信息安全风险评估工作课件

1、我看信息安全风险评估工作宁家骏（国家信息中心）2005.10提纲信息安全与风险评估风险评估贵在探索努力研发符合我国特色的评估体系安全保密需要风险评估克服安全“亚健康”的必由之路医学专家告诉我们：人的躯体有健康、亚健康和患病等多种状态但成年人多数处于亚健康状态如何确认和发现问题，必须体检信息系统也一样，在安全状态方面，常常处于“亚健康”甚至患病状态，因此也要“体检”这就是风险评估环境和背景近年来，我国经济社会持续快速发展发展，信息化步伐加快，在促进经济发展、调整经济结构、改造传统产业和提高人民生活质量等方面发挥了不可替代的重要作用。一方面社会经济对信息化的依赖程度越来越高，同时逐步建设和积累了一

2、批宝贵的信息资产。 与之而来的各类计算机犯罪及“黑客”攻击网络事件屡有发生，手段也越来越高技术化，从而对各国的主权、安全和社会稳定构成了威胁。 计算机互联网络涉及社会经济生活各个领域，并直接与世界相联，可以说是国家的一个政治“关口”，一条经济“命脉”。网络与信息安全已上升为一个事关国家政治稳定、社会安定、经济有序运行和社会主义精神文明建设的全局性问题。 风险评估是一种方法和依据信息安全风险是由于资产的重要性，人为或自然的威胁利用信息系统及其管理体系的脆弱性，导致安全事件一旦发生所造成的影响。信息安全风险评估是指依据有关信息安全技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整

3、性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性，并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响，即信息安全的风险。信息安全风险评估是信息系统安全保障机制建立过程中的一种评价方法，其结果为信息安全风险管理提供依据。风险评估的理念安全需要风险管理，信息安全更需要风险管理风险评估是当前解决信息安全问题的重要手段安全措施 抵御业务战略脆弱性安全需求威胁风险残余风险安全事件依赖具有被满足利用暴露降低增加加依赖增加导出演变 未被满足未控制可能诱发残留成本资产资产价值风险要素关系示意图风险分析的基本要素风险分析中要涉及资产、威胁、脆弱性

4、等基本要素。每个要素有各自的属性资产的属性是资产价值；威胁的属性是威胁出现的频率；脆弱性的属性是资产弱点的严重程度。否是否是风险评估准备已有安全措施的确认风险计算风险是否接受保持已有的安全措施施施施选择适当的安全措施并评估残余风险实施风险管理脆弱性识别威胁识别资产识别是否接受残余风险 风险分析评估过程文档评估过程文档风险评估文件记录评估结果文档风险评估实施流程示意图风险分析主要内容对资产进行识别，并对资产的重要性进行赋值；对威胁进行识别，描述威胁的属性，并对威胁出现的频率赋值；对资产的脆弱性进行识别，并对具体资产的脆弱性的严重程度赋值；根据威胁和脆弱性的识别结果判断安全事件发生的可能性；根据脆

5、弱性的严重程度及安全事件所作用资产的重要性计算安全事件的损失；根据安全事件发生的可能性以及安全事件的损失，计算安全事件一旦发生对组织的影响，即风险值。不打无准备之仗做好准备风险评估的准备是整个风险评估过程有效性的保证。在风险评估实施前，应：确定风险评估的目标；确定风险评估的范围；组建适当的评估管理与实施团队；选择与组织相适应的具体的风险判断方法；获得最高管理者对风险评估工作的支持。风险评估的准备阶段明确目标应明确风险评估的目标，为风险评估的过程提供导向。信息系统是重要的资产，其机密性、完整性和可用性对于维持竞争优势、获利能力、法规要求和组织形象是必要的。确定范围基于风险评估目标确定评估范围是完

6、成风险评估的前提。风险评估范围可能是组织全部的信息及与信息处理相关的各类资产、管理机构，也可能是某独立的系统，关键业务流程，与客户知识产权相关的系统或部门等。组建团队组建适当的风险评估管理与实施团队，以支持整个过程的推进，如成立由管理层、相关业务骨干、IT技术人员等组成的风险评估小组。评估团队应能够保证风险评估工作的有效开展。选择方法应考虑评估的目的、范围、时间、效果、人员素质等因素来选择具体的风险判断方法，使之能够与组织环境和安全要求相适应。获得支持上述所有内容确定后应得到组织的最高管理者的支持、批准，并对管理和技术人员进行传达和在组织范围就风险评估进行培训资产识别资产是具有价值的信息或资源

