管理资源我国信息安全风险评估工作的现状与发展65

我国信息平安风险评估工作的现状与开展国家信息中心信息平安研究与效劳中心吴亚非一、信息平安风险评估概述二、为什么要做信息平安风险评估三、我国信息平安风险评估回忆四、信息平安风险评估今后三年的开展信息平安风险评估的概念信息系统的平安风险信息系统的平安风险，是指由于系统存在的脆弱性，人为或自然的威胁导致平安事件发生的可能性及其造成的影响。信息平安风险评估是指依据国家有关信息技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等平安属性进行科学评价的过程它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据平安事件发生的可能性和负面影响的程度来识别信息系统的平安风险。信息平安风险评估人们的认识能力和实践能力是有局限性的，因此，信息系统存在脆弱性是不可防止的。信息系统的价值及其存在的脆弱性，使信息系统在现实环境中，总要面临各种人为与自然的威胁，存在平安风险也是必然的。信息平安建设的宗旨之一，就是在综合考虑本钱与效益的前提下，通过平安措施来控制风险，使剩余风险降低到可接受的程度。信息平安风险评估因为任何信息系统都会有平安风险，所以，人们追求的所谓平安的信息系统，实际是指信息系统在实施了风险评估并做出风险控制后，仍然存在的剩余风险可被接受的信息系统。因此，要追求信息系统的平安，就不能脱离全面、完整的信息系统的平安评估，就必须运用信息系统平安风险评估的思想和标准，对信息系统开展平安风险评估。

