信息安全风险评估技术简介

信息安全风险评估技术简介

宁家骏（国家信息中心信息安全研究与服务中心）2005.12

提纲一、信息安全形势需要评估二、信息化风险及风险管理研究

三、信息安全风险评估技术导引四、信息安全风险评估试点经验宝贵加强信息安全保障工作是当前形势的需要落实27号文件，一手抓信息化，一手抓安全，谁主管谁负责，谁运营谁负责积极防御、综合防范重点保障网络基础设施和重要信息系统的安全正确处理等级保护与风险评估的关系加强信息安全基础设施建设我国信息安全问题的突出表现病毒肆虐、黑客侵扰、系统故障等造成的经济损失呈逐年增长态势境外敌对势力利用信息通讯网络造谣诽谤、组织动员、煽动闹事和破坏；国外反华势力加大对我意识形态和文化渗透。不良和有害信息屡禁不止，利用信息网络技术从事犯罪活动日益猖獗，网络群体层出不穷，网上舆论传播直接影响社会稳定。通讯与信息网络上失密、泄密及窃密事件时有发生。直接影响到政府管理效率和公众形象。环境和背景近年来，我国经济社会持续快速发展发展，信息化步伐加快，在促进经济发展、调整经济结构、改造传统产业和提高人民生活质量等方面发挥了不可替代的重要作用。一方面社会经济对信息化的依赖程度越来越高，同时逐步建设和积累了一批宝贵的信息资产。与之而来的各类计算机犯罪及“黑客”攻击网络事件屡有发生，手段也越来越高技术化，从而对各国的主权、安全和社会稳定构成了威胁。计算机互联网络涉及社会经济生活各个领域，并直接与世界相联，可以说是国家的一个政治“关口”，一条经济“命脉”。网络与信息安全已上升为一个事关国家政治稳定、社会安定、经济有序运行和社会主义精神文明建设的全局性问题。我国面临的信息安全问题的性质我国面临的信息安全问题已不再是一个局部性和技术性的问题，而是一个跨领域、跨行业、跨部门的综合性安全问题。它不仅是一个“不对称”的高技术对抗问题，而且是一个直接影响国计民生、关乎国家安全与政权稳定的现实问题。确保信息网络安全也正在成为新世纪国家安全的重要基石和基本内涵。病毒等网络欺诈行为导致全球经济损失惊人最近Gartner组织公布了一项研究报告：每年由于病毒等网络欺诈行为导致全球经济损失高达160多亿美元。“表哥，你最近还好吗？知道我是谁吗？看了我的相片你就知道了！”这是在上海某银行上班的杨先生收到一封邮件，谁知邮件还未打开，电脑出现了黑屏。杨先生还没有弄清是哪个“表妹”发来的玉照便丢失了大量银行保密资料，给单位造成的损失无法估量。去年6月浙江警方破获一起“黑客窃取网游密码案”，单单一个黑客就窃取网游账号6万多个，价值上百万元。去年6月3日至9月19日，就发现较大规模僵尸网络59个，平均每天发现3万个受黑客控制的“僵尸”计算机。包含间谍软件、恶意插件和浏览器劫持在内的流氓软件也大行其道，它们侵入用户电脑安装插件和后门程序，窃取个人信息，一年之内使自己的流量上升600%；而通过设立搏彩、低价网络购物等欺诈性网站直接骗取用户钱财等等，更是数不胜数。

从鸩酒到慢药：“混合性威胁”的时代已经到来根据IDC最新的调查结果，如今计算机用户面临的三项最严重的安全威胁依次是垃圾邮件、DdoS攻击和网上欺诈。与前些年安全威胁大多来自病毒和蠕虫等的大规模猛烈爆发不同，近年来各种各样的“谍件”或恶意代码开始在网上肆虐，其疯狂程度已超过了传统的病毒威胁。倘若把病毒比作剧毒的鸩酒，那么“间谍软件”就如同小说里的“慢药”，毒性更强，中毒后还不易被察觉。由于利益驱动，“间谍软件”大都采用巧妙的形式潜伏于用户的个人电脑中，它们更难被被发现，却能窃取用户宝贵个人资料，以非法获利，这就是“网上欺诈”。今天用户面对的安全威胁更复杂，经常是由多种善变的威胁组成的“混合型威胁”，包括病毒、蠕虫、间谍软件、拒绝服务攻击等。网络安全问题正日益严峻。

科研、产业与服务体系技术与管理标准体系国家信息安全保障体系

提纲一、信息安全形势依然严峻二、信息化风险及风险管理研究

三、信息安全风险评估技术导引四、信息安全风险评估试点经验宝贵二、信息化风风险及风险管管理研究随着信息化的的发展，信息息化的风险与与风险管理问问题已经成为为各个国家、、国际组织所所普遍关注的的问题。信息化的的风险管管理，其其中信息息安全风风险和保保障网络络空间的的安全已已经成为为关系信信息化能能否健康康发展的的重大问问题。2.1信信息化化风险的的定义风险指行行动或者者事件的的结果的的不确定定性（uncertaintyofoutcome）。信息化的的风险被被界定为为信息化化可能或或者实际际带来的的消极威威胁。风险管理理泛指评评估风险险、确认认风险、、回应风风险的过过程。2.2信信息安安全基本本属性机密性Confidentiality完整性Integrity可用性Availability2.3信信息息化风险险的主要要特征全球性传染性复杂性隐蔽性信息安全全范畴安全组织织访问控制制业务不间间断运转转物理安全全等等………入侵预防防与检测测2.4信信息化化风险的的内在原原因基本原因因在于内内因，由由信息化化自身的的特点所所决定：：第一，信信息化的的无疆界界特征；；第二，信信息化的的低成本本特征；；第三，信信息化的的开放性性特征；；第四，信信息化的的匿名性性特征。。