前言:一篇好文章的诞生,需要你不断地搜集资料、整理思路,本站小编为你收集了丰富的信息安全风险评估主题范文,仅供参考,欢迎阅读并收藏。
从企业内部业务出发,优化信息安全风险评估基本模型,设计了一个企业信息安全风险自评估实施模型,并深入分析了该模型的内容,使其适用于企业依托自身力量来有效开展自评估活动,从而提高企业信息安全风险防护能力。
关键词:
信息安全;自评估;风险评估;模型设计
企业信息安全风险评估主要有2种模式,即他评估和自评估。相比较而言,自评估展现出越来越多的优点,比如外部依赖性小、投入费用低、评估周期短、次生风险低和可以提高内部安全意识等。除此之外,信息安全风险的动态化决定信息安全评估工作应是长期持续的,大部分的内部信息安全风险评估内容企业可采用自评估方式来完成。但信息安全风险评估的专业性、技术性、标准性比较高,企业难以掌握复杂的评估技术和方法。本文以企业业务为出发点,对信息安全风险评估基本模型进行优化,设计了一个更适用于企业依托自身力量来有效开展自评估的实施模型,以提高企业信息安全风险防护能力。
1信息安全风险评估基本模型
对风险评估模型的研究一直是信息安全风险评估领域的研究热点之一。风险评估基本模型是一种基于资产、威胁和脆弱性的信息安全风险评估模型。其中,资产的评估主要是对资产进行相对估价,估价准则依赖于对其影响范围的分析;威胁评估是对资产所受威胁发生可能性和威胁严重程度的评估;脆弱性评估是对资产脆弱程度的评估,也是对资产被威胁、利用成功的可能性的评估。信息安全风险评估基本模型的评估过程就是对资产信息、威胁信息和脆弱性信息进行综合分析评估并且生成风险信息的过程,包含确定评估范围、资产识别阶段、安全威胁/脆弱性评估、风险分析和风险管理等阶段。基于信息安全风险评估基本模型,很多学者从不同角度和目的做了优化和完善。但是,信息安全风险评估模型的研究还处于探索和完善阶段,已有的研究存在一些缺陷,主要表现为以下3点:①缺乏对评估内容的逐层细化,难以评价和量化各要素,可操作性比较差;②缺乏对风险评估基本要素属性的综合思考,难以体现评估要素与企业业务的关系;③大部分模型比较复杂,评估方法和流程操作起来费时费力,企业难以采用。
2基于基本模型的企业信息安全自评估模型
针对信息安全风险评估模型的不足,本文综合考虑企业自身的业务和内部约束条件,在基本模型和相关研究成果的基础上,提出更加简单、有效的企业信息安全风险自评估模型。本文认为,企业信息安全风险自评估模型应遵循自主、简单、规范性、可行性和可扩展性的原则,基本思路是从企业业务出发,多角度研究自评估模型中资产、威胁、脆弱性的关系和指标,应用相关统计分析方法统计,运用层次分析法(AHP)评价、量化相关要素和风险,最终构建一个科学、合理、可操作的企业自评估模型。在此过程中,需要解决3方面的问题:①明确评估的对象、内容和流程;②构建评价方法,统一评估和度量风险基本要素;③统一不同层面、角度的评估结果。
2.1基于AHP的信息安全风险要素度量方法
AHP(AnalyticHierarchyProcess,层次分析法)是一种定性分析与定量分析相结合的多目标决策分析方法,其基本步骤是:①分析问题,建立递阶结构(评价模型);②构造比较判断矩阵;③层次单排序;④一致性检验;⑤层次总排序与一致性检验;⑥选择最优的解决方案。资产、威胁、脆弱性作为信息安全风险自评估模型的3个基本要素,需要分别识别和分析,并提炼出各自的评价指标。本文结合已有的理论和实践成果,从自主性、简单性、可行性和科学性原则出发,基于相关标准、企业环境和企业业务影响分析,提出信息资产的评价因素应包含经济、名誉、法律法规、业务运营、社会秩序、商业利益和个人利益,等等,威胁可能性评价指标应包含威胁攻击力、威胁动机、资产诱因和威胁频率等,脆弱性严重程度赋值的评价因素应包含可用性、机密性和完整性。根据资产受到损害时对其评价因素带来的损失为资产价值赋值(比如从1~4取值),数值越大,表明资产价值越高。得到各评价因素的综合分值后,分值最大的为该资产的价值,即资产价值为A=max(i)。根据威胁评价指标和脆弱性评价因素,利用AHP方法建立威胁、脆弱性评价体系,体系由目标层、准则层和指标层(方案层)构成。为了方便对不同威胁发生可能性概率、不同脆弱性的严重程度进行类比、度量,使用统一的度量标准,采用相对等级的方式处理评价结果(比如从1~4取值),数值越大,威胁发生的可能性越高,带来的损害越大。通过AHP用数量形式表达和处理个人主观判断结果,采用专家和团队评分进一步比较各要素的重要性,并做一致性检验,最终确定各要素的值。
2.2企业信息安全自评估风险计算
在对资产价值、威胁、脆弱性分析和量化后,还要确定各要素之间的组合方式和具体的计算方法。《信息安全风险评估规范》(2007)对风险值的计算提出了如下函数:风险值=R(A,T,V)=R(L(T,V),F(Ia,Va)).(1)式(1)中:R为安全风险计算函数;A为资产;T为威胁;V为脆弱性;L为威胁利用资产的脆弱性导致安全事件的可能性;F为安全事件发生后造成的损失;Ia为安全事件所作用的资产价值;Va为脆弱性严重程度。信息安全风险值的计算方法主要有矩阵法、相乘法和预先价值矩阵查表法等,并且可以将多种方法结合使用。因为相乘法操作简单,所以,在风险分析中的应用比较广泛。该方法是一种定量的计算方法,主要思路是利用2个相关要素值的乘积计算出结果要素的值。按照简单性、科学性原则,对于企业自评估,本文认为,相乘法比较适合企业使用,但不限于该方法。根据相乘法,企业信息安全风险值的计算过程是:①计算威胁利用资产的脆弱性导致安全事件的可能性,即L=L(T,V)=T×V;②计算安全事件发生后造成的损失,即F=F(Ia,Va)=Ia×Va;③计算风险值,即R=R(L,F)=L×F.
