)規(guī)范》》（GB/T報報批稿稿）“國信信辦””抓緊風(fēng)風(fēng)險評評估試試點、、宣貫貫和推推廣（（05、06年年）“保密密局””涉密信信息領(lǐng)領(lǐng)域風(fēng)風(fēng)險評評估規(guī)規(guī)范”科科技部部“信息安安全風(fēng)險評評估方方法、、工具具、模模型研研制35國內(nèi)信信息安安全評評估機(jī)機(jī)構(gòu)的的現(xiàn)狀狀國家信信息安安全標(biāo)標(biāo)準(zhǔn)化化委員員會（（“信信息安安全評評估工工作組組-WG5）國家信信息安安全測測評中中心（（信息息技術(shù)術(shù)安全全性評評估準(zhǔn)準(zhǔn)則-GB/T18336）（EG信息系系統(tǒng)安安全保保障評評估準(zhǔn)準(zhǔn)則））公安部部（計計算機(jī)機(jī)信息息系統(tǒng)統(tǒng)安全全保護(hù)護(hù)等級級劃分分準(zhǔn)則則-GB17859-1999）（計算算機(jī)信信息系系統(tǒng)安安全等等級保保護(hù)通通用技技術(shù)要要求-GA/T390-2002）國家保保密局局（涉涉及國國家秘秘密的的計算算機(jī)信信息系系統(tǒng)安安全保保密測測評指指南-BMZ3-2001）北京市市信息息辦（（黨政政機(jī)關(guān)關(guān)信息息系統(tǒng)統(tǒng)安全全測評評規(guī)范范）上海市市信息息辦（（信息息系統(tǒng)統(tǒng)安全全測評評規(guī)范范）解放軍軍（信信息系系統(tǒng)安安全評評估規(guī)規(guī)范））其它36建立國國家信信息安安全評評估體體系信息安安全評評估標(biāo)標(biāo)準(zhǔn)和和規(guī)范范體系系IT產(chǎn)產(chǎn)品、、IT系統(tǒng)統(tǒng)、IT服服務(wù)信息安安全評評估監(jiān)監(jiān)管體體系對評估估組織織與評評估行行為的的監(jiān)管管(等等級,資質(zhì)質(zhì),規(guī)規(guī)則)信息安安全評評估組組織體體系，，在認(rèn)認(rèn)監(jiān)委委、信信息辦辦領(lǐng)導(dǎo)導(dǎo)下認(rèn)可機(jī)構(gòu)認(rèn)證機(jī)構(gòu)評估技術(shù)支援中心（實驗室）專家委員會檢測、評估機(jī)構(gòu)檢測、評估機(jī)構(gòu)評估操作層技術(shù)支持層認(rèn)證層認(rèn)可監(jiān)管層37國際信信息系系統(tǒng)安安全測測評狀狀況NIACAPDICSCAPNSTISSIFIPS102行業(yè)與與企業(yè)業(yè)的風(fēng)風(fēng)險評評估投投入明明顯（1%———5%）38信息系系統(tǒng)安安全評評估方方法定性分分析與與定量量結(jié)合合評估機(jī)機(jī)構(gòu)與與評估估專家家結(jié)合合評估考考查與與評估估檢測測結(jié)合合技術(shù)安安全與與管理理安全全結(jié)合合39信息系系統(tǒng)安安全分分析與與檢測測管理安安全分分析組織、、人員員、制制度、、資產(chǎn)產(chǎn)控制制、物物理、、操作作、連連續(xù)性性、應(yīng)應(yīng)急過程安安全分分析威脅、、風(fēng)險險、脆脆弱性性、需需求、、策略略、方方案、、符合合性分發(fā)、、運行行、維維護(hù)、、更新新、廢廢棄技術(shù)安安全分分析與與檢測測安全機(jī)機(jī)制、、功能能和強(qiáng)強(qiáng)度分分析網(wǎng)絡(luò)設(shè)設(shè)施、、安全全設(shè)施施及主主機(jī)配配置安安全分分析網(wǎng)