我国信息安全风险评估工作的现状与发展125

单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC INFOSEC SIC,我国信息安全风险评估工作的现状与发展,国家信息中心 信息安全研究与服务中心,一,、信息安全风险评估概述,二、为什么要做信息安全风险评估,三、我国信息安全风险评估回顾,四、信息安全风险评估今后三年的发展,信息安全风险评估的概念,信息系统的安全风险,信息系统的安全风险，是指由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。,信息安全风险评估,是指依据国家有关信息技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程,它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。,信息安全风险评估,人们的认识能力和实践能力是有局限性的，因此，信息系统存在脆弱性是不可避免的。信息系统的价值及其存在的脆弱性，使信息系统在现实环境中，总要面临各种人为与自然的威胁，存在安全风险也是必然的。,信息安全建设的宗旨之一，就是在综合考虑成本与效益的前提下，通过安全措施来控制风险，使残余风险降低到可接受的程度。,信息安全风险评估,因为任何信息系统都会有安全风险，所以，人们追求的所谓安全的信息系统，实际是指信息系统在实施了风险评估并做出风险控制后，仍然存在的残余风险可被接受的信息系统。,因此，要追求信息系统的安全，就不能脱离全面、完整的信息系统的安全评估，就必须运用信息系统安全风险评估的思想和规范，对信息系统开展安全风险评估。,风险评估的意义和作用,1.风险评估是信息系统安全的基础性工作,信息安全中的风险评估是传统的风险理论和方法在信息系统中的运用，是科学地分析和理解信息与信息系统在保密性、完整性、可用性等方面所面临的风险，并在风险的减少、转移和规避等风险控制方法之间做出决策的过程。,风险评估将导出信息系统的安全需求，因此，所有信息安全建设都应该以风险评估为起点。信息安全建设的最终目的是服务于信息化，但其直接目的是为了控制安全风险,。,风险评估的意义和作用,只有在正确、全面地了解和理解安全风险后，才能决定如何处理安全风险，从而在信息安全的投资、信息安全措施的选择、信息安全保障体系的建设等问题中做出合理的决策。,进一步，持续的风险评估工作可以成为检查信息系统本身乃至信息系统拥有单位的绩效的有力手段，风险评估的结果能够供相关主管单位参考，并使主管单位通过行政手段对信息系统的立项、投资、运行产生影响，促进信息系统拥有单位加强信息安全建设。,风险评估的意义和作用,2,.风险评估是分级防护和突出重点的具体体现,信息安全建设的基本原则包括必须从实际出发，坚持分级防护、突出重点。,风险评估正是这一要求在实际工作中的具体体现。,从理论上讲，不存在绝对的安全，实践中也不可能做到绝对安全，风险总是客观存在的。,安全是风险与成本的综合平衡。,盲目追求安全和完全回避风险是不现实的，也不是分级防护原则所要求的。,要从实际出发，坚持分级防护、突出重点，就必须正确地评估风险，以便采取科学、客观、经济和有效的措施。,风险评估的意义和作用,3.,加强风险评估工作是当前信息安全工作的客观需要和紧迫需求,由于信息技术的飞速发展，关系国计民生的关键信息基础设施的规模越来越大，同时也极大地增加了系统的复杂程度。,发达国家越来越重视信息安全风险评估工作，提倡风险评估制度化。他们提出，没有有效的风险评估，便会导致信息安全需求与安全解决方案的严重脱离。因此，他们强调“没有任何事情比解决错误的问题和建立错误的系统更没有效率的了。”这些发达国家近年来大力加强了以风险评估为核心的信息系统安全评估工作，并通过法规、标准手段加以保障，逐步以此形成了横跨立法、行政、司法的完整的信息安全管理体系。