信息平安風險評估技術簡介寧家駿〔國家信息中心信息平安研究與效勞中心〕2005.12

提綱一、信息平安形勢需要評估二、信息化風險及風險管理研究三、信息平安風險評估技術導引四、信息平安風險評估試點經驗珍貴加強信息平安保障工作是當前形勢的需要落實27號文件，一手抓信息化，一手抓平安，誰主管誰負責，誰運營誰負責積極防御、綜合防范重點保障網絡根底設施和重要信息系統的平安正確處理等級保護與風險評估的關系加強信息平安根底設施建設我國信息平安問題的突出表現病毒肆虐、黑客侵擾、系統故障等造成的經濟損失呈逐年增長態勢境外敵對勢力利用信息通訊網絡造謠誹謗、組織發動、煽動鬧事和破壞；國外反華勢力加大對我意識形態和文化滲透。不良和有害信息屢禁不止，利用信息網絡技術從事犯罪活動日益猖獗，網絡群體層出不窮，網上輿論傳播直接影響社會穩定。通訊與信息網絡上失密、泄密及竊密事件時有發生。直接影響到政府管理效率和公眾形象。環境和背景近年來，我國經濟社會持續快速開展開展，信息化步伐加快，在促進經濟開展、調整經濟結構、改造傳統產業和提高人民生活質量等方面發揮了不可替代的重要作用。一方面社會經濟對信息化的依賴程度越來越高，同時逐步建設和積累了一批珍貴的信息資產。與之而來的各類計算機犯罪及“黑客〞攻擊網絡事件屢有發生，手段也越來越高技術化，從而對各國的主權、平安和社會穩定構成了威脅。計算機互聯網絡涉及社會經濟生活各個領域，并直接與世界相聯，可以說是國家的一個政治“關口〞，一條經濟“命脈〞。網絡與信息平安已上升為一個事關國家政治穩定、社會安定、經濟有序運行和社會主義精神文明建設的全局性問題。我國面臨的信息平安問題的性質我國面臨的信息平安問題已不再是一個局部性和技術性的問題，而是一個跨領域、跨行業、跨部門的綜合性平安問題。它不僅是一個“不對稱〞的高技術對抗問題，而且是一個直接影響國計民生、關乎國家平安與政權穩定的現實問題。確保信息網絡平安也正在成為新世紀國家平安的重要基石和根本內涵。病毒等網絡欺詐行為導致全球經濟損失驚人最近Gartner組織公布了一項研究報告：每年由于病毒等網絡欺詐行為導致全球經濟損失高達160多億美元。“表哥，你最近還好嗎？知道我是誰嗎？看了我的相片你就知道了！〞這是在上海某銀行上班的楊先生收到一封郵件，誰知郵件還未翻開，電腦出現了黑屏。楊先生還沒有弄清是哪個“表妹〞發來的玉照便喪失了大量銀行保密資料，給單位造成的損失無法估量。去年6月浙江警方破獲一起“黑客竊取網游密碼案〞，單單一個黑客就竊取網游賬號6萬多個，價值上百萬元。去年6月3日至9月19日，就發現較大規模僵尸網絡59個，平均每天發現3萬個受黑客控制的“僵尸〞計算機。包含間諜軟件、惡意插件和瀏覽器劫持在內的流氓軟件也大行其道，它們侵入用戶電腦安裝插件和后門程序，竊取個人信息，一年之內使自己的流量上升600%；而通過設立搏彩、低價網絡購物等欺詐性網站直接騙取用戶錢財等等，更是數不勝數。從鴆酒到慢藥：“混合性威脅〞的時代已經到來根據IDC最新的調查結果，如今計算機用戶面臨的三項最嚴重的平安威脅依次是垃圾郵件、DdoS攻擊和網上欺詐。與前些年平安威脅大多來自病毒和蠕蟲等的大規模猛烈爆發不同，近年來各種各樣的“諜件〞或惡意代碼開始在網上肆虐，其瘋狂程度已超過了傳統的病毒威脅。倘假設把病毒比作劇毒的鴆酒，那么“間諜軟件〞就如同小說里的“慢藥〞，毒性更強，中毒后還不易被覺察。由于利益驅動，“間諜軟件〞大都采用巧妙的形式潛伏于用戶的個人電腦中，它們更難被被發現，卻能竊取用戶珍貴個人資料，以非法獲利，這就是“網上欺詐〞。今天用戶面對的平安威脅更復雜，經常是由多種善變的威脅組成的“混合型威脅〞，包括病毒、蠕蟲、間諜軟件、拒絕效勞攻擊等。網絡平安問題正日益嚴峻。科研、產業與服務體系技術與管理標準體系國家信息平安保障體系

