-信息安全风险评估研究报告

信息平安风险评估中国科学院研究生院信息平安国家重点实验室赵战生2004年7月3日内容概要国信办下达的研究任务及研究进展国际上风险评估的开展及现状我国信息系统平安风险评估的现状和问题什么是信息平安风险评估为什么要进行风险评估怎样进行风险评估国信办下达的研究任务及研究进展2003年7月22日，国务院信息化领导小组第三次会议专题讨论了?关于加强信息平安保障工作的意见〉，9月中央办公厅、国务院办公厅转发了?国家信息化领导小组关于加强信息平安保障工作的意见〉〔2003[27]号文件〕。文件要求采取必要措施进行信息平安风险的防范。7月23日国信办平安组决定委托国家信息中心组建成立“信息平安风险评估课题组〞，对信息平安风险评估工作的现状进行全面深入了解，提出我国开展信息平安风险评估的对策和方法，为下一步信息平安的建设和管理做准备。国家信息中心根据国务院信息办平安组的要求,迅速成立了以国家信息中心公共技术效劳部主任宁家骏为组长,包括崔书昆、曲成义、赵战生、吴亚非、左晓栋博士、范红博士和朱建勇博士组成，贾颖禾为国信办联络员的“信息平安风险评估〞起草组,开展信息平安风险评估筹备工作。后根据工作需要又吸收杜虹、景乾元两位同志参加。课题组在广东、上海、北京共访问了50多个单位,召开了5次座谈会。研究与起草阶段开了7次研讨会。经过四个多月的努力,完成了：信息平安风险评估调查报告信息平安风险评估研究报告关于信息平安风险评估工作的意见三份稿约十万字提交的?信息平安风险评估研究报告?在屡次征求意见和修改后，作为全国信息平安保障工作会议下发的文件附件，在2004年1月9日发放给会议参加者。研究报告结构一、前言二、信息系统平安风险评估的概念三、风险评估的意义和作用四、信息平安风险评估的目标和目的五、信息平安风险评估的根本要素六、风险评估对信息系统生命周期的支持七、风险评估的一般工作流程八、当前存在的风险评估理论和工具九、我国信息系统平安风险评估的现状和问题十、信息平安风险评估工作的原那么十一、等级保护、认证认可、风险管理、风险评估的关系十二、自评估、强制性检查评估与委托评估十三、信息系统平安风险评估的角色和责任十四、信息平安风险评估的任务和措施附件1、国际信息平安风险评估的开展和现状附件2、风险评估工作流程详述附件2、风险控制及工作流程附件4、美国对认证认可概念的看法附件5、美国信息系统平安认证认可工作概述附件6、对美国OMB主任备忘录的总结附件7、美国认证认可方案中相关标准和指南概况2004年，课题组继续进行?关于信息平安风险评估工作的意见?的研究起草2004年国信办平安组要求在已有工作根底上开展风险评估相关标准的研究制定，标准包括：风险评估框架风险评估指南信息平安风险管理指南相关标准已经形成初稿，正在进一步研究修改中预期在近期完成“工作意见〞和“相关标准〞，并于下半年开展信息平安风险评估的试点工作。

