《信息安全风险评估指南.ppt》由会员分享,可在线阅读,更多相关《信息安全风险评估指南.ppt(61页珍藏版)》请在金锄头文库上搜索。
1、信息安全风险评估国家标准信息安全风险评估国家标准编制及内容介绍编制及内容介绍范红范红二二二二0000六年九月六年九月六年九月六年九月主要内容主要内容一、标准的编制过程一、标准的编制过程二、标准的主要内容二、标准的主要内容三、下一步工作的几点思考三、下一步工作的几点思考2主要内容主要内容一、标准的编制过程一、标准的编制过程二、标准的主要内容二、标准的主要内容三、下一步工作的几点思考三、下一步工作的几点思考3一、标准的编制过程一、标准的编制过程1 1、前期研究准备、前期研究准备2 2、标准草案编制标准草案编制3 3、试点实践检验、试点实践检验4、专家评审论证、专家评审论证4一、标准的编制过程一、标
2、准的编制过程1 1、前期研究准备、前期研究准备2 2、标准草案编制标准草案编制3 3、试点实践检验、试点实践检验4、专家评审论证、专家评审论证5 1、前期研究准备、前期研究准备 20032003年年年年7 7 7 7月月月月, , , , 中办发中办发中办发中办发200327200327200327200327号文件对开展信息号文件对开展信息号文件对开展信息号文件对开展信息安全风险评估工作提出了明确的要求。国信办委托国家信安全风险评估工作提出了明确的要求。国信办委托国家信安全风险评估工作提出了明确的要求。国信办委托国家信安全风险评估工作提出了明确的要求。国信办委托国家信息中心牵头息中心牵头息中
3、心牵头息中心牵头,成立了国家信息安全风险评估课题组,对信成立了国家信息安全风险评估课题组,对信成立了国家信息安全风险评估课题组,对信成立了国家信息安全风险评估课题组,对信息安全风险评估相关工作展开调查研究。课题组利用半年息安全风险评估相关工作展开调查研究。课题组利用半年息安全风险评估相关工作展开调查研究。课题组利用半年息安全风险评估相关工作展开调查研究。课题组利用半年多的时间,对我国信息安全风险评估现状进行了深入调查,多的时间,对我国信息安全风险评估现状进行了深入调查,多的时间,对我国信息安全风险评估现状进行了深入调查,多的时间,对我国信息安全风险评估现状进行了深入调查,掌握了第一手情况;对国
4、内外相关领域的理论进行了学习、掌握了第一手情况;对国内外相关领域的理论进行了学习、掌握了第一手情况;对国内外相关领域的理论进行了学习、掌握了第一手情况;对国内外相关领域的理论进行了学习、分析和研究,查阅了大量的相关资料,基本了解了此领域分析和研究,查阅了大量的相关资料,基本了解了此领域分析和研究,查阅了大量的相关资料,基本了解了此领域分析和研究,查阅了大量的相关资料,基本了解了此领域的国际前沿动态。这些都为标准编制工作奠定了良好的基的国际前沿动态。这些都为标准编制工作奠定了良好的基的国际前沿动态。这些都为标准编制工作奠定了良好的基的国际前沿动态。这些都为标准编制工作奠定了良好的基础。础。础。础
5、。6 统统一的风险评估技术标准是规范开展信息安全风一的风险评估技术标准是规范开展信息安全风一的风险评估技术标准是规范开展信息安全风一的风险评估技术标准是规范开展信息安全风险评估工作的必备条件。落实中办发险评估工作的必备条件。落实中办发险评估工作的必备条件。落实中办发险评估工作的必备条件。落实中办发27272727号文件、全面推进号文件、全面推进号文件、全面推进号文件、全面推进我国的信息安全风险评估工作,首先就必须解决我国缺乏我国的信息安全风险评估工作,首先就必须解决我国缺乏我国的信息安全风险评估工作,首先就必须解决我国缺乏我国的信息安全风险评估工作,首先就必须解决我国缺乏统一的风险评估技术标准
6、的问题。统一的风险评估技术标准的问题。统一的风险评估技术标准的问题。统一的风险评估技术标准的问题。 为此,国信办领导根据专家们的建议,决定着手开展为此,国信办领导根据专家们的建议,决定着手开展为此,国信办领导根据专家们的建议,决定着手开展为此,国信办领导根据专家们的建议,决定着手开展信息安全风险评估国家标准的编制工作及相关实践活动。信息安全风险评估国家标准的编制工作及相关实践活动。信息安全风险评估国家标准的编制工作及相关实践活动。信息安全风险评估国家标准的编制工作及相关实践活动。旨在通过这项工作更好地加强国家基础网络和重要信息系旨在通过这项工作更好地加强国家基础网络和重要信息系旨在通过这项工作
7、更好地加强国家基础网络和重要信息系旨在通过这项工作更好地加强国家基础网络和重要信息系统的风险评估及管理工作,使其流程更加科学、统一、规统的风险评估及管理工作,使其流程更加科学、统一、规统的风险评估及管理工作,使其流程更加科学、统一、规统的风险评估及管理工作,使其流程更加科学、统一、规范、有效。范、有效。范、有效。范、有效。7一、标准的编制过程一、标准的编制过程1 1、前期研究准备、前期研究准备2 2、标准草案编制标准草案编制3 3、试点实践检验、试点实践检验4、专家评审论证、专家评审论证8 根根据国信办的指示和信安标委的具体要求,国家信息据国信办的指示和信安标委的具体要求,国家信息据国信办的指
