• 安全源于风险。 • 在信息化建设中，建设与运营的网络与信
息系统由于可能存在的系统设计缺陷、隐含 于软硬件设备的缺陷、系统集成时带来的缺 陷，以及可能存在的某些管理薄弱环节，尤 其当网络与信息系统中拥有极为重要的信息 资产时，都将使得面临复杂环境的网络与信 息系统潜在着若干不同程度的安全风险。
• 风险评估可以不断深入地发现系统建设 中的安全隐患，采取或完善更加经济有效 的安全保障措施，来消除安全建设中的盲 目乐观或盲目恐惧，提出有针对性的从实 际出发的解决方法，提高系统安全的科学 管理水平，进而全面提升网络与信息系统 的安全保障能力。
SECURITY = QUALITY
Availability
连续 Continuity Interruption 中断 准时 Punctuality Delay 延迟
Confidentiality
排他 Exclusivity Divulgation 泄露
风险构成
资产
资产
RISK
威胁
脆弱性
风险的构成
某通信公司网络信息安 全培训课程
2020年4月27日星期一
引言
• 信息安全工作目标演进：从安全支撑保障、体现价值逐步 转向推进业务系统创造价值
• 业务支撑从support向enabler转变，2007年3月沙跃家副 总裁07业务支撑工作会议
• “狠抓网络安全，确保奥运盛会”，2008年3月李跃副总裁 成都网络工作会议
风险评估美国发展史
第一个Architecture (GAA)阶段（60-70年代）以计算机为对象的信息保密阶段
1967年11月到1970年2月，美国国防科学委员会委托兰德公司、 迈特公司（MITIE）及其它和国防工业有关的一些公司对当时的大型机 、远程终端进行了研究，分析。作了第一次比较大规模的风险评估。
特点：
仅重点针对了计算机系统的保密性问题提出要求，对安全的评估只限 于保密性，且重点在于安全评估，对风险问题考虑不多。
第二个阶段（80-90年代）以计算机和网络为对象的信息系统安全保护阶段
评估对象多为产品，很少延拓至系统，因而在严格意义上仍不是全面 的风险评估。
第三个阶段（90年代末，21世纪初）以信息系统为对象的信息保障阶段
信息产业部电信研究院通信标准研究所 等级保护、风险评估、灾难备份/恢复 三层结构
第一层：电信网和互联网安全防护 管理指南
第二层：三个实施指南 第三层：针对电信网和互联网所涵
盖的内容，编制全程全网的防护要 求、检测要求
电信网和互联网安全防护体系标准
为什么要进行风险评估？
风险评估（WHY？）
信息安全的含义
正确性 Correctness
Integrity
完备性 Completeness
有效性 Validity
真实性 Authenticity
不可否认 Non-repudiation
Manipulation 被操纵 Destruction 被破坏 Falsification 被篡改、伪造 Repudiation 被拒绝、否定
风险评估要素关系图
图中方框部分的内容为风险评估的基本要素;椭 圆部分的内容是与这些要素相关的属性。
风险评估围绕着基本要素展开，同时需要充分 考虑与基本要素相关的各类属性。
（1）业务战略的实现对资产具有依赖性， 依赖程度越高，要求其风险越小； （2）资产是有价值的，组织的业务战略对 资产的依赖程度越高，资产价值就越大； （3）风险是由威胁引发的，资产面临的威 胁越多则风险越大，并可能演变成安全事件 ； （4）资产的脆弱性可以暴露资产的价值， 资产具有的弱点越多则风险越大； （5）脆弱性是未被满足的安全需求，威胁 利用脆弱性危害资产； （6）风险的存在及对风险的认识导出安全 需求； （7）安全需求可通过安全措施得以满足， 需要结合资产价值考虑实施成本； （8）安全措施可抵御威胁，降低风险； （9）残余风险是未被安全措施控制的风险 。有些是安全措施不当或无效,需要加强才 可控制的风险；而有些则是在综合考虑了安 全成本与效益后未去控制的风险； （10）残余风险应受到密切监视，它可能 会在将来诱发新的安全事件。
• 随着企业对IT技术的依赖性越来越强，信息安全风险在企 业运营中的地位越来越重要因此，信息安全风险管理成为 企业在运营过程中的最基本的工具；
• 较全面的信息安全风险评估日益重要，一方面风险管理 是运营过程中的必不可少的工具；另一方面风险评估能够 主动了解风险状况，进行相应的改进，实现从supporter向 enabler的转变
提纲
什么是风险评估？ 为什么要进行风险评估？ 风险评估怎样确保安全生产？ 中国移动风险自评估将向何处发展？
什么是风险评估？
风险评估（WHAT？）
信息安全风险评估，是从风险管理角度，运用 科学的方法和手段，系统地分析信息系统所面临的 威胁及其存在的脆弱性，评估安全事件一旦发生可 能造成的危害程度，提出有针对性的抵御威胁的防 护对策和整改措施。并为防范和化解信息安全风险 ，或者将风险控制在可接受的水平，从而最大限度 地保障网络和信息安全提供科学依据（国信办 [2006]5号文件）。
随着信息保障的研究的深入，保障对象明确为信息和信息系统；保障能 力明确来源于技术、管理和人员三个方面；逐步形成了风险评估、自评 估、认证认可的工作思路
风险评估在我国的进展
• 2002年在863计划中首次规划了《系统安全风险分析和 评估组成了风险评 估课题组
• 2004年,国家信息中心《风险评估指南》, 《风险管理 指南》
• 2005年,全国风险评估试点 • 在试点和调研基础上，由国信办会同公安部，安全部，
等起草了《关于开展信息安全风险评估工作的意见》征 求意见稿 • 2006年, 所有的部委和所有省市选择部分单位开展本地 风险评估试点工作
信产部电信网安全防护标准体系
RISK
RISK
RiRskISK
威胁 脆弱性
风险的降低
残余风险
图示：
A（Asset）：资产 V（Vulnerability）：脆弱性 T（Threat）：威胁 S（Safeguard）：保护措施 R（Residual Risk）：残余风险 C（Constrains）：约束