絡(luò)設(shè)設(shè)備和和主機(jī)機(jī)設(shè)備備脆弱弱性分分析系統(tǒng)穿穿透性性測試試40風(fēng)險評評估實實施步步驟(1)風(fēng)風(fēng)險險評估估的準(zhǔn)準(zhǔn)備(2)資資產(chǎn)識識別(3)威威脅識識別(4)脆脆弱性性識別別(5)已已有安安全措措施的的確認(rèn)認(rèn)(6)風(fēng)風(fēng)險分分析(7)風(fēng)風(fēng)險評評估文文件記記錄(8)風(fēng)風(fēng)險評評估對對策41風(fēng)險評評估流流程42風(fēng)險分分析示示意圖圖43風(fēng)險評評估工工具（1））風(fēng)險險評估估管理理工具具基于安安全標(biāo)標(biāo)準(zhǔn)、、基于于知識識、基基于模模型采點、、收集集、描描述、、分析析（2））風(fēng)風(fēng)險評評估檢檢測工工具脆弱性性掃描描：網(wǎng)網(wǎng)絡(luò)、、主機(jī)機(jī)、數(shù)數(shù)據(jù)庫庫、網(wǎng)網(wǎng)站、、滲透性性測試試：黑黑客、、病毒毒、木木馬、、諜件件、劫劫持、、拒絕絕、破破譯（3））風(fēng)風(fēng)險評評估輔輔助工工具入侵檢檢測、、安全全審計計、拓拓?fù)浒l(fā)發(fā)現(xiàn)、、資產(chǎn)產(chǎn)收集集知識庫庫、漏漏洞庫庫、算算法庫庫、模模型庫庫、指指標(biāo)庫庫44信息安安全風(fēng)險評評估試試點成成效顯顯著（（05年））提高了了風(fēng)險險意識識、、培育育自評評估能能力（（8個個試點點、幾幾千人人日））三要素素的識識別與與賦值值能力力有所所提高高、（（并探探索行行業(yè)細(xì)細(xì)則））發(fā)現(xiàn)和和消除除大量量隱患患、提提升了了安全全強(qiáng)度度（表表層與與深層層）采用了了多種種評估估模式式并總總結(jié)經(jīng)經(jīng)驗（（自評評、委委托、、檢查查）實效性性/關(guān)鍵鍵性/涉涉密性性/常常規(guī)性性等等系統(tǒng)統(tǒng)的分分類類指導(dǎo)導(dǎo)風(fēng)險評評估方方法、、工具具、平平臺有有所創(chuàng)創(chuàng)新應(yīng)急予予案、、離線線評估估、管管理軟軟件、、識別別知識識化、、多種種評估估方法法—----評估過過程的的風(fēng)險險控制制對策策（管管理、、協(xié)議議、技技術(shù)、、機(jī)制制）全程的的風(fēng)險險評估估分類類試點點（規(guī)規(guī)劃、、設(shè)計計、實實施、、運行行、更更新））評估協(xié)協(xié)同機(jī)機(jī)制的的探索索（業(yè)業(yè)主、、建設(shè)設(shè)、評評估三三方協(xié)協(xié)同））體系與與深層層隱患患的評評估開開始引引起重重視45信息安安全風(fēng)險評評估試試點狀狀況（（06年））正在制制訂培培訓(xùn)計計劃、、提高高風(fēng)險險意識識和和培育育自評評估能能力策劃宣宣貫國國家信信息安安全風(fēng)風(fēng)險評評估規(guī)規(guī)范、、并探探索行行業(yè)細(xì)細(xì)則出臺臺政政府府相相關(guān)關(guān)風(fēng)風(fēng)險險評評估估的的規(guī)規(guī)定定（（政政府府令令））制訂訂部部門門和和地地區(qū)區(qū)的的全全局局評評估估計計劃劃和和選選擇擇試試范范點點推動動屬屬地地原原則則和和縱縱向向支支持持的的原原則則組織織培培訓(xùn)訓(xùn)信信息息安安全全評評估估人人才才和和組組建建隊隊伍伍探索索各各種種評評估估模模式式的的試試點點采采用用（（自自評評、、委