信息安全风险评估大全11篇
时间:2023-01-06 23:12:14
篇(1)
信息产业的迅猛发展,使得信息化技术成为社会发展的必要组成部分,信息化技术为国民经济的发展注入了新鲜的活力,更加速了国名经济的发展和人民生活水平的提高。当然,人们在享受信息技术带来的巨大便利时,也面临着各种信息安全问题带来的威胁。这种信息安全事件带来的影响是恶劣的,它将造成巨大的财产损失和信息系统的损害。因此,信息系统的安全问题不得不引起社会和民众的关注,完善信息系统的安全性,加强信息安全的风险评估成为亟待解决的问题。
1 信息安全风险评估概述及必要性
1.1 信息安全风险评估概述
首先,信息安全风险,主要是指人为或自然的利用信息系统脆弱性操作威胁信息系统,以导致信息系统发生安全事件或造成一定消极影响的可能。而信息安全风险评估简单的理解,就是以减少信息安全风险为目的通过科学处理信息系统的方法对信息系统的保密性、完整性进行评估。信息安全风险评估工作是一项保证信息系统相对安全的重要工作,必须科学的对信息系统的生命周期进行评估,最大限度的保障网络和信息的安全。
1.2 信息安全风险评估的必要性
信息安全评估是为了更好的保障信息系统的安全,以确保对信息化技术的正常使用。信息安全风险评估是信息系统安全管理的必要和关键的环节,因为信息系统的安全管理必须建立在科学的风险评估基础上,科学的风险评估有利于正确判断信息系统的安全风险问题,提供风险问题的及时解决方案。
2 信息安全风险评估过程及方法
信息安全风险的评估过程极其复杂和规范。为了加强我国信息安全风险评估工作的开展,这里有必要对风险评估的过程和方法给予提示和借鉴。风险评估的过程要求完整而准确。具体有如下步骤:
1)风险评估的准备工作,即要确定信息系统资产,包含范围、价值、评估团队、评估依据和方法等方面。要明确好这些资产信息,做好识别。2)对资产的脆弱性及威胁的识别工作,这是由于信息系统存在脆弱性的特点,所以要周密分析信息系统的脆弱点,统计分析信息系统发生威胁事件的可能性以及可能造成的损失。3)安全风险分析,这是较为重要的环节。主要是采用方法与工具确定威胁利用信息系统脆弱性导致安全事件发生的可能性,便于决策的提出。4)制定安全控制措施,主要有针对性的制定出控制威胁发生的措施,并确认措施的有效性,最大限度的降低安全风险,确保信息系统的安全。5)措施实施的阶段,主要是在有效监督下实施安全措施,并及时发现问题和改正。
对于信息安全风险评估的方法,国内外进行了很多不同的方法尝试。方法一般都遵循风险评估的流程,只是在手段和计算方法上有差异,但是分别都有一定的评估效果。主要采用:定性评估、定量评估、以及定性与定量相结合的评估,最后的方法是一个互补的评估方式,能达到评估的最佳效果。
3 我国信息安全风险评估发展现状
较美国等西方国家关于信息安全系统风险评估的发展历史和技术研究,我国起步比较晚且落后于发达国家。但近年来,随着社会各界对信息系统安全的重视,我国开始在信息系统安全管理工作上加大力度,并把信息系统的安全评估工作放在重要的位置,不断创新研究,取得了高效成果。但是,就我国目前的信息安全风险评估工作看来,还存在诸多问题。
1)我国部分企业、组织和部门对于信息系统安全风险评估没有引起绝对的重视,没有大力普及风险评估工作。由于领导者及员工的信息安全防范意识不强以及自身素质水平的影响,导致对风险评估的流程及必要性都不了解,就不太重视对企业信息系统的安全风险评估工作。
2)我国缺乏信息系统安全风险评估的规范化标准。我国目前的信息系统安全风险评估工作的开展,大部分依靠参考国际标准提供服务,只注重效仿,而缺乏对我国信息系统安全风险的实际状况的研究,没有针对性,得不到应有的效果。
3)我国缺乏行之有效的理论和技术,也缺乏实践的经验。由于科技水平的相对落后,对于信息系统的安全风险评估缺乏合适的理论、方法、技术等。我国仅依靠深化研究IT技术共性风险,而没有针对性的行业信息个性风险评估,这是没有联系实际的举措,是不能真正将信息系统的安全风险评估落实到位的。
4)在对信息系统安全风险的额评估中角色的责任不明确。这应该归咎于领导的和员工的不符责任及素质水平的落后。对风险评估理论缺乏,那么就会导致参与评估工作领导和员工角色不明确,领导对评估工作的指导角色以及责任不明确,员工则对评估工作流程方法不理解,都大大降低了风险评估的工作效率。
以上种种关于信息系统安全风险评估的现状问题反映出我国在对信息系统安全风险评估的工作还缺乏很多理论和实践的指导。我国的信息系统安全风险评估工作的开展力度还远不够,那些在信息系统安全风险评估工作的成果还远远达不到评估工作的标准。
4 强化信息安全风险评估的对策
4.1 加强对信息安全风险评估的重视
信息化技术对于每一个企事业单位都是至关重要的,企业在对工作任务的执行和管理中都必须用到信息化技术,因此,保证信息系统的安全性对于企业的发展至关重要。企业、组织和部门要加强对信息安全风险评估的重视,强化风险意识,将信息安全风险评估作为一项长期的工作来开展。
4.2 完善我国信息系统安全风险评估的规范化标准
上文中指出我国目前的信息系统安全风险评估工作大部分依靠国际标准在进行,国内没有一个统一的评估标准。因此,我国应该根据企业各种标准的侧重点,自主创新研究,创造出自己的标准技术体系,而不再一味的去效仿他国。只有这样,我国的信息系统安全风险评估才能得到迅猛的提高与发展,才能保证国家信息化的安全。
4.3 加强对评估专业人才的培养
信息化技术是一项非常专业的技术,只有拥有专业知识和技能的高科技人才才能控制和把握。信息安全风险的评估工作上则更需要拥有专业技能和业务水平的人才,他们必须对信息化技术相当了解和精通,对风险评估的方法、手段、模型、流程必须熟练。因此,企事业单位要加强对专业人才的培养,定期进行业务技能培训,鼓励人才的自主学习,不断提高自身的能力,为确保企业信息安全评估工作的高效发展及信息安全贡献力量。
4.4 加强科技创新,增强评估的可操作性
我国的科技水平较西方国家有很大的差距,因此在对信息安全风险的评估工作中,也存在理论和技术上的差距。我国应该不断的加强科研力度,在理论和技术上加以完善,在评估工具上改进,以确保评估工作的高效开展。信息系统风险评估是一个过程体系,必须抓好每一环节的技术性,在依据实际状况下进行风险评估。
4.5 明确评估工作的职责划分
信息安全风险评估工作是复杂的,每一个流程都需要投入一定的人力、物力和财力。针对人力这一方面,企业单位应该明确划分评估工作人员的职责范围,管理者要发挥好领导监督作用,有效指导评估工作的开展,员工则有效发挥自身的作用和能力。进而在每一环节工作人员共同协作下,完成评估工作的各项流程,并达到预期的成效。
5 结束语
篇(2)
中图分类号:G647 文献标志码:A 文章编号:1674-9324(2016)23-0249-02
一、引言
信息时代为国家和个人提供了全新的发展机遇和生活空间,但也带来了新的安全威胁。信息安全的威胁可能来自内部的破坏、外部的攻击、内外勾结的破坏和信息系统自身的意外事故等,因此我们应按照风险管理的思想,对可能的威胁和需要保护的信息资源进行风险分析,以便采取安全措施,妥善应对可能发生的安全风险。信息安全风险评估是依据国家信息安全风险评估有关管理要求和技术标准,对信息系统及由其存储、处理和传输的信息的机密性、完整性和可用性等安全属性进行科学、公正的综合评价的过程。根据ISO27001的管理思想,信息安全风险评估在信息安全管理的PDCA环中是一个很重要的过程,如何处理信息安全风险评估所产生的数据,是每一个信息安全管理者都非常迫切需要解决的一个问题。最好的解决方法是开发出一套实用性强、可操作性高的系统安全风险评估管理工具。
