浅谈对于信息系统风险管理的认识
- 格式:docx
- 大小:259.02 KB
- 文档页数:6
浅谈对于信息系统风险管理的认识
风险管理是安全管理的重要组成部分。它包括:风险评估、风险控制以及根据风险评估结果对信息系统的运行中的相关事项做出决策。,风险评估是过程,风险管理是目标。信息安全风险管理是信息安全管理的重要组成部分,它是信息安全等级保护的基础。
一. 风险(Risk)
风险指在某一特定环境下,在某一特定时间段内,特定的威胁利用资产的一种或一组薄弱点,导致资产的丢失或损害的潜在可能性,即特定威胁事件发生的可能性与后果的结合。ISO 27001要求组织通过风险评估来识别组织的潜在风险及其大小,并按照风险的大小安排控制措施的优先等级。例如,在使用计算机的时候,如果安装了360安全卫士等安全工具,则有时会出现如图17.3所示的安全风险告警。
二. 风险评估 (Risk Assessment)
风险评估有时候也称为风险分析,是组织使用适当的风险评估工具,对信息和信息处理设施的威胁(Threat)、影响(Impact)和薄弱点(Vulnerability)及其发生的可能性的评估,也就是确认安全风险及其大小的过程。
风险评估是信息安全管理的基础,它为安全管理的后续工作提供方向和依据,后续工作的优先等级和关注程度都是由信息安全风险决定的,而且安全控制的效果也必须通过对剩余风险的评估来衡量。
风险评估是在一定范围内识别所存在信息安全风险,并确定其大小的过程。风险评估保证信息安全管理活动可以有的放矢,将有限的信息安全预算应用到最需要的地方,风险评估是风险管理的前提。
三. 风险管理 (Risk Management)
风险管理以可接受的费用识别、控制、降低或消除可能影响信息系统的安全风险的过程。风险管理通过风险评估来识别风险大小,通过制定信息安全方针,选择适当的控制目标与控制方式使风险得到避免、转移或降至一个可被接受的水平。在风险管理方面应考虑控制费用与风险之间的平衡。
1. 信息安全风险评估概述
风险评估的意义在于对风险的认识,而风险的处理过程,可以在考虑了管理成本后,选择适合企业自身的控制方法,对同类的风险因素采用相同的基线控制,这样有助于在保证效果的前提下降低风险评估的成本。如图所示为信息安全风险评估的要素。
针对风险评估的工程实现,SSE-CMM、OCTAVE等标准和方法对评估过程给予了较好的指导。常规的风险评估方法包括以下阶段:项目准备阶段、项目执行阶段、项目维护阶段。
为保障评估的规范性、一致性,降低人工成本,目前国内外普遍开发了一系列的评估工具。其中,网络评估工具主要有Nessus、Retina、天镜、ISS、N-Stalker等漏洞扫描工具,依托这些网络扫描工具,可以对网络设备、主机进行漏洞扫描,给出技术层面存在的安全漏洞、等级和解决方案建议。
管理评估工具主要有以BS 7799-1(ISO/IEC 17799)为基础的COBRA、天清等,借助管理评估工具,结合问卷式调查访谈,可以给出不同安全管理域在安全管理方面存在的脆弱性和各领域的安全等级,给出基于标准的策略建议。
2. 信息安全风险评估方法
主要的风险评估方法有以下6种:
(1) 定制个性化的评估方法
虽然已经有许多标准评估方法和流程,但在实践过程中,不应只是这些方法的套用和拷贝,而是以他们作为参考,根据企业的特点及安全风险评估的能力,进行“基因”重组,定制个性化的评估方法,使得评估服务具有可裁剪性和灵活性。评估种类一般有整体评估、IT安全评估、渗透测试、边界评估、网络结构评估、脆弱性扫描、策略评估、应用风险评估等。
(2) 安全整体框架的设计
风险评估的目的,不仅在于明确风险,更重要的是为管理风险提供基础和依据。作为评估直接输出,用于进行风险管理的安全整体框架,至少应该明确。但是由于不同企业环境差异、需求差异,加上在操作层面可参考的模板很少,使得整体框架应用较少。但是,企业至少应该完成近期1~2年内框架,这样才能做到有律可依。
(3) 多用户决策评估 不同层面的用户能看到不同的问题,要全面了解风险,必须进行多用户沟通评估。将评估过程作为多用户“决策”过程,对于了解风险、理解风险、管理风险、落实行动,具有极大的意义。事实证明,多用户参与的效果非常明显。多用户“决策”评估,也需要一个具体的流程和方法。
(4) 敏感性分析
企业的系统越发复杂且互相关联,使得风险越来越隐蔽。要提高评估效果,必须进行深入关联分析,比如对一个漏洞,不是简单地分析它的影响和解决措施,而是要推断出可能相关的其他技术和管理漏洞,找出病“根”,开出有效的“处方”。这需要强大的评估经验知识库支撑,同时要求评估者具有敏锐的分析能力。
(5) 集中化决策管理
安全风险评估需要具有多种知识和能力的人参与,对这些能力和知识的管理,有助于提高评估的效果。集中化决策管理,是评估项目成功的保障条件之一,它不仅是项目管理问题,而且是知识、能力等“基因”的组合运用。必须选用具有特殊技能的人,去执行相应的关键任务。如控制台审计和渗透性测试,由不具备攻防经验和知识的人执行,就达不到任何效果。
(6) 评估结果管理
安全风险评估的输出,不应是文档的堆砌,而是一套能够进行记录、管理的系统。它可能不是一个完整的风险管理系统,但至少是一个非常重要的可管理的风险表述系统。企业需要这样的评估管理系统,使用它来指导评估过程,管理评估结果,以便在管理层面提高评估效果。