文档介绍:我国信息安全风险评估工作的现状与发展
国家信息中心信息安全研究与服务中心
吴亚非
一、信息安全风险评估概述
二、为什么要做信息安全风险评估
三、我国信息安全风险评估回顾
四、信息安全风险评估今后三年的发展
信息安全风险评估的概念
信息系统的安全风险
信息系统的安全风险,是指由于系统存在的脆弱性,人为或自然的威胁导致安全事件发生的可能性及其造成的影响。
信息安全风险评估
是指依据国家有关信息技术标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行科学评价的过程
它要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性被威胁源利用后所产生的实际负面影响,并根据安全事件发生的可能性和负面影响的程度来识别信息系统的安全风险。
信息安全风险评估
人们的认识能力和实践能力是有局限性的,因此,信息系统存在脆弱性是不可避免的。信息系统的价值及其存在的脆弱性,使信息系统在现实环境中,总要面临各种人为与自然的威胁,存在安全风险也是必然的。
信息安全建设的宗旨之一,就是在综合考虑成本与效益的前提下,通过安全措施来控制风险,使残余风险降低到可接受的程度。
信息安全风险评估
因为任何信息系统都会有安全风险,所以,人们追求的所谓安全的信息系统,实际是指信息系统在实施了风险评估并做出风险控制后,仍然存在的残余风险可被接受的信息系统。
因此,要追求信息系统的安全,就不能脱离全面、完整的信息系统的安全评估,就必须运用信息系统安全风险评估的思想和规范,对信息系统开展安全风险评估。
风险评估的意义和作用
信息安全中的风险评估是传统的风险理论和方法在信息系统中的运用,是科学地分析和理解信息与信息系统在保密性、完整性、可用性等方面所面临的风险,并在风险的减少、转移和规避等风险控制方法之间做出决策的过程。
风险评估将导出信息系统的安全需求,因此,所有信息安全建设都应该以风险评估为起点。信息安全建设的最终目的是服务于信息化,但其直接目的是为了控制安全风险。
风险评估的意义和作用
只有在正确、全面地了解和理解安全风险后,才能决定如何处理安全风险,从而在信息安全的投资、信息安全措施的选择、信息安全保障体系的建设等问题中做出合理的决策。
进一步,持续的风险评估工作可以成为检查信息系统本身乃至信息系统拥有单位的绩效的有力手段,风险评估的结果能够供相关主管单位参考,并使主管单位通过行政手段对信息系统的立项、投资、运行产生影响,促进信息系统拥有单位加强信息安全建设。
风险评估的意义和作用
信息安全建设的基本原则包括必须从实际出发,坚持分级防护、突出重点。
风险评估正是这一要求在实际工作中的具体体现。
从理论上讲,不存在绝对的安全,实践中也不可能做到绝对安全,风险总是客观存在的。
安全是风险与成本的综合平衡。
盲目追求安全和完全回避风险是不现实的,也不是分级防护原则所要求的。
要从实际出发,坚持分级防护、突出重点,就必须正确地评估风险,以便采取科学、客观、经济和有效的措施。
风险评估的意义和作用
3. 加强风险评估工作是当前信息安全工作的客观需要和紧迫需求
由于信息技术的飞速发展,关系国计民生的关键信息基础设施的规模越来越大,同时也极大地增加了系统的复杂程度。
发达国家越来越重视信息安全风险评估工作,提倡风险评估制度化。他们提出,没有有效的风险评估,便会导致信息安全需求与安全解决方案的严重脱离。因此,他们强调“没有任何事情比解决错误的问题和建立错误的系统更没有效率的了。”这些发达国家近年来大力加强了以风险评估为核心的信息系统安全评估工作,并通过法规、标准手段加以保障,逐步以此形成了横跨立法、行政、司法的完整的信息安全管理体系。
在我国目前的国情下,为加强宏观信息安全管理,促进信息安全保障体系建设,就必须加强风险评估工作,并逐步使风险评估工作朝向制度化的方向发展。