我国信息安全风险评估工作的现状与发展.pptx

1、SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 精品资料网我国信息安全风险评估工作的现状与发展国家信息中

2、心国家信息中心 信息安全研究与服务中心信息安全研究与服务中心吴亚非吴亚非SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 一一、信息安全风险评估概述、信息安全风险评估概述二、为什么要做信息安全风险评估二、为什么要做信息安全风险评估三、我国信息安全风险评估回顾三、我国信息安全风险评估回顾四、信息安全风险评估今后三年的发展四、信息安全风险评估今后三年的发展SIC INFOSEC

3、SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全风险评估的概念信息安全风险评估的概念信息系统的安全风险信息系统的安全风险 信息系统的安全风险，是指由于系统存在的信息系统的安全风险，是指由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。的可能性及其造成的影响。SIC INFOSEC SIC INFOSEC SIC INFOS

4、EC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全风险评估信息安全风险评估 是指依据国家有关信息技术标准，对信息系是指依据国家有关信息技术标准，对信息系统及由其处理、传输和存储的信息的保密性、统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过完整性和可用性等安全属性进行科学评价的过程程 它要评估信息系统的脆弱性、信息系统面它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的临的威

5、胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性实际负面影响，并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。和负面影响的程度来识别信息系统的安全风险。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全风险评估信息安全风险评估人们的认识能力和实践能力是有局限性的，因人们的认识能力和实践能力是有局限性的，因此，信息系统存在脆

6、弱性是不可避免的。信息此，信息系统存在脆弱性是不可避免的。信息系统的价值及其存在的脆弱性，使信息系统在系统的价值及其存在的脆弱性，使信息系统在现实环境中，总要面临各种人为与自然的威胁，现实环境中，总要面临各种人为与自然的威胁，存在安全风险也是必然的。存在安全风险也是必然的。信息安全建设的宗旨之一，就是在综合考虑成信息安全建设的宗旨之一，就是在综合考虑成本与效益的前提下，通过安全措施来控制风险，本与效益的前提下，通过安全措施来控制风险，使残余风险降低到可接受的程度。使残余风险降低到可接受的程度。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC

7、 INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全风险评估信息安全风险评估因为任何信息系统都会有安全风险，所以，人因为任何信息系统都会有安全风险，所以，人们追求的所谓安全的信息系统，实际是指信息们追求的所谓安全的信息系统，实际是指信息系统在实施了风险评估并做出风险控制后，仍系统在实施了风险评估并做出风险控制后，仍然存在的残余风险可被接受的信息系统。然存在的残余风险可被接受的信息系统。因此，要追求信息系统的安全，就不能脱离全因此，要追求信息系统的安全，就不能脱离全面、完

8、整的信息系统的安全评估，就必须运用面、完整的信息系统的安全评估，就必须运用信息系统安全风险评估的思想和规范，对信息信息系统安全风险评估的思想和规范，对信息系统开展安全风险评估。系统开展安全风险评估。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险评估的意义和作用风险评估的意义和作用1.1.风险评估是信息系统安全的基础性工作风险评估是信息系统安全的基础性工作信息安全中的风

9、险评估是传统的风险理论和方信息安全中的风险评估是传统的风险理论和方法在信息系统中的运用，是科学地分析和理解法在信息系统中的运用，是科学地分析和理解信息与信息系统在保密性、完整性、可用性等信息与信息系统在保密性、完整性、可用性等方面所面临的风险，并在风险的减少、转移和方面所面临的风险，并在风险的减少、转移和规避等风险控制方法之间做出决策的过程。规避等风险控制方法之间做出决策的过程。风险评估将导出信息系统的安全需求，因此，风险评估将导出信息系统的安全需求，因此，所有信息安全建设都应该以风险评估为起点。所有信息安全建设都应该以风险评估为起点。信息安全建设的最终目的是服务于信息化，但信息安全建设的最终

10、目的是服务于信息化，但其直接目的是为了控制安全风险其直接目的是为了控制安全风险。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险评估的意义和作用风险评估的意义和作用只有在正确、全面地了解和理解安全风险后，只有在正确、全面地了解和理解安全风险后，才能决定如何处理安全风险，从而在信息安全才能决定如何处理安全风险，从而在信息安全的投资、信息安全措施的选择、信息安全保障的投资、