,在我国目前的国情下，为加强宏观信息安全管理，促进信息安全保障体系建设，就必须加强风险评估工作，并逐步使风险评估工作朝向制度化的方向发展。,信息安全风险评估的目标和目的,信息系统安全风险评估的总体目标是：,服务于国家信息化发展，促进信息安全保障体系的建设，提高信息系统的安全保护能力。,信息系统安全风险评估的目的是：,认清信息安全环境、信息安全状况；有助于达成共识，明确责任；采取或完善安全保障措施，使其更加经济有效，并使信息安全策略保持一致性和持续性。,信息安全风险评估的基本要素,使命：,一个单位通过信息化实现的工作任务。,依赖度,：一个单位的使命对信息系统和信息的依靠程度。,资产：,通过信息化建设积累起来的信息系统、信息、生产或服务能力、人员能力和赢得的信誉等。,价值：,资产的重要程度和敏感程度。,威胁：,一个单位的信息资产的安全可能受到的侵害。威胁由多种属性来刻画：威胁的主体（威胁源）、能力、资源、动机、途径、可能性和后果。,信息安全风险评估的基本要素,脆弱性：,信息资产及其防护措施在安全方面的不足和弱点。脆弱性也常常被称为漏洞。,风险：,由于系统存在的脆弱性，人为或自然的威胁导致安全事件发生的可能性及其造成的影响。它由安全事件发生的可能性及其造成的影响这两种指标来衡量。,残余风险：,采取了安全防护措施，提高了防护能力后，仍然可能存在的风险。,信息安全风险评估的基本要素,安全需求：,为保证单位的使命能够正常行使，在信息安全防护措施方面提出的要求。,安全防护措施：,对付威胁，减少脆弱性，保护资产，限制意外事件的影响，检测、响应意外事件，促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。,风险评估对信息系统生命周期的支持,生命周期阶段,阶段特征,来自风险管理活动的支持,阶段1规划和启动,提出信息系统的目的、需求、规模和安全要求。,风险评估活动可用于确定信息系统安全需求。,阶段2设计开发或采购,信息系统设计、购买、开发或建造。,在本阶段标识的风险可以用来为信息系统的安全分析提供支持，这可能会影响到系统在开发过程中要对体系结构和设计方案进行权衡。,阶段3集成实现,信息系统的安全特性应该被配置、激活、测试并得到验证。,风险评估可支持对系统实现效果的评价，考察其是否能满足要求，并考察系统所运行的环境是否是预期设计的。有关风险的一系列决策必须在系统运行之前做出。,阶段4运行和维护,信息系统开始执行其功能，一般情况下系统要不断修改，添加硬件和软件，或改变机构的运行规则、策略或流程等。,当定期对系统进行重新评估时，或者信息系统在其运行性生产环境（例如新的系统接口）中做出重大变更时，要对其进行风险评估活动。,阶段5废弃,本阶段涉及到对信息、硬件和软件的废弃。这些活动可能包括信息的移动、备份、丢弃、破坏以及对硬件和软件进行的密级处理。,当要废弃或替换系统组件时，要对其进行风险评估，以确保硬件和软件得到了适当的废弃处置，且残留信息也恰当地进行了处理。并且要确保系统的更新换代能以一个安全和系统化的方式完成。,在实施风险评估中，有时首先根据不同级别的威胁对不同价值的资产可能形成的风险进行分级，进而选择适合级别的保证措施。这是一种安全需求提炼的过程。,对于计划和已经建设的系统，则应该考虑和分析测试系统可能存在的脆弱性。,上述工作流程应该是一个不断重复的循环过程，从不同阶段进入风险评估工作也可能进行简化其中的某些步骤。,风险评估理论和工具,通俗的讲，信息系统安全追求的是入侵和破坏行为，面对信息系统和信息，进不来，看不懂，拿不走，搞不乱。,风险评估的理论和工具也应该针对这些基本的安全要求，提供检测、判断、分析。,当前，国际上提出了一些广义传统的风险评估的理论（并非特别针对信息系统安全）。