前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的信息安全風(fēng)險(xiǎn)評估主題范文,僅供參考,歡迎閱讀并收藏。
從企業(yè)內(nèi)部業(yè)務(wù)出發(fā),優(yōu)化信息安全風(fēng)險(xiǎn)評估基本模型,設(shè)計(jì)了一個(gè)企業(yè)信息安全風(fēng)險(xiǎn)自評估實(shí)施模型,并深入分析了該模型的內(nèi)容,使其適用于企業(yè)依托自身力量來有效開展自評估活動(dòng),從而提高企業(yè)信息安全風(fēng)險(xiǎn)防護(hù)能力。
關(guān)鍵詞:
信息安全;自評估;風(fēng)險(xiǎn)評估;模型設(shè)計(jì)
企業(yè)信息安全風(fēng)險(xiǎn)評估主要有2種模式,即他評估和自評估。相比較而言,自評估展現(xiàn)出越來越多的優(yōu)點(diǎn),比如外部依賴性小、投入費(fèi)用低、評估周期短、次生風(fēng)險(xiǎn)低和可以提高內(nèi)部安全意識等。除此之外,信息安全風(fēng)險(xiǎn)的動(dòng)態(tài)化決定信息安全評估工作應(yīng)是長期持續(xù)的,大部分的內(nèi)部信息安全風(fēng)險(xiǎn)評估內(nèi)容企業(yè)可采用自評估方式來完成。但信息安全風(fēng)險(xiǎn)評估的專業(yè)性、技術(shù)性、標(biāo)準(zhǔn)性比較高,企業(yè)難以掌握復(fù)雜的評估技術(shù)和方法。本文以企業(yè)業(yè)務(wù)為出發(fā)點(diǎn),對信息安全風(fēng)險(xiǎn)評估基本模型進(jìn)行優(yōu)化,設(shè)計(jì)了一個(gè)更適用于企業(yè)依托自身力量來有效開展自評估的實(shí)施模型,以提高企業(yè)信息安全風(fēng)險(xiǎn)防護(hù)能力。
1信息安全風(fēng)險(xiǎn)評估基本模型
對風(fēng)險(xiǎn)評估模型的研究一直是信息安全風(fēng)險(xiǎn)評估領(lǐng)域的研究熱點(diǎn)之一。風(fēng)險(xiǎn)評估基本模型是一種基于資產(chǎn)、威脅和脆弱性的信息安全風(fēng)險(xiǎn)評估模型。其中,資產(chǎn)的評估主要是對資產(chǎn)進(jìn)行相對估價(jià),估價(jià)準(zhǔn)則依賴于對其影響范圍的分析;威脅評估是對資產(chǎn)所受威脅發(fā)生可能性和威脅嚴(yán)重程度的評估;脆弱性評估是對資產(chǎn)脆弱程度的評估,也是對資產(chǎn)被威脅、利用成功的可能性的評估。信息安全風(fēng)險(xiǎn)評估基本模型的評估過程就是對資產(chǎn)信息、威脅信息和脆弱性信息進(jìn)行綜合分析評估并且生成風(fēng)險(xiǎn)信息的過程,包含確定評估范圍、資產(chǎn)識別階段、安全威脅/脆弱性評估、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)管理等階段。基于信息安全風(fēng)險(xiǎn)評估基本模型,很多學(xué)者從不同角度和目的做了優(yōu)化和完善。但是,信息安全風(fēng)險(xiǎn)評估模型的研究還處于探索和完善階段,已有的研究存在一些缺陷,主要表現(xiàn)為以下3點(diǎn):①缺乏對評估內(nèi)容的逐層細(xì)化,難以評價(jià)和量化各要素,可操作性比較差;②缺乏對風(fēng)險(xiǎn)評估基本要素屬性的綜合思考,難以體現(xiàn)評估要素與企業(yè)業(yè)務(wù)的關(guān)系;③大部分模型比較復(fù)雜,評估方法和流程操作起來費(fèi)時(shí)費(fèi)力,企業(yè)難以采用。
2基于基本模型的企業(yè)信息安全自評估模型
針對信息安全風(fēng)險(xiǎn)評估模型的不足,本文綜合考慮企業(yè)自身的業(yè)務(wù)和內(nèi)部約束條件,在基本模型和相關(guān)研究成果的基礎(chǔ)上,提出更加簡單、有效的企業(yè)信息安全風(fēng)險(xiǎn)自評估模型。本文認(rèn)為,企業(yè)信息安全風(fēng)險(xiǎn)自評估模型應(yīng)遵循自主、簡單、規(guī)范性、可行性和可擴(kuò)展性的原則,基本思路是從企業(yè)業(yè)務(wù)出發(fā),多角度研究自評估模型中資產(chǎn)、威脅、脆弱性的關(guān)系和指標(biāo),應(yīng)用相關(guān)統(tǒng)計(jì)分析方法統(tǒng)計(jì),運(yùn)用層次分析法(AHP)評價(jià)、量化相關(guān)要素和風(fēng)險(xiǎn),最終構(gòu)建一個(gè)科學(xué)、合理、可操作的企業(yè)自評估模型。在此過程中,需要解決3方面的問題:①明確評估的對象、內(nèi)容和流程;②構(gòu)建評價(jià)方法,統(tǒng)一評估和度量風(fēng)險(xiǎn)基本要素;③統(tǒng)一不同層面、角度的評估結(jié)果。
2.1基于AHP的信息安全風(fēng)險(xiǎn)要素度量方法
AHP(AnalyticHierarchyProcess,層次分析法)是一種定性分析與定量分析相結(jié)合的多目標(biāo)決策分析方法,其基本步驟是:①分析問題,建立遞階結(jié)構(gòu)(評價(jià)模型);②構(gòu)造比較判斷矩陣;③層次單排序;④一致性檢驗(yàn);⑤層次總排序與一致性檢驗(yàn);⑥選擇最優(yōu)的解決方案。資產(chǎn)、威脅、脆弱性作為信息安全風(fēng)險(xiǎn)自評估模型的3個(gè)基本要素,需要分別識別和分析,并提煉出各自的評價(jià)指標(biāo)。本文結(jié)合已有的理論和實(shí)踐成果,從自主性、簡單性、可行性和科學(xué)性原則出發(fā),基于相關(guān)標(biāo)準(zhǔn)、企業(yè)環(huán)境和企業(yè)業(yè)務(wù)影響分析,提出信息資產(chǎn)的評價(jià)因素應(yīng)包含經(jīng)濟(jì)、名譽(yù)、法律法規(guī)、業(yè)務(wù)運(yùn)營、社會(huì)秩序、商業(yè)利益和個(gè)人利益,等等,威脅可能性評價(jià)指標(biāo)應(yīng)包含威脅攻擊力、威脅動(dòng)機(jī)、資產(chǎn)誘因和威脅頻率等,脆弱性嚴(yán)重程度賦值的評價(jià)因素應(yīng)包含可用性、機(jī)密性和完整性。根據(jù)資產(chǎn)受到損害時(shí)對其評價(jià)因素帶來的損失為資產(chǎn)價(jià)值賦值(比如從1~4取值),數(shù)值越大,表明資產(chǎn)價(jià)值越高。得到各評價(jià)因素的綜合分值后,分值最大的為該資產(chǎn)的價(jià)值,即資產(chǎn)價(jià)值為A=max(i)。根據(jù)威脅評價(jià)指標(biāo)和脆弱性評價(jià)因素,利用AHP方法建立威脅、脆弱性評價(jià)體系,體系由目標(biāo)層、準(zhǔn)則層和指標(biāo)層(方案層)構(gòu)成。為了方便對不同威脅發(fā)生可能性概率、不同脆弱性的嚴(yán)重程度進(jìn)行類比、度量,使用統(tǒng)一的度量標(biāo)準(zhǔn),采用相對等級的方式處理評價(jià)結(jié)果(比如從1~4取值),數(shù)值越大,威脅發(fā)生的可能性越高,帶來的損害越大。通過AHP用數(shù)量形式表達(dá)和處理個(gè)人主觀判斷結(jié)果,采用專家和團(tuán)隊(duì)評分進(jìn)一步比較各要素的重要性,并做一致性檢驗(yàn),最終確定各要素的值。
2.2企業(yè)信息安全自評估風(fēng)險(xiǎn)計(jì)算
在對資產(chǎn)價(jià)值、威脅、脆弱性分析和量化后,還要確定各要素之間的組合方式和具體的計(jì)算方法?!缎畔踩L(fēng)險(xiǎn)評估規(guī)范》(2007)對風(fēng)險(xiǎn)值的計(jì)算提出了如下函數(shù):風(fēng)險(xiǎn)值=R(A,T,V)=R(L(T,V),F(xiàn)(Ia,Va)).(1)式(1)中:R為安全風(fēng)險(xiǎn)計(jì)算函數(shù);A為資產(chǎn);T為威脅;V為脆弱性;L為威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性;F為安全事件發(fā)生后造成的損失;Ia為安全事件所作用的資產(chǎn)價(jià)值;Va為脆弱性嚴(yán)重程度。信息安全風(fēng)險(xiǎn)值的計(jì)算方法主要有矩陣法、相乘法和預(yù)先價(jià)值矩陣查表法等,并且可以將多種方法結(jié)合使用。因?yàn)橄喑朔ú僮骱唵危?,在風(fēng)險(xiǎn)分析中的應(yīng)用比較廣泛。該方法是一種定量的計(jì)算方法,主要思路是利用2個(gè)相關(guān)要素值的乘積計(jì)算出結(jié)果要素的值。按照簡單性、科學(xué)性原則,對于企業(yè)自評估,本文認(rèn)為,相乘法比較適合企業(yè)使用,但不限于該方法。根據(jù)相乘法,企業(yè)信息安全風(fēng)險(xiǎn)值的計(jì)算過程是:①計(jì)算威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性,即L=L(T,V)=T×V;②計(jì)算安全事件發(fā)生后造成的損失,即F=F(Ia,Va)=Ia×Va;③計(jì)算風(fēng)險(xiǎn)值,即R=R(L,F(xiàn))=L×F.