11、信息安全措施的选择、信息安全保障体系的建设等问题中做出合理的决策。体系的建设等问题中做出合理的决策。进一步，持续的风险评估工作可以成为检查信进一步，持续的风险评估工作可以成为检查信息系统本身乃至信息系统拥有单位的绩效的有息系统本身乃至信息系统拥有单位的绩效的有力手段，风险评估的结果能够供相关主管单位力手段，风险评估的结果能够供相关主管单位参考，并使主管单位通过行政手段对信息系统参考，并使主管单位通过行政手段对信息系统的立项、投资、运行产生影响，促进信息系统的立项、投资、运行产生影响，促进信息系统拥有单位加强信息安全建设。拥有单位加强信息安全建设。SIC INFOSEC SIC INFOSEC

12、SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险评估的意义和作用风险评估的意义和作用2 2.风险评估是分级防护和突出重点的具体体现风险评估是分级防护和突出重点的具体体现信息安全建设的基本原则包括必须从实际出发，坚持分级防护、信息安全建设的基本原则包括必须从实际出发，坚持分级防护、突出重点。突出重点。风险评估正是这一要求在实际工作中的具体体现。风险评估正是这一要求在实际工作中的具体体现。从理论上讲，不存在绝对的安全，实

13、践中也不可能做到绝对安全，从理论上讲，不存在绝对的安全，实践中也不可能做到绝对安全，风险总是客观存在的。风险总是客观存在的。安全是风险与成本的综合平衡。安全是风险与成本的综合平衡。盲目追求安全和完全回避风险是不现实的，也不是分级防护原则盲目追求安全和完全回避风险是不现实的，也不是分级防护原则所要求的。所要求的。要从实际出发，坚持分级防护、突出重点，就必须正确地评估风要从实际出发，坚持分级防护、突出重点，就必须正确地评估风险，以便采取科学、客观、经济和有效的措施。险，以便采取科学、客观、经济和有效的措施。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSE

14、C SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险评估的意义和作用风险评估的意义和作用3.3.加强风险评估工作是当前信息安全工作的客观需要和紧迫需求加强风险评估工作是当前信息安全工作的客观需要和紧迫需求由于信息技术的飞速发展，关系国计民生的关键信息基础设施的由于信息技术的飞速发展，关系国计民生的关键信息基础设施的规模越来越大，同时也极大地增加了系统的复杂程度。规模越来越大，同时也极大地增加了系统的复杂程度。发达国家越来越重视信息安全风险评估工作，提倡风险评估制度

15、发达国家越来越重视信息安全风险评估工作，提倡风险评估制度化。他们提出，没有有效的风险评估，便会导致信息安全需求与化。他们提出，没有有效的风险评估，便会导致信息安全需求与安全解决方案的严重脱离。因此，他们强调安全解决方案的严重脱离。因此，他们强调“没有任何事情比解没有任何事情比解决错误的问题和建立错误的系统更没有效率的了。决错误的问题和建立错误的系统更没有效率的了。”这些发达国这些发达国家近年来大力加强了以风险评估为核心的信息系统安全评估工作，家近年来大力加强了以风险评估为核心的信息系统安全评估工作，并通过法规、标准手段加以保障，逐步以此形成了横跨立法、行并通过法规、标准手段加以保障，逐步以此形

16、成了横跨立法、行政、司法的完整的信息安全管理体系。政、司法的完整的信息安全管理体系。在我国目前的国情下，为加强宏观信息安全管理，促进信息安全在我国目前的国情下，为加强宏观信息安全管理，促进信息安全保障体系建设，就必须加强风险评估工作，并逐步使风险评估工保障体系建设，就必须加强风险评估工作，并逐步使风险评估工作朝向制度化的方向发展。作朝向制度化的方向发展。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SI

17、C INFOSEC SIC 信息安全风险评估的目标和目的信息安全风险评估的目标和目的信息系统安全风险评估的总体目标是：信息系统安全风险评估的总体目标是：服务于国家信息化发展，促进信息安全保障服务于国家信息化发展，促进信息安全保障体系的建设，提高信息系统的安全保护能力。体系的建设，提高信息系统的安全保护能力。信息系统安全风险评估的目的是：信息系统安全风险评估的目的是：认清信息安全环境、信息安全状况；有助于认清信息安全环境、信息安全状况；有助于达成共识，明确责任；采取或完善安全保障措达成共识，明确责任；采取或完善安全保障措施，使其更加经济有效，并使信息安全策略保施，使其更加经济有效，并使信息安全策