第一，自自然灾害害；第二，误误操作和和安全生生产事故故；第三，病病毒、蠕蠕虫以及及网络攻攻击；第四，由由于信任任体系不不完善，，借助信信息化手手段进行行欺诈；；第五，因因内部因因素而造造成的信信息、数数据的修修改和丢丢失和内内部泄密密；；；第六，因因外部因因素造成成信息、、数据的的泄露、、篡改和和丢失；；第七，安安全防范范措施不不到位的的高端技技术。2.5信信息化化风险的的外部原原因2.6我我国信息息安全风风险的生生成机理理第一，战战略能力力不足，，规划不不明确。。（1）缺缺乏项目目的建设设战略（2）缺缺乏项目目的中长长期发展展规划（3）缺缺乏明确确项目的的发展步步骤（4）缺缺乏项目目的阶段段性绩效效标准第二，领导导与组织能能力不到位位，统筹协协调不力领导对于风风险管理的的重视不足足，忽视信信息化项目目的风险问问题；信息化目标标的错误设设定，片面面追求某些些指标，忽忽视质量；；信息孤岛问问题以及跨跨部门之信信息化进程程的协调问问题；信息安全总总体设计不不到位；项目建设规规划、评估估和监理存存在缺位和和不足2.6我国国信息安全全风险的生生成机理（（续）第三，信息息化管理的的能力差，，管理体系系不成熟。。（1）对信信息化管理理的理念认认识和关注注不足；（2）管理理基础（包包括信息化化建设中决决策机制、、信息透明明和公开、、实施过程程的监督等等）不完善善；（3）缺乏乏信息化建建设周期中中质量控制制和评估标标准；2.6我国国信息安全全风险的生生成机理（（续）第四，安全全子系统建建设资金的的预算和管管理能力差差（1）对信信息系统未未作风险评评估和分析析，安全子子系统建设设投资预算算缺乏科学学依据或过度保护护或保护不力力；（2）总体体资金支持持不足；（3）信息息安全投资资的回报难难以监控和和评估。2.6我国国信息安全全风险的生生成机理（（续）第五，人力力资源不足足（1）缺乏乏信息安全全风险管理理的人员（2）缺乏乏具备信息息安全管理理能力和资资格的人员员；（3）培训训滞后于项项目，培训训效果差。。2.6我国国信息安全全风险的生生成机理（（续）第六，法规规、标准与与政策滞后后于信息化化发展相关法制工工作滞后于于信息化建建设需求；；首先，缺乏乏对信息化化的全面立立法支持，，缺乏保障障政府信息息化的基本本法律，如如政府信息息公开法、、政府信息息资源管理理法。其次，原有有的一些法法律已不能能适应信息息化时代的的要求，如如著作权法法、专利法法、刑法等等，亟待修修订。再次，缺乏乏对信息安安全风险的的管理规范范和技术标标准。2.6我国国信息安全全风险的生生成机理（（续）第七，保护护隐私，数数据安全，，技术管理理方面的不不足。在泄露隐私私方面：（1）不当（2）未遵循法律或法规制定相应的隐私和记录管理政策。

在影响数据安全方面：（1）工作人员对安全因素和措施缺乏足够认知；

（2）难以解决相关安全问题；

（3）病毒或黑客攻击导致系统瘫痪；

（4）由于一个主要系统瘫痪导致其它系统的失灵。2.6我国国信息安全全风险的生生成机理（（续）提纲纲一、信息安安全形势需需要评估二、信息化化风险及风风险管理研研究三、信息安安全风险评评估技术导导引四、信息安安全风险评评估试点经经验宝贵克服安全““亚健康””的必由之之路医学专家告告诉我们：：人的躯体有有健康、亚亚健康和患患病等多种种状态但成年人多多数处于亚亚健康状态态如何确认和和发现问题题，必须体体检信息系统也也一样，在在安全状态态方面，常常常处于““亚健康””甚至患病病状态，因因此也要““体检”——这就是风风险评估居安思危，，思则有备备温总理：清醒就是要要认识到我我们已经取取得的成绩绩，只是在在现代化的的进程迈出出了第一步步，今后的的路还更长长，更艰苦苦。形势稍稍好，尤需需兢慎。思思所以危则则安，思所所以乱则治治，思所以以亡则存。。《左传》云云：“居安安思危，思思则有备，，有备无患患，敢以此此规。”安安全风险评评估同样蕴蕴涵了这一一思想。曾有一个关关于名医扁扁鹊的传说说。扁鹊有有兄弟三人人，有一次次齐国国君君问他：““其孰最善善为医？””扁鹊答：：两个哥哥哥都在自己己之上。齐齐王不解。。扁鹊说：：两个哥哥哥都是治大大病于小恙恙，或者防防病于未然然，而他是是直到病人人病情完全全显露，才才能加以诊诊治。扁鹊的话告告诉我们一一个简单的的道理：事事后控制不不如事中控控制，事中中控制不如如事前控制制。健康安安全是这样样，网络信信息安全亦亦然。风险评估的的理念安全需要风风险管理，，信息安全全更需要风风险管理风险评估是是当前解决决信息安全全问题的重重要手段风险评估是是一种方法法和依据信息安全风风险是由于于资产的重重要性，人人为或自然然的威胁利利用信息系系统及其管管理体系的的脆弱性，，导致安全全事件一旦旦发生所造造成的影响响。信息安安全风险评评估是指依依据有关信信息安全技技术与管理理标准，对对信息系统统及由其处处理、传输输和存储的的信息的机机密性、完完整性和可可用性等安安全属性进进行评价的的过程。