信息安全風險評估方法淺析

【摘要】隨著信息化的逐步深化、擴展，信息系統(tǒng)的安全性和可用性顯得愈來愈重要。本文基于電網(wǎng)企業(yè)開展的信息安全風險評估工作，對信息安全風險評估的評估實施流程、評估實施方法及其在信息系統(tǒng)生命周期不同階段的實施要點進行淺要分析。

【關鍵詞】信息系統(tǒng)；信息安全；風險評估；評估方法

【中圖分類號】C931.6 【文獻標識碼】A 【文章編號】1672-5158（2012）09-0025-01

一、信息安全風險評估的評估實施流程

信息安全風險評估包括：資產(chǎn)評估、威脅評估、脆弱性評估、現(xiàn)有安全措施評估、風險計算和分析、風險決策和安全建議，在風險評估之后就是要進行安全整改。

網(wǎng)省公司信息系統(tǒng)風險評估的主要內(nèi)容包括：資產(chǎn)評估、威脅評估、脆弱性評估和現(xiàn)有安全措施評估，一般采用全面風險評估的方法，以安全顧問訪談、管理問卷調(diào)查、安全文檔分析等方式，并結合了漏洞掃描、人工安全檢查等手段，對評估范圍內(nèi)的網(wǎng)絡、主機以及相應的部門的安全狀況進行了全面的評估，經(jīng)過充分的分析后，得到了信息系統(tǒng)的安全現(xiàn)狀。

二、信息安全風險評估實施方法

2.1 資產(chǎn)評估

網(wǎng)省公司資產(chǎn)識別主要針對提供特定業(yè)務服務能力的應用系統(tǒng)展開，通常一個應用系統(tǒng)都可劃分為數(shù)據(jù)存儲、業(yè)務處理、業(yè)務服務提供和客戶端四個功能部分，這四個部分在信息系統(tǒng)的實例中都顯現(xiàn)為獨立的資產(chǎn)實體，例如：典型的協(xié)同辦公系統(tǒng)可分為客戶端、Web服務器、Domino服務器、DB2數(shù)據(jù)庫服務器四部分資產(chǎn)實體。綜合考慮資產(chǎn)的使命、資產(chǎn)本身的價值、資產(chǎn)對于應用系統(tǒng)的重要程度、業(yè)務系統(tǒng)對于資產(chǎn)的依賴程度、部署位置及其影響范圍等因素評估信息資產(chǎn)價值。資產(chǎn)賦值是資產(chǎn)評估由定性化判斷到定量化賦值的關鍵環(huán)節(jié)。

2.2 威脅評估

威脅評估是通過技術手段、統(tǒng)計數(shù)據(jù)和經(jīng)驗判斷來確定信息系統(tǒng)面臨的威脅的過程。在實施過程中，根據(jù)各單位業(yè)務系統(tǒng)的具體系統(tǒng)情況，結合系統(tǒng)以往發(fā)生的信息安全事件及對網(wǎng)絡、系統(tǒng)管理員關于威脅發(fā)生可能性和發(fā)展趨勢的調(diào)查，下面按照威脅的主體分別對這些威脅及其可能發(fā)生的各種情形進行簡單描述：

2.3 脆弱性評估

脆弱性評估內(nèi)容包括管理、運維和技術三方面的內(nèi)容，具體實施可參照公司相應的技術或管理標準以及評估發(fā)起方的要求，根據(jù)評估選擇的策略和評估目的的不同進行調(diào)整。下表是一套脆弱性識別對象的參考：

管理脆弱性：安全方針、信息安全組織機構、人員安全管理、信息安全制度文件管理、信息化建設中的安全管理、信息安全等級保護工作、信息安全評估管理、信息安全的宣傳與培訓、信息安全監(jiān)督與考核工作、符合性管理。

運維脆弱性：信息系統(tǒng)運行管理、資產(chǎn)分類管理、配置與變更管理、業(yè)務連續(xù)性管理、物理環(huán)境安全、設備與介質(zhì)安全。