18、略保持一致性和持续性。持一致性和持续性。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全风险评估的基本要素信息安全风险评估的基本要素使命：使命：一个单位通过信息化实现的工作任务。一个单位通过信息化实现的工作任务。依赖度依赖度：一个单位的使命对信息系统和信息的依靠程：一个单位的使命对信息系统和信息的依靠程度。度。资产：资产：通过信息化建设积累起来的信息系统、信息、通过

19、信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。生产或服务能力、人员能力和赢得的信誉等。价值：价值：资产的重要程度和敏感程度。资产的重要程度和敏感程度。威胁：威胁：一个单位的信息资产的安全可能受到的侵害。一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画：威胁的主体（威胁源）、能威胁由多种属性来刻画：威胁的主体（威胁源）、能力、资源、动机、途径、可能性和后果。力、资源、动机、途径、可能性和后果。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSE

20、C SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全风险评估的基本要素信息安全风险评估的基本要素脆弱性：脆弱性：信息资产及其防护措施在安全方面的信息资产及其防护措施在安全方面的不足和弱点。脆弱性也常常被称为漏洞。不足和弱点。脆弱性也常常被称为漏洞。风险：风险：由于系统存在的脆弱性，人为或自然的由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影威胁导致安全事件发生的可能性及其造成的影响。它由安全事件发生的可能性及其造成的影响。它由安全事件发生的可能性及其造成的影响这两种指标来衡量。响这两种指标来衡量。残余风险

21、：残余风险：采取了安全防护措施，提高了防护采取了安全防护措施，提高了防护能力后，仍然可能存在的风险。能力后，仍然可能存在的风险。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 信息安全风险评估的基本要素信息安全风险评估的基本要素安全需求：安全需求：为保证单位的使命能够正常行使，为保证单位的使命能够正常行使，在信息安全防护措施方面提出的要求。在信息安全防护措施方面提出的要求。

22、安全防护措施：安全防护措施：对付威胁，减少脆弱性，保护对付威胁，减少脆弱性，保护资产，限制意外事件的影响，检测、响应意外资产，限制意外事件的影响，检测、响应意外事件，促进灾难恢复和打击信息犯罪而实施的事件，促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。各种实践、规程和机制的总称。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险评估对信息系统生命周期的支持

23、风险评估对信息系统生命周期的支持生命周期阶段生命周期阶段阶段特征阶段特征来自风险管理活动的支持来自风险管理活动的支持阶段阶段1规划和启动规划和启动提出信息系统的目的、需求、规模提出信息系统的目的、需求、规模和安全要求。和安全要求。风险评估活动可用于确定信息系统安风险评估活动可用于确定信息系统安全需求。全需求。阶段阶段2设计开发或采购设计开发或采购信息系统设计、购买、开发或建造。信息系统设计、购买、开发或建造。在本阶段标识的风险可以用来为信息在本阶段标识的风险可以用来为信息系统的安全分析提供支持，这可能会影系统的安全分析提供支持，这可能会影响到系统在开发过程中要对体系结构和响到系统在开发过程中要

24、对体系结构和设计方案进行权衡。设计方案进行权衡。阶段阶段3集成实现集成实现信息系统的安全特性应该被配置、信息系统的安全特性应该被配置、激活、测试并得到验证。激活、测试并得到验证。风险评估可支持对系统实现效果的评风险评估可支持对系统实现效果的评价，考察其是否能满足要求，并考察系价，考察其是否能满足要求，并考察系统所运行的环境是否是预期设计的。有统所运行的环境是否是预期设计的。有关风险的一系列决策必须在系统运行之关风险的一系列决策必须在系统运行之前做出。前做出。阶段阶段4运行和维护运行和维护信息系统开始执行其功能，一般情信息系统开始执行其功能，一般情况下系统要不断修改，添加硬件和况下系统要不断修改