,从计算方法区分，有定性的方法、定量的方法和部分定量的方法。,从实施手段区分，有基于树的技术、动态系统的技术等。,定性的方法包括：,初步的风险分析,（Preliminary Risk Analysis）,危险和可操作性研究,（Hazard and Operability studies (HAZOP)）,失效模式及影响分析,（Failure Mode and Effects Analysis (FMEA/FMECA)）,基于树的技术,（Tree Based Techniques ）包括：,故障树分析,（Fault tree analysis）,事件树分析,（Event tree analysis）,因果分析,（Cause-Consequence Analysis）,管理失败风险树,（ Management Oversight Risk Tree）,安全管理组织检查技术,（Safety Management Organization Review Technique）,动态系统的技术,（Techniques for Dynamic system）,包括：,尝试方法,（ Go Method）,有向图/故障图,（Digraph/Fault Graph）,马尔可夫建模,（Markov Modeling）,动态事件逻辑分析方法学,（Dynamic Event Logic Analytical Methodology）,动态事件树分析方法,（Dynamic Event Tree Analysis Method）,评估工具目前存在以下几类：,扫描工具：,包括主机扫描、网络扫描、数据库扫描，用于分析系统的常见漏洞；,入侵检测系统（IDS）：,用于收集与统计威胁数据；,渗透性测试工具：,黑客工具，用于人工渗透，评估系统的深层次漏洞；,主机安全性审计工具：,用于分析主机系统配置的安全性；,安全管理评价系统：,用于安全访谈，评价安全管理措施；,风险综合分析系统：,在基础数据基础上，定量、综合分析系统的风险，并且提供分类统计、查询、TOP N查询以及报表输出功能；,评估支撑环境工具:,评估指标库、知识库、漏洞库、算法库、模型库。,综观这些理论和工具的现状，存在的问题是：,尚缺乏模型化和形式化描述及证明的科学深度；,需要解决一般化的广义的理论如何用于信息系统的安全风险评估；,定性，定量的理论方法如何更加有效；,工具运用的结果如何能够反映实质，有效测度，准确无误；,工具的使用如何能够综合协调。,二、为什么要做信息安全风险评估,为什么要做信息安全风险评估,第一，风险评估是分析确定风险的过程。风险是客观存在的，在日常生活和工作中随处可见。为了了解系统究竟面临什么风险、有多大风险，以及应该采取什么样的措施去减少、化解或规避风险，人们经常会提出这样一些问题：什么地方、什么时间可能出问题？会出什么性质的问题？出问题的可能性有多大？这些问题可能产生的后果是什么？应该采取什么样的措施加以避免和弥补？并总是试图找出最合理的答案。这个过程实际就是风险评估,为什么要做信息安全风险评估,第二，信息安全风险评估是信息安全建设的起点和基础，对于信息系统也是如此。所有信息安全建设和管理都应该基于信息安全风险评估，只有这样，信息安全建设才能做到从实际出发，才能坚持需求主导、突出重点，才能以最小的代价去最大程度地保障信息安全。,为什么要做信息安全风险评估,第三，信息安全风险评估是信息安全建设和管理的科学方法。风险评估提供了这么一种方法，它是我们传统经验方法的总结和提升，是风险理论和技术的具体应用。,信息安全的一个最大特点就是看不见摸不着。在不知不觉中就已经中了招，在不知不觉中就已经遭受了重大损失。,信息安全要讲加强领导，要讲责任制，但如果没有科学的方法和手段，即使领导现场坐镇，即使人盯死守，也仍然可能发现不了问题，也仍然可能出问题。这就是27号文件强调管理与技术并重的根本原因。