它它要评估资资产面临的的威胁以及及威胁利用用脆弱性导导致安全事事件的可能能性，并结结合安全事事件所涉及及的资产价价值来判断断安全事件件一旦发生生对组织造造成的影响响，即信息息安全的风风险。信息息安安全全风风险险评评估估是是信信息息系系统统安安全全保保障障机机制制建建立立过过程程中中的的一一种种评评价价方方法法，，其其结结果果为为信信息息安安全全风风险险管管理理提提供供依依据据。。信息息安安全全风风险险评评估估的的概概念念风险险评评估估是是对对系系统统进进行行信信息息安安全全风风险险管管理理的的基基础础，，也也是是系系统统的的使使用用单单位位或或组组织织判判定定在在系系统统的的整整个个生生命命周周期期中中，，有有关关风风险险级级别别的的过过程程。。其其结结果果是是残残留留风风险险是是否否达达到到可可接接受受水水平平的的一一个个明明确确界界定定，，或或者者是是一一个个是是否否应应当当实实施施额额外外的的安安全全控控制制以以进进一一步步降降低低风风险险的的结结论论。。信息息安安全全风风险险定定义义为为有有害害事事件件发发生生的的可可能能性性和和该该事事件件可可能能对对组组织织的的使使命命所所产产生生影影响响的的函函数数。。为了了确确定定这这种种可可能能性性，，需需要要对对系系统统的的威威胁胁以以及及由由此影响则是按照系统在单位任务实施中的重要程度来确定的。对风风险险评评估估总总体体要要求求的的理理解解风险险评评估估工工作作总总体体要要求求是是：：充分分发发挥挥和和调调动动各各方方面面力力量量，，运运用用风风险险管管理理的的思思想想，，通通过过风风险险评评估估，，控控制制和和降降低低风风险险，，全全面面提提高高信信息息系系统统防防护护能能力力，，满满足足信信息息安安全全需需求求，，逐逐步步建建成成有有中中国国特特色色的的风风险险评评估估体体系系。。评估我我国基基础信信息网网络和和重要要信息息系统统，掌掌握我我国基基础信信息网网络和和重要要信息息系统统的安安全状状态，，及时时采取取合适适的应应对措措施，，保障障它们们的正正常运运行。。通过对对国家家级重重点电电子政政务系系统、、电子子商务务系统统以及及重要要信息息基础础设施施的风风险评评估工工作，，从中中摸索索经验验，不不断探探索，，逐步步完善善我国国风险险评估估工作作的管管理机机制。。风险管管理贯贯穿于于信息息系统统生命命周期期的整整个过过程风险管管理是是管理理者权权衡保保护措措施的的运行行和经经济成成本与与获得得的收收益之之间关关系的的一个个过程程。这个过过程并并不是是IT行业业所独独有的的，实实际上上它遍遍及我我们日日常生生活中中需要要做出出决定定的任任何事事情。。进行风风险管管理的的最终终目的的就是是要在在这种种平衡衡关系系下，，将风风险最最小化化，这这也是是在信信息系系统生生命周周期过过程中中需要要实施施信息息安全全风险险管理理的根根本原原因。。所有与与安全全性相相关的的活动动都是是信息息安全全风险险管理理的组组成部部分。。可以以说，，信息息安全全风险险管理理贯穿穿于系系统生生命周周期的的整个个过程程，即即初始始阶段段、开开发/获取取阶段段、实实施阶阶段、、运行行/维维护阶阶段。。美国NIST提提出的的信息息系统统安全全框架架风险评评估的的过程程安全措施

抵御业务战略脆弱性安全需求威胁风险残余风险安全事件依赖具有被满足利用暴露降低增加加依赖增加导出演变

未被满足未控制可能诱发残留成本资产资产价值风险要要素关关系示示意图图信息系系统安安全评评估体体系的的构成成风险分分析的的基本本要素素风险分分析中中要涉涉及资资产、、威胁胁、脆脆弱性性等基基本要要素。。每个要要素有有各自自的属属性资产的的属性性是资资产价价值；；威胁的的属性性是威威胁出出现的的频率率；脆弱性性的属属性是是资产产弱点点的严严重程程度。资产识识别资产是是具有有价值值的信信息或或资源源，是是安全全策略略保护护的对对象。。它能能够以以多种种形式式存在在，有有无形形的、、有形形的，，有硬硬件、、软件件，有有文档档、代代码，，也有有服务务、形形象等等。机机密性性、完完整性性和可可用性性是评评价资资产的的三个个安全全属性性。信信息安安全风风险评评估中中资产产的价价值不不仅仅仅以资资产的的账面面价格格来衡衡量，，而是是由资资产在在这三三个安安全属属性上上的达达成程程度或或者其其安全全属性性未达达成时时所造造成的的影响响程度度来决决定的的。安安全属属性达达成程程度的的不同同将使使资产产具有有不同同的价价值，，而资资产面面临的的威胁胁、存存在的的脆弱弱性、、以及及已采采取的的安全全措施施都将将对资资产安安全属属性的的达成成程度度产生生影响响。为为此，，有必必要对对组织织中的的资产产进行行识别别。资产识别资产定义资产是企业业、机构直直接赋予了了价值因而而需要保护护的东西。。它可能是是以多种形形式存在，，有无形的的、有有形形的，有硬硬件、有软软件，有文文档、代码码，也有服服务、企业业形象等。。