我国信息安全风险评估

我国信息安全风险评估工作的现状与发展国家信息中心信息安全研究与服务中心吴亚非一、信息安全风险评估概述二、为什么要做信息安全风险评估三、我国信息安全风险评估回顾四、信息安全风险评估今后三年的发展信息安全风险评估的概念信息系统的安全风险信息系统的安全风险，是指由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。

信息安全风险评估

是指依据国家有关信息技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。信息安全风险评估人们的认识能力和实践能力是有局限性的，因此，信息系统存在脆弱性是不可避免的。信息系统的价值及其存在的脆弱性，使信息系统在现实环境中，总要面临各种人为与自然的威胁，存在安全风险也是必然的。信息安全建设的宗旨之一，就是在综合考虑成本与效益的前提下，通过安全措施来控制风险，使残余风险降低到可接受的程度。信息安全风险评估因为任何信息系统都会有安全风险，所以，人们追求的所谓安全的信息系统，实际是指信息系统在实施了风险评估并做出风险控制后，仍然存在的残余风险可被接受的信息系统。因此，要追求信息系统的安全，就不能脱离全面、完整的信息系统的安全评估，就必须运用信息系统安全风险评估的思想和规范，对信息系统开展安全风险评估。

风险评估的意义和作用1.风险评估是信息系统安全的基础性工作信息安全中的风险评估是传统的风险理论和方法在信息系统中的运用，是科学地分析和理解信息与信息系统在保密性、完整性、可用性等方面所面临的风险，并在风险的减少、转移和规避等风险控制方法之间做出决策的过程。风险评估将导出信息系统的安全需求，因此，所有信息安全建设都应该以风险评估为起点。信息安全建设的最终目的是服务于信息化，但其直接目的是为了控制安全风险。风险评估的意义和作用只有在正确、全面地了解和理解安全风险后，才能决定如何处理安全风险，从而在信息安全的投资、信息安全措施的选择、信息安全保障体系的建设等问题中做出合理的决策。进一步，持续的风险评估工作可以成为检查信息系统本身乃至信息系统拥有单位的绩效的有力手段，风险评估的结果能够供相关主管单位参考，并使主管单位通过行政手段对信息系统的立项、投资、运行产生影响，促进信息系统拥有单位加强信息安全建设。风险评估的意义和作用2.风险评估是分级防护和突出重点的具体体现信息安全建设的基本原则包括必须从实际出发，坚持分级防护、突出重点。风险评估正是这一要求在实际工作中的具体体现。从理论上讲，不存在绝对的安全，实践中也不可能做到绝对安全，风险总是客观存在的。安全是风险与成本的综合平衡。盲目追求安全和完全回避风险是不现实的，也不是分级防护原则所要求的。要从实际出发，坚持分级防护、突出重点，就必须正确地评估风险，以便采取科学、客观、经济和有效的措施。风险评估的意义和作用3.加强风险评估工作是当前信息安全工作的客观需要和紧迫需求由于信息技术的飞速发展，关系国计民生的关键信息基础设施的规模越来越大，同时也极大地增加了系统的复杂程度。发达国家越来越重视信息安全风险评估工作，提倡风险评估制度化。他们提出，没有有效的风险评估，便会导致信息安全需求与安全解决方案的严重脱离。因此，他们强调“没有任何事情比解决错误的问题和建立错误的系统更没有效率的了。”这些发达国家近年来大力加强了以风险评估为核心的信息系统安全评估工作，并通过法规、标准手段加以保障，逐步以此形成了横跨立法、行政、司法的完整的信息安全管理体系。在我国目前的国情下，为加强宏观信息安全管理，促进信息安全保障体系建设，就必须加强风险评估工作，并逐步使风险评估工作朝向制度化的方向发展。信息安全全风险评评估的目目标和目目的信息系统统安全风风险评估估的总体体目标是是：服务于国国家信息息化发展展，促进进信息安安全保障障体系的的建设，，提高信信息系统统的安全全保护能能力。