8、示和信安标委的具体要求,国家信息据国信办的指示和信安标委的具体要求,国家信息中心组织国家保密技术研究所、公安部三所、北京信息安全中心组织国家保密技术研究所、公安部三所、北京信息安全中心组织国家保密技术研究所、公安部三所、北京信息安全中心组织国家保密技术研究所、公安部三所、北京信息安全测评中心、上海市测评认证中心、信息安全国家重点实验室测评中心、上海市测评认证中心、信息安全国家重点实验室测评中心、上海市测评认证中心、信息安全国家重点实验室测评中心、上海市测评认证中心、信息安全国家重点实验室以及以及以及以及BJCABJCA、上海三零卫士、联想、天融信、启明星辰、绿、上海三零卫士、联想、天融信、启明
9、星辰、绿、上海三零卫士、联想、天融信、启明星辰、绿、上海三零卫士、联想、天融信、启明星辰、绿盟、科飞、凝瑞等国内十几家企事业单位盟、科飞、凝瑞等国内十几家企事业单位盟、科飞、凝瑞等国内十几家企事业单位盟、科飞、凝瑞等国内十几家企事业单位于于于于2004200420042004年年年年3 3 3 3月月月月29292929日正日正日正日正式启动标准草案的编制工作式启动标准草案的编制工作式启动标准草案的编制工作式启动标准草案的编制工作。此后,中国信息安全产品测评。此后,中国信息安全产品测评。此后,中国信息安全产品测评。此后,中国信息安全产品测评认证中心、解放军信息技术安全研究中心、航天部二院七认证
10、中心、解放军信息技术安全研究中心、航天部二院七认证中心、解放军信息技术安全研究中心、航天部二院七认证中心、解放军信息技术安全研究中心、航天部二院七OO六所等单位也参与了标准的编制与起草。六所等单位也参与了标准的编制与起草。六所等单位也参与了标准的编制与起草。六所等单位也参与了标准的编制与起草。 起草组在前期准备工作的基础上,经过多次研究探讨,起草组在前期准备工作的基础上,经过多次研究探讨,起草组在前期准备工作的基础上,经过多次研究探讨,起草组在前期准备工作的基础上,经过多次研究探讨,确定了编制标准应确定了编制标准应确定了编制标准应确定了编制标准应遵循的原则遵循的原则遵循的原则遵循的原则: :
11、: :2、标准草案编制、标准草案编制9 1 1 1 1 、符合我国现行的信息安全有关法律法规的要求,、符合我国现行的信息安全有关法律法规的要求,、符合我国现行的信息安全有关法律法规的要求,、符合我国现行的信息安全有关法律法规的要求,认真贯彻落实认真贯彻落实认真贯彻落实认真贯彻落实27272727号文件关于加强信息安全风险评估工作的号文件关于加强信息安全风险评估工作的号文件关于加强信息安全风险评估工作的号文件关于加强信息安全风险评估工作的精神;精神;精神;精神; 2 2 2 2 、立足于我国信息化建设实践,积极借鉴国际先进、立足于我国信息化建设实践,积极借鉴国际先进、立足于我国信息化建设实践,积
12、极借鉴国际先进、立足于我国信息化建设实践,积极借鉴国际先进标准的技术,提出符合我国基础网络和重要信息系统工程标准的技术,提出符合我国基础网络和重要信息系统工程标准的技术,提出符合我国基础网络和重要信息系统工程标准的技术,提出符合我国基础网络和重要信息系统工程建设需求的风险评估规范;建设需求的风险评估规范;建设需求的风险评估规范;建设需求的风险评估规范; 3 3 3 3 、针对网络与信息系统的全生命周期,制订适应不、针对网络与信息系统的全生命周期,制订适应不、针对网络与信息系统的全生命周期,制订适应不、针对网络与信息系统的全生命周期,制订适应不同阶段特点和要求的风险评估实施方法;同阶段特点和要求
13、的风险评估实施方法;同阶段特点和要求的风险评估实施方法;同阶段特点和要求的风险评估实施方法; 4 4 4 4 、积极吸收信息安全有关主管部门和单位在等级保、积极吸收信息安全有关主管部门和单位在等级保、积极吸收信息安全有关主管部门和单位在等级保、积极吸收信息安全有关主管部门和单位在等级保护、保密检查和产品测评等工作的经验与成果;护、保密检查和产品测评等工作的经验与成果;护、保密检查和产品测评等工作的经验与成果;护、保密检查和产品测评等工作的经验与成果; 5 5 5 5 、标准文本体系结构科学合理,表述清晰,具有可、标准文本体系结构科学合理,表述清晰,具有可、标准文本体系结构科学合理,表述清晰,具
14、有可、标准文本体系结构科学合理,表述清晰,具有可实现性和可操作性。实现性和可操作性。实现性和可操作性。实现性和可操作性。 10 在在标标准准编编制制的的过过程程中中,标标准准起起草草组组多多次次与与相相关关主主管管部部门门所所属属机机构构的的专专家家代代表表就就技技术术标标准准有有关关主主体体内内容容进进行行会会商商;向向相相关关单单位位发发放放标标准准文文本本,通通过过电电子子邮邮件件等等形形式式广广泛泛征征求求业业界界意意见见;召召开开标标准准讨讨论论会会议议三三十十几几次次,共共收收集集100100多条修改意见。多条修改意见。 起起草草组组逐逐一一对对修修改改意意见见进进行行研研究究,在
