信息安全风险评估技术简介112

信息平安风险评估技术简介宁家骏〔国家信息中心信息平安研究与效劳中心〕2005.12

提纲一、信息平安形势需要评估二、信息化风险及风险管理研究三、信息平安风险评估技术导引四、信息平安风险评估试点经验珍贵加强信息平安保障工作是当前形势的需要落实27号文件，一手抓信息化，一手抓平安，谁主管谁负责，谁运营谁负责积极防御、综合防范重点保障网络根底设施和重要信息系统的平安正确处理等级保护与风险评估的关系加强信息平安根底设施建设我国信息平安问题的突出表现病毒肆虐、黑客侵扰、系统故障等造成的经济损失呈逐年增长态势境外敌对势力利用信息通讯网络造谣诽谤、组织发动、煽动闹事和破坏；国外反华势力加大对我意识形态和文化渗透。不良和有害信息屡禁不止，利用信息网络技术从事犯罪活动日益猖獗，网络群体层出不穷，网上舆论传播直接影响社会稳定。通讯与信息网络上失密、泄密及窃密事件时有发生。直接影响到政府管理效率和公众形象。环境和背景近年来，我国经济社会持续快速开展开展，信息化步伐加快，在促进经济开展、调整经济结构、改造传统产业和提高人民生活质量等方面发挥了不可替代的重要作用。一方面社会经济对信息化的依赖程度越来越高，同时逐步建设和积累了一批珍贵的信息资产。与之而来的各类计算机犯罪及“黑客〞攻击网络事件屡有发生，手段也越来越高技术化，从而对各国的主权、平安和社会稳定构成了威胁。计算机互联网络涉及社会经济生活各个领域，并直接与世界相联，可以说是国家的一个政治“关口〞，一条经济“命脉〞。网络与信息平安已上升为一个事关国家政治稳定、社会安定、经济有序运行和社会主义精神文明建设的全局性问题。我国面临的信息平安问题的性质我国面临的信息平安问题已不再是一个局部性和技术性的问题，而是一个跨领域、跨行业、跨部门的综合性平安问题。它不仅是一个“不对称〞的高技术对抗问题，而且是一个直接影响国计民生、关乎国家平安与政权稳定的现实问题。确保信息网络平安也正在成为新世纪国家平安的重要基石和根本内涵。病毒等网络欺诈行为导致全球经济损失惊人最近Gartner组织公布了一项研究报告：每年由于病毒等网络欺诈行为导致全球经济损失高达160多亿美元。“表哥，你最近还好吗？知道我是谁吗？看了我的相片你就知道了！〞这是在上海某银行上班的杨先生收到一封邮件，谁知邮件还未翻开，电脑出现了黑屏。杨先生还没有弄清是哪个“表妹〞发来的玉照便丧失了大量银行保密资料，给单位造成的损失无法估量。去年6月浙江警方破获一起“黑客窃取网游密码案〞，单单一个黑客就窃取网游账号6万多个，价值上百万元。去年6月3日至9月19日，就发现较大规模僵尸网络59个，平均每天发现3万个受黑客控制的“僵尸〞计算机。包含间谍软件、恶意插件和浏览器劫持在内的流氓软件也大行其道，它们侵入用户电脑安装插件和后门程序，窃取个人信息，一年之内使自己的流量上升600%；而通过设立搏彩、低价网络购物等欺诈性网站直接骗取用户钱财等等，更是数不胜数。从鸩酒到慢药：“混合性威胁〞的时代已经到来根据IDC最新的调查结果，如今计算机用户面临的三项最严重的平安威胁依次是垃圾邮件、DdoS攻击和网上欺诈。与前些年平安威胁大多来自病毒和蠕虫等的大规模猛烈爆发不同，近年来各种各样的“谍件〞或恶意代码开始在网上肆虐，其疯狂程度已超过了传统的病毒威胁。倘假设把病毒比作剧毒的鸩酒，那么“间谍软件〞就如同小说里的“慢药〞，毒性更强，中毒后还不易被觉察。由于利益驱动，“间谍软件〞大都采用巧妙的形式潜伏于用户的个人电脑中，它们更难被被发现，却能窃取用户珍贵个人资料，以非法获利，这就是“网上欺诈〞。今天用户面对的平安威胁更复杂，经常是由多种善变的威胁组成的“混合型威胁〞，包括病毒、蠕虫、间谍软件、拒绝效劳攻击等。网络平安问题正日益严峻。科研、产业与服务体系技术与管理标准体系国家信息平安保障体系

