我国信息安全风险评估的现状与发展
来源:网易科技报道 更新时间:2012-04-13
由中国计算机报主办的一年一度的中国信息安全大会在北京召开。网易科技频道在现场做独家直播报道。

以下为下午分论坛:安全可信网络与整体特色解决方案。

图为国家安全中心安全研究与服务中心主任吴亚非主任做主题为“我国信息安全风险评估的现状与发展”的演讲。

主持人:各位来宾大家好,这里是中国第七届信息安全大会,安全可信网络及整体解决方案分论坛,欢迎各位来宾的到来,我是主持人卢凡。首先请允许我代表主办方对各位业界精英的到来表示欢迎和感谢,这次信息安全大会是大家交流互动的良好平台,在此共同发展。其次要感谢主办方为我们精心设计三个分论坛,希望在论坛上让政府、学术界、媒体和企业界联起手来共同构建中国和谐安全的信息网络。

既然是分论坛我们希望这个论坛办得活跃一些,我们这个论坛的主题是安全网络特色解决方案,将有六名专家做精彩发言,大家将听到最权威的政府指导,最敏锐的市场分析,最前沿的安全理念,最关注的技术发展。

我首先介绍一下今天到会的各位嘉宾,首先给大家介绍的是国家安全中心安全研究与服务中心主任吴亚非主任,锐捷网络高新安全顾问杨红飞。先听听这两位嘉宾的演讲。

吴主任今天演讲的题目是在我国信息安全风险评估的现状与发展。有请吴主任。

吴亚非:谢谢主持人,谢谢大会的邀请,我今天给大家介绍一下我国信息安全风险评估的现状与发展。风险评估工作是重要的工作,今天分论坛的标题是安全可信网络及整体解决方案,提到安全可信网络,实际上有一个很大的问题,如果你是客户,你委托一个公司给你做安全,它所做的安全到什么程度,可信到什么程度,如果你是网络公司给一个单位做的网络安全,你说你做的东西达到了什么安全程度,客户安全性满足了没有,现在怎么用一个指标和方法衡量真正的安全可信就是最大的问题。

目前国内网络安全基本上处于什么状态?一个集成商在一个网络上把安全设备装上以后,防火墙,入侵检测,防病毒,然后你再问他你这个专网的网络安全达到了怎样的程度,解决多少安全问题,遗留多少安全问题没解决,将来最可能有什么问题?

我们国家2003年发的27号文件提了用风险评估办法解决这个问题,我有幸自2003年开始参加这个工作,我把这么两三年在风险评估的工作给大家做一个介绍,希望引起大家的重视,让大家知道我做了安全可信的网络,安全到什么程度。

今天要汇报的内容有四个方面,一个信息安全风险评估的概述、第二是介绍一下为什么要做信息安全风险评估、第三个是介绍我国信息安全风险评估工作这几年的情况、最后介绍一下从今年起我们国家三年内风险评估做了哪些工作。

风险评估的概念,指由于信息系统存在的脆弱性,人为或自然威胁导致安全事件发生的可能性及其造成的影响。风险评估是依据国家有关的信息技术标准,对信息系统及其处理,传输和存储的信息保密性、完整性质和可用性等安全属性进行科学评价的过程,要评估信息系统的脆弱性、信息系统面临的威胁以及脆弱性有可能被利用的影响。人们的认识能力和实践能力是有局限性的,因此信息系统存在的脆弱性不可避免的,信息系统的价值及其存在的脆弱性,使信息系统在现实环境中,会存在各种各样的威胁,存在风险也是必然的。这说明绝对可靠的安全系统是没有的。

风险评估是在综合考虑成本效益的前提下,通过安全措施控制风险,使残余风险降低到可以控制的程度。因为任何信息系统都会有安全风险,所以人们追求所谓安全信息系统,实际上指信息系统在实施了风险评估以后做出了风险控制,仍然存在残余风险是可被接受的信息系统我们就称为安全信息系统。追求信息系统安全就不能脱离全面完整的信息系统安全评估,就必须运用信息系统安全风险评估的思想和规范对信息系统进行安全评估。