2.3企业信息安全自评估模型和流程设计
企业信息安全风险自评估的基本目的是依据企业自身业务,识别出信息系统中存在的主要安全风险,并排列优先级,为风险信息计算提供数据支撑,进而为提出风险应对措施提供建议。基于上述方法,本文提出了企业信息安全风险自评估模型,如图1所示。企业信息安全风险自评估模型的实施分为范围确定、资产识别与量化、威胁分析、脆弱性分析、风险分析与计算、风险应对建议6个阶段,每个阶段的具体任务如图2所示。本文提出的自评估模型综合了企业自评估的约束条件、风险评估的基本原理、关键环节与流程、基本要素度量等,具有以下5个特点:①模型提供了统一的资产、威胁、脆弱性3个基本要素的度量和评价方法,依据模型中的评价指标可以进行量化和排序。②模型将企业业务与风险评估结合起来,体现了IT服务企业、服务业务的理念,在一定程度上反映出了信息安全风险评估对业务的影响程度和对企业的价值。③模型满足信息安全的动态性要求,适应企业业务不断发展和调整的需要。当业务调整时,企业仅需分析业务信息流,识别出相关资产、威胁和脆弱性等。④模型满足信息安全的持续性要求,企业可建立相关制度,将自评估设立为日常性工作。当业务无法调整时,自评估活动仅需识别和分析新的脆弱性和威胁信息,从而节省大量资源。⑤模型具有较强的适应性,适用于不同类型的企业,企业可根据实际情况裁减和优化,根据各自的偏好选择风险计算方法。
3结束语
关键词:信息安全;风险评估;教学
信息安全风险评估是进行信息安全管理的重要依据,通过对信息系统进行系统的风险分析和评估,发现存在的安全问题并提出相应的措施,这对于保护和管理信息系统至关重要。目前国内外都高度重视信息安全风险评估工作。美国政府2002年颁布《联邦信息安全管理法》,对信息安全风险评估提出了具体的要求;欧盟国家也把开展信息安全风险评估作为提高信息安全保障水平的重要手段;2003年7月23日,国家信息中心组建成立“信息安全风险评估课题组”,提出了我国开展信息安全风险评估的对策和办法。2004年,国务院信息办研究制订了《信息安全风险评估指南》和《信息安全风险管理指南》两个风险评估的标准;2006年又起草了《关于开展信息安全风险评估工作的意见》[1]。这些工作都对信息安全人才的培养提出了更高的要求,同时也为《信息安全风险评估》课程的开设和讲授提供了必要的基础和条件。《信息安全风险评估》课程教学,是信息安全专业一门重要的专业课程,能全面培养学生综合运用专业知识,评估并解决信息系统安全问题的能力,是培养符合国家和社会需要的信息安全专业人才的重要课程之一。《信息安全风险评估》课程本身的理论性与实践性都很强,课程发展十分迅速,涉及的学科范围也较广,传统的教学的模式不能使该课程的特点很好地展示出来,无法适应社会经济发展对信息安全从业人员的新要求,教学改革势在必行。
一、现状与存在的问题
信息安全风险评估是从风险管理角度,运用科学的方法和手段,系统地分析信息系统所面临的安全威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。它涉及信息系统的社会行为、管理行为、物理行为、逻辑行为等的保密性、完整性和可用性检测。风险评估的结果可以作为信息安全风险管理的指南,用来确定合适的管理方针和选择相应的控制措施来保护信息资产,全面提高信息安全保障能力[2]。自2001年信息安全专业建立以来,高校在制订本科专业教学培养目标和教学计划时,侧重于具体安全理论和技术的教学和讲授,特别是重点强调了密码学、防火墙、入侵检测、网络安全等安全理论与技术的传授。从目前高校的教学内容看,多数侧重于对“信息风险管理”、“风险识别”、“风险评估”和“风险控制”等基本内容的介绍上,而且教学课时数也较少,只有十个学时。当前从《信息安全风险评估》课程的教学情况来看,该课程在信息安全教育教学过程中地位有待提高,实践教学的建设与研究迫切需要深化。
当前该课程的教学实践中普遍存在以下几个方面的问题,严重制约了《信息安全风险评估》课程教学质量的提高:
1.本科教学大都以理论内容为主体,实验和课程设计的学时安排较少。一般高校的《信息安全风险评估》课程主要以理论内容的讲授为主,实验和课程设计的学时较少,实验内容也大多属于验证性质,缺少具有研究和探索性质的信息安全风险评估实践内容和课程设计;
2.教学方法单一,缺乏激励学生求知欲的教学方法和手段。当前开设《信息安全风险评估》课程的高校还较少,师资力量相对薄弱,教学经验也比较缺乏,仍以主要由教师讲述的传统教学方式为主,学生进行具体实践和操作的课时较少,缺乏创新性的教学和研究,基本没有具有探索性和创新性特点的教学内容,不利于发挥学生主观能动性,提高其创新能力;
3.实验环境无法满足教学需求,缺乏专业的信息安全风险评估师资。我国信息安全风险评估的研究和教学工作起步晚,缺乏相关的实验设备;而且受到资金和专业发展等多方面因素的制约,难以设立专门的信息安全风险评估实验室。此外,信息安全风险评估是以计算机技术为核心,涉及管理科学、安全技术、通信和信息工程等多个学科,对于理论和实践要求都很高。这就要求教师既要学习好各学科的基本知识,又要加强实践训练。
二、教学改革与探索
高校计算机相关专业开设《信息安全风险评估》课程,不是培养网络信息安全方面的全才或战略人才,而是培养在实际生活和工作中确实能解决某些具体安全问题的实用型人才。针对《信息安全风险评估》课程的特点和教学中存在的不足,我们从以下几个方面对该课程的教学改革进行了探索:
1.重新确立课程培养目标。①重点培养学生分析和评估信息安全问题的能力:《信息安全风险评估》课程是一门理论性和实践性紧密结合的课程,目前开设该课程的高校较少,各学校的教学内容也多种多样。该课程的教学目标即要培养学生发现信息系统存在的安全风险,同时也需要培养他们科学地提出解决安全隐患的方案及能力。如何提高学生分析和评估信息安全问题的能力是该课程教学的首要目标。②培养学生实际操作的能力:信息安全风险评估的关键是对信息系统的资产进行分类,对其风险的识别、估计和评价做出全面的、综合的分析。这就要求学生熟练地掌握目标对象的检测和评估方法,包括使用各种自动化和半自动化的工具,可在模拟实验里,通过不断地训练实现。③培养学生继续学习、勇于探索创新的能力:随着信息化的不断发展,信息系统所面临的安全威胁急剧增加,为此各国政府都不断提出和完善了各类信息安全测评标准。这就要求我们在教学中不断地学习、理解和解释最新的国际、国内以及相关的行业标准,培养和提高学生继续学习的能力。另外,《信息安全风险评估》课程也要求通过课堂教学、课后练习、实验验证和考试、考查等教学环节培养学生独力分析信息系统安全的能力,培养学生对信息安全风险评估领域进行探索和研究的兴趣,最终使学生掌握信息安全风险评估的知识和技能,能够解决具体信息系统的安全问题。
2.增加信息安全风险评估理论和相关标准的教学。信息安全测评标准和相关法律法规是进行信息系统安全风险评估的依据和保障。2006年由原国信办《关于开展信息安全风险评估工作的意见》(国信办2006年5号文);同时,随着信息安全等级保护制度的推行,公安部会同有关部门出台了一系列政策文件,主要包括:《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》等;国家信息安全标准化委员会颁发了《信息安全风险评估规范》(GB/T 20984~2007)、《信息系统安全等级保护基本要求》(GB/T 22239-2008)等多个国家标准[3]。为了保证《信息安全风险评估》课程目标的实现,我们在教学过程中,增加了《GB/T20984-2007信息安全技术信息安全风险评估规范》、《GB/Z24364-2009信息安全风险管理指南》、《GB/T
22080-2008信息安全管理体系要求》、《GB/T22081-
2008信息安全管理实用规则》、《GB/T20269-2006信息系统安全管理要求》、《GB/T25063-2010?摇信息安全技术服务器安全测评要求》、《GB/T 20010-2005信息安全技术包过滤防火墙评估准则》、《GB/T20011-2005信息安全技术路由器安全评估准则》、《GA/T 672-2006信息安全技术终端计算机系统安全等级评估准则》、《GA/T 712-2007信息安全技术应用软件系统安全等级保护通用测试指南》等相关评估标准和指南的学习,并编制相关的调查、检查、测试表,重点强调对脆弱性检测的理论依据的描述,检测方法及其步骤的详细记录。
3.利用各种测评工具,提高学生实践能力。在信息安全风险评估过程中,资产赋值、威胁量化分析、安全模型的建立等环节的教学和实践对教师和学生都提出了较高的专业课程要求。我们在《信息安全风险评估》课程实践中通过使用风险评估工具,并对具体的信息系统进行自动化或半自动化的分析,加深了学生信息安全风险评估的理论知识理解,同时注重培养学生动手实践能力和探索新知识的能力。我们增加了主动型风险评估工具Tenable扫描门户网站系统的实践性教学内容。通过评估,该系统的服务器存在感染病毒的症状,其原因是服务器存在特定漏洞。为此我们使用漏洞扫描器对该服务器进行扫描,发现了“远程代码被执行”漏洞,而且该漏洞能被蠕虫病毒利用,形成针对系统的攻击。通过案例特征提供了的信息,培养学生使用测评工具对具体信息系统进行安全风险评估的能力,并进一步使其认识到主动型评估工具是信息安全风险评估中快速了解目标系统安全状况不可或缺的重要手段。
笔者结合自己的教学实践体会,论述了当前《信息安全风险评估》课程中存在的问题以及解决对策。《信息安全风险评估》课程教学改革和建设是一个长期的、系统化的工程,需要不断地根据信息系统在新环境下面临的各种威胁,制定新的评估标准和评估方案,并使得学生在有限的时间和环境下掌握相应的知识和技能,以满足社会对信息安全人才的需求。
参考文献:
[1]付沙.加强信息安全风险评估工作的研究[J].微型电脑应用,2010,26(8):6-8.