提纲一、信息平安形势依然严峻二、信息化风险及风险管理研究三、信息平安风险评估技术导引四、信息平安风险评估试点经验珍贵二、信息化风险及风险管理研究随着信息化的开展，信息化的风险与风险管理问题已经成为各个国家、国际组织所普遍关注的问题。信息化的风险管理，其中信息平安风险和保障网络空间的平安已经成为关系信息化能否健康开展的重大问题。2.1信息化风险的定义风险指行动或者事件的结果的不确定性〔uncertaintyofoutcome〕。信息化的风险被界定为信息化可能或者实际带来的消极威胁。风险管理泛指评估风险、确认风险、回应风险的过程。2.2信息平安根本属性机密性Confidentiality完整性Integrity可用性Availability2.3信息化风险的主要特征

全球性传染性复杂性隐蔽性

信息平安范畴平安组织访问控制业务不间断运转物理平安等等……入侵预防与检测2.4信息化风险的内在原因

根本原因在于内因，由信息化自身的特点所决定：第一，信息化的无疆界特征；第二，信息化的低本钱特征；第三，信息化的开放性特征；第四，信息化的匿名性特征。第一，自然灾害；第二，误操作和平安生产事故；第三，病毒、蠕虫以及网络攻击；第四，由于信任体系不完善，借助信息化手段进行欺诈；第五，因内部因素而造成的信息、数据的修改和丧失和内部泄密；；第六，因外部因素造成信息、数据的泄露、篡改和丧失；第七，平安防范措施不到位的高端技术。2.5信息化风险的外部原因2.6我国信息平安风险的生成机理第一，战略能力缺乏，规划不明确。〔1〕缺乏工程的建设战略〔2〕缺乏工程的中长期开展规划〔3〕缺乏明确工程的开展步骤〔4〕缺乏工程的阶段性绩效标准第二，领导与组织能力不到位，统筹协调不力领导对于风险管理的重视缺乏，无视信息化工程的风险问题；信息化目标的错误设定，片面追求某些指标，无视质量；信息孤岛问题以及跨部门之信息化进程的协调问题；信息平安总体设计不到位；工程建设规划、评估和监理存在缺位和缺乏2.6我国信息平安风险的生成机理〔续〕第三，信息化管理的能力差，管理体系不成熟。〔1〕对信息化管理的理念认识和关注缺乏；〔2〕管理根底〔包括信息化建设中决策机制、信息透明和公开、实施过程的监督等〕不完善；〔3〕缺乏信息化建设周期中质量控制和评估标准；2.6我国信息平安风险的生成机理〔续〕第四，平安子系统建设资金的预算和管理能力差〔1〕对信息系统未作风险评估和分析，平安子系统建设投资预算缺乏科学依据或过度保护或保护不力；〔2〕总体资金支持缺乏；〔3〕信息平安投资的回报难以监控和评估。2.6我国信息平安风险的生成机理〔续〕第五，人力资源缺乏〔1〕缺乏信息平安风险管理的人员〔2〕缺乏具备信息平安管理能力和资格的人员；〔3〕培训滞后于工程，培训效果差。2.6我国信息平安风险的生成机理〔续〕第六，法规、标准与政策滞后于信息化开展相关法制工作滞后于信息化建设需求；首先，缺乏对信息化的全面立法支持，缺乏保障政府信息化的根本法律，如政府信息公开法、政府信息资源管理法。其次，原有的一些法律已不能适应信息化时代的要求，如著作权法、专利法、刑法等，亟待修订。再次，缺乏对信息平安风险的管理标准和技术标准。2.6我国信息平安风险的生成机理〔续〕第七，保护隐私，数据平安，技术管理方面的缺乏。在泄露隐私方面：〔1〕不当授权他人或机构滥用用户信息；〔2〕未遵循法律或法规制定相应的隐私和记录管理政策。在影响数据平安方面：〔1〕工作人员对平安因素和措施缺乏足够认知；〔2〕难以解决相关平安问题；〔3〕病毒或黑客攻击导致系统瘫痪；〔4〕由于一个主要系统瘫痪导致其它系统的失灵。2.6我国信息平安风险的生成机理〔续〕