风险评估的意义和作用1.风险评估是信息系统平安的根底性工作信息平安中的风险评估是传统的风险理论和方法在信息系统中的运用，是科学地分析和理解信息与信息系统在保密性、完整性、可用性等方面所面临的风险，并在风险的减少、转移和躲避等风险控制方法之间做出决策的过程。风险评估将导出信息系统的平安需求，因此，所有信息平安建设都应该以风险评估为起点。信息平安建设的最终目的是效劳于信息化，但其直接目的是为了控制平安风险。风险评估的意义和作用只有在正确、全面地了解和理解平安风险后，才能决定如何处理平安风险，从而在信息平安的投资、信息平安措施的选择、信息平安保障体系的建设等问题中做出合理的决策。进一步，持续的风险评估工作可以成为检查信息系统本身乃至信息系统拥有单位的绩效的有力手段，风险评估的结果能够供相关主管单位参考，并使主管单位通过行政手段对信息系统的立项、投资、运行产生影响，促进信息系统拥有单位加强信息平安建设。风险评估的意义和作用2.风险评估是分级防护和突出重点的具体表达信息平安建设的根本原那么包括必须从实际出发，坚持分级防护、突出重点。风险评估正是这一要求在实际工作中的具体表达。从理论上讲，不存在绝对的平安，实践中也不可能做到绝对平安，风险总是客观存在的。平安是风险与本钱的综合平衡。盲目追求平安和完全回避风险是不现实的，也不是分级防护原那么所要求的。要从实际出发，坚持分级防护、突出重点，就必须正确地评估风险，以便采取科学、客观、经济和有效的措施。风险评估的意义和作用3.加强风险评估工作是当前信息平安工作的客观需要和紧迫需求由于信息技术的飞速开展，关系国计民生的关键信息根底设施的规模越来越大，同时也极大地增加了系统的复杂程度。兴旺国家越来越重视信息平安风险评估工作，提倡风险评估制度化。他们提出，没有有效的风险评估，便会导致信息平安需求与平安解决方案的严重脱离。因此，他们强调“没有任何事情比解决错误的问题和建立错误的系统更没有效率的了。〞这些兴旺国家近年来大力加强了以风险评估为核心的信息系统平安评估工作，并通过法规、标准手段加以保障，逐步以此形成了横跨立法、行政、司法的完整的信息平安管理体系。在我国目前的国情下，为加强宏观信息平安管理，促进信息平安保障体系建设，就必须加强风险评估工作，并逐步使风险评估工作朝向制度化的方向开展。信息平安风险评估的目标和目的信息系统平安风险评估的总体目标是：效劳于国家信息化开展，促进信息平安保障体系的建设，提高信息系统的平安保护能力。信息系统平安风险评估的目的是：认清信息平安环境、信息平安状况；有助于达成共识，明确责任；采取或完善平安保障措施，使其更加经济有效，并使信息平安策略保持一致性和持续性。信息平安风险评估的根本要素使命：一个单位通过信息化实现的工作任务。依赖度：一个单位的使命对信息系统和信息的依靠程度。资产：通过信息化建设积累起来的信息系统、信息、生产或效劳能力、人员能力和赢得的信誉等。价值：资产的重要程度和敏感程度。威胁：一个单位的信息资产的平安可能受到的侵害。威胁由多种属性来刻画：威胁的主体〔威胁源〕、能力、资源、动机、途径、可能性和后果。信息平安风险评估的根本要素脆弱性：信息资产及其防护措施在平安方面的缺乏和弱点。脆弱性也常常被称为漏洞。风险：由于系统存在的脆弱性，人为或自然的威胁导致平安事件发生的可能性及其造成的影响。它由平安事件发生的可能性及其造成的影响这两种指标来衡量。剩余风险：采取了平安防护措施，提高了防护能力后，仍然可能存在的风险。信息平安风险评估的根本要素平安需求：为保证单位的使命能够正常行使，在信息平安防护措施方面提出的要求。平安防护措施：对付威胁，减少脆弱性，保护资产，限制意外事件的影响，检测、响应意外事件，促进灾难恢复和打击信息犯罪而实施的各种实践、规程和机制的总称。风险评估对信息系统生命周期的支持生命周期阶段阶段特征来自风险管理活动的支持阶段1——规划和启动提出信息系统的目的、需求、规模和安全要求。风险评估活动可用于确定信息系统安全需求。阶段2——设计开发或采购信息系统设计、购买、开发或建造。在本阶段标识的风险可以用来为信息系统的安全分析提供支持，这可能会影响到系统在开发过程中要对体系结构和设计方案进行权衡。阶段3——集成实现信息系统的安全特性应该被配置、激活、测试并得到验证。风险评估可支持对系统实现效果的评价，考察其是否能满足要求，并考察系统所运行的环境是否是预期设计的。有关风险的一系列决策必须在系统运行之前做出。阶段4——运行和维护信息系统开始执行其功能，一般情况下系统要不断修改，添加硬件和软件，或改变机构的运行规则、策略或流程等。当定期对系统进行重新评估时，或者信息系统在其运行性生产环境（例如新的系统接口）中做出重大变更时，要对其进行风险评估活动。阶段5——废弃本阶段涉及到对信息、硬件和软件的废弃。这些活动可能包括信息的移动、备份、丢弃、破坏以及对硬件和软件进行的密级处理。当要废弃或替换系统组件时，要对其进行风险评估，以确保硬件和软件得到了适当的废弃处置，且残留信息也恰当地进行了处理。并且要确保系统的更新换代能以一个安全和系统化的方式完成。在实施风险评估中，有时首先根据不同级别的威胁对不同价值的资产可能形成的风险进行分级，进而选择适合级别的保证措施。这是一种平安需求提炼的过程。对于方案和已经建设的系统，那么应该考虑和分析测试系统可能存在的脆弱性。上述工作流程应该是一个不断重复的循环过程，从不同阶段进入风险评估工作也可能进行简化其中的某些步骤。风险评估理论和工具通俗的讲，信息系统平安追求的是入侵和破坏行为，面对信息系统和信息，进不来，看不懂，拿不走，搞不乱。风险评估的理论和工具也应该针对这些根本的平安要求，提供检测、判断、分析。当前，国际上提出了一些广义传统的风险评估的理论〔并非特别针对信息系统平安〕。从计算方法区分，有定性的方法、定量的方法和局部定量的方法。从实施手段区分，有基于树的技术、动态系统的技术等。定性的方法包括：初步的风险分析〔PreliminaryRiskAnalysis〕危险和可操作性研究〔HazardandOperabilitystudies(HAZOP)〕失效模式及影响分析〔FailureModeandEffectsAnalysis(FMEA/FMECA)〕基于树的技术〔TreeBasedTechniques〕包括：故障树分析〔Faulttreeanalysis〕事件树分析〔Eventtreeanalysis〕因果分析〔Cause-ConsequenceAnalysis〕管理失败风险树〔ManagementOversightRiskTree〕平安管理组织检查技术〔SafetyManagementOrganizationReviewTechnique〕动态系统的技术〔TechniquesforDynamicsystem〕包括：尝试方法〔GoMethod〕有向图/故障图〔Digraph/FaultGraph〕马尔可夫建模〔MarkovModeling〕动态事件逻辑分析方法学〔DynamicEventLogicAnalyticalMethodology〕动态事件树分析方法〔DynamicEventTreeAnalysisMethod〕评估工具目前存在以下几类：扫描工具：包括主机扫描、网络扫描、数据库扫描，用于分析系统的常见漏洞；入侵检测系统〔IDS〕：用于收集与统计威胁数据；渗透性测试工具：黑客工具，用于人工渗透，评估系统的深层次漏洞；主机平安性审计工具：用于分析主机系统配置的平安性；平安管理评价系统：用于平安访谈，评价平安管理措施；风险综合分析系统：在根底数据根底上，定量、综合分析系统的风险，并且提供分类统计、查询、TOPN查询以及报表输出功能；评估支撑环境工具:评估指标库、知识库、漏洞库、算法库、模型库。综观这些理论和工具的现状，存在的问题是：尚缺乏模型化和形式化描述及证明的科学深度；需要解决一般化的广义的理论如何用于信息系统的平安风险评估；定性，定量的理论方法如何更加有效；工具运用的结果如何能够反映实质，有效测度，准确无误；工具的使用如何能够综合协调。