提綱一、信息平安形勢依然嚴峻二、信息化風險及風險管理研究三、信息平安風險評估技術導引四、信息平安風險評估試點經驗珍貴二、信息化風險及風險管理研究隨著信息化的開展，信息化的風險與風險管理問題已經成為各個國家、國際組織所普遍關注的問題。信息化的風險管理，其中信息平安風險和保障網絡空間的平安已經成為關系信息化能否健康開展的重大問題。2.1信息化風險的定義風險指行動或者事件的結果的不確定性〔uncertaintyofoutcome〕。信息化的風險被界定為信息化可能或者實際帶來的消極威脅。風險管理泛指評估風險、確認風險、回應風險的過程。2.2信息平安根本屬性機密性Confidentiality完整性Integrity可用性Availability2.3信息化風險的主要特征

全球性傳染性復雜性隱蔽性

信息平安范疇平安組織訪問控制業務不間斷運轉物理平安等等……入侵預防與檢測2.4信息化風險的內在原因

根本原因在于內因，由信息化自身的特點所決定：第一，信息化的無疆界特征；第二，信息化的低本錢特征；第三，信息化的開放性特征；第四，信息化的匿名性特征。第一，自然災害；第二，誤操作和平安生產事故；第三，病毒、蠕蟲以及網絡攻擊；第四，由于信任體系不完善，借助信息化手段進行欺詐；第五，因內部因素而造成的信息、數據的修改和喪失和內部泄密；；第六，因外部因素造成信息、數據的泄露、篡改和喪失；第七，平安防范措施不到位的高端技術。2.5信息化風險的外部原因2.6我國信息平安風險的生成機理第一，戰略能力缺乏，規劃不明確。〔1〕缺乏工程的建設戰略〔2〕缺乏工程的中長期開展規劃〔3〕缺乏明確工程的開展步驟〔4〕缺乏工程的階段性績效標準第二，領導與組織能力不到位，統籌協調不力領導對于風險管理的重視缺乏，無視信息化工程的風險問題；信息化目標的錯誤設定，片面追求某些指標，無視質量；信息孤島問題以及跨部門之信息化進程的協調問題；信息平安總體設計不到位；工程建設規劃、評估和監理存在缺位和缺乏2.6我國信息平安風險的生成機理〔續〕第三，信息化管理的能力差，管理體系不成熟。〔1〕對信息化管理的理念認識和關注缺乏；〔2〕管理根底〔包括信息化建設中決策機制、信息透明和公開、實施過程的監督等〕不完善；〔3〕缺乏信息化建設周期中質量控制和評估標準；2.6我國信息平安風險的生成機理〔續〕第四，平安子系統建設資金的預算和管理能力差〔1〕對信息系統未作風險評估和分析，平安子系統建設投資預算缺乏科學依據或過度保護或保護不力；〔2〕總體資金支持缺乏；〔3〕信息平安投資的回報難以監控和評估。2.6我國信息平安風險的生成機理〔續〕第五，人力資源缺乏〔1〕缺乏信息平安風險管理的人員〔2〕缺乏具備信息平安管理能力和資格的人員；〔3〕培訓滯后于工程，培訓效果差。2.6我國信息平安風險的生成機理〔續〕第六，法規、標準與政策滯后于信息化開展相關法制工作滯后于信息化建設需求；首先，缺乏對信息化的全面立法支持，缺乏保障政府信息化的根本法律，如政府信息公開法、政府信息資源管理法。其次，原有的一些法律已不能適應信息化時代的要求，如著作權法、專利法、刑法等，亟待修訂。再次，缺乏對信息平安風險的管理標準和技術標準。2.6我國信息平安風險的生成機理〔續〕第七，保護隱私，數據平安，技術管理方面的缺乏。在泄露隱私方面：〔1〕不當授權他人或機構濫用用戶信息；〔2〕未遵循法律或法規制定相應的隱私和記錄管理政策。在影響數據平安方面：〔1〕工作人員對平安因素和措施缺乏足夠認知；〔2〕難以解決相關平安問題；〔3〕病毒或黑客攻擊導致系統癱瘓；〔4〕由于一個主要系統癱瘓導致其它系統的失靈。2.6我國信息平安風險的生成機理〔續〕

