公務(wù)員期刊網(wǎng) 精選范文 信息安全風(fēng)險(xiǎn)評(píng)估范文

信息安全風(fēng)險(xiǎn)評(píng)估精選(九篇)

前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的信息安全風(fēng)險(xiǎn)評(píng)估主題范文,僅供參考,歡迎閱讀并收藏。

信息安全風(fēng)險(xiǎn)評(píng)估

第1篇:信息安全風(fēng)險(xiǎn)評(píng)估范文

從企業(yè)內(nèi)部業(yè)務(wù)出發(fā),優(yōu)化信息安全風(fēng)險(xiǎn)評(píng)估基本模型,設(shè)計(jì)了一個(gè)企業(yè)信息安全風(fēng)險(xiǎn)自評(píng)估實(shí)施模型,并深入分析了該模型的內(nèi)容,使其適用于企業(yè)依托自身力量來(lái)有效開展自評(píng)估活動(dòng),從而提高企業(yè)信息安全風(fēng)險(xiǎn)防護(hù)能力。

關(guān)鍵詞:

信息安全;自評(píng)估;風(fēng)險(xiǎn)評(píng)估;模型設(shè)計(jì)

企業(yè)信息安全風(fēng)險(xiǎn)評(píng)估主要有2種模式,即他評(píng)估和自評(píng)估。相比較而言,自評(píng)估展現(xiàn)出越來(lái)越多的優(yōu)點(diǎn),比如外部依賴性小、投入費(fèi)用低、評(píng)估周期短、次生風(fēng)險(xiǎn)低和可以提高內(nèi)部安全意識(shí)等。除此之外,信息安全風(fēng)險(xiǎn)的動(dòng)態(tài)化決定信息安全評(píng)估工作應(yīng)是長(zhǎng)期持續(xù)的,大部分的內(nèi)部信息安全風(fēng)險(xiǎn)評(píng)估內(nèi)容企業(yè)可采用自評(píng)估方式來(lái)完成。但信息安全風(fēng)險(xiǎn)評(píng)估的專業(yè)性、技術(shù)性、標(biāo)準(zhǔn)性比較高,企業(yè)難以掌握復(fù)雜的評(píng)估技術(shù)和方法。本文以企業(yè)業(yè)務(wù)為出發(fā)點(diǎn),對(duì)信息安全風(fēng)險(xiǎn)評(píng)估基本模型進(jìn)行優(yōu)化,設(shè)計(jì)了一個(gè)更適用于企業(yè)依托自身力量來(lái)有效開展自評(píng)估的實(shí)施模型,以提高企業(yè)信息安全風(fēng)險(xiǎn)防護(hù)能力。

1信息安全風(fēng)險(xiǎn)評(píng)估基本模型

對(duì)風(fēng)險(xiǎn)評(píng)估模型的研究一直是信息安全風(fēng)險(xiǎn)評(píng)估領(lǐng)域的研究熱點(diǎn)之一。風(fēng)險(xiǎn)評(píng)估基本模型是一種基于資產(chǎn)、威脅和脆弱性的信息安全風(fēng)險(xiǎn)評(píng)估模型。其中,資產(chǎn)的評(píng)估主要是對(duì)資產(chǎn)進(jìn)行相對(duì)估價(jià),估價(jià)準(zhǔn)則依賴于對(duì)其影響范圍的分析;威脅評(píng)估是對(duì)資產(chǎn)所受威脅發(fā)生可能性和威脅嚴(yán)重程度的評(píng)估;脆弱性評(píng)估是對(duì)資產(chǎn)脆弱程度的評(píng)估,也是對(duì)資產(chǎn)被威脅、利用成功的可能性的評(píng)估。信息安全風(fēng)險(xiǎn)評(píng)估基本模型的評(píng)估過(guò)程就是對(duì)資產(chǎn)信息、威脅信息和脆弱性信息進(jìn)行綜合分析評(píng)估并且生成風(fēng)險(xiǎn)信息的過(guò)程,包含確定評(píng)估范圍、資產(chǎn)識(shí)別階段、安全威脅/脆弱性評(píng)估、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)管理等階段?;谛畔踩L(fēng)險(xiǎn)評(píng)估基本模型,很多學(xué)者從不同角度和目的做了優(yōu)化和完善。但是,信息安全風(fēng)險(xiǎn)評(píng)估模型的研究還處于探索和完善階段,已有的研究存在一些缺陷,主要表現(xiàn)為以下3點(diǎn):①缺乏對(duì)評(píng)估內(nèi)容的逐層細(xì)化,難以評(píng)價(jià)和量化各要素,可操作性比較差;②缺乏對(duì)風(fēng)險(xiǎn)評(píng)估基本要素屬性的綜合思考,難以體現(xiàn)評(píng)估要素與企業(yè)業(yè)務(wù)的關(guān)系;③大部分模型比較復(fù)雜,評(píng)估方法和流程操作起來(lái)費(fèi)時(shí)費(fèi)力,企業(yè)難以采用。

2基于基本模型的企業(yè)信息安全自評(píng)估模型

針對(duì)信息安全風(fēng)險(xiǎn)評(píng)估模型的不足,本文綜合考慮企業(yè)自身的業(yè)務(wù)和內(nèi)部約束條件,在基本模型和相關(guān)研究成果的基礎(chǔ)上,提出更加簡(jiǎn)單、有效的企業(yè)信息安全風(fēng)險(xiǎn)自評(píng)估模型。本文認(rèn)為,企業(yè)信息安全風(fēng)險(xiǎn)自評(píng)估模型應(yīng)遵循自主、簡(jiǎn)單、規(guī)范性、可行性和可擴(kuò)展性的原則,基本思路是從企業(yè)業(yè)務(wù)出發(fā),多角度研究自評(píng)估模型中資產(chǎn)、威脅、脆弱性的關(guān)系和指標(biāo),應(yīng)用相關(guān)統(tǒng)計(jì)分析方法統(tǒng)計(jì),運(yùn)用層次分析法(AHP)評(píng)價(jià)、量化相關(guān)要素和風(fēng)險(xiǎn),最終構(gòu)建一個(gè)科學(xué)、合理、可操作的企業(yè)自評(píng)估模型。在此過(guò)程中,需要解決3方面的問(wèn)題:①明確評(píng)估的對(duì)象、內(nèi)容和流程;②構(gòu)建評(píng)價(jià)方法,統(tǒng)一評(píng)估和度量風(fēng)險(xiǎn)基本要素;③統(tǒng)一不同層面、角度的評(píng)估結(jié)果。

2.1基于AHP的信息安全風(fēng)險(xiǎn)要素度量方法

AHP(AnalyticHierarchyProcess,層次分析法)是一種定性分析與定量分析相結(jié)合的多目標(biāo)決策分析方法,其基本步驟是:①分析問(wèn)題,建立遞階結(jié)構(gòu)(評(píng)價(jià)模型);②構(gòu)造比較判斷矩陣;③層次單排序;④一致性檢驗(yàn);⑤層次總排序與一致性檢驗(yàn);⑥選擇最優(yōu)的解決方案。資產(chǎn)、威脅、脆弱性作為信息安全風(fēng)險(xiǎn)自評(píng)估模型的3個(gè)基本要素,需要分別識(shí)別和分析,并提煉出各自的評(píng)價(jià)指標(biāo)。本文結(jié)合已有的理論和實(shí)踐成果,從自主性、簡(jiǎn)單性、可行性和科學(xué)性原則出發(fā),基于相關(guān)標(biāo)準(zhǔn)、企業(yè)環(huán)境和企業(yè)業(yè)務(wù)影響分析,提出信息資產(chǎn)的評(píng)價(jià)因素應(yīng)包含經(jīng)濟(jì)、名譽(yù)、法律法規(guī)、業(yè)務(wù)運(yùn)營(yíng)、社會(huì)秩序、商業(yè)利益和個(gè)人利益,等等,威脅可能性評(píng)價(jià)指標(biāo)應(yīng)包含威脅攻擊力、威脅動(dòng)機(jī)、資產(chǎn)誘因和威脅頻率等,脆弱性嚴(yán)重程度賦值的評(píng)價(jià)因素應(yīng)包含可用性、機(jī)密性和完整性。根據(jù)資產(chǎn)受到損害時(shí)對(duì)其評(píng)價(jià)因素帶來(lái)的損失為資產(chǎn)價(jià)值賦值(比如從1~4取值),數(shù)值越大,表明資產(chǎn)價(jià)值越高。得到各評(píng)價(jià)因素的綜合分值后,分值最大的為該資產(chǎn)的價(jià)值,即資產(chǎn)價(jià)值為A=max(i)。根據(jù)威脅評(píng)價(jià)指標(biāo)和脆弱性評(píng)價(jià)因素,利用AHP方法建立威脅、脆弱性評(píng)價(jià)體系,體系由目標(biāo)層、準(zhǔn)則層和指標(biāo)層(方案層)構(gòu)成。為了方便對(duì)不同威脅發(fā)生可能性概率、不同脆弱性的嚴(yán)重程度進(jìn)行類比、度量,使用統(tǒng)一的度量標(biāo)準(zhǔn),采用相對(duì)等級(jí)的方式處理評(píng)價(jià)結(jié)果(比如從1~4取值),數(shù)值越大,威脅發(fā)生的可能性越高,帶來(lái)的損害越大。通過(guò)AHP用數(shù)量形式表達(dá)和處理個(gè)人主觀判斷結(jié)果,采用專家和團(tuán)隊(duì)評(píng)分進(jìn)一步比較各要素的重要性,并做一致性檢驗(yàn),最終確定各要素的值。

2.2企業(yè)信息安全自評(píng)估風(fēng)險(xiǎn)計(jì)算

在對(duì)資產(chǎn)價(jià)值、威脅、脆弱性分析和量化后,還要確定各要素之間的組合方式和具體的計(jì)算方法?!缎畔踩L(fēng)險(xiǎn)評(píng)估規(guī)范》(2007)對(duì)風(fēng)險(xiǎn)值的計(jì)算提出了如下函數(shù):風(fēng)險(xiǎn)值=R(A,T,V)=R(L(T,V),F(xiàn)(Ia,Va)).(1)式(1)中:R為安全風(fēng)險(xiǎn)計(jì)算函數(shù);A為資產(chǎn);T為威脅;V為脆弱性;L為威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性;F為安全事件發(fā)生后造成的損失;Ia為安全事件所作用的資產(chǎn)價(jià)值;Va為脆弱性嚴(yán)重程度。信息安全風(fēng)險(xiǎn)值的計(jì)算方法主要有矩陣法、相乘法和預(yù)先價(jià)值矩陣查表法等,并且可以將多種方法結(jié)合使用。因?yàn)橄喑朔ú僮骱?jiǎn)單,所以,在風(fēng)險(xiǎn)分析中的應(yīng)用比較廣泛。該方法是一種定量的計(jì)算方法,主要思路是利用2個(gè)相關(guān)要素值的乘積計(jì)算出結(jié)果要素的值。按照簡(jiǎn)單性、科學(xué)性原則,對(duì)于企業(yè)自評(píng)估,本文認(rèn)為,相乘法比較適合企業(yè)使用,但不限于該方法。根據(jù)相乘法,企業(yè)信息安全風(fēng)險(xiǎn)值的計(jì)算過(guò)程是:①計(jì)算威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性,即L=L(T,V)=T×V;②計(jì)算安全事件發(fā)生后造成的損失,即F=F(Ia,Va)=Ia×Va;③計(jì)算風(fēng)險(xiǎn)值,即R=R(L,F(xiàn))=L×F.

