信息安全风险评估.ppt

,信息安全风险评估,国家信息中心信息安全研究与服务中心 吴亚非,随着国民经济和社会信息化进程的全面加快，网络和信息系统的基础性、全局性作用日益增强,国民经济和社会发展对基础信息网络和重要信息系统的依赖性越来越大，由此而产生的信息安全问题对国家安全的影响日益增加、日益突出。网络与信息安全已上升为一个事关国家政治稳定、社会安定、经济有序运行和社会主义精神文明建设的全局性问题。,党中央、国务院高度重视网络与信息安全工作,中办发200327号文件提出了加强信息安全保障工作的总体要求和主要原则，并在工作部署中，将信息安全风险评估作为一项重要的举措;2004年1月9日，黄菊同志在关于“全面加强信息安全保障工作，促进信息化健康发展”的讲话中，提出了“抓紧研究制定基础信息网络和重要信息系统风险评估的管理规范，并组织力量提供技术支持。根据风险评估结果，进行相应等级的安全建设和管理，特别是对涉及国家机密的信息系统，要按照党和国家有关保密规定进行保护。对涉及国计民生的重要信息系统，要进行必要的信息安全检查。”的明确要求,党中央、国务院高度重视网络与信息安全工作,党的十六届四中全会，更是把信息安全和政治安全、经济安全、文化安全放在同等重要的位置并列提出，这在我们党的历史上是前所未有的。,开展信息安全风险评估工作的重要意义,如何确切掌握网络和信息系统的安全程度、分析安全威胁来自何方、安全风险有多大，加强信息安全保障工作应采取哪些措施，要投入多少人力、财力和物力；确定已采取的信息安全措施是否有效以及提出按照相应信息安全等级进行安全建设和管理的依据等一系列具体问题。风险评估是解决上述问题的重要方法和基础性工作。系统的安全性可通过风险大小来度量,科学地分析系统在保密性、完整性、可用性等方面所面临的威胁，发现系统安全的主要问题和矛盾，就能够在安全风险的预防、减少、转移、补偿和分散等之间做出决策，最大限度地控制和化解安全威胁。,开展信息安全风险评估工作的概况,调查研究阶段 标准草案编制阶段 全国试点工作阶段,调查研究阶段,2003年7月组建成立“信息安全风险评估课题组”，对信息安全风险评估工作的现状进行全面深入了解，提出我国开展信息安全风险评估的对策和办法，为下一步信息安全的建设和管理做准备。2003年8月至12月,课题组先后对四个地区(北京、广州、深圳和上海)，十几个行业的50多家单位进行了深入细致的调查与研究，召开了9 次座谈会，经过四个多月的努力,完成了约十万字的信息安全风险评估调查报告、信息安全风险评估研究报告文稿；其中信息安全风险评估研究报告列为2004年1月全国信息安全保障会议的传阅文件。,信息安全风险评估调查报告认为,各单位对信息安全风险评估的重视程度与信息化程度成正比关系,信息安全风险评估调查报告认为,国内现阶段信息安全风险评估状况国内部门、地区和单位现阶段风险评估状况可分为以下几类：一是有认识、有行动、有措施、有效果；二是有认识、有行动、但措施不当；三是有认识、无行动、无措施；四是无认识、无行动、无措施。部门、地区和单位发展不平衡。行业单位重视风险评估的一个重要原因是“安全事件驱动”。,信息安全风险评估调查报告认为,信息安全风险评估不规范。目前国内现在还没有一个典型意义上、系统、完整的信息安全风险评估。有的风险评估往往只给出一个笼统的报告；有的只是用技术工具测一测，没有系统规范评论，而且对于风险评估需要分级分类的观点也未达成共识；由于没有评估标准,对同一个系统评估,不同评估单位得出不同的评估结果。,信息安全风险评估调查报告认为,存在的主要问题1、无组织管理机构2、法制建设欠缺3、管理标准与技术标准滞后4、风险评估人才匮乏,4、风险评估人才匮乏,信息安全风险评估研究报告指出,1、信息系统的安全性可以通过风险的大小来度量,通过科学地分析系统在保密性、完整性、可用性等方面所面临的威胁，发现系统安全的主要问题和矛盾，就能够在安全风险的预防、减少、转移、补偿和分散等之间做出决策，最大限度地控制和化解安全威胁。