,为什么要做信息安全风险评估,第四，风险评估实际上是在倡导一种适度安全。从理论上讲，不存在绝对的安全，风险总是客观存在的。风险评估并不追求零风险、不计成本的绝对安全，或者试图完全消灭风险或避免风险。,信息安全风险评估要求在认清风险的基础上，决定哪些风险是必须要避免的，哪些风险是可以容忍的。也就是说，信息安全风险评估要求我们算账，要求我们在风险与建设和管理成本之间寻求一个最佳平衡点。,这体现了信息安全的一个基本原则，就是坚持从实际出发，坚持有针对性地进行信息安全建设和管理。这也就是适度安全。,为什么要做信息安全风险评估,第五，重视风险评估是信息化发达国家的重要经验。早在上个世纪70年代初期美国政府就提出了风险评估的要求，2002年颁布的2002联邦信息安全管理法对信息安全风险评估提出了更加具体的要求。欧洲等其他信息化发达国家也非常重视开展信息安全风险评估工作，将开展信息安全风险评估工作作为提高信息安全保障水平的重要手段。发达国家的这些经验值得我们学习和借鉴。,为什么要做信息安全风险评估,2005年2月，美国总统信息技术顾问委员会（PITAC）向美国总统提交了一份研究报告网络空间安全：迫在眉睫的危机，提出美国目前网络空间安全所面临的重大问题包括：,1、IT基础设施在恐怖和敌对攻击面前非常脆弱,2、网络漏洞和网络攻击增长速度非常快（2040）,3、无所不在的互联意味着处处可能存在安全漏洞,4、软件是主要漏洞的所在,5、无穷无尽的打补丁并不是好的解决办法,6、需要新的基础性安全模型和方法,7、联邦政府在研发工作中的核心地位,8、网络空间安全的非技术因素,为了应对这些威胁，在网络空间安全：迫在眉睫的危机报告中，PITAC提出了10大优先研究项目，其中信息安全风险评估位列其中。其主要研究内容包括：,（1）开发网络空间安全测试方法、评估标准,（2）风险分析方法和基于不同领域的评估方法（政治、军事、经济等）,（3）安全风险以及一致性检查的自动评估工具的研发,（4）对易受到攻击对象的评估研究工作，如源代码扫描工具,（5）通过研究过程管理、配置管理和补丁管理的最佳策略方案，来发现并提供有效的安全管理实施方案,为什么要做信息安全风险评估,三、我国信息安全风险评估回顾,调查与研究,标准编制与试点,政策文件起草,我国信息安全风险评估回顾,2003年7月国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）中专门提出开展风险评估的要求 ：,对网络与信息系统安全的潜在威胁、薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要性、涉密程度和面临的风险等因素，进行相应等级的安全建设和管理,调查研究工作,国信办安全组为落实中办发,200327,号文件的要求，于,2003,年,7,月决定委托国家信息中心组建“信息安全风险评估课题组”，对我国信息安全风险评估工作的现状进行调查，提出我国开展风险评估的对策和办法,成员单位：国家信息中心、公安部、安全部、信息产业部、国家认监委、国家标准化委、国家密码管理局、国家保密局、国家计算机网络与信息安全中心、中国信息安全产品测评认证中心、北京市信息办、解放军测评认证中心,调查研究工作,课题组先后对四个地区,(,北京、广州、深圳和上海,),，十几个行业的,50,多家单位进行了调查,完成了,信息安全风险评估调查报告,、,信息安全风险评估研究报告,和,关于加强信息安全风险评估工作的建议,稿,调查报告反映的主要情况及问题,被调查单位信息化程度各有不同,对风险评估的重视程度与信息化程度成正比关系,国内现阶段风险评估状况,风险评估已逐渐成为信息安全的一个新的点,发现的八个问题，其中评估流程不规范是一大问题,研究报告的主要内容,信息系统安全风险评估的概念,风险评估的意义和作用,信息安全风险评估的目标和目的,信息