二、为什么要做信息平安风险评估

为什么要做信息平安风险评估第一，风险评估是分析确定风险的过程。风险是客观存在的，在日常生活和工作中随处可见。为了了解系统究竟面临什么风险、有多大风险，以及应该采取什么样的措施去减少、化解或躲避风险，人们经常会提出这样一些问题：什么地方、什么时间可能出问题？会出什么性质的问题？出问题的可能性有多大？这些问题可能产生的后果是什么？应该采取什么样的措施加以防止和弥补？并总是试图找出最合理的答案。这个过程实际就是风险评估为什么要做信息平安风险评估第二，信息平安风险评估是信息平安建设的起点和根底，对于信息系统也是如此。所有信息平安建设和管理都应该基于信息平安风险评估，只有这样，信息平安建设才能做到从实际出发，才能坚持需求主导、突出重点，才能以最小的代价去最大程度地保障信息平安。

为什么要做信息平安风险评估第三，信息平安风险评估是信息平安建设和管理的科学方法。风险评估提供了这么一种方法，它是我们传统经验方法的总结和提升，是风险理论和技术的具体应用。信息平安的一个最大特点就是看不见摸不着。在不知不觉中就已经中了招，在不知不觉中就已经遭受了重大损失。信息平安要讲加强领导，要讲责任制，但如果没有科学的方法和手段，即使领导现场坐镇，即使人盯死守，也仍然可能发现不了问题，也仍然可能出问题。这就是27号文件强调管理与技术并重的根本原因。

为什么要做信息平安风险评估第四，风险评估实际上是在倡导一种适度平安。从理论上讲，不存在绝对的平安，风险总是客观存在的。风险评估并不追求零风险、不计本钱的绝对平安，或者试图完全消灭风险或防止风险。信息平安风险评估要求在认清风险的根底上，决定哪些风险是必须要防止的，哪些风险是可以容忍的。也就是说，信息平安风险评估要求我们算账，要求我们在风险与建设和管理本钱之间寻求一个最正确平衡点。这表达了信息平安的一个根本原那么，就是坚持从实际出发，坚持有针对性地进行信息平安建设和管理。这也就是适度平安。

为什么要做信息平安风险评估第五，重视风险评估是信息化兴旺国家的重要经验。早在上个世纪70年代初期美国政府就提出了风险评估的要求，2002年公布的?2002联邦信息平安管理法?对信息平安风险评估提出了更加具体的要求。欧洲等其他信息化兴旺国家也非常重视开展信息平安风险评估工作，将开展信息平安风险评估工作作为提高信息平安保障水平的重要手段。兴旺国家的这些经验值得我们学习和借鉴。