15、在充充分分吸吸纳纳合合理理成成份份的的基基础础上上,对对信信息息安安全全风风险险评评估估规规范范等等标标准准进进行行了了较大幅度的修改,使标准的体系结构更趋完善、合理。较大幅度的修改,使标准的体系结构更趋完善、合理。11一、标准的制定过程一、标准的制定过程1 1、前期研究准备、前期研究准备2 2、标准草案编制标准草案编制3 3、试点实践检验、试点实践检验4、专家评审论证、专家评审论证12 3、试点实践检验、试点实践检验 20052005年年2 2月月, , 根根据据国国信信办办2005420054号号和和5 5号号文文件件,关关于于在在银银行行、税税务务、电电力力等等部部门门和和电电子子政政务
16、务外外网网,以以及及北北京京、上上海海、黑黑龙龙江江、云云南南等等省省市市,开开展展信信息息安安全全风风险险评评估估试试点点工工作作的的要要求求,标标准准起起草草组组配配合合风风险险评评估估试试点点工工作作专专家家组开展了以下工作:组开展了以下工作: -为各试点单位提供标准草案文本和相关说明;为各试点单位提供标准草案文本和相关说明; -在试点准备阶段与各试点单位的技术骨干进行标在试点准备阶段与各试点单位的技术骨干进行标 准技术交流;准技术交流; -根据标准草案文本涉及的关键技术,起草组成员根据标准草案文本涉及的关键技术,起草组成员 选择试点环节参与实际试点;选择试点环节参与实际试点; -在试点
17、过程中,先后几次召开标准研讨会,征求在试点过程中,先后几次召开标准研讨会,征求 各单位对标准的意见与建议。各单位对标准的意见与建议。 13 整整个试点工作历时个试点工作历时7 7个月,个月,各试点单位对标准草案先各试点单位对标准草案先后提出后提出40 多条补充修改意见,标准起草组多条补充修改意见,标准起草组根据试点结果根据试点结果先先后进行了三次较大规模的修改。主要内容包括:后进行了三次较大规模的修改。主要内容包括: -细化了资产的分类方法、脆弱性的识别要求,修细化了资产的分类方法、脆弱性的识别要求,修 改并细化了风险计算的方法;改并细化了风险计算的方法; -对自评估、检查评估不同评估形式的内
18、容与实施对自评估、检查评估不同评估形式的内容与实施 的重点进行了区分;的重点进行了区分; -对风险评估的工具进行了梳理和区分,形成了现对风险评估的工具进行了梳理和区分,形成了现 在的几种类型;在的几种类型; -细化了生命周期不同阶段风险评估的主要内容。细化了生命周期不同阶段风险评估的主要内容。 试点实践证明,试行标准基本满足各试点单位评估工试点实践证明,试行标准基本满足各试点单位评估工作的需求。作的需求。 14一、标准的制定过程一、标准的制定过程1 1、前期研究准备、前期研究准备2 2、标准草案编制标准草案编制3 3、试点实践检验、试点实践检验4、专家评审论证、专家评审论证15 2005200
19、5年年9 9月月1616日,国家信息中心在北京组织召开日,国家信息中心在北京组织召开了由周仲义院士主持的了由周仲义院士主持的信息安全风险评估指南(征求意信息安全风险评估指南(征求意见稿)见稿)第一次专家评审会。第一次专家评审会。 4、专家评审论证、专家评审论证16第一次专家评审会名单第一次专家评审会名单姓姓 名名单 位位职务/ /职称称周仲义中国工程院院士熊四皓国务院信息办处长王娜国家发改委高科技司处长姚世权中国标准化协会研究员贾颖禾全国信息安全标准化技术委员会副秘书长/研究员崔书昆国家信息化专家咨询委员会委员/研究员景乾元公安部十一局处长李建彬国税总局信息中心副处长张宏伟黑龙江省信息产业厅处
20、长姚丽旋上海市信息化管理委员会处长肖京华总参三部三局处长冯惠中国电子技术标准化研究所副主任/高工吴伟国家电网公司处长詹榜华北京市CA中心总经理17 20052005年年1010月月2727日,国家信息中心在北京组织召开了日,国家信息中心在北京组织召开了信息安全风险评估国家标准征求意见稿的第二次专家评审会。信息安全风险评估国家标准征求意见稿的第二次专家评审会。18第二次专家评审会名单第二次专家评审会名单姓姓 名名单 位位职务/ /职称称何义大全国信息安全标准化技术委员会副主任赵战生国家信息化咨询委员会研究员曲成义国家信息化咨询委员会研究员冯登国信息安全863项目专家组组长研究员陈晓桦中国信息安全
21、产品测评认证中心研究员崔书昆国家信息化咨询委员会研究员景乾元公安部十一局处长肖京华解放军信息安全测评中心处长贾颖禾全国信息安全标准化技术委员会副秘书长李守鹏中国信息安全产品测评认证中心副主任王同良中石油经济技术中心副主任江志强民航总局人事科技司处长谢小权航天科技集团706所副所长吕仲涛中国工商银行总行信息科技部总工19 与与会会专专家家认认为为标标准准起起草草组组做做了了大大量量卓卓有有成成效效的的工工作作,标标准准的的结结构构合合理理、内内容容完完备备、可可操操作作性性强强,并并充充分分考考虑虑与与信信息息安安全全等等级级保保护护相相关关标标准准相相衔衔接接。文文本本的的编编制制符符合合国国
22、家家标标准准的的要要求。同时,专家们也对完善标准提出了进一步的修改意见。求。同时,专家们也对完善标准提出了进一步的修改意见。20 20052005年年1212月月1414日,由安标委第五工作组主持召开了日,由安标委第五工作组主持召开了由沈昌祥院士为专家组组长的信息安全风险评估国家标准送审由沈昌祥院士为专家组组长的信息安全风险评估国家标准送审稿的专家评审会。稿的专家评审会。21专家评审会名单专家评审会名单姓姓 名名单 位位职务/ /职称称沈昌祥海军计算技术研究所院士吉增瑞公安部信息安全标委会委员研究员赵战生国家信息化咨询委员会研究员卿斯汉中科院信息安全技术工程研究中心研究员杜虹国家保密技术研究所