信息系统统安全风风险评估估的目的的是：认清信息息安全环环境、信信息安全全状况；；有助于于达成共共识，明明确责任任；采取取或完善善安全保保障措施施，使其其更加经经济有效效，并使使信息安安全策略略保持一一致性和和持续性性。信息安全全风险评评估的基基本要素素使命：一个单位位通过信信息化实实现的工工作任务务。依赖度：一个单单位的使使命对信信息系统统和信息息的依靠靠程度。。资产：通过信息息化建设设积累起起来的信信息系统统、信息息、生产产或服务务能力、、人员能能力和赢赢得的信信誉等。。价值：资产的重重要程度度和敏感感程度。。威胁：一个单位位的信息息资产的的安全可可能受到到的侵害害。威胁胁由多种种属性来来刻画：：威胁的的主体（（威胁源源）、能能力、资资源、动动机、途途径、可可能性和和后果。。信息安全全风险评评估的基基本要素素脆弱性：：信息资产产及其防防护措施施在安全全方面的的不足和和弱点。。脆弱性性也常常常被称为为漏洞。。风险：由于系统统存在的的脆弱性性，人为为或自然然的威胁胁导致安安全事件件发生的的可能性性及其造造成的影影响。它它由安全全事件发发生的可可能性及及其造成成的影响响这两种种指标来来衡量。。残余风险险：采取了安安全防护护措施，，提高了了防护能能力后，，仍然可可能存在在的风险险。信息安全全风险评评估的基基本要素素安全需求求：为保证单单位的使使命能够够正常行行使，在在信息安安全防护护措施方方面提出出的要求求。安全防护护措施：：对付威胁胁，减少少脆弱性性，保护护资产，，限制意意外事件件的影响响，检测测、响应应意外事事件，促促进灾难难恢复和和打击信信息犯罪罪而实施施的各种种实践、、规程和和机制的的总称。。风险评估估对信息息系统生生命周期期的支持持生命周期阶段阶段特征来自风险管理活动的支持阶段1——规划和启动提出信息系统的目的、需求、规模和安全要求。风险评估活动可用于确定信息系统安全需求。阶段2——设计开发或采购信息系统设计、购买、开发或建造。在本阶段标识的风险可以用来为信息系统的安全分析提供支持，这可能会影响到系统在开发过程中要对体系结构和设计方案进行权衡。阶段3——集成实现信息系统的安全特性应该被配置、激活、测试并得到验证。风险评估可支持对系统实现效果的评价，考察其是否能满足要求，并考察系统所运行的环境是否是预期设计的。有关风险的一系列决策必须在系统运行之前做出。阶段4——运行和维护信息系统开始执行其功能，一般情况下系统要不断修改，添加硬件和软件，或改变机构的运行规则、策略或流程等。当定期对系统进行重新评估时，或者信息系统在其运行性生产环境（例如新的系统接口）中做出重大变更时，要对其进行风险评估活动。阶段5——废弃本阶段涉及到对信息、硬件和软件的废弃。这些活动可能包括信息的移动、备份、丢弃、破坏以及对硬件和软件进行的密级处理。当要废弃或替换系统组件时，要对其进行风险评估，以确保硬件和软件得到了适当的废弃处置，且残留信息也恰当地进行了处理。并且要确保系统的更新换代能以一个安全和系统化的方式完成。在实施风风险评估估中，有有时首先先根据不不同级别别的威胁胁对不同同价值的的资产可可能形成成的风险险进行分分级，进进而选择择适合级级别的保保证措施施。这是是一种安安全需求求提炼的的过程。。对于计划划和已经经建设的的系统，，则应该该考虑和和分析测测试系统统可能存存在的脆脆弱性。。上述工作作流程应应该是一一个不断断重复的的循环过过程，从从不同阶阶段进入入风险评评估工作作也可能能进行简简化其中中的某些些步骤。。风险评估估理论和和工具通俗的讲讲，信息息系统安安全追求求的是入入侵和破破坏行为为，面对对信息系系统和信信息，进进不来，，看不懂懂，拿不不走，搞搞不乱。。风险评估估的理论论和工具具也应该该针对这这些基本本的安全全要求，，提供检检测、判判断、分分析。当前，国国际上提提出了一一些广义义传统的的风险评评估的理理论（并并非特别别针对信信息系统统安全））。从计算方方法区分分，有定定性的方方法、定定量的方方法和部部分定量量的方法法。从实施手手段区分分，有基基于树的的技术、、动态系系统的技技术等。。