二、风险评估过程
信息安全风险评估系统的设计是针对组织开展信息安全风险评估的过程。这个过程包括对信息系统中的安全风险识别、信息收集、评估和报告等。风险评估的实施过程如下页图1。
1.评估前准备。在风险评估实施前,需要对以下工作进行确定:确定风险评估的目标、确定风险评估的范围、组建风险评估团队、进行系统调研、确定评估依据和方法、制定评估计划和评估方案、获得最高管理者对工作的支持。
2.资产识别。资产识别过程分为资产分类和资产评价两个阶段。资产分类是将单位的信息资产分为实物资产、软件资产、数据资产、人员资产、服务资产和无形资产六类资产进行识别;资产评价是对资产的三个安全属性保密性、可用性及完整性分别等级评价及赋值,经综合评定后,得出资产的价值。
3.威胁识别。威胁识别主要工作是评估者需要从每项识别出的资产出发,找到可能遭受的威胁。识别威胁之后,还需要确定威胁发生的可能性。
4.脆弱性识别。评估者需要从每项识别出的资产和对应的威胁出发,找到可能被利用的脆弱性。识别脆弱性之后,还需要确定弱点可被利用的严重性。
5.已有安全措施确认。在识别脆弱性的同时,评估人员将对已采取的安全措施的有效性进行确认,评估其是否真正地降低了系统的脆弱性,抵御了威胁。
6.风险分析。风险评估中完成资产赋值、威胁评估、脆弱性评估后,在考虑已有安全措施的情况下,利用恰当的方法与工具确定威胁利用资产脆弱性发生安全事件的可能性,并结合资产的安全属性受到破坏后的影响得出信息资产的风险。
三、系统设计
1.用角色设计。系统角色分为三种类型,各用户在登录后自动转入各自的操作页面。A.超级管理员:拥有系统所有权限;B.评估项目管理员:可以对所负责的评估项目进行管理,对评估人员进行分工和权限管理;C.评估人员:负责由项目管理员分配的测评工作,将评估数据导入系统。
2.系统模型。根据信息安全风险评估管理的业务需求,我们构建了以安全知识库为支撑,以风险评估流程为系统主要业务流,以受测业务系统及其相关信息资产的风险评估要素为对象的信息安全风险评估综合管理系统模型,系统模型如图2所示。
3.系统功能设计。信息安全风险评估综合管理系统的功能模块包括:①风险评估项目管理:评估项目管理模块包括评估项目的建立、项目列表、项目设置等功能。主要输入项:项目名称、评估时间、评估对象等;主要输出项:项目计划书。②信息安全需求调研管理:该模块用于用户填写安全调研问卷,为安全评估提供数据支持。主要输入项:用户ID、调查答案;主要输出项:问卷标题、调查题内容。③资产识别。系统提供的资产识别,包括:硬件、软件、数据等,根据业务系统对组织战略的影响程度,对相关资产的重要性进行评价;主要输入项:评估对象(信息资产)、赋值规则;主要输出项:资产识别汇总表、资产识别报告。④威胁识别。威胁识别:系统提供多种网络环境的威胁模板,支持和帮助用户进行威胁识别和分析,并提供资产、脆弱性、威胁自动关联功能:主要输入项:评估对象、赋值规则;主要输出项:威胁识别汇总表、威胁识别报告。⑤脆弱性识别。脆弱性识别:系统可提供多种系统的脆弱性识别功能,包括:主机、数据库、网络设备等对象的脆弱性识别。系统支持常用漏洞扫描软件扫描结果的导入,目前支持的扫描系统有:Nessus、NMap等,主机系统支持:Windows、Linux、Unix等,数据库支持:MSSQL、Oracle等:主要输入项:评估对象、漏洞扫描结果、赋值规则;主要输出项:漏洞扫描报告、脆弱性识别汇总表、脆弱性识别报告。⑥安全措施识别。安全措施识别:系统提供基于技术、管理等方面的安全措施检查功能,帮助用户了解目前的安全状况,找到安全管理问题,确定安全措施的有效性:主要输出项:安全措施识别汇总表、安全措施识别报告。⑦风险分析。系统通过资产评价、脆弱性评价、威胁评价、安全措施有效性评价、风险分析等工作,可自动生成安全风险评估分析报告。主要输入项:评估对象、资产值、脆弱性值、威胁值、安全措施值、计算规则;主要输出项:风险计算汇总表、风险分析报告。⑧评估结果管理。主要功能是对历史记录查询与分析。汇总所有的安全评估结果进行综合分析,并生成各阶段风险评估工作报告,主要包括如下:《资产识别报告》、《漏洞扫描报告》、《威胁识别报告》、《脆弱性识别报告》、《控制措施识别报告》、《风险分析报告》。并可对当期风险评估结果和原始数据进行转存或备份。在有需要时能调出评估历史数据进行查询及风险趋势分析。⑨信息安全知识库更新维护。信息安全知识库的更新维护主要对象有:系统漏洞库、安全威胁库、安全脆弱点库、控制措施库。为避免造成数据的冗余,系统将在各评估项目中需要反复使用的数据归入基础数据库进行管理,在进行评估活动时再从基础库提取有关数据,这样也能减少重复的输入工作。⑩数据接口。导入数据接口:资产库、脆弱点库、威胁库、控制措施库。支持以下常用的格式:如EXCEL文件等;常用的漏洞扫描工具:如绿盟、启明星辰、NESSUS、NMAP等。
四、结束语
该系统设计是以信息安全风险评估工作流程为基础,进行信息安全评估项目管理、风险要素数据收集与辅助风险分析的系统,在实际风险管理过程中,可引入了质量管理理念――PDCA循环,即通过监控每一阶段的信息系统风险情况,及时发现问题,不断调整风险控制工作计划,从而实现信息安全风险管理的工作目标。
篇(3)
关键词:
信息系统管理;风险评估;信息安全
在信息安全风险系统评估中可以采取很多评估方法,来确保有效地评估信息安全风险的内容。在定量评估中,可采用层次分析法来处理出现的问题,并效评估和判断各种风险。
一、信息安全风险在信息系统管理中分析
1.1信息系统与信息安全的关系。通过人与计算机相结合的系统模式,来储存、传输、和采集信息,从而实现具体的应用,在这个过程中,计算机和网络是最重要的部分。信息的可用性、完整性、以及保密性,是信息安全的主要内容。在信息系统中,信息安全主要指的是人、网络、与环境相关的管理安全、技术安全、结构安全等,要确保信息安全的进行传输、处理,还要保证其在过程中的可用性、完整性、保密性。
1.2信息系统的安全风险。在信息系统配置安全运行的过程中,在特定的时间点内,非法人员利用网络窗口中的漏洞,来攻击整个网络系统,盗取访问特定的基本信息的权限,从而造成网络安全风险,致使系统失去保护信息资产特定对象的功能,大量泄露了用户的信息,其后果非常严重。信息系统存在风险,并不表示其不安全,在信息系统管理中将风险控制在可以接受的范围内,信息安全风险的评估方法发挥着非常重要的作用,其技术依据,为系统平稳运行以及安全建设提供了保障。
1.3威胁性。威胁性是指对信息安全造成的一种潜在的危害,组织的资产所引起的恶意破坏从而对资产可能受到的潜在危害进行系统性的评估称为威胁性评估,安全信息的威胁因素包括:人为因素、环境因素,对每一项资产都要做好威胁性分析,关键资产的威胁性分析更是很重要。
二、信息安全风险评估措施
2.1信息安全风险评估内容。评估分析已有安全措施和对资产的威胁性和脆弱性进行评估。在信息安全评估中,信息资产是重点保护对象,它包括软件、硬件、数据、以及人员等一切可对信息资源产生一定利用价值的资源。为有效分析安全风险需求,建立风险防范措施,我们需按照每个资源的可用性、完整性、和保密性,对其进行等级划分包括间接威胁和直接威胁等,对组织系统中资产的威胁性进行评估。