23、所长景乾元公安部十一局处长崔书昆国家信息化咨询委员会研究员22 与与会专家听取了起草小组的编制说明及内容介绍,审阅了会专家听取了起草小组的编制说明及内容介绍,审阅了相关文档资料,经质询和讨论,一致认为:相关文档资料,经质询和讨论,一致认为: 一、送审稿规范了风险评估的评估内容与范围、基本概念,明确一、送审稿规范了风险评估的评估内容与范围、基本概念,明确 了资产、威胁、脆弱性和安全风险等关键要素及其赋值原则和了资产、威胁、脆弱性和安全风险等关键要素及其赋值原则和 要求,提出了实施流程与操作步骤、评估规则与基本方法,并要求,提出了实施流程与操作步骤、评估规则与基本方法,并 充分考虑与信息安全等级保
24、护相关标准相衔接。充分考虑与信息安全等级保护相关标准相衔接。 二、送审稿的操作性较强,对开展风险评估工作具有指导作用,二、送审稿的操作性较强,对开展风险评估工作具有指导作用, 并在国务院信息办组织的风险评估试点中得到了进一步的实践并在国务院信息办组织的风险评估试点中得到了进一步的实践 验证和充实完善。验证和充实完善。 三、文本的编制符合国家标准三、文本的编制符合国家标准GB1.1GB1.1的要求。的要求。 专家组认为送审稿达到国家标准送审稿的要求,同意通过评专家组认为送审稿达到国家标准送审稿的要求,同意通过评 审。建议起草组根据专家意见尽快修改完善后申报。审。建议起草组根据专家意见尽快修改完善
25、后申报。23 20062006年月日和月日,在国信办进行的年月日和月日,在国信办进行的行业和省市的风险评估政策文件的两次宣贯会上,信息安全行业和省市的风险评估政策文件的两次宣贯会上,信息安全风险评估征求意见稿以国信办文件的形式下发,为各行业和风险评估征求意见稿以国信办文件的形式下发,为各行业和省市开展风险评估提供技术依据。省市开展风险评估提供技术依据。24 20062006年年4 4月月1818日,全国信息安全标准化技术委员日,全国信息安全标准化技术委员(安标委)会第五工作组(安标委)会第五工作组(WG5WG5)在北京召开全体工作组成员)在北京召开全体工作组成员标准投票会议,对信息安全风险评估
26、国家标准送审稿进行工标准投票会议,对信息安全风险评估国家标准送审稿进行工作组全体成员投票表决。与会的三十几位专家听取了标准起作组全体成员投票表决。与会的三十几位专家听取了标准起草组对草组对指南指南的编制过程以及主要内容的介绍,经投票一的编制过程以及主要内容的介绍,经投票一致通过了标准的评审。致通过了标准的评审。 25 20062006年年6 6月月1919日,全国信息安全标准化技术委日,全国信息安全标准化技术委员会秘书处在北京组织召开了信息安全风险评估标准送审员会秘书处在北京组织召开了信息安全风险评估标准送审稿的专家审查会,与会专家经质询和讨论,将标准正式命稿的专家审查会,与会专家经质询和讨论
27、,将标准正式命名为名为信息安全技术信息安全技术 信息安全风险评估规范信息安全风险评估规范,认为该标准达到国家标准送审稿的要求,同意通过评审。认为该标准达到国家标准送审稿的要求,同意通过评审。 会后,国家信息中心先后与各起草单位和有关专家就会后,国家信息中心先后与各起草单位和有关专家就标准规范报批稿的修改进行了进一步的研讨,并逐一落实标准规范报批稿的修改进行了进一步的研讨,并逐一落实了专家提出的意见。了专家提出的意见。 26 20062006年年7 7月月1919日日, 全全国国信信息息安安全全标标准准化化委委员员会会主主任任办办公公会会上上讨讨论论通通过过了了信信息息安安全全技技术术 信信息息
28、安安全全风险评估规范风险评估规范( (报批稿报批稿),),目前已进入报批程序。目前已进入报批程序。27主要内容主要内容一、标准的编制过程一、标准的编制过程二、标准的主要内容二、标准的主要内容三、下一步工作的几点思考三、下一步工作的几点思考28二、标准的主要内容二、标准的主要内容1 1、什么是风险评估、什么是风险评估2 2、为什么要做风险评估、为什么要做风险评估3 3、风险评估怎么做、风险评估怎么做29二、标准的主要内容二、标准的主要内容1 1、什么是风险评估、什么是风险评估2 2、为什么要做风险评估、为什么要做风险评估3 3、风险评估怎么做、风险评估怎么做301 1、什么是风险评估、什么是风险
29、评估 信息安全风险信息安全风险 人为或自然的威胁利用信息系统及其人为或自然的威胁利用信息系统及其管理体系中存在的脆弱性导致安全事件的发生及其对组织管理体系中存在的脆弱性导致安全事件的发生及其对组织造成的影响。造成的影响。 信息安全风险评估信息安全风险评估 依据有关信息安全技术与管理标依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。它要评估资完整性和可用性等安全属性进行评价的过程。它要评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,产面临的威胁以及威胁利用脆弱性导