定性的方方法包括括：初步的风风险分析析（PreliminaryRiskAnalysis）危险和可可操作性性研究（HazardandOperabilitystudies(HAZOP)）失效模式式及影响响分析（FailureModeandEffectsAnalysis(FMEA/FMECA)）基于树的的技术（TreeBasedTechniques）包括：：故障树分分析（Faulttreeanalysis）事件树分分析（Eventtreeanalysis）因果分析析（Cause-ConsequenceAnalysis）管理失败败风险树树（ManagementOversightRiskTree）安全管理理组织检检查技术术（SafetyManagementOrganizationReviewTechnique）动态系统统的技术术（TechniquesforDynamicsystem）包括：尝试方法法（GoMethod）有向图/故障图（Digraph/FaultGraph）马尔可夫夫建模（MarkovModeling）动态事件件逻辑分分析方法法学（DynamicEventLogicAnalyticalMethodology）动态事件件树分析析方法（DynamicEventTreeAnalysisMethod）评估工具具目前存存在以下下几类：：扫描工具具：包括主机机扫描、、网络扫扫描、数数据库扫扫描，用用于分析析系统的的常见漏漏洞；入侵检测测系统（（IDS）：用于收集集与统计计威胁数数据；渗透性测测试工具具：黑客工具具，用于于人工渗渗透，评评估系统统的深层层次漏洞洞；主机安全全性审计计工具：：用于分析析主机系系统配置置的安全全性；安全管理理评价系系统：用于安全全访谈，，评价安安全管理理措施；；风险综合合分析系系统：在基础数数据基础础上，定定量、综综合分析析系统的的风险，，并且提提供分类类统计、、查询、、TOPN查询以及及报表输输出功能能；评估支撑撑环境工工具:评估指标标库、知知识库、、漏洞库库、算法法库、模模型库。。综观这些些理论和和工具的的现状，，存在的的问题是是：尚缺乏模模型化和和形式化化描述及及证明的的科学深深度；需要解决决一般化化的广义义的理论论如何用用于信息息系统的的安全风风险评估估；定性，定定量的理理论方法法如何更更加有效效；工具运用用的结果果如何能能够反映映实质，，有效测测度，准准确无误误；工具的使使用如何何能够综综合协调调。二、为什什么要做做信息安安全风险险评估为什么要要做信息息安全风风险评估估第一，风风险评估估是分析析确定风风险的过过程。风风险是客客观存在在的，在在日常生生活和工工作中随随处可见见。为了了了解系系统究竟竟面临什什么风险险、有多多大风险险，以及及应该采采取什么么样的措措施去减减少、化化解或规规避风险险，人们们经常会会提出这这样一些些问题：：什么地地方、什什么时间间可能出出问题？？会出什什么性质质的问题题？出问问题的可可能性有有多大？？这些问问题可能能产生的的后果是是什么？？应该采采取什么么样的措措施加以以避免和和弥补？？并总是是试图找找出最合合理的答答案。这这个过程程实际就就是风险险评估为什么要要做信息息安全风风险评估估第二，信信息安全全风险评评估是信信息安全全建设的的起点和和基础，，对于信信息系统统也是如如此。所所有信息息安全建建设和管管理都应应该基于于信息安安全风险险评估，，只有这这样，信信息安全全建设才才能做到到从实际际出发，，才能坚坚持需求求主导、、突出重重点，才才能以最最小的代代价去最最大程度度地保障障信息安安全。为什么要要做信息息安全风风险评估估第三，信信息安全全风险评评估是信信息安全全建设和和管理的的科学方方法。风风险评估估提供了了这么一一种方法法，它是是我们传传统经验验方法的的总结和和提升，，是风险险理论和和技术的的具体应应用。信息安全全的一个个最大特特点就是是看不见见摸不着着。在不不知不觉觉中就已已经中了了招，在在不知不不觉中就就已经遭遭受了重重大损失失。