提綱一、信息平安形勢需要評估二、信息化風險及風險管理研究三、信息平安風險評估技術導引四、信息平安風險評估試點經驗珍貴克服平安“亞健康〞的必由之路醫學專家告訴我們：人的軀體有健康、亞健康和患病等多種狀態但成年人多數處于亞健康狀態如何確認和發現問題，必須體檢信息系統也一樣，在平安狀態方面，常常處于“亞健康〞甚至患病狀態，因此也要“體檢〞—這就是風險評估居安思危，思那么有備溫總理：清醒就是要認識到我們已經取得的成績，只是在現代化的進程邁出了第一步，今后的路還更長，更艱苦。形勢稍好，尤需兢慎。思所以危那么安，思所以亂那么治，思所以亡那么存。?左傳?云：“居安思危，思那么有備，有備無患，敢以此規。〞平安風險評估同樣蘊涵了這一思想。曾有一個關于名醫扁鵲的傳說。扁鵲有兄弟三人，有一次齊國國君問他：“其孰最善為醫？〞扁鵲答：兩個哥哥都在自己之上。齊王不解。扁鵲說：兩個哥哥都是治大病于小恙，或者防病于未然，而他是直到病人病情完全顯露，才能加以診治。扁鵲的話告訴我們一個簡單的道理：事后控制不如事中控制，事中控制不如事前控制。健康平安是這樣，網絡信息平安亦然。風險評估的理念平安需要風險管理，信息平安更需要風險管理風險評估是當前解決信息平安問題的重要手段風險評估是一種方法和依據信息平安風險是由于資產的重要性，人為或自然的威脅利用信息系統及其管理體系的脆弱性，導致平安事件一旦發生所造成的影響。信息平安風險評估是指依據有關信息平安技術與管理標準，對信息系統及由其處理、傳輸和存儲的信息的機密性、完整性和可用性等平安屬性進行評價的過程。它要評估資產面臨的威脅以及威脅利用脆弱性導致平安事件的可能性，并結合平安事件所涉及的資產價值來判斷平安事件一旦發生對組織造成的影響，即信息平安的風險。信息平安風險評估是信息系統平安保障機制建立過程中的一種評價方法，其結果為信息平安風險管理提供依據。信息平安風險評估的概念風險評估是對系統進行信息平安風險管理的根底，也是系統的使用單位或組織判定在系統的整個生命周期中，有關風險級別的過程。其結果是殘留風險是否到達可接受水平的一個明確界定，或者是一個是否應當實施額外的平安控制以進一步降低風險的結論。信息平安風險定義為有害事件發生的可能性和該事件可能對組織的使命所產生影響的函數。為了確定這種可能性，需要對系統的威脅以及由此表現出來的脆弱性進行分析。影響那么是按照系統在單位任務實施中的重要程度來確定的。對風險評估總體要求的理解風險評估工作總體要求是：充分發揮和調動各方面力量，運用風險管理的思想，通過風險評估，控制和降低風險，全面提高信息系統防護能力，滿足信息平安需求，逐步建成有中國特色的風險評估體系。評估我國根底信息網絡和重要信息系統，掌握我國根底信息網絡和重要信息系統的平安狀態，及時采取適宜的應對措施，保障它們的正常運行。通過對國家級重點電子政務系統、電子商務系統以及重要信息根底設施的風險評估工作，從中摸索經驗，不斷探索，逐步完善我國風險評估工作的管理機制。風險管理貫穿于信息系統生命周期的整個過程風險管理是管理者權衡保護措施的運行和經濟本錢與獲得的收益之間關系的一個過程。這個過程并不是IT行業所獨有的，實際上它普及我們日常生活中需要做出決定的任何事情。進行風險管理的最終目的就是要在這種平衡關系下，將風險最小化，這也是在信息系統生命周期過程中需要實施信息平安風險管理的根本原因。所有與平安性相關的活動都是信息平安風險管理的組成局部。可以說，信息平安風險管理貫穿于系統生命周期的整個過程，即初始階段、開發/獲取階段、實施階段、運行/維護階段。

美國NIST提出的信息系統平安框架風險評估的過程安全措施

抵御業務戰略脆弱性安全需求威脅風險殘余風險安全事件依賴具有被滿足利用暴露降低增加加依賴增加導出演變

未被滿足未控制可能誘發殘留成本資產資產價值風險要素關系示意圖信息系統平安評估體系的構成風險分析的根本要素風險分析中要涉及資產、威脅、脆弱性等根本要素。每個要素有各自的屬性資產的屬性是資產價值；威脅的屬性是威脅出現的頻率；脆弱性的屬性是資產弱點的嚴重程度。資產識別資產是具有價值的信息或資源，是平安策略保護的對象。它能夠以多種形式存在，有無形的、有形的，有硬件、軟件，有文檔、代碼，也有效勞、形象等。機密性、完整性和可用性是評價資產的三個平安屬性。信息平安風險評估中資產的價值不僅僅以資產的賬面價格來衡量，而是由資產在這三個平安屬性上的達成程度或者其平安屬性未達成時所造成的影響程度來決定的。