2.2风险评估方法。在信息系统管理中,评估信息安全风险方法有很多,如:定性评估法、人工评估法、定量评估、工具辅助评估等其他评估方法,本文主要分析前两个方法。第一,定性评估法,定性评估法侧重于对风险带来的损失进行评估,而风险的发生频率为得到重视,该方法在主要是通过专业机构或专家来判断分析风险,因此,该评估方法具有较高的主观性;第二,人工评估法,又叫做手工评估法,在整个风险评估的过程中,通过人工作业的形式来评估信息安全风险,通过评估资产、投资成本的风险的安全需求、脆弱性、威胁性、安全措施等,同时结和其风险效益,从而提出有效的解决方案。
2.3层次分析方法。在建立信息安全的评价体系时,可使用运用层次分析法来综合评价风险。为给信息安全的风险评估提供可靠依据,通过运用层次分析法对信息安全风险中包括的所有要素之间的相对重要的权数进行评价,结合所有要素的排序进行横向比较分析,评估信息安全的风险。使用层次分析法评估信息安全风险可提高风险评估的科学性、准确性。在分析评估安全风险中主要分析了以下四个评价指标体系,即安全措施、脆弱性、威胁性、资产,这种一定程度上降低安全风险系数。
结语
降低信息安全风险应采取合理的信息安全风险评估方法,来评估信息安全系统中的风险。通过对各个风险因素进行等级划分,从而准确地判断与评估信息系统中存在的风险,然后结合所有要素的排序,采取有效措施,对信息安全系统中容易出现问题的环节进行安全改进,从而提高信息系统管理中信息系统的安全性。
作者:陈绮琦 单位:广东电网有限责任公司阳江供电局
参考文献
篇(4)
广西百色银海铝业有限责任公司533000
摘 要:信息技术的迅速发展,为人们的生活带来了许多的方便。近年来,信息安全遭受危害的事件时有发生,信息安全成了国内外普遍关注的话题。严峻的形势告诉我们,必须要采取相应的措施来防止信息安全遭到危害。本文详细介绍了信息安全风险评估的工具、方法、过程,以及评估中存在的问题,并对如何预防危害信息安全事件的发生提出了简单的建议。
关键词:信息安全 风险评估 预防 信息安全风险
在人们的日常生活中,信息的作用逐渐凸显。信息产业的发展情况成为新时期国家综合国力的标志。但是,信息安全成为了信息技术发展中需要迫切解决的一个难题。做好信息安全风险评估工作,是维护信息系统安全的基本保证。
一、信息安全风险评估概述
信息安全风险是信息的安全遭受危害的可能性,是利用信息系统本身的弱点和缺陷主动引起的安全性问题,受损的一般是较为的重要信息,这些信息的受损,对相关机构造成了巨大的损害。
信息安全风险评估是按照国家颁布的关于信息安全技术的准则和标准,采取相应的科学办法,对信息的完整性、可用性和保密性做出的全面具体的分析研究,对信息系统将要面对的威胁和存在的弱点进行全面的评价,对可能面临危害安全事件的破坏程度做出的具体评估,并针对性的提出相应的防御措施和改革对策。信息安全风险评估的主要目的就是要预防和解决安全风险,最大限度的降低风险造成的危害,为保证信息和网络的安全提供可靠科学的依据。
对信息安全的风险评估就是将传统的风险理论应用于信息系统中,了解信息系统在哪方面存在风险,做好信息风险的识别工作,科学全面的分析信息系统在各个方面所面临的具体风险,根据实际情况选择具体的控制方法。
完整的信息安全风险评估应该涵盖与之相关的法律规范、技术体系、基本框架、标准体系。
二、信息安全风险评估的主要方法
随着近年来对信息安全风险评估的深入研究,出现了多种多样的风险评估方法,这些方法的出现提高了评估的效率,使得风险评估工作的开展更加便捷、高效。
常用的评估方法主要有德尔斐法、故障树法、层次分析法等等,虽然每种方法的具体实施不尽相同,但是其主要的操作流程大体相似。在此,我们可以按照不同的计算方法将其分为定量风险评估和定性风险评估。
定性风险评估就是针对信息系统中的风险而采取的一系列的判断和分析,主要是依据评估人员的经验和专业知识来进行风险的评估,再对评估的具体结果进行详细的描述。这种风险评估方法较为粗略,适用于数学基础不强的数据分析人员在信息资料不是特别完善的情况下进行风险评估工作。
定量风险评估指的是利用公示对信息系统内存在的风险进行具体评估,并用数据的形式来展现评估结果。相对于定性评估而言,定量评估较为烦杂,需要评估者具有良好的数学基础,评估过程对中人力、物力、财力的消耗较大,因此如今我们更多的是采用定性与定量相结合的风险评估方法进行信息安全风险评估。
不管是定性还是定量,都需要运用数学知识。定性是定量的基础和依据,定量是更加具体化的定性,二者互相补充,只有把二者有效的结合在一起,才能在更好的完成信息安全风险评估。
三、信息安全风险评估工具
风险评估工作十分复杂,庞大的工作量对评估工具提出了较高的要求,评估工具要具有很强的实用性
目前主要的评估工具主要有以下几种: CC tools, Cobra,WebTrends Security Analyzer套件 ,SAFESuite套件等。在此,我们按照各种评估工具的特点将其分为三大类:
1.弱点评估工具
弱点评估工具在评估工作中较为注重对系统硬件和软件中存在漏洞的发现。根据安全漏洞的易受侵害程度,明确信息系统中较为脆弱的部分,并最终制定有效的安全方略。作为如今应用范围最广的风险评估工具,弱点评估工具主要有测试性工具和扫描性工具。
2.综合评估管理工具
综合评估管理工具的较为注重的是安全管理。全面分析系统存在的安全风险,并制定出相应的解决策略和方法。目前应用较多的综合评估管理工具主要有COBRA和CRAMM。
3.风险评估的辅助工具
辅助工具较为注重对评估所需信息的收集。主要的风险评估辅助工具有入侵检测工具、安全审计工具、人员访谈、资产信息调查表等。
四、信息安全风险评估过程
所谓信息安全评估过程就是依据国内外的评估准则,采用相关的评估方法和手段,选用适当的评价工具,进行全面评估工作的整个过程。必须要做到对整个信息系统全面的进行评估,不能漏掉系统中的某个部分。下面对评估的具体工程做简单的介绍:
1.明确资产
首先要清楚地知道整个系统的资产是多少,并准确分析信息资产的价值,其中资产价值是依靠各个利益方对整个信息系统性能的影响来进行度量的。资产就是所有要求被保护的事物,其包含的范围较为广泛,涉及的内容较为丰富。公司的形象、软件硬件资产、信息资产等都属于资产的范畴。对资产进行有效评估要做到抓住关键点,首先解决关键资产的评估。
2.分析资产面临的威胁
在确定资产之后要对资产进行全面的科学分析,找出资产中的薄弱点,以及针对薄弱点可能造成的危害,准确估算危害的发生概率及带来的损失。
3.针对危害制定有效的措施
准确分析所面临的的威胁之后,就要努力的消弱威胁带来的影响,通过各种有效手段把风险降到最低。不必进行决策工作,只需拟定各种安全措施并估算所需费用。安全措施必须科学全面,能够从根本上解决问题,并且要有很强的针对性。
4.科学决策
应从转移风险、接受风险、避免风险这三个角度科学合理的进行决策。同时要注意对残余风险考虑。决策过程中,要争取更多相关人员的参与,为决策过程提供自己的意见和建议。
5.监督实施
制定科学有效的决策之后,就要按照决策组织实施安全措施,实施的工程中
要进行严格的监督,保证整个实施过程按照据侧开展。在实施的过程中也要做好随时应对新威胁的准备,并且根据新威胁对决策进行改正和完善。此外,由于信息系统始终处在变化之中,要根据具体的变化对信息安全进行准确快速的评估,保证将信息安全风险降到最低。
五、信息安全风险评估中存在的问题分析
虽然目前我国的信息安全风险评估有了一定的进步和发展,但是尚且处于发展的初级阶段,各方面都存在着一些问题。