提纲一、信息平安形势需要评估二、信息化风险及风险管理研究三、信息平安风险评估技术导引四、信息平安风险评估试点经验珍贵克服平安“亚健康〞的必由之路医学专家告诉我们：人的躯体有健康、亚健康和患病等多种状态但成年人多数处于亚健康状态如何确认和发现问题，必须体检信息系统也一样，在平安状态方面，常常处于“亚健康〞甚至患病状态，因此也要“体检〞—这就是风险评估居安思危，思那么有备温总理：清醒就是要认识到我们已经取得的成绩，只是在现代化的进程迈出了第一步，今后的路还更长，更艰苦。形势稍好，尤需兢慎。思所以危那么安，思所以乱那么治，思所以亡那么存。?左传?云：“居安思危，思那么有备，有备无患，敢以此规。〞平安风险评估同样蕴涵了这一思想。曾有一个关于名医扁鹊的传说。扁鹊有兄弟三人，有一次齐国国君问他：“其孰最善为医？〞扁鹊答：两个哥哥都在自己之上。齐王不解。扁鹊说：两个哥哥都是治大病于小恙，或者防病于未然，而他是直到病人病情完全显露，才能加以诊治。扁鹊的话告诉我们一个简单的道理：事后控制不如事中控制，事中控制不如事前控制。健康平安是这样，网络信息平安亦然。风险评估的理念平安需要风险管理，信息平安更需要风险管理风险评估是当前解决信息平安问题的重要手段风险评估是一种方法和依据信息平安风险是由于资产的重要性，人为或自然的威胁利用信息系统及其管理体系的脆弱性，导致平安事件一旦发生所造成的影响。信息平安风险评估是指依据有关信息平安技术与管理标准，对信息系统及由其处理、传输和存储的信息的机密性、完整性和可用性等平安属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致平安事件的可能性，并结合平安事件所涉及的资产价值来判断平安事件一旦发生对组织造成的影响，即信息平安的风险。信息平安风险评估是信息系统平安保障机制建立过程中的一种评价方法，其结果为信息平安风险管理提供依据。信息平安风险评估的概念风险评估是对系统进行信息平安风险管理的根底，也是系统的使用单位或组织判定在系统的整个生命周期中，有关风险级别的过程。其结果是残留风险是否到达可接受水平的一个明确界定，或者是一个是否应当实施额外的平安控制以进一步降低风险的结论。信息平安风险定义为有害事件发生的可能性和该事件可能对组织的使命所产生影响的函数。为了确定这种可能性，需要对系统的威胁以及由此表现出来的脆弱性进行分析。影响那么是按照系统在单位任务实施中的重要程度来确定的。对风险评估总体要求的理解风险评估工作总体要求是：充分发挥和调动各方面力量，运用风险管理的思想，通过风险评估，控制和降低风险，全面提高信息系统防护能力，满足信息平安需求，逐步建成有中国特色的风险评估体系。评估我国根底信息网络和重要信息系统，掌握我国根底信息网络和重要信息系统的平安状态，及时采取适宜的应对措施，保障它们的正常运行。通过对国家级重点电子政务系统、电子商务系统以及重要信息根底设施的风险评估工作，从中摸索经验，不断探索，逐步完善我国风险评估工作的管理机制。风险管理贯穿于信息系统生命周期的整个过程风险管理是管理者权衡保护措施的运行和经济本钱与获得的收益之间关系的一个过程。这个过程并不是IT行业所独有的，实际上它普及我们日常生活中需要做出决定的任何事情。进行风险管理的最终目的就是要在这种平衡关系下，将风险最小化，这也是在信息系统生命周期过程中需要实施信息平安风险管理的根本原因。所有与平安性相关的活动都是信息平安风险管理的组成局部。可以说，信息平安风险管理贯穿于系统生命周期的整个过程，即初始阶段、开发/获取阶段、实施阶段、运行/维护阶段。

美国NIST提出的信息系统平安框架风险评估的过程安全措施

抵御业务战略脆弱性安全需求威胁风险残余风险安全事件依赖具有被满足利用暴露降低增加加依赖增加导出演变

未被满足未控制可能诱发残留成本资产资产价值风险要素关系示意图信息系统平安评估体系的构成风险分析的根本要素风险分析中要涉及资产、威胁、脆弱性等根本要素。每个要素有各自的属性资产的属性是资产价值；威胁的属性是威胁出现的频率；脆弱性的属性是资产弱点的严重程度。资产识别资产是具有价值的信息或资源，是平安策略保护的对象。它能够以多种形式存在，有无形的、有形的，有硬件、软件，有文档、代码，也有效劳、形象等。机密性、完整性和可用性是评价资产的三个平安属性。信息平安风险评估中资产的价值不仅仅以资产的账面价格来衡量，而是由资产在这三个平安属性上的达成程度或者其平安属性未达成时所造成的影响程度来决定的。