国际上风险评估

的开展及现状美国是国际上对信息平安风险评估研究历史最长和工作最丰富的国家。随着信息化应用需求的牵引，平安事件的驱动和信息平安技术、信息平安管理概念的开展深化，他们对信息平安风险评估的认识也逐步加深。从最初关注计算机保密开展到目前关注信息系统根底设施的信息保障，大体经历了以下三个阶段：第一个阶段〔60-70年代〕以计算机为对象的信息保密阶段背景：计算机开始应用于政府军队。标志性行动：1967年11月，美国国防科学委员会委托兰德公司、迈特公司〔MITIE〕及其它和国防工业有关的一些公司，开始研究计算机平安问题。到1970年2月，经过将近两年半的工作，主要对当时的大型机、远程终端进行了研究，分析。作了第一次比较大规模的风险评估。特点：仅重点针对了计算机系统的保密性问题提出要求，对平安的评估只限于保密性。第二个阶段〔80-90年代〕以计算机和网络为对象的信息平安保护阶段背景：计算机系统形成了网络化的应用。标志性行动：出现了初期的针对美国军方的计算机黑客行为，1988年1989年，美国的计算机网络出现了一系列重大事件。美国的审计总署〔GAO〕对美国国内主要由国防部使用的计算机网络进行了大规模的持续评估。特点：逐步认识到了更多的信息平安属性〔保密性、完整性、可用性〕，从关注操作系统平安开展到关注操作系统、网络和数据库。试图通过对平安产品的质量保证和平安评测来保障系统平安，但实际上仅仅奠定了平安产品测评认证的根底和工作程序。第三个阶段〔90年代末，21世纪初〕以信息系统关键根底设施为对象的信息保障阶段背景：计算机网络系统成为关键根底设施的核心。2000年前后，由于国际范围内出现了大规模黑客攻击，以及信息战的理论逐步走向成熟，信息攻防成为战争手段和国家综合利用的一种方式，且美国的军、政、经济和社会活动对信息根底设施的依赖程度到达了空前的高度，迫使美国又开始了对信息系统新一轮的评估和研究，产生了一些新的概念，法规和标准。标志性的行动：在军方提出信息保障〔IA〕概念的根底上，克林顿和布什两届总统持续数年进行了国家信息平安保护方案和信息保障战略的研究。到目前为止，形成了与国家平安、反恐战略、国土平安等国家战略相配套的网络空间信息保障的国家战略。各个行业也逐步提出了本行业的信息平安战略，风险评估思想在其中得到了重要的贯彻。1996年美国国会总审计署〔GAO〕的报告的研究DISA对美军网络实施的38000次渗透性攻击测试，24700次即65％的攻击行为取得了成功。在这些成功的攻击中，只有988即4％被发现。在被发现的攻击活动中，只有267次即27％被报告给了DISA。也就是说，只有不到1/150的攻击事件被报告。有关风险评估的重要工作结果：1997年美国国防部发布了?国防部IT平安认证和认可过程?〔DITSCAP〕。1998年12月，NIST公布了?IT系统平安方案开发指南?〔SP800-18〕。此前的OMBA-130曾要求，应该将风险评估作为基于风险的方法的一局部来为系统实现适当的、本钱有效性更好的平安，用来评估系统风险性质和级别的方法中应该包括对风险管理主要因素的考虑：系统和应用的价值、威胁、脆弱性、当前或所建议的平安措施的有效性。因此，NIST在为信息系统开发的平安方案模版中专门对所用的风险评估方法加以了描述，例如所选的风险评估方法是否对威胁、脆弱性及补充性平安防护措施进行了标识？此外，NIST还要求平安方案中应包括风险评估的日期，且要说明已标识的风险是如何与系统的保密性、完整性和可用性要求相关联的。2000年4月，负责国家平安系统的国家平安系统委员会〔此前称为国家平安电信和信息系统平安委员会〕发布了专门针对国家平安系统的?国家信息保障认证和认可过程?〔NIACAP〕。NIST在2000年11月为CIO委员会制定的?联邦IT平安评估框架?中提出了自评估的5个级别。2001年11月，针对?联邦IT平安评估框架?，NIST公布了?IT系统平安自评估指南?〔SP800-26〕，针对三大类17项平安控制提出了17张调查表。2001年12月，NIST发布了?IT平安根底技术模型?〔SP800-33〕，提出了信息系统平安的目标、目的、平安效劳的模型、平安目的的实现和平安控制措施在风险管理中的作用。2002年1月，NIST发布了?IT系统风险管理指南?〔SP800-30〕，概述了风险评估的重要性、风险评估在系统生命周期中的地位、进行风险评估的角色和任务。说明了风险评估的步骤、风险缓解的控制和评估评价的方法。2002年公布了?联邦信息平安管理法案?〔FISMA〕，提出联邦各机构的信息平安工程必须包括：定期的风险评估，包括评估由于对信息和信息系统进行未授权访问、使用、泄露、中断、修改或者破坏而带来的危害的大小。基于风险评估的政策和流程，将信息平安风险通过本钱有效性较好的手段而降低到一个可接受的水平，并确保信息平安在各机构信息系统的整个生命周期中都得到了处理。子方案，用于为网络、设施、一个或一组信息系统提供足够的信息平安。平安意识培训，用于使相关人员〔包括联邦信息系统的合同商和其他用户〕知晓其行为中的信息平安风险，并了解其有责任遵循机构的风险控制政策和流程。对信息平安政策、流程、实践措施和平安控制的有效性所实施的定期测试和评估。这些测试和评估的实施频率取决于风险本身，但至少每年要实施一次。对矫正措施进行规划、实现、评估和记录的过程，用于处理联邦机构信息平安政策、流程和实践中所出现的任何缺陷。对平安事件进行检测、报告和响应的流程。用来确保信息系统运行的连续性的方案和流程。2002年2月，美国国家平安局〔NSA〕公布了?信息平安评估能力成熟度模型?〔IA-CMM〕2.1版。提出了包括评估信息平安风险在内的9个过程域和29个子域。描述了与之有关的能力成熟度的五个级别。2002年10月，NIST发布了?联邦IT系统平安认证和认可指南?〔SP800-37〕的第1.0版。2003年6月，NIST发布了?联邦IT系统平安认证和认可指南?〔SP800-37〕的第2.0版。2003年9月NIST发布了FIPS199：?联邦信息和信息系统的平安分类标准?。2003年10月NIST发布了NIST800-37的伴随文档：NISTSP800-53?联邦IT系统最小平安控制?，提出了管理、运行、技术三大类18族100多项平安控制。其他有关NISTSP800-37的伴随文档：NISTSP800-53A?联邦IT系统平安控制验证技术和流程?、NISTSP800-60?如何将各种信息和信息系统映射到平安类别中的指南?正在制定之中。NIST已经假设干次推迟了这些文档的预计发布日期，根据最新的进度，上述文档在2005年才能全部定稿。NIST认证认可系列指南的相互关系