平安屬性達成程度的不同將使資產具有不同的價值，而資產面臨的威脅、存在的脆弱性、以及已采取的平安措施都將對資產平安屬性的達成程度產生影響。為此，有必要對組織中的資產進行識別。資產識別資產定義資產是企業、機構直接賦予了價值因而需要保護的東西。它可能是以多種形式存在，有無形的、有有形的，有硬件、有軟件，有文檔、代碼，也有效勞、企業形象等。通常信息資產的機密性、完整性和可用性是公認的能夠反映資產平安特性的三個要素。資產還具有很強的時間特性，它的價值和平安屬性都會隨著時間的推移發生變化，所以應該根據時間變化的頻度制定資產相關的評估和平安策略的頻度。資產分類在一般的評估體中，資產大多屬于不同的信息系統，如OA系統，網管系統，業務生產系統等。這時首先需要將信息系統及其中的信息資產進行恰當的分類，才能在此根底上進行下一步的風險評估工作。資產賦值資產賦值是對資產平安價值的估價資產分類風險評估中，資產大多屬于不同的信息系統，如OA系統、網管系統、業務生產系統等，而且對于提供多種業務的組織，其支持業務持續運行的系統數量可能更多。這時首先需要將信息系統及相關的資產進行恰當的分類，以此為根底進行下一步的風險評估。在實際工作中，具體的資產分類方法可以根據具體的評估對象和要求，由評估者來靈活把握。根據資產的表現形式，可將資產分為數據、軟件、硬件、文檔、效勞、人員等類。威脅識別威脅定義平安威脅是對機構及其資產構成潛在破壞的可能性因素或者事件。無論對于多么平安的信息系統，平安威脅是一個客觀存在的事物，它是風險評估的重要因素之一。威脅分類威脅賦值：評估確定威脅發生的可能性是威脅評估階段的重要工作，評估者應根據經驗和〔或〕有關的統計數據來判斷威脅發生的頻率或者發生的概率。其中，威脅發生的可能性受以下因素影響：1、資產的吸引力；2、資產轉化成報酬的容易程度；3、威脅的技術力量；4、脆弱性被利用的難易程度。脆弱性識別脆弱性定義脆弱性評估也稱為弱點評估，是風險評估中重要的內容。弱點是資產本身存在的，它可以被威脅利用、引起資產或商業目標的損害。弱點包括物理環境、機構、過程、人員、管理、配置、硬件、軟件和信息等各種資產的脆弱性。脆弱性識別將針對每一項需要保護的信息資產，找出每一種威脅所能利用的脆弱性，并對脆弱性的嚴重程度進行評估，為其賦相對等級值。脆弱性識別所采用的方法主要為：問卷調查、人員問詢、工具掃描、手動檢查、文檔審查、滲透測試等。脆弱性分類脆弱性主要從技術和管理兩個方面進行評估，其中在技術方面主要是通過遠程和本地兩種方式進行系統掃描；管理脆弱性評估方面可以按照BS7799等標準的平安管理要求對現有的平安管理制度及其執行情況進行檢查，發現其中的管理漏洞和缺乏。脆弱性賦值風險識別風險計算風險計算原理形式化描述為：R=f(A,V,T)=f(Ia,L(Va,T))注：R表示風險；A表示資產；V表示脆弱性；T表示威脅；Ia表示資產發生平安事件后對機構業務的影響(也稱為資產的重要程度)；Va表示某一資產本身的脆弱性，L表示威脅利用資產的脆弱性造成平安事件發生的可能性。不打無準備之仗—做好準備風險評估的準備是整個風險評估過程有效性的保證。在風險評估實施前，應：確定風險評估的目標；確定風險評估的范圍；組建適當的評估管理與實施團隊；選擇與組織相適應的具體的風險判斷方法；獲得最高管理者對風險評估工作的支持。風險評估的準備風險評估的準備過程是組織進行風險評估的根底，是整個風險評估過程有效性的保證。確定風險評估的目標確定風險評估的范圍建立適當的組織結構建立系統性的風險評估方法獲得最高管理者對風險評估籌劃的批準風險評估依據1、政策法規：中辦發［2003］27號文件和國信辦文件2、國際標準：如BS7799-1?信息平安管理實施細那么?、BS7799-2?信息平安管理體系標準?等3、國家標準或正在審批的討論稿，如GB17859-1999計算機信息系統平安保護等級劃分準那么?和?信息平安風險評估指南?等4、行業通用標準等其它標準風險評估原那么1、可控性原那么〔1〕人員可控性〔2〕工具可控性〔3〕工程過程可控性2、完整性原那么嚴格按照委托單位的評估要求和指定的范圍進行全面的評估效勞。