通常信息资资产的机密密性、完整整性和可用用性是公认认的能够反反映资产安安全特性的的三个要素素。资产还具有有很强的时时间特性，，它的价值值和安全属属性都会随随着时间的的推移发生生变化，所所以应该根根据时间变变化的频度度制定资产产相关的评评估和安全全策略的频频度。资产分类在一般的评评估体中，，资产大多多属于不同同的信息系系统，如OA系统，，网管系统统，业务生生产系统等等。这时首首先需要将将信息系统统及其中的的信息资产产进行恰当当的分类，，才能在此此基础上进进行下一步步的风险评评估工作。。资产赋值资产赋值是是对资产安安全价值的的估价资产分类风险评估中中，资产大大多属于不不同的信息息系统，如如OA系统统、网管系系统、业务务生产系统统等，而且且对于提供供多种业务务的组织，，其支持业业务持续运运行的系统统数量可能能更多。这这时首先需需要将信息息系统及相相关的资产产进行恰当当的分类，，以此为基基础进行下下一步的风风险评估。。在实际工工作中，具具体的资产产分类方法法可以根据据具体的评评估对象和和要求，由由评估者来来灵活把握握。根据资产的的表现形式式，可将资资产分为数数据、软件件、硬件、、文档、服服务、人员员等类。威胁识别威胁定义安全威胁是是对机构及及其资产构构成潜在破破坏的可能能性因素或或者事件。。无论对于于多么安全全的信息系系统，安全全威胁是一一个客观存存在的事物物，它是风风险评估的的重要因素素之一。威胁分类威胁赋值：：评估确定威威胁发生的的可能性是是威胁评估估阶段的重重要工作，，评估者应应根据经验验和（或））有关的统统计数据来来判断威胁胁发生的频频率或者发发生的概率率。其中，，威胁发生生的可能性性受下列因因素影响：：1、资产的的吸引力；；2、资产转转化成报酬酬的容易程程度；3、威胁的的技术力量量；4、脆弱性性被利用的的难易程度度。脆弱性识别别脆弱性定义义脆弱性评估估也称为弱弱点评估，，是风险评评估中重要要的内容。。弱点是资资产本身存存在的，它它可以被威威胁利用、、引起资产产或商业目目标的损害害。弱点包包括物理环环境、机构构、过程、、人员、管管理、配置置、硬件、、软件和信信息等各种种资产的脆脆弱性。脆弱性识别别将针对每每一项需要要保护的信信息资产，，找出每一一种威胁所所能利用的的脆弱性，，并对脆弱弱性的严重重程度进行行评估，为为其赋相对对等级值。。脆弱性识识别所采用用的方法主主要为：问问卷调查、、人员问询询、工具扫扫描、手动动检查、文文档审查、、渗透测试试等。脆弱性分类类脆弱性主要要从技术和和管理两个个方面进行行评估，其其中在技术术方面主要要是通过远远程和本地地两种方式式进行系统统扫描；管管理脆弱性性评估方面面可以按照照BS7799等等标准的安安全管理要要求对现有有的安全管管理制度及及其执行情情况进行检检查，发现现其中的管管理漏洞和和不足。脆弱性赋值值风险识别风险计算风险计算原原理形式化化描述为：：R=f(A,V,T)=f(Ia,L(Va,T))注：R表示示风险；A表示资产产；V表示示脆弱性；；T表示威威胁；Ia表示资产产发生安全全事件后对对机构业务务的影响(也称为资资产的重要要程度)；；Va表示示某一资产产本身的脆脆弱性，L表示威胁胁利用资产产的脆弱性性造成安全全事件发生生的可能性性。不打无准备备之仗—做做好准备风险险评评估估的的准准备备是是整整个个风风险险评评估估过过程程有有效效性性的的保保证证。。在在风风险险评评估估实实施施前前，，应应：：确定定风风险险评评估估的的目目标标；；确定定风风险险评评估估的的范范围围；；组建建适适当当的的评评估估管管理理与与实实施施团团队队；；选择择与与组组织织相相适适应应的的具具体体的的风风险险判判断断方方法法；；获得得最最高高管管理理者者对对风风险险评评估估工工作作的的支支持持。。风险险评评估估的的准准备备风险险评评估估的的准准备备过过程程是是组组织织进进行行风风险险评评估估的的基基础础，，是是整整个个风风险险评评估估过过程程有有效效性性的的保保证证。。确定定风风险险评评估估的的目目标标确定定风风险险评评估估的的范范围围建立立适适当当的的组组织织结结构构建立立系系统统性性的的风风险险评评估估方方法法获得得最最高高管管理理者者对对风风险险评评估估策策划划的的批批准准风险险评评估估依依据据1、、政政策策法法规规：：中中办办发发［［2003］］27号号文文件件和和国国信信办办文文件件2、、国国际际标标准准：：如如BS7799-1《《信信息息安安全全管管理理实实施施细细则则》》、、BS7799-2《《信信息息安安全全管管理理体体系系规规范范》》等等3、国家标准准或正在审批批的讨论稿，，如GB17859-1999计计算机信息息系统安全保保护等级划分分准则》和《《信息安全风风险评估指南南》等4、行业通用用标准等其它它标准风险评估原则则1、可控性原原则（1）人员可可控性（2）工具可可控性（3）项目过过程可控性2、完整性原原则严格按照委托托单位的评估估要求和指定定的范围进行行全面的评估估服务。3、最小影响响原则从项目管理层层面和工具技技术层面，力力求将风险评评估对信息系系统的正常运运行的可能影影响降低到最最低限度。