NISTFIPS199信息系统的安全分类NISTSP800-53安全控制NISTSP800-53A安全控制的验证技术和流程NISTSP800-37定义了标准的信息系统安全认证认可方法风险评估安全计划更新后的安全计划安全测试和评估报告最终的风险评估报告NISTSP800-60信息系统安全类别的映射特点：随着信息保障的研究的深入，关注的平安属性扩大到了保密性、完整性、可用性、可认证性、不可否认性五个方面；保障对象明确为信息、信息系统；保障能力明确来源于技术、管理和人员三个方面；关注局域计算环境、边界与外部连接、网络根底设施；以保护、检测、反响、恢复四个工作环节形成支撑条件，构建纵深防御体系。认识到CC和FIPS140-2等标准仅仅适合平安产品的测评认证。对于信息系统那么需要确立新的包括非技术因素的全面评估。逐步形成了风险评估、自评估、认证认可的工作思路，而风险评估工作贯穿于认证认可工作的各个阶段中，且实现了制度化。风险评估已经成为一种通用的方法学和根底理论，应用到了广泛的信息平安实践工作之中。其他国家和地区的情况

英国标准化协会〔BSI〕1995年公布了?信息平安管理指南?〔BS7799〕，BS7799分为两个局部：BS7799-1?信息平安管理实施规那么?和BS7799-2?信息平安管理体系标准?。2002年又公布了?信息平安管理系统标准说明?〔BS7799-2:2002〕。它将信息平安管理的有关问题划分成了10个控制要项、36个控制目标和127个控制措施。目前，在BS77992中，提出了如何了建立信息平安管理体系的步骤。在信息平安管理体系的核心部位是风险评估和风险管理。目前，全球通过BS7799认证的数量已到达282家，其中绝大局部分布在欧洲和亚洲，整个中国地区〔包括香港和台湾在内〕通过BS7799认证的数量已有18家。德国的联邦信息技术平安局的信息平安管理是通过他们2001年7月公布和不断更新的?信息技术基线保护手册?〔ITBaselineProtectionManual(ITBPMorBPM)〕来加以指导的。BPM比英国的BS7799更加详细地对威胁和平安措施加以了分类，具体地开列威胁清单和平安措施清单，并通过维护网上更新来实现与时俱进的平安需求。该文将威胁目录分为五类272种〔严重影响13种，机构缺陷67种，人为故障47种，技术故障43种，成心行为102种〕，平安措施目录分为六类607种〔根底设施类57种，机构类226种，个人类26种，软件和硬件类135种，通信类88种，意外事故方案类75种〕。澳大利亚/新西兰风险管理准那么联合委员会于1995年公布了世界上第一部风险管理的正式标准：AS/NZS4360。这是一个针对普遍风险〔而非信息平安风险〕的风险管理标准，成为关注一般风险管理的人员的通用准那么。AS/NZS4360在1999年又公布了其修改版本。澳大利亚的经验说明：这些准那么虽然不能直接为内部审计人员提供一个风险模型，但却为产生风险模型奠定了根底。加拿大风险管理准那么委员会于1997年公布了?风险管理：决策者的指导?〔AN/CSAQ850-97〕。国际标准化组织在信息平安管理方面，早在1996年就开始制定?信息技术信息平安管理指南?〔ISO/IEC13335〕，它分成?信息平安的概念和模型?、?信息平安管理和规划?、?信息平安管理技术?、?基线方法?、?网络平安管理指南?五个局部。其后，国际标准化组织又通过了依据BS7799-1制定的?信息平安管理实施指南?〔ISO/IEC17779:2000〕，提出了基于风险管理的信息平安管理体系。综观国际情况，信息平安风险评估经历了一个从只重技术到技术、管理并重的全面评估，从单机到网络再到信息系统根底设施，从单一平安属性到多种平安属性开展。当前，正在信息保障的概念下，还处在不断深化完善之中。总体上看，虽然传统的风险评估不是一个陌生问题。但是信息系统的平安风险评估在国际上仍是一个尚在探讨的未决问题。美国国家平安局的有关领导曾检讨道，橘皮书时代提出过军队和政府的信息系统在某个时段应到达某个平安级别的要求，但是，实际上他们仅仅落实了一批经过测评认证的平安产品，而系统平安什么也没有作到。近年来，美国的信息平安研究人员正加紧工作，方案在国家标准和技术研究所〔NIST〕制定的以SP800-37为核心的配套指南完善后，于2004年开展新一轮的联邦信息系统认证认可工作。我国信息系统平安风险评估