[2]杨春晖,张昊,王勇.信息安全风险评估及辅助工具应用[J].信息安全与通信保密,2007,(12):75-77.
[3]潘平,杨平,罗东梅,何朝霞.信息系统安全风险检查评估实践教学探讨[C]// Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security(NTS-CIS 2011),2011,(8).
风险评估是一项周期性工作,是进行风险管理。由于风险评估的结果将直接影响到信息系统防护措施的选择,从而在一定程度上决定了风险管理的成效。风险评估可以概括为:①风险评估是一个技术与管理的过程。②风险评估是根据威胁、脆弱性判断系统风险的过程。③风险评估贯穿于系统建设生命周期的各阶段。
2.信息安全风险评估方法
(1)安全风险评估。为确定这种可能性,需分析系统的威胁以及由此表现出的脆弱性。影响是按照系统在单位任务实施中的重要程度来确定的。风险评估以现实系统安全为目的,按照科学的程序和方法,对系统中的危险要素进行充分的定性、定量分析,并作出综合评价,以便针对存在的问题,根据当前科学技术和经济条件,提出有效的安全措施,消除危险或将危险降到最低程度。即:风险评估是对系统存在的固有和潜在危险及风险性进行定性和定量分析,得出系统发送危险的可能性和程度评价,以寻求最低的事故率、最少的损失和最优的安全投资效益。(2)风险评估的主要内容。①技术层面。评估和分析网络和主机上存在的安全技术风险,包括物理环境、网络设备、主机系统、操作系统、数据库、应用系统等软、硬件设备。②管理层面。从本单位的工作性质、人员组成、组织结构、管理制度、网络系统运行保障措施及其他运行管理规范等角度,分析业务运作和管理方面存在的安全缺陷。(3)风险评估方法。①技术评估和整体评估。技术评估是指对组织的技术基础结构和程序系统、及时地检查,包括对组织内部计算环境的安全性及对内外攻击脆弱性的完整性攻击。整体风险评估扩展了上述技术评估的范围,着眼于分析组织内部与安全相关的风险,包括内部和外部的风险源、技术基础和组织结构以及基于电子的和基于人的风险。②定性评估和定量评估。定性分析方法是使用最广泛的风险分析方法。根据组织本身历史事件的统计记录等方法确定资产的价值权重,威胁发生的可能性以及如将其赋值为“极低、低、中、高、极高”。③基于知识的评估和基于模型的评估。基于知识的风险评估方法主要依靠经验进行。经验从安全专家处获取并凭此来解决相似场景的风险评估问题。该方法的优越性在于能直接提供推荐的保护措施、结构框架和实施计划。(4)信息安全风险的计算。①计算安全事件发生的可能性。根据威胁出现频率及弱点的状况,计算威胁利用脆弱性导致安全事件发生的可能性。具体评估中,应综合攻击者技术能力、脆弱性被利用的难易程度、资产吸引力等因素判断安全事件发生的可能性。②计算安全事件发生后的损失。根据资产价值及脆弱性的严重程度,计算安全事件一旦发生后的损失。部分安全事件损失的发生不仅针对该资产本身,还可能影响业务的连续性;不同安全事件的发生对组织造成的影响也不一样。③计算风险值。根据计算出的安全事件发生的可能性以及安全事件的损失计算风险值。
3.风险评估模型选择
参考多个国际风险评估标准,建立了由安全风险管理流程模型、安全风险关系模型和安全风险计算模型共同组成的安全风险模型(见图1)。(1)安全风险管理过程模型。①风险评估过程。信息安全评估包括技术评估和管理评估。②安全风险报告。提交安全风险报告,获知安全风险状况是安全评估的主要目标。③风险评估管理系统。根据单位安全风险分析与风险评估的结果,建立本单位的风险管理系统,将风险评估结果入库保存,为安全管理和问题追踪提供数据基础。④安全需求分析。根据本单位安全风险评估报告,确定有效安全需求。⑤安全建议。依据风险评估结果,提出相关建议,协助构建本单位安全体系结构,结合组织本地、远程网络架构,为制定完整动态的安全解决方案提供参考。⑥风险控制。根据安全风险报告,结合单位特点,针对面对的安全风险,分析将面对的安全影响,提供相应的风险控制建议。⑦监控审核。风险管理过程中每一个步骤都需要进行监控和审核程序,保证整个评估过程规范、安全、可信。⑧沟通、咨询与文档管理。整个风险管理过程的沟通、咨询是保证风险评估项目成功实施的关键因素。(2)安全风险关系模型。安全风险关系模型以风险为中心,形象地描述了面临的风险、弱点、威胁及其相应的资产价值、防护需求、保护措施等动态循环的复杂关系。(3)安全风险计算模型。安全风险计算模型中详细、具体地提供了风险计算的方法,通过威胁级别、威胁发生的概率及风险评估矩阵得出安全风险。
4.结语
1 信息安全风险评估基本理论
1.1 信息安全风险
信息安全风险具有客观性、多样性、损失性、可变性、不确定性和可测性等多个特点。客观性是因为信息安全风险在信息系统中普遍存在;多样性是指信息系统安全涉及多个方面;损失性是指任何一种信息安全风险,都会对信息系统造成或大或小的损失;可变性是指信息安全风险在系统生命周期的各个阶段动态变化;不确定性是一个安全事件可以有多种风险;可测试性是预测和计算信息安全风险的方法。
1.2 信息安全风险评估
信息安全风险评估,采用科学的方法和技术和脆弱性分析信息系统面临的威胁,利用系统,评估安全事件可能会造成的影响,提出了防御威胁和保护策略,从而防止和解决信息安全风险,或控制在可接受范围内的风险,最大限度地保护系统的信息安全。通过评价过程对信息系统的脆弱性进行评价,面临威胁和漏洞威胁利用的负面影响,并根据信息安全事件的可能性和严重程度,确定信息系统的安全风险。
2 信息安全风险评估原理
2.1 风险评估要素及其关系
一般说来,信息安全风险评估要素有五个,除以上介绍的安全风险外,还有资产、威胁、脆弱性、安全措施等。信息安全风评估工作都是围绕这些基本评估要素展开的。
2.1.1 资产
资产是在系统中有价值的信息或资源,是安全措施的对象。资产价值是资产的财产,也是资产识别的主要内容。它是资产的重要程度或敏感性。
2.1.2 威胁
威胁是导致不期望事件发生的潜在起因,这些不期望事件可能危害系统。
2.1.3 脆弱性
脆弱性是资产存在的弱点,利用这些弱点威胁资产的使用。
2.1.4 安全措施
安全措施是系统实施的各种保护机制,这种机制能有效地保护资产、减少脆弱性、抵御威胁、减少安全事件的发生或降低影响。风险评估围绕上述基本要素。各要素之间存在着这样的关系:
(1)资产是风险评估的对象,资产价值是由资产价值计量的,资产价值越高,证券需求越高,风险越小。
(2)漏洞可能会暴露资产的价值,使其被破坏,资产的脆弱性越大,风险越大;
(3)威胁引发风险事件的发生,威胁越多风险越大;
(4)威胁利用脆弱性来危害资产;
(5)安全措施可以防御威胁,减小安全风险,从而保护资产。
2.2 风险分析模型及算法
在信息安全风险评估标准中,风险分析涉及资产的三个基本要素,威胁和脆弱性。每个元素都有它自己的属性,并由它的属性决定。资产的属性是资产的价值,而财产的威胁可以是主体、客体、频率、动机等。财产的脆弱性是资产脆弱性的严重性。在风险分析模型中,资产的价值、威胁的可能性、脆弱性的严重程度、安全事件的可能性和安全事件造成的损失,两者是整合的,它是风险的价值。
风险分析的主要内容为:
(1)识别资产并分配资产;
(2)确定威胁,并分配潜在的威胁;
(3)确定漏洞,并分配资产的脆弱性的严重程度;
(4)判断安全事件的可能性。根据漏洞的威胁和使用的漏洞来计算安全事件的可能性。
安全事件发生可能性=L(威胁可能性,脆弱性)=L(T,V)
(5)计算安全事件损失。根据脆弱性严重程度和资产价值计算安全事件的损失。
安全事件造成的损失=F(资产价值,脆弱性严重程度)=F(Ia,Va);
(6)确定风险值。根据安全事件发生可能性和安全事件造成的损失,计算安全事件发生对组织的影响。
风险值=R(A,T,V)=R(F(Ia,Va),L(T,V))
其中,A是资产;T是威胁可能性;V是脆弱性;Ia是资产价值;Va是脆弱性的严重程度;L是威胁利用脆弱性发生安全事件的可能性;F是安全事件造成的损失,R是风险计算函数。
3 信息风险分析方法探析