2.3企業(yè)信息安全自評估模型和流程設(shè)計(jì)
企業(yè)信息安全風(fēng)險(xiǎn)自評估的基本目的是依據(jù)企業(yè)自身業(yè)務(wù),識別出信息系統(tǒng)中存在的主要安全風(fēng)險(xiǎn),并排列優(yōu)先級,為風(fēng)險(xiǎn)信息計(jì)算提供數(shù)據(jù)支撐,進(jìn)而為提出風(fēng)險(xiǎn)應(yīng)對措施提供建議?;谏鲜龇椒?,本文提出了企業(yè)信息安全風(fēng)險(xiǎn)自評估模型,如圖1所示。企業(yè)信息安全風(fēng)險(xiǎn)自評估模型的實(shí)施分為范圍確定、資產(chǎn)識別與量化、威脅分析、脆弱性分析、風(fēng)險(xiǎn)分析與計(jì)算、風(fēng)險(xiǎn)應(yīng)對建議6個(gè)階段,每個(gè)階段的具體任務(wù)如圖2所示。本文提出的自評估模型綜合了企業(yè)自評估的約束條件、風(fēng)險(xiǎn)評估的基本原理、關(guān)鍵環(huán)節(jié)與流程、基本要素度量等,具有以下5個(gè)特點(diǎn):①模型提供了統(tǒng)一的資產(chǎn)、威脅、脆弱性3個(gè)基本要素的度量和評價(jià)方法,依據(jù)模型中的評價(jià)指標(biāo)可以進(jìn)行量化和排序。②模型將企業(yè)業(yè)務(wù)與風(fēng)險(xiǎn)評估結(jié)合起來,體現(xiàn)了IT服務(wù)企業(yè)、服務(wù)業(yè)務(wù)的理念,在一定程度上反映出了信息安全風(fēng)險(xiǎn)評估對業(yè)務(wù)的影響程度和對企業(yè)的價(jià)值。③模型滿足信息安全的動(dòng)態(tài)性要求,適應(yīng)企業(yè)業(yè)務(wù)不斷發(fā)展和調(diào)整的需要。當(dāng)業(yè)務(wù)調(diào)整時(shí),企業(yè)僅需分析業(yè)務(wù)信息流,識別出相關(guān)資產(chǎn)、威脅和脆弱性等。④模型滿足信息安全的持續(xù)性要求,企業(yè)可建立相關(guān)制度,將自評估設(shè)立為日常性工作。當(dāng)業(yè)務(wù)無法調(diào)整時(shí),自評估活動(dòng)僅需識別和分析新的脆弱性和威脅信息,從而節(jié)省大量資源。⑤模型具有較強(qiáng)的適應(yīng)性,適用于不同類型的企業(yè),企業(yè)可根據(jù)實(shí)際情況裁減和優(yōu)化,根據(jù)各自的偏好選擇風(fēng)險(xiǎn)計(jì)算方法。
3結(jié)束語
關(guān)鍵詞:信息安全;風(fēng)險(xiǎn)評估;教學(xué)
信息安全風(fēng)險(xiǎn)評估是進(jìn)行信息安全管理的重要依據(jù),通過對信息系統(tǒng)進(jìn)行系統(tǒng)的風(fēng)險(xiǎn)分析和評估,發(fā)現(xiàn)存在的安全問題并提出相應(yīng)的措施,這對于保護(hù)和管理信息系統(tǒng)至關(guān)重要。目前國內(nèi)外都高度重視信息安全風(fēng)險(xiǎn)評估工作。美國政府2002年頒布《聯(lián)邦信息安全管理法》,對信息安全風(fēng)險(xiǎn)評估提出了具體的要求;歐盟國家也把開展信息安全風(fēng)險(xiǎn)評估作為提高信息安全保障水平的重要手段;2003年7月23日,國家信息中心組建成立“信息安全風(fēng)險(xiǎn)評估課題組”,提出了我國開展信息安全風(fēng)險(xiǎn)評估的對策和辦法。2004年,國務(wù)院信息辦研究制訂了《信息安全風(fēng)險(xiǎn)評估指南》和《信息安全風(fēng)險(xiǎn)管理指南》兩個(gè)風(fēng)險(xiǎn)評估的標(biāo)準(zhǔn);2006年又起草了《關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作的意見》[1]。這些工作都對信息安全人才的培養(yǎng)提出了更高的要求,同時(shí)也為《信息安全風(fēng)險(xiǎn)評估》課程的開設(shè)和講授提供了必要的基礎(chǔ)和條件?!缎畔踩L(fēng)險(xiǎn)評估》課程教學(xué),是信息安全專業(yè)一門重要的專業(yè)課程,能全面培養(yǎng)學(xué)生綜合運(yùn)用專業(yè)知識,評估并解決信息系統(tǒng)安全問題的能力,是培養(yǎng)符合國家和社會(huì)需要的信息安全專業(yè)人才的重要課程之一?!缎畔踩L(fēng)險(xiǎn)評估》課程本身的理論性與實(shí)踐性都很強(qiáng),課程發(fā)展十分迅速,涉及的學(xué)科范圍也較廣,傳統(tǒng)的教學(xué)的模式不能使該課程的特點(diǎn)很好地展示出來,無法適應(yīng)社會(huì)經(jīng)濟(jì)發(fā)展對信息安全從業(yè)人員的新要求,教學(xué)改革勢在必行。
一、現(xiàn)狀與存在的問題
信息安全風(fēng)險(xiǎn)評估是從風(fēng)險(xiǎn)管理角度,運(yùn)用科學(xué)的方法和手段,系統(tǒng)地分析信息系統(tǒng)所面臨的安全威脅及其存在的脆弱性,評估安全事件一旦發(fā)生可能造成的危害程度,提出有針對性的抵御威脅的防護(hù)對策和整改措施。它涉及信息系統(tǒng)的社會(huì)行為、管理行為、物理行為、邏輯行為等的保密性、完整性和可用性檢測。風(fēng)險(xiǎn)評估的結(jié)果可以作為信息安全風(fēng)險(xiǎn)管理的指南,用來確定合適的管理方針和選擇相應(yīng)的控制措施來保護(hù)信息資產(chǎn),全面提高信息安全保障能力[2]。自2001年信息安全專業(yè)建立以來,高校在制訂本科專業(yè)教學(xué)培養(yǎng)目標(biāo)和教學(xué)計(jì)劃時(shí),側(cè)重于具體安全理論和技術(shù)的教學(xué)和講授,特別是重點(diǎn)強(qiáng)調(diào)了密碼學(xué)、防火墻、入侵檢測、網(wǎng)絡(luò)安全等安全理論與技術(shù)的傳授。從目前高校的教學(xué)內(nèi)容看,多數(shù)側(cè)重于對“信息風(fēng)險(xiǎn)管理”、“風(fēng)險(xiǎn)識別”、“風(fēng)險(xiǎn)評估”和“風(fēng)險(xiǎn)控制”等基本內(nèi)容的介紹上,而且教學(xué)課時(shí)數(shù)也較少,只有十個(gè)學(xué)時(shí)。當(dāng)前從《信息安全風(fēng)險(xiǎn)評估》課程的教學(xué)情況來看,該課程在信息安全教育教學(xué)過程中地位有待提高,實(shí)踐教學(xué)的建設(shè)與研究迫切需要深化。
當(dāng)前該課程的教學(xué)實(shí)踐中普遍存在以下幾個(gè)方面的問題,嚴(yán)重制約了《信息安全風(fēng)險(xiǎn)評估》課程教學(xué)質(zhì)量的提高:
1.本科教學(xué)大都以理論內(nèi)容為主體,實(shí)驗(yàn)和課程設(shè)計(jì)的學(xué)時(shí)安排較少。一般高校的《信息安全風(fēng)險(xiǎn)評估》課程主要以理論內(nèi)容的講授為主,實(shí)驗(yàn)和課程設(shè)計(jì)的學(xué)時(shí)較少,實(shí)驗(yàn)內(nèi)容也大多屬于驗(yàn)證性質(zhì),缺少具有研究和探索性質(zhì)的信息安全風(fēng)險(xiǎn)評估實(shí)踐內(nèi)容和課程設(shè)計(jì);
2.教學(xué)方法單一,缺乏激勵(lì)學(xué)生求知欲的教學(xué)方法和手段。當(dāng)前開設(shè)《信息安全風(fēng)險(xiǎn)評估》課程的高校還較少,師資力量相對薄弱,教學(xué)經(jīng)驗(yàn)也比較缺乏,仍以主要由教師講述的傳統(tǒng)教學(xué)方式為主,學(xué)生進(jìn)行具體實(shí)踐和操作的課時(shí)較少,缺乏創(chuàng)新性的教學(xué)和研究,基本沒有具有探索性和創(chuàng)新性特點(diǎn)的教學(xué)內(nèi)容,不利于發(fā)揮學(xué)生主觀能動(dòng)性,提高其創(chuàng)新能力;
3.實(shí)驗(yàn)環(huán)境無法滿足教學(xué)需求,缺乏專業(yè)的信息安全風(fēng)險(xiǎn)評估師資。我國信息安全風(fēng)險(xiǎn)評估的研究和教學(xué)工作起步晚,缺乏相關(guān)的實(shí)驗(yàn)設(shè)備;而且受到資金和專業(yè)發(fā)展等多方面因素的制約,難以設(shè)立專門的信息安全風(fēng)險(xiǎn)評估實(shí)驗(yàn)室。此外,信息安全風(fēng)險(xiǎn)評估是以計(jì)算機(jī)技術(shù)為核心,涉及管理科學(xué)、安全技術(shù)、通信和信息工程等多個(gè)學(xué)科,對于理論和實(shí)踐要求都很高。這就要求教師既要學(xué)習(xí)好各學(xué)科的基本知識,又要加強(qiáng)實(shí)踐訓(xùn)練。
二、教學(xué)改革與探索
高校計(jì)算機(jī)相關(guān)專業(yè)開設(shè)《信息安全風(fēng)險(xiǎn)評估》課程,不是培養(yǎng)網(wǎng)絡(luò)信息安全方面的全才或戰(zhàn)略人才,而是培養(yǎng)在實(shí)際生活和工作中確實(shí)能解決某些具體安全問題的實(shí)用型人才。針對《信息安全風(fēng)險(xiǎn)評估》課程的特點(diǎn)和教學(xué)中存在的不足,我們從以下幾個(gè)方面對該課程的教學(xué)改革進(jìn)行了探索:
1.重新確立課程培養(yǎng)目標(biāo)。①重點(diǎn)培養(yǎng)學(xué)生分析和評估信息安全問題的能力:《信息安全風(fēng)險(xiǎn)評估》課程是一門理論性和實(shí)踐性緊密結(jié)合的課程,目前開設(shè)該課程的高校較少,各學(xué)校的教學(xué)內(nèi)容也多種多樣。該課程的教學(xué)目標(biāo)即要培養(yǎng)學(xué)生發(fā)現(xiàn)信息系統(tǒng)存在的安全風(fēng)險(xiǎn),同時(shí)也需要培養(yǎng)他們科學(xué)地提出解決安全隱患的方案及能力。如何提高學(xué)生分析和評估信息安全問題的能力是該課程教學(xué)的首要目標(biāo)。②培養(yǎng)學(xué)生實(shí)際操作的能力:信息安全風(fēng)險(xiǎn)評估的關(guān)鍵是對信息系統(tǒng)的資產(chǎn)進(jìn)行分類,對其風(fēng)險(xiǎn)的識別、估計(jì)和評價(jià)做出全面的、綜合的分析。這就要求學(xué)生熟練地掌握目標(biāo)對象的檢測和評估方法,包括使用各種自動(dòng)化和半自動(dòng)化的工具,可在模擬實(shí)驗(yàn)里,通過不斷地訓(xùn)練實(shí)現(xiàn)。③培養(yǎng)學(xué)生繼續(xù)學(xué)習(xí)、勇于探索創(chuàng)新的能力:隨著信息化的不斷發(fā)展,信息系統(tǒng)所面臨的安全威脅急劇增加,為此各國政府都不斷提出和完善了各類信息安全測評標(biāo)準(zhǔn)。這就要求我們在教學(xué)中不斷地學(xué)習(xí)、理解和解釋最新的國際、國內(nèi)以及相關(guān)的行業(yè)標(biāo)準(zhǔn),培養(yǎng)和提高學(xué)生繼續(xù)學(xué)習(xí)的能力。另外,《信息安全風(fēng)險(xiǎn)評估》課程也要求通過課堂教學(xué)、課后練習(xí)、實(shí)驗(yàn)驗(yàn)證和考試、考查等教學(xué)環(huán)節(jié)培養(yǎng)學(xué)生獨(dú)力分析信息系統(tǒng)安全的能力,培養(yǎng)學(xué)生對信息安全風(fēng)險(xiǎn)評估領(lǐng)域進(jìn)行探索和研究的興趣,最終使學(xué)生掌握信息安全風(fēng)險(xiǎn)評估的知識和技能,能夠解決具體信息系統(tǒng)的安全問題。
2.增加信息安全風(fēng)險(xiǎn)評估理論和相關(guān)標(biāo)準(zhǔn)的教學(xué)。信息安全測評標(biāo)準(zhǔn)和相關(guān)法律法規(guī)是進(jìn)行信息系統(tǒng)安全風(fēng)險(xiǎn)評估的依據(jù)和保障。2006年由原國信辦《關(guān)于開展信息安全風(fēng)險(xiǎn)評估工作的意見》(國信辦2006年5號文);同時(shí),隨著信息安全等級保護(hù)制度的推行,公安部會(huì)同有關(guān)部門出臺了一系列政策文件,主要包括:《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》、《信息安全等級保護(hù)管理辦法》等;國家信息安全標(biāo)準(zhǔn)化委員會(huì)頒發(fā)了《信息安全風(fēng)險(xiǎn)評估規(guī)范》(GB/T 20984~2007)、《信息系統(tǒng)安全等級保護(hù)基本要求》(GB/T 22239-2008)等多個(gè)國家標(biāo)準(zhǔn)[3]。為了保證《信息安全風(fēng)險(xiǎn)評估》課程目標(biāo)的實(shí)現(xiàn),我們在教學(xué)過程中,增加了《GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范》、《GB/Z24364-2009信息安全風(fēng)險(xiǎn)管理指南》、《GB/T
22080-2008信息安全管理體系要求》、《GB/T22081-
2008信息安全管理實(shí)用規(guī)則》、《GB/T20269-2006信息系統(tǒng)安全管理要求》、《GB/T25063-2010?搖信息安全技術(shù)服務(wù)器安全測評要求》、《GB/T 20010-2005信息安全技術(shù)包過濾防火墻評估準(zhǔn)則》、《GB/T20011-2005信息安全技術(shù)路由器安全評估準(zhǔn)則》、《GA/T 672-2006信息安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級評估準(zhǔn)則》、《GA/T 712-2007信息安全技術(shù)應(yīng)用軟件系統(tǒng)安全等級保護(hù)通用測試指南》等相關(guān)評估標(biāo)準(zhǔn)和指南的學(xué)習(xí),并編制相關(guān)的調(diào)查、檢查、測試表,重點(diǎn)強(qiáng)調(diào)對脆弱性檢測的理論依據(jù)的描述,檢測方法及其步驟的詳細(xì)記錄。
3.利用各種測評工具,提高學(xué)生實(shí)踐能力。在信息安全風(fēng)險(xiǎn)評估過程中,資產(chǎn)賦值、威脅量化分析、安全模型的建立等環(huán)節(jié)的教學(xué)和實(shí)踐對教師和學(xué)生都提出了較高的專業(yè)課程要求。我們在《信息安全風(fēng)險(xiǎn)評估》課程實(shí)踐中通過使用風(fēng)險(xiǎn)評估工具,并對具體的信息系統(tǒng)進(jìn)行自動(dòng)化或半自動(dòng)化的分析,加深了學(xué)生信息安全風(fēng)險(xiǎn)評估的理論知識理解,同時(shí)注重培養(yǎng)學(xué)生動(dòng)手實(shí)踐能力和探索新知識的能力。我們增加了主動(dòng)型風(fēng)險(xiǎn)評估工具Tenable掃描門戶網(wǎng)站系統(tǒng)的實(shí)踐性教學(xué)內(nèi)容。通過評估,該系統(tǒng)的服務(wù)器存在感染病毒的癥狀,其原因是服務(wù)器存在特定漏洞。為此我們使用漏洞掃描器對該服務(wù)器進(jìn)行掃描,發(fā)現(xiàn)了“遠(yuǎn)程代碼被執(zhí)行”漏洞,而且該漏洞能被蠕蟲病毒利用,形成針對系統(tǒng)的攻擊。通過案例特征提供了的信息,培養(yǎng)學(xué)生使用測評工具對具體信息系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評估的能力,并進(jìn)一步使其認(rèn)識到主動(dòng)型評估工具是信息安全風(fēng)險(xiǎn)評估中快速了解目標(biāo)系統(tǒng)安全狀況不可或缺的重要手段。
筆者結(jié)合自己的教學(xué)實(shí)踐體會(huì),論述了當(dāng)前《信息安全風(fēng)險(xiǎn)評估》課程中存在的問題以及解決對策。《信息安全風(fēng)險(xiǎn)評估》課程教學(xué)改革和建設(shè)是一個(gè)長期的、系統(tǒng)化的工程,需要不斷地根據(jù)信息系統(tǒng)在新環(huán)境下面臨的各種威脅,制定新的評估標(biāo)準(zhǔn)和評估方案,并使得學(xué)生在有限的時(shí)間和環(huán)境下掌握相應(yīng)的知識和技能,以滿足社會(huì)對信息安全人才的需求。
參考文獻(xiàn):
[1]付沙.加強(qiáng)信息安全風(fēng)險(xiǎn)評估工作的研究[J].微型電腦應(yīng)用,2010,26(8):6-8.