平安属性达成程度的不同将使资产具有不同的价值，而资产面临的威胁、存在的脆弱性、以及已采取的平安措施都将对资产平安属性的达成程度产生影响。为此，有必要对组织中的资产进行识别。资产识别资产定义资产是企业、机构直接赋予了价值因而需要保护的东西。它可能是以多种形式存在，有无形的、有有形的，有硬件、有软件，有文档、代码，也有效劳、企业形象等。通常信息资产的机密性、完整性和可用性是公认的能够反映资产平安特性的三个要素。资产还具有很强的时间特性，它的价值和平安属性都会随着时间的推移发生变化，所以应该根据时间变化的频度制定资产相关的评估和平安策略的频度。资产分类在一般的评估体中，资产大多属于不同的信息系统，如OA系统，网管系统，业务生产系统等。这时首先需要将信息系统及其中的信息资产进行恰当的分类，才能在此根底上进行下一步的风险评估工作。资产赋值资产赋值是对资产平安价值的估价资产分类风险评估中，资产大多属于不同的信息系统，如OA系统、网管系统、业务生产系统等，而且对于提供多种业务的组织，其支持业务持续运行的系统数量可能更多。这时首先需要将信息系统及相关的资产进行恰当的分类，以此为根底进行下一步的风险评估。在实际工作中，具体的资产分类方法可以根据具体的评估对象和要求，由评估者来灵活把握。根据资产的表现形式，可将资产分为数据、软件、硬件、文档、效劳、人员等类。威胁识别威胁定义平安威胁是对机构及其资产构成潜在破坏的可能性因素或者事件。无论对于多么平安的信息系统，平安威胁是一个客观存在的事物，它是风险评估的重要因素之一。威胁分类威胁赋值：评估确定威胁发生的可能性是威胁评估阶段的重要工作，评估者应根据经验和〔或〕有关的统计数据来判断威胁发生的频率或者发生的概率。其中，威胁发生的可能性受以下因素影响：1、资产的吸引力；2、资产转化成报酬的容易程度；3、威胁的技术力量；4、脆弱性被利用的难易程度。脆弱性识别脆弱性定义脆弱性评估也称为弱点评估，是风险评估中重要的内容。弱点是资产本身存在的，它可以被威胁利用、引起资产或商业目标的损害。弱点包括物理环境、机构、过程、人员、管理、配置、硬件、软件和信息等各种资产的脆弱性。脆弱性识别将针对每一项需要保护的信息资产，找出每一种威胁所能利用的脆弱性，并对脆弱性的严重程度进行评估，为其赋相对等级值。脆弱性识别所采用的方法主要为：问卷调查、人员问询、工具扫描、手动检查、文档审查、渗透测试等。脆弱性分类脆弱性主要从技术和管理两个方面进行评估，其中在技术方面主要是通过远程和本地两种方式进行系统扫描；管理脆弱性评估方面可以按照BS7799等标准的平安管理要求对现有的平安管理制度及其执行情况进行检查，发现其中的管理漏洞和缺乏。脆弱性赋值风险识别风险计算风险计算原理形式化描述为：R=f(A,V,T)=f(Ia,L(Va,T))注：R表示风险；A表示资产；V表示脆弱性；T表示威胁；Ia表示资产发生平安事件后对机构业务的影响(也称为资产的重要程度)；Va表示某一资产本身的脆弱性，L表示威胁利用资产的脆弱性造成平安事件发生的可能性。不打无准备之仗—做好准备风险评估的准备是整个风险评估过程有效性的保证。在风险评估实施前，应：确定风险评估的目标；确定风险评估的范围；组建适当的评估管理与实施团队；选择与组织相适应的具体的风险判断方法；获得最高管理者对风险评估工作的支持。风险评估的准备风险评估的准备过程是组织进行风险评估的根底，是整个风险评估过程有效性的保证。确定风险评估的目标确定风险评估的范围建立适当的组织结构建立系统性的风险评估方法获得最高管理者对风险评估筹划的批准风险评估依据1、政策法规：中办发［2003］27号文件和国信办文件2、国际标准：如BS7799-1?信息平安管理实施细那么?、BS7799-2?信息平安管理体系标准?等3、国家标准或正在审批的讨论稿，如GB17859-1999计算机信息系统平安保护等级划分准那么?和?信息平安风险评估指南?