2.3企業(yè)信息安全自評(píng)估模型和流程設(shè)計(jì)

企業(yè)信息安全風(fēng)險(xiǎn)自評(píng)估的基本目的是依據(jù)企業(yè)自身業(yè)務(wù),識(shí)別出信息系統(tǒng)中存在的主要安全風(fēng)險(xiǎn),并排列優(yōu)先級(jí),為風(fēng)險(xiǎn)信息計(jì)算提供數(shù)據(jù)支撐,進(jìn)而為提出風(fēng)險(xiǎn)應(yīng)對(duì)措施提供建議。基于上述方法,本文提出了企業(yè)信息安全風(fēng)險(xiǎn)自評(píng)估模型,如圖1所示。企業(yè)信息安全風(fēng)險(xiǎn)自評(píng)估模型的實(shí)施分為范圍確定、資產(chǎn)識(shí)別與量化、威脅分析、脆弱性分析、風(fēng)險(xiǎn)分析與計(jì)算、風(fēng)險(xiǎn)應(yīng)對(duì)建議6個(gè)階段,每個(gè)階段的具體任務(wù)如圖2所示。本文提出的自評(píng)估模型綜合了企業(yè)自評(píng)估的約束條件、風(fēng)險(xiǎn)評(píng)估的基本原理、關(guān)鍵環(huán)節(jié)與流程、基本要素度量等,具有以下5個(gè)特點(diǎn):①模型提供了統(tǒng)一的資產(chǎn)、威脅、脆弱性3個(gè)基本要素的度量和評(píng)價(jià)方法,依據(jù)模型中的評(píng)價(jià)指標(biāo)可以進(jìn)行量化和排序。②模型將企業(yè)業(yè)務(wù)與風(fēng)險(xiǎn)評(píng)估結(jié)合起來(lái),體現(xiàn)了IT服務(wù)企業(yè)、服務(wù)業(yè)務(wù)的理念,在一定程度上反映出了信息安全風(fēng)險(xiǎn)評(píng)估對(duì)業(yè)務(wù)的影響程度和對(duì)企業(yè)的價(jià)值。③模型滿足信息安全的動(dòng)態(tài)性要求,適應(yīng)企業(yè)業(yè)務(wù)不斷發(fā)展和調(diào)整的需要。當(dāng)業(yè)務(wù)調(diào)整時(shí),企業(yè)僅需分析業(yè)務(wù)信息流,識(shí)別出相關(guān)資產(chǎn)、威脅和脆弱性等。④模型滿足信息安全的持續(xù)性要求,企業(yè)可建立相關(guān)制度,將自評(píng)估設(shè)立為日常性工作。當(dāng)業(yè)務(wù)無(wú)法調(diào)整時(shí),自評(píng)估活動(dòng)僅需識(shí)別和分析新的脆弱性和威脅信息,從而節(jié)省大量資源。⑤模型具有較強(qiáng)的適應(yīng)性,適用于不同類型的企業(yè),企業(yè)可根據(jù)實(shí)際情況裁減和優(yōu)化,根據(jù)各自的偏好選擇風(fēng)險(xiǎn)計(jì)算方法。

3結(jié)束語(yǔ)

第2篇:信息安全風(fēng)險(xiǎn)評(píng)估范文

關(guān)鍵詞:信息安全;風(fēng)險(xiǎn)評(píng)估;教學(xué)

信息安全風(fēng)險(xiǎn)評(píng)估是進(jìn)行信息安全管理的重要依據(jù),通過(guò)對(duì)信息系統(tǒng)進(jìn)行系統(tǒng)的風(fēng)險(xiǎn)分析和評(píng)估,發(fā)現(xiàn)存在的安全問(wèn)題并提出相應(yīng)的措施,這對(duì)于保護(hù)和管理信息系統(tǒng)至關(guān)重要。目前國(guó)內(nèi)外都高度重視信息安全風(fēng)險(xiǎn)評(píng)估工作。美國(guó)政府2002年頒布《聯(lián)邦信息安全管理法》,對(duì)信息安全風(fēng)險(xiǎn)評(píng)估提出了具體的要求;歐盟國(guó)家也把開展信息安全風(fēng)險(xiǎn)評(píng)估作為提高信息安全保障水平的重要手段;2003年7月23日,國(guó)家信息中心組建成立“信息安全風(fēng)險(xiǎn)評(píng)估課題組”,提出了我國(guó)開展信息安全風(fēng)險(xiǎn)評(píng)估的對(duì)策和辦法。2004年,國(guó)務(wù)院信息辦研究制訂了《信息安全風(fēng)險(xiǎn)評(píng)估指南》和《信息安全風(fēng)險(xiǎn)管理指南》兩個(gè)風(fēng)險(xiǎn)評(píng)估的標(biāo)準(zhǔn);2006年又起草了《關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見》[1]。這些工作都對(duì)信息安全人才的培養(yǎng)提出了更高的要求,同時(shí)也為《信息安全風(fēng)險(xiǎn)評(píng)估》課程的開設(shè)和講授提供了必要的基礎(chǔ)和條件。《信息安全風(fēng)險(xiǎn)評(píng)估》課程教學(xué),是信息安全專業(yè)一門重要的專業(yè)課程,能全面培養(yǎng)學(xué)生綜合運(yùn)用專業(yè)知識(shí),評(píng)估并解決信息系統(tǒng)安全問(wèn)題的能力,是培養(yǎng)符合國(guó)家和社會(huì)需要的信息安全專業(yè)人才的重要課程之一?!缎畔踩L(fēng)險(xiǎn)評(píng)估》課程本身的理論性與實(shí)踐性都很強(qiáng),課程發(fā)展十分迅速,涉及的學(xué)科范圍也較廣,傳統(tǒng)的教學(xué)的模式不能使該課程的特點(diǎn)很好地展示出來(lái),無(wú)法適應(yīng)社會(huì)經(jīng)濟(jì)發(fā)展對(duì)信息安全從業(yè)人員的新要求,教學(xué)改革勢(shì)在必行。

一、現(xiàn)狀與存在的問(wèn)題

信息安全風(fēng)險(xiǎn)評(píng)估是從風(fēng)險(xiǎn)管理角度,運(yùn)用科學(xué)的方法和手段,系統(tǒng)地分析信息系統(tǒng)所面臨的安全威脅及其存在的脆弱性,評(píng)估安全事件一旦發(fā)生可能造成的危害程度,提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施。它涉及信息系統(tǒng)的社會(huì)行為、管理行為、物理行為、邏輯行為等的保密性、完整性和可用性檢測(cè)。風(fēng)險(xiǎn)評(píng)估的結(jié)果可以作為信息安全風(fēng)險(xiǎn)管理的指南,用來(lái)確定合適的管理方針和選擇相應(yīng)的控制措施來(lái)保護(hù)信息資產(chǎn),全面提高信息安全保障能力[2]。自2001年信息安全專業(yè)建立以來(lái),高校在制訂本科專業(yè)教學(xué)培養(yǎng)目標(biāo)和教學(xué)計(jì)劃時(shí),側(cè)重于具體安全理論和技術(shù)的教學(xué)和講授,特別是重點(diǎn)強(qiáng)調(diào)了密碼學(xué)、防火墻、入侵檢測(cè)、網(wǎng)絡(luò)安全等安全理論與技術(shù)的傳授。從目前高校的教學(xué)內(nèi)容看,多數(shù)側(cè)重于對(duì)“信息風(fēng)險(xiǎn)管理”、“風(fēng)險(xiǎn)識(shí)別”、“風(fēng)險(xiǎn)評(píng)估”和“風(fēng)險(xiǎn)控制”等基本內(nèi)容的介紹上,而且教學(xué)課時(shí)數(shù)也較少,只有十個(gè)學(xué)時(shí)。當(dāng)前從《信息安全風(fēng)險(xiǎn)評(píng)估》課程的教學(xué)情況來(lái)看,該課程在信息安全教育教學(xué)過(guò)程中地位有待提高,實(shí)踐教學(xué)的建設(shè)與研究迫切需要深化。

當(dāng)前該課程的教學(xué)實(shí)踐中普遍存在以下幾個(gè)方面的問(wèn)題,嚴(yán)重制約了《信息安全風(fēng)險(xiǎn)評(píng)估》課程教學(xué)質(zhì)量的提高:

1.本科教學(xué)大都以理論內(nèi)容為主體,實(shí)驗(yàn)和課程設(shè)計(jì)的學(xué)時(shí)安排較少。一般高校的《信息安全風(fēng)險(xiǎn)評(píng)估》課程主要以理論內(nèi)容的講授為主,實(shí)驗(yàn)和課程設(shè)計(jì)的學(xué)時(shí)較少,實(shí)驗(yàn)內(nèi)容也大多屬于驗(yàn)證性質(zhì),缺少具有研究和探索性質(zhì)的信息安全風(fēng)險(xiǎn)評(píng)估實(shí)踐內(nèi)容和課程設(shè)計(jì);

2.教學(xué)方法單一,缺乏激勵(lì)學(xué)生求知欲的教學(xué)方法和手段。當(dāng)前開設(shè)《信息安全風(fēng)險(xiǎn)評(píng)估》課程的高校還較少,師資力量相對(duì)薄弱,教學(xué)經(jīng)驗(yàn)也比較缺乏,仍以主要由教師講述的傳統(tǒng)教學(xué)方式為主,學(xué)生進(jìn)行具體實(shí)踐和操作的課時(shí)較少,缺乏創(chuàng)新性的教學(xué)和研究,基本沒(méi)有具有探索性和創(chuàng)新性特點(diǎn)的教學(xué)內(nèi)容,不利于發(fā)揮學(xué)生主觀能動(dòng)性,提高其創(chuàng)新能力;

3.實(shí)驗(yàn)環(huán)境無(wú)法滿足教學(xué)需求,缺乏專業(yè)的信息安全風(fēng)險(xiǎn)評(píng)估師資。我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估的研究和教學(xué)工作起步晚,缺乏相關(guān)的實(shí)驗(yàn)設(shè)備;而且受到資金和專業(yè)發(fā)展等多方面因素的制約,難以設(shè)立專門的信息安全風(fēng)險(xiǎn)評(píng)估實(shí)驗(yàn)室。此外,信息安全風(fēng)險(xiǎn)評(píng)估是以計(jì)算機(jī)技術(shù)為核心,涉及管理科學(xué)、安全技術(shù)、通信和信息工程等多個(gè)學(xué)科,對(duì)于理論和實(shí)踐要求都很高。這就要求教師既要學(xué)習(xí)好各學(xué)科的基本知識(shí),又要加強(qiáng)實(shí)踐訓(xùn)練。

二、教學(xué)改革與探索

高校計(jì)算機(jī)相關(guān)專業(yè)開設(shè)《信息安全風(fēng)險(xiǎn)評(píng)估》課程,不是培養(yǎng)網(wǎng)絡(luò)信息安全方面的全才或戰(zhàn)略人才,而是培養(yǎng)在實(shí)際生活和工作中確實(shí)能解決某些具體安全問(wèn)題的實(shí)用型人才。針對(duì)《信息安全風(fēng)險(xiǎn)評(píng)估》課程的特點(diǎn)和教學(xué)中存在的不足,我們從以下幾個(gè)方面對(duì)該課程的教學(xué)改革進(jìn)行了探索:

1.重新確立課程培養(yǎng)目標(biāo)。①重點(diǎn)培養(yǎng)學(xué)生分析和評(píng)估信息安全問(wèn)題的能力:《信息安全風(fēng)險(xiǎn)評(píng)估》課程是一門理論性和實(shí)踐性緊密結(jié)合的課程,目前開設(shè)該課程的高校較少,各學(xué)校的教學(xué)內(nèi)容也多種多樣。該課程的教學(xué)目標(biāo)即要培養(yǎng)學(xué)生發(fā)現(xiàn)信息系統(tǒng)存在的安全風(fēng)險(xiǎn),同時(shí)也需要培養(yǎng)他們科學(xué)地提出解決安全隱患的方案及能力。如何提高學(xué)生分析和評(píng)估信息安全問(wèn)題的能力是該課程教學(xué)的首要目標(biāo)。②培養(yǎng)學(xué)生實(shí)際操作的能力:信息安全風(fēng)險(xiǎn)評(píng)估的關(guān)鍵是對(duì)信息系統(tǒng)的資產(chǎn)進(jìn)行分類,對(duì)其風(fēng)險(xiǎn)的識(shí)別、估計(jì)和評(píng)價(jià)做出全面的、綜合的分析。這就要求學(xué)生熟練地掌握目標(biāo)對(duì)象的檢測(cè)和評(píng)估方法,包括使用各種自動(dòng)化和半自動(dòng)化的工具,可在模擬實(shí)驗(yàn)里,通過(guò)不斷地訓(xùn)練實(shí)現(xiàn)。③培養(yǎng)學(xué)生繼續(xù)學(xué)習(xí)、勇于探索創(chuàng)新的能力:隨著信息化的不斷發(fā)展,信息系統(tǒng)所面臨的安全威脅急劇增加,為此各國(guó)政府都不斷提出和完善了各類信息安全測(cè)評(píng)標(biāo)準(zhǔn)。這就要求我們?cè)诮虒W(xué)中不斷地學(xué)習(xí)、理解和解釋最新的國(guó)際、國(guó)內(nèi)以及相關(guān)的行業(yè)標(biāo)準(zhǔn),培養(yǎng)和提高學(xué)生繼續(xù)學(xué)習(xí)的能力。另外,《信息安全風(fēng)險(xiǎn)評(píng)估》課程也要求通過(guò)課堂教學(xué)、課后練習(xí)、實(shí)驗(yàn)驗(yàn)證和考試、考查等教學(xué)環(huán)節(jié)培養(yǎng)學(xué)生獨(dú)力分析信息系統(tǒng)安全的能力,培養(yǎng)學(xué)生對(duì)信息安全風(fēng)險(xiǎn)評(píng)估領(lǐng)域進(jìn)行探索和研究的興趣,最終使學(xué)生掌握信息安全風(fēng)險(xiǎn)評(píng)估的知識(shí)和技能,能夠解決具體信息系統(tǒng)的安全問(wèn)題。

2.增加信息安全風(fēng)險(xiǎn)評(píng)估理論和相關(guān)標(biāo)準(zhǔn)的教學(xué)。信息安全測(cè)評(píng)標(biāo)準(zhǔn)和相關(guān)法律法規(guī)是進(jìn)行信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的依據(jù)和保障。2006年由原國(guó)信辦《關(guān)于開展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見》(國(guó)信辦2006年5號(hào)文);同時(shí),隨著信息安全等級(jí)保護(hù)制度的推行,公安部會(huì)同有關(guān)部門出臺(tái)了一系列政策文件,主要包括:《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》、《信息安全等級(jí)保護(hù)管理辦法》等;國(guó)家信息安全標(biāo)準(zhǔn)化委員會(huì)頒發(fā)了《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》(GB/T 20984~2007)、《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2008)等多個(gè)國(guó)家標(biāo)準(zhǔn)[3]。為了保證《信息安全風(fēng)險(xiǎn)評(píng)估》課程目標(biāo)的實(shí)現(xiàn),我們?cè)诮虒W(xué)過(guò)程中,增加了《GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》、《GB/Z24364-2009信息安全風(fēng)險(xiǎn)管理指南》、《GB/T

22080-2008信息安全管理體系要求》、《GB/T22081-

2008信息安全管理實(shí)用規(guī)則》、《GB/T20269-2006信息系統(tǒng)安全管理要求》、《GB/T25063-2010?搖信息安全技術(shù)服務(wù)器安全測(cè)評(píng)要求》、《GB/T 20010-2005信息安全技術(shù)包過(guò)濾防火墻評(píng)估準(zhǔn)則》、《GB/T20011-2005信息安全技術(shù)路由器安全評(píng)估準(zhǔn)則》、《GA/T 672-2006信息安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級(jí)評(píng)估準(zhǔn)則》、《GA/T 712-2007信息安全技術(shù)應(yīng)用軟件系統(tǒng)安全等級(jí)保護(hù)通用測(cè)試指南》等相關(guān)評(píng)估標(biāo)準(zhǔn)和指南的學(xué)習(xí),并編制相關(guān)的調(diào)查、檢查、測(cè)試表,重點(diǎn)強(qiáng)調(diào)對(duì)脆弱性檢測(cè)的理論依據(jù)的描述,檢測(cè)方法及其步驟的詳細(xì)記錄。

3.利用各種測(cè)評(píng)工具,提高學(xué)生實(shí)踐能力。在信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程中,資產(chǎn)賦值、威脅量化分析、安全模型的建立等環(huán)節(jié)的教學(xué)和實(shí)踐對(duì)教師和學(xué)生都提出了較高的專業(yè)課程要求。我們?cè)凇缎畔踩L(fēng)險(xiǎn)評(píng)估》課程實(shí)踐中通過(guò)使用風(fēng)險(xiǎn)評(píng)估工具,并對(duì)具體的信息系統(tǒng)進(jìn)行自動(dòng)化或半自動(dòng)化的分析,加深了學(xué)生信息安全風(fēng)險(xiǎn)評(píng)估的理論知識(shí)理解,同時(shí)注重培養(yǎng)學(xué)生動(dòng)手實(shí)踐能力和探索新知識(shí)的能力。我們?cè)黾恿酥鲃?dòng)型風(fēng)險(xiǎn)評(píng)估工具Tenable掃描門戶網(wǎng)站系統(tǒng)的實(shí)踐性教學(xué)內(nèi)容。通過(guò)評(píng)估,該系統(tǒng)的服務(wù)器存在感染病毒的癥狀,其原因是服務(wù)器存在特定漏洞。為此我們使用漏洞掃描器對(duì)該服務(wù)器進(jìn)行掃描,發(fā)現(xiàn)了“遠(yuǎn)程代碼被執(zhí)行”漏洞,而且該漏洞能被蠕蟲病毒利用,形成針對(duì)系統(tǒng)的攻擊。通過(guò)案例特征提供了的信息,培養(yǎng)學(xué)生使用測(cè)評(píng)工具對(duì)具體信息系統(tǒng)進(jìn)行安全風(fēng)險(xiǎn)評(píng)估的能力,并進(jìn)一步使其認(rèn)識(shí)到主動(dòng)型評(píng)估工具是信息安全風(fēng)險(xiǎn)評(píng)估中快速了解目標(biāo)系統(tǒng)安全狀況不可或缺的重要手段。

筆者結(jié)合自己的教學(xué)實(shí)踐體會(huì),論述了當(dāng)前《信息安全風(fēng)險(xiǎn)評(píng)估》課程中存在的問(wèn)題以及解決對(duì)策?!缎畔踩L(fēng)險(xiǎn)評(píng)估》課程教學(xué)改革和建設(shè)是一個(gè)長(zhǎng)期的、系統(tǒng)化的工程,需要不斷地根據(jù)信息系統(tǒng)在新環(huán)境下面臨的各種威脅,制定新的評(píng)估標(biāo)準(zhǔn)和評(píng)估方案,并使得學(xué)生在有限的時(shí)間和環(huán)境下掌握相應(yīng)的知識(shí)和技能,以滿足社會(huì)對(duì)信息安全人才的需求。

參考文獻(xiàn):

[1]付沙.加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作的研究[J].微型電腦應(yīng)用,2010,26(8):6-8.

[2]楊春暉,張昊,王勇.信息安全風(fēng)險(xiǎn)評(píng)估及輔助工具應(yīng)用[J].信息安全與通信保密,2007,(12):75-77.

[3]潘平,楊平,羅東梅,何朝霞.信息系統(tǒng)安全風(fēng)險(xiǎn)檢查評(píng)估實(shí)踐教學(xué)探討[C]// Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security(NTS-CIS 2011),2011,(8).

第3篇:信息安全風(fēng)險(xiǎn)評(píng)估范文

風(fēng)險(xiǎn)評(píng)估是一項(xiàng)周期性工作,是進(jìn)行風(fēng)險(xiǎn)管理。由于風(fēng)險(xiǎn)評(píng)估的結(jié)果將直接影響到信息系統(tǒng)防護(hù)措施的選擇,從而在一定程度上決定了風(fēng)險(xiǎn)管理的成效。風(fēng)險(xiǎn)評(píng)估可以概括為:①風(fēng)險(xiǎn)評(píng)估是一個(gè)技術(shù)與管理的過(guò)程。②風(fēng)險(xiǎn)評(píng)估是根據(jù)威脅、脆弱性判斷系統(tǒng)風(fēng)險(xiǎn)的過(guò)程。③風(fēng)險(xiǎn)評(píng)估貫穿于系統(tǒng)建設(shè)生命周期的各階段。

2.信息安全風(fēng)險(xiǎn)評(píng)估方法

(1)安全風(fēng)險(xiǎn)評(píng)估。為確定這種可能性,需分析系統(tǒng)的威脅以及由此表現(xiàn)出的脆弱性。影響是按照系統(tǒng)在單位任務(wù)實(shí)施中的重要程度來(lái)確定的。風(fēng)險(xiǎn)評(píng)估以現(xiàn)實(shí)系統(tǒng)安全為目的,按照科學(xué)的程序和方法,對(duì)系統(tǒng)中的危險(xiǎn)要素進(jìn)行充分的定性、定量分析,并作出綜合評(píng)價(jià),以便針對(duì)存在的問(wèn)題,根據(jù)當(dāng)前科學(xué)技術(shù)和經(jīng)濟(jì)條件,提出有效的安全措施,消除危險(xiǎn)或?qū)⑽kU(xiǎn)降到最低程度。即:風(fēng)險(xiǎn)評(píng)估是對(duì)系統(tǒng)存在的固有和潛在危險(xiǎn)及風(fēng)險(xiǎn)性進(jìn)行定性和定量分析,得出系統(tǒng)發(fā)送危險(xiǎn)的可能性和程度評(píng)價(jià),以尋求最低的事故率、最少的損失和最優(yōu)的安全投資效益。(2)風(fēng)險(xiǎn)評(píng)估的主要內(nèi)容。①技術(shù)層面。評(píng)估和分析網(wǎng)絡(luò)和主機(jī)上存在的安全技術(shù)風(fēng)險(xiǎn),包括物理環(huán)境、網(wǎng)絡(luò)設(shè)備、主機(jī)系統(tǒng)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)等軟、硬件設(shè)備。②管理層面。從本單位的工作性質(zhì)、人員組成、組織結(jié)構(gòu)、管理制度、網(wǎng)絡(luò)系統(tǒng)運(yùn)行保障措施及其他運(yùn)行管理規(guī)范等角度,分析業(yè)務(wù)運(yùn)作和管理方面存在的安全缺陷。(3)風(fēng)險(xiǎn)評(píng)估方法。①技術(shù)評(píng)估和整體評(píng)估。技術(shù)評(píng)估是指對(duì)組織的技術(shù)基礎(chǔ)結(jié)構(gòu)和程序系統(tǒng)、及時(shí)地檢查,包括對(duì)組織內(nèi)部計(jì)算環(huán)境的安全性及對(duì)內(nèi)外攻擊脆弱性的完整性攻擊。整體風(fēng)險(xiǎn)評(píng)估擴(kuò)展了上述技術(shù)評(píng)估的范圍,著眼于分析組織內(nèi)部與安全相關(guān)的風(fēng)險(xiǎn),包括內(nèi)部和外部的風(fēng)險(xiǎn)源、技術(shù)基礎(chǔ)和組織結(jié)構(gòu)以及基于電子的和基于人的風(fēng)險(xiǎn)。②定性評(píng)估和定量評(píng)估。定性分析方法是使用最廣泛的風(fēng)險(xiǎn)分析方法。根據(jù)組織本身歷史事件的統(tǒng)計(jì)記錄等方法確定資產(chǎn)的價(jià)值權(quán)重,威脅發(fā)生的可能性以及如將其賦值為“極低、低、中、高、極高”。③基于知識(shí)的評(píng)估和基于模型的評(píng)估?;谥R(shí)的風(fēng)險(xiǎn)評(píng)估方法主要依靠經(jīng)驗(yàn)進(jìn)行。經(jīng)驗(yàn)從安全專家處獲取并憑此來(lái)解決相似場(chǎng)景的風(fēng)險(xiǎn)評(píng)估問(wèn)題。該方法的優(yōu)越性在于能直接提供推薦的保護(hù)措施、結(jié)構(gòu)框架和實(shí)施計(jì)劃。(4)信息安全風(fēng)險(xiǎn)的計(jì)算。①計(jì)算安全事件發(fā)生的可能性。根據(jù)威脅出現(xiàn)頻率及弱點(diǎn)的狀況,計(jì)算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性。具體評(píng)估中,應(yīng)綜合攻擊者技術(shù)能力、脆弱性被利用的難易程度、資產(chǎn)吸引力等因素判斷安全事件發(fā)生的可能性。②計(jì)算安全事件發(fā)生后的損失。根據(jù)資產(chǎn)價(jià)值及脆弱性的嚴(yán)重程度,計(jì)算安全事件一旦發(fā)生后的損失。部分安全事件損失的發(fā)生不僅針對(duì)該資產(chǎn)本身,還可能影響業(yè)務(wù)的連續(xù)性;不同安全事件的發(fā)生對(duì)組織造成的影響也不一樣。③計(jì)算風(fēng)險(xiǎn)值。根據(jù)計(jì)算出的安全事件發(fā)生的可能性以及安全事件的損失計(jì)算風(fēng)險(xiǎn)值。

