网络信息安全风险评估工作探讨
- 格式:pdf
- 大小:254.27 KB
- 文档页数:4
第31卷第1期 2012年3月 青海电力 QINGHAI ELECTRIC POWER Vo1.31 No.1
Mar.,2012
网络信息安全风险评估工作探讨 吴维桥,李胜春 (青海电力科学试验研究院,青海西宁810008) 摘要:在信息安全领域,对信息系统进行风险评估十分重要,其目的就是指导决策者在“投资成本”和“安 全级别”之间找到平衡,从而为等级化的资产风险制定保护策略和计划。 关键词:信息安全; 网络系统;风险评估; 中图分类号:TP393.08 文献标识码:B 文章编号:1006—8198(2012)01—0065—04
Discussion on the Network Information Security Risk Evaluation Work WU Wei-qiao.LI Sheng-chun Abstract:In information security field,it’S impo ̄ant to make risk evaluation on information system,it will guide the decision makers finding the balance between investment cost and security level,therefore stipulates protection tac— tics and plans for the classified asset risk. Key Words:information security; network system; risk evaluation
随着信息化建设的深入,信息安全问题日益 严峻,信息安全隐患和各种形式网络攻击对信息 安全工作提出了严峻考验。虽然入侵检测、防火 墙、杀毒软件等安全技术手段能不同程度起到防 御作用,但个别人员保密意识不强,信息泄密事件 时有发生。为保证信息安全,尽可能消除安全隐 患,就要开展信息安全风险评估工作。通过分析 评估网络与信息系统安全潜在威胁、薄弱环节、防 护措施等,根据评估结果,采取适当安全措施,达 到安全建设和管理的目的。 发达国家越来越重视信息安全风险评估工 作,提倡风险评估制度化,提出了没有有效的风险 评估,便会导致信息安全需求与安全解决方案严 重脱离的观念。发达国家近年来大力加强以风险 评估为核心的信息系统安全评估工作,并通过法 规、标准等手段加以保障,逐步形成了横跨立法、 行政、司法的信息安全管理体系。 目前,我国信息化建设在关键技术、关键设备 上还受制于人。通过开展风险评估,运用专门技 作者简介:吴维桥(1965一),男,从事期刊编辑工作。 收稿日期:2011—10—20 术和设备检测,发现可能存在的隐患和漏洞是十 分必要的防范措施。随着企事业单位对信息系统 依赖程度日益增强,信息安全问题受到普遍关注, 采用风险管理的理念去识别安全风险、解决信息 安全问题得到了广泛认可和应用。开展信息安全 风险评估,科学分析和理解信息系统在保密性、完 整性、可用性等方面的问题显得尤为重要。通过 明确信息系统安全风险,可以准确了解信息系统 安全现状,同时通过发现信息安全存在的主要矛 盾和问题,可以及早防范,找到解决办法,化解风 险。
1 信息安全风险评估概念及应对策略 1.1 概念 信息安全是关注信息系统在安全方面存在的 问题、面临的威胁,是防止信息受到各种威胁,以 确保业务连续性,使业务风险最小化,投资回报和 商业机遇最大化。信息安全是通过实施一系列安 全控制而实现的,包括策略、过程、程序、组织结构 青海电力 第3l卷 和软硬件功能。在信息安全过程中建立、实施、监 视、评审和改进这些控制,可确保满足该组织特定 安全和业务目标。 信息安全风险评估,就是从风险管理角度,运 用定性、定量的科学分析方法和手段,系统分析信 息化业务和信息系统资产所面临的认为和自然威 胁以及威胁事件一旦发生可能遭受的危害程度, 有针对性采取抵御威胁的安全等级、防护对策和 整改措施,最大限度降低并减少经济损失和负面 影响。 1.2信息系统安全风险应对策略… 1)规避风险。针对风险事件产生的原因,设 法避免风险成为事实,降低风险发生概率; 2)降低风险。针对潜在产生的风险,采取相 应保障措施,降低风险影响; 3)转移风险。将潜在的风险改变转移到其 它资产、其它过程、其他组织机构去承受; 4)接受风险。信息安全风险事件的损失价 值应低于防范措施的成本,与该风险相关的资产 不值得保护,要谨慎采取消极决策。 2风险评估时机的选择 J 在信息系统生存周期有多种情况,必须对信 息系统所涉及的人员、技术环境、物理环境进行风 险评估: 1)在设计规划或升级至新的信息系统时; 2)给正在运行的信息系统增加新应用时; 3)与其他组织进行网络互联时; 4)技术平台进行大规模更新或升级时; 5)计算机安全事件发生之后或怀疑可能发 生安全事件时; 6)现有信息安全措施是否充分或是否具有 相应的安全效力时; 7)组织结构变动时; 8)对信息系统的安全状况进行定期、不定期 评估,以查看是否满足持续运营需要时等。 