的现状和问题我国的信息系统平安评估工作是随着对信息平安问题的认识的逐步深化不断开展的。早期的信息平安工作中心是信息保密，通过保密检查来发现问题，改进提高。80年代后，随着计算机的推广应用，随即提出了计算机平安的问题，开展了计算机平安检查工作。但是，当时缺乏风险意识，在领导和信息系统管理者的思想中，通常追求的是万无一失、绝对平安。90年代后，随着互连网在我国得到了广泛的社会化应用，国际大环境的信息平安问题和信息战的威胁直接在我国的信息环境中有所反映。1994年2月公布的?中华人民共和国计算机信息系统平安保护条例?提出了计算机信息系统实行平安等级保护的要求。其后，在有关部门的组织下，不断开展了有关等级保护评价准那么、平安产品的测评认证、系统平安等级划分指南的研究，初步提出了一系列相关技术标准和管理标准。信息平安的风险意识也开始建立，并逐步有所加强。目前，就信息平安保障的主管机关而言，国家保密管理部门，由于有优良的工作传统、组织机构和国家保密法的依据，思想明确，技术标准相对齐全，工作力度比较强，到位情况比较好。计算机网络平安管理部门经过二十多年的探索准备以及对犯罪案件和平安事件的侦破处理，积累了经验和知识，组织制定了一系列的技术标准，正在为实施计算机信息系统平安的等级保护制度进行试点和政策性文件的准备。但密码管理、保密管理、计算机网络信息平安管理、信息内容平安管理等部门的协调协同还有待加强。从本课题调研的情况看，我国各个部门和行业对信息平安风险评估的认识和开展的情况是不平衡的。国内现阶段风险评估的状况，可分为以下几类：一是有认识、有行动、有措施、有效果；二是有认识、有行动但措施不当；三是有认识、无行动、无措施；四是无认识、无行动、无措施。国家部门建立的测评认证机构：在国家标准GB17859-1999和GB/T18336-2001的原那么指导下，进行了大量的平安产品的功能评测，并逐步向平安产品的性能评测、平安性评测提高。通过自己的工作实践和社会需求的牵引，并在注意到美国提出的联邦IT系统平安认证认可指南等国外动态后，逐步认识到，仅仅进行平安产品的测评认证不能解决信息系统的平安。因此，国家部门建立的测评认证机构开始把信息系统的平安评测纳入自己的工作范畴，风险评估一般也作为系统平安评估的一个环节，纳入其中。开展了风险评估的国内信息平安厂商：国内已经有一批信息平安企业〔如30盛安、启明星辰、联想、科友、绿盟、思乐等〕开始对客户提供信息系统平安评估效劳，并且承担了一些行业单位的系统平安评估工作。他们一般参考国际标准〔多数参考BS7799、ISO/IEC17799、SSE-CMM、AS/NZS4360，有的仅参考信息平安产品评测标准，如CC等〕和我国的国家标准GB17859。评估工具一般使用自己开发或免费获得的系统漏洞扫描软件。评估过程一般是在签定保密协议的前提下，阅读被评单位的平安管理文档和系统设计文档、问卷调查、现场考察、扫描漏洞〔个别企业会开展渗透性测试〕并最终给出评估报告和平安改进建议。外资企业在我国进行的系统平安评估：外资企业〔如安氏中国、英国BSI、IBM、微软等〕已经涉足我国的信息系统平安评估工作，并且围绕着信息平安技术及平安评测，进行了一些教育培训和系统评估的工作，甚至在很多关键行业〔如银行、电信行业〕，开展了较多的风险评估效劳。从积极意义上看，他们带来了国外风险评估的理念和标准，宣传了风险评估的重要性和必要性，培养了一批进行系统平安评估的技术人员〔其中不少已经回流到国内平安企业，成为这些厂商进行平安评估、平安产品设计开发、平安效劳的业务骨干〕。信息化依赖程度高的行业和部门：如海关总署、电力、金融、铁路、通信、宝钢、上海社会保障中心等行业和部门，信息化手段已经成为其生产第一线上不可或缺的工作平台。其中有的单位也发生过一些平安事件，对正常生产带来了一些影响。在平安事件的驱动下，行业管理部门制定了针对本行业有关信息平安要求的文件。这些行业重视了生产系统和办公系统以及互连网之间的隔离和平安防护，并针对性地进行了一些风险评估工作。有的单位还建立了行业性的信息平安实验室，开展了针对本行业的信息平安需求和解决方案的研究与规划实施。但多数单位还是请信息平安产业〔甚至请外资企业〕和本单位的人员结合开展风险评估工作。信息化依赖程度低的行业和部门：这类行业和部门，信息化程度不高，依赖程度不强。