信息安全風險評估方法論文

　　信息安全風險評估方法論文【1】

　　【摘要】隨著信息化的逐步深化、擴展，信息系統(tǒng)的安全性和可用性顯得愈來愈重要。本文基于電網(wǎng)企業(yè)開展的信息安全風險評估工作，對信息安全風險評估的評估實施流程、評估實施方法及其在信息系統(tǒng)生命周期不同階段的實施要點進行淺要分析。

　　【關(guān)鍵詞】信息系統(tǒng);信息安全;風險評估;評估方法

　　一、信息安全風險評估的評估實施流程

　　信息安全風險評估包括：資產(chǎn)評估、威脅評估、脆弱性評估、現(xiàn)有安全措施評估、風險計算和分析、風險決策和安全建議，在風險評估之后就是要進行安全整改。

　　網(wǎng)省公司信息系統(tǒng)風險評估的主要內(nèi)容包括：資產(chǎn)評估、威脅評估、脆弱性評估和現(xiàn)有安全措施評估，一般采用全面風險評估的方法，以安全顧問訪談、管理問卷調(diào)查、安全文檔分析等方式，并結(jié)合了漏洞掃描、人工安全檢查等手段，對評估范圍內(nèi)的網(wǎng)絡、主機以及相應的部門的安全狀況進行了全面的評估，經(jīng)過充分的分析后，得到了信息系統(tǒng)的安全現(xiàn)狀。

　　二、信息安全風險評估實施方法

　　2.1 資產(chǎn)評估

　　網(wǎng)省公司資產(chǎn)識別主要針對提供特定業(yè)務服務能力的應用系統(tǒng)展開，通常一個應用系統(tǒng)都可劃分為數(shù)據(jù)存儲、業(yè)務處理、業(yè)務服務提供和客戶端四個功能部分，這四個部分在信息系統(tǒng)的實例中都顯現(xiàn)為獨立的資產(chǎn)實體，例如：典型的協(xié)同辦公系統(tǒng)可分為客戶端、Web服務器、Domino服務器、DB2數(shù)據(jù)庫服務器四部分資產(chǎn)實體。

　　綜合考慮資產(chǎn)的使命、資產(chǎn)本身的價值、資產(chǎn)對于應用系統(tǒng)的重要程度、業(yè)務系統(tǒng)對于資產(chǎn)的依賴程度、部署位置及其影響范圍等因素評估信息資產(chǎn)價值。資產(chǎn)賦值是資產(chǎn)評估由定性化判斷到定量化賦值的關(guān)鍵環(huán)節(jié)。

　　2.2 威脅評估

　　威脅評估是通過技術(shù)手段、統(tǒng)計數(shù)據(jù)和經(jīng)驗判斷來確定信息系統(tǒng)面臨的威脅的過程。在實施過程中，根據(jù)各單位業(yè)務系統(tǒng)的具體系統(tǒng)情況，結(jié)合系統(tǒng)以往發(fā)生的信息安全事件及對網(wǎng)絡、系統(tǒng)管理員關(guān)于威脅發(fā)生可能性和發(fā)展趨勢的調(diào)查，下面按照威脅的主體分別對這些威脅及其可能發(fā)生的各種情形進行簡單描述：

　　2.3 脆弱性評估

　　脆弱性評估內(nèi)容包括管理、運維和技術(shù)三方面的內(nèi)容，具體實施可參照公司相應的技術(shù)或管理標準以及評估發(fā)起方的要求，根據(jù)評估選擇的策略和評估目的的不同進行調(diào)整。下表是一套脆弱性識別對象的參考：

　　管理脆弱性：安全方針、信息安全組織機構(gòu)、人員安全管理、信息安全制度文件管理、信息化建設中的安全管理、信息安全等級保護工作、信息安全評估管理、信息安全的宣傳與培訓、信息安全監(jiān)督與考核工作、符合性管理。

　　運維脆弱性：信息系統(tǒng)運行管理、資產(chǎn)分類管理、配置與變更管理、業(yè)務連續(xù)性管理、物理環(huán)境安全、設備與介質(zhì)安全。

　　技術(shù)脆弱性：網(wǎng)絡系統(tǒng)、主機安全、通用系統(tǒng)安全、業(yè)務系統(tǒng)安全、現(xiàn)有安全措施。

　　管理、運維、技術(shù)三方面脆弱性是相互關(guān)聯(lián)的，管理脆弱性可能會導致運維脆弱性和技術(shù)脆弱性的產(chǎn)生，運維脆弱性也可能導致技術(shù)脆弱性的產(chǎn)生。技術(shù)的脆弱性識別主要采用工具掃描和人工審計的方式進行，運維和管理的脆弱性主要通過訪談和調(diào)查問卷來發(fā)現(xiàn)。此外，對以往的安全事件的統(tǒng)計和分析也是確定脆弱性的主要方法。