3.風(fēng)險(xiǎn)評(píng)估模型選擇

參考多個(gè)國(guó)際風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn),建立了由安全風(fēng)險(xiǎn)管理流程模型、安全風(fēng)險(xiǎn)關(guān)系模型和安全風(fēng)險(xiǎn)計(jì)算模型共同組成的安全風(fēng)險(xiǎn)模型(見圖1)。(1)安全風(fēng)險(xiǎn)管理過(guò)程模型。①風(fēng)險(xiǎn)評(píng)估過(guò)程。信息安全評(píng)估包括技術(shù)評(píng)估和管理評(píng)估。②安全風(fēng)險(xiǎn)報(bào)告。提交安全風(fēng)險(xiǎn)報(bào)告,獲知安全風(fēng)險(xiǎn)狀況是安全評(píng)估的主要目標(biāo)。③風(fēng)險(xiǎn)評(píng)估管理系統(tǒng)。根據(jù)單位安全風(fēng)險(xiǎn)分析與風(fēng)險(xiǎn)評(píng)估的結(jié)果,建立本單位的風(fēng)險(xiǎn)管理系統(tǒng),將風(fēng)險(xiǎn)評(píng)估結(jié)果入庫(kù)保存,為安全管理和問(wèn)題追蹤提供數(shù)據(jù)基礎(chǔ)。④安全需求分析。根據(jù)本單位安全風(fēng)險(xiǎn)評(píng)估報(bào)告,確定有效安全需求。⑤安全建議。依據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果,提出相關(guān)建議,協(xié)助構(gòu)建本單位安全體系結(jié)構(gòu),結(jié)合組織本地、遠(yuǎn)程網(wǎng)絡(luò)架構(gòu),為制定完整動(dòng)態(tài)的安全解決方案提供參考。⑥風(fēng)險(xiǎn)控制。根據(jù)安全風(fēng)險(xiǎn)報(bào)告,結(jié)合單位特點(diǎn),針對(duì)面對(duì)的安全風(fēng)險(xiǎn),分析將面對(duì)的安全影響,提供相應(yīng)的風(fēng)險(xiǎn)控制建議。⑦監(jiān)控審核。風(fēng)險(xiǎn)管理過(guò)程中每一個(gè)步驟都需要進(jìn)行監(jiān)控和審核程序,保證整個(gè)評(píng)估過(guò)程規(guī)范、安全、可信。⑧溝通、咨詢與文檔管理。整個(gè)風(fēng)險(xiǎn)管理過(guò)程的溝通、咨詢是保證風(fēng)險(xiǎn)評(píng)估項(xiàng)目成功實(shí)施的關(guān)鍵因素。(2)安全風(fēng)險(xiǎn)關(guān)系模型。安全風(fēng)險(xiǎn)關(guān)系模型以風(fēng)險(xiǎn)為中心,形象地描述了面臨的風(fēng)險(xiǎn)、弱點(diǎn)、威脅及其相應(yīng)的資產(chǎn)價(jià)值、防護(hù)需求、保護(hù)措施等動(dòng)態(tài)循環(huán)的復(fù)雜關(guān)系。(3)安全風(fēng)險(xiǎn)計(jì)算模型。安全風(fēng)險(xiǎn)計(jì)算模型中詳細(xì)、具體地提供了風(fēng)險(xiǎn)計(jì)算的方法,通過(guò)威脅級(jí)別、威脅發(fā)生的概率及風(fēng)險(xiǎn)評(píng)估矩陣得出安全風(fēng)險(xiǎn)。

4.結(jié)語(yǔ)

第4篇:信息安全風(fēng)險(xiǎn)評(píng)估范文

 

1 信息安全風(fēng)險(xiǎn)評(píng)估基本理論

 

1.1 信息安全風(fēng)險(xiǎn)

 

信息安全風(fēng)險(xiǎn)具有客觀性、多樣性、損失性、可變性、不確定性和可測(cè)性等多個(gè)特點(diǎn)??陀^性是因?yàn)樾畔踩L(fēng)險(xiǎn)在信息系統(tǒng)中普遍存在;多樣性是指信息系統(tǒng)安全涉及多個(gè)方面;損失性是指任何一種信息安全風(fēng)險(xiǎn),都會(huì)對(duì)信息系統(tǒng)造成或大或小的損失;可變性是指信息安全風(fēng)險(xiǎn)在系統(tǒng)生命周期的各個(gè)階段動(dòng)態(tài)變化;不確定性是一個(gè)安全事件可以有多種風(fēng)險(xiǎn);可測(cè)試性是預(yù)測(cè)和計(jì)算信息安全風(fēng)險(xiǎn)的方法。

 

1.2 信息安全風(fēng)險(xiǎn)評(píng)估

 

信息安全風(fēng)險(xiǎn)評(píng)估,采用科學(xué)的方法和技術(shù)和脆弱性分析信息系統(tǒng)面臨的威脅,利用系統(tǒng),評(píng)估安全事件可能會(huì)造成的影響,提出了防御威脅和保護(hù)策略,從而防止和解決信息安全風(fēng)險(xiǎn),或控制在可接受范圍內(nèi)的風(fēng)險(xiǎn),最大限度地保護(hù)系統(tǒng)的信息安全。通過(guò)評(píng)價(jià)過(guò)程對(duì)信息系統(tǒng)的脆弱性進(jìn)行評(píng)價(jià),面臨威脅和漏洞威脅利用的負(fù)面影響,并根據(jù)信息安全事件的可能性和嚴(yán)重程度,確定信息系統(tǒng)的安全風(fēng)險(xiǎn)。

 

2 信息安全風(fēng)險(xiǎn)評(píng)估原理

 

2.1 風(fēng)險(xiǎn)評(píng)估要素及其關(guān)系

 

一般說(shuō)來(lái),信息安全風(fēng)險(xiǎn)評(píng)估要素有五個(gè),除以上介紹的安全風(fēng)險(xiǎn)外,還有資產(chǎn)、威脅、脆弱性、安全措施等。信息安全風(fēng)評(píng)估工作都是圍繞這些基本評(píng)估要素展開的。

 

2.1.1 資產(chǎn)

 

資產(chǎn)是在系統(tǒng)中有價(jià)值的信息或資源,是安全措施的對(duì)象。資產(chǎn)價(jià)值是資產(chǎn)的財(cái)產(chǎn),也是資產(chǎn)識(shí)別的主要內(nèi)容。它是資產(chǎn)的重要程度或敏感性。

 

2.1.2 威脅

 

威脅是導(dǎo)致不期望事件發(fā)生的潛在起因,這些不期望事件可能危害系統(tǒng)。

 

2.1.3 脆弱性

 

脆弱性是資產(chǎn)存在的弱點(diǎn),利用這些弱點(diǎn)威脅資產(chǎn)的使用。

 

2.1.4 安全措施

 

安全措施是系統(tǒng)實(shí)施的各種保護(hù)機(jī)制,這種機(jī)制能有效地保護(hù)資產(chǎn)、減少脆弱性、抵御威脅、減少安全事件的發(fā)生或降低影響。風(fēng)險(xiǎn)評(píng)估圍繞上述基本要素。各要素之間存在著這樣的關(guān)系:

 

(1)資產(chǎn)是風(fēng)險(xiǎn)評(píng)估的對(duì)象,資產(chǎn)價(jià)值是由資產(chǎn)價(jià)值計(jì)量的,資產(chǎn)價(jià)值越高,證券需求越高,風(fēng)險(xiǎn)越小。

 

(2)漏洞可能會(huì)暴露資產(chǎn)的價(jià)值,使其被破壞,資產(chǎn)的脆弱性越大,風(fēng)險(xiǎn)越大;

 

(3)威脅引發(fā)風(fēng)險(xiǎn)事件的發(fā)生,威脅越多風(fēng)險(xiǎn)越大;

 

(4)威脅利用脆弱性來(lái)危害資產(chǎn);

 

(5)安全措施可以防御威脅,減小安全風(fēng)險(xiǎn),從而保護(hù)資產(chǎn)。

 

2.2 風(fēng)險(xiǎn)分析模型及算法

 

在信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)中,風(fēng)險(xiǎn)分析涉及資產(chǎn)的三個(gè)基本要素,威脅和脆弱性。每個(gè)元素都有它自己的屬性,并由它的屬性決定。資產(chǎn)的屬性是資產(chǎn)的價(jià)值,而財(cái)產(chǎn)的威脅可以是主體、客體、頻率、動(dòng)機(jī)等。財(cái)產(chǎn)的脆弱性是資產(chǎn)脆弱性的嚴(yán)重性。在風(fēng)險(xiǎn)分析模型中,資產(chǎn)的價(jià)值、威脅的可能性、脆弱性的嚴(yán)重程度、安全事件的可能性和安全事件造成的損失,兩者是整合的,它是風(fēng)險(xiǎn)的價(jià)值。

 

風(fēng)險(xiǎn)分析的主要內(nèi)容為:

 

(1)識(shí)別資產(chǎn)并分配資產(chǎn);

 

(2)確定威脅,并分配潛在的威脅;

 

(3)確定漏洞,并分配資產(chǎn)的脆弱性的嚴(yán)重程度;

 

(4)判斷安全事件的可能性。根據(jù)漏洞的威脅和使用的漏洞來(lái)計(jì)算安全事件的可能性。

 

安全事件發(fā)生可能性=L(威脅可能性,脆弱性)=L(T,V)

 

(5)計(jì)算安全事件損失。根據(jù)脆弱性嚴(yán)重程度和資產(chǎn)價(jià)值計(jì)算安全事件的損失。

 

安全事件造成的損失=F(資產(chǎn)價(jià)值,脆弱性嚴(yán)重程度)=F(Ia,Va);

 

(6)確定風(fēng)險(xiǎn)值。根據(jù)安全事件發(fā)生可能性和安全事件造成的損失,計(jì)算安全事件發(fā)生對(duì)組織的影響。

 

風(fēng)險(xiǎn)值=R(A,T,V)=R(F(Ia,Va),L(T,V))

 

其中,A是資產(chǎn);T是威脅可能性;V是脆弱性;Ia是資產(chǎn)價(jià)值;Va是脆弱性的嚴(yán)重程度;L是威脅利用脆弱性發(fā)生安全事件的可能性;F是安全事件造成的損失,R是風(fēng)險(xiǎn)計(jì)算函數(shù)。

 

3 信息風(fēng)險(xiǎn)分析方法探析

 

作為保障信息安全的重要措施,信息安全系統(tǒng)是信息安全的重要組成部分,而信息安全風(fēng)險(xiǎn)評(píng)估的算法分析方法,風(fēng)險(xiǎn)評(píng)估作為風(fēng)險(xiǎn)分析的重要手段,早已被提出并做了大量的研究工作和一些算法已成為正式信息安全標(biāo)準(zhǔn)的一部分。從定性定量的角度可以將風(fēng)險(xiǎn)分析方法分為三類,也就是定性方法、定量方法和定性定量相結(jié)合。