,信息安全风险评估研究报告指出,2、信息安全风险评估是解决如何确切掌握网络和信息系统的安全程度、分析安全威胁来自何方、安全风险有多大，加强信息安全保障工作应采取哪些措施，要投入多少人力、财力和物力,确定已采取的信息安全措施是否有效以及提出按照相应信息安全等级进行安全建设和管理的依据等一系列具体问题的重要方法和基础性工作。,信息安全风险评估研究报告指出,3、信息安全风险评估工作则是指依据国家有关信息安全技术标准，对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程，它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响，并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。,信息安全风险评估研究报告提出,1、风险评估是信息系统安全的基础性工作信息安全中的风险评估是传统的风险理论和方法在信息系统中的运用，是科学地分析和理解信息与信息系统在保密性、完整性、可用性等方面所面临的风险，并在风险的减少、转移和规避等风险控制方法之间做出决策的过程。风险评估将导出信息系统的安全需求，因此，所有信息安全建设都应该以风险评估为起点。信息安全建设的最终目的是服务于信息化，但其直接目的是为了控制安全风险。,信息安全风险评估研究报告提出,2、风险评估是分级防护和突出重点的具体体现信息安全建设必须从实际出发，坚持分级防护、突出重点。风险评估正是这一要求在实际工作中的具体体现。从理论上讲，不存在绝对的安全，实践中也不可能做到绝对安全，风险总是客观存在的。安全是风险与成本的综合平衡。盲目追求安全和完全回避风险是不现实的，也不是分级防护原则所要求的。要从实际出发，坚持分级防护、突出重点，就必须正确地评估风险，以便采取有效、科学、客观和经济的措施。,信息安全风险评估研究报告认为,1、加强风险评估工作是当前信息安全工作的客观需要和紧迫需求。2、风险评估工作当前是要加快法制建设和技术标准建设；3、加强风险评估核心技术研究与攻关，重点发展具有自主知识产权的相关技术和产品，为国家基础信息网络和重要信息系统的风险评估提供自主可控的工具、模型与实用技术；4、加强信息安全风险意识的宣传教育，普及信息安全风险评估知识；加快培养信息安全风险评估的专门人才。,信息安全风险评估研究报告建议,1、信息安全风险评估的总体目标是：服务于国家信息化发展，促进信息安全保障体系的建设，提高信息系统的安全保护能力。,信息安全风险评估研究报告建议,2、信息安全风险评估的目的是：认清信息安全环境、信息安全状况；有助于达成共识，明确责任；采取或完善安全保障措施，使其更加经济有效，并使信息安全策略保持一致性和持续性。,信息安全风险评估研究报告建议,3、信息安全风险评估的形式是：自评估和安全检查评估。安全检查评估由信息安全主管机关或信息系统上级主管机关发起，依据国家风险评估的管理规范和技术标准进行的检查评估,通过行政手段加强信息安全的重要措施。包括安全保密检查、生产安全检查、专项检查等。自评估是信息系统运营或应用单位依靠自身力量或委托有资质的评估机构，依据国家风险评估的管理规范和技术标准，对自管的信息系统进行风险评估。,信息安全风险评估研究报告建议,4、信息安全风险评估的主要环节是：信息系统在设计阶段进行风险评估以确定系统的安全目标；在建设验收阶段进行风险评估以确定系统的安全目标达到与否；在运行维护阶段要针对安全形势和问题,定期或不定期地不断进行风险评估以确定安全措施的有效性，确保安全保障目标始终如一得以实现。,信息安全风险评估研究报告建议,5、信息安全风险评估的近期工作是：贯彻落实27号文件；建立健全和完善信息系统安全风险评估的工作机制；统筹建设信息安全风险评估的基础设施和基础环境。启动评估工作流程、工作规范标准的研究与制定；推进基础信息网络和重要信息系统的风险评估试点示范工作；加强宣传教育，提高风险意识。,标准草案编制阶段,根据信息安全风险评估研究报告近期工作的建议,2004年三月下旬课题组专家经过充分的讨论与分析，报国务院信息办安全组批准,开展了信息安全风险评估指南和信息安全风险管理指南二个规范草案的制定。