3风险评估内容及工作流程 3.1风险评估内容 风险评估通过对信息系统的资产、面临的威 胁、存在的脆弱性、采用的安全控制措施等进行分 析,从技术和管理等层面综合判断信息系统面临 的风险。 信息安全风险评估内容是指在风险评估过程 中必须考虑风险的组成部分、影响因素和相关因 素。信息安全风险评估过程中威胁越多,风险越 大;脆弱性暴露资产,其脆弱性越多,风险越大;资 产拥有资产价值,其资产价值越大,风险越大;风 险导出安全需求,安全需求依赖安全措施,安全措 施通过对抗威胁降低风险。风险评估的意义在于 对风险的认识,而风险的处理过程,可在考虑管理 成本之后,选择适合企业自身特点的控制方法,对 同类风险采用相同的控制策略,有利于在保证效 果的前提下降低风险评估成本。 3.1.1 资产 资产是企业有价值的东西。资产包括软件、 硬件、实体信息、人员、电子数据、服务设施和其他 等。 1)软件。基础应用软件(如数据库软件)、操 作系统; 2)硬件。主机、路由器、防火墙、交换机、打 印机、复印件等; 3)实体信息。合同、传真、电报、财务报告、 企业发展规划、磁带、光盘等; 4)人员。包括各级安全组织、安全人员、各 级管理人员、网管员、系统管理员、业务操作人员 和第三方人员; 5)电子数据。所有通过网络能访问到的数 据; 6)服务设施。电源、空调、保险柜、文件柜、 消防设施、照明等; 7)其他。企业形象、企业信誉和客户关系。 3.1.2脆弱性 脆弱性是指与信息资产有关的弱点或安全隐 患,包括系统漏洞、配置不当、程序BUG、专业人 员缺乏、弱口令、缺乏安全意识等。 3.1.3威胁 威胁是指可能导致信息安全事故和组织信息 资产损失的活动,威胁是利用脆弱性来造成的后 果。例如:自然威胁一洪水、地震、飓风、泥石流、 雪崩、雷电、风暴及类似事件;人为威胁——有人 激发或引发的事件(比如个别人粗心录入数据的 无意识行为和网络攻击、恶意软件上传、对秘密信 息未授权访问的故意行为)。 第1期 吴维桥,等:网络信息安全风险评估工作探讨 67 3.2风险评估工作流程 主要步骤包括风险评估准备、风险因素识别、 风险分析、风险控制。风险评估工作流程图如图 1所示。 图1 风险评估工作流程图 如图所述,在进行威胁、薄弱点评估时,暂时 不考虑已有的控制措施,先根据通常状况进行威 胁和薄弱点赋值,在最后风险评估时进行考虑。 确定风险值的大小是明确不同威胁对资产所产生 的风险相对值。 3.3风险分析原理 风险分析原理如图2所示。 图2风险分析原理图 风险分析中涉及资产、威胁、脆弱性3个基本 要素。每个要素有各自的属性,资产的属性是资 产价值;威胁的属性是威胁主体、影响对象、出现 频率、动机等;脆弱性的属性是资产弱点的严重程 度。风险分析的主要内容: 1)对资产进行识别,并对资产的价值进行赋 值; 2)对威胁进行识别,描述威胁的属性,并对 威胁出现的频率赋值; 3)对脆弱性进行识别,并对具体资产脆弱性 的严重程度赋值; 4)根据威胁利用脆弱性的难易程度判断安 全事件发生的可能性; 5)根据脆弱性的严重程度及安全事件所作 用的资产价值,计算安全事件的损失; 6)根据安全事件发生的可能性以及安全事 件出现后的损失,计算安全事件一旦发生对组织 的影响,即风险值,可按以下公式确定: 风险值=资产估值×威胁估值×脆弱性估值
一已有的控制措施值 (1) 风险分析计算(风险等级评估)的3个条件: 1)资产相对估价为:A(0≤A≤5)(由资产的 组成要素综合所得); 2)威胁评估值为:T(0≤T≤5)(由威胁的组 成特性综合所得); 3)薄弱点评估值为:V(0≤V≤5)(由薄弱点 的组成特性综合所得); 由上述条件可得,风险值R=A X T×V,资 产风险值为:R(0≤R≤125)。由此计算风险值并 进行判定,划分风险等级。风险等级分为5类:很 低、低、中、高、很高;范围依次为0≤R≤25、25< R≤50、50<R≤75、75<R≤100、100<R≤125。 依据风险等级决定行动的优先级,制定相应的措 施,最终做出合理可行的风险处理计划。
4风险评估原则 信息安全风险评估工作是复杂、系统的工作。 如果工作流程自身不规范或存在缺陷,势必造成 评估结果与实际情况之间出现偏差,甚至会损害 评估单位利益。因此,在评估过程中,应遵循以下 原则: 1)可操作性原则。评估工作流程应规范化, 具有可操作性及可控性; 2)风险规避原则。评估工作开始实施之前, 应充分考虑由于评估工作本身而可能引发的风 险,并通过相应的措施加以规避。对于难以预料 和控制的风险,应事先提出应急预案并确认可行 性,以备不测之需; 3)质量控制原则。强调评估过程中的组织、 管理和控制。主要通过强化评估项目管理达到控 制质量;