1.人才的紧缺。目前在我国专业的评估人员较为缺乏,评估工作的开展受到了很大的阻碍。
2.评估方法不具备较强的可操作性,目前还没有形成较为完善、系统的风险评估工具。
3.信息安全风险评估的标准各异,在评估时不知道按照哪个标准开展评估工作,致使评估工作不能得到顺利的开展,风险评估不能达到应有的效果。
4.管理者的风险意识不强。
六、信息安全的预防
针对信息安全所面临的的威胁,主要从“人”和“网”两个方面采取预防措施,防止危害信息安全的事件发生。
首先,要加强对员工的管理。严令禁止员工在工作期间访问一些赌博、色情、病毒网站,防止这些网站中的病毒对企业信息造成危害;不得下载未经安全检测的软件;不能占用较大的宽带。这些措施在财务和管理部门的实施要更为严格。
其次,加强网络安全管理建设。虽然混合网络能大幅度节省企业的开支,但出于安全考虑,企业最好将公共网络与内网进行分离。
总结:信息技术的发展,促进了社会的进步。但是我们要正视信息安全面临的一些问题,并做好信息安全的风险评估和预防工作。信息安全在某种程度上说是不可避免的,因此我们要做好信息安全风险评估工作,将信息安全事件带来的影响降到最低。本文着重介绍了关于信息安全风险评估的一些基本内容,包括风险评估的方法、工具、评估过程和评估工作中存在的问题,让人们更能了解评估工作的重要性。同时简单的提出了对信息安全的预防措施,尽量减少危害信息安全事件的发生。如何保证信息安全、做好信息安全的风险评估和预防工作,还需要更多专业人士的共同努力。
参考文献:
篇(5)
2安全评估管理的主要思路
通过研究国内外信息科技风险安全评估标准、规范及实践,提出了商业银行信息科技风险安全评估管理思路。
2.1建立安全评估组织体系
信息安全风险评估组织体系建设应充分考虑安全评估自身特点,并应结合商业银行的风险管理体系,安全评估的组织体系应包括两个方面:一是建立安全评估日常管理体系。该部分体系应在信息科技风险管理体系的基础上,明确高管层、信息科技风险管理部门、信息科技管理部门及其它相关部门的安全评估职责;二是建立安全评估项目管理机制。商业银行组织安全评估时应成立项目管理组织,并严格按照项目管理的流程对安全评估进行有效控制。
2.2建立信息安全风险评估标准流程
安全评估流程是安全评估标准化的控制手段,能够有效的控制安全评估的目标、范围、过程及质量,安全评估需要建立以下标准流程:一是安全评估的组织流程,即安全评估审批、总结、汇报等流程;二是安全评估的项目管理流程,安全评估应采用项目的管理方式进行组织,并按项目管理流程组织评估并形成项目阶段成果;三是安全评估的评估方法流程。安全评估根据标准的评估方法,并结合评估对象的特点,从资产识别、威胁识别、脆弱性识别、风险评估、已有措施确认等方面,建立明确的评估方法流程并明确流程各阶段主要工作成果及输出文档。
2.3培养专业信息安全风险评估人员
专业的安全评估人员是安全评估的基本保证,应加大对信息安全风险评估人员的培训力度,培训主要从以下几个方面进行:一是加大评估管理要求、评估流程的培训力度,让评估人员能够了解信息科技安全管理的要求,掌握安全评估组织、项目及方法流程;二是加大信息安全知识培训力度,评估人员应全面学习信息安全的相关知识,了解目前信息安全面临的主要威胁及存在风险;三是加大安全评估技术培训力度,评估人员应了解安全评估相关技术,熟练掌握常用的安全评估工具;四是加大信息系统相关技术培训力度,安全评估要求评估人员应了解主机、网络及应系统等相关技术细节,应组织相应的技术培训,扩大评估人员的知识范围,并使评估人员深入了解各系统的技术细节。
2.4引入安全评估工具
为实现安全评估的专业化,商业银行应逐步引入和使用风险评估工具,风险评估工具包括以下三类:一是专业安全评估设备及软件,如漏洞扫描设备、安全审计平台等。二是专门的风险计算工具,如风险统计及计算表格,该类表格根据标准的计算方式,能够给出相对准确的风险量化值。二是风险管理系统,对风险进行汇总、统计及处置跟踪。
篇(6)
1.引言
随着信息技术的飞速发展,关系国计民生的关键信息资源的规模越来越大,信息系统的复杂程度越来越高,保障信息资源、信息系统的安全是国民经济发展和信息化建设的需要。信息安全风险评估就是从风险管理角度,运用科学的分析方法和手段,系统地分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,以防范和化解风险,或者将残余风险控制在可接受的水平,从而最大限度地保障网络与信息安全。
2、网络信息安全的内容和主要因素分析
“网络信息的安全”从狭义的字面上来讲就是网络上各种信息的安全,而从广义的角度考虑,还包括整个网络系统的硬件、软件、数据以及数据处理、存储、传输等使用过程的安全。
网络信息安全具有如下6个特征:(1)保密性。即信息不泄露给非授权的个人或实体。(2)完整性。即信息未经授权不能被修改、破坏。(3)可用性。即能保证合法的用户正常访问相关的信息。(4)可控性。即信息的内容及传播过程能够被有效地合法控制。
(5)可审查性。即信息的使用过程都有相关的记录可供事后查询核对。网络信息安全的研究内容非常广泛,根据不同的分类方法可以有多种不同的分类。研究内容的广泛性决定了实现网络信息安全问题的复杂性。
而通过有效的网络信息安全风险因素分析,就能够为此复杂问题的解决找到一个考虑问题的立足点,能够将复杂的问题量化,同时,也为能通过其他方法如人工智能网络方法解决问题提供依据和基础。
网络信息安全的风险因素主要有以下6大类:(1)自然界因素,如地震、火灾、风灾、水灾、雷电等;(2)社会因素,主要是人类社会的各种活动,如暴力、战争、盗窃等;(3)网络硬件的因素,如机房包括交换机、路由器、服务器等受电力、温度、湿度、灰尘、电磁干扰等影响;(4)软件的因素,包括机房设备的管理软件、机房服务器与用户计算机的操作系统、各种服务器的数据库配置的合理性以及其他各种应用软件如杀毒软件、防火墙、工具软件等;(5)人为的因素,主要包括网络信息使用者和参与者的各种行为带来的影响因素,如操作失误、数据泄露、恶意代码、拒绝服务、骗取口令、木马攻击等;(6)其他因素,包括政府职能部门的监管因素、有关部门对相关法律法规立法因素、教育部门对相关知识的培训因素、宣传部门对相关安全内容的宣传因素等。这些因素对于网络信息安全均会产生直接或者间接的影响。
3、安全风险评估方法
3.1定制个性化的评估方法
虽然已经有许多标准评估方法和流程,但在实践过程中,不应只是这些方法的套用和拷贝,而是以他们作为参考,根据企业的特点及安全风险评估的能力,进行“基因”重组,定制个性化的评估方法,使得评估服务具有可裁剪性和灵活性。评估种类一般有整体评估、IT安全评估、渗透测试、边界评估、网络结构评估、脆弱性扫描、策略评估、应用风险评估等。
3.2安全整体框架的设计
风险评估的目的,不仅在于明确风险,更重要的是为管理风险提供基础和依据。作为评估直接输出,用于进行风险管理的安全整体框架。但是由于不同企业环境差异、需求差异,加上在操作层面可参考的模板很少,使得整体框架应用较少。但是,企业至少应该完成近期1~2年内框架,这样才能做到有律可依。
3.3多用户决策评估
不同层面的用户能看到不同的问题,要全面了解风险,必须进行多用户沟通评估。将评估过程作为多用户“决策”过程,对于了解风险、理解风险、管理风险、落实行动,具有极大的意义。事实证明,多用户参与的效果非常明显。多用户“决策”评估,也需要一个具体的流程和方法。
3.4敏感性分析