信息安全全要讲加加强领导导，要讲讲责任制制，但如如果没有有科学的的方法和和手段，，即使领领导现场场坐镇，，即使人人盯死守守，也仍仍然可能能发现不不了问题题，也仍仍然可能能出问题题。这就就是27号文件强强调管理理与技术术并重的的根本原原因。为什么要要做信息息安全风风险评估估第四，风风险评估估实际上上是在倡倡导一种种适度安安全。从从理论上上讲，不不存在绝绝对的安安全，风风险总是是客观存存在的。。风险评评估并不不追求零零风险、、不计成成本的绝绝对安全全，或者者试图完完全消灭灭风险或或避免风风险。信息安全全风险评评估要求求在认清清风险的的基础上上，决定定哪些风风险是必必须要避避免的，，哪些风风险是可可以容忍忍的。也也就是说说，信息息安全风风险评估估要求我我们算账账，要求求我们在在风险与与建设和和管理成成本之间间寻求一一个最佳佳平衡点点。这体现了了信息安安全的一一个基本本原则，，就是坚坚持从实实际出发发，坚持持有针对对性地进进行信息息安全建建设和管管理。这这也就是是适度安安全。为什么要要做信息息安全风风险评估估第五，重重视风险险评估是是信息化化发达国国家的重重要经验验。早在在上个世世纪70年代初期期美国政政府就提提出了风风险评估估的要求求，2002年颁布的的《2002联邦信息息安全管管理法》对信息安安全风险险评估提提出了更更加具体体的要求求。欧洲洲等其他他信息化化发达国国家也非非常重视视开展信信息安全全风险评评估工作作，将开开展信息息安全风风险评估估工作作作为提高高信息安安全保障障水平的的重要手手段。发发达国家家的这些些经验值值得我们们学习和和借鉴。。为什么要做做信息安全全风险评估估2005年2月，美国总总统信息技技术顾问委委员会（PITAC）向美国总总统提交了了一份研究究报告《网络空间安安全：迫在在眉睫的危危机》，提出美国国目前网络络空间安全全所面临的的重大问题题包括：1、IT基础设施在在恐怖和敌敌对攻击面面前非常脆脆弱2、网络漏洞洞和网络攻攻击增长速速度非常快快（20％－40％）3、无所不在在的互联意意味着处处处可能存在在安全漏洞洞4、软件是主主要漏洞的的所在5、无穷无尽尽的打补丁丁并不是好好的解决办办法6、需要新的的基础性安安全模型和和方法7、联邦政府府在研发工工作中的核核心地位8、网络空间间安全的非非技术因素素为了应对这这些威胁，，在《网络空间安安全：迫在在眉睫的危危机》报告中，PITAC提出了10大优先研究究项目，其其中信息安安全风险评评估位列其其中。其主主要研究内内容包括：：（1）开发网络络空间安全全测试方法法、评估标标准（2）风险分析析方法和基基于不同领领域的评估估方法（政政治、军事事、经济等等）（3）安全风险险以及一致致性检查的的自动评估估工具的研研发（4）对易受到到攻击对象象的评估研研究工作，，如源代码码扫描工具具（5）通过研究究过程管理理、配置管管理和补丁丁管理的最最佳策略方方案，来发发现并提供供有效的安安全管理实实施方案为什么要做做信息安全全风险评估估三、我国信信息安全风风险评估回回顾调查与研究究标准编制与与试点政策文件起起草我国信息安安全风险评评估回顾2003年7月《国家信息化化领导小组组关于加强强信息安全全保障工作作的意见》（中办发［［2003］27号）中专门门提出开展展风险评估估的要求：：对网络与信信息系统安安全的潜在在威胁、薄薄弱环节、、防护措施施等进行分分析评估，，综合考虑虑网络与信信息系统的的重要性、、涉密程度度和面临的的风险等因因素，进行行相应等级级的安全建建设和管理理调查研究工工作国信办安全全组为落实实中办发2003[27]号文件的要要求，于2003年7月决定委托托国家信息息中心组建建“信息安安全风险评评估课题组组”，对我我国信息安安全风险评评估工作的的现状进行行调查，提提出我国开开展风险评评估的对策策和办法成员单位：：国家信息息中心、公公安部、安安全部、信信息产业部部、国家认认监委、国国家标准化化委、国家家密码管理理局、国家家保密局、、国家计算算机网络与与信息安全全中心、中中国信息安安全产品测