《信息安全风险评估规范》

2007年，为保障十七大，在国家基础信息网络和重要 信息系统范围内，全面展开了自评估工作。 指派国家信息安全风险评估专门队伍，对重要行业进行了 安全抽查。 （ 中国移动、电力、税务、证券） 到目前，风险评估工作已经越来越被广大信息安全工作 者所重视，逐步建立了队伍，形成了能力，开发了工具手 段，在信息系统生存周期的各个阶段，在信息系统等级保 护和分级保护中得到应用。
脆弱性
已有安全措 施确认
安全事件危害程 度
7
2011-11-8
如何进行风险分析
我们采用定性分析、定量计算相结合的方法进 行风险分析。其中定量计算采用《规范》推荐的相 乘法进行。 《规范》中给出的算法： 风险值＝R（A，T，V）＝R（L（T，V），F（Ia，Va）） 《规范》在算法上没有给出具体详细的表述，给各 单位留有细化的空间，只要科学合理都应符合要求。
资产识别
威胁识别
脆弱性识别
已有安全措施确认
威胁列表 检测记录
风险评估的准备
资产分类 评估方案
6
2011-11-8
信息安全安全检测与风险评估
资产识别 威胁识别 脆弱性识别 已有安全措施确认
资产
信息资产价值 威胁发 生可能 性 脆弱性 严重程 度 风险 安全事件发生的 可能性
威胁源
威胁
人员
病毒
体质
预防措施
2.风险评估是分级防护和突出重点原则的具体体现
信息安全建设的基本原则包括必须从实际出发，坚持分级防护、突出 重点。 风险评估正是这一原则在实际工作中的具体体现。 从理论上讲，不存在绝对的安全，实践中也不可能做到绝对安全，风 险总是客观存在的。 安全是风险与成本的综合平衡。 盲目追求安全和回避风险是不现实的，也不是分级防护原则所要求的。 要从实际出发，坚持分级防护、突出重点，就必须正确地评估风险， 以便采取科学、客观、经济和有效的措施。
2005年，原国信办在北京、上海、云南、黑 龙江2市2省区和银行、电力、税务3个行业组织了 信息安全风险评估试点工作。
4
2011-11-8
2006年3月，原国信办在北京、云南省组织 召开了信息安全风险评估推进工作会议。介绍了 05年试点工作经验，国家部委、各省信息办、8 ＋2系统依据中办发【2006】5号文件、9号文件， 开展了政府或重要行业的信息安全风险评估工作。
1
2011-11-8
经过四个多月的努力,完成了约十万字的 《信息安全风险评估调查报告》、《信息安 全风险评估研究报告》文稿；其中《信息安 全风险评估研究报告》列为2004年1月全 国信息安全保障会议的传阅文件
在此基础上编写了《信息安全风险评估指南》 为推动实施信息安全风险评估做了标准准备。
2。信息安全风险评估规范概要
风险评估实践的收获： 发现诸多安全隐患，看到了现实存在的安全风 险，并进行了有针对性的风险控制 各单位对信息安全工作重视程度不断加强 全员信息安全意识进一步增强 信息安全保护和管理水平不断提高了。
术 语 和 定 义
《规范》结构
风 险 评 估 框 架 及 流 程
3
2011-11-8
通过研究认识到：
3. 加强风险评估工作是当前信息安全工作的 客观需要和紧迫需求
由于信息技术的飞速发展，关系国计民生的关键信息基础设施的规模 越来越大，同时也极大地增加了系统的复杂程度。 发达国家越来越重视信息安全风险评估工作，提倡风险评估制度化。 他们提出，没有有效的风险评估，便会导致信息安全需求与安全解决 方案的严重脱离。因此，美国国家安全局强调“没有任何事情比解决 错误的问题和建立错误的系统更没有效率的了。”这些发达国家近年 来大力加强了以风险评估为核心的信息系统安全评估工作，并通过法 规、标准手段加以保障，逐步以此形成了横跨立法、行政、司法的完 整的信息安全管理体系。 在我国目前的国情下，为加强宏观信息安全管理，促进信息安全保障 体系建设，就必须加强风险评估工作，并逐步使风险评估工作朝向制 度化的方向发展。
什么是信息系统的安全风险
信息系统的安全风险，是由来自人为的与 自然的威胁利用系统存在的脆弱性造成的安 全事件发生的可能性及其可能造成的影响。
什么是信息安全风险评估
为什么存在信息安全风险