风险评估的意义和作用在哪儿?第一个风险评估是信息系统安全的基础性工作,信息安全中的风险评估是传统的风险理论和方法在信息系统中的运用,是科学地分析和理解信息系统在保密性、完整性、可用性等方面的工作。另外只有正确、全面地了解理解安全风险后才能决定如何处理安全风险,从而在信息安全的投资,信息安全措施的选择,信息安全保障体系的建设做出合理的决策。最后通过这个评估我们可以对信息系统拥有单位的绩效进行一个考核,安全做得好还是差一点,这利用风险评估都可以对这些问题有比较好的解释。

另外我们国家从今年开始实施计算机等级保护,很大的问题,对一个信息系统定几级是合适的,在定级的时候都有什么手段和方法?用风险评估也是定级的方法之一。国家今年推行等级保护的时候,也考虑用风险评估的方式和方法确定系统的等级。

风险评估也是当前信息工作客观的需要和紧迫的需求。为什么说这个事情,首先根据我们了解,在国外对风险评估越来越重视,他们强调没有任何事情比解决错误的问题和错误的系统更有效率了,现在在西方国家信息安全领域大大加强了风险评估安全系统的评估工作,通过法规标准加以保证,作为我们国家来说,目前如果没有一个比较统一的评估方法,我们对全国的安全形势是很难评估全国安全事态,对一个行业和一个系统如果没有评估方法,很难搞清楚整个行业存在着信息系统问题。现在由于信息系统很多单位的业务已经完全依赖信息系统的运行,一定信息系统发生问题会影响业务,系统到底出什么问题,将来发生什么故障,怎么解决?对单位来说是非常重要的事了,前一段在广东调研的时候,就感觉这个问题很重要,现在一年的营业额差不多300亿多,每一天差不多1亿营业额,我现在系统考虑系统存在什么问题,将来发生什么问题,怎么找到存在的问题?按照现在的说法,我们觉得国家解决风险评估工作可以帮助解决这个问题的。

风险评估工作的目的是什么?目标是服务于国家信息化发展,促进信息安全保障体系的建设,提高信息系统的安全保护能力。目前是认清信息安全环境,信息安全状况,有助于达成共识,明确责任,采取和完善安全保障措施,使其更加经济有效,并使信息安全策略保持一致性和持续性。在这个目的里面谈到一个话明确责任,现在根据我们的了解,实际上有些部分的信息系统,信息安全的责任不容易分清楚,这前提是不容易弄明白谁负责哪一块,用什么技术手段来了解,是做好还是做坏了。

下面说风险评估基本要考虑哪几个问题,风险评估要考虑问题大概这么一个,一个是一个单位信息掌握的强度,而且我们认为,现在的观点,一个单位信息化的程度程度和安全性关系是一个正比关系,怎么说呢,如果这个单位信息化程度越高,它安全程度的认识越高,对安全保护的自觉性越高。有好几个行业很明显了,一个是电力行业,民航等等,这些行业高度依赖信息系统,他们对安全的认识已经从被动到自我意识的东西。你花钱要保护的是资产,实际上从资产的概念来说,不光是网络还有信息,资产最后以价值的方向体现资产的重要性,你的资产重要一定是价值上重要。一个资产安全可能受到侵害,受到的侵害叫威胁,威胁有很多方面,有主体资源、动机等方面的属性。

脆弱性是信息资产及其防护措施在安全方面不足和弱点,常被称为漏洞,我们常说的黑客攻击就是利用漏洞进入了系统,把潜在的问题变成一个现实的威胁导致系统发生了故障,或者宕机等。

由于系统存在脆弱性,认为或自然威胁导致安全事件发生的可能性及其造成的影响,由于安全事件发生的可能性及其造成的影响这两种指标来衡量。残余风险是采取安全防护措施,提高防护能力后仍然可能存在的风险。我们看一个信息系统残余风险什么程度,如果满足我们要求了,我们就认为是可行的,否则就花更多的措施加强安全措施,使得残余风险达到我们需要的程度。

风险评估有三个周期,一个规划和启动阶段,一个规划开发或采购,集成实现、运行和维护以及废气这五个阶段。目前风险评估理论和工具,现在采用风险评估理论工具之前信息系统的安全追求是什么?我们追求的是如果出现入侵和破坏行为以后,面对信息系统首先是进不赖、进来以后看不懂,然后拿不走,最后是搞不乱,这是我们理想境界,实际上要达到这口号不太可能的。风险评估的理论和工具也针对这些基本的安全要求,提供检测、判断分析的方法。