作为保障信息安全的重要措施,信息安全系统是信息安全的重要组成部分,而信息安全风险评估的算法分析方法,风险评估作为风险分析的重要手段,早已被提出并做了大量的研究工作和一些算法已成为正式信息安全标准的一部分。从定性定量的角度可以将风险分析方法分为三类,也就是定性方法、定量方法和定性定量相结合。
3.1 定性的风险分析方法
定性的方法是凭借分析师的经验和知识的国际和国内的标准或做法,风险管理因素的大小或程度的定性分类,以确定风险概率和风险的后果。定性的方法的优点是,信息系统是不容易得到的具体数据的相对值计算,没有太多的计算负担。它有一定的缺陷,是很主观的,要求分析有一定的经验和能力。比较著名的定性分析方法有历史比较法、因素分析方法、逻辑分析法、Delphi法等,这些方法的成败与执行者的经验有很大的关系。
3.2 定量的风险分析方法
定量方法是用数字来描述风险,通过数学和统计的援助,对一些指标进行处理和处理,来量化安全风险的结果。定量方法的优点是评价结果直观,使用数据表示,使分析结果更加客观、科学、严谨、更有说服力。缺点是,计算过程复杂,数据详细,可靠的数据难以获得。正式且严格的评估方法的数据一般是估计而来的,风险分析达到完全的量化也不太可能。与著名的定时模型定量分析方法、聚类分析法、因子分析法、回归模型、决策树等方法相比较,这些方法都是具有数学或统计工具的风险模型。
3.3 定性定量相结合的风险分析方法
是因为有优点和缺点的定量和定量的方法,只使用定性的方法,太主观,但只有使用定量方法,数据是难以获得的,所以目前常用的是定性和定量的风险分析方法相结合。这样,既能克服定性方法主观性太强的缺点,又能解决数据不好获取的困难。典型的定性定量相结合的风险评估工具有@Risk、CORA等。
关键词:信息安全、风险评估、重要问题
中图分类号:TP309 文献标识码:A 文章编号:1007-9599 (2012) 17-0000-02
在现阶段,由于快速发展的信息技术,致使那些极大影响着国计民生的关键信息资源,从其规模来看,具有越来越大的变化趋势,至于其信息系统的结构,具有越来越高的复杂程度;在当前要促使我国国民经济的持续发展以及能够顺利进行信息化建设,其中的一个关键因素就是要让这些信息资源以及信息系统的安全性得到有力保障。而有关可用性、机密性以及完整性等等内容正是信息安全目标的具体表现。在当前进行安全建设一个出发点就是要进行信息安全风险评估,进行风险评估具有很多重要意义,其中把传统的以技术驱动为导向的安全体系结构设计进行有力改变,这是它的一个重要意义;有关,信息安全风险评估,其对信息系统安全风险的识别,主要是结合资产的重要程度来进行,在遵循成本—效益这一原则的基础上,当信息系统面临着以下这两种情况时,对它进行全面评估:第一种情况,当信息系统面临着威胁;第二种情况,当信息系统因本身脆弱性而被威胁源所利用、导致本身可能出现安全问题、由此可见,所谓信息安全风险评估,就是基于安全管理这个角度考虑,采用合理的手段和分析方法,对有关信息系统以及信息化业务,当其面临来自自然或者人为威胁时所产生的脆弱性进行比较系统地分析,并对可能造成安全事件的危害程度进行相应的评估,在此基础上,并能够把那些具有防御效果的对策以及整改措施有针对性地提出来,以让网络和信息安全能够得到最大的保障。
1 有关信息安全风险评估中的几个重要问题的认识
1.1 对有关网络信息安全的主要内容以及主要因素这个重要问题的认识
(1)有关网络信息安全的主要内容。所谓网络信息安全,顾名思义就是指当前网络中各种各样网络信息的安全,这是从狭义这个层面来考虑的;如果从广义这个层面来看,除了前面所提到的各种信息安全外,还包括整个网络系统的安全,诸如各种软硬件、存储以及传输、数据以及数据处理等等使用过程。总的看来,网络信息安全具有以下五大方面上的典型特征,如下表所示:
五大典型特征 具体含义
①具有保密性特征 也就是不准把有关网络信息泄漏给非授权的实体或者个人
②具有完整性特征 也就是对于未经授权的信息,一律不准对其进行修改或者加以破坏
③具有可用性特征 对于那些合法的用户,能够正常访问相关的信息
④具有可控性特征 能够有效并且合法控制相关的信息内容及其传播过程
⑤具有可审查性特征 为使能事后查询核对,在信息使用过程中要而且必须有进行相关的记录
表一:网络信息安全的典型特征
(2)有关网络信息安全的风险因素。为了能够对这个网络信息安全问题所具有的复杂性进行有效解决并且能够顺利地找到一个解决或者考虑这类问题的出发点,就必须从研究有关网络信息安全的那些风险因素入手,为了更好地认识和研究有关这些网络信息安全风险因素,在现阶段,可以把它们分为几大类型,如下表所示:
主要类型 具体内容
①来自自然方面的因素 例如火灾、水灾、地震、雷电、台风、寒潮、海啸等等
②来自网络硬件方面的因素 例如机房的(路由器、交换机以及服务器)等,因受外界因素(温度、湿度、灰尘、电磁干扰)等所产生的影响
③来自软件方面的因素 主要包括①机房设备(机房服务器和管理软件等),②用户计算机操作系统,③各种服务器数据库配置的合理性与否,④杀毒软件、防火墙等等其他应用软件
④来自人为方面的因素 具体包括那些对网络信息进行使用和管理的种种行为所带来的种种影响,诸如恶意代码、木马攻击、操作失误、数据泄露、骗取口令、拒绝服务等等
表二:网络信息安全风险因素的主要类型
1.2 对有关安全风险评估方法这个重要问题的认识
(1)有关定制个性化这种评估方法。在当前有关比较标准的评估方法极其流程虽然已经有了很多种,但是在具体的实际应用当中,单纯的套用或者拷贝这些方法是不可取的,比较正确的做法应该是把它们作为一个参考,结合企业的具体情况以及企业相关安全风险评估方面的能力,对这些标准的评估方法进行重新组合,以产生出具有个性化特点的评估方法,从而促使相关进行的评估服务能够具有灵活性以及可裁剪性的特点。具体的评估种类比较多,诸如网络结构评估、IT安全评估、渗透测试以及整体评估等等。
(2)有关安全整体框架的设计。进行风险评估,其目的不仅仅要懂得风险,更为重要的是要进行风险管理并为之提供所需要的依据。管理风险,其安全整体框架在于评估的直接输出;但是对于具体的企业来说,由于它们所处的环境不一样,各自的需求也都不相同,此外,从他们工作层面这个角度考虑,其可供参考的模版都不是很多,这就到来了不是很多的整体框架应用。但是,把最近一、两年内的框架完成好,这是企业至少也要做到的,这样才有可能做到有据可依。
(3)有关多用户决策的评估。由于不同的问题可以被不同层面的用户所看到,因而要对风险进行全面了解,有关多用户沟通评估这项工作就要经常进行。把多用户的相关决策过程取自于其评估过程,将大大有利对风险进行全面的了解和深入的理解,并且能够把对风险的管理真正落实到行动上。很多实践表明,让多用户共同参与,具有非常显著的效果。因此,进行多用户相关的决策评估,具有一个具体的方法以及流程也显得极其重要。
1.3 对有关风险评估过程这个重要问题的认识
(1)准备阶段—前期。在这一阶段,主要的工作有,首先要明确所评估的目标;其次是对于所涉及的评估范围要进行确定,并且要把相关的协议以及合同签署好;最后要把已经存在的那些被评估对象的相关材料进行接收,并就此对评估对象展开其研究调查工作。
(2)现场阶段—中期。在这一阶段,相关测评方案要进行编写,并且要把相应的管理问卷以及现场测试表准备好,在这个基础上,再把调查研究阶段以及现场阶段的测试有条不紊地进行开展。
(3)评估阶段—后期。在最后这一阶段,要把测试报告进行系统编写,相关调查研究要进行相应的补充和完善,在把这两项重要工作完成后,评估者要据此得出最终的风险评估报告。
2 结束语
总而言之,建设信息系统管理体系和安全体系的基础就是信息安全风险评估;进行风险评估,不仅可以让信息系统的安全状况得到进一步的明确,也可以让信息系统的主要安全风险得到进一步的明确;因此,在当前进行信息安全风险评估,对于及早发现信息系统的安全隐患并且采取相应的防御方案以保证信息系统安全具有极其重要的意义。
参考文献:
[1]刚.信息安全风险评估的策划[J].信息技术与标准化,2008,9.