[2]楊春暉,張昊,王勇.信息安全風(fēng)險(xiǎn)評估及輔助工具應(yīng)用[J].信息安全與通信保密,2007,(12):75-77.
[3]潘平,楊平,羅東梅,何朝霞.信息系統(tǒng)安全風(fēng)險(xiǎn)檢查評估實(shí)踐教學(xué)探討[C]// Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security(NTS-CIS 2011),2011,(8).
風(fēng)險(xiǎn)評估是一項(xiàng)周期性工作,是進(jìn)行風(fēng)險(xiǎn)管理。由于風(fēng)險(xiǎn)評估的結(jié)果將直接影響到信息系統(tǒng)防護(hù)措施的選擇,從而在一定程度上決定了風(fēng)險(xiǎn)管理的成效。風(fēng)險(xiǎn)評估可以概括為:①風(fēng)險(xiǎn)評估是一個(gè)技術(shù)與管理的過程。②風(fēng)險(xiǎn)評估是根據(jù)威脅、脆弱性判斷系統(tǒng)風(fēng)險(xiǎn)的過程。③風(fēng)險(xiǎn)評估貫穿于系統(tǒng)建設(shè)生命周期的各階段。
2.信息安全風(fēng)險(xiǎn)評估方法
(1)安全風(fēng)險(xiǎn)評估。為確定這種可能性,需分析系統(tǒng)的威脅以及由此表現(xiàn)出的脆弱性。影響是按照系統(tǒng)在單位任務(wù)實(shí)施中的重要程度來確定的。風(fēng)險(xiǎn)評估以現(xiàn)實(shí)系統(tǒng)安全為目的,按照科學(xué)的程序和方法,對系統(tǒng)中的危險(xiǎn)要素進(jìn)行充分的定性、定量分析,并作出綜合評價(jià),以便針對存在的問題,根據(jù)當(dāng)前科學(xué)技術(shù)和經(jīng)濟(jì)條件,提出有效的安全措施,消除危險(xiǎn)或?qū)⑽kU(xiǎn)降到最低程度。即:風(fēng)險(xiǎn)評估是對系統(tǒng)存在的固有和潛在危險(xiǎn)及風(fēng)險(xiǎn)性進(jìn)行定性和定量分析,得出系統(tǒng)發(fā)送危險(xiǎn)的可能性和程度評價(jià),以尋求最低的事故率、最少的損失和最優(yōu)的安全投資效益。(2)風(fēng)險(xiǎn)評估的主要內(nèi)容。①技術(shù)層面。評估和分析網(wǎng)絡(luò)和主機(jī)上存在的安全技術(shù)風(fēng)險(xiǎn),包括物理環(huán)境、網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫、應(yīng)用系統(tǒng)等軟、硬件設(shè)備。②管理層面。從本單位的工作性質(zhì)、人員組成、組織結(jié)構(gòu)、管理制度、網(wǎng)絡(luò)系統(tǒng)運(yùn)行保障措施及其他運(yùn)行管理規(guī)范等角度,分析業(yè)務(wù)運(yùn)作和管理方面存在的安全缺陷。(3)風(fēng)險(xiǎn)評估方法。①技術(shù)評估和整體評估。技術(shù)評估是指對組織的技術(shù)基礎(chǔ)結(jié)構(gòu)和程序系統(tǒng)、及時(shí)地檢查,包括對組織內(nèi)部計(jì)算環(huán)境的安全性及對內(nèi)外攻擊脆弱性的完整性攻擊。整體風(fēng)險(xiǎn)評估擴(kuò)展了上述技術(shù)評估的范圍,著眼于分析組織內(nèi)部與安全相關(guān)的風(fēng)險(xiǎn),包括內(nèi)部和外部的風(fēng)險(xiǎn)源、技術(shù)基礎(chǔ)和組織結(jié)構(gòu)以及基于電子的和基于人的風(fēng)險(xiǎn)。②定性評估和定量評估。定性分析方法是使用最廣泛的風(fēng)險(xiǎn)分析方法。根據(jù)組織本身歷史事件的統(tǒng)計(jì)記錄等方法確定資產(chǎn)的價(jià)值權(quán)重,威脅發(fā)生的可能性以及如將其賦值為“極低、低、中、高、極高”。③基于知識的評估和基于模型的評估?;谥R的風(fēng)險(xiǎn)評估方法主要依靠經(jīng)驗(yàn)進(jìn)行。經(jīng)驗(yàn)從安全專家處獲取并憑此來解決相似場景的風(fēng)險(xiǎn)評估問題。該方法的優(yōu)越性在于能直接提供推薦的保護(hù)措施、結(jié)構(gòu)框架和實(shí)施計(jì)劃。(4)信息安全風(fēng)險(xiǎn)的計(jì)算。①計(jì)算安全事件發(fā)生的可能性。根據(jù)威脅出現(xiàn)頻率及弱點(diǎn)的狀況,計(jì)算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。具體評估中,應(yīng)綜合攻擊者技術(shù)能力、脆弱性被利用的難易程度、資產(chǎn)吸引力等因素判斷安全事件發(fā)生的可能性。②計(jì)算安全事件發(fā)生后的損失。根據(jù)資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度,計(jì)算安全事件一旦發(fā)生后的損失。部分安全事件損失的發(fā)生不僅針對該資產(chǎn)本身,還可能影響業(yè)務(wù)的連續(xù)性;不同安全事件的發(fā)生對組織造成的影響也不一樣。③計(jì)算風(fēng)險(xiǎn)值。根據(jù)計(jì)算出的安全事件發(fā)生的可能性以及安全事件的損失計(jì)算風(fēng)險(xiǎn)值。
3.風(fēng)險(xiǎn)評估模型選擇
參考多個(gè)國際風(fēng)險(xiǎn)評估標(biāo)準(zhǔn),建立了由安全風(fēng)險(xiǎn)管理流程模型、安全風(fēng)險(xiǎn)關(guān)系模型和安全風(fēng)險(xiǎn)計(jì)算模型共同組成的安全風(fēng)險(xiǎn)模型(見圖1)。(1)安全風(fēng)險(xiǎn)管理過程模型。①風(fēng)險(xiǎn)評估過程。信息安全評估包括技術(shù)評估和管理評估。②安全風(fēng)險(xiǎn)報(bào)告。提交安全風(fēng)險(xiǎn)報(bào)告,獲知安全風(fēng)險(xiǎn)狀況是安全評估的主要目標(biāo)。③風(fēng)險(xiǎn)評估管理系統(tǒng)。根據(jù)單位安全風(fēng)險(xiǎn)分析與風(fēng)險(xiǎn)評估的結(jié)果,建立本單位的風(fēng)險(xiǎn)管理系統(tǒng),將風(fēng)險(xiǎn)評估結(jié)果入庫保存,為安全管理和問題追蹤提供數(shù)據(jù)基礎(chǔ)。④安全需求分析。根據(jù)本單位安全風(fēng)險(xiǎn)評估報(bào)告,確定有效安全需求。⑤安全建議。依據(jù)風(fēng)險(xiǎn)評估結(jié)果,提出相關(guān)建議,協(xié)助構(gòu)建本單位安全體系結(jié)構(gòu),結(jié)合組織本地、遠(yuǎn)程網(wǎng)絡(luò)架構(gòu),為制定完整動(dòng)態(tài)的安全解決方案提供參考。⑥風(fēng)險(xiǎn)控制。根據(jù)安全風(fēng)險(xiǎn)報(bào)告,結(jié)合單位特點(diǎn),針對面對的安全風(fēng)險(xiǎn),分析將面對的安全影響,提供相應(yīng)的風(fēng)險(xiǎn)控制建議。⑦監(jiān)控審核。風(fēng)險(xiǎn)管理過程中每一個(gè)步驟都需要進(jìn)行監(jiān)控和審核程序,保證整個(gè)評估過程規(guī)范、安全、可信。⑧溝通、咨詢與文檔管理。整個(gè)風(fēng)險(xiǎn)管理過程的溝通、咨詢是保證風(fēng)險(xiǎn)評估項(xiàng)目成功實(shí)施的關(guān)鍵因素。(2)安全風(fēng)險(xiǎn)關(guān)系模型。安全風(fēng)險(xiǎn)關(guān)系模型以風(fēng)險(xiǎn)為中心,形象地描述了面臨的風(fēng)險(xiǎn)、弱點(diǎn)、威脅及其相應(yīng)的資產(chǎn)價(jià)值、防護(hù)需求、保護(hù)措施等動(dòng)態(tài)循環(huán)的復(fù)雜關(guān)系。(3)安全風(fēng)險(xiǎn)計(jì)算模型。安全風(fēng)險(xiǎn)計(jì)算模型中詳細(xì)、具體地提供了風(fēng)險(xiǎn)計(jì)算的方法,通過威脅級別、威脅發(fā)生的概率及風(fēng)險(xiǎn)評估矩陣得出安全風(fēng)險(xiǎn)。
4.結(jié)語
1 信息安全風(fēng)險(xiǎn)評估基本理論
1.1 信息安全風(fēng)險(xiǎn)
信息安全風(fēng)險(xiǎn)具有客觀性、多樣性、損失性、可變性、不確定性和可測性等多個(gè)特點(diǎn)??陀^性是因?yàn)樾畔踩L(fēng)險(xiǎn)在信息系統(tǒng)中普遍存在;多樣性是指信息系統(tǒng)安全涉及多個(gè)方面;損失性是指任何一種信息安全風(fēng)險(xiǎn),都會(huì)對信息系統(tǒng)造成或大或小的損失;可變性是指信息安全風(fēng)險(xiǎn)在系統(tǒng)生命周期的各個(gè)階段動(dòng)態(tài)變化;不確定性是一個(gè)安全事件可以有多種風(fēng)險(xiǎn);可測試性是預(yù)測和計(jì)算信息安全風(fēng)險(xiǎn)的方法。
1.2 信息安全風(fēng)險(xiǎn)評估
信息安全風(fēng)險(xiǎn)評估,采用科學(xué)的方法和技術(shù)和脆弱性分析信息系統(tǒng)面臨的威脅,利用系統(tǒng),評估安全事件可能會(huì)造成的影響,提出了防御威脅和保護(hù)策略,從而防止和解決信息安全風(fēng)險(xiǎn),或控制在可接受范圍內(nèi)的風(fēng)險(xiǎn),最大限度地保護(hù)系統(tǒng)的信息安全。通過評價(jià)過程對信息系統(tǒng)的脆弱性進(jìn)行評價(jià),面臨威脅和漏洞威脅利用的負(fù)面影響,并根據(jù)信息安全事件的可能性和嚴(yán)重程度,確定信息系統(tǒng)的安全風(fēng)險(xiǎn)。
2 信息安全風(fēng)險(xiǎn)評估原理
2.1 風(fēng)險(xiǎn)評估要素及其關(guān)系
一般說來,信息安全風(fēng)險(xiǎn)評估要素有五個(gè),除以上介紹的安全風(fēng)險(xiǎn)外,還有資產(chǎn)、威脅、脆弱性、安全措施等。信息安全風(fēng)評估工作都是圍繞這些基本評估要素展開的。
2.1.1 資產(chǎn)
資產(chǎn)是在系統(tǒng)中有價(jià)值的信息或資源,是安全措施的對象。資產(chǎn)價(jià)值是資產(chǎn)的財(cái)產(chǎn),也是資產(chǎn)識別的主要內(nèi)容。它是資產(chǎn)的重要程度或敏感性。
2.1.2 威脅
威脅是導(dǎo)致不期望事件發(fā)生的潛在起因,這些不期望事件可能危害系統(tǒng)。
2.1.3 脆弱性
脆弱性是資產(chǎn)存在的弱點(diǎn),利用這些弱點(diǎn)威脅資產(chǎn)的使用。
2.1.4 安全措施
安全措施是系統(tǒng)實(shí)施的各種保護(hù)機(jī)制,這種機(jī)制能有效地保護(hù)資產(chǎn)、減少脆弱性、抵御威脅、減少安全事件的發(fā)生或降低影響。風(fēng)險(xiǎn)評估圍繞上述基本要素。各要素之間存在著這樣的關(guān)系:
(1)資產(chǎn)是風(fēng)險(xiǎn)評估的對象,資產(chǎn)價(jià)值是由資產(chǎn)價(jià)值計(jì)量的,資產(chǎn)價(jià)值越高,證券需求越高,風(fēng)險(xiǎn)越小。
(2)漏洞可能會(huì)暴露資產(chǎn)的價(jià)值,使其被破壞,資產(chǎn)的脆弱性越大,風(fēng)險(xiǎn)越大;
(3)威脅引發(fā)風(fēng)險(xiǎn)事件的發(fā)生,威脅越多風(fēng)險(xiǎn)越大;
(4)威脅利用脆弱性來危害資產(chǎn);
(5)安全措施可以防御威脅,減小安全風(fēng)險(xiǎn),從而保護(hù)資產(chǎn)。
2.2 風(fēng)險(xiǎn)分析模型及算法
在信息安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)中,風(fēng)險(xiǎn)分析涉及資產(chǎn)的三個(gè)基本要素,威脅和脆弱性。每個(gè)元素都有它自己的屬性,并由它的屬性決定。資產(chǎn)的屬性是資產(chǎn)的價(jià)值,而財(cái)產(chǎn)的威脅可以是主體、客體、頻率、動(dòng)機(jī)等。財(cái)產(chǎn)的脆弱性是資產(chǎn)脆弱性的嚴(yán)重性。在風(fēng)險(xiǎn)分析模型中,資產(chǎn)的價(jià)值、威脅的可能性、脆弱性的嚴(yán)重程度、安全事件的可能性和安全事件造成的損失,兩者是整合的,它是風(fēng)險(xiǎn)的價(jià)值。
風(fēng)險(xiǎn)分析的主要內(nèi)容為:
(1)識別資產(chǎn)并分配資產(chǎn);
(2)確定威脅,并分配潛在的威脅;
(3)確定漏洞,并分配資產(chǎn)的脆弱性的嚴(yán)重程度;
(4)判斷安全事件的可能性。根據(jù)漏洞的威脅和使用的漏洞來計(jì)算安全事件的可能性。
安全事件發(fā)生可能性=L(威脅可能性,脆弱性)=L(T,V)
(5)計(jì)算安全事件損失。根據(jù)脆弱性嚴(yán)重程度和資產(chǎn)價(jià)值計(jì)算安全事件的損失。
安全事件造成的損失=F(資產(chǎn)價(jià)值,脆弱性嚴(yán)重程度)=F(Ia,Va);