从理论上来说国际上提出了一些广义传统的风险评估理论,从计算方法区分,有定性方法,定量方法,和部分定量方法。定性分法有初步风险分析,危险和可操作性研究,失效模式及影响方法。基于树的分析法国,有故障树,实践树,因果分析管理失败因果树等一些技术。动态系统方法有偿使方法,有向图,马尔克夫建模,动态事件逻辑分析方法学等,

风险评估工具分这么几类,一类是扫描工具、用于分析系统的常见漏洞、第二入侵检测系统,用于收集和通集威胁数据。第三渗透性测试工具,利用黑客工具用于人工渗透,评估系统深层次漏洞。主机安全性审查工具,安全管理评价与系统,风险综合分析系统,以及评估支撑环境工具,有这个几个系统组成风险评估类,国内目前水平前三、四项比较好的,在后面几项处在正发展的过程当中。

前面谈到的理论和工具存在的问题,包括国际上主要是什么问题?缺乏模型化和形式的描述及证明的科学深度,需要解决一般化的广义的理论如何用于信息系统的安全风险评估,定性定量的理论方法如何更加有效,工具使用如何能够综合协调。总的来说风险评估的方法虽然是我们要发展的方面,但是在理论上和工具上存在比较大的一些问题,也说明将来发展空间很大的。

第二个介绍一下为什么做风险评估,不做行不行?第一风险评估是分析确定风险的过程,因为风险是客观存在的,在日常生活和工作中随处可见,为了了解系统究竟面临什么风险,有多大风险,以及应该采取什么样措施去减少化解、规避风险。在什么地方什么时间出问题,这对于主管领导经常要问这问题,会出什么样的问题,是不是灾难性的,有没有可能使你停机一两个小时,有没有可能黑客进来吧你系统信息拿走了,比如100年才出一次的可能性就不见得要花很多钱。这些问题产生的后果怎么样?应该采取什么样的措施加以规避,这些问题都是常规的网络安全技术和安全产品是解决不了问题的,必须用新的方法和方式解决这个问题,第二个信息风险评估是信息安全建设的起点和基础,对于信息系统也是如此。

第三信息安全风险评估是信息安全建设和管理的科学方法,风险评估提供了这么一种方法,它是我们传统经验方法的总结和提升,是风险理论和技术的具体应用。风险评估要加强引导和责任制,就要求领导做到现场指挥,做到人盯死守,实际上这些问题必须要用技术方法进行分析,才能找到原因。

第四风险评估实际上是倡导一种适度安全,从理论上讲,不存在绝对的安全,风险总是客观存在的,风险评估并不追求零风险,不计成本的绝对安全或者试图完全消灭风险或避免风险。风险评估要求我们寻求一个最佳的平衡点,风险评估体现一个基本原则就是实际出发,坚持有针对的性的建设和管理。

国外也是非常重视风险评估的,在上个世纪七十年代美国政府提出风险评估的要求。2002年颁布2002年联邦信息安全管理法,对信息安全风险评估提出了更加具体的要求。欧洲等国家也提出了具体的要求。还有一个重要的数据,为什么要加强风险评估?去年2月份,美国总统信息技术顾问委员会向美国总统提交了一份研究报告。网络空间安全,迫在眉睫的危机,他认为目前网络空间安全面临十大问题,在这些问题里面,要解决很多要由风险评估的方法解决,就提这么几个方面,一个是开发网络空间安全测试方法,评估标准,风险分析方法和基于不同领域的评估方法,安全风险以及一致性检查的自动评估工具的研发,对易受攻击对象评估研究工作,如源代码扫描工具。通过研究过程管理,配置管理的最佳策略方案,发现提供有效安全管理实施方案。

第三介绍一下我国信息安全风险评估做了什么事,首先对全国中小信息系统进行调查和研究,了解这方面存在什么问题。第二编制了风险评估的国家标准。第三个起草了风险评估的政策性文件。