 

3.1 定性的風(fēng)險(xiǎn)分析方法

 

定性的方法是憑借分析師的經(jīng)驗(yàn)和知識(shí)的國(guó)際和國(guó)內(nèi)的標(biāo)準(zhǔn)或做法,風(fēng)險(xiǎn)管理因素的大小或程度的定性分類,以確定風(fēng)險(xiǎn)概率和風(fēng)險(xiǎn)的后果。定性的方法的優(yōu)點(diǎn)是,信息系統(tǒng)是不容易得到的具體數(shù)據(jù)的相對(duì)值計(jì)算,沒(méi)有太多的計(jì)算負(fù)擔(dān)。它有一定的缺陷,是很主觀的,要求分析有一定的經(jīng)驗(yàn)和能力。比較著名的定性分析方法有歷史比較法、因素分析方法、邏輯分析法、Delphi法等,這些方法的成敗與執(zhí)行者的經(jīng)驗(yàn)有很大的關(guān)系。

 

3.2 定量的風(fēng)險(xiǎn)分析方法

 

定量方法是用數(shù)字來(lái)描述風(fēng)險(xiǎn),通過(guò)數(shù)學(xué)和統(tǒng)計(jì)的援助,對(duì)一些指標(biāo)進(jìn)行處理和處理,來(lái)量化安全風(fēng)險(xiǎn)的結(jié)果。定量方法的優(yōu)點(diǎn)是評(píng)價(jià)結(jié)果直觀,使用數(shù)據(jù)表示,使分析結(jié)果更加客觀、科學(xué)、嚴(yán)謹(jǐn)、更有說(shuō)服力。缺點(diǎn)是,計(jì)算過(guò)程復(fù)雜,數(shù)據(jù)詳細(xì),可靠的數(shù)據(jù)難以獲得。正式且嚴(yán)格的評(píng)估方法的數(shù)據(jù)一般是估計(jì)而來(lái)的,風(fēng)險(xiǎn)分析達(dá)到完全的量化也不太可能。與著名的定時(shí)模型定量分析方法、聚類分析法、因子分析法、回歸模型、決策樹等方法相比較,這些方法都是具有數(shù)學(xué)或統(tǒng)計(jì)工具的風(fēng)險(xiǎn)模型。

 

3.3 定性定量相結(jié)合的風(fēng)險(xiǎn)分析方法

 

是因?yàn)橛袃?yōu)點(diǎn)和缺點(diǎn)的定量和定量的方法,只使用定性的方法,太主觀,但只有使用定量方法,數(shù)據(jù)是難以獲得的,所以目前常用的是定性和定量的風(fēng)險(xiǎn)分析方法相結(jié)合。這樣,既能克服定性方法主觀性太強(qiáng)的缺點(diǎn),又能解決數(shù)據(jù)不好獲取的困難。典型的定性定量相結(jié)合的風(fēng)險(xiǎn)評(píng)估工具有@Risk、CORA等。

第5篇:信息安全風(fēng)險(xiǎn)評(píng)估范文

關(guān)鍵詞:信息安全、風(fēng)險(xiǎn)評(píng)估、重要問(wèn)題

中圖分類號(hào):TP309 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9599 (2012) 17-0000-02

在現(xiàn)階段,由于快速發(fā)展的信息技術(shù),致使那些極大影響著國(guó)計(jì)民生的關(guān)鍵信息資源,從其規(guī)模來(lái)看,具有越來(lái)越大的變化趨勢(shì),至于其信息系統(tǒng)的結(jié)構(gòu),具有越來(lái)越高的復(fù)雜程度;在當(dāng)前要促使我國(guó)國(guó)民經(jīng)濟(jì)的持續(xù)發(fā)展以及能夠順利進(jìn)行信息化建設(shè),其中的一個(gè)關(guān)鍵因素就是要讓這些信息資源以及信息系統(tǒng)的安全性得到有力保障。而有關(guān)可用性、機(jī)密性以及完整性等等內(nèi)容正是信息安全目標(biāo)的具體表現(xiàn)。在當(dāng)前進(jìn)行安全建設(shè)一個(gè)出發(fā)點(diǎn)就是要進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估,進(jìn)行風(fēng)險(xiǎn)評(píng)估具有很多重要意義,其中把傳統(tǒng)的以技術(shù)驅(qū)動(dòng)為導(dǎo)向的安全體系結(jié)構(gòu)設(shè)計(jì)進(jìn)行有力改變,這是它的一個(gè)重要意義;有關(guān),信息安全風(fēng)險(xiǎn)評(píng)估,其對(duì)信息系統(tǒng)安全風(fēng)險(xiǎn)的識(shí)別,主要是結(jié)合資產(chǎn)的重要程度來(lái)進(jìn)行,在遵循成本—效益這一原則的基礎(chǔ)上,當(dāng)信息系統(tǒng)面臨著以下這兩種情況時(shí),對(duì)它進(jìn)行全面評(píng)估:第一種情況,當(dāng)信息系統(tǒng)面臨著威脅;第二種情況,當(dāng)信息系統(tǒng)因本身脆弱性而被威脅源所利用、導(dǎo)致本身可能出現(xiàn)安全問(wèn)題、由此可見,所謂信息安全風(fēng)險(xiǎn)評(píng)估,就是基于安全管理這個(gè)角度考慮,采用合理的手段和分析方法,對(duì)有關(guān)信息系統(tǒng)以及信息化業(yè)務(wù),當(dāng)其面臨來(lái)自自然或者人為威脅時(shí)所產(chǎn)生的脆弱性進(jìn)行比較系統(tǒng)地分析,并對(duì)可能造成安全事件的危害程度進(jìn)行相應(yīng)的評(píng)估,在此基礎(chǔ)上,并能夠把那些具有防御效果的對(duì)策以及整改措施有針對(duì)性地提出來(lái),以讓網(wǎng)絡(luò)和信息安全能夠得到最大的保障。

1 有關(guān)信息安全風(fēng)險(xiǎn)評(píng)估中的幾個(gè)重要問(wèn)題的認(rèn)識(shí)

1.1 對(duì)有關(guān)網(wǎng)絡(luò)信息安全的主要內(nèi)容以及主要因素這個(gè)重要問(wèn)題的認(rèn)識(shí)

(1)有關(guān)網(wǎng)絡(luò)信息安全的主要內(nèi)容。所謂網(wǎng)絡(luò)信息安全,顧名思義就是指當(dāng)前網(wǎng)絡(luò)中各種各樣網(wǎng)絡(luò)信息的安全,這是從狹義這個(gè)層面來(lái)考慮的;如果從廣義這個(gè)層面來(lái)看,除了前面所提到的各種信息安全外,還包括整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全,諸如各種軟硬件、存儲(chǔ)以及傳輸、數(shù)據(jù)以及數(shù)據(jù)處理等等使用過(guò)程??偟目磥?lái),網(wǎng)絡(luò)信息安全具有以下五大方面上的典型特征,如下表所示:

五大典型特征 具體含義

①具有保密性特征 也就是不準(zhǔn)把有關(guān)網(wǎng)絡(luò)信息泄漏給非授權(quán)的實(shí)體或者個(gè)人

②具有完整性特征 也就是對(duì)于未經(jīng)授權(quán)的信息,一律不準(zhǔn)對(duì)其進(jìn)行修改或者加以破壞

③具有可用性特征 對(duì)于那些合法的用戶,能夠正常訪問(wèn)相關(guān)的信息

④具有可控性特征 能夠有效并且合法控制相關(guān)的信息內(nèi)容及其傳播過(guò)程

⑤具有可審查性特征 為使能事后查詢核對(duì),在信息使用過(guò)程中要而且必須有進(jìn)行相關(guān)的記錄

表一:網(wǎng)絡(luò)信息安全的典型特征

(2)有關(guān)網(wǎng)絡(luò)信息安全的風(fēng)險(xiǎn)因素。為了能夠?qū)@個(gè)網(wǎng)絡(luò)信息安全問(wèn)題所具有的復(fù)雜性進(jìn)行有效解決并且能夠順利地找到一個(gè)解決或者考慮這類問(wèn)題的出發(fā)點(diǎn),就必須從研究有關(guān)網(wǎng)絡(luò)信息安全的那些風(fēng)險(xiǎn)因素入手,為了更好地認(rèn)識(shí)和研究有關(guān)這些網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)因素,在現(xiàn)階段,可以把它們分為幾大類型,如下表所示:

主要類型 具體內(nèi)容

①來(lái)自自然方面的因素 例如火災(zāi)、水災(zāi)、地震、雷電、臺(tái)風(fēng)、寒潮、海嘯等等

②來(lái)自網(wǎng)絡(luò)硬件方面的因素 例如機(jī)房的(路由器、交換機(jī)以及服務(wù)器)等,因受外界因素(溫度、濕度、灰塵、電磁干擾)等所產(chǎn)生的影響

③來(lái)自軟件方面的因素 主要包括①機(jī)房設(shè)備(機(jī)房服務(wù)器和管理軟件等),②用戶計(jì)算機(jī)操作系統(tǒng),③各種服務(wù)器數(shù)據(jù)庫(kù)配置的合理性與否,④殺毒軟件、防火墻等等其他應(yīng)用軟件

④來(lái)自人為方面的因素 具體包括那些對(duì)網(wǎng)絡(luò)信息進(jìn)行使用和管理的種種行為所帶來(lái)的種種影響,諸如惡意代碼、木馬攻擊、操作失誤、數(shù)據(jù)泄露、騙取口令、拒絕服務(wù)等等

表二:網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)因素的主要類型

1.2 對(duì)有關(guān)安全風(fēng)險(xiǎn)評(píng)估方法這個(gè)重要問(wèn)題的認(rèn)識(shí)

(1)有關(guān)定制個(gè)性化這種評(píng)估方法。在當(dāng)前有關(guān)比較標(biāo)準(zhǔn)的評(píng)估方法極其流程雖然已經(jīng)有了很多種,但是在具體的實(shí)際應(yīng)用當(dāng)中,單純的套用或者拷貝這些方法是不可取的,比較正確的做法應(yīng)該是把它們作為一個(gè)參考,結(jié)合企業(yè)的具體情況以及企業(yè)相關(guān)安全風(fēng)險(xiǎn)評(píng)估方面的能力,對(duì)這些標(biāo)準(zhǔn)的評(píng)估方法進(jìn)行重新組合,以產(chǎn)生出具有個(gè)性化特點(diǎn)的評(píng)估方法,從而促使相關(guān)進(jìn)行的評(píng)估服務(wù)能夠具有靈活性以及可裁剪性的特點(diǎn)。具體的評(píng)估種類比較多,諸如網(wǎng)絡(luò)結(jié)構(gòu)評(píng)估、IT安全評(píng)估、滲透測(cè)試以及整體評(píng)估等等。

(2)有關(guān)安全整體框架的設(shè)計(jì)。進(jìn)行風(fēng)險(xiǎn)評(píng)估,其目的不僅僅要懂得風(fēng)險(xiǎn),更為重要的是要進(jìn)行風(fēng)險(xiǎn)管理并為之提供所需要的依據(jù)。管理風(fēng)險(xiǎn),其安全整體框架在于評(píng)估的直接輸出;但是對(duì)于具體的企業(yè)來(lái)說(shuō),由于它們所處的環(huán)境不一樣,各自的需求也都不相同,此外,從他們工作層面這個(gè)角度考慮,其可供參考的模版都不是很多,這就到來(lái)了不是很多的整體框架應(yīng)用。但是,把最近一、兩年內(nèi)的框架完成好,這是企業(yè)至少也要做到的,這樣才有可能做到有據(jù)可依。