(6)確定風(fēng)險(xiǎn)值。根據(jù)安全事件發(fā)生可能性和安全事件造成的損失,計(jì)算安全事件發(fā)生對組織的影響。
風(fēng)險(xiǎn)值=R(A,T,V)=R(F(Ia,Va),L(T,V))
其中,A是資產(chǎn);T是威脅可能性;V是脆弱性;Ia是資產(chǎn)價(jià)值;Va是脆弱性的嚴(yán)重程度;L是威脅利用脆弱性發(fā)生安全事件的可能性;F是安全事件造成的損失,R是風(fēng)險(xiǎn)計(jì)算函數(shù)。
3 信息風(fēng)險(xiǎn)分析方法探析
作為保障信息安全的重要措施,信息安全系統(tǒng)是信息安全的重要組成部分,而信息安全風(fēng)險(xiǎn)評估的算法分析方法,風(fēng)險(xiǎn)評估作為風(fēng)險(xiǎn)分析的重要手段,早已被提出并做了大量的研究工作和一些算法已成為正式信息安全標(biāo)準(zhǔn)的一部分。從定性定量的角度可以將風(fēng)險(xiǎn)分析方法分為三類,也就是定性方法、定量方法和定性定量相結(jié)合。
3.1 定性的風(fēng)險(xiǎn)分析方法
定性的方法是憑借分析師的經(jīng)驗(yàn)和知識的國際和國內(nèi)的標(biāo)準(zhǔn)或做法,風(fēng)險(xiǎn)管理因素的大小或程度的定性分類,以確定風(fēng)險(xiǎn)概率和風(fēng)險(xiǎn)的后果。定性的方法的優(yōu)點(diǎn)是,信息系統(tǒng)是不容易得到的具體數(shù)據(jù)的相對值計(jì)算,沒有太多的計(jì)算負(fù)擔(dān)。它有一定的缺陷,是很主觀的,要求分析有一定的經(jīng)驗(yàn)和能力。比較著名的定性分析方法有歷史比較法、因素分析方法、邏輯分析法、Delphi法等,這些方法的成敗與執(zhí)行者的經(jīng)驗(yàn)有很大的關(guān)系。
3.2 定量的風(fēng)險(xiǎn)分析方法
定量方法是用數(shù)字來描述風(fēng)險(xiǎn),通過數(shù)學(xué)和統(tǒng)計(jì)的援助,對一些指標(biāo)進(jìn)行處理和處理,來量化安全風(fēng)險(xiǎn)的結(jié)果。定量方法的優(yōu)點(diǎn)是評價(jià)結(jié)果直觀,使用數(shù)據(jù)表示,使分析結(jié)果更加客觀、科學(xué)、嚴(yán)謹(jǐn)、更有說服力。缺點(diǎn)是,計(jì)算過程復(fù)雜,數(shù)據(jù)詳細(xì),可靠的數(shù)據(jù)難以獲得。正式且嚴(yán)格的評估方法的數(shù)據(jù)一般是估計(jì)而來的,風(fēng)險(xiǎn)分析達(dá)到完全的量化也不太可能。與著名的定時(shí)模型定量分析方法、聚類分析法、因子分析法、回歸模型、決策樹等方法相比較,這些方法都是具有數(shù)學(xué)或統(tǒng)計(jì)工具的風(fēng)險(xiǎn)模型。
3.3 定性定量相結(jié)合的風(fēng)險(xiǎn)分析方法
是因?yàn)橛袃?yōu)點(diǎn)和缺點(diǎn)的定量和定量的方法,只使用定性的方法,太主觀,但只有使用定量方法,數(shù)據(jù)是難以獲得的,所以目前常用的是定性和定量的風(fēng)險(xiǎn)分析方法相結(jié)合。這樣,既能克服定性方法主觀性太強(qiáng)的缺點(diǎn),又能解決數(shù)據(jù)不好獲取的困難。典型的定性定量相結(jié)合的風(fēng)險(xiǎn)評估工具有@Risk、CORA等。
關(guān)鍵詞:信息安全、風(fēng)險(xiǎn)評估、重要問題
中圖分類號:TP309 文獻(xiàn)標(biāo)識碼:A 文章編號:1007-9599 (2012) 17-0000-02
在現(xiàn)階段,由于快速發(fā)展的信息技術(shù),致使那些極大影響著國計(jì)民生的關(guān)鍵信息資源,從其規(guī)模來看,具有越來越大的變化趨勢,至于其信息系統(tǒng)的結(jié)構(gòu),具有越來越高的復(fù)雜程度;在當(dāng)前要促使我國國民經(jīng)濟(jì)的持續(xù)發(fā)展以及能夠順利進(jìn)行信息化建設(shè),其中的一個(gè)關(guān)鍵因素就是要讓這些信息資源以及信息系統(tǒng)的安全性得到有力保障。而有關(guān)可用性、機(jī)密性以及完整性等等內(nèi)容正是信息安全目標(biāo)的具體表現(xiàn)。在當(dāng)前進(jìn)行安全建設(shè)一個(gè)出發(fā)點(diǎn)就是要進(jìn)行信息安全風(fēng)險(xiǎn)評估,進(jìn)行風(fēng)險(xiǎn)評估具有很多重要意義,其中把傳統(tǒng)的以技術(shù)驅(qū)動(dòng)為導(dǎo)向的安全體系結(jié)構(gòu)設(shè)計(jì)進(jìn)行有力改變,這是它的一個(gè)重要意義;有關(guān),信息安全風(fēng)險(xiǎn)評估,其對信息系統(tǒng)安全風(fēng)險(xiǎn)的識別,主要是結(jié)合資產(chǎn)的重要程度來進(jìn)行,在遵循成本—效益這一原則的基礎(chǔ)上,當(dāng)信息系統(tǒng)面臨著以下這兩種情況時(shí),對它進(jìn)行全面評估:第一種情況,當(dāng)信息系統(tǒng)面臨著威脅;第二種情況,當(dāng)信息系統(tǒng)因本身脆弱性而被威脅源所利用、導(dǎo)致本身可能出現(xiàn)安全問題、由此可見,所謂信息安全風(fēng)險(xiǎn)評估,就是基于安全管理這個(gè)角度考慮,采用合理的手段和分析方法,對有關(guān)信息系統(tǒng)以及信息化業(yè)務(wù),當(dāng)其面臨來自自然或者人為威脅時(shí)所產(chǎn)生的脆弱性進(jìn)行比較系統(tǒng)地分析,并對可能造成安全事件的危害程度進(jìn)行相應(yīng)的評估,在此基礎(chǔ)上,并能夠把那些具有防御效果的對策以及整改措施有針對性地提出來,以讓網(wǎng)絡(luò)和信息安全能夠得到最大的保障。
1 有關(guān)信息安全風(fēng)險(xiǎn)評估中的幾個(gè)重要問題的認(rèn)識
1.1 對有關(guān)網(wǎng)絡(luò)信息安全的主要內(nèi)容以及主要因素這個(gè)重要問題的認(rèn)識
(1)有關(guān)網(wǎng)絡(luò)信息安全的主要內(nèi)容。所謂網(wǎng)絡(luò)信息安全,顧名思義就是指當(dāng)前網(wǎng)絡(luò)中各種各樣網(wǎng)絡(luò)信息的安全,這是從狹義這個(gè)層面來考慮的;如果從廣義這個(gè)層面來看,除了前面所提到的各種信息安全外,還包括整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全,諸如各種軟硬件、存儲以及傳輸、數(shù)據(jù)以及數(shù)據(jù)處理等等使用過程。總的看來,網(wǎng)絡(luò)信息安全具有以下五大方面上的典型特征,如下表所示:
五大典型特征 具體含義
①具有保密性特征 也就是不準(zhǔn)把有關(guān)網(wǎng)絡(luò)信息泄漏給非授權(quán)的實(shí)體或者個(gè)人
②具有完整性特征 也就是對于未經(jīng)授權(quán)的信息,一律不準(zhǔn)對其進(jìn)行修改或者加以破壞
③具有可用性特征 對于那些合法的用戶,能夠正常訪問相關(guān)的信息
④具有可控性特征 能夠有效并且合法控制相關(guān)的信息內(nèi)容及其傳播過程
⑤具有可審查性特征 為使能事后查詢核對,在信息使用過程中要而且必須有進(jìn)行相關(guān)的記錄
表一:網(wǎng)絡(luò)信息安全的典型特征
(2)有關(guān)網(wǎng)絡(luò)信息安全的風(fēng)險(xiǎn)因素。為了能夠?qū)@個(gè)網(wǎng)絡(luò)信息安全問題所具有的復(fù)雜性進(jìn)行有效解決并且能夠順利地找到一個(gè)解決或者考慮這類問題的出發(fā)點(diǎn),就必須從研究有關(guān)網(wǎng)絡(luò)信息安全的那些風(fēng)險(xiǎn)因素入手,為了更好地認(rèn)識和研究有關(guān)這些網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)因素,在現(xiàn)階段,可以把它們分為幾大類型,如下表所示:
主要類型 具體內(nèi)容
①來自自然方面的因素 例如火災(zāi)、水災(zāi)、地震、雷電、臺風(fēng)、寒潮、海嘯等等
②來自網(wǎng)絡(luò)硬件方面的因素 例如機(jī)房的(路由器、交換機(jī)以及服務(wù)器)等,因受外界因素(溫度、濕度、灰塵、電磁干擾)等所產(chǎn)生的影響
③來自軟件方面的因素 主要包括①機(jī)房設(shè)備(機(jī)房服務(wù)器和管理軟件等),②用戶計(jì)算機(jī)操作系統(tǒng),③各種服務(wù)器數(shù)據(jù)庫配置的合理性與否,④殺毒軟件、防火墻等等其他應(yīng)用軟件
④來自人為方面的因素 具體包括那些對網(wǎng)絡(luò)信息進(jìn)行使用和管理的種種行為所帶來的種種影響,諸如惡意代碼、木馬攻擊、操作失誤、數(shù)據(jù)泄露、騙取口令、拒絕服務(wù)等等
表二:網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)因素的主要類型
1.2 對有關(guān)安全風(fēng)險(xiǎn)評估方法這個(gè)重要問題的認(rèn)識
(1)有關(guān)定制個(gè)性化這種評估方法。在當(dāng)前有關(guān)比較標(biāo)準(zhǔn)的評估方法極其流程雖然已經(jīng)有了很多種,但是在具體的實(shí)際應(yīng)用當(dāng)中,單純的套用或者拷貝這些方法是不可取的,比較正確的做法應(yīng)該是把它們作為一個(gè)參考,結(jié)合企業(yè)的具體情況以及企業(yè)相關(guān)安全風(fēng)險(xiǎn)評估方面的能力,對這些標(biāo)準(zhǔn)的評估方法進(jìn)行重新組合,以產(chǎn)生出具有個(gè)性化特點(diǎn)的評估方法,從而促使相關(guān)進(jìn)行的評估服務(wù)能夠具有靈活性以及可裁剪性的特點(diǎn)。具體的評估種類比較多,諸如網(wǎng)絡(luò)結(jié)構(gòu)評估、IT安全評估、滲透測試以及整體評估等等。
(2)有關(guān)安全整體框架的設(shè)計(jì)。進(jìn)行風(fēng)險(xiǎn)評估,其目的不僅僅要懂得風(fēng)險(xiǎn),更為重要的是要進(jìn)行風(fēng)險(xiǎn)管理并為之提供所需要的依據(jù)。管理風(fēng)險(xiǎn),其安全整體框架在于評估的直接輸出;但是對于具體的企業(yè)來說,由于它們所處的環(huán)境不一樣,各自的需求也都不相同,此外,從他們工作層面這個(gè)角度考慮,其可供參考的模版都不是很多,這就到來了不是很多的整體框架應(yīng)用。但是,把最近一、兩年內(nèi)的框架完成好,這是企業(yè)至少也要做到的,這樣才有可能做到有據(jù)可依。
(3)有關(guān)多用戶決策的評估。由于不同的問題可以被不同層面的用戶所看到,因而要對風(fēng)險(xiǎn)進(jìn)行全面了解,有關(guān)多用戶溝通評估這項(xiàng)工作就要經(jīng)常進(jìn)行。把多用戶的相關(guān)決策過程取自于其評估過程,將大大有利對風(fēng)險(xiǎn)進(jìn)行全面的了解和深入的理解,并且能夠把對風(fēng)險(xiǎn)的管理真正落實(shí)到行動(dòng)上。很多實(shí)踐表明,讓多用戶共同參與,具有非常顯著的效果。因此,進(jìn)行多用戶相關(guān)的決策評估,具有一個(gè)具體的方法以及流程也顯得極其重要。
1.3 對有關(guān)風(fēng)險(xiǎn)評估過程這個(gè)重要問題的認(rèn)識
(1)準(zhǔn)備階段—前期。在這一階段,主要的工作有,首先要明確所評估的目標(biāo);其次是對于所涉及的評估范圍要進(jìn)行確定,并且要把相關(guān)的協(xié)議以及合同簽署好;最后要把已經(jīng)存在的那些被評估對象的相關(guān)材料進(jìn)行接收,并就此對評估對象展開其研究調(diào)查工作。
(2)現(xiàn)場階段—中期。在這一階段,相關(guān)測評方案要進(jìn)行編寫,并且要把相應(yīng)的管理問卷以及現(xiàn)場測試表準(zhǔn)備好,在這個(gè)基礎(chǔ)上,再把調(diào)查研究階段以及現(xiàn)場階段的測試有條不紊地進(jìn)行開展。
(3)評估階段—后期。在最后這一階段,要把測試報(bào)告進(jìn)行系統(tǒng)編寫,相關(guān)調(diào)查研究要進(jìn)行相應(yīng)的補(bǔ)充和完善,在把這兩項(xiàng)重要工作完成后,評估者要據(jù)此得出最終的風(fēng)險(xiǎn)評估報(bào)告。
2 結(jié)束語
總而言之,建設(shè)信息系統(tǒng)管理體系和安全體系的基礎(chǔ)就是信息安全風(fēng)險(xiǎn)評估;進(jìn)行風(fēng)險(xiǎn)評估,不僅可以讓信息系統(tǒng)的安全狀況得到進(jìn)一步的明確,也可以讓信息系統(tǒng)的主要安全風(fēng)險(xiǎn)得到進(jìn)一步的明確;因此,在當(dāng)前進(jìn)行信息安全風(fēng)險(xiǎn)評估,對于及早發(fā)現(xiàn)信息系統(tǒng)的安全隱患并且采取相應(yīng)的防御方案以保證信息系統(tǒng)安全具有極其重要的意義。
參考文獻(xiàn):
[1]剛.信息安全風(fēng)險(xiǎn)評估的策劃[J].信息技術(shù)與標(biāo)準(zhǔn)化,2008,9.