一般对信息平安的内涵和外延、信息平安保障的技术和管理涉足不深，认识模糊，风险概念不强，有的处于方案进行风险评估的状态，有的还根本没有提上议事日程。仍然存在的问题：1．信息系统平安风险评估的研究积累缺乏。信息系统风险评估既是一个管理问题，也是一个技术问题。科学的风险评估需要理论、方法、技术和工具来支撑。我国的科学研究方案中，有关信息系统平安风险评估的重点科研工程非常之少。对国际上的理论和技术开展的了解、跟踪、分析也不够系统、深入和广泛。特别是随着信息化应用的日益拓展，风险已经不仅仅来自于通用的信息技术平台，而更进一步与各个行业的应用、效劳、生产的特性密切相关。因此，仅靠目前的IT企业，通用技术平台的脆弱性分析，难以真正掌握和了解具体行业、部门的资产、威胁和风险。不但需要深化研究IT技术平台的共性化的风险，还需要推动对不同行业部门的个性化风险的深化研究，否那么风险评估将会出现关注面的缺失。2．缺乏信息系统平安风险评估的标准化标准。计算机信息系统平安等级保护制度的贯彻中，提出了“谁主管，谁负责。谁运营，谁负责〞的原那么。但是，急需解决的是什么才是真正意义上的负责，怎样才算负责。这需要针对风险评估的任务、责任、过程、程序制定标准的标准，才能统一要求，落到实处。否那么，必然是风险评估工作的效果受限于各部门和个人的认识，这些部门有什么认识，有多大能力，风险评估就只能进行到什么程度，参差不齐，难以达标。3．熟悉和有能力进行风险评估的专业技术和管理人才匮乏。调研中，各单位普遍反映，熟悉和有能力进行系统平安建设甚至是风险评估的专业技术和管理人才严重匮乏。一些已开始进行信息系统平安评估的国内企业，也是骨干成员边学习，边培养一般业务人员，边进行评估工程。不少骨干来自在外资信息平安企业工作回流的人员。被评单位更是缺乏有能力进行配合的人员。在很多单位中，平安技术管理部门的人员一般认为聘请外单位进行评估有“外来的和尚好念经〞的效果，这样的评估结论容易引起领导重视，认为能够促使领导下决心加大平安投入的力度。4．信息系统平安风险评估的角色和责任混乱。风险评估是责任性极强的严肃工作。评估中应该有什么人参加？他们应该扮演什么角色？承担什么责任？这些责任通过什么过程和手续表达？这一系列的问题还没有明确的答案。评估工作常出现评估方和被评单位两不满意的情况。有的被评单位在工作进行到一定阶段后，认为评估结论不用请人来做也能想出〔对信息平安管理体系的评估尤其如此〕，而且还花费了很多资金。而评估方也感到委屈，认为自己在评估工作中投入的本钱已经很大，评估的程度也很深，却得不到对方认同。此外，目前由信息平安企业实施的风险评估工作中，被评单位的实际配合往往不够，限制颇多，使评估方难于了解该单位的业务特点和管理要求。评估结果有时缺乏严肃的认可。改进工作的建议和结论时遭束之高阁。很多单位的风险评估工作没有与信息系统的生命周期和平安建设联系起来，仅仅是为了评估而评估，由于在风险评估后没有针对风险评估的结果采取对策，平安状况最终并未取得实质性的增强和改善，这些风险评估工作仅仅起到了应付领导的作用。5．风险评估存在风险。由于与信息系统漏洞有关的信息、各单位信息平安保障的现状和问题是涉及单位要害、利益、声誉的事项，所以风险评估是敏感的工作。调研中一些单位反映了如下一些情况：有的公司参加评估的人员，在离职赴国外学习中，将被评单位的问题和解决方法作为自己的学业论文内容公诸于世。有的公司把为某单位的评估工程作为自己的成功案例公诸于世。某单位在进行风险评估前，虽然也存在网络入侵现象，但是这些入侵仅处于试探和扫描状况。在请外部单位进行评估检测之后，入侵者反而直奔系统要害而来了。总之，我国在信息平安的测评认证方面开展了一些工作，积累了一些经验，但是对信息系统的风险评估还处于起步阶段，有待标准提高，并需纳入等级保护的总体制度和机制中。已经显现的问题和可能发生的问题，也有待深入研究，提出解决方法。什么是信息平安风险评估风险是个传统概念天有不测风云，人有旦夕祸福IT成为成熟的生产力还要走很长的路RSA2004会议的一个报告提出问题为什么是今天的软件工程方法学有缺点为什么软件缺点对cybersecurity是一个关键的挑战我们为什么应该立刻修正我们写软件的方式我们如何测度软件质量和软件平安性我们必须对软件开发者提供什么鼓励Complexity:BugsperKLOC5B/KLOCinQA-testedsoftware