关键词:信息系统;安全风险;研究进展
一、国外研究进展
国外对动态风险评估研究主要包括动态风险评估的体系架构、工具和关键技术等。在动态风险评估的体系架构方面,1999年Tim Bass首次提出了网络安全态势感知概念,随即又提出了基于多传感器数据融合的入侵检测框架,并把该框架用于下一代入侵检测系统和网络安全态势感知系统,采用该框架实现入侵行为检测、入侵率计算、入侵者身份和入侵者行为识别、态势评估以及威胁评估等功能。StephenG. Batsell,JasonShifflet等人也提出了类似的模型。美国国防部提出了JDL(Joint Director of Laboratories)模型的网络态势感知总体框架结构,此模型主要包括多源异构数据采集、数据预处理、事件关联和目标识别、态势评估、威胁评估、响应与预警、态势可视化显示以及过程优化控制与管理等功能模块。动态风险评估由于评估频次高,因此应充分使用自动化工具代替人工劳动,力争做到对实时风险的监控和计算,同时抓住最重要风险来分析。在动态风险评估的工具方面,可依托的工具包括评估威胁的入侵检测系统、异常流量分析系统、日志分析系统等,评估脆弱性的网络扫描器、应用扫描工具等。
在动态风险评估的技术方面,动态风险评估领域涉及到数据采集、数据融合、态势可视化等多项技术,网络动态风险评估的难点主要集中在对态势的正确理解和合理预测上。关于动态风险评估相关技术研究很多,例如在数据采集技术方面,按照数据源分为基于系统配置信息(服务设置系统中存在的漏洞等)和基于系统运行信息(IDS日志中显示的系统所受攻击状况等)两大类数据采集;在数据融合技术方面,Tim Bass首次提出将JDL模型直接运用到网络态势感知领域,这为以后数据融合技术在网络态势感知领域的应用奠定了基础,Christos Siaterlis等人运用数据融合技术设计出检测DDoS攻击的模型;在态势可视化技术方面,H.Koike和K.Ohno专门为分析Snort日志以及Syslog数据开发了SnortView系统,可以实现每2min对视图的一次更新,并可以显示4h以内的报警数据。
二、国内研究进展
我国对网络和信息安全保障工作高度重视,了中办发[2003]27号《国家信息化领导小组关于加强信息安全保障工作的意见》、中办发[2006]11号《2006—2020年国家信息化发展战略》等文件部署安全风险评估等安全工作,但是由于我国关于安全风险评估研究起步的较晚,目前国内整体处于起步和借鉴阶段,大多数研究主要面向信息系统,针对电信网络的特点进行风险评估的研究和应用较少。
在安全风险评估模型、方法和工具方面,我国虽然已经有一些相关的文章和专著,但是也还局限在对已有国际模型、方法和工具的分析和模仿上,缺乏科学、有效、得到广泛认可的方法和工具,尤其针对电信网的业务和网络特点的可操作性强、得到普遍认可的风险评估方法和工具较少。
国内对安全动态风险评估的研究还属于起步阶段,相关研究主要包括动态风险评估的体系架构、相关关键技术等。在体系架构方面,西安交通大学研究并实现了基于IDS和防火墙的集成化网络安全监控平台,提出了基于统计分析的层次化(从上到下分为系统、主机、服务和攻击/漏洞4个层次)安全态势量化评估模型,采用了自下而上、先局部后整体的评估策略及相应计算方法,此方面也是在动态风险评估领域普遍采用的方法。北京理工大学信息安全与对抗技术研究中心研制了一套基于局域网络的网络安全态势评估系统,由网络安全风险状态评估和网络威胁发展趋势预测两部分组成,用于评估网络设备及结构的脆弱性、安全威胁水平等。在关键技术方面,安全领域专家冯毅从我军信息与网络安全的角度出发,阐述了我军积极开展网络安全态势感知研究的必要性和重要性,指出了多源传感器数据融合和数据挖掘两项关键技术。国防科技大学的胡华平等人提出了面向大规模网络的入侵检测与预警系统的基本框架及其关键技术与难点问题。另外,国内也有一些科研机构尝试把数据融合技术应用到网络安全领域,提出了应用数据融合技术的网络安全分析评估系统、入侵检测系统等。
但是总体来说,国内在动态风险评估研究方面取得的成果有限,仍没有成熟的、实用的技术或工具,更缺乏针对电信网进行动态风险评估的相关研究,现有研究成果还存在动态评估的实时性不强、采集的数据不够丰富有效、对风险态势的预测研究不够等诸多问题。
参考文献:
[1] 彭凌西;陈月峰;刘才铭;曾金全;刘孙俊;赵辉;;基于危险理论的网络风险评估模型[J];电子科技大学学报;2007年06期
[2] 李波;;入侵检测技术面临的挑战与未来发展趋势[J];电子科技;2007年07期
[3] 丁丽萍;论计算机取证的原则和步骤[J];中国人民公安大学学报(自然科学版);2005年01期
[4] 赵冬梅;张玉清;马建峰;;网络安全的综合风险评估[J];计算机科学;2004年07期
【关键词】电力企业;信息安全;风险防御
和谐社会的发展是政治、经济、文化、社会和生态多方面合力的结果,科技的进步使得电力企业意识到亟需尽快的对电力系统进行革新,从计划经济到市场经济体制的改革中,电力企业为了适应这样的变化,加强了对管理体制的合理改变和生产效率的大步提高,拉开了电力系统改革的序幕。安全的信息网络系统的构建是电力企业发展改革过程中至关重要的一个环节,有效的将电力企业的信息安全系统与其管理和考核进行有机结合,更好的服务于电力企业的生产、经营和管理,电力企业安全信息系统风险评估与防御也就成为了电力企业在经济全球化进程中亟待重视的问题所在。
1 电力企业安全信息系统风险评估
1.1 企业规模发展迅速,信息网络安全意识淡薄
电力资源是我们社会生活中必不可少的一部分,电力企业在相对垄断的情况下,发展极其迅速,但在这样的过程中,我们可以看到,大多数电力企业仅仅对基础设施和简单的网络构建有着重视力度,却没有对安全信息系统的风险认识足够,这种情况下必然产生了诸如网络安全防御意识差,对网络信息安全防范的资金投入不足等不良情况的出现。企业规模越来越大,对企业安全信息系统的维护资金投入却并不高,网络安全技术没能及时加强,电力企业也就不能很好的抵御网络风险,对网络入侵也显得无所适从。
1.2 信息化安全资金投入少,管理机制有待完善
电力企业对安全信息网络的建设的重视并不充分,有些电力企业在管理过程中对信息管理部门完全忽视,只是将企业的网络信息安全的管理安排给几个技术员或挂靠到生产技术部门,电力企业作为高盈利企业却对信息安全资金投入并不充分,信息化管理制度也很不健全。电力企业安全信息机制的构建是个长期的系统工程,我们必须注意到构建专门的信息化部门的重要性,才能在激烈的市场竞争中使得电力企业更好的满足其发展体制对信息化管理的需求。