關(guān)鍵詞:信息系統(tǒng);安全風(fēng)險(xiǎn);研究進(jìn)展
一、國外研究進(jìn)展
國外對動(dòng)態(tài)風(fēng)險(xiǎn)評估研究主要包括動(dòng)態(tài)風(fēng)險(xiǎn)評估的體系架構(gòu)、工具和關(guān)鍵技術(shù)等。在動(dòng)態(tài)風(fēng)險(xiǎn)評估的體系架構(gòu)方面,1999年Tim Bass首次提出了網(wǎng)絡(luò)安全態(tài)勢感知概念,隨即又提出了基于多傳感器數(shù)據(jù)融合的入侵檢測框架,并把該框架用于下一代入侵檢測系統(tǒng)和網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng),采用該框架實(shí)現(xiàn)入侵行為檢測、入侵率計(jì)算、入侵者身份和入侵者行為識別、態(tài)勢評估以及威脅評估等功能。StephenG. Batsell,JasonShifflet等人也提出了類似的模型。美國國防部提出了JDL(Joint Director of Laboratories)模型的網(wǎng)絡(luò)態(tài)勢感知總體框架結(jié)構(gòu),此模型主要包括多源異構(gòu)數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理、事件關(guān)聯(lián)和目標(biāo)識別、態(tài)勢評估、威脅評估、響應(yīng)與預(yù)警、態(tài)勢可視化顯示以及過程優(yōu)化控制與管理等功能模塊。動(dòng)態(tài)風(fēng)險(xiǎn)評估由于評估頻次高,因此應(yīng)充分使用自動(dòng)化工具代替人工勞動(dòng),力爭做到對實(shí)時(shí)風(fēng)險(xiǎn)的監(jiān)控和計(jì)算,同時(shí)抓住最重要風(fēng)險(xiǎn)來分析。在動(dòng)態(tài)風(fēng)險(xiǎn)評估的工具方面,可依托的工具包括評估威脅的入侵檢測系統(tǒng)、異常流量分析系統(tǒng)、日志分析系統(tǒng)等,評估脆弱性的網(wǎng)絡(luò)掃描器、應(yīng)用掃描工具等。
在動(dòng)態(tài)風(fēng)險(xiǎn)評估的技術(shù)方面,動(dòng)態(tài)風(fēng)險(xiǎn)評估領(lǐng)域涉及到數(shù)據(jù)采集、數(shù)據(jù)融合、態(tài)勢可視化等多項(xiàng)技術(shù),網(wǎng)絡(luò)動(dòng)態(tài)風(fēng)險(xiǎn)評估的難點(diǎn)主要集中在對態(tài)勢的正確理解和合理預(yù)測上。關(guān)于動(dòng)態(tài)風(fēng)險(xiǎn)評估相關(guān)技術(shù)研究很多,例如在數(shù)據(jù)采集技術(shù)方面,按照數(shù)據(jù)源分為基于系統(tǒng)配置信息(服務(wù)設(shè)置系統(tǒng)中存在的漏洞等)和基于系統(tǒng)運(yùn)行信息(IDS日志中顯示的系統(tǒng)所受攻擊狀況等)兩大類數(shù)據(jù)采集;在數(shù)據(jù)融合技術(shù)方面,Tim Bass首次提出將JDL模型直接運(yùn)用到網(wǎng)絡(luò)態(tài)勢感知領(lǐng)域,這為以后數(shù)據(jù)融合技術(shù)在網(wǎng)絡(luò)態(tài)勢感知領(lǐng)域的應(yīng)用奠定了基礎(chǔ),Christos Siaterlis等人運(yùn)用數(shù)據(jù)融合技術(shù)設(shè)計(jì)出檢測DDoS攻擊的模型;在態(tài)勢可視化技術(shù)方面,H.Koike和K.Ohno專門為分析Snort日志以及Syslog數(shù)據(jù)開發(fā)了SnortView系統(tǒng),可以實(shí)現(xiàn)每2min對視圖的一次更新,并可以顯示4h以內(nèi)的報(bào)警數(shù)據(jù)。
二、國內(nèi)研究進(jìn)展
我國對網(wǎng)絡(luò)和信息安全保障工作高度重視,了中辦發(fā)[2003]27號《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》、中辦發(fā)[2006]11號《2006—2020年國家信息化發(fā)展戰(zhàn)略》等文件部署安全風(fēng)險(xiǎn)評估等安全工作,但是由于我國關(guān)于安全風(fēng)險(xiǎn)評估研究起步的較晚,目前國內(nèi)整體處于起步和借鑒階段,大多數(shù)研究主要面向信息系統(tǒng),針對電信網(wǎng)絡(luò)的特點(diǎn)進(jìn)行風(fēng)險(xiǎn)評估的研究和應(yīng)用較少。
在安全風(fēng)險(xiǎn)評估模型、方法和工具方面,我國雖然已經(jīng)有一些相關(guān)的文章和專著,但是也還局限在對已有國際模型、方法和工具的分析和模仿上,缺乏科學(xué)、有效、得到廣泛認(rèn)可的方法和工具,尤其針對電信網(wǎng)的業(yè)務(wù)和網(wǎng)絡(luò)特點(diǎn)的可操作性強(qiáng)、得到普遍認(rèn)可的風(fēng)險(xiǎn)評估方法和工具較少。
國內(nèi)對安全動(dòng)態(tài)風(fēng)險(xiǎn)評估的研究還屬于起步階段,相關(guān)研究主要包括動(dòng)態(tài)風(fēng)險(xiǎn)評估的體系架構(gòu)、相關(guān)關(guān)鍵技術(shù)等。在體系架構(gòu)方面,西安交通大學(xué)研究并實(shí)現(xiàn)了基于IDS和防火墻的集成化網(wǎng)絡(luò)安全監(jiān)控平臺,提出了基于統(tǒng)計(jì)分析的層次化(從上到下分為系統(tǒng)、主機(jī)、服務(wù)和攻擊/漏洞4個(gè)層次)安全態(tài)勢量化評估模型,采用了自下而上、先局部后整體的評估策略及相應(yīng)計(jì)算方法,此方面也是在動(dòng)態(tài)風(fēng)險(xiǎn)評估領(lǐng)域普遍采用的方法。北京理工大學(xué)信息安全與對抗技術(shù)研究中心研制了一套基于局域網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢評估系統(tǒng),由網(wǎng)絡(luò)安全風(fēng)險(xiǎn)狀態(tài)評估和網(wǎng)絡(luò)威脅發(fā)展趨勢預(yù)測兩部分組成,用于評估網(wǎng)絡(luò)設(shè)備及結(jié)構(gòu)的脆弱性、安全威脅水平等。在關(guān)鍵技術(shù)方面,安全領(lǐng)域?qū)<荫T毅從我軍信息與網(wǎng)絡(luò)安全的角度出發(fā),闡述了我軍積極開展網(wǎng)絡(luò)安全態(tài)勢感知研究的必要性和重要性,指出了多源傳感器數(shù)據(jù)融合和數(shù)據(jù)挖掘兩項(xiàng)關(guān)鍵技術(shù)。國防科技大學(xué)的胡華平等人提出了面向大規(guī)模網(wǎng)絡(luò)的入侵檢測與預(yù)警系統(tǒng)的基本框架及其關(guān)鍵技術(shù)與難點(diǎn)問題。另外,國內(nèi)也有一些科研機(jī)構(gòu)嘗試把數(shù)據(jù)融合技術(shù)應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域,提出了應(yīng)用數(shù)據(jù)融合技術(shù)的網(wǎng)絡(luò)安全分析評估系統(tǒng)、入侵檢測系統(tǒng)等。
但是總體來說,國內(nèi)在動(dòng)態(tài)風(fēng)險(xiǎn)評估研究方面取得的成果有限,仍沒有成熟的、實(shí)用的技術(shù)或工具,更缺乏針對電信網(wǎng)進(jìn)行動(dòng)態(tài)風(fēng)險(xiǎn)評估的相關(guān)研究,現(xiàn)有研究成果還存在動(dòng)態(tài)評估的實(shí)時(shí)性不強(qiáng)、采集的數(shù)據(jù)不夠豐富有效、對風(fēng)險(xiǎn)態(tài)勢的預(yù)測研究不夠等諸多問題。
參考文獻(xiàn):
[1] 彭凌西;陳月峰;劉才銘;曾金全;劉孫俊;趙輝;;基于危險(xiǎn)理論的網(wǎng)絡(luò)風(fēng)險(xiǎn)評估模型[J];電子科技大學(xué)學(xué)報(bào);2007年06期
[2] 李波;;入侵檢測技術(shù)面臨的挑戰(zhàn)與未來發(fā)展趨勢[J];電子科技;2007年07期
[3] 丁麗萍;論計(jì)算機(jī)取證的原則和步驟[J];中國人民公安大學(xué)學(xué)報(bào)(自然科學(xué)版);2005年01期
[4] 趙冬梅;張玉清;馬建峰;;網(wǎng)絡(luò)安全的綜合風(fēng)險(xiǎn)評估[J];計(jì)算機(jī)科學(xué);2004年07期
【關(guān)鍵詞】電力企業(yè);信息安全;風(fēng)險(xiǎn)防御
和諧社會(huì)的發(fā)展是政治、經(jīng)濟(jì)、文化、社會(huì)和生態(tài)多方面合力的結(jié)果,科技的進(jìn)步使得電力企業(yè)意識到亟需盡快的對電力系統(tǒng)進(jìn)行革新,從計(jì)劃經(jīng)濟(jì)到市場經(jīng)濟(jì)體制的改革中,電力企業(yè)為了適應(yīng)這樣的變化,加強(qiáng)了對管理體制的合理改變和生產(chǎn)效率的大步提高,拉開了電力系統(tǒng)改革的序幕。安全的信息網(wǎng)絡(luò)系統(tǒng)的構(gòu)建是電力企業(yè)發(fā)展改革過程中至關(guān)重要的一個(gè)環(huán)節(jié),有效的將電力企業(yè)的信息安全系統(tǒng)與其管理和考核進(jìn)行有機(jī)結(jié)合,更好的服務(wù)于電力企業(yè)的生產(chǎn)、經(jīng)營和管理,電力企業(yè)安全信息系統(tǒng)風(fēng)險(xiǎn)評估與防御也就成為了電力企業(yè)在經(jīng)濟(jì)全球化進(jìn)程中亟待重視的問題所在。
1 電力企業(yè)安全信息系統(tǒng)風(fēng)險(xiǎn)評估
1.1 企業(yè)規(guī)模發(fā)展迅速,信息網(wǎng)絡(luò)安全意識淡薄
電力資源是我們社會(huì)生活中必不可少的一部分,電力企業(yè)在相對壟斷的情況下,發(fā)展極其迅速,但在這樣的過程中,我們可以看到,大多數(shù)電力企業(yè)僅僅對基礎(chǔ)設(shè)施和簡單的網(wǎng)絡(luò)構(gòu)建有著重視力度,卻沒有對安全信息系統(tǒng)的風(fēng)險(xiǎn)認(rèn)識足夠,這種情況下必然產(chǎn)生了諸如網(wǎng)絡(luò)安全防御意識差,對網(wǎng)絡(luò)信息安全防范的資金投入不足等不良情況的出現(xiàn)。企業(yè)規(guī)模越來越大,對企業(yè)安全信息系統(tǒng)的維護(hù)資金投入?yún)s并不高,網(wǎng)絡(luò)安全技術(shù)沒能及時(shí)加強(qiáng),電力企業(yè)也就不能很好的抵御網(wǎng)絡(luò)風(fēng)險(xiǎn),對網(wǎng)絡(luò)入侵也顯得無所適從。
1.2 信息化安全資金投入少,管理機(jī)制有待完善
電力企業(yè)對安全信息網(wǎng)絡(luò)的建設(shè)的重視并不充分,有些電力企業(yè)在管理過程中對信息管理部門完全忽視,只是將企業(yè)的網(wǎng)絡(luò)信息安全的管理安排給幾個(gè)技術(shù)員或掛靠到生產(chǎn)技術(shù)部門,電力企業(yè)作為高盈利企業(yè)卻對信息安全資金投入并不充分,信息化管理制度也很不健全。電力企業(yè)安全信息機(jī)制的構(gòu)建是個(gè)長期的系統(tǒng)工程,我們必須注意到構(gòu)建專門的信息化部門的重要性,才能在激烈的市場競爭中使得電力企業(yè)更好的滿足其發(fā)展體制對信息化管理的需求。