30、致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。生对组织造成的影响。31风险评估要素关系图风险评估要素关系图 图中方框部分的内容为风险评估的基图中方框部分的内容为风险评估的基本要素本要素; ;椭圆部分的内容是与这些要素相椭圆部分的内容是与这些要素相关的属性。关的属性。 风险评估围绕着基本要素展开,同时风险评估围绕着基本要素展开,同时需要充分考虑与基本要素相关的各类属性。需要充分考虑与基本要素相关的各类属性。(1 1)业务战略的实现对资产具有依赖性,依赖程度)业务战略的实现对资产具有依赖性,依赖程度越高,
31、要求其风险越小;越高,要求其风险越小;(2 2)资产是有价值的,组织的业务战略对资产的依)资产是有价值的,组织的业务战略对资产的依赖程度越高,资产价值就越大;赖程度越高,资产价值就越大;(3 3)风险是由威胁引发的,资产面临的威胁越多则)风险是由威胁引发的,资产面临的威胁越多则风险越大,并可能演变成安全事件;风险越大,并可能演变成安全事件;(4 4)资产的脆弱性可以暴露资产的价值,资产具有)资产的脆弱性可以暴露资产的价值,资产具有的弱点越多则风险越大;的弱点越多则风险越大;(5 5)脆弱性是未被满足的安全需求,威胁利用脆弱)脆弱性是未被满足的安全需求,威胁利用脆弱性危害资产;性危害资产;(6
32、6)风险的存在及对风险的认识导出安全需求;)风险的存在及对风险的认识导出安全需求;(7 7)安全需求可通过安全措施得以满足,需要结合)安全需求可通过安全措施得以满足,需要结合资产价值考虑实施成本;资产价值考虑实施成本;(8 8)安全措施可抵御威胁,降低风险;)安全措施可抵御威胁,降低风险;(9 9)残余风险是未被安全措施控制的风险。有些是)残余风险是未被安全措施控制的风险。有些是安全措施不当或无效安全措施不当或无效, ,需要加强才可控制的风险;而需要加强才可控制的风险;而有些则是在综合考虑了安全成本与效益后未去控制的有些则是在综合考虑了安全成本与效益后未去控制的风险;风险;(1010)残余风险
33、应受到密切监视,它可能会在将来诱)残余风险应受到密切监视,它可能会在将来诱发新的安全事件。发新的安全事件。32二、标准的主要内容二、标准的主要内容1 1、什么是风险评估、什么是风险评估2 2、为什么要做风险评估、为什么要做风险评估3 3、风险评估怎么做、风险评估怎么做332 2、为什么要做风险评估、为什么要做风险评估 安安全源于风险全源于风险。 在信息化建设中,建设与运营的网络与信息系统由于可能在信息化建设中,建设与运营的网络与信息系统由于可能存在的系统设计缺陷、隐含于软硬件设备的缺陷、系统集成时存在的系统设计缺陷、隐含于软硬件设备的缺陷、系统集成时带来的缺陷,以及可能存在的某些管理薄弱环节,
34、尤其当网络带来的缺陷,以及可能存在的某些管理薄弱环节,尤其当网络与信息系统中拥有极为重要的信息资产时,都将使得面临复杂与信息系统中拥有极为重要的信息资产时,都将使得面临复杂环境的网络与信息系统潜在着若干不同程度的安全风险。环境的网络与信息系统潜在着若干不同程度的安全风险。 34 风风险评估可以不断深入地发现系统建设中的安全隐患,险评估可以不断深入地发现系统建设中的安全隐患,采取或完善更加经济有效的安全保障措施,来采取或完善更加经济有效的安全保障措施,来消除安全建设消除安全建设中的盲目乐观或盲目恐惧,提出有针对性的从实际出发的解中的盲目乐观或盲目恐惧,提出有针对性的从实际出发的解决方法,提高系统
35、安全的科学管理水平,进而全面提升网络决方法,提高系统安全的科学管理水平,进而全面提升网络与信息系统的安全保障能力。与信息系统的安全保障能力。 35 信信息安全风险评估,是从风险管理角度,运用科学息安全风险评估,是从风险管理角度,运用科学的方法和手段,系统地分析网络与信息系统所面临的威胁的方法和手段,系统地分析网络与信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。害程度,提出有针对性的抵御威胁的防护对策和整改措施。并为防范和化解信息安全风险,或者将风险控制在可接受并为防范和
36、化解信息安全风险,或者将风险控制在可接受的水平,从而最大限度地保障网络和信息安全提供科学依的水平,从而最大限度地保障网络和信息安全提供科学依据。据。(国信办(国信办2006520065号文件)号文件)36二、标准的主要内容二、标准的主要内容1 1、什么是风险评估、什么是风险评估2 2、为什么要做风险评估、为什么要做风险评估3 3、风险评估怎么做、风险评估怎么做373、风险评估怎么做、风险评估怎么做 - -风险评估实施流程风险评估实施流程 - -风险评估的形式风险评估的形式 - -信息系统生命周期各阶段的风险评估信息系统生命周期各阶段的风险评估 383、风险评估怎么做、风险评估怎么做 - -风险