2 电力企业安全信息系统的主要问题
2.1 信息安全化管理未分区
国家电力管理委员会出台的5号规定,对电网企业、发电企业、供电企业等电力相关企业做出了有关其信息安全网络业务系统构建的明确规定,将这些企业的计算机和网络技术系统大致分为了管理信息的部分以及生产控制的区域。信息管理区域可以依托各个企业不同的经营管理模式对安全区进行划分,而生产控制区域一般来说应该由可控制区和非可控区两大部分构成。在这样两个大的区域之间,电力企业必须在国家电力监测认定部门的监督下安装电力生产专用的单向横向安全的隔离装置。如若不能很好的遵从这样一个标准对电力企业网络系统进行管理,就经常会出现企业管理信息大区部分网络直接可以对生产控制区域的数据进行访问,出现网络安全事件,影响电力企业的安全生产和发展。
2.2 网络端口接点存在风险
互联网技术的革新的步伐越来越快,企业的网络系统安全建设却并不牢靠,在部分环节仍然十分脆弱,在电力企业的信息安全网络建设中, Web程序漏洞、系统漏洞不断出现,对病毒的侵入无力抵抗,为黑客、病毒制造者提供了入侵的机会,这些信息安全威胁的发生可能会引起电力企业网络安全系统的瘫痪和网络故障,为企业造成了这些安全威胁使得企业利益造成了巨大的损失。在最近的一项调查数据中显示,电力企业中遭受到的网络安全信息系统威胁中约有70%是由于网络系统内部的危险侵袭。这种危害的可能发现于诸多方面:对于敏感数据的滥用,对于内部员工的信息监管不力使得信息泄露都提升了企业的运行风险。
2.3 互联网病毒的侵害
从口语传播时代到印刷传播时代,直至现在的网络传播时代,互联网的高速发展使得网络病毒也迅速得以传播和扩散。诸多的电力企业网络内外相连,覆盖范围相当广泛,网络病毒经常可以有机可乘,牵一发而动全身,从一台电脑的病毒侵害到整个电力网络系统,造成网络通信的阻塞,使得整个系统中的文件和关键数据得不到完整的保存,造成不可预计的后果。
2.4 信息安全人员防范意识较低
电力企业信息防范人员对信息安全应用系统的管理是保障信息网络安全系统的重要一部分。数据库操作系统的规划和防范都离不开信息安全人员的有力防范,但在如今的电力企业信息安全系统的管理过程中,相关人员防范意识低下的情况屡屡发生,由此引发的网络安全漏洞泄露了电力企业机密信息,造成了很大的安全隐患,使企业遭受安全冲击。用户的网络安全防范意识低下是现如今网络安全的通病,大多数的用户都认为网络自身有着一定的自我安全防范意识,对电脑提示的病毒预警视而不见,电力企业中也没有很好的避免这一点,部分工作人员重技术轻管理,网络安全信息管理机制的不完善,也给企业的网络带来了十分大的管理风险,这就迫切的要求应该对网络的安全机制进行完善,也应该主动自高工作人员自身的安全防范意识。
3 电力企业安全信息系统风险防御
3.1 防火墙技术的运用
防火墙技术是现今社会经常用于互联网风险防御的重要手段之一,多用于将可信任网络和非信任网络之间相隔开来。电力企业的生产经营和管理的过程中的运行调度中都应该加强在安全检查中对网络节点的关注,限制对含带危险信息的领域的访问。电力企业在生产经营、分散控制和运行调度的过程中对防火墙技术的运用有效的将信息的采集、整合和应用都限制在可掌控的范围内,在不同的权限内最大限度的合理的运用着相关资源。
3.2 网络病毒侵袭的防护
电力企业关系着国家重要电力资源的开发和应用,为了保护电力资源的安全,必须要从内到外的构建起全方位的网络病毒防侵害系统,更好的对来自于各个方面的病毒信息进行防护。只有提高了企业的整体安全性,在互联网和周边的局域网内都安装好防病毒侵袭的安全网关和内置的病毒防护软件,才能使得电力企业免受网络病毒的侵袭,各个方面的数据得以安全与稳定的保存。
在电力企业的网络准入控制系统中,对接入点客户的安全策略检测和身份认证都是必不可少的,若不能通过检测的用户应该被严令禁止在网络之外进行隔离。无论是无线用户还是有限用户,都将面对互联网访问客户端从验证、授权到阻止未授权的计算机网络资源的过程,只有在一系列的检测中得到审核通过才可以拿到进入内部网络的通行证,网络病毒越来越厉害,愈发侵入性越强,对此,电力企业对客户端主机应该进行更加严密的考察,不间断的对病毒特征信息库进行更新,维护好网络的完整和安全性。
3.3 虚拟网的数据备份技术
互联网技术的网络拓扑结构设置,加之很好的利用交换机、路由器等功能设置,可以使网络管理员将任何一个相关局域网内的一些网段结合起来,组成一个局域网。在这个局域网里的信息传递速度更加迅速,传播速度的加快使得网络信息安全生产过程中的管理效率得到提高,使得电力企业的数据被窃听的可能性不断的降低。与此同时,现在电力企业在大多数情况下都会对重要的资料进行数据库的备份工作,这样构建起对电力企业信息网络安全系统的应急预案,可以在出现网络侵袭时及时的对关键业务和应用程序进行保护,确保核心数据系统在出现损害时,企业核心安全得到保护。
3.4 终端设备的网络准入控制技术
可采用基于网关认证的硬件控制技术,实现对通过无线网络、有线网络、VPN网络、wifi网络等方式连接的设备进行接入控制。同时,采用“报备重定向+注册重定向”的双重认证保护技术,对非法接入的终端设备进行强制重定向安全检查。对不符合安全等级要求的终端设备,可根据系统策略限制用户接入网络或将其访问限制在隔离区。
网络准入控制技术应以细致、准确、迅速为原则,对网络资源访问进行控制,尤其是一些核心的网络应用,包括C/S、B/S以及服务器应用;以精益化的客户端联动管理为核心,基于多种授权方式,包括单用户授权、用户组授权、白名单授权等方式,实现对未受控客户端实施不同用户级别的可靠便捷的接入控制。
4 结论
电力企业的安全信息系统是电力企业信息化管理的重要内容之一,有效的对电力企业安全信息系统将要面临的风险进行评估并且提出切实可行的防御措施,是保障电力企业现代化管理的有力手段。随着近些年来互联网技术的增强,电力企业的安全系统构建也愈发的完善,为电力企业的良性循环运行提供了必要的技术支持和保障,因此,我们应该重视对互联网信息的保护,防御病毒的侵害,为为电力企业的安全信息系统的正常运行营造起安全的网络环境。
参考文献:
[1]陈伟.电力系统网络安全体系研究[J].电力系统通信,2008(01).
[2]牟奕欣.关于电力系统的网络安全的探讨[J].中国经贸,2010(14).