3、最小影響原那么從工程管理層面和工具技術層面，力求將風險評估對信息系統的正常運行的可能影響降低到最低限度。4、保密原那么Recommendations評估現狀確定范圍OrgChartsPolicesITSMOverview報告評審StructuredinterviewsProcessdefinitionsInterviewscheduleProcessrecords評估報告改進工程SIPCustomersurvey評估流程2.5InternalIntegration著重流程內部的集成性2ProcessCapability重視流程執行OtherProcessManagement1.5Mgntintent制定管理規范3.5QualityControl流程質量監控4Mgntinformation提供充分的管理信息Customer1Prerequisites/基本條件4.5ExternalIntegration與其它流程的緊密集成5CustomerInterface流程優化和服務客戶3Products流程的可交付物風險計算模型風險計算模型包含信息資產、弱點/脆弱性、威脅等關鍵要素。每個要素有各自的屬性，信息資產的屬性是資產價值，弱點的屬性是弱點被威脅利用后對資產帶來的影響的嚴重程度，威脅的屬性是威脅發生的可能性。風險計算的過程是：對信息資產進行識別，并對資產賦值；對威脅進行分析，并對威脅發生的可能性賦值；識別信息資產的脆弱性，并對弱點的嚴重程度賦值；根據威脅和脆弱性計算平安事件發生的可能性；結合信息資產的重要性和在此資產上發生平安事件的可能性計算信息資產的風險值。風險結果的判定風險等級的劃分確定風險數值的大小不是機構風險評估的最終目的，重要的是明確不同威脅對資產所產生的風險的相對關系，即要確定不同風險的優先次序或等級，對于其中風險級別高的資產應被優先分配資源進行保護。風險等級建議從1到5劃分為五級。等級越大，風險越高。風險的等級應得到機構管理層的評審并批準。控制措施的選擇剩余風險的評價對于不可接受范圍內的風險，應在選擇了適當的控制措施后，對剩余風險進行評價，判定風險是否已經降低到可接受的水平，為風險管理提供輸入。剩余風險的評價可以依據機構風險評估的準那么進行，考慮選擇的控制措施和已有的控制措施對于威脅發生的可能性的降低。風險評估結果紀錄根據評估實施情況和所搜集到的信息，如資產評估數據、威脅評估數據、脆弱性評估數據等，完成評估報告撰寫。評估報告是風險評估結果的記錄文件，是實施風險管理的主要依據，是對風險評估活動進行評審和認可的根底資料，必須做到有據可查報告主要包括風險評估范圍、風險計算方法、平安問題歸納及描述、風險級數、平安建議、風險控制措施建議、剩余風險描述等。風險評估過程應形成以下文件：風險評估過程方案、風險評估程序、信息資產識別清單、重要信息資產清單、威脅參考列表、脆弱性參考列表、風險評估記錄、風險處理方案：風險評估報告：對整個風險評估過程進行總結，說明機構的風險狀況及剩余風險狀況，通過管理層的評審，確定評估后的風險狀況滿足機構業務開展及其他相關方的要求。信息平安風險評估根本方法手動評估：在風險評估工具出現前，平安評估工作都只能手工進行。其勞動量巨大，容易出現疏漏，而且由于依據各自經驗，有較大的局限性。工具輔助評估工具的出現在一定程度上解決了手動評估的局限性。1985年，英國CCTA開發了CRAMM風險評估工具。遵循BS7799標準。1991年，C&ASystemSecurity公司推出了COBRA工具，用來進行信息平安風險評估。它可以看作一個基于專家系統和擴展知識庫的問卷系統，對所有的威脅和脆弱點評估其相對重要性，并且給出適宜的建議和解決方案，對每個風險類別提供風險分析報告和風險值。技術評估和整體評估技術評估和整體評估技術評估是指對機構的技術根底結構和程序進行系統的、及時的檢查，包括對機構內部計算環境的平安性及其對內外攻擊脆弱性的完整性攻擊。