信息平安風險評估實踐與探索國家信息中心信息平安研究與效勞中心平安評估事業部祿凱Email:InformationSecurityResearch&ServiceInstitutionOfStateInformationCenter4/29/20251匯報內容一、網絡空間平安與風險評估二、評估實踐的一些體會三、案例分析四、平安效勞中心業務開展情況4/29/20252一、網絡空間平安與風險評估拿到Web后臺管理賬戶結果80端口IE或其他瀏覽器工具SQL注入方法威脅無處不在：一種常見的攻擊資產威脅頁面篡改數據失密數據喪失…….政治影響經濟影響風險漏洞索引內容：特殊字符4/29/20253一、網絡空間平安與風險評估平安威脅日益嚴重復合威脅：蠕蟲、病毒、特洛伊木馬黑客攻擊基礎設施Flash威脅大規模蠕蟲侵入分布式Dos攻擊可加載病毒和蠕蟲（如腳本病毒….）4/29/20254面對層出不窮的平安漏洞和各式各樣的威脅，簡單的產品堆疊無法保證您的信息平安！一、網絡空間平安與風險評估要保護什么到達什么平安程度？是否到達了考核標準？員工Hacks/Cracks自然界和環境威脅內部人員的操作失誤或惡意行為系統故障信息及相關資源其他問題蠕蟲、木馬病毒泛濫4/29/20255一、網絡空間平安與風險評估4/29/20256一、網絡空間平安與風險評估為了應對這些威脅，在?網絡空間平安：迫在眉睫的危機?報告中，PITAC提出了10大優先研究工程，其中信息平安風險評估位列其中。其主要研究內容包括：〔1〕開發網絡空間平安測試方法、評估標準；〔2〕風險分析方法和基于不同領域的評估方法〔政治、軍事、經濟等〕；〔3〕平安風險以及一致性檢查的自動評估工具的研發；〔4〕對易受到攻擊對象的評估研究工作，如源代碼掃描工具；〔5〕通過研究過程管理、配置管理和補丁管理的最正確策略方案，來發現并提供有效的平安管理實施方案。4/29/20257二、評估實踐的一些體會〔一〕風險評估工作的實質是什么？以被評估單位的業務為核心，圍繞相關資產，對其所具有弱點和所面臨的威脅展開分析工作；同時分析和確認該單位已經部署平安措施是否發揮了應有的效力；最終找到風險所在，并提出風險消減解決方案……4/29/20258二、評估實踐的一些體會〔二〕評估實施的五個關鍵階段4/29/20259二、評估實踐的一些體會〔三〕兩種常用評估計算方法

相關性分析Ti低0中1高2Ri低0中1高2低0中1高2低0中1高2Ai001212323411232343452234345456334545656744565676781、預設矩陣方法【5×5×5】【5×3×3】【2×2×2】Ti：威脅賦值Ri：脆弱性賦值Vi：資產賦值

相關性分析Ti低0高1Ri低0高1低0高1Ai0012311234簡化4/29/202510二、評估實踐的一些體會2、二元法那么：Risk〔風險〕＝Impact〔影響〕×Possibility〔可能性〕ImpactPossibility123451123452246810336912154481216205510152025Impact＝威脅對資產的危害程度，f〔V，T〕Possibility＝威脅利用資產脆弱性的可能程度，g〔T，R〕Risk級別說明已達標：1－－5可容忍：6－－10須整改：12－254/29/202511二、評估實踐的一些體會4/29/202512二、評估實踐的一些體會〔五〕如何躲避評估自身帶來的風險信息泄密問題評估結果的效力問題評估過程難于控制問題把握好定性與定量程度問題法律合同評估單位資質評估單位性質從業人員的資質執行的標準評估單位的資質……管理層的意識參與部門的意識成熟方法＆行業經驗引入質量管理與控制計算過程的復雜性參數之間的循環嵌套以業務為核心開展評估主觀意識依據客觀分析4/29/202513三、案例分析案例1：某部委門戶網站系統工程案例2：某部委內部信息系統網絡工程案例3：國家電子政務外網工程4/29/202514三、案例分析〔1〕工程：某部委門戶網站無損測試評估信息系統說明：主站WWW系統、Email系統、VOD系統，子站60個評估內容：黑盒滲透測試、風險分析、加固建議案例分析：模擬攻擊測試；SQL攻擊滲透測試；DDOS攻擊測試；主頁篡改測試；……4/29/202515三、案例分析〔2〕案例分析前期工作十分細致，進行了大量情況摸底＆人員訪談；工程實施中，參考了“等級保護〞，“涉密信息系統保護要求〞，“BS7799〞等多項標準；通過評估元素相關性分析＆關聯分析，大大減少了后期計算復雜度；……4/29/202516三、案例分析〔3〕工程：國家電子政務外網建設方案平安評估信息系統說明：廣域網絡、城域網絡、32個省級節點…..評估內容：方案評估，資產識別，威脅分析，脆弱性識別，風險分析；案例分析：平安體系咨詢；各平安域防護需求；平安域等級劃分；容災分析；潛在威脅類別分析；潛在脆弱性分析……4/29/202517三、案例分析4/29/202518四、平安效勞中心業務開展情況4/29/202519四、平安效勞中心業務開展情況將原始數據與標準進行關聯分析等級保護條例涉密系統保護條例ISO17799SOX404GLBABaselII………..或者組織自己的策略相關數據收集等級方式百分比方式圖形方式趨勢圖方法……數據分類展現信息的采集控制分析控制評估控制整改工作部署……綜合智能評估工具的研發數據采集標準庫分析引擎評價展現數據展現工作流4/29/202520四、平安效勞中心業務開展情