7、，是安全策略保护的对象。它能够以多种形式存在，有无形的、有形的，有硬件、软件，有文档、代码，也有服务、形象等。机密性、完整性和可用性是评价资产的三个安全属性。信息安全风险评估中资产的价值不仅仅以资产的账面价格来衡量，而是由资产在这三个安全属性上的达成程度或者其安全属性未达成时所造成的影响程度来决定的。安全属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、以及已采取的安全措施都将对资产安全属性的达成程度产生影响。为此，有必要对组织中的资产进行识别。资产分类风险评估中，资产大多属于不同的信息系统，如OA系统、网管系统、业务生产系统等，而且对于提供多种业务的组织，其支持业务持

8、续运行的系统数量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类，以此为基础进行下一步的风险评估。在实际工作中，具体的资产分类方法可以根据具体的评估对象和要求，由评估者来灵活把握。根据资产的表现形式，可将资产分为数据、软件、硬件、文档、服务、人员等类。风险评估尚需探索、贵在实践今年我有幸参加了国信办组织的一些试点工作看到了试点单位的成绩和取得的经验，获益良多也发现了还有不少问题急需探索和研究参与了试点咨询工作协助修订关于开展信息安全风险评估工作的意见，提供相关的咨询和技术支持。参与试点的相关咨询工作1、准备阶段：组织八个试点单位的相关人员进行培训，明确风险评估流程和风险评估准备阶段的

9、任务，协助试点单位制定其风险评估实施方案。标准培训试点方案编制的培训2、实施阶段：调研试点方案实施情况，了解试点单位对评估及管理的流程、方法、工具的使用存在的问题，充实和完善标准。选择重点单位进行调研，并对关键阶段进行蹲点，以切实了解单位试点工作过程中存在的问题，为两个标准的完善提供实践素材；进行试点中期总结，为指导意见提供阶段性素材；根据试点单位需求，进行有针对性的培训和咨询，协助完成试点工作参与了试点咨询工作（续）总结阶段：协助国信办汇总试点工作情况，总结修改意见，并完善标准。在各试点单位正式总结之前，召开专家组评审会；为国信办试点工作总结提供基础素材。标准的完善充实和完善信息安全风险评估

10、指南和信息安全风险管理指南，通过试点工作提出两个标准的修改意见。同时进行与标准相关的配套理论、方法和规范的研究。试点工作与标准验证试点工作对去年国信办组织制定的两项试行标准进行了验证，提出了修订建议绝大多数试点单位大都参照了去年国信办和国家安标委组织编写的信息安全风险评估指南及信息安全风险管理指南。试点单位大都结合自身的具体情况，选择了相应的评估方法和适当的安全控制措施及管理流程，实践经验证明各试点单位评估基于的基本原则和核心方法与试行标准指南大体吻合一致。 收获和体会提高了对风险评估工作的认识和理解方法科学、机制长效为国信办风险评估工作文件起草积累了素材检验了标准，两项试行标准得到了基本肯定

11、初步规范了评估内容，演练了评估的实施流程体现了创新，积累了成果，培训了人才试点工作技术上特点方法科学，积极探索既注意了统一规范，又坚持了方法的多样性注意遵循和验证标准（讨论稿）试行了部分评估技术方法，重视了评估的科学性评估方法的百花齐放和创新性注意控制了评估自身的风险及时总结经验和问题典型方法之一：综合风险计算法评估过程规范化摸清家底：划分资产类型，建立重要资产清单，识别资产重要性分析威胁和分析脆弱性两种途径按层次分析脆弱性判定安全时间及其影响计算威胁风险值制定风险控制措施典型方法之一：计算系统综合风险（续）资产综合风险计算三种做法选择该资产中分析风险最高的作为风险，乘以资产值，作为该资产风险

12、将资产中每一威胁的风险之于资产值相乘，得到多个资产的风险值构建模型，进行综合计算综合风险：R=V*cRti*Qc+ARti*QA+IRti*Qi其中R:总风险，V:该资产得分， 为威胁累计C:机密性，I:完整性，A:可用性典型方法之二：差距分析风险评估方法-差距分析法建立分析模型在风险评估中通过识别、判断和分析目标系统的安全现状与安全要求之间的差距确定系统风险的分析方法。也就是说，目标系统的可接受风险和系统残余风险间的差距就是系统存在的风险。构建差距分析法模型 风险分析模型差距分析法的实施路径步骤一 :调研目标系统状况步骤二：确定信息系统安全要求任务1：确定信息系统安全等级任务2：确定和规范化

13、描述信息系统的安全要求步骤三：评估信息系统安全现状任务1：信息系统安全现状评估报告步骤四：对信息安全风险进行差距分析和风险计算任务1：评估信息系统安全现状对信息系统安全要求的符合程度，即信息系统现有安全措施在当前系统运行环境下是否满足其安全要求任务2：对信息系统安全执行能力进行评估，评估信息系统安全级（包括技术架构能力级、工程能力级和管理能力级的评定）,与要达到目标的安全等级步骤五：用户根据信息系统安全风险评估的结果进行风险控制，形成满足其信息系统安全要求的信息系统安全保障能力。典型方法之三：量化风险对风险量化计算方法进行扩展风险的计算方法目前还没有明细的技术标准，通常效果比较好的计算方式为：