2 電力企業(yè)安全信息系統(tǒng)的主要問題
2.1 信息安全化管理未分區(qū)
國家電力管理委員會(huì)出臺的5號規(guī)定,對電網(wǎng)企業(yè)、發(fā)電企業(yè)、供電企業(yè)等電力相關(guān)企業(yè)做出了有關(guān)其信息安全網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)構(gòu)建的明確規(guī)定,將這些企業(yè)的計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)系統(tǒng)大致分為了管理信息的部分以及生產(chǎn)控制的區(qū)域。信息管理區(qū)域可以依托各個(gè)企業(yè)不同的經(jīng)營管理模式對安全區(qū)進(jìn)行劃分,而生產(chǎn)控制區(qū)域一般來說應(yīng)該由可控制區(qū)和非可控區(qū)兩大部分構(gòu)成。在這樣兩個(gè)大的區(qū)域之間,電力企業(yè)必須在國家電力監(jiān)測認(rèn)定部門的監(jiān)督下安裝電力生產(chǎn)專用的單向橫向安全的隔離裝置。如若不能很好的遵從這樣一個(gè)標(biāo)準(zhǔn)對電力企業(yè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行管理,就經(jīng)常會(huì)出現(xiàn)企業(yè)管理信息大區(qū)部分網(wǎng)絡(luò)直接可以對生產(chǎn)控制區(qū)域的數(shù)據(jù)進(jìn)行訪問,出現(xiàn)網(wǎng)絡(luò)安全事件,影響電力企業(yè)的安全生產(chǎn)和發(fā)展。
2.2 網(wǎng)絡(luò)端口接點(diǎn)存在風(fēng)險(xiǎn)
互聯(lián)網(wǎng)技術(shù)的革新的步伐越來越快,企業(yè)的網(wǎng)絡(luò)系統(tǒng)安全建設(shè)卻并不牢靠,在部分環(huán)節(jié)仍然十分脆弱,在電力企業(yè)的信息安全網(wǎng)絡(luò)建設(shè)中, Web程序漏洞、系統(tǒng)漏洞不斷出現(xiàn),對病毒的侵入無力抵抗,為黑客、病毒制造者提供了入侵的機(jī)會(huì),這些信息安全威脅的發(fā)生可能會(huì)引起電力企業(yè)網(wǎng)絡(luò)安全系統(tǒng)的癱瘓和網(wǎng)絡(luò)故障,為企業(yè)造成了這些安全威脅使得企業(yè)利益造成了巨大的損失。在最近的一項(xiàng)調(diào)查數(shù)據(jù)中顯示,電力企業(yè)中遭受到的網(wǎng)絡(luò)安全信息系統(tǒng)威脅中約有70%是由于網(wǎng)絡(luò)系統(tǒng)內(nèi)部的危險(xiǎn)侵襲。這種危害的可能發(fā)現(xiàn)于諸多方面:對于敏感數(shù)據(jù)的濫用,對于內(nèi)部員工的信息監(jiān)管不力使得信息泄露都提升了企業(yè)的運(yùn)行風(fēng)險(xiǎn)。
2.3 互聯(lián)網(wǎng)病毒的侵害
從口語傳播時(shí)代到印刷傳播時(shí)代,直至現(xiàn)在的網(wǎng)絡(luò)傳播時(shí)代,互聯(lián)網(wǎng)的高速發(fā)展使得網(wǎng)絡(luò)病毒也迅速得以傳播和擴(kuò)散。諸多的電力企業(yè)網(wǎng)絡(luò)內(nèi)外相連,覆蓋范圍相當(dāng)廣泛,網(wǎng)絡(luò)病毒經(jīng)??梢杂袡C(jī)可乘,牽一發(fā)而動(dòng)全身,從一臺電腦的病毒侵害到整個(gè)電力網(wǎng)絡(luò)系統(tǒng),造成網(wǎng)絡(luò)通信的阻塞,使得整個(gè)系統(tǒng)中的文件和關(guān)鍵數(shù)據(jù)得不到完整的保存,造成不可預(yù)計(jì)的后果。
2.4 信息安全人員防范意識較低
電力企業(yè)信息防范人員對信息安全應(yīng)用系統(tǒng)的管理是保障信息網(wǎng)絡(luò)安全系統(tǒng)的重要一部分。數(shù)據(jù)庫操作系統(tǒng)的規(guī)劃和防范都離不開信息安全人員的有力防范,但在如今的電力企業(yè)信息安全系統(tǒng)的管理過程中,相關(guān)人員防范意識低下的情況屢屢發(fā)生,由此引發(fā)的網(wǎng)絡(luò)安全漏洞泄露了電力企業(yè)機(jī)密信息,造成了很大的安全隱患,使企業(yè)遭受安全沖擊。用戶的網(wǎng)絡(luò)安全防范意識低下是現(xiàn)如今網(wǎng)絡(luò)安全的通病,大多數(shù)的用戶都認(rèn)為網(wǎng)絡(luò)自身有著一定的自我安全防范意識,對電腦提示的病毒預(yù)警視而不見,電力企業(yè)中也沒有很好的避免這一點(diǎn),部分工作人員重技術(shù)輕管理,網(wǎng)絡(luò)安全信息管理機(jī)制的不完善,也給企業(yè)的網(wǎng)絡(luò)帶來了十分大的管理風(fēng)險(xiǎn),這就迫切的要求應(yīng)該對網(wǎng)絡(luò)的安全機(jī)制進(jìn)行完善,也應(yīng)該主動(dòng)自高工作人員自身的安全防范意識。
3 電力企業(yè)安全信息系統(tǒng)風(fēng)險(xiǎn)防御
3.1 防火墻技術(shù)的運(yùn)用
防火墻技術(shù)是現(xiàn)今社會(huì)經(jīng)常用于互聯(lián)網(wǎng)風(fēng)險(xiǎn)防御的重要手段之一,多用于將可信任網(wǎng)絡(luò)和非信任網(wǎng)絡(luò)之間相隔開來。電力企業(yè)的生產(chǎn)經(jīng)營和管理的過程中的運(yùn)行調(diào)度中都應(yīng)該加強(qiáng)在安全檢查中對網(wǎng)絡(luò)節(jié)點(diǎn)的關(guān)注,限制對含帶危險(xiǎn)信息的領(lǐng)域的訪問。電力企業(yè)在生產(chǎn)經(jīng)營、分散控制和運(yùn)行調(diào)度的過程中對防火墻技術(shù)的運(yùn)用有效的將信息的采集、整合和應(yīng)用都限制在可掌控的范圍內(nèi),在不同的權(quán)限內(nèi)最大限度的合理的運(yùn)用著相關(guān)資源。
3.2 網(wǎng)絡(luò)病毒侵襲的防護(hù)
電力企業(yè)關(guān)系著國家重要電力資源的開發(fā)和應(yīng)用,為了保護(hù)電力資源的安全,必須要從內(nèi)到外的構(gòu)建起全方位的網(wǎng)絡(luò)病毒防侵害系統(tǒng),更好的對來自于各個(gè)方面的病毒信息進(jìn)行防護(hù)。只有提高了企業(yè)的整體安全性,在互聯(lián)網(wǎng)和周邊的局域網(wǎng)內(nèi)都安裝好防病毒侵襲的安全網(wǎng)關(guān)和內(nèi)置的病毒防護(hù)軟件,才能使得電力企業(yè)免受網(wǎng)絡(luò)病毒的侵襲,各個(gè)方面的數(shù)據(jù)得以安全與穩(wěn)定的保存。
在電力企業(yè)的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)中,對接入點(diǎn)客戶的安全策略檢測和身份認(rèn)證都是必不可少的,若不能通過檢測的用戶應(yīng)該被嚴(yán)令禁止在網(wǎng)絡(luò)之外進(jìn)行隔離。無論是無線用戶還是有限用戶,都將面對互聯(lián)網(wǎng)訪問客戶端從驗(yàn)證、授權(quán)到阻止未授權(quán)的計(jì)算機(jī)網(wǎng)絡(luò)資源的過程,只有在一系列的檢測中得到審核通過才可以拿到進(jìn)入內(nèi)部網(wǎng)絡(luò)的通行證,網(wǎng)絡(luò)病毒越來越厲害,愈發(fā)侵入性越強(qiáng),對此,電力企業(yè)對客戶端主機(jī)應(yīng)該進(jìn)行更加嚴(yán)密的考察,不間斷的對病毒特征信息庫進(jìn)行更新,維護(hù)好網(wǎng)絡(luò)的完整和安全性。
3.3 虛擬網(wǎng)的數(shù)據(jù)備份技術(shù)
互聯(lián)網(wǎng)技術(shù)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)置,加之很好的利用交換機(jī)、路由器等功能設(shè)置,可以使網(wǎng)絡(luò)管理員將任何一個(gè)相關(guān)局域網(wǎng)內(nèi)的一些網(wǎng)段結(jié)合起來,組成一個(gè)局域網(wǎng)。在這個(gè)局域網(wǎng)里的信息傳遞速度更加迅速,傳播速度的加快使得網(wǎng)絡(luò)信息安全生產(chǎn)過程中的管理效率得到提高,使得電力企業(yè)的數(shù)據(jù)被竊聽的可能性不斷的降低。與此同時(shí),現(xiàn)在電力企業(yè)在大多數(shù)情況下都會(huì)對重要的資料進(jìn)行數(shù)據(jù)庫的備份工作,這樣構(gòu)建起對電力企業(yè)信息網(wǎng)絡(luò)安全系統(tǒng)的應(yīng)急預(yù)案,可以在出現(xiàn)網(wǎng)絡(luò)侵襲時(shí)及時(shí)的對關(guān)鍵業(yè)務(wù)和應(yīng)用程序進(jìn)行保護(hù),確保核心數(shù)據(jù)系統(tǒng)在出現(xiàn)損害時(shí),企業(yè)核心安全得到保護(hù)。
3.4 終端設(shè)備的網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)
可采用基于網(wǎng)關(guān)認(rèn)證的硬件控制技術(shù),實(shí)現(xiàn)對通過無線網(wǎng)絡(luò)、有線網(wǎng)絡(luò)、VPN網(wǎng)絡(luò)、wifi網(wǎng)絡(luò)等方式連接的設(shè)備進(jìn)行接入控制。同時(shí),采用“報(bào)備重定向+注冊重定向”的雙重認(rèn)證保護(hù)技術(shù),對非法接入的終端設(shè)備進(jìn)行強(qiáng)制重定向安全檢查。對不符合安全等級要求的終端設(shè)備,可根據(jù)系統(tǒng)策略限制用戶接入網(wǎng)絡(luò)或?qū)⑵湓L問限制在隔離區(qū)。
網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)應(yīng)以細(xì)致、準(zhǔn)確、迅速為原則,對網(wǎng)絡(luò)資源訪問進(jìn)行控制,尤其是一些核心的網(wǎng)絡(luò)應(yīng)用,包括C/S、B/S以及服務(wù)器應(yīng)用;以精益化的客戶端聯(lián)動(dòng)管理為核心,基于多種授權(quán)方式,包括單用戶授權(quán)、用戶組授權(quán)、白名單授權(quán)等方式,實(shí)現(xiàn)對未受控客戶端實(shí)施不同用戶級別的可靠便捷的接入控制。
4 結(jié)論
電力企業(yè)的安全信息系統(tǒng)是電力企業(yè)信息化管理的重要內(nèi)容之一,有效的對電力企業(yè)安全信息系統(tǒng)將要面臨的風(fēng)險(xiǎn)進(jìn)行評估并且提出切實(shí)可行的防御措施,是保障電力企業(yè)現(xiàn)代化管理的有力手段。隨著近些年來互聯(lián)網(wǎng)技術(shù)的增強(qiáng),電力企業(yè)的安全系統(tǒng)構(gòu)建也愈發(fā)的完善,為電力企業(yè)的良性循環(huán)運(yùn)行提供了必要的技術(shù)支持和保障,因此,我們應(yīng)該重視對互聯(lián)網(wǎng)信息的保護(hù),防御病毒的侵害,為為電力企業(yè)的安全信息系統(tǒng)的正常運(yùn)行營造起安全的網(wǎng)絡(luò)環(huán)境。
參考文獻(xiàn):
[1]陳偉.電力系統(tǒng)網(wǎng)絡(luò)安全體系研究[J].電力系統(tǒng)通信,2008(01).