国家信息中心信息安全研究与服务中心在课题组专家的指导下，组织了近二十家有实际工作经验的企事业单位约四十多人，开了二十多次工作会议，进行了信息安全风险评估标准规范草案的制定工作；到九月下旬,完成信息安全风险评估指南和信息安全风险管理指南二个规范草案的初稿。2004年全国信息安全标准化技术委员会将信息安全风险评估指南列入2005年度国家信息安全标准制定工作计划中,将信息安全风险管理指南列入国家信息安全标准研究工作规划中。,信息安全风险评估指南,信息安全风险评估指南规定了信息安全风险评估的工作流程、评估内容、评估方法和风险判断准则，适用于信息系统的使用单位进行自我风险评估，以及风险评估机构对信息系统进行独立的风险评估。主要用以识别信息系统中存在的风险；为确立信息系统安全等级提供参考；指导信息系统的安全管理；为执法部门监督提供参考；信息系统建设完成后，验收时用于参考；为信息系统业务发生变更时提供安全参考。,信息安全风险评估指南,信息安全风险评估指南分为两个部分：第一部分：主体部分。主要介绍风险评估的定义、风险评估的模型以及风险评估的实施过程。对资产、威胁和脆弱性的识别进行了详细的描述，同时描述了风险评估在信息系统生命周期中的作用，以及风险评估的不同形式。指南将原则性与可操作性进行有机的结合，既为风险评估的实施者、信息安全管理人员以及相关人员提供风险评估的依据，同时也力求避免评估过程的僵化。第二部分：附录部分。包括信息安全风险评估的方法、工具介绍和一个实施案例。目的是使用户了解到风险评估方法的多样性和灵活性。,信息安全风险管理指南,信息安全风险管理指南定义了信息安全风险管理的内容和过程。风险管理的目的和意义是风险管理可使信息系统的主管者和运营者在安全措施的成本与资产价值之间寻求平衡，并最终通过对支持其使命的信息系统及数据进行保护而提高其使命能力。风险管理由三个部分组成：风险评估、风险减缓以及基于风险的决策。风险评估过程将全面评估信息系统的资产、威胁、脆弱性以及现有的安全措施，分析安全事件发生的可能性以及可能的损失，从而确定信息系统的风险，并判断风险的优先级，建议处理风险的措施。基于风险评估的结果，风险处理过程将考察信息安全措施的成本，选择合适的方法处理风险，将风险控制到可接受的程度。基于风险的决策是风险管理的最后过程，旨在由信息系统的主管者或运营者判断残余风险是否处在可接受的水平之内。基于这一判断，主管者或运营者将做出决策，决定是否允许信息系统运行。,全国试点工作阶段,2005年春节前夕，国务院信息办安全组决定在前两年课题组风险评估研究工作的基础上，由国务院信息办组织,在北京市、上海市、黑龙江省、云南省、人民银行、国家税务总局、国家电力总公司和国家信息中心八个部门开展风险评估试点工作，目的是在现有基础信息网络和重要信息系统的管理体制下，探索如何推进开展信息安全风险评估工作，检验草拟的国家标准草案的可行性与可用性，为推广信息安全风险评估工作和国家出台相关政策文件做前期准备。,全国试点工作阶段,在试点工作中将解决和搞清楚以下问题：1、探索信息安全风险评估管理机制的建设，研究如何落实中办发27号文件“谁主管谁负责谁运营谁负责”的原则，包括信息安全风险评估的领导体制、协调机制、审查与批准、监管、督察和备案等内容；明确信息安全风险评估的角色、责任、方法、过程及结果2、摸索协同开展风险评估工作和信息安全等级保护工作、保密检查工作的实践经验；3、完善信息安全风险评估管理规范与技术标准；4、了解信息安全检查评估和自评估模式的效果与不足；5、完善国家相关政策文件。,全国试点工作阶段,这次试点的八个部门共有二十多个单位参加。各试点单位的评估模式包括自评估、检查评估和委托评估三种评估模式，涉及的系统包括政府、银行、电力、税务、电子政务网络等重要信息系统，涉及到规划和设计阶段、实施阶段、运行和维护阶段等信息系统生命周期的各个阶段。经过几个月的努力，国家信息安全风险评估试点工作已取得了阶段成果。,结束语,信息安全风险评估是一项长期的工作，目前所做的工作仅仅是一个开头，还有很多问题需要在实践中不断摸索，在理论中深入研究加以解决，仍需审慎前行。信息安全风险评估任重而道远。,谢谢！,