　　三、現(xiàn)有安全措施評估

　　通過現(xiàn)有安全措施指評估安全措施的部署、使用和管理情況，確定這些措施所保護的資產(chǎn)范圍，以及對系統(tǒng)面臨風險的消除程度。

　　3.1 安全技術(shù)措施評估

　　通過對各單位安全設備、防病毒系統(tǒng)的部署、使用和管理情況，對特征庫的更新方式、以及最近更新時間，設備自身資源使用率(CPU、MEM、DISK)、自身工作狀況、以及曾經(jīng)出現(xiàn)過的異�，F(xiàn)象、告警策略、日志保存情況、系統(tǒng)中管理員的個數(shù)、管理員所使用的口令的強度、弱口令情況等信息進行脆弱性分析，并確定級別。

　　3.2 安全管理措施評估

　　訪談被評估單位是否成立了信息安全領(lǐng)導小組，并以文件的形式明確了信息安全領(lǐng)導小組成員和相關(guān)職責，是否結(jié)合實際提出符合自身發(fā)展的信息化建設策略，其中包括是否制定了信息安全工作的總體方針和安全策略，建立健全了各類安全管理制度，對日常管理操作建立了規(guī)范的操作規(guī)程;定期組織全員學習國家有關(guān)信息安全政策、法規(guī)等。

　　3.3 物理與環(huán)境安全

　　查看被訪談單位信息機房是否有完善的物理環(huán)境保障措施，是否有健全的漏水監(jiān)測系統(tǒng)，滅火系統(tǒng)是否安全可用，有無溫濕度監(jiān)測及越限報警功能，是否配備精密空調(diào)嚴格調(diào)節(jié)控制機房內(nèi)溫度及濕度，保障機房設備的良好運行環(huán)境。

　　3.4 應急響應與恢復管理

　　為正確、有效和快速處理網(wǎng)絡信息系統(tǒng)突發(fā)事件，最大限度地減少網(wǎng)絡信息系統(tǒng)突發(fā)事件對單位生產(chǎn)、經(jīng)營、管理造成的損失和對社會的不良影響，需查看被評估單位是否具備完善網(wǎng)絡信息系統(tǒng)應急保證體系和應急響應機制，應對網(wǎng)絡信息系統(tǒng)突發(fā)事件的組織指揮能力和應急處置能力，是否及時修訂本單位的網(wǎng)絡信息系統(tǒng)突發(fā)事件應急預案，并進行嚴格的評審、發(fā)布。

　　3.5 安全整改

　　被評估單位根據(jù)信息安全風險評估結(jié)果，對本單位存在的安全風險進行整改消除，從安全技術(shù)及安全管理兩方面，落實信息安全風險控制及管理，確保信息系統(tǒng)安全穩(wěn)定運行。

　　四、結(jié)語

　　公司近兩年推行了“雙網(wǎng)雙機、分區(qū)分域、等級保護、分層防御”的安全防護策略和一系列安全措施，各單位結(jié)合風險評估實踐情況，以技術(shù)促安全、以管理保安全，確保公司信息系統(tǒng)穩(wěn)定運行，為公司發(fā)展提供有力信息支撐。

　　參考文獻

　　[1]中國國家標準化管理委員會，信息安全技術(shù)一信息安全風險評估規(guī)范，2007年

　　[2]國務院信息辦信息安全風險評估課題組[R]，信息安全風險評估研究報告，2004

　　信息安全風險評估論文【2】

　　【摘 要】本文介紹了信息安全風險評估的基本概述，信息安全風險評估基本要素及通用的信息安全風險評估過程。提出在實際工作中結(jié)合實際情況進行剪裁，完成自己的風險評估實踐。

　　【關(guān)鍵詞】信息安全;風險評估

　　1 企業(yè)信息安全風險評估概述

　　信息系統(tǒng)的風險評估是指確定在計算機系統(tǒng)和網(wǎng)絡中每一種資源缺失或遭到破壞對整個系統(tǒng)造成的預計損失數(shù)量。是針對威脅、脆弱點以及它可能導致的風險大小而評估的。

　　對信息安全進行風險分析和評估的目的就是：企業(yè)能知道信息系統(tǒng)中是否有安全隱患的存在，并估測這些風險將會造成的安全威脅與可能造成的損失，經(jīng)過這些判斷來決定修復或者對于安全信息系統(tǒng)的建立。

　　信息系統(tǒng)風險分析和評估能夠有效的保護企業(yè)信息，但同時它也是一個較為復雜的過程，建立一個完善的信息安全風險評估需要具備相應的標準體系、技術(shù)體系、組織架構(gòu)、業(yè)務體系同時也要遵循相關(guān)的法律法規(guī)。