37、评估实施流程风险评估实施流程 - -风险评估的形式风险评估的形式 - -信息系统生命周期各阶段的风险评估信息系统生命周期各阶段的风险评估 39风险评估的实施流程风险评估的实施流程 先期准备先期准备先期准备先期准备 要素分析要素分析要素分析要素分析 风险分析风险分析风险分析风险分析 文档记录文档记录文档记录文档记录风险评估实施流程图风险评估实施流程图风险评估实施流程图风险评估实施流程图40 实施步骤实施步骤(1) (1) 风险评估的准备风险评估的准备(2) (2) 资产识别资产识别(3) (3) 威胁识别威胁识别(4) (4) 脆弱性识别脆弱性识别(5) (5) 已有安全措施的确认已有安全措施的
38、确认(6) (6) 风险分析风险分析(7) (7) 风险评估文件记录风险评估文件记录413、风险评估怎么做、风险评估怎么做 - -风险评估实施流程风险评估实施流程 - -风险评估的形式风险评估的形式 - -信息系统生命周期各阶段的风险评估信息系统生命周期各阶段的风险评估 42 信信息安全风险评估分为自评估、检查评估两种形式。息安全风险评估分为自评估、检查评估两种形式。自评估为主,自评估和检查评估相互结合、互为补充。自自评估为主,自评估和检查评估相互结合、互为补充。自评估和检查评估可依托自身技术力量进行,也可委托第三评估和检查评估可依托自身技术力量进行,也可委托第三方机构提供技术支持。方机构提供
39、技术支持。 风险评估的形式风险评估的形式43 自评估自评估 自自评估可由发起方实施或委托风险评估服务技术支持方评估可由发起方实施或委托风险评估服务技术支持方实施。由发起方实施的评估可以降低实施的费用、提高信息系实施。由发起方实施的评估可以降低实施的费用、提高信息系统相关人员的安全意识,但可能由于缺乏风险评估的专业技能,统相关人员的安全意识,但可能由于缺乏风险评估的专业技能,其结果不够深入准确;同时,受到组织内部各种因素的影响,其结果不够深入准确;同时,受到组织内部各种因素的影响,其评估结果的客观性易受影响。委托风险评估服务技术支持方其评估结果的客观性易受影响。委托风险评估服务技术支持方实施的评
40、估,过程比较规范、评估结果的客观性比较好,可信实施的评估,过程比较规范、评估结果的客观性比较好,可信程度较高;但由于受到行业知识技能及业务了解的限制,对被程度较高;但由于受到行业知识技能及业务了解的限制,对被评估系统的了解,尤其是在业务方面的特殊要求存在一定的局评估系统的了解,尤其是在业务方面的特殊要求存在一定的局限。但由于引入第三方本身就是一个风险因素,因此,对其背限。但由于引入第三方本身就是一个风险因素,因此,对其背景与资质、评估过程与结果的保密要求等方面应进行控制。景与资质、评估过程与结果的保密要求等方面应进行控制。44 自自评评估估中中的的“自自”不不仅仅仅仅是是指指自自已已做做评评估
41、估的的“自自”,也也不不仅仅仅仅是是指指自自愿愿做做评评估估的的“自自”。由由于于“谁谁主主管管谁谁负负责责”,出出于于对对自自身身信信息息系系统统的的安安全全责责任任考考虑虑,信信息息系系统统主主管管者者应应定定期期对对系系统统进进行行风风险险评评估估,具具体体实实施施时时可可以以依依托托自自身身的的评评估估队队伍伍进进行行,也也可可委委托托有有资资质质的的第第三三方方提提供供评评估估服服务务技技术术支支持持,但但无无论论是是哪哪一一种种形形式式,责责任任都都是是由由信信息息系系统统主主管管者者自自已已担担负负的的。因因此此,自自评评估估中中的的“自自”的的含含义义是是自自已已负负责责的的“
42、自自”。包包括括自自已已负负责责系系统统的的安安全全、自自己己发发起起对对信信息息系系统统的的风风险险评评估估以以及及自己负责为保障系统安全所做的风险评估的安全等。自己负责为保障系统安全所做的风险评估的安全等。45 此外,为保证风险评估的实施,与系统相连的相关方也此外,为保证风险评估的实施,与系统相连的相关方也应配合,以防止给其他方的使用带来困难或引入新的风险也应配合,以防止给其他方的使用带来困难或引入新的风险也往往较多,因此,要对实施检查评估机构的资质进行严格管往往较多,因此,要对实施检查评估机构的资质进行严格管理。理。46 检查评估检查评估 检检查评估是指信息系统上级管理部门组织的或国家有
43、关查评估是指信息系统上级管理部门组织的或国家有关职能部门依法开展的风险评估。职能部门依法开展的风险评估。 检查评估可依据本标准的要求,实施完整的风险评估过程。检查评估可依据本标准的要求,实施完整的风险评估过程。47 一是风险评估究其根本是评估系统的敏感信息,涉及大量一是风险评估究其根本是评估系统的敏感信息,涉及大量的安全问题,完全委托第三方将带来评估本身的风险;的安全问题,完全委托第三方将带来评估本身的风险; 二是进行风险评估要求评估人员既要了解评估本身的一套二是进行风险评估要求评估人员既要了解评估本身的一套方法与流程,还要了解被评估系统的业务特性,这对于完全从方法与流程,还要了解被评估系统的
44、业务特性,这对于完全从事评估的第三方来讲,在短时间内了解每个系统的业务特性难事评估的第三方来讲,在短时间内了解每个系统的业务特性难度是比较大的;度是比较大的; 三是风险评估工作流程中常常要求被评估方向评估方提供三是风险评估工作流程中常常要求被评估方向评估方提供各种信息,需要之间的良好互动以及多方会商,单靠评估方第各种信息,需要之间的良好互动以及多方会商,单靠评估方第三方是无法完成系统评估的。三方是无法完成系统评估的。 基于以上原因,委托评估技术支持比委托评估的提法更为基于以上原因,委托评估技术支持比委托评估的提法更为切合实际。并且,提供委托评估技术支持的机构应具有相应的切合实际。并且,提供委托