由于企业的系统越发复杂且互相关联,使得风险越来越隐蔽。要提高评估效果,必须进行深入关联分析,比如对一个老漏洞,不是简单地分析它的影响和解决措施,而是要推断出可能相关的其他技术和管理漏洞,找出病“根”,开出有效的“处方”。这需要强大的评估经验知识库支撑,同时要求评估者具有敏锐的分析能力。
3.5评估结果管理
安全风险评估的输出,不应是文档的堆砌,而是一套能够进行记录、管理的系统。它可能不是一个完整的风险管理系统,但至少是一个非常重要的可管理的风险表述系统。企业需要这样的评估管理系统,使用它来指导评估过程,管理评估结果,以便在管理层面提高评估效果。
4、风险评估的过程
4.1前期准备阶段
主要任务是明确评估目标,确定评估所涉及的业务范围,签署相关合同及协议,接收被评估对象已存在的相关资料。展开对被评估对象的调查研究工作。
4.2中期现场阶段
编写测评方案,准备现场测试表、管理问卷,展开现场阶段的测试和调查研究阶段。
4.3后期评估阶段
撰写系统测试报告。进行补充调查研究,评估组依据系统测试报告和补充调研结果形成最终的系统风险评估报告。
5.风险评估的错误理解
(1)
不能把最终的系统风险评估报告认为是结果唯一。
(2)不能认为风险评估可以发现所有的安全问题。
(3)
不能认为风险评估可以一劳永逸的解决安全问题。
(4)不能认为风险评估就是漏洞扫描。
(5)不能认为风险评估就是IT部门的工作,与其它部门无关。
(6)
篇(7)
基金项目:郑州科技学院大学生创新创业训练计划项目:电子商务信息安全风险评估关键技术及应用(编号:DCY2019007)
1.引言
电子商务是以互联网为基础,以商城消费者产品物流为构成要素进行的电子商务活动。当电子商务相关部门或人员在进行项目开发时,拥有一套信息安全风险评估系统可以帮助其采用科学合理的方法对潜在威胁进行分析并保证经济系统的安全。所以将信息安全技术与现代化新兴技术结合,将为我们打造一个更加优质的网络环境。
2.电子商务系统中存在的信息安全问题及现状
一般来说,电子商务的信息安全是指在电子商务交易的过程中双方使用各种技术和法律手段等确保交易不会因为意外,恶意或者披露这些不利要求而受到损害的信息安全。在21世纪初叶,我国金融系统中的计算机犯罪率一直在不断地增加,我国金融网络信息安全形势非常严峻,需要加强改善。下面就电子商务网络中的信息安全问题做一个简要介绍,主要涉及以下几个方面:
(1)由于编写的电子商务系统软件可以使用不同的形式,因此在实际应用过程中难以避免的会留下安全漏洞。例如,网络操作系统本身会存在一些安全问题,例如非法访问I/0,这些不完全的调解和混乱的访问控制会造成数据库安全漏洞,而这些漏洞严重影响了电子商务系统的信息安全性.特别是在设开始设计之前就没有考虑TCP/IP通信协议的安全性,这一切都表明当前的电子商务系统网络软件中有一些可以避免或不可避免的安全漏洞。此外信息共享处理带来也存在风险。在信息的传递过程中,需要不断地对信息源进行加工和重现,截取有用信息,不可避免会出现信息转化方面的风险。尤其是在当下“社交+商务”的模式下,一条消息可能瞬间在社交网站上转载数万次或者更多,一旦在信息转载中出现误差,影响非常大,风险应当给予重视。
(2)随着网络技术的广泛应用,计算机病毒带来的问题越来越广泛,压缩文件,电子邮件已经成为计算机病毒传播的主要途径,因为这些病毒的种类非常多样化,破坏性极强,使得计算机病毒的传播速度大大加快了。近年来,新病毒种类的数量迅速增加,互联网为这些病毒的传播提供了良好的媒介。这些病毒可以通过网络大量传播任何粗心大意都会造成无法弥补的经济损失。此外还有信息传递过程所带来的风险。信息是一种重要的资源,良好的流动性能實现信息价值的最大化,但是在信息的传递过程中需要经过许多路径,而在这过程中往往存在一些不安全因素,给信息安全带来一定的风险。
(3)当前的黑客攻击,除了计算机病毒的传播外,黑容的恶意行为也越来越猖狂。特洛伊木马使黑容可以使用计算机病毒从而变得更加有目的性,使得计算机记录的登录信息被特洛伊木马程序恶意篡改,导致很多重要信息、文件,甚至是金钱被盗。
(4)由人为因素造成的电子商务公司的安全问题,大部分保密工作是通过员工的操作来进行的,这就需要员工具有很好的保密性,责任心和责任感等道德素质。如果员工的责任心不强,态度不正确,就容易被别人利用,让无关人员随意进出房间或向他人泄露机密信息,可以让罪犯废除重要信息。如果工作人员缺乏良好的职业道德,可能会非法超出授权范围更改或删除他人的信息,而且还可以利用所学专业知识和工作位置来窃取用户密码和标识符,进行非法出售。
3.电子商务信息安全风险评估存在的问题
经过大量的数据收集与分析不难发现对信息安全风险评估是当前科研工作中噬待解决的问题。目前,国内也有一些关于信息安全风险评估的研究和应用,但是这些研究都只是简单的分析,包括常用的具有风险的风险评估工具。评估矩阵,问卷,风险评估矩阵与问卷方法,专家系统相结合。对于更深层次的探究还需进一步努力。此外,网络信息安全风险评估方法常用定量因子分析方法,时间序列模型,决策树方法和回归模型进行。风险评估方法,定性分析主要包括逻辑分析,Delphi方法,因子分析方法,历史比较方法等。其中,定量和定性评估方法相结合,是由模糊层次分析法,基于D-S证据理论等的评估方法组成。同时网络信息安全风险评估还存在一定问题,例如随着网络的发展,我国从开始的2G迈向4G现在又率先进入5G时代。其中也出现了各种问题,网民数量的增加需要迫切提高他们对信息安全的警惕意识。
3.1欠缺对电子商务信息安全风险评估的认识
当前,许多相关人员对电子商务信息系统面临着巨大的挑战的现状并未有足够的意识,缺少信息安全风险评估经验。因此他们没有重视信息安全风险评估的重要性,其原因如下。第一,公司或单位的风险评估尚未通过标准检验,培训标准,信息安全风险评估工作的研究尚未得到系统的相关理论,方法和技术工具,这是由于一些信息安全评估工作相关领导层和工作人员对信息评估风险评估的重要性的认识不足,因此自然而然不将此类风险评估工作包括在当前的信息安全系统框架中。第二,尽管有许多部门将信息安全工作置于地位重要,但受到人力、物力,财力等方面的限制,社会制度的制约,政策法规的欠缺使得信息安全系统的信息安全风险评估工作无法得到应有的重视。
3.2缺乏信息安全风险评估方面的专业技术人才
首先,信息安全风险评估的技术内容要求非常高,它要求员工具有很高的技术水平,现在很多公司都将通用信息用作风险评估技术人员。其次,信息安全风险评估是一项集综合性,专业性于一体的工作,不仅涉及公司的所有业务信息,也涉及人力,物力和财力的方方面面,因此需要各部门之间相互配合,现在大多数公司仅依靠信息部门,独立的参与信息安全风险评估毫无争议他们要想完成信息安全风险评估工作是非常艰难的。综上所述,培养信息安全风险评估专业技术人员是今后信息技术方面发展的方向。
3.3风险评估工具相对缺乏
当前,除专家系统外,其他分析工具相对来说都比较简易,除此之外还缺乏实用的理论基础。此外,这种信息风险评估工具在应用中的发展呈现的现状。表明国内和外部失衡,在中国相对落后。可见解决信息安全问题的关键在于有成熟的风险评估工具。
4.防范电子商务信息安全及风险的建议
4.1增强电子商务信息安全和风险评估的意识