2003年27号文件里专门提到了开展风险评估的要求,这问题提出对网络与信息系统安全的潜在威胁,薄弱环节,防护措施等进行分析评估,综合考虑网络与信息系统的重要性,涉密程度和面临的风险等因素,进行相应等级的安全建设和管理。27号文件的发布启动了我们国家的风险评估工作。过半板安全组为落实中办发的文件要求,进行了信息安全风险评估课题组,对我国信息安全风险评估工作的现状进行调查,提出我国开展风险评估的对策和办法。这个调研组在那一段时间对我国四个地区,北京、广州、深圳、上海尽心了调研,调查了十几个行业的50多家单位进行了调查。完成了信息安全风险评估调查报告,信息安全风险评估研究报告,和关于加强信息风险评估工作建议的报告。调查我国存在问题是什么?调查单位信息化程度不同,对风险评估的重视程度与信息化程度成正比关系。风险评估已逐渐成为信息安全的一个新的起点。发现八个问题,其中流程不规范是一个大问题,一个评估对象,三个评估单位得出竟然是相反的结论。为什么评的结果不一样,因为评估流程是不规范的。

研究报告提出了若干个将来我们国家要开展风险评估的建议,然后对我们国家提出如何开展下一步风险评估的建议,首先建立健全完善我国风险评估的工作机制,建立完善风险评估的基础设施和基础环境,启动评估工作的流程,工作规范标准的研究与制订,加强宣传教育提高网络建设。根据提的意见,2004年国务院信息办决定了两件事,第一开始研究风险评估的标准,后来定下来两个标准,一个标准是信息安全风险评估指南,一个标准是信息安全风险管理指南。因为风险评估不是目的,最终评完的结果进行整改,整改是管理与评估是两件事。这两个标准,信息安全风险管理指南列入国家信息安全标准中,目前信息安全风险评估指南已完成评审,现在报国家标准化委员会颁布就正式实施了。而且今年国信办也把这个文件发出去了。

风险评估试点是2005年由国务院信息办组织北京、上海、黑龙江、云南省、人民银行,国家税务总局,国家电力总公司和国家信息中心开展了试点,这试点主要是标准的可行性,可用性。去年9月份在上海召开了总结大会,国务院信息办曲副主任听取了各试点单位的工作汇报,对试点单位的工作给予高度评价。在试点和调研基础上,由国信办会同公安部,安全部,等起草了《关于开展信息安全风险评估工作的意见》征求意见稿,今年开始全国启动风险评估工作。这个意见的引发,标志着我国信息安全领域一项基础性全体性的业务,今年启动了。

根据刚才讲的文件,我们国家在三年内在我国基础信息网络和重要信息系统普遍推行信息安全风险评估工作,全面提高我国信息安全的科学管理水平,提高网络和信息系统安全保障能力,为保障和促进我国信息化发展服务。这是未来三年我国要大范围推广风险评估工作。在推广工作提了几个要求,一个高度重视组织管理工作,要求各个信息安全主管部门要认识风险评估工作的重要意义,切实加强积极稳妥地推进。另外要按照谁主管谁负责,谁运营谁负责的原则,在信息安全风险评估工作中切实负起组织领导的责任。把风险评估作为基础信息网络和重要信息系统规划,建设和等级保护监管工作的重要内容。从今天起很多单位对外招投标的时候有新的要求,要求投标商有风险评估,做完系统要拿出一个报告来。今年实施国家电子政务已经加了这一条要求。

要求风险评估贯穿到信息系统的整个生命周期提出了三个环节要进行风险评估,一个是信息系统规划设计阶段,一个系统验收阶段,一个信息系统运维阶段要进行评估。特别要按照一定的要求,给客户或用户提出这个系统经过安全建设以后达到什么水平,评估有两种方式,一个自评估,另外一个评估是检查评估。而且要规避由于风险评估工作而引进新的安全风险,这里提到大家要遵守相关的法律法规,承担相应的责任与义务,各风险评估单位要采取保密措施。另外要求加强制订和完善风险评估的技术,重视风险评估的核心技术,方法和工具的研究与攻关,积极开展风险评估的培训与交流,加强风险意识的宣传教育和人才培养。目前风险评估的核心技术与方法已经列到国家863计划里去了。

要求今年所有的部委和所有省市选择1-2单位开展本地风险评估试点工作。成立信息安全专家组协助国信办组织,协调、培训、技术咨询、调研和评审。要组建中国信息安全风险评估论坛。编制风险评估的培训教材,这个教材将来以国务院信息化办公室的名义,组织全国的风险评估工作的相关介绍,这里面有四个内容,一个信息安全风险评估理念,技术、方法、产品与工具以及评估案例。