QAtestingincludesfaultinjectionandfailureanalysis

50B/KLOCinfeature-tested(commercial)softwareExamplesSolaris7=400KLOC2K–20Kbugs

Linux=<1.5MLOC7.5K–75KbugsWindowsNT=35MLOC175K–1.75MbugsWindowsXP=40MLOC200K–2.00MbugsBoeing777=7MLOC35K–350Kbugs数学支持攻击者

冲击波的成功是符合逻辑的考虑30K节网络(中型的公司)每个节平均有3,000个exe模块每个模块有关100KB假设每行代码(LOC)=10byte代码然后每个100KBexe模块=10KLOC每个模块有约50(到500)bug这样每个主节点存在150K(到1.5M)bug在这样的网络中150Kbug*30K节点=4.5Bbug假定10%的bug能造成平安失败那么有45M个可被远程利用的bug信息化的开展在数字世界凸显了风险面对对风险存在不同认识有的同志把信息平安目标定位于:系统永不停机数据永不丧失网络永不瘫痪信息永不泄密有的同志认为信息平安无能为力美国FBI对付不了黑客信息平安专家对付不了中学生有的同志觉得信息平安问题越来越说不清楚信息系统是一个智能化、人机交互、非线性、时变、复杂、巨系统出路何在？科学的开展观人类对真理的认识是一个不断的求极限的过程具体问题具体分析是认识论的精髓实践是检验真理的唯一标准信息系统的平安风险

信息系统的平安风险，是由来自人为的与自然的威胁利用系统存在的脆弱性造成的平安事件发生的可能性及其可能造成的影响。信息平安风险评估

依据国家有关的政策法规及信息技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等平安属性进行科学、公正的综合评估的活动过程。它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据平安事件发生的可能性和负面影响的程度来识别信息系统的平安风险。人们的认识能力和实践能力是有局限性的，因此，信息系统存在脆弱性是不可防止的。信息系统的价值及其存在的脆弱性，使信息系统在现实环境中，总要面临各种人为与自然的威胁，存在平安风险也是必然的。信息平安建设的宗旨之一，就是在综合考虑本钱与效益的前提下，通过平安措施来控制风险，使剩余风险降低到可接受的程度。因为任何信息系统都会有平安风险，所以，人们追求的所谓平安的信息系统，实际是指信息系统在实施了风险评估并做出风险控制后，仍然存在的剩余风险可被接受的信息系统。因此，要追求信息系统的平安，就不能脱离全面、完整的信息系统的平安评估，就必须运用信息系统平安风险评估的思想和标准，对信息系统开展平安风险评估。信息平安风险评估的根本要素

资产威胁脆弱性风险

使命：一个单位通过信息化要来实现的工作任务。依赖度：一个单位的使命对信息系统和信息的依靠程度。资产：通过信息化建设积累起来的信息系统、信息、生产或效劳能力、人员能力和赢得的信誉等。价值：资产的重要程度和敏感程度。威胁：一个单位的信息资产的平安可能受到的侵害。威胁由多种属性来刻画：威胁的主体〔威胁源〕、能力、资源、动机、途径、可能性和后果。脆弱性：信息资产及其防护措施在平安方面的缺乏和弱点。脆弱性也常常被称为弱点或漏洞。风险：风险由意外事件发生的可能性及发生后可能产生的影响两种指标来衡量。风险是在考虑事件发生的可能性及其可能造成的影响下，脆弱性被威胁所利用后所产生的实际负面影响。风险是可能性和影响的函数，前者指威胁源利用一个潜在脆弱性的可能性，后者指不利事件对组织机构产生的影响。剩余风险：采取了平安防护措施，提高了防护能力后，仍然可能存在的风险。平安需求：为保证单位的使命能够正常行使，在信息平安防护措施方面提出的要求。平安防护措施：对付威胁，减少脆弱性，保护资产，限制意外事件的影响，检测、响应意外事件，促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。要素关系图〔一〕要素关系图〔二〕安全分类基于由于丧失保密性、完整性和可用性而给单位带来的潜在影响，为信息系统划分安全类别风险评估对信息系统面临的潜在威胁及其脆弱性进行标识，对规划实现或实际已经实现的安全防护措施及其对单位的潜在影响加以分析，确定预期的残余风险信息系统对安全防护措施的验证（认证）通过已建立的验证技术和流程来确定信息系统中安全防护措施的有效性；确定信息系统中的实际脆弱性，并给出矫正动作建议安全防护措施的集成将安全防护措施集成到信息系统中；使用安全实施指南来确保正确的安全设置和切换；在交付和安装之后实施集成和可接受性测试持续监视定期验证信息系统中的安全防护措施，以确保其连续有效性；报告安全状态配置管理和控制对信息系统及其运行环境中的变更进行控制和记录；对这些变更的安全影响进行评估安全授权（认可）确定并接受单位的残余风险；批准信息系统在特定的运行环境中投入运行安全计划确定并记录信息系统的安全要求和安全防护措施（无论是规划中还是已经部署好的）落实安全防护措施为信息系统设计、开发和实现安全防护措施开发性安全测试和评估制定安全测试和评估计划；在采用之前对信息系统中的安全防护措施实施测试和评估启动风险评估过程为什么要进行风险评估信息平安风险评估的目标和目的