[2]牟奕欣.關(guān)于電力系統(tǒng)的網(wǎng)絡(luò)安全的探討[J].中國經(jīng)貿(mào),2010(14).
【 關(guān)鍵詞 】 內(nèi)蒙古電力公司信息系統(tǒng);信息安全;風(fēng)險(xiǎn)評估;探索與思考
The Exploration and Inspiration of Risk Assessment on Information Systems
in Inner Mongolia Power (Group) Co., Ltd.
Ao Wei 1 Zhuang Su-shuai 2
(1.Information Communication Branch of the Inner Mongolia Power (Group)Co., Ltd Inner MongoliaHohhot 010020;
2.Beijing Certificate Authority Co., Ltd Beijing 100080)
【 Abstract 】 Based on the conduct of information security risk assessment in Inner Mongolia Power (Group) Co. Ltd., we analyzed the general methods of risk assessment on power information systems. Besides, we studied the techniques and overall process of risk assessment on power information systems in Inner Mongolia Power (Group) Co. Ltd., whose exploration provides valuable inspiration to information security in electric power industry.
【 Keywords 】 information systems of Inner Mongolia Power (Group) Co., Ltd.; information security; risk assessment; exploration and inspiration
1 引言
目前,電力行業(yè)信息安全的研究只停留于網(wǎng)絡(luò)安全防御框架與防御技術(shù)的應(yīng)用層面,缺少安全評估方法與模型研究。文獻(xiàn)[1]-[3]只初步分析了信息安全防護(hù)體系的構(gòu)架與策略,文獻(xiàn)[4]、[5]研究了由防火墻、VPN、PKI和防病毒等多種技術(shù)構(gòu)建的層次式信息安全防護(hù)體系。這些成果都局限于單純的信息安全保障技術(shù)的改進(jìn)與應(yīng)用。少數(shù)文獻(xiàn)對電力信息安全評估模型進(jìn)行了討論,但對于安全風(fēng)險(xiǎn)評估模型的研究都不夠深入。文獻(xiàn)[6]、文獻(xiàn)[7]只定性指出了安全風(fēng)險(xiǎn)分析需要考慮的內(nèi)容;文獻(xiàn)[8]討論了一種基于模糊數(shù)學(xué)的電力信息安全評估模型,這種模型本質(zhì)上依賴于專家的經(jīng)驗(yàn),帶有主觀性;文獻(xiàn)[9]只提出了一種電力信息系統(tǒng)安全設(shè)計(jì)的建模語言和定量化評估方法,但是并未對安全風(fēng)險(xiǎn)的評估模型進(jìn)行具體分析。
本文介紹了內(nèi)蒙古電力信息系統(tǒng)風(fēng)險(xiǎn)評估的相關(guān)工作,并探討了內(nèi)蒙古電力信息系統(tǒng)風(fēng)險(xiǎn)評估工作在推動(dòng)行業(yè)信息安全保護(hù)方面帶給我們的啟示。
2 內(nèi)蒙古電力信息安全風(fēng)險(xiǎn)評估工作
隨著電網(wǎng)規(guī)模的日益擴(kuò)大,內(nèi)蒙古電力信息系統(tǒng)日益復(fù)雜,電網(wǎng)運(yùn)行對信息系統(tǒng)的依賴性不斷增加,對電力系統(tǒng)信息安全的要求也越來越高。因此,在電力行業(yè)開展信息安全風(fēng)險(xiǎn)評估工作,研究電力信息安全問題,顯得尤為必要。
根據(jù)國家關(guān)于信息安全的相關(guān)標(biāo)準(zhǔn)與政策,并根據(jù)實(shí)際業(yè)務(wù)情況,內(nèi)蒙古電力公司委托北京數(shù)字認(rèn)證股份有限公司(BJCA)對信息系統(tǒng)進(jìn)行了有效的信息安全風(fēng)險(xiǎn)評估工作。評估的內(nèi)容主要包括系統(tǒng)面臨的安全威脅與系統(tǒng)脆弱性兩個(gè)方面,以解決電力信息系統(tǒng)面臨的的安全風(fēng)險(xiǎn)。
3 電力系統(tǒng)信息安全風(fēng)險(xiǎn)評估的解決方案
通過對內(nèi)蒙古電力信息系統(tǒng)的風(fēng)險(xiǎn)評估工作,我們可以總結(jié)出電力信息系統(tǒng)風(fēng)險(xiǎn)評估的解決方案。
4 電力信息系統(tǒng)風(fēng)險(xiǎn)評估的流程
電力信息系統(tǒng)風(fēng)險(xiǎn)評估的一般流程。
(1) 前期準(zhǔn)備階段。本階段為風(fēng)險(xiǎn)評估實(shí)施之前的必需準(zhǔn)備工作,包括對風(fēng)險(xiǎn)評估進(jìn)行規(guī)劃、確定評估團(tuán)隊(duì)組成、明確風(fēng)險(xiǎn)評估范圍、準(zhǔn)備調(diào)查資料等。
(2) 現(xiàn)場調(diào)查階段:實(shí)施人員對評估信息系統(tǒng)進(jìn)行詳細(xì)調(diào)查,收集數(shù)據(jù)信息,包括信息系統(tǒng)資產(chǎn)組成、系統(tǒng)資產(chǎn)脆弱點(diǎn)、組織管理脆弱點(diǎn)、威脅因素等。
(3) 風(fēng)險(xiǎn)分析階段:根據(jù)現(xiàn)場調(diào)查階段獲得的相關(guān)數(shù)據(jù),選擇適當(dāng)?shù)姆治龇椒▽δ繕?biāo)信息系統(tǒng)的風(fēng)險(xiǎn)狀況進(jìn)行綜合分析。
(4) 策略制定階段:根據(jù)風(fēng)險(xiǎn)分析結(jié)果,結(jié)合目標(biāo)信息系統(tǒng)的安全需求制定相應(yīng)的安全策略,包括安全管理策略、安全運(yùn)行策略和安全體系規(guī)劃。
5 數(shù)據(jù)采集
在風(fēng)險(xiǎn)評估實(shí)踐中經(jīng)常使用的數(shù)據(jù)采集方式主要有三類。
(1) 調(diào)查表格。根據(jù)一定的采集目的而專門設(shè)計(jì)的表格,根據(jù)調(diào)查內(nèi)容、調(diào)查對象、調(diào)查方式、工作計(jì)劃的安排而設(shè)計(jì)。常用的調(diào)查表有資產(chǎn)調(diào)查表、安全威脅調(diào)查表、安全需求調(diào)查表、安全策略調(diào)查表等。
(2) 技術(shù)分析工具。常用的是一些系統(tǒng)脆弱性分析工具。通過技術(shù)分析工具可以直接了解信息系統(tǒng)目前存在的安全隱患的脆弱性,并確認(rèn)已有安全技術(shù)措施是否發(fā)揮作用。
(3) 信息系統(tǒng)資料。風(fēng)險(xiǎn)評估還需要通過查閱、分析、整理信息系統(tǒng)相關(guān)資料來收集相關(guān)資料。如:系統(tǒng)規(guī)劃資料、建設(shè)資料、運(yùn)行記錄、事故處理記錄、升級記錄、管理制度等。
a) 分析方法
風(fēng)險(xiǎn)評估的關(guān)鍵在于根據(jù)所收集的資料,采取一定的分析方法,得出信息系統(tǒng)安全風(fēng)險(xiǎn)的結(jié)論,因此,分析方法的正確選擇是風(fēng)險(xiǎn)評估的核心。
結(jié)合內(nèi)蒙電力信息系統(tǒng)風(fēng)險(xiǎn)評估工作的實(shí)踐,我們認(rèn)為電力行業(yè)信息安全風(fēng)險(xiǎn)分析的方法可以分為三類。
定量分析方法是指運(yùn)用數(shù)量指標(biāo)來對風(fēng)險(xiǎn)進(jìn)行評估,在風(fēng)險(xiǎn)評估與成本效益分析期間收集的各個(gè)組成部分計(jì)算客觀風(fēng)險(xiǎn)值,典型的定量分析方法有因子分析法、聚類分析法、時(shí)序模型、回歸模型、等風(fēng)險(xiǎn)圖法等。
定性分析方法主要依據(jù)評估者的知識、經(jīng)驗(yàn)、歷史教訓(xùn)、政策走向及特殊案例等非量化資料對系統(tǒng)風(fēng)險(xiǎn)狀況做出判斷的過程。在實(shí)踐中,可以通過調(diào)查表和合作討論會(huì)的形式進(jìn)行風(fēng)險(xiǎn)分析,分析活動(dòng)會(huì)涉及來自信息系統(tǒng)運(yùn)行和使用相關(guān)的各個(gè)部門的人員。
綜合分析方法中的安全風(fēng)險(xiǎn)管理的定性方法和定量方法都具有各自的優(yōu)點(diǎn)與缺點(diǎn)。在某些情況下會(huì)要求采用定量方法,而在其他情況下定性的評估方法更能滿足組織需求。
表1概括介紹了定量和定性方法的優(yōu)點(diǎn)與缺點(diǎn)。
b) 質(zhì)量保證
鑒于風(fēng)險(xiǎn)評估項(xiàng)目具有一定的復(fù)雜性和主觀性,只有進(jìn)行完善的質(zhì)量控制和嚴(yán)格的流程管理,才能保證風(fēng)險(xiǎn)評估項(xiàng)目的最終質(zhì)量。風(fēng)險(xiǎn)評估項(xiàng)目的質(zhì)量保障主要體現(xiàn)在實(shí)施流程的透明性以及對整體項(xiàng)目的可控性,質(zhì)量保障活動(dòng)需要在評估項(xiàng)目實(shí)施中提供足夠的可見性,確保項(xiàng)目實(shí)施按照規(guī)定的標(biāo)準(zhǔn)流程進(jìn)行。在內(nèi)蒙古電力風(fēng)險(xiǎn)評估的實(shí)踐中,設(shè)立質(zhì)量監(jiān)督員(或聘請獨(dú)立的項(xiàng)目監(jiān)理擔(dān)任)是一個(gè)有效的方法。質(zhì)量監(jiān)督員依照相應(yīng)各階段的實(shí)施標(biāo)準(zhǔn),通過記錄審核、流程監(jiān)理、組織評審、異常報(bào)告等方式對項(xiàng)目的進(jìn)度、質(zhì)量進(jìn)行控制。
6 內(nèi)蒙古電力信息安全風(fēng)險(xiǎn)評估的啟示
為了更好地開展風(fēng)險(xiǎn)評估工作,可以采取以下安全措施及管理辦法。
6.1 建立定期風(fēng)險(xiǎn)評估制度
信息安全風(fēng)險(xiǎn)管理是發(fā)達(dá)國家信息安全保障工作的通行做法。按照風(fēng)險(xiǎn)管理制度,適時(shí)開展風(fēng)險(xiǎn)評估工作,或建立風(fēng)險(xiǎn)評估的長效機(jī)制,將風(fēng)險(xiǎn)評估工作與信息系統(tǒng)的生命周期和安全建設(shè)聯(lián)系起來,讓風(fēng)險(xiǎn)評估成為信息安全保障工作運(yùn)行機(jī)制的基石。
6.2 編制電力信息系統(tǒng)風(fēng)險(xiǎn)評估實(shí)施細(xì)則
由于所有的信息安全風(fēng)險(xiǎn)評估標(biāo)準(zhǔn)給出的都是指導(dǎo)性文件,并沒有給出具體實(shí)施過程、風(fēng)險(xiǎn)要素識別方法、風(fēng)險(xiǎn)分析方法、風(fēng)險(xiǎn)計(jì)算方法、風(fēng)險(xiǎn)定級方法等,因此建議在國標(biāo)《信息安全風(fēng)險(xiǎn)評估指南》的框架下,編制適合電力公司業(yè)務(wù)特色的實(shí)施細(xì)則,根據(jù)選用的或自定義的風(fēng)險(xiǎn)計(jì)算方法,,制各種模板,以在電力信息系統(tǒng)實(shí)現(xiàn)評估過程和方法的統(tǒng)一。
6.3 加強(qiáng)風(fēng)險(xiǎn)評估基礎(chǔ)設(shè)施建設(shè),統(tǒng)一選配風(fēng)險(xiǎn)評估工具
風(fēng)險(xiǎn)評估工具是保障風(fēng)險(xiǎn)評估結(jié)果可信度的重要因素。應(yīng)根據(jù)選用的評估標(biāo)準(zhǔn)和評估方法,選擇配套的專業(yè)風(fēng)險(xiǎn)評估工具,向分支機(jī)構(gòu)配發(fā)或推薦。如漏洞掃描、滲透測試等評估輔助工具,及向評估人員提供幫助的資產(chǎn)分類庫、威脅參考庫、脆弱性參考庫、可能性定義庫、算法庫等評估輔助專家系統(tǒng)。
6.4 統(tǒng)一組織實(shí)施核心業(yè)務(wù)系統(tǒng)的評估
由于評估過程本身的風(fēng)險(xiǎn)性,對于重要的實(shí)時(shí)性強(qiáng)、社會(huì)影響大的核心業(yè)務(wù)系統(tǒng)的評估,由電力公司統(tǒng)一制定評估方案、組織實(shí)施、指導(dǎo)加固整改工作。
6.5 以自評估為主,自評估和檢查評估相結(jié)合
自評估和檢查評估各有優(yōu)缺點(diǎn),要發(fā)揮各自優(yōu)勢,配合實(shí)施,使評估的過程、方法和風(fēng)險(xiǎn)控制措施更科學(xué)合理。自評估時(shí),通過對實(shí)施過程、風(fēng)險(xiǎn)要素識別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)計(jì)算方法、評估結(jié)果、風(fēng)險(xiǎn)控制措施等重要環(huán)節(jié)的科學(xué)性、合理性進(jìn)行分析,得出風(fēng)險(xiǎn)判斷。
6.6 風(fēng)險(xiǎn)評估與信息系統(tǒng)等級保護(hù)應(yīng)結(jié)合起來
信息系統(tǒng)等級保護(hù)若與風(fēng)險(xiǎn)評估結(jié)合起來,則可相互促進(jìn),相互依托。等級保護(hù)的級別是依據(jù)系統(tǒng)的重要程度和安全三性來定義,而風(fēng)險(xiǎn)評估中的風(fēng)險(xiǎn)等級則是綜合考慮了信息的重要性、安全三性、現(xiàn)有安全控制措施的有效性及運(yùn)行現(xiàn)狀后的綜合結(jié)果。通過風(fēng)險(xiǎn)評估為信息系統(tǒng)確定安全等級提供依據(jù)。確定安全等級后,根據(jù)風(fēng)險(xiǎn)評估的結(jié)果作為實(shí)施等級保護(hù)、安全等級建設(shè)的出發(fā)點(diǎn)和參考,檢驗(yàn)網(wǎng)絡(luò)與信息系統(tǒng)的防護(hù)水平是否符合等級保護(hù)的要求。
參考文獻(xiàn)
[1] 魏曉菁, 柳英楠, 來風(fēng)剛. 國家電力信息網(wǎng)信息安全防護(hù)體系框架與策略. 計(jì)算機(jī)安全,2004,6.