等4、行业通用标准等其它标准风险评估原那么1、可控性原那么〔1〕人员可控性〔2〕工具可控性〔3〕工程过程可控性2、完整性原那么严格按照委托单位的评估要求和指定的范围进行全面的评估效劳。3、最小影响原那么从工程管理层面和工具技术层面，力求将风险评估对信息系统的正常运行的可能影响降低到最低限度。4、保密原那么Recommendations评估现状确定范围OrgChartsPolicesITSMOverview报告评审StructuredinterviewsProcessdefinitionsInterviewscheduleProcessrecords评估报告改进工程SIPCustomersurvey评估流程2.5InternalIntegration着重流程内部的集成性2ProcessCapability重视流程执行OtherProcessManagement1.5Mgntintent制定管理规范3.5QualityControl流程质量监控4Mgntinformation提供充分的管理信息Customer1Prerequisites/基本条件4.5ExternalIntegration与其它流程的紧密集成5CustomerInterface流程优化和服务客户3Products流程的可交付物风险计算模型风险计算模型包含信息资产、弱点/脆弱性、威胁等关键要素。每个要素有各自的属性，信息资产的属性是资产价值，弱点的属性是弱点被威胁利用后对资产带来的影响的严重程度，威胁的属性是威胁发生的可能性。风险计算的过程是：对信息资产进行识别，并对资产赋值；对威胁进行分析，并对威胁发生的可能性赋值；识别信息资产的脆弱性，并对弱点的严重程度赋值；根据威胁和脆弱性计算平安事件发生的可能性；结合信息资产的重要性和在此资产上发生平安事件的可能性计算信息资产的风险值。风险结果的判定风险等级的划分确定风险数值的大小不是机构风险评估的最终目的，重要的是明确不同威胁对资产所产生的风险的相对关系，即要确定不同风险的优先次序或等级，对于其中风险级别高的资产应被优先分配资源进行保护。风险等级建议从1到5划分为五级。等级越大，风险越高。风险的等级应得到机构管理层的评审并批准。控制措施的选择剩余风险的评价对于不可接受范围内的风险，应在选择了适当的控制措施后，对剩余风险进行评价，判定风险是否已经降低到可接受的水平，为风险管理提供输入。剩余风险的评价可以依据机构风险评估的准那么进行，考虑选择的控制措施和已有的控制措施对于威胁发生的可能性的降低。风险评估结果纪录根据评估实施情况和所搜集到的信息，如资产评估数据、威胁评估数据、脆弱性评估数据等，完成评估报告撰写。评估报告是风险评估结果的记录文件，是实施风险管理的主要依据，是对风险评估活动进行评审和认可的根底资料，必须做到有据可查报告主要包括风险评估范围、风险计算方法、平安问题归纳及描述、风险级数、平安建议、风险控制措施建议、剩余风险描述等。风险评估过程应形成以下文件：风险评估过程方案、风险评估程序、信息资产识别清单、重要信息资产清单、威胁参考列表、脆弱性参考列表、风险评估记录、风险处理方案：风险评估报告：对整个风险评估过程进行总结，说明机构的风险状况及剩余风险状况，通过管理层的评审，确定评估后的风险状况满足机构业务开展及其他相关方的要求。信息平安风险评估根本方法手动评估：在风险评估工具出现前，平安评估工作都只能手工进行。其劳动量巨大，容易出现疏漏，而且由于依据各自经验，有较大的局限性。工具辅助评估工具的出现在一定程度上解决了手动评估的局限性。1985年，英国CCTA开发了CRAMM风险评估工具。遵循BS7799标准。1991年，C&ASystemSecurity公司推出了COBRA工具，用来进行信息平安风险评估。它可以看作一个基于专家系统和扩展知识库的问卷系统，对所有的威胁和脆弱点评估其相对重要性，并且给出适宜的建议和解决方案，对每个风险类别提供风险分析报告和风险值。技术评估和整体评估技术评估和整体评估技术评估是指对机构的技术根底结构和程序进行系统的、及时的检查，包括对机构内部计算环境的平安性及其对内外攻击脆弱性的完整性攻击。