4、保密原则则Recommendations评估现状确定范围OrgChartsPolicesITSMOverview报告评审StructuredinterviewsProcessdefinitionsInterviewscheduleProcessrecords评估报告改进项目SIPCustomersurvey评估流程2.5InternalIntegration着重流程内部的集成性2ProcessCapability重视流程执行OtherProcessManagement1.5Mgntintent制定管理规范3.5QualityControl流程质量监控4Mgntinformation提供充分的管理信息Customer1Prerequisites/基本条件4.5ExternalIntegration与其它流程的紧密集成5CustomerInterface流程优化和服务客户3Products流程的可交付物风险计算模型型风险计算模型型包含信息资资产、弱点/脆弱性、威威胁等关键要要素。每个要要素有各自的的属性，信息息资产的属性性是资产价值值，弱点的属属性是弱点被被威胁利用后后对资产带来来的影响的严严重程度，威威胁的属性是是威胁发生的的可能性。风险计算的过过程是：对信息资产进进行识别，并并对资产赋值值；对威胁进行分分析，并对威威胁发生的可可能性赋值；；识别信息资产产的脆弱性，，并对弱点的的严重程度赋赋值；根据威胁和脆脆弱性计算安安全事件发生生的可能性；；结合信息资产产的重要性和和在此资产上上发生安全事事件的可能性性计算信息资资产的风险值值。风险结果的判判定风险等级的划划分确定风险数值值的大小不是是机构风险评评估的最终目目的，重要的的是明确不同同威胁对资产产所产生的风风险的相对关关系，即要确确定不同风险险的优先次序序或等级，对对于其中风险险级别高的资资产应被优先先分配资源进进行保护。风险等级建议议从1到5划划分为五级。。等级越大，，风险越高。。风险的等级级应得到机构构管理层的评评审并批准。。控制措施的选选择残余风险的评评价对于不可接受受范围内的风风险，应在选选择了适当的的控制措施后后，对残余风风险进行评价价，判定风险险是否已经降降低到可接受受的水平，为为风险管理提提供输入。残残余风险的评评价可以依据据机构风险评评估的准则进进行，考虑选选择的控制措措施和已有的的控制措施对对于威胁发生生的可能性的的降低。风险评估结果果纪录根据评估实施施情况和所搜搜集到的信息息，如资产评评估数据、威威胁评估数据据、脆弱性评评估数据等，，完成评估报报告撰写。评估报告是风风险评估结果果的记录文件件，是实施风风险管理的主主要依据，是是对风险评估估活动进行评评审和认可的的基础资料，，必须做到有有据可查报告主要包括括风险评估范范围、风险计计算方法、安安全问题归纳纳及描述、风风险级数、安安全建议、风风险控制措施施建议、残余余风险描述等等。风险评估过程程应形成下列列文件：风险评估过程程计划、风险险评估程序、、信息资产识识别清单、重重要信息资产产清单、威胁胁参考列表、、脆弱性参考考列表、风险险评估记录、、风险处理计计划：风险评估报告告：对整个风风险评估过程程进行总结，，说明机构的的风险状况及及残余风险状状况，通过管管理层的评审审，确定评估估后的风险状状况满足机构构业务发展及及其他相关方方的要求。信息安全风险险评估基本方方法手动评估：在在风险评估工工具出现前，，安全评估工工作都只能手手工进行。其其劳动量巨大大，容易出现现疏漏，而且且由于依据各各自经验，有有较大的局限限性。工具辅助评估估工具的出现在在一定程度上上解决了手动动评估的局限限性。1985年，英国国CCTA开开发了CRAMM风险评评估工具。遵遵循BS7799规范范。1991年，C&ASystemSecurity公司推出出了COBRA工具，用用来进行信息息安全风险评评估。它可以以看作一个基基于专家系统统和扩展知识识库的问卷系系统，对所有有的威胁和脆脆弱点评估其其相对重要性性，并且给出出合适的建议议和解决方案案，对每个风风险类别提供供风险分析报报告和风险值值。技术评估和整整体评估技术评估和整整体评估技术评估是指指对机构的技技术基础结构构和程序进行行系统的、及及时的检查，，包括对机构构内部计算环环境的安全性性及其对内外外攻击脆弱性性的完整性攻攻击。（1）评估整整个计算基础础结构。（2）使用软件件工具分析基基础结构及其其全部组件。。（3）提供供详细的分析析报告，整体风险评估估扩展了上述述技术评估的的范围，着眼眼于分析机构构内部与安全全相关的风险险，包括内部部和外部的风风险源、技术术基础和机构构结构以及基基于电子的和和基于人的风风险。关注的焦焦点主要要集中在在以下4个方面面：（1）检检查与安安全相关关的实践践，标识识当前安安全实践践的优点点和弱点点。（2）包包括对系系统进行行技术分分析、对对政策进进行评审审，以及及对物理理安全进进行审查查。（3）检检查IT的基础础结构，，以确定定技术上上的弱点点。