[2] 魏曉菁,柳英楠,來風(fēng)剛. 國家電力信息網(wǎng)信息安全防護(hù)體系框架與策略研究. 電力信息化,2004,2(1).
[3] 沈亮. 構(gòu)建電力信息網(wǎng)安全防護(hù)框架. 電力信息化,2004,2(7).
[4] 梁運(yùn)華,李明,談順濤. 電力企業(yè)信息網(wǎng)網(wǎng)絡(luò)安全層次式防護(hù)體系探究. 電力信息化,2003,2(1).
[5] 周亮,劉開培,李俊娥. 一種安全的電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)構(gòu)建方案. 電網(wǎng)技術(shù),2004,28(23).
[6] 陳其,陳鐵,姚林等. 電力系統(tǒng)信息安全風(fēng)險(xiǎn)評估策略研究. 計(jì)算機(jī)安全,2007,6.
[7] 阮文峰. 電力企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)分析和評估. 計(jì)算機(jī)安全,2003(4).
[8] 叢林,李志民,潘明惠等. 基于模糊綜合評判法的電力系統(tǒng)信息安全評估. 電力系統(tǒng)自動(dòng)化,2004,28(12).
[9] 胡炎,謝小榮,辛耀中. 電力信息系統(tǒng)建模和定量安全評估. 電力系統(tǒng)自動(dòng)化,2005,29(10).
作者簡介:
關(guān)鍵詞:信息安全管理;ISO/IEC 27001;PDCA;資產(chǎn)識別;風(fēng)險(xiǎn)評估
中圖分類號:TP393 文獻(xiàn)標(biāo)識碼:A 文章編號:1009-2374(2011)30-0034-02
一、項(xiàng)目背景
電力工業(yè)是國民經(jīng)濟(jì)的支柱產(chǎn)業(yè),電力工業(yè)的安全問題直接關(guān)系到各行各業(yè)的發(fā)展和人民的生活水平,關(guān)系到國家安全和社會(huì)穩(wěn)定。當(dāng)前流行的信息技術(shù)的廣泛應(yīng)用大大改變了電力企業(yè)傳統(tǒng)的經(jīng)營管理模式和手段,支撐著電力生產(chǎn)、營銷和管理的全過程。如何有效保障信息安全,從而保證整個(gè)電力企業(yè)的生產(chǎn)安全,成為電力行業(yè)目前積極探索的新課題。
在這個(gè)大環(huán)境下,玉溪供電局作為云南電網(wǎng)的改革試點(diǎn)單位,大力進(jìn)行改革創(chuàng)新,引入國際信息安全管理標(biāo)準(zhǔn)ISO/IEC 27001,建立了完整的信息安全管理體系,有效的保證了信息安全,取得了很好的收效。
二、ISO/IEC 27001簡介
ISO/IEC 27001是有關(guān)信息安全管理的國際標(biāo)準(zhǔn)。最初源于英國標(biāo)準(zhǔn)BS7799,經(jīng)過十年的不斷改版,終于在2005年被國際標(biāo)準(zhǔn)化組織(ISO)轉(zhuǎn)化為正式的國際標(biāo)準(zhǔn),于2005年10月15日為ISO/IEC 27001:2005。該標(biāo)準(zhǔn)可用于組織的信息安全管理體系的建立和實(shí)施,保障組織的信息安全。標(biāo)準(zhǔn)的要求主要包括11個(gè)安全控制域、39個(gè)安全控制目標(biāo)和133項(xiàng)安全控制措施。標(biāo)準(zhǔn)采用PDCA過程方法,基于風(fēng)險(xiǎn)評估的風(fēng)險(xiǎn)管理理念,全面系統(tǒng)地持續(xù)改進(jìn)組織的安全管理。其正式名稱為:《ISO/IEC 27001:2005 信息技術(shù)―安全技術(shù)―信息安全管理體系―要求》。
三、項(xiàng)目實(shí)施方法論
玉溪供電局在整個(gè)信息安全體系建設(shè)過程中,根據(jù)安全風(fēng)險(xiǎn)是相對的和動(dòng)態(tài)的基本概念,遵循P(Plan 計(jì)劃)-D(Do 實(shí)施)-C(Check 檢查)-A(Act 持續(xù)改進(jìn))的方法論,見下圖:
四、項(xiàng)目實(shí)施中若干重要環(huán)節(jié)
標(biāo)準(zhǔn)中只是提出了一些原則性的建議和要求,但是如何按照這些要求建立一套符合局實(shí)際情況,能夠順利推行和實(shí)施的信息安全管理體系是非常具有挑戰(zhàn)性的。局項(xiàng)目組成員與上海天帷公司的同事一起積極探索,緊密結(jié)合局信息安全建設(shè)的現(xiàn)狀和要求,認(rèn)為資產(chǎn)識別、風(fēng)險(xiǎn)評估、文件編制、運(yùn)行實(shí)施、審核等是整個(gè)過程的重要環(huán)節(jié)。
(一)資產(chǎn)識別
資產(chǎn)識別是信息安全管理工作的重要步驟和基礎(chǔ),信息安全就是要保證信息和資產(chǎn)的安全。所謂資產(chǎn)識別就是要識別ISMS管理范圍內(nèi)的信息資產(chǎn)以及這些資產(chǎn)的所有者,形成資產(chǎn)清單。玉溪供電局在資產(chǎn)識別中把資產(chǎn)分為5類:文檔和數(shù)據(jù)、軟件和系統(tǒng)、硬件和設(shè)施、人力資源、其他等。
(二)風(fēng)險(xiǎn)評估
風(fēng)險(xiǎn)評估是信息安全工作的一個(gè)重要步驟,通過風(fēng)險(xiǎn)評估,找到組織在信息安全方面的差距,才能有針對性的制定相應(yīng)的策略和改進(jìn)措施。
通過風(fēng)險(xiǎn)評估,形成《風(fēng)險(xiǎn)評估表》、《風(fēng)險(xiǎn)評估報(bào)告》、《風(fēng)險(xiǎn)處置計(jì)劃》等。為了保證風(fēng)險(xiǎn)評估結(jié)果的客觀性和可操作性,建立了一個(gè)定量的風(fēng)險(xiǎn)評估方法論。
風(fēng)險(xiǎn)值=威脅發(fā)生可能性×影響程度等級×現(xiàn)有控制措施有效性賦值。通過制定風(fēng)險(xiǎn)等級劃分標(biāo)準(zhǔn)來確定風(fēng)險(xiǎn)等級。將等級劃分為五級,等級越高,風(fēng)險(xiǎn)越高。
對于不可接受風(fēng)險(xiǎn)的確定和處理要慎重,不要一味的將所有的風(fēng)險(xiǎn)都?xì)w為不可接受風(fēng)險(xiǎn),要時(shí)刻牢記風(fēng)險(xiǎn)的處理是要付出成本的,所以需要綜合考慮風(fēng)險(xiǎn)控制成本與風(fēng)險(xiǎn)造成的影響來制定風(fēng)險(xiǎn)的可接受準(zhǔn)則。風(fēng)險(xiǎn)的處置有4種方式:規(guī)避風(fēng)險(xiǎn)、降低風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)、接受風(fēng)險(xiǎn)。對于不可接受風(fēng)險(xiǎn)應(yīng)根據(jù)選擇的風(fēng)險(xiǎn)處理方式控制殘余風(fēng)險(xiǎn)。
(三)文件編制
為了響應(yīng)云南電網(wǎng)公司的一體化管理制度,在信息安全建設(shè)中將針對信息安全標(biāo)準(zhǔn)ISO/IEC 27001要求的文件進(jìn)行統(tǒng)一整理,對原有《信息安全管理辦法》的修編。形成了新版的《信息安全管理辦法》,覆蓋了27001的11個(gè)安全領(lǐng)域的要求。
另外,為了使新版的《信息安全管理辦法》能夠更好的落地執(zhí)行,在信息安全體系建設(shè)過程中,制定了60多個(gè)操作性很強(qiáng)的記錄表格表單,以輔助各部門能夠更好的執(zhí)行信息安全體系的要求,比如:《機(jī)房巡檢記錄表》、《防范病毒管理表》、《重要應(yīng)用系統(tǒng)權(quán)限評審表》等。
(四)運(yùn)行實(shí)施
我局在信息安全體系運(yùn)行實(shí)施的過程中采取了多種措施來促進(jìn)體系的落地工作,比如進(jìn)行信息安全意識和知識培訓(xùn),張貼宣傳海報(bào),在電梯口液晶電視和LED大屏上播放信息安全宣傳視頻,進(jìn)行模擬審核和安全工作檢查等,真正做到了全員參與。
同時(shí)我局還建立了暢通的意見反饋機(jī)制,任何人對當(dāng)前的信息安全體系有意見和建議,都可以通過局OA系統(tǒng)提交。信息運(yùn)營中心會(huì)對所有提交的建議進(jìn)行整理和歸納,以發(fā)現(xiàn)改進(jìn)的機(jī)會(huì),真正實(shí)現(xiàn)了PDCA循環(huán),使局的信息安全管理工作持續(xù)改進(jìn)和螺旋式上升。
五、項(xiàng)目實(shí)施經(jīng)驗(yàn)和注意事項(xiàng)
玉溪供電局按照ISO/IEC 27001的要求建立了符合本局實(shí)際情況的信息安全管理體系,經(jīng)歷了資產(chǎn)識別、風(fēng)險(xiǎn)評估、體系建設(shè)和實(shí)施、內(nèi)審和審核,最后取得了認(rèn)證證書。在這個(gè)過程當(dāng)中,總結(jié)了一些實(shí)施的經(jīng)驗(yàn)和注意事項(xiàng)。
(一)領(lǐng)導(dǎo)重視
信息安全管理工作是一項(xiàng)牽扯到局各部門的工作,需要投入相應(yīng)的人力、物力和財(cái)力,所以必須有局領(lǐng)導(dǎo)的大力支持,才能順利的進(jìn)行和更好的實(shí)施。
(二)全員參與
安全不是某一個(gè)部門或者某一個(gè)人的事情,而是關(guān)乎全局所有部門。需要各個(gè)部門的共同努力和協(xié)調(diào)一致的工作,才能保證真正意義上的信息安全,任何一個(gè)部門出了問題都將對局信息安全構(gòu)成威脅。
(三)持續(xù)改進(jìn)
信息安全工作不是一朝一夕的事情,需要持續(xù)改進(jìn)和不斷完善。而且風(fēng)險(xiǎn)也是動(dòng)態(tài)的,為了保證信息安全和控制風(fēng)險(xiǎn)始終在可接受的范圍內(nèi),信息安全工作應(yīng)當(dāng)是一件長期的工作。
(四)平衡原則
安全只是相對的,沒有絕對的安全,而且任何降低風(fēng)險(xiǎn)的措施都是需要一定的投資,可能是金錢的,也可能是人力資源的。所以一定要平衡投資和風(fēng)險(xiǎn)降低之間的關(guān)系,不要一味的為了降低風(fēng)險(xiǎn)而作一些不適當(dāng)?shù)耐度搿?/p>
六、結(jié)語
玉溪供電局通過ISO 27001的認(rèn)證并獲得證書,不僅是對前期信息安全體系建設(shè)工作的充分肯定,而且對后續(xù)信息安全管理體系運(yùn)行工作提出了新的更高的要求和目標(biāo)。局信息運(yùn)營中心要在局領(lǐng)導(dǎo)的正確領(lǐng)導(dǎo)和大力支持下,在以后局信息安全工作中,對現(xiàn)有體系進(jìn)行持續(xù)改進(jìn),使本體系更加符合玉溪供電局的實(shí)際情況,為玉溪供電局的信息安全工作保駕
護(hù)航。
參考文獻(xiàn)