信息安全风险评估技术简介提纲加强信息安全保障工作是当前形势的需要我国信息安全问题的突出表现环境和背景我国面临的信息安全问题的性质病毒等网络欺诈行为导致全球经济损失惊人从鸩酒到慢药：“混合性威胁”的时代已经到来提纲二、信息化风险及风险管理研究2.1信息化风险的定义2.2信息安全基本属性2.3信息化风险的主要特征信息安全范畴2.4信息化风险的内在原因第一，自然灾害；第二，误操作和安全生产事故；第三，病毒、蠕虫以及网络攻击；第四，由于信任体系不完善，借助信息化手段进行欺诈；第五，因内部因素而造成的信息、数据的修改和丢失和内部泄密；；第六，因外部因素造成信息、数据的泄露、篡改和丢失；第七，安全防范措施不到位的高端技术。2.6我国信息安全风险的生成机理第二，领导与组织能力不到位，统筹协调不力领导对于风险管理的重视不足，忽视信息化项目的风险问题；信息化目标的错误设定，片面追求某些指标，忽视质量；信息孤岛问题以及跨部门之信息化进程的协调问题；信息安全总体设计不到位；项目建设规划、评估和监理存在缺位和不足第三，信息化管理的能力差，管理体系不成熟。（1）对信息化管理的理念认识和关注不足；（2）管理基础（包括信息化建设中决策机制、信息透明和公开、实施过程的监督等）不完善；（3）缺乏信息化建设周期中质量控制和评估标准；第四，安全子系统建设资金的预算和管理能力差（1）对信息系统未作风险评估和分析，安全子系统建设投资预算缺乏科学依据或过度保护或保护不力；（2）总体资金支持不足；（3）信息安全投资的回报难以监控和评估。第五，人力资源不足（1）缺乏信息安全风险管理的人员（2）缺乏具备信息安全管理能力和资格的人员；（3）培训滞后于项目，培训效果差。第六，法规、标准与政策滞后于信息化发展相关法制工作滞后于信息化建设需求；首先，缺乏对信息化的全面立法支持，缺乏保障政府信息化的基本法律，如政府信息公开法、政府信息资源管理法。其次，原有的一些法律已不能适应信息化时代的要求，如著作权法、专利法、刑法等，亟待修订。再次，缺乏对信息安全风险的管理规范和技术标准。第七，保护隐私，数据安全，技术管理方面的不足。在泄露隐私方面：（1）不当授权他人或机构滥用用户信息；（2）未遵循法律或法规制定相应的隐私和记录管理政策。在影响数据安全方面：（1）工作人员对安全因素和措施缺乏足够认知；（2）难以解决相关安全问题；（3）病毒或黑客攻击导致系统瘫痪；（4）由于一个主要系统瘫痪导致其它系统的失灵。提纲克服安全“亚健康”的必由之路居安思危，思则有备风险评估的理念风险评估是一种方法和依据信息安全风险评估的概念对风险评估总体要求的理解风险管理贯穿于信息系统生命周期的整个过程美国NIST提出的信息系统安全框架风险评估的过程信息系统安全评估体系的构成风险分析的基本要素资产识别资产识别资产分类威胁识别脆弱性识别风险识别不打无准备之仗—做好准备风险评估的准备风险评估依据风险评估原则Recommendations风险计算模型风险结果的判定风险评估结果纪录信息安全风险评估基本方法技术评估和整体评估定性评估和定量评估一种定量风险评估方法基于知识的评估和基于模型的评估系统安全风险动态分析与评估方法典型的风险评估方法典型的风险评估方法（2）典型的风险评估方法（3）典型的风险评估方法（4）信息安全风险评估基础环境的准备提纲风险评估尚需探索、贵在实践试点工作目的选择试点单位试点工作与标准验证收获和体会试点工作技术上特点试点工作出现了一批成果试点工作出现了一批成果（续）典型方法之一：计算系统综合风险典型方法之一：计算系统综合风险（续）典型方法之二：差距分析构建差距分析法模型差距分析法的实施路径典型方法之三：量化风险典型方法之三：量化风险（续）典型方法之四：面向关键信息资产的评估方法（续）多级安全服务势在必行试点工作发现的问题建设独立自主、符合国际惯例的风险评估技术支撑体系安全测试评估工具、平台与环境下一步建议下一步建议（续）限于水平，可能还有许多不妥之处，欢迎批评指正!