〔1〕评估整个计算根底结构。〔2〕使用软件工具分析根底结构及其全部组件。〔3〕提供详细的分析报告，整体风险评估扩展了上述技术评估的范围，着眼于分析机构内部与平安相关的风险，包括内部和外部的风险源、技术根底和机构结构以及基于电子的和基于人的风险。关注的焦点主要集中在以下4个方面：〔1〕检查与平安相关的实践，标识当前平安实践的优点和弱点。〔2〕包括对系统进行技术分析、对政策进行评审，以及对物理平安进行审查。〔3〕检查IT的根底结构，以确定技术上的弱点。包括恶意代码的入侵、数据的破坏或者消灭、信息丧失、拒绝效劳、访问权限和特权的未授权变更等。〔4〕帮助决策制订者综合平衡风险以选择本钱效益对策定性评估和定量评估定性分析方法是最广泛使用的风险分析方法。该方法通常只关注威胁事件所带来的损失〔Loss〕，而忽略事件发生的概率〔Probability〕。多数定性风险分析方法依据机构面临的威胁、脆弱点以及控制措施等元素来决定平安风险等级。在定性评估时并不使用具体的数据，而是指定期望值，如设定每种风险的影响值和概率值为“高〞、“中〞、“低〞。有时单纯使用期望值，并不能明显区别风险值之间的差异。可以考虑为定性数据指定数值。例如，设“高〞的值为3，“中〞的值为2，“低〞的值为1。但是要注意的是，这里考虑的只是风险的相对等级，并不能说明该风险到底有多大。定量分析方法利用两个根本的元素：威胁事件发生的概率和可能造成的损失。把这两个元素简单相乘的结果称为ALE〔AnnualLossExpectancy〕或EAC〔EstimatedAnnualCost〕。理论上可以依据ALE计算风险等级，并且做出相应的决策。一种定量风险评估方法首先评估特定资产的价值V然后根据客观数据计算威胁的频率P；最后计算威胁影响系数µ，因为对于每一个风险，并不是所有的资产所遭受的危害程度都是一样的，程度的范围可能从无危害到彻底危害。根据上述三个参数，计算ALE：ALE＝V×P×µ定量风险分析方法要求特别关注资产的价值和威胁的量化数据，但是这种方法存在一个问题，就是数据的不可靠和不精确。基于知识的评估和基于模型的评估基于知识的风险评估方法主要是依靠经验进行的，经验从平安专家处获取并凭此来解决相似场景的风险评估问题。这种方法的优越性在于能够直接提供推荐的保护措施、结构框架和实施方案。基于“良好实践〞的知识评估方法提出重用具有相似性机构〔主要从机构的大小、范围以及市场来判断机构是否相似〕的“良好实践〞。基于知识的风险评估方法充分利用多年来开发的保护措施和平安实践，依照机构的相似性程度进行快速的平安实施和包装，以减少机构的平安风险。然而，机构相似性的判定、被评估机构的平安需求分析以及关键资产确实定都是该方法的制约点。平安风险评估是一个非常复杂的任务，这要求存在一个方法既能描述系统的细节又能描述系统的整体。基于模型的评估可以分析系统自身内部机制中存在的危险，同时又可以发现系统与外界环境交互中的不正常并有害的行为，从而完成系统弱点和平安威胁的定性分析。系统平安风险动态分析与评估方法信息平安管理是指导和控制机构的关于信息平安风险的相互协调的活动，关于信息平安风险的指导和控制活动通常包括制定信息平安方针、风险评估、控制目标与方式选择、风险控制、平安保证等。信息平安管理实际上是风险管理的过程，管理的根底是风险的识别和评估。信息平安管理中认为风险的分析与评估是个动态的过程，所以相应得分析与评估方法、评估工具都要表达动态性。PDCA〔PlanDoCheckAction〕是当前代表性的动态风险管理过程，方案〔Plan〕：定义信息平安管理体系得范围，鉴别和评估业务风险。实施〔Do〕：实施同意的风险治理活动以及适当的控制。检查〔Check〕：监控控制的绩效，审查变化中环境的风险水平，执行内部信息平安管理体系审计。改进〔Action〕：在信息平安管理体系过程方面实行改进，并对控制进行必要的改进，以满足环境的变化。