【 关键词 】 内蒙古电力公司信息系统;信息安全;风险评估;探索与思考
The Exploration and Inspiration of Risk Assessment on Information Systems
in Inner Mongolia Power (Group) Co., Ltd.
Ao Wei 1 Zhuang Su-shuai 2
(1.Information Communication Branch of the Inner Mongolia Power (Group)Co., Ltd Inner MongoliaHohhot 010020;
2.Beijing Certificate Authority Co., Ltd Beijing 100080)
【 Abstract 】 Based on the conduct of information security risk assessment in Inner Mongolia Power (Group) Co. Ltd., we analyzed the general methods of risk assessment on power information systems. Besides, we studied the techniques and overall process of risk assessment on power information systems in Inner Mongolia Power (Group) Co. Ltd., whose exploration provides valuable inspiration to information security in electric power industry.
【 Keywords 】 information systems of Inner Mongolia Power (Group) Co., Ltd.; information security; risk assessment; exploration and inspiration
1 引言
目前,电力行业信息安全的研究只停留于网络安全防御框架与防御技术的应用层面,缺少安全评估方法与模型研究。文献[1]-[3]只初步分析了信息安全防护体系的构架与策略,文献[4]、[5]研究了由防火墙、VPN、PKI和防病毒等多种技术构建的层次式信息安全防护体系。这些成果都局限于单纯的信息安全保障技术的改进与应用。少数文献对电力信息安全评估模型进行了讨论,但对于安全风险评估模型的研究都不够深入。文献[6]、文献[7]只定性指出了安全风险分析需要考虑的内容;文献[8]讨论了一种基于模糊数学的电力信息安全评估模型,这种模型本质上依赖于专家的经验,带有主观性;文献[9]只提出了一种电力信息系统安全设计的建模语言和定量化评估方法,但是并未对安全风险的评估模型进行具体分析。
本文介绍了内蒙古电力信息系统风险评估的相关工作,并探讨了内蒙古电力信息系统风险评估工作在推动行业信息安全保护方面带给我们的启示。
2 内蒙古电力信息安全风险评估工作
随着电网规模的日益扩大,内蒙古电力信息系统日益复杂,电网运行对信息系统的依赖性不断增加,对电力系统信息安全的要求也越来越高。因此,在电力行业开展信息安全风险评估工作,研究电力信息安全问题,显得尤为必要。
根据国家关于信息安全的相关标准与政策,并根据实际业务情况,内蒙古电力公司委托北京数字认证股份有限公司(BJCA)对信息系统进行了有效的信息安全风险评估工作。评估的内容主要包括系统面临的安全威胁与系统脆弱性两个方面,以解决电力信息系统面临的的安全风险。
3 电力系统信息安全风险评估的解决方案
通过对内蒙古电力信息系统的风险评估工作,我们可以总结出电力信息系统风险评估的解决方案。
4 电力信息系统风险评估的流程
电力信息系统风险评估的一般流程。
(1) 前期准备阶段。本阶段为风险评估实施之前的必需准备工作,包括对风险评估进行规划、确定评估团队组成、明确风险评估范围、准备调查资料等。
(2) 现场调查阶段:实施人员对评估信息系统进行详细调查,收集数据信息,包括信息系统资产组成、系统资产脆弱点、组织管理脆弱点、威胁因素等。
(3) 风险分析阶段:根据现场调查阶段获得的相关数据,选择适当的分析方法对目标信息系统的风险状况进行综合分析。
(4) 策略制定阶段:根据风险分析结果,结合目标信息系统的安全需求制定相应的安全策略,包括安全管理策略、安全运行策略和安全体系规划。
5 数据采集
在风险评估实践中经常使用的数据采集方式主要有三类。
(1) 调查表格。根据一定的采集目的而专门设计的表格,根据调查内容、调查对象、调查方式、工作计划的安排而设计。常用的调查表有资产调查表、安全威胁调查表、安全需求调查表、安全策略调查表等。
(2) 技术分析工具。常用的是一些系统脆弱性分析工具。通过技术分析工具可以直接了解信息系统目前存在的安全隐患的脆弱性,并确认已有安全技术措施是否发挥作用。
(3) 信息系统资料。风险评估还需要通过查阅、分析、整理信息系统相关资料来收集相关资料。如:系统规划资料、建设资料、运行记录、事故处理记录、升级记录、管理制度等。
a) 分析方法
风险评估的关键在于根据所收集的资料,采取一定的分析方法,得出信息系统安全风险的结论,因此,分析方法的正确选择是风险评估的核心。
结合内蒙电力信息系统风险评估工作的实践,我们认为电力行业信息安全风险分析的方法可以分为三类。
定量分析方法是指运用数量指标来对风险进行评估,在风险评估与成本效益分析期间收集的各个组成部分计算客观风险值,典型的定量分析方法有因子分析法、聚类分析法、时序模型、回归模型、等风险图法等。
定性分析方法主要依据评估者的知识、经验、历史教训、政策走向及特殊案例等非量化资料对系统风险状况做出判断的过程。在实践中,可以通过调查表和合作讨论会的形式进行风险分析,分析活动会涉及来自信息系统运行和使用相关的各个部门的人员。
综合分析方法中的安全风险管理的定性方法和定量方法都具有各自的优点与缺点。在某些情况下会要求采用定量方法,而在其他情况下定性的评估方法更能满足组织需求。
表1概括介绍了定量和定性方法的优点与缺点。
b) 质量保证
鉴于风险评估项目具有一定的复杂性和主观性,只有进行完善的质量控制和严格的流程管理,才能保证风险评估项目的最终质量。风险评估项目的质量保障主要体现在实施流程的透明性以及对整体项目的可控性,质量保障活动需要在评估项目实施中提供足够的可见性,确保项目实施按照规定的标准流程进行。在内蒙古电力风险评估的实践中,设立质量监督员(或聘请独立的项目监理担任)是一个有效的方法。质量监督员依照相应各阶段的实施标准,通过记录审核、流程监理、组织评审、异常报告等方式对项目的进度、质量进行控制。
6 内蒙古电力信息安全风险评估的启示
为了更好地开展风险评估工作,可以采取以下安全措施及管理办法。
6.1 建立定期风险评估制度
信息安全风险管理是发达国家信息安全保障工作的通行做法。按照风险管理制度,适时开展风险评估工作,或建立风险评估的长效机制,将风险评估工作与信息系统的生命周期和安全建设联系起来,让风险评估成为信息安全保障工作运行机制的基石。
6.2 编制电力信息系统风险评估实施细则
由于所有的信息安全风险评估标准给出的都是指导性文件,并没有给出具体实施过程、风险要素识别方法、风险分析方法、风险计算方法、风险定级方法等,因此建议在国标《信息安全风险评估指南》的框架下,编制适合电力公司业务特色的实施细则,根据选用的或自定义的风险计算方法,,制各种模板,以在电力信息系统实现评估过程和方法的统一。
6.3 加强风险评估基础设施建设,统一选配风险评估工具
风险评估工具是保障风险评估结果可信度的重要因素。应根据选用的评估标准和评估方法,选择配套的专业风险评估工具,向分支机构配发或推荐。如漏洞扫描、渗透测试等评估辅助工具,及向评估人员提供帮助的资产分类库、威胁参考库、脆弱性参考库、可能性定义库、算法库等评估辅助专家系统。
6.4 统一组织实施核心业务系统的评估
由于评估过程本身的风险性,对于重要的实时性强、社会影响大的核心业务系统的评估,由电力公司统一制定评估方案、组织实施、指导加固整改工作。
6.5 以自评估为主,自评估和检查评估相结合
自评估和检查评估各有优缺点,要发挥各自优势,配合实施,使评估的过程、方法和风险控制措施更科学合理。自评估时,通过对实施过程、风险要素识别、风险分析、风险计算方法、评估结果、风险控制措施等重要环节的科学性、合理性进行分析,得出风险判断。
6.6 风险评估与信息系统等级保护应结合起来
信息系统等级保护若与风险评估结合起来,则可相互促进,相互依托。等级保护的级别是依据系统的重要程度和安全三性来定义,而风险评估中的风险等级则是综合考虑了信息的重要性、安全三性、现有安全控制措施的有效性及运行现状后的综合结果。通过风险评估为信息系统确定安全等级提供依据。确定安全等级后,根据风险评估的结果作为实施等级保护、安全等级建设的出发点和参考,检验网络与信息系统的防护水平是否符合等级保护的要求。
参考文献
[1] 魏晓菁, 柳英楠, 来风刚. 国家电力信息网信息安全防护体系框架与策略. 计算机安全,2004,6.