人们的认识能力和实践能力是有局限性的， 因此，信息系统存在脆弱性是不可避免的。 信息系统的价值及其存在的脆弱性，使信息 系统在现实环境中，总要面临各种人为与自 然的威胁，存在安全风险也是必然的。 依据国家有关的政策法规及信息技术标准， 对信息系统及由其处理、传输和存储的信息 的保密性、完整性和可用性等安全属性进行 科学、公正的综合评估的活动过程。它要评 估信息系统的脆弱性、信息系统面临的威胁 以及脆弱性被威胁源利用后所产生的实际负 面影响，并根据安全事件发生的可能性和负 面影响的程度来识别信息系统的安全风险。
安全需求：为保证单位的使命能够正常行使， 在信息安全防护措施方面提出的要求。 安全防护措施：对付威胁，减少脆弱性，保 护资产，限制意外事件的影响，检测、响应 意外事件，促进灾难恢复和打击信息犯罪而 实施的各种实践、规程和机制的总称。
安全风险 风险计算与关联分析
评估报告 脆弱性列表 。。。。 风 险 评 估 文 档
脆弱性：信息资产及其防护措施在安全方面的不
足和弱点。脆弱性也常常被称为弱点或漏洞。
风险：风险由意外事件发生的可能性及发生后可
能产生的影响两种指标来衡量。风险是在考虑事件 发生的可能性及其可能造成的影响下，脆弱性被威 胁所利用后所产生的实际负面影响。风险是可能性 和影响的函数，前者指威胁源利用一个潜在脆弱性 的可能性，后者指不利事件对组织机构产生的影响。 残余风险：采取了安全防护措施，提高了防护能 力后，仍然可能存在的风险。
1. 准备 2. 实施 3. 计算和分析 4. 形成风险分析报告
风险评估准备
确定目标和范围 确定风险评估的对象、目的、范围、内 容、组织结构、各方责任、工作原则、 进度安排、工作要求、保障条件、经费 预算等。 形成《风险风险评估计划方案》或《实 施方案》，报领导批准执行。
成立组织机构
领导小组 组织、协调
准备检查工具 M＋N检测模式 M
物 理 脆 弱 性 检 测 网 络 脆 弱 性 检 测
脆弱性检测 N 深度检测
管 理 脆 弱 性 检 测 密 码 脆 弱 性 检 测 木 马 检 测 网 络 渗 透 验 证
常规检测
系 统 脆 弱 性 检 测 应 用 脆 弱 性 检 测
特殊检测
无 线 网 络 检 测 电 磁 频 谱 检 测
2
2011-11-8
为什么要进行信息安全风险评估
因为任何信息系统都会有安全风险，所以， 人们追求的所谓安全的信息系统，实际是指 信息系统在实施了风险评估并做出风险控制 后，仍然存在的残余风险可被接受的信息系 统。因此，要追求信息系统的安全，就不能 脱离全面、完整的信息系统的安全评估，就 必须运用信息系统安全风险评估的思想和规 范，对信息系统开展安全风险评估。 信息安全建设的宗旨之一，就是在综合考虑 成本与效益的前提下，通过安全措施来控制 风险，使残余风险降低到可接受的程度。 依据风险评估结果制定的信息安全解决方案， 最大限度的避免了盲目和浪费。可以使组织 在信息安全方面的投资获得最大的收益。
2011-11-8
内容提要
信息安全风险评估规范
1. 我国信息安全风险评估工作推进概述 2. 信息安全风险评估规范概要 3. 风险评估的发展趋势
中国科学院研究生院 信息安全国家重点实验室 全国信息安全技术标准化委员会 WG7
赵战生 2011年11月3日
1. 我国信息安全风险评估工作推进概述
2003年，在《关于加强信息安全保障工作的意 见》（中办发[2003]27号）中明确提出“要重视 信息安全风险评估工作，对网络与信息系统安全 的潜在威胁、薄弱环节、防护措施等进行分析评 估，综合考虑网络与信息系统的重要性、涉密程 度和面临的信息安全风险等因素，进行相应等级 的安全建设和管理”。将开展信息安全风险评估 工作作为提高我国信息安全保障水平的一项重要 举措。
2003年7月组建成立“信息安全风险评估 课题组”，对信息安全风险评估工作的现状 进行全面深入了解，提出我国开展信息安全 风险评估的对策和办法，为下一步信息安全 的建设和管理做准备。 2003年8月至12月, 课题组先后对四个地 区(北京、广州、深圳和上海)，十几个行业 的50多家单位进行了深入细致的调查与研 究，召开了9 次座谈会，