大多数信息的传输和处理,与人是密不可分的。特别是掌握人员的重要信息和核心业务,人员的个人因素,管理因素和环境存在风险。主要包括人员的技术能力,监控管理,安全性。特别需要做好监督审计公司的工作,确保信息安全风险管理融入实践,充分发挥内部监督作用,促进社会责任认可和实施信息安全风险管理工作。电子商务公司必须对工人进行必要的信息安全知识教育培訓,了解与之相关的法律法规,做好对客户关键信息的隐秘保护。不随意查看和泄露客户购买信息。
企业应该加大力度保障网络通信操作时信息的机密性和完整性,加强密钥管理,提高应对网络攻击能力,采取措施避免越权或滥用,消除用户在交易中的风险。在信息安全风险控制中必须由内到外地保护内部系统环境、网络边界、骨干网安全。为网络信息系统建立完善的管理系统,并提供全面的安全保障。运用端到端策略。对于移动电子商务中用户终端设备种类繁多,安全环境复杂难以控制的问题,必须做好数据传输中的重要环节中的身份鉴定。通过人脸识别、指纹识别等技术有效提高用户访问身份鉴别能力,极大地提高账户的安全性,确保数据传输的安全性,确保交易的真实有效。
4.2提供专业的技术培训,提高专业人员的技能
认真选择第三方合作伙伴,增强信息管理水平,加强绩效监督管理。树立合理的企业内部组织结构和有效资金保障,培养员工信息安全意识,创造良好信息安全工作氛围,加强信息安全专业技术人员对信息安全风险评估的意识和能力,通过大量的实验发现可以通过下列方法培训相关人员:第一,定期开展信息安全风险评估工作,将公司员工集合共同学习相关资料以提升他们对信息安全的意识弥补存在的缺陷。第二,对信息安全部门的员工进行专门的技术培训和指导,可通过模拟分析来提升技术;第三,公司应增加对技术资源的投入,聘请经验丰富的专家学者组成第三方评估机构,引进风险评估设备。以备不时之需;第四,公司应对技术人员进行标准化认证培训,执行职业资格准入制度,提高技术人员的门槛,纳入信息安全风险评估,技术人员的全面质量保证评估。以上这些方法只是单纯就培训方式对于具体的实施以及可能遇到的问题依然需要研究。
4.3提升对信息安全防范技术的研究和应用
篇(8)
一、前言
随着信息技术的飞速发展,信息系统依赖程度日益增强,采用风险管理的理念去识别安全风险,解决信息安全问题得到了广泛的认识和应用。信息系统主要分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,以防范和化解风险。
二、网络信息安全的内容和主要因素分析
“网络信息的安全”从狭义的字面上来讲就是网络上各种信息的安全,而从广义的角度考虑,还包括整个网络系统的硬件、软件、数据以及数据处理、存储、传输等使用过程的安全。网络信息安全具有如下5个特征:
1、保密性:即信息不泄露给非授权的个人或实体。
2、完整性:即信息未经授权不能被修改、破坏。
3、可用性:即能保证合法的用户正常访问相关的信息。
4、可控性:即信息的内容及传播过程能够被有效地合法控制。
5、可审查性:即信息的使用过程都有相关的记录可供事后查询核对。
网络信息安全的研究内容非常广泛,根据不同的分类方法可以有多种不同的分类。研究内容的广泛性决定了实现网络信息安全问题的复杂性。而通过有效的网络信息安全风险因素分析,就能够为此复杂问题的解决找到一个考虑问题的立足点,能够将复杂的问题量化,同时,也为能通过其他方法如人工智能网络方法解决问题提供依据和基础,网络信息安全的风险因素主要有以下6大类:
1、自然界因素,如地震、火灾、风灾、水灾、雷电等;
2、社会因素,主要是人类社会的各种活动,如暴力、战争、盗窃等;
3、网络硬件的因素,如机房包括交换机、路由器、服务器等受电力、温度、湿度、灰尘、电磁干扰等影响;
4、软件的因素,包括机房设备的管理软件、机房服务器与用户计算机的操作系统、各种服务器的数据库配置的合理性以及其他各种应用软件如杀毒软件、防火墙、工具软件等;
5、人为的因素,主要包括网络信息使用者和参与者的各种行为带来的影响因素,如操作失误、数据泄露、恶意代码、拒绝服务、骗取口令、木马攻击等;
6、其他因素,包括政府职能部门的监管因素、有关部门对相关法律法规立法因素、教育部门对相关知识的培训因素、宣传部门对相关安全内容的宣传因素等。这些因素对于网络信息安全均会产生直接或者间接的影响。
三、目前网络信息安全风险评估工作中急需解决的问题
信息系统涉及社会经济方方面面,在政务和商务领域发挥了重要作用,信息安全问题不单是一个局部性和技术性问题,而是一个跨领域、跨行业、跨部门的综合性安全问题。据统计,某省会城市各大机关、企事业单位中,有10%的单位出现过信息系统不稳定运行情况;有30%的单位出现过来自网络、非法入侵等方面的攻击;出现过信息安全问题的单位比例高达86%!缺少信息安全建设专项资金,信息安全专业人才缺乏,应急响应体系和信息安全测评机构尚未组建,存在着“重建设、轻管理,重应用、轻安全”的现象,已成为亟待解决的问题。
各部门对信息系统风险评估的重视程度与其信息化水平呈现正比,即信息化水平越高,对风险评估越重视。然而,由于地区差异和行业发展不平衡,各部门重视风险评估的一个重要原因是“安全事件驱动”,即“不出事不重视”,真正做到“未雨绸缪”的少之又少。目前我国信息安全体系还未健全和完善,真正意义上的信息系统风险评估尚待成熟。有的部门对信息系统风险评估还停留在传达一下文件、出具一个报告、安排一场测试,由于评估单位在评估资质、评估标准、评估方法等方面还不够规范和统一,甚至出现对同一个信息系统,不同评估单位得出不同评估结论的案例。
四、信息系统风险评估解决措施
1、确诊风险,对症下药
信息系统风险是客观存在的,也是可以被感知和认识从而进行科学管理的。信息系统面临的风险是什么、有多大,应该采取什么样的措施去减少、化解和规避风险?就像人的躯体有健康和疾病,设备状况有正常和故障,粮食质量有营养和变质,如何确认信息系统的状态和发现信息系统存在的风险和面临的威胁,就需要进行风险评估。
2、夯实安全根基,巩固信息大厦
信息系统建设之初就存在安全问题,好比高楼大厦建在流沙之上,地基不固,楼建的越高倒塌的风险就越大。风险评估是信息系统这座高楼大厦的安全根基,它可以帮助信息系统管理者了解潜在威胁,合理利用现有资源开展规划建设,让信息系统安全“赢在起跑线上”。风险评估还可以为信息系统建设者节省信息系统建设总体投资,达到“以最小成本获得最大安全保障”的效果。
3、寻求适度安全和建设成本的最佳平衡点
安全是相对的,成本是有限的。在市场经济高度发达的今天,信息系统建设要达到预期经济效益和社会效益,就不能脱离实际地追求“零风险”和绝对安全。风险评估为管理者算了一笔经济账,让我们认清信息系统面临的威胁和风险,在此基础上决定哪些风险必须规避,哪些风险可以容忍,以便在潜在风险损失与建设管理成本之间寻求一个最佳平衡点,力求达到预期效益的最大化。
4、既要借鉴先进经验,又要重视预警防范
没有网络安全就没有国家安全,没有信息化就没有现代化。建设网络强国,要有自己的技术,有过硬的技术。风险评估是信息化发达国家的重要经验。目前我们的信息化在某些关键技术、关键设备上还受制于人。“他山之石”可为我所用,亦须知其锋芒与瑕疵,加强预警防范与借鉴先进技术同样重要。
五、结束语
综上所述,本文主要对信息安全风险评估进行了分析和探究,在今天高速的信息化环境中,信息的安全性越发显示出其重要性,风险评估可以明确信息系统的安全状况和主要安全风险基础,通过风险评估及早发现安全隐患并采取相应的加固方案。所以要加强信息安全风险评估工作。
参考文献:
篇(9)
中图分类号:TP393.08 文献标识码:A 文章编号:1007—9599 (2012) 14—0000—02
一、引言