包括括恶意代代码的入入侵、数数据的破破坏或者者毁灭、、信息丢丢失、拒拒绝服务务、访问问权限和和特权的的未授权权变更等等。（4）帮帮助决策策制订者者综合平平衡风险险以选择择成本效效益对策策定性评估估和定量量评估定性分析析方法是是最广泛泛使用的的风险分分析方法法。该方方法通常常只关注注威胁事事件所带带来的损损失（Loss），而而忽略事事件发生生的概率率（Probability）。多数定性性风险分分析方法法依据机机构面临临的威胁胁、脆弱弱点以及及控制措措施等元元素来决决定安全全风险等等级。在在定性评评估时并并不使用用具体的的数据，，而是指指定期望望值，如如设定每每种风险险的影响响值和概概率值为为“高””、“中中”、““低”。。有时单纯纯使用期期望值，，并不能能明显区区别风险险值之间间的差别别。可以以考虑为为定性数数据指定定数值。。例如，，设“高高”的值值为3，，“中””的值为为2，““低”的的值为1。但是是要注意意的是，，这里考考虑的只只是风险险的相对对等级，，并不能能说明该该风险到到底有多多大。定量分析析方法利利用两个个基本的的元素：：威胁事件件发生的的概率和和可能造造成的损损失。把这两个个元素简简单相乘乘的结果果称为ALE（（AnnualLossExpectancy）或或EAC（EstimatedAnnualCost）。。理论上上可以依依据ALE计算算风险等等级，并并且做出出相应的的决策。。一种定量量风险评评估方法法首先评估估特定资资产的价价值V然后根据据客观数数据计算算威胁的的频率P；最后计算算威胁影影响系数数µ，因因为对于于每一个个风险，，并不是是所有的的资产所所遭受的的危害程程度都是是一样的的，程度度的范围围可能从从无危害害到彻底底危害。。根据上述述三个参参数，计计算ALE：ALE＝＝V×P××µ定量风险险分析方方法要求求特别关关注资产产的价值值和威胁胁的量化化数据，，但是这这种方法法存在一一个问题题，就是是数据的的不可靠靠和不精精确。基于知识识的评估估和基于于模型的的评估基于知识识的风险险评估方方法主要要是依靠靠经验进进行的，，经验从从安全专专家处获获取并凭凭此来解解决相似似场景的的风险评评估问题题。这种种方法的的优越性性在于能能够直接接提供推推荐的保保护措施施、结构构框架和和实施计计划。基于“良良好实践践”的知知识评估估方法提提出重用用具有相相似性机机构（主主要从机机构的大大小、范范围以及及市场来来判断机机构是否否相似））的“良良好实践践”。基于知识识的风险险评估方方法充分分利用多多年来开开发的保保护措施施和安全全实践，，依照机机构的相相似性程程度进行行快速的的安全实实施和包包装，以以减少机机构的安安全风险险。然而而，机构构相似性性的判定定、被评评估机构构的安全全需求分分析以及及关键资资产的确确定都是是该方法法的制约约点。安安全风险险评估是是一个非非常复杂杂的任务务，这要要求存在在一个方方法既能能描述系系统的细细节又能能描述系系统的整整体。基于于模模型型的的评评估估可可以以分分析析系系统统自自身身内内部部机机制制中中存存在在的的危危险险，，同同时时又又可可以以发发现现系系统统与与外外界界环环境境交交互互中中的的不不正正常常并并有有害害的的行行为为，，从从而而完完成成系系统统弱弱点点和和安安全全威威胁胁的的定定性性分分析析。。系统统安安全全风风险险动动态态分分析析与与评评估估方方法法信息息安安全全管管理理是是指指导导和和控控制制机机构构的的关关于于信信息息安安全全风风险险的的相相互互协协调调的的活活动动，，关关于于信信息息安安全全风风险险的的指指导导和和控控制制活活动动通通常常包包括括制制定定信信息息安安全全方方针针、、风风险险评评估估、、控控制制目目标标与与方方式式选选择择、、风风险险控控制制、、安安全全保保证证等等。。信信息息安安全全管管理理实实际际上上是是风风险险管管理理的的过过程程，，管管理理的的基基础础是是风风险险的的识识别别和和评评估估。。信息息安安全全管管理理中中认认为为风风险险的的分分析析与与评评估估是是个个动动态态的的过过程程，，所所以以相相应应得得分分析析与与评评估估方方法法、、评评估估工工具具都都要要体体现现动动态态性性。。PDCA（（PlanDoCheckAction））是是当当前前代代表表性性的的动动态态风风险险管管理理过过程程，，计划划（（Plan））：：定定义义信信息息安安全全管管理理体体系系得得范范围围，，鉴鉴别别和和评评估估业业务务风风险险。。实施施（（Do））：：实实施施同同意意的的风风险险治治理理活活动动以以及及适适当当的的控控制制。。检查查（（Check））：：监监控控控控制制的的绩绩效效，，审审查查变变化化中中环环境境的的风风险险水水平平，，执执行行内内部部信信息息安安全全管管理理体体系系审审计计。。改进进（（Action））：：在在信信息息安安全全管管理理体体系系过过程程方方面面实实行行改改进进，，并并对对控控制制进进行行必必要要的的改改进进，，以以满满足足环环境境的的变变化化。。