14、RATV=E*D；T=Ts*Tf，EATs，D= Tf* V其中R为风险值， A为资产价值，T为威胁值，V为脆弱性值，E为资产损失产生的影响，D为资产暴露程度，Ts为威胁的严重程度，Tf为威胁发生的可能性。典型方法之三：量化风险（续）在本次试点中，结合试点单位评估实践经验、以及行业管理特性，有的试点单位对风险计算方法进行了如下的扩展：其中：c代表“机密性方面的”、i代表“完整性方面的”、a代表“可用性方面的”，t代表“技术方面的”、m代表“管理方面的”、o代表“运维方面的”、W为技术、运维和管理脆弱性之间的相关性，Wt 、Wm 、Wo 之和等于1。典型方法之四：面向关键信息资产的评估方法 （续

15、）威胁路径分析法面向关键信息资产的层次分析法利用等级保护支撑平台的评估方法 试点工作出现了一批成果上海市的风险评估管理软件评估模型和方法的创新与探索北京市利用了已有的工具平台，形成了评估辅助工具平台黑龙江提出了基于模糊综合判定理论的风险评估判定方法既有量化的探索，也有定性为主的探索云南提出了增加业务流分析和已有控制措施的有效性识别或判定试点工作出现了一批成果（续）国家税务总局提出了差距分析法，细化了流程国电公司提出了符合行业特点的方法，初步形成了行业安全评估方法论，涵盖了安全定义、安全评测和风险分析的全过程试点工作发现的问题技术评测工具， 缺乏统一的要求和资质认定模拟环境或联机旁路测试环境的不

16、完备和缺乏测试深度的不平衡管理标准规范试行标准指南总体得到肯定，但尚需进一步完善下一步建议认真总结经验统一规划、建立制度。制定国家基础网络和重要信息系统的风险评估总体规划以及“十一五”期间的工作计划。积极推进风险评估基本管理制度的建立；应尽快就国家基础信息网络和重要信息系统风险评估工作所涉及的领导体制、协调机制、认证与认可、监管和督察、评估时间、评估对象、评估范围、评估方式、评估人员资质、评估结果发布和备案等内容，进一步开展研究，形成风险评估工作管理法规制度加快建立、逐步完善标准规范体系。标准规范是推广和实施风险评估工作的法律依据和技术保障，要加快风险评估管理与技术标准的制定和完善， 研究评估

17、机构服务标准、资质认可与资质的核查评估的管理办法；尽快出台国家标准。建设独立自主、符合国际惯例的风险评估技术支撑体系举国家之力，支持建设独立自主、符合国际惯例的风险评估技术支撑体系。建设国家基础信息网络和重要信息系统风险评估的基础设施和基础环境；落实开发相关技术和产品的攻关项目。通过研发自主关键技术和设备，满足国家网络基础设施和重要信息系统的风险评估需求，支持安全评估应用逐步建立符合国际惯例、达到国际先进水平的安全评估技术支撑体系安全测试评估工具、平台与环境促进建立国家信息安全测试评估体系形成示范应用产品和系统测试评估工具产品和系统测试评估支撑环境建立先进的测试评估标准体系和开发环境系统等级保

18、护测试评估平台安全测试评估技术与系统下一步建议（续）加强风险评估工作队伍的建设，重视培训、建立风险评估机构管理制度在已有基础上，整合资源，分类指导，组建不同等级的风险评估机构，分别承担国家和地方基础信息网络和重要信息系统以及本行业信息系统风险评估工作，形成风险评估的骨干力量。风险评估敏感性很强，如果引导不当，管理不到位，有可能因为风险评估带来新的安全隐患。对国家基础信息网络和重要信息系统的风险评估，实行资质准入制度，只充许经国家批准的风险评估机构实施风险评估。国家必须加强风险评估评估工作的管理，建立服务标准、资质认可与资质核查评估制度。限于水平和精力，不妥之处，欢迎批评指正!谢 谢!忧国忘家，捐躯济难，忠臣之志也。三国曹植求自诚表。7月-227月-22Friday, July 22, 2022墨守成规，四平八稳，优柔寡断，畏首畏尾，不是企业家的气质。03:01:5003:01:5003:017/22/2022 3:01:50 AM心境，是一种情感状况，领有了好心情，也就拥有了，继而占有了年青跟健康。就拥有了对将来生活的憧憬，充斥等待，让咱们拥有一份善意情吧，由于生涯着就是荣幸和快活。