信息系统平安风险评估的总体目标是：效劳于国家信息化建设，促进信息平安保障体系的建设，提高信息系统的平安保护能力。信息系统平安风险评估的目的是：认清信息平安环境、信息平安状况；达成共识，明确责任；采取或完善平安保障措施；保持信息系统的建设与信息平安策略的一致性和持续性。信息平安风险评估的近期目标是：贯彻落实27号文件；启动评估工作流程、工作标准、评估标准的研究与制定；推进根底信息网络和重要信息系统的风险评估试点示范工作；促进信息系统平安等级保护制度的建设。风险评估的意义和作用

1.风险评估是信息系统平安的根底性工作信息平安中的风险评估是传统的风险理论和方法在信息系统中的运用，是科学地分析和理解信息与信息系统在保密性、完整性、可用性等方面所面临的风险，并在风险的减少、转移和躲避等风险控制方法之间做出决策的过程。风险评估将导出信息系统的平安需求，因此，所有信息平安建设都应该以风险评估为起点。信息平安建设的最终目的是效劳于信息化，但其直接目的是为了控制平安风险。只有在正确、全面地了解和理解平安风险后，才能决定如何处理平安风险，从而在信息平安的投资、信息平安措施的选择、信息平安保障体系的建设等问题中做出合理的决策。进一步，持续的风险评估工作可以成为检查信息系统本身乃至信息系统拥有单位的绩效的有力手段，风险评估的结果能够供相关主管单位参考，并使主管单位通过行政手段对信息系统的立项、投资、运行产生影响，促进信息系统拥有单位加强信息平安建设。2.风险评估是分级防护和突出重点原那么的具体表达信息平安建设的根本原那么包括必须从实际出发，坚持分级防护、突出重点。风险评估正是这一原那么在实际工作中的具体表达。从理论上讲，不存在绝对的平安，实践中也不可能做到绝对平安，风险总是客观存在的。平安是风险与本钱的综合平衡。盲目追求平安和回避风险是不现实的，也不是分级防护原那么所要求的。要从实际出发，坚持分级防护、突出重点，就必须正确地评估风险，以便采取科学、客观、经济和有效的措施。3.加强风险评估工作是当前信息平安工作的客观需要和紧迫需求由于信息技术的飞速开展，关系国计民生的关键信息根底设施的规模越来越大，同时也极大地增加了系统的复杂程度。兴旺国家越来越重视信息平安风险评估工作，提倡风险评估制度化。他们提出，没有有效的风险评估，便会导致信息平安需求与平安解决方案的严重脱离。因此，美国国家平安局强调“没有任何事情比解决错误的问题和建立错误的系统更没有效率的了。〞这些兴旺国家近年来大力加强了以风险评估为核心的信息系统平安评估工作，并通过法规、标准手段加以保障，逐步以此形成了横跨立法、行政、司法的完整的信息平安管理体系。在我国目前的国情下，为加强宏观信息平安管理，促进信息平安保障体系建设，就必须加强风险评估工作，并逐步使风险评估工作朝向制度化的方向开展。怎样进行风险评估从使命出发确认资产及其依赖度从资产的重要性和敏感程度〔CIA〕判断面对的威胁识别确定脆弱性分析威胁利用脆弱性对资产造成损失的可能性和可能产生的影响形成报告，提出选择适宜的平安控制措施的建议风险评估的一般工作流程

风险评估对信息系统生命周期的支持

生命周期阶段阶段特征来自风险管理活动的支持阶段1——规划和启动提出信息系统的目的、需求、规模和安全要求。风险评估活动可用于确定信息系统安全需求。阶段2——设计开发或采购信息系统设计、购买、开发或建造。在本阶段标识的风险可以用来为信息系统的安全分析提供支持，这可能会影响到系统在开发过程中要对体系结构和设计方案进行权衡。阶段3——集成实现信息系统的安全特性应该被配置、激活、测试并得到验证。风险评估可支持对系统实现效果的评价，考察其是否能满足要求，并考察系统所运行的环境是否是预期设计的。有关风险的一系列决策必须在系统运行之前做出。阶段4——运行和维护信息系统开始执行其功能，一般情况下系统要不断修改，添加硬件和软件，或改变机构的运行规则、策略或流程等。当定期对系统进行重新评估时，或者信息系统在其运行性生产环境（例如新的系统接口）中做出重大变更时，要对其进行风险评估活动。阶段5——废弃本阶段涉及到对信息、硬件和软件的废弃。这些活动可能包括信息的移动、备份、丢弃、破坏以及对硬件和软件进行的密级处理。当要废弃或替换系统组件时，要对其进行风险评估，以确保硬件和软件得到了适当的废弃处置，且残留信息也恰当地进行了处理。并且要确保系统的更新换代能以一个安全和系统化的方式完成。从风险评估实施的时机划分，可以分为面向待建系统的风险评估和面向运行系统的风险评估。对于待建系统，如果已经有了设计方案或平安方案，那么可以从这些文档中标识出局部脆弱性，如果系统建设尚处在启动或提议阶段，那么无从评估其脆弱性，上述工作流程可以简化，省略对脆弱性的评估。当前存在的风险评估理论和工具