测评认证中中心、北京京市信息办办、解放军军测评认证证中心调查研究工工作课题组先后后对四个地地区(北京、广州州、深圳和和上海)，十几个行行业的50多家单位进进行了调查查完成了《信息安全风风险评估调调查报告》、《信息安全风风险评估研研究报告》和《关于加强信信息安全风风险评估工工作的建议议》稿调查报告反反映的主要要情况及问问题被调查单位位信息化程程度各有不不同对风险评估估的重视程程度与信息息化程度成成正比关系系国内现阶段段风险评估估状况风险评估已已逐渐成为为信息安全全的一个新新的点发现的八个个问题，其其中评估流流程不规范范是一大问问题研究报告的的主要内容容信息系统安安全风险评评估的概念念风险评估的的意义和作作用信息安全风风险评估的的目标和目目的信息安全风风险评估的的基本要素素风险评估对对信息系统统生命周期期的支持风险评估的的一般工作作流程当前存在的的风险评估估理论和工工具我国信息系系统安全风风险评估的的现状和问问题信息安全风风险评估工工作的原则则等级保保护、、认证证认可可、风风险管管理、、风险险评估估的关关系自评估估、强强制性性检查查评估估与委委托评评估信息系系统安安全风风险评评估的的角色色和责责任信息安安全风风险评评估的的任务务和措措施对风险险评估估工作作的建建议内内容积极贯贯彻落落实27号文件件建立健健全和和完善善信息息系统统安全全风险险评估估的工工作机机制统筹建建设信信息安安全风风险评评估的的基础础设施施和基基础环环境启动评评估工工作流流程、、工作作规范范标准准的研研究与与制定定推进基基础信信息网网络和和重要要信息息系统统的信信息安安全风风险评评估试试点示示范工工作加强宣宣传教教育，，提高高风险险意识识标准制制定工工作根据《信息安安全风风险评评估研研究报报告》的建议议,2004年三月月下旬旬课题题组专专家经经过充充分的的讨论论与分分析，，报国国务院院信息息办安安全组组批准准,开展了了《信息安安全风风险评评估指指南》和《信息安安全风风险管管理指指南》二个规规范草草案的的制定定。国家信信息中中心信信息安安全研研究与与服务务中心心组织织了近近二十十家有有实际际工作作经验验的企企事业业单位位约四四十多多人，，开了了二十十多次次工作作会议议，进进行了了信息息安全全风险险评估估标准准规范范草案案的制制定工工作；；到九九月下下旬,完成《信息安安全风风险评评估指指南》和《信息安安全风风险管管理指指南》二个规规范草草案的的初稿稿。标准制制定工工作2004年全国国信息息安全全标准准化技技术委委员会会将《信息安安全风风险评评估指指南》列入2005年度国国家信信息安安全标标准制制定工工作计计划中中,将《信息安安全风风险管管理指指南》列入国国家信信息安安全标标准研研究工工作规规划中中。目目前前《信息安安全风风险评评估指指南》已完成成评审审,报国家家标准准管理理委员员会颁颁布国信办办已以以国信信【2006】9号文的的形式式发各各部委委和省省市《信息安安全风风险评评估指指南》主要内内容规定了了信息息安全全风险险评估估的工工作流流程、、评估估内容容、评评估方方法和和风险险判断断准则则。介绍了了风险险评估估的定定义、、风险险评估估的模模型以以及风风险评评估的的实施施过程程详细描描述了了对资资产、、威胁胁和脆脆弱性性的识识别方方法描述了了风险险评估估在信信息系系统生生命周周期中中的作作用描述了了风险险评估估的不不同形形式在附件件中介介绍了了信息息安全全风险险评估估的方方法、、工具具和实实施案案例《信息安安全风风险评评估指指南》主要作作用指导识识别信信息系系统中中存在在的风风险，，为确确立信信息系系统安安全等等级提提供参参考指导信信息系系统的的安全全管理理为执法法部门门监督督提供供参考考为项目目审查查部门门在审审批和和验收收信息息系统统时提提供参参考为信息息系统统业务务发生生变更更时提提供安安全参参考《信息安安全风风险管管理指指南》主要内内容明确了了风险险管理理的目目的和和意义义：在在安全全措施施的成成本与与资产产价值值之间间寻求求平衡衡，