技術脆弱性：網(wǎng)絡系統(tǒng)、主機安全、通用系統(tǒng)安全、業(yè)務系統(tǒng)安全、現(xiàn)有安全措施。

管理、運維、技術三方面脆弱性是相互關聯(lián)的，管理脆弱性可能會導致運維脆弱性和技術脆弱性的產(chǎn)生，運維脆弱性也可能導致技術脆弱性的產(chǎn)生。技術的脆弱性識別主要采用工具掃描和人工審計的方式進行，運維和管理的脆弱性主要通過訪談和調(diào)查問卷來發(fā)現(xiàn)。此外，對以往的安全事件的統(tǒng)計和分析也是確定脆弱性的主要方法。

三、現(xiàn)有安全措施評估

通過現(xiàn)有安全措施指評估安全措施的部署、使用和管理情況，確定這些措施所保護的資產(chǎn)范圍，以及對系統(tǒng)面臨風險的消除程度。

3.1 安全技術措施評估

通過對各單位安全設備、防病毒系統(tǒng)的部署、使用和管理情況，對特征庫的更新方式、以及最近更新時間，設備自身資源使用率（CPU、MEM、DISK）、自身工作狀況、以及曾經(jīng)出現(xiàn)過的異常現(xiàn)象、告警策略、日志保存情況、系統(tǒng)中管理員的個數(shù)、管理員所使用的口令的強度、弱口令情況等信息進行脆弱性分析，并確定級別。

3.2 安全管理措施評估

訪談被評估單位是否成立了信息安全領導小組，并以文件的形式明確了信息安全領導小組成員和相關職責，是否結合實際提出符合自身發(fā)展的信息化建設策略，其中包括是否制定了信息安全工作的總體方針和安全策略，建立健全了各類安全管理制度，對日常管理操作建立了規(guī)范的操作規(guī)程；定期組織全員學習國家有關信息安全政策、法規(guī)等。

3.3 物理與環(huán)境安全

查看被訪談單位信息機房是否有完善的物理環(huán)境保障措施，是否有健全的漏水監(jiān)測系統(tǒng)，滅火系統(tǒng)是否安全可用，有無溫濕度監(jiān)測及越限報警功能，是否配備精密空調(diào)嚴格調(diào)節(jié)控制機房內(nèi)溫度及濕度，保障機房設備的良好運行環(huán)境。

3.4 應急響應與恢復管理

為正確、有效和快速處理網(wǎng)絡信息系統(tǒng)突發(fā)事件，最大限度地減少網(wǎng)絡信息系統(tǒng)突發(fā)事件對單位生產(chǎn)、經(jīng)營、管理造成的損失和對社會的不良影響，需查看被評估單位是否具備完善網(wǎng)絡信息系統(tǒng)應急保證體系和應急響應機制，應對網(wǎng)絡信息系統(tǒng)突發(fā)事件的組織指揮能力和應急處置能力，是否及時修訂本單位的網(wǎng)絡信息系統(tǒng)突發(fā)事件應急預案，并進行嚴格的評審、發(fā)布。

3.5 安全整改

被評估單位根據(jù)信息安全風險評估結果，對本單位存在的安全風險進行整改消除，從安全技術及安全管理兩方面，落實信息安全風險控制及管理，確保信息系統(tǒng)安全穩(wěn)定運行。

四、結語

公司近兩年推行了“雙網(wǎng)雙機、分區(qū)分域、等級保護、分層防御”的安全防護策略和一系列安全措施，各單位結合風險評估實踐情況，以技術促安全、以管理保安全，確保公司信息系統(tǒng)穩(wěn)定運行，為公司發(fā)展提供有力信息支撐。

參考文獻

[1]中國國家標準化管理委員會，信息安全技術一信息安全風險評估規(guī)范，2007年

[2]國務院信息辦信息安全風險評估課題組[R]，信息安全風險評估研究報告，2004