为什么要做信息平安风险评估2005年2月，美国总统信息技术参谋委员会〔PITAC〕向美国总统提交了一份研究报告?网络空间平安：迫在眉睫的危机?，提出美国目前网络空间平安所面临的重大问题包括： 1、IT根底设施在恐怖和敌对攻击面前非常脆弱 2、网络漏洞和网络攻击增长速度非常快〔20％－40％〕 3、无所不在的互联意味着处处可能存在平安漏洞 4、软件是主要漏洞的所在 5、无穷无尽的打补丁并不是好的解决方法 6、需要新的根底性平安模型和方法 7、联邦政府在研发工作中的核心地位 8、网络空间平安的非技术因素为了应对这些威胁，在?网络空间平安：迫在眉睫的危机?报告中，PITAC提出了10大优先研究工程，其中信息平安风险评估位列其中。其主要研究内容包括：〔1〕开发网络空间平安测试方法、评估标准〔2〕风险分析方法和基于不同领域的评估方法〔政治、军事、经济等〕〔3〕平安风险以及一致性检查的自动评估工具的研发〔4〕对易受到攻击对象的评估研究工作，如源代码扫描工具〔5〕通过研究过程管理、配置管理和补丁管理的最正确策略方案，来发现并提供有效的平安管理实施方案为什么要做信息平安风险评估三、我国信息平安风险评估回忆

调查与研究标准编制与试点政策文件起草我国信息平安风险评估回忆2003年7月?国家信息化领导小组关于加强信息平安保障工作的意见?〔中办发［2003］27号〕中专门提出开展风险评估的要求：对网络与信息系统平安的潜在威胁、薄弱环节、防护措施等进行分析评估，综合考虑网络与信息系统的重要性、涉密程度和面临的风险等因素，进行相应等级的平安建设和管理调查研究工作国信办平安组为落实中办发2003[27]号文件的要求，于2003年7月决定委托国家信息中心组建“信息平安风险评估课题组〞，对我国信息平安风险评估工作的现状进行调查，提出我国开展风险评估的对策和方法成员单位：国家信息中心、公安部、平安部、信息产业部、国家认监委、国家标准化委、国家密码管理局、国家保密局、国家计算机网络与信息平安中心、中国信息平安产品测评认证中心、北京市信息办、解放军测评认证中心调查研究工作课题组先后对四个地区(北京、广州、深圳和上海)，十几个行业的50多家单位进行了调查完成了?信息平安风险评估调查报告?、?信息平安风险评估研究报告?和?关于加强信息平安风险评估工作的建议?稿调查报告反映的主要情况及问题

被调查单位信息化程度各有不同对风险评估的重视程度与信息化程度成正比关系国内现阶段风险评估状况风险评估已逐渐成为信息平安的一个新的点发现的八个问题，其中评估流程不标准是一大问题研究报告的主要内容信息系统平安风险评估的概念风险评估的意义和作用信息平安风险评估的目标和目的信息平安风险评估的根本要素风险评估对信息系统生命周期的支持风险评估的一般工作流程当前存在的风险评估理论和工具我国信息系统平安风险评估的现状和问题信息平安风险评估工作的原那么等级保护、认证认可、风险管理、风险评估的关系自评估、强制性检查评估与委托评估信息系统平安风险评估的角色和责任信息平安风险评估的任务和措施对风险评估工作的建议内容积极贯彻落实27号文件建立健全和完善信息系统平安风险评估的工作机制统筹建设信息平安风险评估的根底设施和根底环境启动评估工作流程、工作标准标准的研究与制定推进根底信息网络和重要信息系统的信息平安风险评估试点示范工作加强宣传教育，提高风险意识标准制定工作根据?信息平安风险评估研究报告?的建议,2004年三月下旬课题组专家经过充分的讨论与分析，报国务院信息办平安组批准,开展了?信息平安风险评估指南?和?信息平安风险管理指南?二个标准草案的制定。国家信息中心信息平安研究与效劳中心组织了近二十家有实际工作经验的企事业单位约四十多人，开了二十屡次工作会议，进行了信息平安风险评估标准标准草案的制定工作；到九月下旬,完成?信息平安风险评估指南?和?信息平安风险管理指南?二个标准草案的初稿。标准制定工作2004年全国信息平安标准化技术委员会将?信息平安风险评估指南?列入2005年度国家信息平安标准制定工作方案中,将?信息平安风险管理指南?列入国家信息平安标准研究工作规划中。