典型的风险评估方法1FTA故障树最初是20世纪60年代为便于Minuteman火箭系统的分析而提出的，后来这种方法在航天工业、电子设备、化学工业、机械制造、核工业及一般电站的可靠性分析中得到了广泛应用，并且取得了不少成果。目前它主要用于分析大型复杂系统的可靠性及平安性，被公认为是对复杂系统可靠性、平安性进行分析的一种有效的方法。故障树分析是一种top-down方法，通过对可能造成系统故障的硬件、软件、环境、人为因素进行分析，画出故障原因的各种可能组合方式和/或其发生概率，由总体至局部，按树状结构，逐层细化的一种分析方法。故障树分析采用树形图的形式，把系统的故障与组成系统的部件的故障有机地联系在一起。典型的风险评估方法〔2〕2FMECAFMECA〔故障模式影响及危害性分析〕由两局部工作构成，即故障模式影响分析〔FailureModeandEffectsAnalysis─FMEA〕和危害性分析〔CriticalityAnalysis—CA〕。FMECA〔FailureModeEffectsandCriticalityAnalysis〕是一种可靠性、平安性、维修性、保障性分析与设计技术，用来分析、审查系统及其设备的潜在故障模式，确定其对系统和设备工作能力的影响，从而发现设计中潜在的薄弱环节，提出可能采取的预防改进措施，以消除或减少故障发生的可能性，提高系统和设备的可靠性、平安性、维修性、保障性水平。FMECA是一种bottom-up分析方法，按规定的规那么记录产品设计中所有可能的故障模式，分析每种故障模式对系统的工作及状态〔包括整体完好、任务成功、维修保障、系统平安等〕的影响并确定单点故障，将每种故障模式按其影响的严重度及发生概率排序，从而发现设计中潜在的薄弱环节，提出可能采取的预防改进措施〔包括设计、工艺或管理〕，以消除或减少故障发生的可能性，保证系统的可靠性。典型的风险评估方法〔3〕HazOpHazOp是Hazardandoperabilitystudy的简称，即危害及可操作性研究。HazOp分析是由专家组来进行的，它是一种系统潜在危害的结构化检查方法。专家们通过脑风暴会议方式，确定系统所有可能偏离正常设计的异常运行问题，并分析这种偏离正常运行的原因、可能性和可能造成的后果及后果的严重性等。HazOp是一个定性的标准危害分析技术，可用于一个新的系统或已有系统在更改后的初步平安风险评估。HazOp分析方法的主要目标是识别出存在的问题，而不是解决问题。其生成结果是一个可能危害的列表。对每个危害，需要对可能的原因及后果进行进一步地评估。典型的风险评估方法〔4〕4Markov方法有两个根本的Markov分析方法：Markov链和Markov过程。Markov链是一个随机变量的序列，将来的随机变量只决定于当前的随机变量，但与当前随机变量之前的随机变量无关。这与其他随机事件是不相同的，因为很多随机事件将来的事件发生是要受到以前发生事件的影响的，它们前后存在着较大的相关性，不是相互独立的。Markov链可以是齐次的，也可以是非齐次的。齐次的Markov链的特征是状态间的转移率是常量，而非齐次Markov链的特征那么相反，状态间的转移率是变量，是时间的函数。Markov模型根据系统的初始配置状态，估计从一个状态转移到下一逻辑状态的概率，直到系统到达一个最终或完全失效的状态。Markov过程的一个根本假设是在每个状态，系统的行为是不会被记忆的。Markov过程完全由其转移概率矩阵所确定。一个无记忆系统的特征就是系统的将来状态只取决于其当前状态，而与过去无关。信息平安风险评估根底环境的准备工具风险评估工具风险计算工具风险评估数据收集工具模拟环境测试平台