安全风险评估的基本要素,风险评估对信息系统生命周期的支持,风险评估的一般工作流程,当前存在的风险评估理论和工具,我国信息系统安全风险评估的现状和问题,信息安全风险评估工作的原则,等级保护、认证认可、风险管理、风险评估的关系,自评估、强制性检查评估与委托评估,信息系统安全风险评估的角色和责任,信息安全风险评估的任务和措施,对风险评估工作的建议内容,积极贯彻落实,27,号文件,建立健全和完善信息系统安全风险评估的工作机制,统筹建设信息安全风险评估的基础设施和基础环境,启动评估工作流程、工作规范标准的研究与制定,推进基础信息网络和重要信息系统的信息安全风险评估试点示范工作,加强宣传教育，提高风险意识,标准制定工作,根据信息安全风险评估研究报告的建议, 2004年三月下旬课题组专家经过充分的讨论与分析，报国务院信息办安全组批准,开展了信息安全风险评估指南和信息安全风险管理指南二个规范草案的制定。,国家信息中心信息安全研究与服务中心组织了近二十家有实际工作经验的企事业单位约四十多人，开了二十多次工作会议，进行了信息安全风险评估标准规范草案的制定工作；到九月下旬, 完成信息安全风险评估指南和信息安全风险管理指南二个规范草案的初稿。,标准制定工作,2004年全国信息安全标准化技术委员会将信息安全风险评估指南列入2005年度国家信息安全标准制定工作计划中, 将信息安全风险管理指南列入国家信息安全标准研究工作规划中。目前信息安全风险评估指南已完成评审, 报国家标准管理委员会颁布,国信办已以国信【2006】9号文的形式发各部委和省市,信息安全风险评估指南主要内容,规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准则。,介绍了风险评估的定义、风险评估的模型以及风险评估的实施过程,详细描述了对资产、威胁和脆弱性的识别方法,描述了风险评估在信息系统生命周期中的作用,描述了风险评估的不同形式,在附件中介绍了信息安全风险评估的方法、工具和实施案例,信息安全风险评估指南主要作用,指导识别信息系统中存在的风险，为确立信息系统安全等级提供参考,指导信息系统的安全管理,为执法部门监督提供参考,为项目审查部门在审批和验收信息系统时提供参考,为信息系统业务发生变更时提供安全参考,信息安全风险管理指南主要内容,明确了风险管理的目的和意义：在安全措施的成本与资产价值之间寻求平衡，保护信息系统,定义了信息安全风险管理的内容和过程,风险评估,风险减缓：根据评估结果，选择合适的方法控制风险,风险决策：判断残余风险是否处在可接受的范围内,全国风险评估试点工作,2005年，国信办安全组组织北京市、上海市、黑龙江省、云南省、人民银行、国家税务总局、国家电力总公司和国家信息中心八个部门的近20家单位开展风险评估试点工作,国家信息中心负责试点工作的实施方案设计，标准培训，到各试点单位调研，汇总各地试点报告，参与政策文件草工作,试点工作的目的,在现有基础信息网络和重要信息系统的管理体制下，探索如何推进开展信息安全风险评估工作,检验国家标准草案信息安全风险评估指南和信息安全风险管理指南的可行性与可用性,为全面推广信息安全风险评估工作和出台相关政策文件做前期准备,试点工作总结,2005年9月，在上海召开总结大会。国务院信息办曲维枝副主任到会听取了各试点单位的工作汇报,对试点工作的成果给予了高度评价,政策文件起草,在调研和试点的基础上，国信办会同公安部、安全部、国家保密局、密码管理局、总参三部等部门及有关专家起草了关于开展信息安全风险评估工作的意见征求意见稿，反复征求了国家网络与信息安全协调小组成员单位、重要信息系统主管部门、国家信息化专家咨询委员会以及各试点单位意见，数易其稿。,政策文件起草,2005年12月16日国家网络与信息安全协调小组开会讨论通过了关于开展信息安全风险评估工作的意见，,2006年元月6日国务院信息化工作办公室将关于开展信息安全风险评估工作的意见印发中央各部委和全国省市,。