目前?信息平安风险评估指南?已完成评审,报国家标准管理委员会公布国信办已以国信【2006】9号文的形式发各部委和省市?信息平安风险评估指南?主要内容规定了信息平安风险评估的工作流程、评估内容、评估方法和风险判断准那么。介绍了风险评估的定义、风险评估的模型以及风险评估的实施过程详细描述了对资产、威胁和脆弱性的识别方法描述了风险评估在信息系统生命周期中的作用描述了风险评估的不同形式在附件中介绍了信息平安风险评估的方法、工具和实施案例?信息平安风险评估指南?主要作用指导识别信息系统中存在的风险，为确立信息系统平安等级提供参考指导信息系统的平安管理为执法部门监督提供参考为工程审查部门在审批和验收信息系统时提供参考为信息系统业务发生变更时提供平安参考

?信息平安风险管理指南?主要内容明确了风险管理的目的和意义：在平安措施的本钱与资产价值之间寻求平衡，保护信息系统定义了信息平安风险管理的内容和过程风险评估风险减缓：根据评估结果，选择适宜的方法控制风险风险决策：判断剩余风险是否处在可接受的范围内全国风险评估试点工作2005年，国信办平安组组织北京市、上海市、黑龙江省、云南省、人民银行、国家税务总局、国家电力总公司和国家信息中心八个部门的近20家单位开展风险评估试点工作国家信息中心负责试点工作的实施方案设计，标准培训，到各试点单位调研，汇总各地试点报告，参与政策文件草工作试点工作的目的在现有根底信息网络和重要信息系统的管理体制下，探索如何推进开展信息平安风险评估工作检验国家标准草案?信息平安风险评估指南?和?信息平安风险管理指南?的可行性与可用性为全面推广信息平安风险评估工作和出台相关政策文件做前期准备试点工作总结2005年9月，在上海召开总结大会。国务院信息办曲维枝副主任到会听取了各试点单位的工作汇报,对试点工作的成果给予了高度评价政策文件起草在调研和试点的根底上，国信办会同公安部、平安部、国家保密局、密码管理局、总参三部等部门及有关专家起草了?关于开展信息平安风险评估工作的意见?征求意见稿，反复征求了国家网络与信息平安协调小组成员单位、重要信息系统主管部门、国家信息化专家咨询委员会以及各试点单位意见，数易其稿。政策文件起草2005年12月16日国家网络与信息平安协调小组开会讨论通过了?关于开展信息平安风险评估工作的意见?，2006年元月6日国务院信息化工作办公室将?关于开展信息平安风险评估工作的意见?印发中央各部委和全国省市。

政策文件起草?关于开展信息平安风险评估工作的意见?的印发，标志着我国信息平安领域一项根底性、全局性的新工作正式启动。

四、信息平安风险评估今后三年的开展目标：用三年左右的时间在我国根底信息网络和重要信息系统普遍推行信息平安风险评估工作，全面提高我国信息平安的科学管理水平，提升网络和信息系统平安保障能力，为保障和促进我国信息化开展效劳。高度重视组织管理工作各信息化和信息平安主管部门要充分认识风险评估工作对于提高信息平安管理水平的重要意义，切实加强对风险评估工作的管理，抓紧制定贯彻落实的方法，积极稳妥地推进。要从抓试点开始，逐步探索组织实施和管理的经验，高度重视组织管理工作

信息系统拥有、运营或使用单位和有关管理部门要按照“谁主管、谁负责，谁运营、谁负责〞的原那么，在信息平安风险评估工作中切实负起组织领导的责任；将开展风险评估工作制度化，定期组织实施信息系统自评估，积极配合有关部门的检查评估，并将开展风险评估的费用列入系统运行维护费用；有关部门要将开展信息平安风险评估作为根底信息网络和重要信息系统规划、建设和等级保护监管工作的重要内容。风险评估工作应当贯穿信息系统全生命周期信息平安风险评估也是落实等级保护制度的重要手段，应通过信息平安风险评估为信息系统确定平安等级提供依据，根据风险评估的结果检验网络与信息系统的防护水平是否符合等级保护的要求。

三个评估环节信息系统规划设计阶段：通过评估明确平安需求、平安目标和平安保障措施，为工程审批提供依据信息