〔1〕評估整個計算根底結構。〔2〕使用軟件工具分析根底結構及其全部組件。〔3〕提供詳細的分析報告，整體風險評估擴展了上述技術評估的范圍，著眼于分析機構內部與平安相關的風險，包括內部和外部的風險源、技術根底和機構結構以及基于電子的和基于人的風險。關注的焦點主要集中在以下4個方面：〔1〕檢查與平安相關的實踐，標識當前平安實踐的優點和弱點。〔2〕包括對系統進行技術分析、對政策進行評審，以及對物理平安進行審查。〔3〕檢查IT的根底結構，以確定技術上的弱點。包括惡意代碼的入侵、數據的破壞或者消滅、信息喪失、拒絕效勞、訪問權限和特權的未授權變更等。〔4〕幫助決策制訂者綜合平衡風險以選擇本錢效益對策定性評估和定量評估定性分析方法是最廣泛使用的風險分析方法。該方法通常只關注威脅事件所帶來的損失〔Loss〕，而忽略事件發生的概率〔Probability〕。多數定性風險分析方法依據機構面臨的威脅、脆弱點以及控制措施等元素來決定平安風險等級。在定性評估時并不使用具體的數據，而是指定期望值，如設定每種風險的影響值和概率值為“高〞、“中〞、“低〞。有時單純使用期望值，并不能明顯區別風險值之間的差異。可以考慮為定性數據指定數值。例如，設“高〞的值為3，“中〞的值為2，“低〞的值為1。但是要注意的是，這里考慮的只是風險的相對等級，并不能說明該風險到底有多大。定量分析方法利用兩個根本的元素：威脅事件發生的概率和可能造成的損失。把這兩個元素簡單相乘的結果稱為ALE〔AnnualLossExpectancy〕或EAC〔EstimatedAnnualCost〕。理論上可以依據ALE計算風險等級，并且做出相應的決策。一種定量風險評估方法首先評估特定資產的價值V然后根據客觀數據計算威脅的頻率P；最后計算威脅影響系數μ，因為對于每一個風險，并不是所有的資產所遭受的危害程度都是一樣的，程度的范圍可能從無危害到徹底危害。根據上述三個參數，計算ALE：ALE＝V×P×μ定量風險分析方法要求特別關注資產的價值和威脅的量化數據，但是這種方法存在一個問題，就是數據的不可靠和不精確。基于知識的評估和基于模型的評估基于知識的風險評估方法主要是依靠經驗進行的，經驗從平安專家處獲取并憑此來解決相似場景的風險評估問題。這種方法的優越性在于能夠直接提供推薦的保護措施、結構框架和實施方案。基于“良好實踐〞的知識評估方法提出重用具有相似性機構〔主要從機構的大小、范圍以及市場來判斷機構是否相似〕的“良好實踐〞。基于知識的風險評估方法充分利用多年來開發的保護措施和平安實踐，依照機構的相似性程度進行快速的平安實施和包裝，以減少機構的平安風險。然而，機構相似性的判定、被評估機構的平安需求分析以及關鍵資產確實定都是該方法的制約點。平安風險評估是一個非常復雜的任務，這要求存在一個方法既能描述系統的細節又能描述系統的整體。基于模型的評估可以分析系統自身內部機制中存在的危險，同時又可以發現系統與外界環境交互中的不正常并有害的行為，從而完成系統弱點和平安威脅的定性分析。系統平安風險動態分析與評估方法信息平安管理是指導和控制機構的關于信息平安風險的相互協調的活動，關于信息平安風險的指導和控制活動通常包括制定信息平安方針、風險評估、控制目標與方式選擇、風險控制、平安保證等。信息平安管理實際上是風險管理的過程，管理的根底是風險的識別和評估。信息平安管理中認為風險的分析與評估是個動態的過程，所以相應得分析與評估方法、評估工具都要表達動態性。PDCA〔PlanDoCheckAction〕是當前代表性的動態風險管理過程，方案〔Plan〕：定義信息平安管理體系得范圍，鑒別和評估業務風險。實施〔Do〕：實施同意的風險治理活動以及適當的控制。檢查〔Check〕：監控控制的績效，審查變化中環境的風險水平，執行內部信息平安管理體系審計。改進〔Action〕：在信息平安管理體系過程方面實行改進，并對控制進行必要的改進，以滿足環境的變化。