[2] 魏晓菁,柳英楠,来风刚. 国家电力信息网信息安全防护体系框架与策略研究. 电力信息化,2004,2(1).
[3] 沈亮. 构建电力信息网安全防护框架. 电力信息化,2004,2(7).
[4] 梁运华,李明,谈顺涛. 电力企业信息网网络安全层次式防护体系探究. 电力信息化,2003,2(1).
[5] 周亮,刘开培,李俊娥. 一种安全的电力系统计算机网络构建方案. 电网技术,2004,28(23).
[6] 陈其,陈铁,姚林等. 电力系统信息安全风险评估策略研究. 计算机安全,2007,6.
[7] 阮文峰. 电力企业网络系统的安全风险分析和评估. 计算机安全,2003(4).
[8] 丛林,李志民,潘明惠等. 基于模糊综合评判法的电力系统信息安全评估. 电力系统自动化,2004,28(12).
[9] 胡炎,谢小荣,辛耀中. 电力信息系统建模和定量安全评估. 电力系统自动化,2005,29(10).
作者简介:
关键词:信息安全管理;ISO/IEC 27001;PDCA;资产识别;风险评估
中图分类号:TP393 文献标识码:A 文章编号:1009-2374(2011)30-0034-02
一、项目背景
电力工业是国民经济的支柱产业,电力工业的安全问题直接关系到各行各业的发展和人民的生活水平,关系到国家安全和社会稳定。当前流行的信息技术的广泛应用大大改变了电力企业传统的经营管理模式和手段,支撑着电力生产、营销和管理的全过程。如何有效保障信息安全,从而保证整个电力企业的生产安全,成为电力行业目前积极探索的新课题。
在这个大环境下,玉溪供电局作为云南电网的改革试点单位,大力进行改革创新,引入国际信息安全管理标准ISO/IEC 27001,建立了完整的信息安全管理体系,有效的保证了信息安全,取得了很好的收效。
二、ISO/IEC 27001简介
ISO/IEC 27001是有关信息安全管理的国际标准。最初源于英国标准BS7799,经过十年的不断改版,终于在2005年被国际标准化组织(ISO)转化为正式的国际标准,于2005年10月15日为ISO/IEC 27001:2005。该标准可用于组织的信息安全管理体系的建立和实施,保障组织的信息安全。标准的要求主要包括11个安全控制域、39个安全控制目标和133项安全控制措施。标准采用PDCA过程方法,基于风险评估的风险管理理念,全面系统地持续改进组织的安全管理。其正式名称为:《ISO/IEC 27001:2005 信息技术―安全技术―信息安全管理体系―要求》。
三、项目实施方法论
玉溪供电局在整个信息安全体系建设过程中,根据安全风险是相对的和动态的基本概念,遵循P(Plan 计划)-D(Do 实施)-C(Check 检查)-A(Act 持续改进)的方法论,见下图:
四、项目实施中若干重要环节
标准中只是提出了一些原则性的建议和要求,但是如何按照这些要求建立一套符合局实际情况,能够顺利推行和实施的信息安全管理体系是非常具有挑战性的。局项目组成员与上海天帷公司的同事一起积极探索,紧密结合局信息安全建设的现状和要求,认为资产识别、风险评估、文件编制、运行实施、审核等是整个过程的重要环节。
(一)资产识别
资产识别是信息安全管理工作的重要步骤和基础,信息安全就是要保证信息和资产的安全。所谓资产识别就是要识别ISMS管理范围内的信息资产以及这些资产的所有者,形成资产清单。玉溪供电局在资产识别中把资产分为5类:文档和数据、软件和系统、硬件和设施、人力资源、其他等。
(二)风险评估
风险评估是信息安全工作的一个重要步骤,通过风险评估,找到组织在信息安全方面的差距,才能有针对性的制定相应的策略和改进措施。
通过风险评估,形成《风险评估表》、《风险评估报告》、《风险处置计划》等。为了保证风险评估结果的客观性和可操作性,建立了一个定量的风险评估方法论。
风险值=威胁发生可能性×影响程度等级×现有控制措施有效性赋值。通过制定风险等级划分标准来确定风险等级。将等级划分为五级,等级越高,风险越高。
对于不可接受风险的确定和处理要慎重,不要一味的将所有的风险都归为不可接受风险,要时刻牢记风险的处理是要付出成本的,所以需要综合考虑风险控制成本与风险造成的影响来制定风险的可接受准则。风险的处置有4种方式:规避风险、降低风险、转移风险、接受风险。对于不可接受风险应根据选择的风险处理方式控制残余风险。
(三)文件编制
为了响应云南电网公司的一体化管理制度,在信息安全建设中将针对信息安全标准ISO/IEC 27001要求的文件进行统一整理,对原有《信息安全管理办法》的修编。形成了新版的《信息安全管理办法》,覆盖了27001的11个安全领域的要求。
另外,为了使新版的《信息安全管理办法》能够更好的落地执行,在信息安全体系建设过程中,制定了60多个操作性很强的记录表格表单,以辅助各部门能够更好的执行信息安全体系的要求,比如:《机房巡检记录表》、《防范病毒管理表》、《重要应用系统权限评审表》等。
(四)运行实施
我局在信息安全体系运行实施的过程中采取了多种措施来促进体系的落地工作,比如进行信息安全意识和知识培训,张贴宣传海报,在电梯口液晶电视和LED大屏上播放信息安全宣传视频,进行模拟审核和安全工作检查等,真正做到了全员参与。
同时我局还建立了畅通的意见反馈机制,任何人对当前的信息安全体系有意见和建议,都可以通过局OA系统提交。信息运营中心会对所有提交的建议进行整理和归纳,以发现改进的机会,真正实现了PDCA循环,使局的信息安全管理工作持续改进和螺旋式上升。
五、项目实施经验和注意事项
玉溪供电局按照ISO/IEC 27001的要求建立了符合本局实际情况的信息安全管理体系,经历了资产识别、风险评估、体系建设和实施、内审和审核,最后取得了认证证书。在这个过程当中,总结了一些实施的经验和注意事项。
(一)领导重视
信息安全管理工作是一项牵扯到局各部门的工作,需要投入相应的人力、物力和财力,所以必须有局领导的大力支持,才能顺利的进行和更好的实施。
(二)全员参与
安全不是某一个部门或者某一个人的事情,而是关乎全局所有部门。需要各个部门的共同努力和协调一致的工作,才能保证真正意义上的信息安全,任何一个部门出了问题都将对局信息安全构成威胁。
(三)持续改进
信息安全工作不是一朝一夕的事情,需要持续改进和不断完善。而且风险也是动态的,为了保证信息安全和控制风险始终在可接受的范围内,信息安全工作应当是一件长期的工作。
(四)平衡原则
安全只是相对的,没有绝对的安全,而且任何降低风险的措施都是需要一定的投资,可能是金钱的,也可能是人力资源的。所以一定要平衡投资和风险降低之间的关系,不要一味的为了降低风险而作一些不适当的投入。
六、结语
玉溪供电局通过ISO 27001的认证并获得证书,不仅是对前期信息安全体系建设工作的充分肯定,而且对后续信息安全管理体系运行工作提出了新的更高的要求和目标。局信息运营中心要在局领导的正确领导和大力支持下,在以后局信息安全工作中,对现有体系进行持续改进,使本体系更加符合玉溪供电局的实际情况,为玉溪供电局的信息安全工作保驾
护航。
参考文献