典型的风险险评估方法法1FTA故障树最初初是20世世纪60年年代为便于于Minuteman火箭系系统的分析析而提出的的，后来这这种方法在在航天工业业、电子设设备、化学学工业、机机械制造、、核工业及及一般电站站的可靠性性分析中得得到了广泛泛应用，并并且取得了了不少成果果。目前它它主要用于于分析大型型复杂系统统的可靠性性及安全性性，被公公认为是对对复杂系统统可靠性、、安全性进进行分析的的一种有效效的方法。。故障树分析析是一种top-down方方法，通过过对可能造造成系统故故障的硬件件、软件、、环境、人人为因素进进行分析，，画出故障障原因的各各种可能组组合方式和和/或其发发生概率，，由总体至至部分，按按树状结构构，逐层细细化的一种种分析方法法。故障树树分析采用用树形图的的形式，把把系统的故故障与组成成系统的部部件的故障障有机地联联系在一起起。典型的风险险评估方法法（2）2FMECAFMECA（故障模模式影响及及危害性分分析）由两两部分工作作构成，即即故障模式式影响分析析（FailureModeandEffectsAnalysis─FMEA））和危害性性分析（CriticalityAnalysis——CA）。。FMECA（FailureModeEffectsandCriticalityAnalysis））是一种可可靠性、安安全性、维维修性、保保障性分析析与设计技技术，用来来分析、审审查系统及及其设备的的潜在故障障模式，确确定其对系系统和设备备工作能力力的影响，，从而发现现设计中潜潜在的薄弱弱环节，提提出可能采采取的预防防改进措施施，以消除除或减少故故障发生的的可能性，，提高系统统和设备的的可靠性、、安全性、、维修性、、保障性水水平。FMECA是一种bottom-up分析方法法，按规定定的规则记记录产品设设计中所有有可能的故故障模式，，分析每种种故障模式式对系统的的工作及状状态（包括括整体完好好、任务成成功、维修修保障、系系统安全等等）的影响响并确定单单点故障，，将每种故故障模式按按其影响的的严重度及及发生概率率排序，从从而发现设设计中潜在在的薄弱环环节，提出出可能采取取的预防改改进措施（（包括设计计、工艺或或管理），，以消除或或减少故障障发生的可可能性，保保证系统的的可靠性。。典型的风险险评估方法法（3）HazOpHazOp是Hazardandoperabilitystudy的简称称，即危害害及可操作作性研究。。HazOp分析是是由专家组组来进行的的，它是一一种系统潜潜在危害的的结构化检检查方法。。专家们通通过脑风暴暴会议方式式，确定系系统所有可可能偏离正正常设计的的异常运行行问题，并并分析这种种偏离正常常运行的原原因、可能能性和可能能造成的后后果及后果果的严重性性等。HazOp是一个定定性的标准准危害分析析技术，可可用于一个个新的系统统或已有系系统在更改改后的初步步安全风险险评估。HazOp分析方法法的主要目目标是识别别出存在的的问题，而而不是解决决问题。其其生成结果果是一个可可能危害的的列表。对对每个危害害，需要对对可能的原原因及后果果进行进一一步地评估估。典型的风险险评估方法法（4）4Markov方方法有两个基本本的Markov分分析方法：：Markov链和和Markov过程程。Markov链是一一个随机变变量的序列列，将来的的随机变量量只决定于于当前的随随机变量，，但与当前前随机变量量之前的随随机变量无无关。这与与其他随机机事件是不不相同的，，因为很多多随机事件件将来的事事件发生是是要受到以以前发生事事件的影响响的，它们们前后存在在着较大的的相关性，，不是相互互独立的。。Markov链可可以是齐次次的，也可可以是非齐齐次的。齐齐次的Markov链的特征征是状态间间的转移率率是常量，，而非齐次次Markov链的的特征则相相反，状态态间的转移移率是变量量，是时间间的函数。。Markov模型根据系系统的初始配配置状态，估估计从一个已已知状态转移移到下一逻辑辑状态的概率率，直到系统统到达一个最最终或完全失失效的状态。。Markov过程的一一个基本假设设是在每个状状态，系统的的行为是不会会被记忆的。。Markov过程完全全由其转移概概率矩阵所确确定。一个无无记忆系统的的特征就是系系统的将来状状态只取决于于其当前状态态，而与过去去无关。信息安全风险险评估基础环环境的准备工具风险评估工具具风险计算工具具风险评估数据据收集工具模拟环境测试平台提纲一、信息安全全形势需要评评估二、信息化风风险及风险管管理研究三、信息安全全风险评估技技术导引四、信息安全全风险评估试试点经验宝贵贵风险评估尚需需探索、贵在在实践去年以来我有有幸参加了国国信办组织的的一些试点工工作看到了试点单单位的成绩和和取得的经验验，获益良多多也发现了还有有不少问题急急需探索和研研究试点工作目的的试点工作的目目的是:在现有管理体体制下，摸索索如何开展信信息安全风险险评估工作，，检验草拟的的风险评估相相关标准规范范的可行性与与可用性，为为全面推广信信息安全风险险评估工作和和国家出台有有关文件做前前期准备。