　　2 企業(yè)信息安全風險評估的作用

　　信息安全風險評估是信息安全工作的基本保障措施之一。風險評估工作是預防為主方針的充分體現(xiàn)，它能夠把信息化工作的安全控制關(guān)口前移，超前防范。

　　針對信息系統(tǒng)規(guī)劃、設計、建設、運行、使用、維護等不同階段實行不同的信息安全風險評估，這樣能夠在第一時間發(fā)現(xiàn)各種所存在的安全隱患，然后再運用科學的方法對風險進行分析，從而解決信息化過程中不同層次和階段的安全問題。

　　在信息系統(tǒng)的規(guī)劃設計階段，信息安全風險評估工作的實行，可以使企業(yè)在充分考慮經(jīng)營管理目標的條件下，對信息系統(tǒng)的各個結(jié)構(gòu)進行完善從而滿足企業(yè)業(yè)務發(fā)展和系統(tǒng)發(fā)展的安全需求，有效的避免事后的安全事故。

　　這種信息安全風險評估是必不可少的，它很好地體現(xiàn)了“預防為主”方針的具體體現(xiàn)，可以有效降低整個信息系統(tǒng)的總體擁有成本。信息安全風險評估作為整個信息安全保障體系建設的基礎、它確保了信息系統(tǒng)安全、業(yè)務安全、數(shù)據(jù)安全的基礎性、預防性工作。因此企業(yè)信息安全風險評估工作需要落到實處，從而促進其進一步又好又快發(fā)展。

　　3 信息安全風險評估的基本要素

　　使命：一個組織機構(gòu)通過信息化形成的能力要來進行的工作任務。使命是信息化的目的，一個信息系統(tǒng)如果不能實現(xiàn)具體的工作任務是沒有意義的。對企業(yè)來說，信息系統(tǒng)的使命是業(yè)務戰(zhàn)略。

　　依賴度：一個組織機構(gòu)的使命對信息系統(tǒng)和信息的依靠程度。依賴度越高，風險評估的任務就越重要

　　資產(chǎn)：對組織具有價值的信息或資源，是安全策略保護的對象

　　資產(chǎn)價值：體現(xiàn)了資產(chǎn)在重要程度或敏感程度上的表現(xiàn)特征。作為資產(chǎn)的屬性，資產(chǎn)價值同時也是對資產(chǎn)進行識別的重要內(nèi)容。

　　威脅：一般指會對系統(tǒng)或組織造成不良后果的不希望事故潛在起因。

　　脆弱性：可能被威脅所利用的資產(chǎn)或若干資產(chǎn)的脆弱環(huán)節(jié)。通常脆弱性也被稱作是弱點或漏洞。

　　威脅是外因，脆弱性是內(nèi)因，威脅只有通過利用脆弱性才能造成安全事件。

　　風險：人為或自然的威脅利用信息系統(tǒng)及其管理體系中存在的脆弱性導致安全事件的發(fā)生及其對組織造成的影響。衡量風險的指標有兩種，分別是由意外事件發(fā)生的概率或者是發(fā)生后可能造成的影響。

　　殘余風險：就是指在安全保障手段之后，防護能力有了提升，但是危險并沒有完全消失。

　　安全需求：為了保證組織機構(gòu)能夠正常的工作，因此在信息安全保障措施方面提出的要求。

　　安全保障措施：為了降低脆弱性，應對威脅，保護資產(chǎn)而進行的預防和控制意外事件的后果，檢測、響應意外事件，使得災難恢復迅速，同時打擊信息違法行為而采取的各種實踐、規(guī)程和機制的總稱。

　　4 信息安全風險評估的基本過程

　　目前信息安全風險評估有大量成熟的過程指南和最佳實踐，但風險評估過程的本質(zhì)是搜集資產(chǎn)、威脅、漏洞、影響等資料和數(shù)據(jù)，其過程和流程有一定的通用性。

　　4.1 識別和特征化系統(tǒng)

　　信息安全風險評估的第一步就是確定評估的工作范圍，界定風險評估工作的邊界，并識別和特征化工作范圍內(nèi)信息系統(tǒng)的各種資產(chǎn)、支持的業(yè)務流程及相應的管理信息等。下圖是一個信息系統(tǒng)描述規(guī)范：

　　4.2 識別和特征化漏洞

　　漏洞是在信息系統(tǒng)、系統(tǒng)安全程序、管理控制、物理設計、內(nèi)部控制等可能被攻擊者利用來獲得未授權(quán)的信息或破壞關(guān)鍵處理的弱點。識別和特征化漏洞工作的目的是開發(fā)一個信息系統(tǒng)漏洞列表。一般常用的識別系統(tǒng)漏洞的方法包括：

　　(1)使用以前的風險評估報告、系統(tǒng)異常報告、權(quán)威機構(gòu)發(fā)布的漏洞列表等;