25、，添加硬件和软件，或改变机构的运行规则、策软件，或改变机构的运行规则、策略或流程等。略或流程等。当定期对系统进行重新评估时，或者当定期对系统进行重新评估时，或者信息系统在其运行性生产环境（例如新信息系统在其运行性生产环境（例如新的系统接口）中做出重大变更时，要对的系统接口）中做出重大变更时，要对其进行风险评估活动。其进行风险评估活动。阶段阶段5废弃废弃本阶段涉及到对信息、硬件和软件本阶段涉及到对信息、硬件和软件的废弃。这些活动可能包括信息的的废弃。这些活动可能包括信息的移动、备份、丢弃、破坏以及对硬移动、备份、丢弃、破坏以及对硬件和软件进行的密级处理。件和软件进行的密级处理。当要废弃或替换系统

26、组件时，要对其当要废弃或替换系统组件时，要对其进行风险评估，以确保硬件和软件得到进行风险评估，以确保硬件和软件得到了适当的废弃处置，且残留信息也恰当了适当的废弃处置，且残留信息也恰当地进行了处理。并且要确保系统的更新地进行了处理。并且要确保系统的更新换代能以一个安全和系统化的方式完成。换代能以一个安全和系统化的方式完成。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 在在实

27、实施施风风险险评评估估中中，有有时时首首先先根根据据不不同同级级别别的的威威胁胁对对不不同同价价值值的的资资产产可可能能形形成成的的风风险险进进行行分分级级，进进而而选选择择适适合合级级别别的的保保证证措措施施。这这是是一一种种安全需求提炼的过程。安全需求提炼的过程。对对于于计计划划和和已已经经建建设设的的系系统统，则则应应该该考考虑虑和和分分析测试系统可能存在的脆弱性。析测试系统可能存在的脆弱性。上上述述工工作作流流程程应应该该是是一一个个不不断断重重复复的的循循环环过过程程，从从不不同同阶阶段段进进入入风风险险评评估估工工作作也也可可能能进进行行简简化化其中的某些步骤。其中的某些步骤。SI

28、C INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 风险评估理论和工具风险评估理论和工具通俗的讲，信息系统安全追求的是入侵和破坏通俗的讲，信息系统安全追求的是入侵和破坏行为，面对信息系统和信息，进不来，看不懂，行为，面对信息系统和信息，进不来，看不懂，拿不走，搞不乱。拿不走，搞不乱。风险评估的理论和工具也应该针对这些基本的风险评估的理论和工具也应该针对这些基本的安全要求，提供检测、

29、判断、分析。安全要求，提供检测、判断、分析。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 当前，国际上提出了一些广义传统的风险评估当前，国际上提出了一些广义传统的风险评估的理论（并非特别针对信息系统安全）。的理论（并非特别针对信息系统安全）。从计算方法区分，有定性的方法、定量的方法从计算方法区分，有定性的方法、定量的方法和部分定量的方法。和部分定量的方法。从实施手段区分，

30、有基于树的技术、动态系统从实施手段区分，有基于树的技术、动态系统的技术等。的技术等。SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 定性的方法包括：定性的方法包括：初步的风险分析初步的风险分析（Preliminary Risk Analysis）危险和可操作性研究危险和可操作性研究（Hazard and Operability studies(HAZOP)）失效模式及影响分

31、析失效模式及影响分析（Failure Mode and Effects Analysis(FMEA/FMECA)）SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 基于树的技术基于树的技术（Tree Based Techniques）包括：）包括：故障树分析故障树分析（Fault tree analysis）事件树分析事件树分析（Event tree analysis）因果分

32、析因果分析（Cause-Consequence Analysis）管理失败风险树管理失败风险树（Management Oversight Risk Tree）安全管理组织检查技术安全管理组织检查技术（Safety Management Organization Review Technique）SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 动态系统的技术动态系统的技术（T

33、echniques for Dynamic system）包括：包括：尝试方法尝试方法（Go Method）有向图有向图/故障图故障图（Digraph/Fault Graph）马尔可夫建模马尔可夫建模（Markov Modeling）动态事件逻辑分析方法学动态事件逻辑分析方法学（Dynamic Event Logic Analytical Methodology）动态事件树分析方法动态事件树分析方法（Dynamic Event Tree Analysis Method）SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC 评估工具目前存在以下几类：评估工具目前存在以下几类：扫