典型的風險評估方法1FTA故障樹最初是20世紀60年代為便于Minuteman火箭系統的分析而提出的，后來這種方法在航天工業、電子設備、化學工業、機械制造、核工業及一般電站的可靠性分析中得到了廣泛應用，并且取得了不少成果。目前它主要用于分析大型復雜系統的可靠性及平安性，被公認為是對復雜系統可靠性、平安性進行分析的一種有效的方法。故障樹分析是一種top-down方法，通過對可能造成系統故障的硬件、軟件、環境、人為因素進行分析，畫出故障原因的各種可能組合方式和/或其發生概率，由總體至局部，按樹狀結構，逐層細化的一種分析方法。故障樹分析采用樹形圖的形式，把系統的故障與組成系統的部件的故障有機地聯系在一起。典型的風險評估方法〔2〕2FMECAFMECA〔故障模式影響及危害性分析〕由兩局部工作構成，即故障模式影響分析〔FailureModeandEffectsAnalysis─FMEA〕和危害性分析〔CriticalityAnalysis—CA〕。FMECA〔FailureModeEffectsandCriticalityAnalysis〕是一種可靠性、平安性、維修性、保障性分析與設計技術，用來分析、審查系統及其設備的潛在故障模式，確定其對系統和設備工作能力的影響，從而發現設計中潛在的薄弱環節，提出可能采取的預防改進措施，以消除或減少故障發生的可能性，提高系統和設備的可靠性、平安性、維修性、保障性水平。FMECA是一種bottom-up分析方法，按規定的規那么記錄產品設計中所有可能的故障模式，分析每種故障模式對系統的工作及狀態〔包括整體完好、任務成功、維修保障、系統平安等〕的影響并確定單點故障，將每種故障模式按其影響的嚴重度及發生概率排序，從而發現設計中潛在的薄弱環節，提出可能采取的預防改進措施〔包括設計、工藝或管理〕，以消除或減少故障發生的可能性，保證系統的可靠性。典型的風險評估方法〔3〕HazOpHazOp是Hazardandoperabilitystudy的簡稱，即危害及可操作性研究。HazOp分析是由專家組來進行的，它是一種系統潛在危害的結構化檢查方法。專家們通過腦風暴會議方式，確定系統所有可能偏離正常設計的異常運行問題，并分析這種偏離正常運行的原因、可能性和可能造成的后果及后果的嚴重性等。HazOp是一個定性的標準危害分析技術，可用于一個新的系統或已有系統在更改后的初步平安風險評估。HazOp分析方法的主要目標是識別出存在的問題，而不是解決問題。其生成結果是一個可能危害的列表。對每個危害，需要對可能的原因及后果進行進一步地評估。典型的風險評估方法〔4〕4Markov方法有兩個根本的Markov分析方法：Markov鏈和Markov過程。Markov鏈是一個隨機變量的序列，將來的隨機變量只決定于當前的隨機變量，但與當前隨機變量之前的隨機變量無關。這與其他隨機事件是不相同的，因為很多隨機事件將來的事件發生是要受到以前發生事件的影響的，它們前后存在著較大的相關性，不是相互獨立的。Markov鏈可以是齊次的，也可以是非齊次的。齊次的Markov鏈的特征是狀態間的轉移率是常量，而非齊次Markov鏈的特征那么相反，狀態間的轉移率是變量，是時間的函數。Markov模型根據系統的初始配置狀態，估計從一個狀態轉移到下一邏輯狀態的概率，直到系統到達一個最終或完全失效的狀態。Markov過程的一個根本假設是在每個狀態，系統的行為是不會被記憶的。Markov過程完全由其轉移概率矩陣所確定。一個無記憶系統的特征就是系統的將來狀態只取決于其當前狀態，而與過去無關。信息平安風險評估根底環境的準備工具風險評估工具風險計算工具風險評估數據收集工具模擬環境測試平臺