保保护信信息系系统定义了了信息息安全全风险险管理理的内内容和和过程程风险评评估风险减减缓：：根据据评估估结果果，选选择合合适的的方法法控制制风险险风险决决策：：判断断残余余风险险是否否处在在可接接受的的范围围内全国风风险评评估试试点工工作2005年，国国信办办安全全组组组织北北京市市、上上海市市、黑黑龙江江省、、云南南省、、人民民银行行、国国家税税务总总局、、国家家电力力总公公司和和国家家信息息中心心八个个部门门的近近20家单位位开展展风险险评估估试点点工作作国家信信息中中心负负责试试点工工作的的实施施方案案设计计，标标准培培训，，到各各试点点单位位调研研，汇汇总各各地试试点报报告，，参与与政策策文件件草工工作试点工工作的的目的的在现有有基础础信息息网络络和重重要信信息系系统的的管理理体制制下，，探索索如何何推进进开展展信息息安全全风险险评估估工作作检验国国家标标准草草案《信息安安全风风险评评估指指南》和《信息安安全风风险管管理指指南》的可行行性与与可用用性为全面面推广广信息息安全全风险险评估估工作作和出出台相相关政政策文文件做做前期期准备备试点工工作总总结2005年9月，在在上海海召开开总结结大会会。国国务院院信息息办曲曲维枝枝副主主任到到会听听取了了各试试点单单位的的工作作汇报报,对试点点工作作的成成果给给予了了高度度评价价政策文文件起起草在调研研和试试点的的基础础上，，国信信办会会同公公安部部、安安全部部、国国家保保密局局、密密码管管理局局、总总参三三部等等部门门及有有关专专家起起草了了《关于开开展信信息安安全风风险评评估工工作的的意见见》征求意意见稿稿，反反复征征求了了国家家网络络与信信息安安全协协调小小组成成员单单位、、重要要信息息系统统主管管部门门、国国家信信息化化专家家咨询询委员员会以以及各各试点点单位位意见见，数数易其其稿。。政策文文件起起草2005年12月16日国家家网络络与信信息安安全协协调小小组开开会讨讨论通通过了了《关于开开展信信息安安全风风险评评估工工作的的意见见》，2006年元月月6日国务务院信信息化化工作作办公公室将将《关于开开展信信息安安全风风险评评估工工作的的意见见》印发中中央各各部委委和全全国省省市。政策文文件起起草《关于开开展信信息安安全风风险评评估工工作的的意见见》的印发发，标标志着着我国国信息息安全全领域域一项项基础础性、、全局局性的的新工工作正正式启启动。四、信信息安安全风风险评评估今今后三三年的的发展展目标：：用三年年左右右的时时间在在我国国基础础信息息网络络和重重要信信息系系统普普遍推推行信信息安安全风风险评评估工工作，，全面面提高高我国国信息息安全全的科科学管管理水水平，，提升升网络络和信信息系系统安安全保保障能能力，，为保保障和和促进进我国国信息息化发发展服服务。。高度重重视组组织管管理工工作各信息息化和和信息息安全全主管管部门门要充充分认认识风风险评评估工工作对对于提提高信信息安安全管管理水水平的的重要要意义义，切切实加加强对对风险险评估估工作作的管管理，，抓紧紧制定定贯彻彻落实实的办办法，，积极极稳妥妥地推推进。。要从从抓试试点开开始，，逐步步探索索组织织实施施和管管理的的经验验，高度重重视组组织管管理工工作信息系系统拥拥有、、运营营或使使用单单位和和有关关管理理部门门要按按照““谁主主管、、谁负负责，，谁运运营、、谁负负责””的原原则，，在信信息安安全风风险评评估工工作中中切实实负起起组织织领导导的责责任；；将开展风险评评估工作制度度化，定期组组织实施信息息系统自评估估，积极配合合有关部门的的检查评估，，并将开展风风险评估的费费用列入系统统运行维护费费用；有关部门要将将开展信息安安全风险评估估作为基础信信息网络和重重要信息系统统规划、建设设和等级保护护监管工作的的重要内容。。风险评估工作作应当贯穿信信息系统全生生命周期信息安全风险险评估也是落落实等级保护护制度的重要要手段，应通通过信息安全全风险评估为为信息系统确确定安全等级级提供依据，，根据风险