(3)有關(guān)多用戶決策的評(píng)估。由于不同的問(wèn)題可以被不同層面的用戶所看到,因而要對(duì)風(fēng)險(xiǎn)進(jìn)行全面了解,有關(guān)多用戶溝通評(píng)估這項(xiàng)工作就要經(jīng)常進(jìn)行。把多用戶的相關(guān)決策過(guò)程取自于其評(píng)估過(guò)程,將大大有利對(duì)風(fēng)險(xiǎn)進(jìn)行全面的了解和深入的理解,并且能夠把對(duì)風(fēng)險(xiǎn)的管理真正落實(shí)到行動(dòng)上。很多實(shí)踐表明,讓多用戶共同參與,具有非常顯著的效果。因此,進(jìn)行多用戶相關(guān)的決策評(píng)估,具有一個(gè)具體的方法以及流程也顯得極其重要。

1.3 對(duì)有關(guān)風(fēng)險(xiǎn)評(píng)估過(guò)程這個(gè)重要問(wèn)題的認(rèn)識(shí)

(1)準(zhǔn)備階段—前期。在這一階段,主要的工作有,首先要明確所評(píng)估的目標(biāo);其次是對(duì)于所涉及的評(píng)估范圍要進(jìn)行確定,并且要把相關(guān)的協(xié)議以及合同簽署好;最后要把已經(jīng)存在的那些被評(píng)估對(duì)象的相關(guān)材料進(jìn)行接收,并就此對(duì)評(píng)估對(duì)象展開其研究調(diào)查工作。

(2)現(xiàn)場(chǎng)階段—中期。在這一階段,相關(guān)測(cè)評(píng)方案要進(jìn)行編寫,并且要把相應(yīng)的管理問(wèn)卷以及現(xiàn)場(chǎng)測(cè)試表準(zhǔn)備好,在這個(gè)基礎(chǔ)上,再把調(diào)查研究階段以及現(xiàn)場(chǎng)階段的測(cè)試有條不紊地進(jìn)行開展。

(3)評(píng)估階段—后期。在最后這一階段,要把測(cè)試報(bào)告進(jìn)行系統(tǒng)編寫,相關(guān)調(diào)查研究要進(jìn)行相應(yīng)的補(bǔ)充和完善,在把這兩項(xiàng)重要工作完成后,評(píng)估者要據(jù)此得出最終的風(fēng)險(xiǎn)評(píng)估報(bào)告。

2 結(jié)束語(yǔ)

總而言之,建設(shè)信息系統(tǒng)管理體系和安全體系的基礎(chǔ)就是信息安全風(fēng)險(xiǎn)評(píng)估;進(jìn)行風(fēng)險(xiǎn)評(píng)估,不僅可以讓信息系統(tǒng)的安全狀況得到進(jìn)一步的明確,也可以讓信息系統(tǒng)的主要安全風(fēng)險(xiǎn)得到進(jìn)一步的明確;因此,在當(dāng)前進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估,對(duì)于及早發(fā)現(xiàn)信息系統(tǒng)的安全隱患并且采取相應(yīng)的防御方案以保證信息系統(tǒng)安全具有極其重要的意義。

參考文獻(xiàn):

[1]剛.信息安全風(fēng)險(xiǎn)評(píng)估的策劃[J].信息技術(shù)與標(biāo)準(zhǔn)化,2008,9.

第6篇:信息安全風(fēng)險(xiǎn)評(píng)估范文

關(guān)鍵詞:信息系統(tǒng);安全風(fēng)險(xiǎn);研究進(jìn)展

一、國(guó)外研究進(jìn)展

國(guó)外對(duì)動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估研究主要包括動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估的體系架構(gòu)、工具和關(guān)鍵技術(shù)等。在動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估的體系架構(gòu)方面,1999年Tim Bass首次提出了網(wǎng)絡(luò)安全態(tài)勢(shì)感知概念,隨即又提出了基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)框架,并把該框架用于下一代入侵檢測(cè)系統(tǒng)和網(wǎng)絡(luò)安全態(tài)勢(shì)感知系統(tǒng),采用該框架實(shí)現(xiàn)入侵行為檢測(cè)、入侵率計(jì)算、入侵者身份和入侵者行為識(shí)別、態(tài)勢(shì)評(píng)估以及威脅評(píng)估等功能。StephenG. Batsell,JasonShifflet等人也提出了類似的模型。美國(guó)國(guó)防部提出了JDL(Joint Director of Laboratories)模型的網(wǎng)絡(luò)態(tài)勢(shì)感知總體框架結(jié)構(gòu),此模型主要包括多源異構(gòu)數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理、事件關(guān)聯(lián)和目標(biāo)識(shí)別、態(tài)勢(shì)評(píng)估、威脅評(píng)估、響應(yīng)與預(yù)警、態(tài)勢(shì)可視化顯示以及過(guò)程優(yōu)化控制與管理等功能模塊。動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估由于評(píng)估頻次高,因此應(yīng)充分使用自動(dòng)化工具代替人工勞動(dòng),力爭(zhēng)做到對(duì)實(shí)時(shí)風(fēng)險(xiǎn)的監(jiān)控和計(jì)算,同時(shí)抓住最重要風(fēng)險(xiǎn)來(lái)分析。在動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估的工具方面,可依托的工具包括評(píng)估威脅的入侵檢測(cè)系統(tǒng)、異常流量分析系統(tǒng)、日志分析系統(tǒng)等,評(píng)估脆弱性的網(wǎng)絡(luò)掃描器、應(yīng)用掃描工具等。

在動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估的技術(shù)方面,動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估領(lǐng)域涉及到數(shù)據(jù)采集、數(shù)據(jù)融合、態(tài)勢(shì)可視化等多項(xiàng)技術(shù),網(wǎng)絡(luò)動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估的難點(diǎn)主要集中在對(duì)態(tài)勢(shì)的正確理解和合理預(yù)測(cè)上。關(guān)于動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估相關(guān)技術(shù)研究很多,例如在數(shù)據(jù)采集技術(shù)方面,按照數(shù)據(jù)源分為基于系統(tǒng)配置信息(服務(wù)設(shè)置系統(tǒng)中存在的漏洞等)和基于系統(tǒng)運(yùn)行信息(IDS日志中顯示的系統(tǒng)所受攻擊狀況等)兩大類數(shù)據(jù)采集;在數(shù)據(jù)融合技術(shù)方面,Tim Bass首次提出將JDL模型直接運(yùn)用到網(wǎng)絡(luò)態(tài)勢(shì)感知領(lǐng)域,這為以后數(shù)據(jù)融合技術(shù)在網(wǎng)絡(luò)態(tài)勢(shì)感知領(lǐng)域的應(yīng)用奠定了基礎(chǔ),Christos Siaterlis等人運(yùn)用數(shù)據(jù)融合技術(shù)設(shè)計(jì)出檢測(cè)DDoS攻擊的模型;在態(tài)勢(shì)可視化技術(shù)方面,H.Koike和K.Ohno專門為分析Snort日志以及Syslog數(shù)據(jù)開發(fā)了SnortView系統(tǒng),可以實(shí)現(xiàn)每2min對(duì)視圖的一次更新,并可以顯示4h以內(nèi)的報(bào)警數(shù)據(jù)。

二、國(guó)內(nèi)研究進(jìn)展

我國(guó)對(duì)網(wǎng)絡(luò)和信息安全保障工作高度重視,了中辦發(fā)[2003]27號(hào)《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》、中辦發(fā)[2006]11號(hào)《2006—2020年國(guó)家信息化發(fā)展戰(zhàn)略》等文件部署安全風(fēng)險(xiǎn)評(píng)估等安全工作,但是由于我國(guó)關(guān)于安全風(fēng)險(xiǎn)評(píng)估研究起步的較晚,目前國(guó)內(nèi)整體處于起步和借鑒階段,大多數(shù)研究主要面向信息系統(tǒng),針對(duì)電信網(wǎng)絡(luò)的特點(diǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估的研究和應(yīng)用較少。

在安全風(fēng)險(xiǎn)評(píng)估模型、方法和工具方面,我國(guó)雖然已經(jīng)有一些相關(guān)的文章和專著,但是也還局限在對(duì)已有國(guó)際模型、方法和工具的分析和模仿上,缺乏科學(xué)、有效、得到廣泛認(rèn)可的方法和工具,尤其針對(duì)電信網(wǎng)的業(yè)務(wù)和網(wǎng)絡(luò)特點(diǎn)的可操作性強(qiáng)、得到普遍認(rèn)可的風(fēng)險(xiǎn)評(píng)估方法和工具較少。

國(guó)內(nèi)對(duì)安全動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估的研究還屬于起步階段,相關(guān)研究主要包括動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估的體系架構(gòu)、相關(guān)關(guān)鍵技術(shù)等。在體系架構(gòu)方面,西安交通大學(xué)研究并實(shí)現(xiàn)了基于IDS和防火墻的集成化網(wǎng)絡(luò)安全監(jiān)控平臺(tái),提出了基于統(tǒng)計(jì)分析的層次化(從上到下分為系統(tǒng)、主機(jī)、服務(wù)和攻擊/漏洞4個(gè)層次)安全態(tài)勢(shì)量化評(píng)估模型,采用了自下而上、先局部后整體的評(píng)估策略及相應(yīng)計(jì)算方法,此方面也是在動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估領(lǐng)域普遍采用的方法。北京理工大學(xué)信息安全與對(duì)抗技術(shù)研究中心研制了一套基于局域網(wǎng)絡(luò)的網(wǎng)絡(luò)安全態(tài)勢(shì)評(píng)估系統(tǒng),由網(wǎng)絡(luò)安全風(fēng)險(xiǎn)狀態(tài)評(píng)估和網(wǎng)絡(luò)威脅發(fā)展趨勢(shì)預(yù)測(cè)兩部分組成,用于評(píng)估網(wǎng)絡(luò)設(shè)備及結(jié)構(gòu)的脆弱性、安全威脅水平等。在關(guān)鍵技術(shù)方面,安全領(lǐng)域?qū)<荫T毅從我軍信息與網(wǎng)絡(luò)安全的角度出發(fā),闡述了我軍積極開展網(wǎng)絡(luò)安全態(tài)勢(shì)感知研究的必要性和重要性,指出了多源傳感器數(shù)據(jù)融合和數(shù)據(jù)挖掘兩項(xiàng)關(guān)鍵技術(shù)。國(guó)防科技大學(xué)的胡華平等人提出了面向大規(guī)模網(wǎng)絡(luò)的入侵檢測(cè)與預(yù)警系統(tǒng)的基本框架及其關(guān)鍵技術(shù)與難點(diǎn)問(wèn)題。另外,國(guó)內(nèi)也有一些科研機(jī)構(gòu)嘗試把數(shù)據(jù)融合技術(shù)應(yīng)用到網(wǎng)絡(luò)安全領(lǐng)域,提出了應(yīng)用數(shù)據(jù)融合技術(shù)的網(wǎng)絡(luò)安全分析評(píng)估系統(tǒng)、入侵檢測(cè)系統(tǒng)等。

但是總體來(lái)說(shuō),國(guó)內(nèi)在動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估研究方面取得的成果有限,仍沒(méi)有成熟的、實(shí)用的技術(shù)或工具,更缺乏針對(duì)電信網(wǎng)進(jìn)行動(dòng)態(tài)風(fēng)險(xiǎn)評(píng)估的相關(guān)研究,現(xiàn)有研究成果還存在動(dòng)態(tài)評(píng)估的實(shí)時(shí)性不強(qiáng)、采集的數(shù)據(jù)不夠豐富有效、對(duì)風(fēng)險(xiǎn)態(tài)勢(shì)的預(yù)測(cè)研究不夠等諸多問(wèn)題。

參考文獻(xiàn):

[1] 彭凌西;陳月峰;劉才銘;曾金全;劉孫俊;趙輝;;基于危險(xiǎn)理論的網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估模型[J];電子科技大學(xué)學(xué)報(bào);2007年06期

[2] 李波;;入侵檢測(cè)技術(shù)面臨的挑戰(zhàn)與未來(lái)發(fā)展趨勢(shì)[J];電子科技;2007年07期

[3] 丁麗萍;論計(jì)算機(jī)取證的原則和步驟[J];中國(guó)人民公安大學(xué)學(xué)報(bào)(自然科學(xué)版);2005年01期