随着信息技术的飞速发展,关系国计民生的关键信息资源的规模越来越大,信息系统的复杂程度越来越高,保障信息资源、信息系统的安全是国民经济发展和信息化建设的需要。信息安全的目标主要体现在机密性、完整性、可用性等方面。风险评估是安全建设的出发点,它的重要意义在于改变传统的以技术驱动为导向的安全体系结构设计及详细安全方案的制定,以成本一效益平衡的原则,通过评估信息系统面临的威胁以及脆弱性被威胁源利用后安全事件发生的可能性,并结合资产的重要程度来识别信息系统的安全风险。信息安全风险评估就是从风险管理角度,运用科学的分析方法和手段,系统地分析信息化业务和信息系统所面临的人为和自然的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,以防范和化解风险,或者将残余风险控制在可接受的水平,从而最大限度地保障网络与信息安全。
二、网络信息安全的内容和主要因素分析
“网络信息的安全”从狭义的字面上来讲就是网络上各种信息的安全,而从广义的角度考虑,还包括整个网络系统的硬件、软件、数据以及数据处理、存储、传输等使用过程的安全。
网络信息安全具有如下5个特征:1.保密性。即信息不泄露给非授权的个人或实体。2.完整性。即信息未经授权不能被修改、破坏。3.可用性。即能保证合法的用户正常访问相关的信息。4.可控性。即信息的内容及传播过程能够被有效地合法控制。5.可审查性。即信息的使用过程都有相关的记录可供事后查询核对。网络信息安全的研究内容非常广泛,根据不同的分类方法可以有多种不同的分类。研究内容的广泛性决定了实现网络信息安全问题的复杂性。
而通过有效的网络信息安全风险因素分析,就能够为此复杂问题的解决找到一个考虑问题的立足点,能够将复杂的问题量化,同时,也为能通过其他方法如人工智能网络方法解决问题提供依据和基础。
网络信息安全的风险因素主要有以下6大类:1.自然界因素,如地震、火灾、风灾、水灾、雷电等;2.社会因素,主要是人类社会的各种活动,如暴力、战争、盗窃等;3.网络硬件的因素,如机房包括交换机、路由器、服务器等受电力、温度、湿度、灰尘、电磁干扰等影响;4.软件的因素,包括机房设备的管理软件、机房服务器与用户计算机的操作系统、各种服务器的数据库配置的合理性以及其他各种应用软件如杀毒软件、防火墙、工具软件等;5.人为的因素,主要包括网络信息使用者和参与者的各种行为带来的影响因素,如操作失误、数据泄露、恶意代码、拒绝服务、骗取口令、木马攻击等;6.其他因素,包括政府职能部门的监管因素、有关部门对相关法律法规立法因素、教育部门对相关知识的培训因素、宣传部门对相关安全内容的宣传因素等。这些因素对于网络信息安全均会产生直接或者间接的影响。
三、安全风险评估方法
(一)定制个性化的评估方法
虽然已经有许多标准评估方法和流程,但在实践过程中,不应只是这些方法的套用和拷贝,而是以他们作为参考,根据企业的特点及安全风险评估的能力,进行“基因”重组,定制个性化的评估方法,使得评估服务具有可裁剪性和灵活性。评估种类一般有整体评估、IT安全评估、渗透测试、边界评估、网络结构评估、脆弱性扫描、策略评估、应用风险评估等。
(二)安全整体框架的设计
风险评估的目的,不仅在于明确风险,更重要的是为管理风险提供基础和依据。作为评估直接输出,用于进行风险管理的安全整体框架。但是由于不同企业环境差异、需求差异,加上在操作层面可参考的模板很少,使得整体框架应用较少。但是,企业至少应该完成近期1~2年内框架,这样才能做到有律可依。
(三)多用户决策评估
不同层面的用户能看到不同的问题,要全面了解风险,必须进行多用户沟通评估。将评估过程作为多用户“决策”过程,对于了解风险、理解风险、管理风险、落实行动,具有极大的意义。事实证明,多用户参与的效果非常明显。多用户“决策”评估,也需要一个具体的流程和方法。
(四)敏感性分析
由于企业的系统越发复杂且互相关联,使得风险越来越隐蔽。要提高评估效果,必须进行深入关联分析,比如对一个老漏洞,不是简单地分析它的影响和解决措施,而是要推断出可能相关的其他技术和管理漏洞,找出病“根”,开出有效的“处方”。这需要强大的评估经验知识库支撑,同时要求评估者具有敏锐的分析能力。
(五)集中化决策管理
安全风险评估需要具有多种知识和能力的人参与,对这些能力和知识的管理,有助于提高评估的效果。集中化决策管理,是评估项目成功的保障条件之一,它不仅是项目管理问题,而且是知识、能力等“基因”的组合运用。必须选用具有特殊技能的人,去执行相应的关键任务。如控制台审计和渗透性测试,由不具备攻防经验和知识的人执行,就达不到任何效果。
(六)评估结果管理
安全风险评估的输出,不应是文档的堆砌,而是一套能够进行记录、管理的系统。它可能不是一个完整的风险管理系统,但至少是一个非常重要的可管理的风险表述系统。企业需要这样的评估管理系统,使用它来指导评估过程,管理评估结果,以便在管理层面提高评估效果。
四、风险评估的过程
(一)前期准备阶段
主要任务是明确评估目标,确定评估所涉及的业务范围,签署相关合同及协议,接收被评估对象已存在的相关资料。展开对被评估对象的调查研究工作。
(二)中期现场阶段
编写测评方案,准备现场测试表、管理问卷,展开现场阶段的测试和调查研究阶段。
(三)后期评估阶段
撰写系统测试报告。进行补充调查研究,评估组依据系统测试报告和补充调研结果形成最终的系统风险评估报告。
五、风险评估的错误理解
1.不能把最终的系统风险评估报告认为是结果唯一。
2.不能认为风险评估可以发现所有的安全问题。
3.不能认为风险评估可以一劳永逸的解决安全问题。
4.不能认为风险评估就是漏洞扫描。
5.不能认为风险评估就是 IT部门的工作,与其它部门无关。
6.不能认为风险评估是对所有信息资产都进行评估。
六、结语
总之,风险评估可以明确信息系统的安全状况和主要安全风险。风险评估是信息系统安全技术体系与管理体系建设的基础。通过风险评估及早发现安全隐患并采取相应的加固方案是信息系统安全工程的重要组成部分,是建立信息系统安全体系的基础和前提。加强信息安全风险评估工作是当前信息安全工作的客观需要和紧迫需求,但是,信息安全评估工作的实施也存在一定的难题,涉及信息安全评估的行业或系统各不相同,并不是所有的评估方法都适用于任何一个行业,要选择合适的评估方法,或开发适合于某一特定行业或系统的特定评估方法,是当前很现实的问题,也会成为下一步研究的重点。
参考文献:
[1]刚,吴昌伦.信息安全风险评估的策划[J].信息技术与标准化,2004,09
[2]贾颖禾.信息安全风险评估[J].中国计算机用户,2004,24
篇(10)
Information Security Hierarchy Protection and Risk Assessment
Dai Lian-fen
(China Petroleum & Chemical Corporation Guangzhou Branch GuangdongGuangzhou 510725)
【 Abstract 】 This paper on how to combine the hierarchy protection of information security risk assessment a beneficial exploration, to effectively support the information systems hierarchy protection construction provides the reference.