当前，存在很多风险评估的理论，这些方法遵循了根本的风险评估流程，但在具体实施手段和风险的计算方法方面各有不同。从计算方法区分，有定性的方法、定量的方法和半定量的方法。从实施手段区分，有基于树的技术、动态系统的技术等。在风险评估的某些具体阶段〔例如威胁评估或脆弱性评估中〕，也存在更多的理论和方法，如脆弱性分类方法、威胁列表等。评估工具目前存在以下几类：扫描工具：包括主机扫描、网络扫描、数据库扫描，用于分析系统的常见漏洞；入侵检测系统〔IDS〕：用于收集与统计威胁数据；渗透性测试工具：黑客工具，用于人工渗透，评估系统的深层次漏洞；主机平安性审计工具：用于分析主机系统配置的平安性；平安管理评价系统：用于平安访谈，评价平安管理措施；风险综合分析系统：在根底数据根底上，定量、综合分析系统的风险，并且提供分类统计、查询、TOPN查询以及报表输出功能；评估支撑环境工具:评估指标库、知识库、漏洞库、算法库、模型库。等级保护、认证认可、风险管理、风险评估的关系

等级保护是计算机信息系统信息平安保障的重要制度和任务。1994年?中华人民共和国计算机信息系统平安保护条例?中正式提出了实施等级保护的要求。2003年中办发27号文件重申了这一重要任务。信息系统平安认证认可是兴旺国家普遍采取的信息系统平安评估与管理模式。由于信息系统不是产品，不具有流通性，对信息系统平安的认证是指运用技术和管理检查手段来测试、分析、评价信息平安保障是否到位。信息平安产品的认证是信息系统平安认证的前提和根底，但不能代替对信息系统平安的认证。信息系统平安认可那么是单位的管理层或上级主管机关依据平安认证的结果，判断信息系统中存在的剩余风险是否可以接受，从而决定是否允许信息系统投入建设或运行的过程。风险管理是平安管理的重要组成局部。它包括：风险评估、风险控制〔实施本钱效益分析，选择平安防护措施来控制风险〕以及根据风险评估结果对信息系统的运行中的相关事项〔例如是否批准系统投入运行、是否加大信息平安建设投资等〕做出决策。风险评估是认证认可和风险管理的重要组成局部，没有风险评估，认证认可和风险管理就会成为无源之水、无本之木，缺乏决策行动的依据与方向。但风险管理属于概念和方法学的范畴，而认证认可那么属于实践的层次，认证认可本身便是一种风险管理的实施措施。自评估、强制性检查评估与委托评估

自评估是信息系统拥有单位，依靠自身力量，对自有的信息系统进行的风险评估活动。信息系统的风险，不仅仅来自信息系统技术平台的共性，还来自于特定的应用效劳。由于具体单位的信息系统应用效劳各具特性，这些个性化的过程和要求往往是敏感的，而且是没有长期接触该单位所属行业和部门的人难于在短期内熟悉和掌握的。因此，自评估有利于保密；有利于发挥行业和部门内的人员的业务特长；有利于降低风险评估的费用；有利于提高本单位的风险评估能力与信息平安知识。但是，如果没有统一的标准和要求，在缺乏信息系统平安风险评估专业人才的情况下，自评估的结果可能不深入，不标准，不到位。自评估中，也可能会存在来自于本单位或上级单位领导的不利干预，从而出现风险评估结果不够客观或评估结果的置信度较低等问题。某些时候，即使自评估的结果比较客观，但也可能不会被管理层所信任。这种情况下，如果确实有必要实施自评估，或自评估的结果对管理层的决策关系重大，那么可以采取专家组论证的方式加以解决。强制性检查评估那么由信息平安主管机关或业务主管机关发起，旨在依据已经公布的法规或标准，检查被评估单位是否满足了这些法规或标准。这种评估具有强制性，是一种纯粹意义上的他评估，单位自身不能对该过程进行干预。此外，强制性检查评估必须以明确的法规或标准为根底。这是通过行政手段加强信息平安的重要手段。委托评估指信息系统使用单位委托具有风险评估能力的专业评估机构〔国家建立的测评认证机构或平安企业〕实施的评估活动。它既有自评估的特点〔由单位自身发起，且本单位对风险评估过程的影响可以很大〕，也有他评估的特点〔由独立与本单位的另外一方实施评估〕。在委托评估中，接受委托的评估机构一般拥有风险评估的专业人才，风险评估