　　(2)使用漏洞掃描工具、滲透性測試等主動的、系統(tǒng)化的測試方法;

　　(3)開發(fā)和使用安全檢查列表，對實際系統(tǒng)進行配置核查。

　　4.3 識別和特征化威脅

　　威脅是能夠通過未授權(quán)訪問、毀壞、揭露、數(shù)據(jù)修改或拒絕服務對系統(tǒng)造成潛在危害的任何環(huán)境或事件，具體而言，威脅是一個特定威脅源成功利用一個特定漏洞的潛在可能。

　　威脅的具體描述沒有嚴格規(guī)范，在信息安全風險評估過程中，應根據(jù)組織機構(gòu)及其運行環(huán)境的實際來識別威脅。

　　4.4 識別和特征化安全控制措施

　　在進行信息安全風險評估時，除了分析漏洞和威脅，同時也要全面分析當前所采取的各種安全控制措施。

　　控制措施可以分為技術(shù)控制措施、管理控制措施和物理控制措施。技術(shù)控制措施是綜合計算機硬件、軟件和固件中的保護措施。如訪問控制機制、身份識別機制、加密機制、入侵檢測軟件等。管理控制措施指的是管理運行和控制的保護措施。如安全策略、操作維護標準等。物理安全措施是指保護物理和環(huán)境安全。如重要資料柜加鎖等。

　　4.5 確定可能性

　　完成系統(tǒng)信息、漏洞、威脅和現(xiàn)有安全控制措施的搜集和分析后，下一步需要評估安全事件一旦發(fā)生可能造成的危害程序。 　　風險就是后果和可能性的產(chǎn)物。通用公式為：風險=負面事件發(fā)生的可能性(概率)×此負面事件的影響(后果)

　　給定威脅源執(zhí)行潛在漏洞的可能性可以用高、中、低進行描述。

　　可能性級別 可能性定義

　　高 威脅源有強烈的動機和足夠的能力，并且已有的控制措施對其無效

　　中 威脅源有動機和能力，但已有的控制可能可以遲緩漏洞的成功實施

　　低 威脅源缺少動機或能力，或已有控制可以防止或極大地遲緩漏洞的實施

　　4.6 分析影響

　　從風險的最基本原理公式可以看到，要得出風險，需要計算威脅的影響。

　　信息安全的主要目的是確保保密性、完整性和可用性，安全事件的影響是通過危害保密性、完整性和可用性來體現(xiàn)的。因此，信息安全事件的影響量級(高、中、低)可以通過分析這三個安全目標的受損程度來確定。

　　失去完整性：由于有意或無意的行為對數(shù)據(jù)或信息系統(tǒng)的非授權(quán)修改。

　　失去可用性：信息系統(tǒng)功能和操作對其終端用戶不可用。

　　失去保密性：受保護的數(shù)據(jù)和系統(tǒng)信息非授權(quán)訪問、暴露。

　　4.7 確定風險

　　通過分析和確定了安全事件影響和可能性后，可以使用風險基本原理公式進行風險結(jié)果計算。

　　在定性風險評估中，對風險級別的確定可能會相對主觀。其基本方法是為每種威脅可能性級別指定概率，為每種影響級別指定數(shù)值，最后確定風險區(qū)間等級。

　　如高威脅可能性的概率是1.0，低影響級別為10，則風險為1.0×10=10

　　風險等級：高(>50～100)，中(>10～50)，低(1～10)

　　4.8 編制風險評估報告和推薦安全控制措施

　　通過風險評估，得出風險的高中低等級，提出有針對性的抵御威脅的防護對策和整改措施，將風險控制在可接受的水平。從而為保障網(wǎng)絡與信息安全提供依據(jù)。

　　5 結(jié)束語

　　信息安全風險評估工作是信息安全建設的起點和基礎，在實際的信息安全風險評估工作中，應根據(jù)系統(tǒng)的實際運行環(huán)境和企業(yè)管理要求對評估過程進行剪裁，結(jié)合國內(nèi)外標準規(guī)范，完成自己的風險評估實踐。

　　參考文獻：

　　[1]吳世忠，江常青，彭勇.信息安全保障基礎.航空工業(yè)出版社，2009.7.

【信息安全風險評估方法論文】相關(guān)文章：

信息安全風險評估探究的論文10-09

關(guān)于信息安全風險評估項目管理的論文10-09

公司信息系統(tǒng)安全風險評估與管控的論文10-08

信息安全風險與信息安全體系論文10-09

制藥企業(yè)風險評估論文10-09

醫(yī)院計算機信息安全風險管理控制方法論文10-09

安全風險評估報告01-10

個人信息安全風險與防范論文10-09

關(guān)于建筑火災風險評估的論文10-08