[4] 趙冬梅;張玉清;馬建峰;;網(wǎng)絡(luò)安全的綜合風(fēng)險(xiǎn)評(píng)估[J];計(jì)算機(jī)科學(xué);2004年07期

第7篇:信息安全風(fēng)險(xiǎn)評(píng)估范文

【關(guān)鍵詞】電力企業(yè);信息安全;風(fēng)險(xiǎn)防御

和諧社會(huì)的發(fā)展是政治、經(jīng)濟(jì)、文化、社會(huì)和生態(tài)多方面合力的結(jié)果,科技的進(jìn)步使得電力企業(yè)意識(shí)到亟需盡快的對(duì)電力系統(tǒng)進(jìn)行革新,從計(jì)劃經(jīng)濟(jì)到市場(chǎng)經(jīng)濟(jì)體制的改革中,電力企業(yè)為了適應(yīng)這樣的變化,加強(qiáng)了對(duì)管理體制的合理改變和生產(chǎn)效率的大步提高,拉開了電力系統(tǒng)改革的序幕。安全的信息網(wǎng)絡(luò)系統(tǒng)的構(gòu)建是電力企業(yè)發(fā)展改革過(guò)程中至關(guān)重要的一個(gè)環(huán)節(jié),有效的將電力企業(yè)的信息安全系統(tǒng)與其管理和考核進(jìn)行有機(jī)結(jié)合,更好的服務(wù)于電力企業(yè)的生產(chǎn)、經(jīng)營(yíng)和管理,電力企業(yè)安全信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估與防御也就成為了電力企業(yè)在經(jīng)濟(jì)全球化進(jìn)程中亟待重視的問(wèn)題所在。

1 電力企業(yè)安全信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估

1.1 企業(yè)規(guī)模發(fā)展迅速,信息網(wǎng)絡(luò)安全意識(shí)淡薄

電力資源是我們社會(huì)生活中必不可少的一部分,電力企業(yè)在相對(duì)壟斷的情況下,發(fā)展極其迅速,但在這樣的過(guò)程中,我們可以看到,大多數(shù)電力企業(yè)僅僅對(duì)基礎(chǔ)設(shè)施和簡(jiǎn)單的網(wǎng)絡(luò)構(gòu)建有著重視力度,卻沒(méi)有對(duì)安全信息系統(tǒng)的風(fēng)險(xiǎn)認(rèn)識(shí)足夠,這種情況下必然產(chǎn)生了諸如網(wǎng)絡(luò)安全防御意識(shí)差,對(duì)網(wǎng)絡(luò)信息安全防范的資金投入不足等不良情況的出現(xiàn)。企業(yè)規(guī)模越來(lái)越大,對(duì)企業(yè)安全信息系統(tǒng)的維護(hù)資金投入?yún)s并不高,網(wǎng)絡(luò)安全技術(shù)沒(méi)能及時(shí)加強(qiáng),電力企業(yè)也就不能很好的抵御網(wǎng)絡(luò)風(fēng)險(xiǎn),對(duì)網(wǎng)絡(luò)入侵也顯得無(wú)所適從。

1.2 信息化安全資金投入少,管理機(jī)制有待完善

電力企業(yè)對(duì)安全信息網(wǎng)絡(luò)的建設(shè)的重視并不充分,有些電力企業(yè)在管理過(guò)程中對(duì)信息管理部門完全忽視,只是將企業(yè)的網(wǎng)絡(luò)信息安全的管理安排給幾個(gè)技術(shù)員或掛靠到生產(chǎn)技術(shù)部門,電力企業(yè)作為高盈利企業(yè)卻對(duì)信息安全資金投入并不充分,信息化管理制度也很不健全。電力企業(yè)安全信息機(jī)制的構(gòu)建是個(gè)長(zhǎng)期的系統(tǒng)工程,我們必須注意到構(gòu)建專門的信息化部門的重要性,才能在激烈的市場(chǎng)競(jìng)爭(zhēng)中使得電力企業(yè)更好的滿足其發(fā)展體制對(duì)信息化管理的需求。

2 電力企業(yè)安全信息系統(tǒng)的主要問(wèn)題

2.1 信息安全化管理未分區(qū)

國(guó)家電力管理委員會(huì)出臺(tái)的5號(hào)規(guī)定,對(duì)電網(wǎng)企業(yè)、發(fā)電企業(yè)、供電企業(yè)等電力相關(guān)企業(yè)做出了有關(guān)其信息安全網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)構(gòu)建的明確規(guī)定,將這些企業(yè)的計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)系統(tǒng)大致分為了管理信息的部分以及生產(chǎn)控制的區(qū)域。信息管理區(qū)域可以依托各個(gè)企業(yè)不同的經(jīng)營(yíng)管理模式對(duì)安全區(qū)進(jìn)行劃分,而生產(chǎn)控制區(qū)域一般來(lái)說(shuō)應(yīng)該由可控制區(qū)和非可控區(qū)兩大部分構(gòu)成。在這樣兩個(gè)大的區(qū)域之間,電力企業(yè)必須在國(guó)家電力監(jiān)測(cè)認(rèn)定部門的監(jiān)督下安裝電力生產(chǎn)專用的單向橫向安全的隔離裝置。如若不能很好的遵從這樣一個(gè)標(biāo)準(zhǔn)對(duì)電力企業(yè)網(wǎng)絡(luò)系統(tǒng)進(jìn)行管理,就經(jīng)常會(huì)出現(xiàn)企業(yè)管理信息大區(qū)部分網(wǎng)絡(luò)直接可以對(duì)生產(chǎn)控制區(qū)域的數(shù)據(jù)進(jìn)行訪問(wèn),出現(xiàn)網(wǎng)絡(luò)安全事件,影響電力企業(yè)的安全生產(chǎn)和發(fā)展。

2.2 網(wǎng)絡(luò)端口接點(diǎn)存在風(fēng)險(xiǎn)

互聯(lián)網(wǎng)技術(shù)的革新的步伐越來(lái)越快,企業(yè)的網(wǎng)絡(luò)系統(tǒng)安全建設(shè)卻并不牢靠,在部分環(huán)節(jié)仍然十分脆弱,在電力企業(yè)的信息安全網(wǎng)絡(luò)建設(shè)中, Web程序漏洞、系統(tǒng)漏洞不斷出現(xiàn),對(duì)病毒的侵入無(wú)力抵抗,為黑客、病毒制造者提供了入侵的機(jī)會(huì),這些信息安全威脅的發(fā)生可能會(huì)引起電力企業(yè)網(wǎng)絡(luò)安全系統(tǒng)的癱瘓和網(wǎng)絡(luò)故障,為企業(yè)造成了這些安全威脅使得企業(yè)利益造成了巨大的損失。在最近的一項(xiàng)調(diào)查數(shù)據(jù)中顯示,電力企業(yè)中遭受到的網(wǎng)絡(luò)安全信息系統(tǒng)威脅中約有70%是由于網(wǎng)絡(luò)系統(tǒng)內(nèi)部的危險(xiǎn)侵襲。這種危害的可能發(fā)現(xiàn)于諸多方面:對(duì)于敏感數(shù)據(jù)的濫用,對(duì)于內(nèi)部員工的信息監(jiān)管不力使得信息泄露都提升了企業(yè)的運(yùn)行風(fēng)險(xiǎn)。

2.3 互聯(lián)網(wǎng)病毒的侵害

從口語(yǔ)傳播時(shí)代到印刷傳播時(shí)代,直至現(xiàn)在的網(wǎng)絡(luò)傳播時(shí)代,互聯(lián)網(wǎng)的高速發(fā)展使得網(wǎng)絡(luò)病毒也迅速得以傳播和擴(kuò)散。諸多的電力企業(yè)網(wǎng)絡(luò)內(nèi)外相連,覆蓋范圍相當(dāng)廣泛,網(wǎng)絡(luò)病毒經(jīng)??梢杂袡C(jī)可乘,牽一發(fā)而動(dòng)全身,從一臺(tái)電腦的病毒侵害到整個(gè)電力網(wǎng)絡(luò)系統(tǒng),造成網(wǎng)絡(luò)通信的阻塞,使得整個(gè)系統(tǒng)中的文件和關(guān)鍵數(shù)據(jù)得不到完整的保存,造成不可預(yù)計(jì)的后果。

2.4 信息安全人員防范意識(shí)較低

電力企業(yè)信息防范人員對(duì)信息安全應(yīng)用系統(tǒng)的管理是保障信息網(wǎng)絡(luò)安全系統(tǒng)的重要一部分。數(shù)據(jù)庫(kù)操作系統(tǒng)的規(guī)劃和防范都離不開信息安全人員的有力防范,但在如今的電力企業(yè)信息安全系統(tǒng)的管理過(guò)程中,相關(guān)人員防范意識(shí)低下的情況屢屢發(fā)生,由此引發(fā)的網(wǎng)絡(luò)安全漏洞泄露了電力企業(yè)機(jī)密信息,造成了很大的安全隱患,使企業(yè)遭受安全沖擊。用戶的網(wǎng)絡(luò)安全防范意識(shí)低下是現(xiàn)如今網(wǎng)絡(luò)安全的通病,大多數(shù)的用戶都認(rèn)為網(wǎng)絡(luò)自身有著一定的自我安全防范意識(shí),對(duì)電腦提示的病毒預(yù)警視而不見,電力企業(yè)中也沒(méi)有很好的避免這一點(diǎn),部分工作人員重技術(shù)輕管理,網(wǎng)絡(luò)安全信息管理機(jī)制的不完善,也給企業(yè)的網(wǎng)絡(luò)帶來(lái)了十分大的管理風(fēng)險(xiǎn),這就迫切的要求應(yīng)該對(duì)網(wǎng)絡(luò)的安全機(jī)制進(jìn)行完善,也應(yīng)該主動(dòng)自高工作人員自身的安全防范意識(shí)。

3 電力企業(yè)安全信息系統(tǒng)風(fēng)險(xiǎn)防御

3.1 防火墻技術(shù)的運(yùn)用

防火墻技術(shù)是現(xiàn)今社會(huì)經(jīng)常用于互聯(lián)網(wǎng)風(fēng)險(xiǎn)防御的重要手段之一,多用于將可信任網(wǎng)絡(luò)和非信任網(wǎng)絡(luò)之間相隔開來(lái)。電力企業(yè)的生產(chǎn)經(jīng)營(yíng)和管理的過(guò)程中的運(yùn)行調(diào)度中都應(yīng)該加強(qiáng)在安全檢查中對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)的關(guān)注,限制對(duì)含帶危險(xiǎn)信息的領(lǐng)域的訪問(wèn)。電力企業(yè)在生產(chǎn)經(jīng)營(yíng)、分散控制和運(yùn)行調(diào)度的過(guò)程中對(duì)防火墻技術(shù)的運(yùn)用有效的將信息的采集、整合和應(yīng)用都限制在可掌控的范圍內(nèi),在不同的權(quán)限內(nèi)最大限度的合理的運(yùn)用著相關(guān)資源。

3.2 網(wǎng)絡(luò)病毒侵襲的防護(hù)

電力企業(yè)關(guān)系著國(guó)家重要電力資源的開發(fā)和應(yīng)用,為了保護(hù)電力資源的安全,必須要從內(nèi)到外的構(gòu)建起全方位的網(wǎng)絡(luò)病毒防侵害系統(tǒng),更好的對(duì)來(lái)自于各個(gè)方面的病毒信息進(jìn)行防護(hù)。只有提高了企業(yè)的整體安全性,在互聯(lián)網(wǎng)和周邊的局域網(wǎng)內(nèi)都安裝好防病毒侵襲的安全網(wǎng)關(guān)和內(nèi)置的病毒防護(hù)軟件,才能使得電力企業(yè)免受網(wǎng)絡(luò)病毒的侵襲,各個(gè)方面的數(shù)據(jù)得以安全與穩(wěn)定的保存。