45、评估技术支持的机构应具有相应的资质。资质。483、风险评估怎么做、风险评估怎么做 - -风险评估实施流程风险评估实施流程 - -风险评估的形式风险评估的形式 - -信息系统生命周期各阶段的风险评估信息系统生命周期各阶段的风险评估 49 国国信办信办信办信办2006520065号文件指出:号文件指出:号文件指出:号文件指出:信息安全信息安全信息安全信息安全风险评估应风险评估应风险评估应风险评估应贯穿于网络与信息系统建设运行的全过程。在网络与信息贯穿于网络与信息系统建设运行的全过程。在网络与信息贯穿于网络与信息系统建设运行的全过程。在网络与信息贯穿于网络与信息系统建设运行的全过程。在网络与信息系统
46、的设计、验收及运行维护阶段均应当进行信息安全风系统的设计、验收及运行维护阶段均应当进行信息安全风系统的设计、验收及运行维护阶段均应当进行信息安全风系统的设计、验收及运行维护阶段均应当进行信息安全风险评估。如在网络与信息系统规划设计阶段,应通过信息险评估。如在网络与信息系统规划设计阶段,应通过信息险评估。如在网络与信息系统规划设计阶段,应通过信息险评估。如在网络与信息系统规划设计阶段,应通过信息安全风险评估进一步明确安全需求和安全目标。安全风险评估进一步明确安全需求和安全目标。安全风险评估进一步明确安全需求和安全目标。安全风险评估进一步明确安全需求和安全目标。 50信息系统生命周期各阶段的风险评
47、估信息系统生命周期各阶段的风险评估规划阶段的风险评估规划阶段的风险评估设计阶段的风险评估设计阶段的风险评估实施阶段的风险评估实施阶段的风险评估运行维护阶段的风险评估运行维护阶段的风险评估废弃阶段的风险评估废弃阶段的风险评估51 规划阶段的风险评估规划阶段的风险评估 规规划阶段风险评估的目的是识别系统的业务战略,划阶段风险评估的目的是识别系统的业务战略,以支撑系统安全需求及安全战略等。规划阶段的评估应能以支撑系统安全需求及安全战略等。规划阶段的评估应能够描述信息系统建成后对现有业务模式的作用,包括技术、够描述信息系统建成后对现有业务模式的作用,包括技术、管理等方面,并根据其作用确定系统建设应达到
48、的安全目管理等方面,并根据其作用确定系统建设应达到的安全目标。标。 52 设计阶段的风险评估设计阶段的风险评估 设设计阶段的风险评估需要根据规划阶段所明确的系统计阶段的风险评估需要根据规划阶段所明确的系统运行环境、资产重要性,提出安全功能需求。设计阶段的风运行环境、资产重要性,提出安全功能需求。设计阶段的风险评估结果应对设计方案中所提供的安全功能符合性进行判险评估结果应对设计方案中所提供的安全功能符合性进行判断,作为采购过程风险控制的依据。断,作为采购过程风险控制的依据。53实施阶段的风险评估实施阶段的风险评估 实实施阶段风险评估的目的是根据系统安全需求和运行环施阶段风险评估的目的是根据系统安
49、全需求和运行环境对系统开发、实施过程进行风险识别,并对系统建成后的安境对系统开发、实施过程进行风险识别,并对系统建成后的安全功能进行验证。根据设计阶段分析的威胁和制定的安全措施,全功能进行验证。根据设计阶段分析的威胁和制定的安全措施,在实施及验收时进行质量控制。在实施及验收时进行质量控制。 基于设计阶段的资产列表、安全措施,实施阶段应对规基于设计阶段的资产列表、安全措施,实施阶段应对规划阶段的安全威胁进行进一步细分,同时评估安全措施的实现划阶段的安全威胁进行进一步细分,同时评估安全措施的实现程度,从而确定安全措施能否抵御现有威胁、脆弱性的影响。程度,从而确定安全措施能否抵御现有威胁、脆弱性的影
50、响。实施阶段风险评估主要对系统的开发与技术实施阶段风险评估主要对系统的开发与技术/ /产品获取、系统产品获取、系统交付实施两个过程进行评估。交付实施两个过程进行评估。54 运行维护阶段的风险评估运行维护阶段的风险评估 运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险,运行维护阶段风险评估的目的是了解和控制运行过程中的安全风险,是一种较为全面的风险评估。评估内容包括对真实运行的信息系统、资是一种较为全面的风险评估。评估内容包括对真实运行的信息系统、资产、威胁、脆弱性等各方面。产、威胁、脆弱性等各方面。 资产评估:在真实环境下较为细致的评估。包括实施阶段采购的软资产评估:在真实环境下较为
51、细致的评估。包括实施阶段采购的软硬件资产、系统运行过程中生成的信息资产、相关的人员与服务等,本硬件资产、系统运行过程中生成的信息资产、相关的人员与服务等,本阶段资产识别是前期资产识别的补充与增加;阶段资产识别是前期资产识别的补充与增加; 威胁评估:应全面地分析威胁的可能性和影响程度。对非故意威胁威胁评估:应全面地分析威胁的可能性和影响程度。对非故意威胁导致安全事件的评估可以参照安全事件的发生频率;对故意威胁导致安导致安全事件的评估可以参照安全事件的发生频率;对故意威胁导致安全事件的评估主要就威胁的各个影响因素做出专业判断;全事件的评估主要就威胁的各个影响因素做出专业判断; 脆弱性评估:是全面的