脆弱 性
与健康查体类比
wk.baidu.com
资产
威胁源 分析及 威胁频 率 脆弱性 严重程 度
信息资产价值
威胁
安全事件发生的 可能性 威胁 源行 为 密码、 木马 威胁
安 全 风 险
L=(T,V) 威胁识别 威胁出现的频率 安全事件的 可能性 脆弱性识别 脆弱性的严重 程度 安全事件的损失 资产识别 资产价值 F=(Ia,Va) 风险值
风险评估是“一种度量信息安全状况的科 学方法”，通过对网络和信息系统潜在风 险要素的识别、分析、评价，发现网络和 信息系统的安全风险，通过安全加固，使 高风险降低到可接受的水平，从而提高信 息安全风险管理的水平。

信息安全风险评估是分析确定风险的过程 信息安全风险评估是信息安全建设的起点和基 础 信息安全风险评估是信息安全建设和管理的科 学方法 风险评估实际上是在倡导一种适度安全 重视风险评估是信息化发达国家的重要经验
风 险 评 估 实 施
阶信 段息 的系 风统 险生 评命 估周 期 各
风 险 评 估 的 工 作 形 式
风 险 的 计 算 方 法
风 险 评 估 的 工 具
5
2011-11-8
风险评估的要素与关联
使命：一个单位通过信息化要来实现的工作任务。 依赖度：一个单位的使命对信息系统和信息的依
靠程度。 资产：通过信息化建设积累起来的信息系统、信 息、生产或服务能力、人员能力和赢得的信誉等。 价值：资产的重要程度和敏感程度。 威胁：一个单位的信息资产的安全可能受到的侵 害。威胁由多种属性来刻画：威胁的主体（威胁 源）、能力、资源、动机、途径、可能性和后果。
风险评估实施
实施阶段主要工作内容是评估数据的采集， 它是风险分析和风险计算的基础，是评估过程 中最关键的阶段。实际工作中可按照以下几部 分内容进行评估数据的采集： 采集什么数据
资产识别与赋值 威胁威胁识别与赋值 脆弱性识别与赋值 已有安全措施确认
9
2011-11-8
3. 风 险 评 估 实 施
用什么方法采集数据：
调查问卷 顾问访谈 现场查看 技术检测
评估用例
序号 时间 检测者 方式 对象 内容 保障条件 问卷调查、顾问访谈、现场查看 光缆干线传输系统的相关资产 以前期调研的资产列表为依据，对资产列表中的资产信息进行核查。 需要被评估单位相关技术人员的配合。 ① 以XXX的网络拓扑图为依据，与系统管理员进行现场访谈，确定选定的资产范围。 ② 填写《资产调查表》并对其进行整理。 ③ 以网络拓扑图为依据，在相关技术人员的配合下，对《资产调查表》中的所有信息资产进行 核查。 A-001-001 名称 地点 陪检者
风险评估的意义和作用
1.风险评估是信息系统安全的基础性工作
信息安全中的风险评估是传统的风险理论和方法在信息系统中的 运用，是科学地分析和理解信息与信息系统在保密性、完整性、 可用性等方面所面临的风险，并在风险的减少、转移和规避等风 险控制方法之间做出决策的过程。 风险评估将导出信息系统的安全需求，因此，所有信息安全建设 都应该以风险评估为起点。信息安全建设的最终目的是服务于信 息化，但其直接目的是为了控制安全风险。 只有在正确、全面地了解和理解安全风险后，才能决定如何处理 安全风险，从而在信息安全的投资、信息安全措施的选择、信息 安全保障体系的建设等问题中做出合理的决策。 进一步，持续的风险评估工作可以成为检查信息系统本身乃至信 息系统拥有单位的绩效的有力手段，风险评估的结果能够供相关 主管单位参考，并使主管单位通过行政手段对信息系统的立项、 投资、运行产生影响，促进信息系统拥有单位加强信息安全建设。
任务执行小 组
多方部门技术人员参与，具体 承担技术检测、分析与评估
专家小组
方案、技术报告评 审、技术监督把关
8
2011-11-8
评估对象业务调查
（1）系统组成、网络结构。 （2）搜集各类管理文档资料，值班记录、配置文件等。 （3）主要设备类型、操作系统。 （4）相关业务数据信息 （5）以往评估或分析结果 （6）座谈、讨论 （ 7）现查勘查 （8）事故报告、安全事件报告、维护更新资料汇总 （9）分析提出评估对象的重点内容 （10）编写评估需求报告