提綱一、信息平安形勢需要評估二、信息化風險及風險管理研究三、信息平安風險評估技術導引四、信息平安風險評估試點經驗珍貴風險評估尚需探索、貴在實踐去年以來我有幸參加了國信辦組織的一些試點工作看到了試點單位的成績和取得的經驗，獲益良多也發現了還有不少問題急需探索和研究試點工作目的試點工作的目的是:在現有管理體制下，摸索如何開展信息平安風險評估工作，檢驗草擬的風險評估相關標準標準的可行性與可用性，為全面推廣信息平安風險評估工作和國家出臺有關文件做前期準備。在試點工作中將探討以下問題：探索風險評估管理機制的建設，研究如何落實中辦發27號文件“誰主管誰負責誰運營誰負責〞的原那么，包括信息平安風險評估的領導體制、協調機制、審查與批準、監管、督察和備案等內容；明確信息平安風險評估的角色、責任、方法、過程及結果摸索協同開展風險評估工作和信息平安等級保護工作、保密檢查工作的實踐經驗；檢驗和完善信息平安風險評估管理標準與技術標準；了解信息平安檢查評估和自評估模式的效果與缺乏；選擇試點單位1、條件試點單位的信息化系統已具有一定的規模，試點單位應具備自己的技術一定的、專業隊伍和評估實踐經驗。2、范圍信息化程度較高的行業部門的信息系統，如金融、稅務、電力；建設開展中的電子政務重要信息系統；局部涉密信息系統；信息化程度不同的地方單位。專家組提出建議，協助國信辦確定試點入選單位。試點工作與標準驗證試點工作對去年國信辦組織制定的兩項試行標準進行了驗證，提出了修訂建議絕大多數試點單位大都參照了去年國信辦和國家安標委組織編寫的?信息平安風險評估指南?及?信息平安風險管理指南?。試點單位大都結合自身的具體情況，選擇了相應的評估方法和適當的平安控制措施及管理流程，實踐經驗證明各試點單位評估基于的根本原那么和核心方法與試行標準指南大體吻合一致。收獲和體會提高了對風險評估工作的認識和理解—科學方法、長效機制為國信辦風險評估工作文件起草積累了素材檢驗了標準，兩項試行標準得到了肯定初步標準了評估內容，演練了評估的實施流程試行了局部評估技術方法，重視了評估的科學性評估方法的百花齊放和創新性表達了創新，積累了成果，培訓了人才試點工作技術上特點方案比較周密注意控制了評估自身的風險注意遵循和驗證標準討論稿及時總結經驗和問題始終重視人才培養在技術上通過評估方法的多樣化，進行了有益的探索試點工作出現了一批成果上海市的風險評估管理軟件評估模型和方法的創新與探索北京市利用了已有的工具平臺，形成了評估輔助工具平臺黑龍江提出了基于模糊綜合判定理論的風險評估判定方法既有量化的探索，也有定性為主的探索云南提出了增加業務流分析和已有控制措施的有效性識別或判定試點工作出現了一批成果〔續〕國家稅務總局提出了差距分析法，細化了流程國電公司提出了符合行業特點的方法，初步形成了行業平安評估方法論，涵蓋了平安定義、平安評測和風險分析的全過程典型方法之一：計算系統綜合風險標準的評估過程摸清家底：劃分資產類型，建立重要資產清單，識別資產重要性分析威脅和分析脆弱性兩種途徑按層次分析脆弱性判定平安時間及其影響計算威脅風險值制定風險控制措施典型方法之一：計算系統綜合風險〔續〕資產綜合風險計算三種做法選擇該資產中分析風險最高的作為風險，乘以資產值，作為該資產風險將資產中每一威脅的風險之于資產值相乘，得到多個資產的風險值構建模型，進行綜合計算綜合風險：R=V*[∑cRti*Qc+∑ARti*QA+∑IRti*Qi]其中R:總風險，V:該資產得分，∑為威脅累計C:機密性，I:完整性，A:可用性典型方法之二：差距分析風險評估方法-差距分析法建立分析模型在風險評估中通過識別、判斷和分析目標系統的平安現狀與平安要求之間的差距確定系統風險的分析方法。也就是說，目標系統的可接受風險和系統剩余風險間的差距就是系統存在的風險。構建差距分析法模型

風險分析模型 差距分析法的實施路徑步驟一:調研目標系統狀況步驟二：確定信息系統平安要求任務1：確定信息系統平安等級任務2：確定和標準化描述信息系統的平安要求步驟三：評估信息系統平安現狀任務1：信息系統平安現狀評估報告步驟四：對信息平安風險進行差距分析和風險計算任務1：評估信息系統平安現狀對信息系統平安要求的符合程度，即信息系統現有平安措施在當前系統運行環境下是否滿足其平安要求任務2：對信息系統平安執行能力進行評估，評估信息系統平安級〔包括技術架構能力級、工程能力級和管理能力級