52、脆弱性评估。包括运行环境中物理、网络、脆弱性评估:是全面的脆弱性评估。包括运行环境中物理、网络、系统、应用、安全保障设备、管理等各方面的脆弱性。技术脆弱性评估系统、应用、安全保障设备、管理等各方面的脆弱性。技术脆弱性评估可以采取核查、扫描、案例验证、渗透性测试的方式实施;安全保障设可以采取核查、扫描、案例验证、渗透性测试的方式实施;安全保障设备的脆弱性评估,应考虑安全功能的实现情况和安全保障设备本身的脆备的脆弱性评估,应考虑安全功能的实现情况和安全保障设备本身的脆弱性;管理脆弱性评估可以采取文档、记录核查等方式进行验证;弱性;管理脆弱性评估可以采取文档、记录核查等方式进行验证; 风险计算:根据
53、本标准的相关方法,对重要资产的风险进行定性或风险计算:根据本标准的相关方法,对重要资产的风险进行定性或定量的风险分析,描述不同资产的风险高低状况。定量的风险分析,描述不同资产的风险高低状况。55 废弃阶段的风险评估废弃阶段的风险评估 当信息系统不能满足现有要求时,信息系统进入废弃阶段。根据废当信息系统不能满足现有要求时,信息系统进入废弃阶段。根据废弃的程度,又分为部分废弃和全部废弃两种。弃的程度,又分为部分废弃和全部废弃两种。 废弃阶段风险评估着重在以下几方面:废弃阶段风险评估着重在以下几方面: 1 1、确保硬件和软件等资产及残留信息得到了适当的处置,并确保系、确保硬件和软件等资产及残留信息得
54、到了适当的处置,并确保系 统组件被合理地丢弃或更换;统组件被合理地丢弃或更换; 2 2、如果被废弃的系统是某个系统的一部分,或与其他系统存在物理、如果被废弃的系统是某个系统的一部分,或与其他系统存在物理 或逻辑上的连接,还应考虑系统废弃后与其他系统的连接是否被或逻辑上的连接,还应考虑系统废弃后与其他系统的连接是否被 关闭;关闭; 3 3、如果在系统变更中废弃,除对废弃部分外,还应对变更的部分进、如果在系统变更中废弃,除对废弃部分外,还应对变更的部分进 行评估,以确定是否会增加风险或引入新的风险;行评估,以确定是否会增加风险或引入新的风险; 4 4、是否建立了流程,确保更新过程在一个安全、系统化
55、的状态下完、是否建立了流程,确保更新过程在一个安全、系统化的状态下完 成。成。56汇报内容汇报内容一、标准的编制过程一、标准的编制过程二、标准的主要内容二、标准的主要内容三、下一步工作的几点思考三、下一步工作的几点思考57 -按照标准化管理和审批程序,继续完成按照标准化管理和审批程序,继续完成信息安全风信息安全风险评估规范险评估规范和和信息安全风险管理指南信息安全风险管理指南两项国家标准;两项国家标准; -结合国家基础网络和重要系统工程发展的需要,在已结合国家基础网络和重要系统工程发展的需要,在已有相关标准推广应用的基础上,进行风险评估与管理标准体有相关标准推广应用的基础上,进行风险评估与管理
56、标准体系的研究,以构建我国信息安全风险评估标准体系;系的研究,以构建我国信息安全风险评估标准体系; -根据标准体系总体规划的原则,相应开展规划与设计根据标准体系总体规划的原则,相应开展规划与设计阶段方案风险评估实施细则、要素等级划分规范等标准化项阶段方案风险评估实施细则、要素等级划分规范等标准化项目的研制工作;目的研制工作; -在总结我国信息安全风险评估与管理工作经验的基础在总结我国信息安全风险评估与管理工作经验的基础上,积极参与上,积极参与ISOISO相关国际标准化活动。相关国际标准化活动。 三、下一步工作的几点思考三、下一步工作的几点思考58 总之,将继续跟踪国内外相关领域的最新技术发展动
57、总之,将继续跟踪国内外相关领域的最新技术发展动态,进一步研究完善信息安全风险评估标准体系,进行相态,进一步研究完善信息安全风险评估标准体系,进行相关标准的编制工作。以此,为国家信息安全风险评估工作关标准的编制工作。以此,为国家信息安全风险评估工作健康顺利的发展做好基础性工作。健康顺利的发展做好基础性工作。59 进行进行国家信息安全风险评估基础环境国家信息安全风险评估基础环境国家信息安全风险评估基础环境国家信息安全风险评估基础环境立立项项, ,以保证风险评估工作能够依据标准科学、规范地展开。以保证风险评估工作能够依据标准科学、规范地展开。 1 1、构建风险评估的模拟仿真实验环境、构建风险评估的模
58、拟仿真实验环境 (1 1)方案风险评估模拟验证平台建设)方案风险评估模拟验证平台建设 (2 2)风险评估工具仿真测试平台建设)风险评估工具仿真测试平台建设 (3 3)在平台上建设国家风险评估基础数据库)在平台上建设国家风险评估基础数据库 2 2、构建风险评估前沿问题的实验环境、构建风险评估前沿问题的实验环境 (1 1)网络攻防实验环境)网络攻防实验环境 (2 2)构建渗透测试实验环境)构建渗透测试实验环境 (3 3)风险评估的理论研究环境)风险评估的理论研究环境 3 3、构建风险评估成果普及与推广环境、构建风险评估成果普及与推广环境 三、下一步工作的几点思考三、下一步工作的几点思考60 谢谢谢谢!61
