信息安全风险评估技术简介.ppt

信息安全风险评估技术简介 宁家骏 （国家信息中心信息安全研究与服务中心） 2005.12 提 纲 一、信息安全形势需要评估 二、信息化风险及风险管理研究 三、信息安全风险评估技术导引 四、信息安全风险评估试点经验宝贵 加强信息安全保障工作是当前形势的需要 落实27号文件，一手抓信息化，一手抓安全， 谁主管谁负责，谁运营谁负责 积极防御、综合防范 重点保障网络基础设施和重要信息系统的安全 正确处理等级保护与风险评估的关系 加强信息安全基础设施建设 我国信息安全问题的突出表现 病毒肆虐、黑客侵扰、系统故障等造成的经济损失呈逐年增长态势 境外敌对势力利用信息通讯网络造谣诽谤、组织动员、煽动闹事和破坏；国外反华势力加大对我意识形态和文化渗透。 不良和有害信息屡禁不止，利用信息网络技术从事犯罪活动日益猖獗，网络群体层出不穷，网上舆论传播直接影响社会稳定。 通讯与信息网络上失密、泄密及窃密事件时有发生。直接影响到政府管理效率和公众形象。 环境和背景 近年来，我国经济社会持续快速发展发展，信息化步伐加快，在促进经济发展、调整经济结构、改造传统产业和提高人民生活质量等方面发挥了不可替代的重要作用。一方面社会经济对信息化的依赖程度越来越高，同时逐步建设和积累了一批宝贵的信息资产。 与之而来的各类计算机犯罪及“黑客”攻击网络事件屡有发生，手段也越来越高技术化，从而对各国的主权、安全和社会稳定构成了威胁。 计算机互联网络涉及社会经济生活各个领域，并直接与世界相联，可以说是国家的一个政治“关口”，一条经济“命脉”。网络与信息安全已上升为一个事关国家政治稳定、社会安定、经济有序运行和社会主义精神文明建设的全局性问题。 我国面临的信息安全问题的性质 我国面临的信息安全问题已不再是一个局部性和技术性的问题，而是一个跨领域、跨行业、跨部门的综合性安全问题。 它不仅是一个“不对称”的高技术对抗问题，而且是一个直接影响国计民生、关乎国家安全与政权稳定的现实问题。 确保信息网络安全也正在成为新世纪国家安全的重要基石和基本内涵。 病毒等网络欺诈行为导致全球经济损失惊人 最近Gartner组织公布了一项研究报告：每年由于病毒等网络欺诈行为导致全球经济损失高达160多亿美元。 “表哥，你最近还好吗？知道我是谁吗？看了我的相片你就知道了！” 这是在上海某银行上班的杨先生收到一封邮件，谁知邮件还未打开，电脑出现了黑屏。杨先生还没有弄清是哪个“表妹”发来的玉照便丢失了大量银行保密资料，给单位造成的损失无法估量。 去年6月浙江警方破获一起“黑客窃取网游密码案”，单单一个黑客就窃取网游账号6万多个，价值上百万元。 去年6月3日至9月19日，就发现较大规模僵尸网络59个，平均每天发现3万个受黑客控制的“僵尸”计算机。 包含间谍软件、恶意插件和浏览器劫持在内的流氓软件也大行其道，它们侵入用户电脑安装插件和后门程序，窃取个人信息，一年之内使自己的流量上升600%；而通过设立搏彩、低价网络购物等欺诈性网站直接骗取用户钱财等等，更是数不胜数。　　 从鸩酒到慢药：“混合性威胁”的时代已经到来 根据IDC最新的调查结果，如今计算机用户面临的三项最严重的安全威胁依次是垃圾邮件、DdoS攻击和网上欺诈。与前些年安全威胁大多来自病毒和蠕虫等的大规模猛烈爆发不同，近年来各种各样的“谍件”或恶意代码开始在网上肆虐，其疯狂程度已超过了传统的病毒威胁。 倘若把病毒比作剧毒的鸩酒，那么“间谍软件”就如同小说里的“慢药”，毒性更强，中毒后还不易被察觉。由于利益驱动，“间谍软件”大都采用巧妙的形式潜伏于用户的个人电脑中，它们更难被被发现，却能窃取用户宝贵个人资料，以非法获利，这就是“网上欺诈”。 今天用户面对的安全威胁更复杂，经常是由多种善变的威胁组成的“混合型威胁”，包括病毒、蠕虫、间谍软件、拒绝服务攻击等。网络安全问题正日益严峻。　　　 提 纲 一、信息安全形势依然严峻 二、信息化风险及风险管理研究 三、信息安全风险评估技术导引 四、信息安全风险评估试点经验宝贵 二、信息化风险及风险管理研究 随着信息化的发展，信息化的风险与风险管理问题已经成为各个国家、国际组织所普遍关注的问题。 信息化的风险管理，其中信息安全风险和保障网络空间的安全已经成为关系信息化能否健康发展的重大问题。 2.1 信息化风险的定义 风险指行动或者事件的结果的不确定性（uncertainty of outcome）。 信息化的风险被界定为信息化可能或者实际带来的消极威胁。 风险管理泛指评估风险、确认风险、回应风险的过程。 2.2 信息安全基本属性 机密性 Confidentiality 完整性 Integrity 可用性 Availability 2.3 信息化风险的主要特征