在试点工作中中将探讨以下下问题：探索风险评估估管理机制的的建设，研究究如何落实中中办发27号号文件“谁主主管谁负责谁谁运营谁负责责”的原则，，包括信息息安全风险评评估的领导体体制、协调机机制、审查与与批准、监管管、督察和备备案等内容；；明确信息安安全风险评估估的角色、责责任、方法、、过程及结果果摸索协同开展展风险评估工工作和信息安安全等级保护护工作、保密密检查工作的的实践经验；；检验和完善信信息安全风险险评估管理规规范与技术标标准；了解信息安全全检查评估和和自评估模式式的效果与不不足；选择试点单位位1、条件试点单位的信信息化系统已已具有一定的的规模，试点点单位应具备备自己的技术术一定的、专专业队伍和评评估实践经验验。2、范围信息化程度较较高的行业部部门的信息系系统，如金融融、税务、电电力；建设发展中的的电子政务重重要信息系统统；部分涉密信息息系统；信息化程度不不同的地方单单位。专家组提出建建议，协助国国信办确定试试点入选单位位。试点工作与标标准验证试点工作对去去年国信办组组织制定的两两项试行标准准进行了验证证，提出了修修订建议绝大多数试点点单位大都参参照了去年国国信办和国家家安标委组织织编写的《信信息安全风险险评估指南》》及《信息安安全风险管理理指南》。试点单位大都都结合自身的的具体情况，，选择了相应应的评估方法法和适当的安安全控制措施施及管理流程程，实践经验验证明各试点点单位评估基基于的基本原原则和核心方方法与试行标标准指南大体体吻合一致。。收获和体会提高了对风险险评估工作的的认识和理解解—科学方法、、长效机制为国信办风险险评估工作文文件起草积累累了素材检验了标准，，两项试行标标准得到了肯肯定初步规范了评评估内容，演演练了评估的的实施流程试行了部分评评估技术方法法，重视了评评估的科学性性评估方法的百百花齐放和创创新性体现了创新，，积累了成果果，培训了人人才试点工作技术术上特点计划比较周密密注意控制了评评估自身的风风险注意遵循和验验证标准讨论论稿及时总结经验验和问题始终重视人才才培养在技术上通过过评估方法的的多样化，进进行了有益的的探索试点工作出现现了一批成果果上海市的风险险评估管理软软件评估模型和方方法的创新与与探索北京市利用了了已有的工具具平台，形成成了评估辅助助工具平台黑龙江提出了了基于模糊综综合判定理论论的风险评估估判定方法既有量化的探探索，也有定定性为主的探探索云南提出了增增加业务流分分析和已有控控制措施的有有效性识别或或判定试点工作出现现了一批成果果（续）国家税务总局局提出了差距距分析法，细细化了流程国电公司提出出了符合行业业特点的方法法，初步形成成了行业安全全评估方法论论，涵盖了安安全定义、安安全评测和风风险分析的全全过程典型方法之一一：计算系统统综合风险规范的评估过过程摸清家底：划划分资产类型型，建立重要要资产清单，，识别资产重重要性分析威胁和分分析脆弱性两两种途径按层层次次分分析析脆脆弱弱性性判定定安安全全时时间间及及其其影影响响计算算威威胁胁风风险险值值制定定风风险险控控制制措措施施典型型方方法法之之一一：：计计算算系系统统综综合合风风险险（（续续））资产产综综合合风风险险计计算算三三种种做做法法选择择该该资资产产中中分分析析风风险险最最高高的的作作为为风风险险，，乘乘以以资资产产值值，，作作为为该该资资产产风风险险将资资产产中中每每一一威威胁胁的的风风险险之之于于资资产产值值相相乘乘，，得得到到多多个个资资产产的的风风险险值值构建建模模型型，，进进行行综综合合计计算算综合合风风险险：：R=V*[∑∑cRti*Qc+∑∑ARti*QA+∑∑IRti*Qi]其中中R:总总风风险险，，V:该该资资产产得得分分，，∑∑为为威威胁胁累累计计C:机机密密性性，，I:完完整整性性，，A:可可用用性性典型型方方法法之之二二：：差差距距分分析析风险险评评估估方方法法-差差距距分分析析法法建立立分分析析模模型型在风风险险评评估估中中通通过过识识别别、、判判断断和和分分析析目目标标系系统统的的安安全全现现状状与与安安全全要要求求之之间间的的差差距距确确定定系系统统风风险险的的分分析析方方法法。。也也就就是是说说，，目目标标系系统统的的可可接接受受风风险险和和系系统统残残余余风风险险间间的的差差距距就就是是系系统统存存在在的的风风险险。构建差差距分分析法法模型型风险分分析模模型差距分分析法法的实实施路路径步骤一一:调研研目标标系统统状况况步骤二二：确确定信信息系系统安安全要要求任务1：确确定信信息系系统安安全等等级任务2：确确定和和规范范化描描述信信息系系统的的安全全要求求步骤三三：评评估信信息系系统安安全现现状任务1：信信息系系统安安全现现状评评估报报告步骤四四：对对信息息安全全风险险进行行差距距分析析和风风险计计算任务1：评评估信信息系系统安安全现现状对对信息息系统统安全全要求求的符符合程程度，，即信信息系系统现现有安安全措措施在在当前前系统统运行行环境境下是是否满满足其其安全全要求求任务2：对对信息息系统统安全全执行行能力力进行行评估估，评评估信信息系系统安安全级级（包包括技技术架架构能能力级级、