提纲一、信息平安形势需要评估二、信息化风险及风险管理研究三、信息平安风险评估技术导引四、信息平安风险评估试点经验珍贵风险评估尚需探索、贵在实践去年以来我有幸参加了国信办组织的一些试点工作看到了试点单位的成绩和取得的经验，获益良多也发现了还有不少问题急需探索和研究试点工作目的试点工作的目的是:在现有管理体制下，摸索如何开展信息平安风险评估工作，检验草拟的风险评估相关标准标准的可行性与可用性，为全面推广信息平安风险评估工作和国家出台有关文件做前期准备。在试点工作中将探讨以下问题：探索风险评估管理机制的建设，研究如何落实中办发27号文件“谁主管谁负责谁运营谁负责〞的原那么，包括信息平安风险评估的领导体制、协调机制、审查与批准、监管、督察和备案等内容；明确信息平安风险评估的角色、责任、方法、过程及结果摸索协同开展风险评估工作和信息平安等级保护工作、保密检查工作的实践经验；检验和完善信息平安风险评估管理标准与技术标准；了解信息平安检查评估和自评估模式的效果与缺乏；选择试点单位1、条件试点单位的信息化系统已具有一定的规模，试点单位应具备自己的技术一定的、专业队伍和评估实践经验。2、范围信息化程度较高的行业部门的信息系统，如金融、税务、电力；建设开展中的电子政务重要信息系统；局部涉密信息系统；信息化程度不同的地方单位。专家组提出建议，协助国信办确定试点入选单位。试点工作与标准验证试点工作对去年国信办组织制定的两项试行标准进行了验证，提出了修订建议绝大多数试点单位大都参照了去年国信办和国家安标委组织编写的?信息平安风险评估指南?及?信息平安风险管理指南?。试点单位大都结合自身的具体情况，选择了相应的评估方法和适当的平安控制措施及管理流程，实践经验证明各试点单位评估基于的根本原那么和核心方法与试行标准指南大体吻合一致。收获和体会提高了对风险评估工作的认识和理解—科学方法、长效机制为国信办风险评估工作文件起草积累了素材检验了标准，两项试行标准得到了肯定初步标准了评估内容，演练了评估的实施流程试行了局部评估技术方法，重视了评估的科学性评估方法的百花齐放和创新性表达了创新，积累了成果，培训了人才试点工作技术上特点方案比较周密注意控制了评估自身的风险注意遵循和验证标准讨论稿及时总结经验和问题始终重视人才培养在技术上通过评估方法的多样化，进行了有益的探索试点工作出现了一批成果上海市的风险评估管理软件评估模型和方法的创新与探索北京市利用了已有的工具平台，形成了评估辅助工具平台黑龙江提出了基于模糊综合判定理论的风险评估判定方法既有量化的探索，也有定性为主的探索云南提出了增加业务流分析和已有控制措施的有效性识别或判定试点工作出现了一批成果〔续〕国家税务总局提出了差距分析法，细化了流程国电公司提出了符合行业特点的方法，初步形成了行业平安评估方法论，涵盖了平安定义、平安评测和风险分析的全过程典型方法之一：计算系统综合风险标准的评估过程摸清家底：划分资产类型，建立重要资产清单，识别资产重要性分析威胁和分析脆弱性两种途径按层次分析脆弱性判定平安时间及其影响计算威胁风险值制定风险控制措施典型方法之一：计算系统综合风险〔续〕资产综合风险计算三种做法选择该资产中分析风险最高的作为风险，乘以资产值，作为该资产风险将资产中每一威胁的风险之于资产值相乘，得到多个资产的风险值构建模型，进行综合计算综合风险：R=V*[∑cRti*Qc+∑ARti*QA+∑IRti*Qi]其中R:总风险，V:该资产得分，∑为威胁累计C:机密性，I:完整性，A:可用性典型方法之二：差距分析风险评估方法-差距分析法建立分析模型在风险评估中通过识别、判断和分析目标系统的平安现状与平安要求之间的差距确定系统风险的分析方法。也就是说，目标系统的可接受风险和系统剩余风险间的差距就是系统存在的风险。构建差距分析法模型

风险分析模型 差距分析法的实施路径步骤一:调研目标系统状况步骤二：确定信息系统平安要求任务1：确定信息系统平安等级任务2：确定和标准化描述信息系统的平安要求步骤三：评估信息系统平安现状任务1：信息系统平安现状评估报告步骤四：对信息平安风险进行差距分析和风险计算任务1：评估信息系统平安现状对信息系统平安要求的符合程度，即信息系统现有平安措施在当前系统运行环境下是否满足其平安要求任务2：对信息系统平安执行能力进行评估，评估信息系统平安级〔包括技术架构能力级、工程能力级和管理能力级