【 Keywords 】 information security;hierarchy protection;risk assessment
1 风险评估是等级保护建设工作的基础
等级保护测评中的差距分析是按照等保的所有要求进行符合性检查,检查信息系统现状与国家等保要求之间的符合程度。风险评估作为信息安全工作的一种重要技术手段,其目标是深入、详细地检查信息系统的安全风险状况,比差距分析结果在技术上更加深入。为此,等级保护与风险评估之间存在互为依托、互为补充的关系,等级保护是国家一项信息安全政策,而风险评估则是贯彻这项制度的方法和手段,在实施信息安全等级保护周期和层次中发挥着重要作用。
风险评估贯穿等级保护工作的整个流程,只是在不同阶段评估的内容和结果不一样。《信息系统安全等级保护实施指南》将等级保护基本流程分为三个阶段:定级,规划与设计,实施、等级评估与改进。在第一阶段中,风险评估的对象内容是资产评估,并在此基础上进行定级。在第二阶段中,主要是对信息系统可能面临的威胁和潜在的脆弱性进行评估,根据评估结果,综合平衡安全风险和成本,以及各系统特定安全需求,选择和调整安全措施,确定出关键业务系统、子系统和各类保护对象的安全措施。在第三个阶段中,则涉及评估系统是否满足相应的安全等级保护要求、评估系统的安全状况等,同时根据结果进行相应的改进。
等级保护所要完成的工作本质就是根据信息系统的特点和风险状况,对信息系统安全需求进行分级, 实施不同级别的保护措施。实施等级保护的一个重要前提就是了解系统的风险状况和安全等级, 所以风险评估是等级保护的重要基础与依据。
2 等级保护建设过程中如何有效地结合风险评估
2.1 以风险评估中资产安全属性的重要度来划分信息系统等级
在公安部等四部局联合下发了《信息安全等级保护的实施意见》公通字2004第66号文中,根据信息和信息系统的重要程度,将信息和信息系统划分为了五个等级自主保护级、指导保护级、监督保护级、强制保护级和专控保护级。实际上对信息系统的定级过程,也就是对信息资产的识别及赋值的过程。在国家的《信息系统安全等级保护定级指南》中,提出了对信息系统的定级依据,而这些依据基本的思想是根据信息资产的机密性、完整性和可用性重要程度来确定信息系统的安全等级,这正是风险评估中对信息资产进行识别并赋值的过程:对信息资产的机密性进行识别并赋值;对信息资产的完整性进行识别并赋值;对信息资产的可用性进行识别并赋值。从某种意义上来说,信息系统(不是信息)的安全等级划分,实际上也是对残余风险的接受和认可。
2.2 以风险评估中威胁程度来确定安全等级的要求
在等级保护中,对系统定级完成后,应按照信息系统的相应等级提出安全要求,安全要求实际上体现在信息系统在对抗威胁的能力与系统在被破坏后,恢复的速度与恢复的程度方面。而这些在风险评估中,则是对威胁的识别与赋值活动;脆弱性识别与赋值活动;安全措施的识别与确认活动。对于一个安全事件来说,是威胁利用了脆弱性所导致的,在没有威胁的情况下,信息系统的脆弱性不会自己导致安全事件的发生。所以对威胁的分析与识别是等级保护安全要求的基本前提,不同安全等级的信息系统应该能够对抗不同强度和时间长度的安全威胁。
2.3 以风险评估的结果作为等级保护建设的安全设计的依据
在确定信息系统的安全等级和进行风险评估后,应该根据安全等级的要求和风险评估的结果进行安全方案设计,而在安全方案设计中,首要的依据是风险评估的结果,特别是对威胁的识别,在一些不存在的威胁的情况下,对相应的脆弱性应该不予考虑,只作为残余风险来监控。对于两个等级相同的信息系统,由于所承载业务的不同,其信息的安全属性也可能不同,对于需要机密性保护的信息系统,和对于一个需要完整性保护的信息系统,保护的策略必须是不同,虽然它们可能有相同的安全等级,但是保护的方法则不应该是一样的。所以,安全设计首先应该以风险评估的结果作为依据,而将设计的结果与安全等级保护的要求相比较,对于需要保护的必须符合安全等级要求,而对于不需要保护的则可以暂不考虑安全等级的要求,而对于一些必须高于安全等级要求的,则必须依据风险评估的结果,进行相应高标准的设计。
3 结束语
风险评估为等级保护工作的开展提供基础数据,是等级保护定级、建设的实际出发点,通过安全风险评估,可以发现信息系统可能存在的安全风险,判断信息系统的安全状况与安全等级保护要求之间的差距,从而不断完善等级保护措施。文章对等级保护工作中如何结合信息安全风险评估进行了有益的探索,为有效地支撑计算机信息系统等级保护建设的顺利进行提供了参考。
参考文献
[1] 吴贤.信息安全等级保护和风险评估的关系研究.信息网络安全,2007.
篇(11)
【中图分类号】C931.6 【文献标识码】A 【文章编号】1672-5158(2012)09-0025-01
一、信息安全风险评估的评估实施流程
信息安全风险评估包括:资产评估、威胁评估、脆弱性评估、现有安全措施评估、风险计算和分析、风险决策和安全建议,在风险评估之后就是要进行安全整改。
网省公司信息系统风险评估的主要内容包括:资产评估、威胁评估、脆弱性评估和现有安全措施评估,一般采用全面风险评估的方法,以安全顾问访谈、管理问卷调查、安全文档分析等方式,并结合了漏洞扫描、人工安全检查等手段,对评估范围内的网络、主机以及相应的部门的安全状况进行了全面的评估,经过充分的分析后,得到了信息系统的安全现状。
二、信息安全风险评估实施方法
2.1 资产评估
网省公司资产识别主要针对提供特定业务服务能力的应用系统展开,通常一个应用系统都可划分为数据存储、业务处理、业务服务提供和客户端四个功能部分,这四个部分在信息系统的实例中都显现为独立的资产实体,例如:典型的协同办公系统可分为客户端、Web服务器、Domino服务器、DB2数据库服务器四部分资产实体。综合考虑资产的使命、资产本身的价值、资产对于应用系统的重要程度、业务系统对于资产的依赖程度、部署位置及其影响范围等因素评估信息资产价值。资产赋值是资产评估由定性化判断到定量化赋值的关键环节。
2.2 威胁评估
威胁评估是通过技术手段、统计数据和经验判断来确定信息系统面临的威胁的过程。在实施过程中,根据各单位业务系统的具体系统情况,结合系统以往发生的信息安全事件及对网络、系统管理员关于威胁发生可能性和发展趋势的调查,下面按照威胁的主体分别对这些威胁及其可能发生的各种情形进行简单描述:
2.3 脆弱性评估
脆弱性评估内容包括管理、运维和技术三方面的内容,具体实施可参照公司相应的技术或管理标准以及评估发起方的要求,根据评估选择的策略和评估目的的不同进行调整。下表是一套脆弱性识别对象的参考:
管理脆弱性:安全方针、信息安全组织机构、人员安全管理、信息安全制度文件管理、信息化建设中的安全管理、信息安全等级保护工作、信息安全评估管理、信息安全的宣传与培训、信息安全监督与考核工作、符合性管理。
运维脆弱性:信息系统运行管理、资产分类管理、配置与变更管理、业务连续性管理、物理环境安全、设备与介质安全。
技术脆弱性:网络系统、主机安全、通用系统安全、业务系统安全、现有安全措施。
管理、运维、技术三方面脆弱性是相互关联的,管理脆弱性可能会导致运维脆弱性和技术脆弱性的产生,运维脆弱性也可能导致技术脆弱性的产生。技术的脆弱性识别主要采用工具扫描和人工审计的方式进行,运维和管理的脆弱性主要通过访谈和调查问卷来发现。此外,对以往的安全事件的统计和分析也是确定脆弱性的主要方法。
三、现有安全措施评估
通过现有安全措施指评估安全措施的部署、使用和管理情况,确定这些措施所保护的资产范围,以及对系统面临风险的消除程度。
3.1 安全技术措施评估
通过对各单位安全设备、防病毒系统的部署、使用和管理情况,对特征库的更新方式、以及最近更新时间,设备自身资源使用率(CPU、MEM、DISK)、自身工作状况、以及曾经出现过的异常现象、告警策略、日志保存情况、系统中管理员的个数、管理员所使用的口令的强度、弱口令情况等信息进行脆弱性分析,并确定级别。
3.2 安全管理措施评估
访谈被评估单位是否成立了信息安全领导小组,并以文件的形式明确了信息安全领导小组成员和相关职责,是否结合实际提出符合自身发展的信息化建设策略,其中包括是否制定了信息安全工作的总体方针和安全策略,建立健全了各类安全管理制度,对日常管理操作建立了规范的操作规程;定期组织全员学习国家有关信息安全政策、法规等。
3.3 物理与环境安全
查看被访谈单位信息机房是否有完善的物理环境保障措施,是否有健全的漏水监测系统,灭火系统是否安全可用,有无温湿度监测及越限报警功能,是否配备精密空调严格调节控制机房内温度及湿度,保障机房设备的良好运行环境。
3.4 应急响应与恢复管理
为正确、有效和快速处理网络信息系统突发事件,最大限度地减少网络信息系统突发事件对单位生产、经营、管理造成的损失和对社会的不良影响,需查看被评估单位是否具备完善网络信息系统应急保证体系和应急响应机制,应对网络信息系统突发事件的组织指挥能力和应急处置能力,是否及时修订本单位的网络信息系统突发事件应急预案,并进行严格的评审、。
3.5 安全整改
被评估单位根据信息安全风险评估结果,对本单位存在的安全风险进行整改消除,从安全技术及安全管理两方面,落实信息安全风险控制及管理,确保信息系统安全稳定运行。
四、结语
公司近两年推行了“双网双机、分区分域、等级保护、分层防御”的安全防护策略和一系列安全措施,各单位结合风险评估实践情况,以技术促安全、以管理保安全,确保公司信息系统稳定运行,为公司发展提供有力信息支撑。