,政策文件起草,关于开展信息安全风险评估工作的意见的印发，标志着我国信息安全领域一项基础性、全局性的新工作正式启动,。,四、信息安全风险评估今后三年的发展,目标：,用三年左右的时间在我国基础信息网络和重要信息系统普遍推行信息安全风险评估工作，全面提高我国信息安全的科学管理水平，提升网络和信息系统安全保障能力，为保障和促进我国信息化发展服务。,高度重视组织管理工作,各信息化和信息安全主管部门要充分认识风险评估工作对于提高信息安全管理水平的重要意义，切实加强对风险评估工作的管理，抓紧制定贯彻落实的办法，积极稳妥地推进。要从抓试点开始，逐步探索组织实施和管理的经验，,高度重视组织管理工作,信息系统拥有、运营或使用单位和有关管理部门要按照“谁主管、谁负责，谁运营、谁负责”的原则，在信息安全风险评估工作中切实负起组织领导的责任；,将开展风险评估工作制度化，定期组织实施信息系统自评估，积极配合有关部门的检查评估，并将开展风险评估的费用列入系统运行维护费用；,有关部门要将开展信息安全风险评估作为基础信息网络和重要信息系统规划、建设和等级保护监管工作的重要内容。,风险评估工作应当贯穿信息系统全生命周期,信息安全风险评估也是落实等级保护制度的重要手段，应通过信息安全风险评估为信息系统确定安全等级提供依据，根据风险评估的结果检验网络与信息系统的防护水平是否符合等级保护的要求。,三个评估环节,信息系统规划设计阶段：,通过评估明确安全需求、安全目标和安全保障措施，为项目审批提供依据,信息系统验收阶段：,通过评估验证已设计安装的安全措施能否实现安全目标，为项目验收提供依据,信息系统运维阶段：,通过定期进行的评估，检验安全措施的有效性及对安全环境变化的适应性,在信息系统使命或安全形势发生重大发生变化时，要专门进行评估,二种评估形式,自评估,是信息安全风险评估的主要形式，是指信息系统拥有、运营或使用单位发起的对本单位信息系统进行的风险评估。,依托自身技术力量,委托具有相应资质的第三方机构提供技术支持,检查评估,指信息系统上级管理部门或信息安全职能部门组织的信息安全风险评估。,规避由于风险评估工作而引入新的安全风险,1，,参与信息安全风险评估工作的单位及其有关人员必须遵守国家有关信息安全的法律法规，并承担相应的责任和义务；,2，风险评估工作的发起方必须采取相应保密措施，并与参与评估的有关单位或人员签订具有法律约束力的保密协议；,3，对关系国计民生和社会稳定的基础信息网络和重要信息系统的信息安全风险评估工作必须遵循国家的有关规定进行。,加强基础性工作,加快制定和完善风险评估技术标准,重视风险评估的核心技术、方法和工具的研究与攻关,积极开展风险评估的培训与交流,抓紧研究制定信息安全服务资质的管理办法,加强风险意识的宣传教育和人才培养,2006年工作任务：,扩大试点面，在各部委和各省市各选择12个单位开展本地风险评估试点工作,试点主要内容是关于开展信息安全风险评估工作的意见中的要求,有关标准要出台,成立试点推进专家组，协助国信办组织、协调、培训、技术咨询、调研、评审。,专家组秘书处设在国家信息中心网络安全部，宁家骏为组长、吴亚非为副组长,组建中国信息安全风险评估论坛,目前正在筹建中,“中国信息安全风险评估论坛”主页,中国信息安全风险评估论坛,信息安全风险评估培训,为了落实和推进国务院信息办的工作要求，更好的开展培训工作，国家信息中心信息安全研究与服务中心组织了信息安全风险评估培训教材的编写工作。该培训教材从国家政策、技术标准、技术方法、产品工具以及实施案例几个方面，详细描述信息安全风险评估工作的主要内容。,全书共四篇：信息安全风险评估理念、技术和方法、产品与工具以及评估案例；全书约24万字。,特点：深入浅出，实用为主；靠近实战，边学边用。,谢谢,