在電力企業(yè)的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)中,對(duì)接入點(diǎn)客戶的安全策略檢測(cè)和身份認(rèn)證都是必不可少的,若不能通過(guò)檢測(cè)的用戶應(yīng)該被嚴(yán)令禁止在網(wǎng)絡(luò)之外進(jìn)行隔離。無(wú)論是無(wú)線用戶還是有限用戶,都將面對(duì)互聯(lián)網(wǎng)訪問(wèn)客戶端從驗(yàn)證、授權(quán)到阻止未授權(quán)的計(jì)算機(jī)網(wǎng)絡(luò)資源的過(guò)程,只有在一系列的檢測(cè)中得到審核通過(guò)才可以拿到進(jìn)入內(nèi)部網(wǎng)絡(luò)的通行證,網(wǎng)絡(luò)病毒越來(lái)越厲害,愈發(fā)侵入性越強(qiáng),對(duì)此,電力企業(yè)對(duì)客戶端主機(jī)應(yīng)該進(jìn)行更加嚴(yán)密的考察,不間斷的對(duì)病毒特征信息庫(kù)進(jìn)行更新,維護(hù)好網(wǎng)絡(luò)的完整和安全性。

3.3 虛擬網(wǎng)的數(shù)據(jù)備份技術(shù)

互聯(lián)網(wǎng)技術(shù)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)設(shè)置,加之很好的利用交換機(jī)、路由器等功能設(shè)置,可以使網(wǎng)絡(luò)管理員將任何一個(gè)相關(guān)局域網(wǎng)內(nèi)的一些網(wǎng)段結(jié)合起來(lái),組成一個(gè)局域網(wǎng)。在這個(gè)局域網(wǎng)里的信息傳遞速度更加迅速,傳播速度的加快使得網(wǎng)絡(luò)信息安全生產(chǎn)過(guò)程中的管理效率得到提高,使得電力企業(yè)的數(shù)據(jù)被竊聽的可能性不斷的降低。與此同時(shí),現(xiàn)在電力企業(yè)在大多數(shù)情況下都會(huì)對(duì)重要的資料進(jìn)行數(shù)據(jù)庫(kù)的備份工作,這樣構(gòu)建起對(duì)電力企業(yè)信息網(wǎng)絡(luò)安全系統(tǒng)的應(yīng)急預(yù)案,可以在出現(xiàn)網(wǎng)絡(luò)侵襲時(shí)及時(shí)的對(duì)關(guān)鍵業(yè)務(wù)和應(yīng)用程序進(jìn)行保護(hù),確保核心數(shù)據(jù)系統(tǒng)在出現(xiàn)損害時(shí),企業(yè)核心安全得到保護(hù)。

3.4 終端設(shè)備的網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)

可采用基于網(wǎng)關(guān)認(rèn)證的硬件控制技術(shù),實(shí)現(xiàn)對(duì)通過(guò)無(wú)線網(wǎng)絡(luò)、有線網(wǎng)絡(luò)、VPN網(wǎng)絡(luò)、wifi網(wǎng)絡(luò)等方式連接的設(shè)備進(jìn)行接入控制。同時(shí),采用“報(bào)備重定向+注冊(cè)重定向”的雙重認(rèn)證保護(hù)技術(shù),對(duì)非法接入的終端設(shè)備進(jìn)行強(qiáng)制重定向安全檢查。對(duì)不符合安全等級(jí)要求的終端設(shè)備,可根據(jù)系統(tǒng)策略限制用戶接入網(wǎng)絡(luò)或?qū)⑵湓L問(wèn)限制在隔離區(qū)。

網(wǎng)絡(luò)準(zhǔn)入控制技術(shù)應(yīng)以細(xì)致、準(zhǔn)確、迅速為原則,對(duì)網(wǎng)絡(luò)資源訪問(wèn)進(jìn)行控制,尤其是一些核心的網(wǎng)絡(luò)應(yīng)用,包括C/S、B/S以及服務(wù)器應(yīng)用;以精益化的客戶端聯(lián)動(dòng)管理為核心,基于多種授權(quán)方式,包括單用戶授權(quán)、用戶組授權(quán)、白名單授權(quán)等方式,實(shí)現(xiàn)對(duì)未受控客戶端實(shí)施不同用戶級(jí)別的可靠便捷的接入控制。

4 結(jié)論

電力企業(yè)的安全信息系統(tǒng)是電力企業(yè)信息化管理的重要內(nèi)容之一,有效的對(duì)電力企業(yè)安全信息系統(tǒng)將要面臨的風(fēng)險(xiǎn)進(jìn)行評(píng)估并且提出切實(shí)可行的防御措施,是保障電力企業(yè)現(xiàn)代化管理的有力手段。隨著近些年來(lái)互聯(lián)網(wǎng)技術(shù)的增強(qiáng),電力企業(yè)的安全系統(tǒng)構(gòu)建也愈發(fā)的完善,為電力企業(yè)的良性循環(huán)運(yùn)行提供了必要的技術(shù)支持和保障,因此,我們應(yīng)該重視對(duì)互聯(lián)網(wǎng)信息的保護(hù),防御病毒的侵害,為為電力企業(yè)的安全信息系統(tǒng)的正常運(yùn)行營(yíng)造起安全的網(wǎng)絡(luò)環(huán)境。

參考文獻(xiàn):

[1]陳偉.電力系統(tǒng)網(wǎng)絡(luò)安全體系研究[J].電力系統(tǒng)通信,2008(01).

[2]牟奕欣.關(guān)于電力系統(tǒng)的網(wǎng)絡(luò)安全的探討[J].中國(guó)經(jīng)貿(mào),2010(14).

第8篇:信息安全風(fēng)險(xiǎn)評(píng)估范文

【 關(guān)鍵詞 】 內(nèi)蒙古電力公司信息系統(tǒng);信息安全;風(fēng)險(xiǎn)評(píng)估;探索與思考

The Exploration and Inspiration of Risk Assessment on Information Systems

in Inner Mongolia Power (Group) Co., Ltd.

Ao Wei 1 Zhuang Su-shuai 2

(1.Information Communication Branch of the Inner Mongolia Power (Group)Co., Ltd Inner MongoliaHohhot 010020;

2.Beijing Certificate Authority Co., Ltd Beijing 100080)

【 Abstract 】 Based on the conduct of information security risk assessment in Inner Mongolia Power (Group) Co. Ltd., we analyzed the general methods of risk assessment on power information systems. Besides, we studied the techniques and overall process of risk assessment on power information systems in Inner Mongolia Power (Group) Co. Ltd., whose exploration provides valuable inspiration to information security in electric power industry.

【 Keywords 】 information systems of Inner Mongolia Power (Group) Co., Ltd.; information security; risk assessment; exploration and inspiration

1 引言

目前,電力行業(yè)信息安全的研究只停留于網(wǎng)絡(luò)安全防御框架與防御技術(shù)的應(yīng)用層面,缺少安全評(píng)估方法與模型研究。文獻(xiàn)[1]-[3]只初步分析了信息安全防護(hù)體系的構(gòu)架與策略,文獻(xiàn)[4]、[5]研究了由防火墻、VPN、PKI和防病毒等多種技術(shù)構(gòu)建的層次式信息安全防護(hù)體系。這些成果都局限于單純的信息安全保障技術(shù)的改進(jìn)與應(yīng)用。少數(shù)文獻(xiàn)對(duì)電力信息安全評(píng)估模型進(jìn)行了討論,但對(duì)于安全風(fēng)險(xiǎn)評(píng)估模型的研究都不夠深入。文獻(xiàn)[6]、文獻(xiàn)[7]只定性指出了安全風(fēng)險(xiǎn)分析需要考慮的內(nèi)容;文獻(xiàn)[8]討論了一種基于模糊數(shù)學(xué)的電力信息安全評(píng)估模型,這種模型本質(zhì)上依賴于專家的經(jīng)驗(yàn),帶有主觀性;文獻(xiàn)[9]只提出了一種電力信息系統(tǒng)安全設(shè)計(jì)的建模語(yǔ)言和定量化評(píng)估方法,但是并未對(duì)安全風(fēng)險(xiǎn)的評(píng)估模型進(jìn)行具體分析。

本文介紹了內(nèi)蒙古電力信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的相關(guān)工作,并探討了內(nèi)蒙古電力信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估工作在推動(dòng)行業(yè)信息安全保護(hù)方面帶給我們的啟示。

2 內(nèi)蒙古電力信息安全風(fēng)險(xiǎn)評(píng)估工作

隨著電網(wǎng)規(guī)模的日益擴(kuò)大,內(nèi)蒙古電力信息系統(tǒng)日益復(fù)雜,電網(wǎng)運(yùn)行對(duì)信息系統(tǒng)的依賴性不斷增加,對(duì)電力系統(tǒng)信息安全的要求也越來(lái)越高。因此,在電力行業(yè)開展信息安全風(fēng)險(xiǎn)評(píng)估工作,研究電力信息安全問(wèn)題,顯得尤為必要。

根據(jù)國(guó)家關(guān)于信息安全的相關(guān)標(biāo)準(zhǔn)與政策,并根據(jù)實(shí)際業(yè)務(wù)情況,內(nèi)蒙古電力公司委托北京數(shù)字認(rèn)證股份有限公司(BJCA)對(duì)信息系統(tǒng)進(jìn)行了有效的信息安全風(fēng)險(xiǎn)評(píng)估工作。評(píng)估的內(nèi)容主要包括系統(tǒng)面臨的安全威脅與系統(tǒng)脆弱性兩個(gè)方面,以解決電力信息系統(tǒng)面臨的的安全風(fēng)險(xiǎn)。

3 電力系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估的解決方案

通過(guò)對(duì)內(nèi)蒙古電力信息系統(tǒng)的風(fēng)險(xiǎn)評(píng)估工作,我們可以總結(jié)出電力信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的解決方案。

4 電力信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的流程

電力信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的一般流程。

(1) 前期準(zhǔn)備階段。本階段為風(fēng)險(xiǎn)評(píng)估實(shí)施之前的必需準(zhǔn)備工作,包括對(duì)風(fēng)險(xiǎn)評(píng)估進(jìn)行規(guī)劃、確定評(píng)估團(tuán)隊(duì)組成、明確風(fēng)險(xiǎn)評(píng)估范圍、準(zhǔn)備調(diào)查資料等。

(2) 現(xiàn)場(chǎng)調(diào)查階段:實(shí)施人員對(duì)評(píng)估信息系統(tǒng)進(jìn)行詳細(xì)調(diào)查,收集數(shù)據(jù)信息,包括信息系統(tǒng)資產(chǎn)組成、系統(tǒng)資產(chǎn)脆弱點(diǎn)、組織管理脆弱點(diǎn)、威脅因素等。

(3) 風(fēng)險(xiǎn)分析階段:根據(jù)現(xiàn)場(chǎng)調(diào)查階段獲得的相關(guān)數(shù)據(jù),選擇適當(dāng)?shù)姆治龇椒▽?duì)目標(biāo)信息系統(tǒng)的風(fēng)險(xiǎn)狀況進(jìn)行綜合分析。

(4) 策略制定階段:根據(jù)風(fēng)險(xiǎn)分析結(jié)果,結(jié)合目標(biāo)信息系統(tǒng)的安全需求制定相應(yīng)的安全策略,包括安全管理策略、安全運(yùn)行策略和安全體系規(guī)劃。

5 數(shù)據(jù)采集

在風(fēng)險(xiǎn)評(píng)估實(shí)踐中經(jīng)常使用的數(shù)據(jù)采集方式主要有三類。

(1) 調(diào)查表格。根據(jù)一定的采集目的而專門設(shè)計(jì)的表格,根據(jù)調(diào)查內(nèi)容、調(diào)查對(duì)象、調(diào)查方式、工作計(jì)劃的安排而設(shè)計(jì)。常用的調(diào)查表有資產(chǎn)調(diào)查表、安全威脅調(diào)查表、安全需求調(diào)查表、安全策略調(diào)查表等。

(2) 技術(shù)分析工具。常用的是一些系統(tǒng)脆弱性分析工具。通過(guò)技術(shù)分析工具可以直接了解信息系統(tǒng)目前存在的安全隱患的脆弱性,并確認(rèn)已有安全技術(shù)措施是否發(fā)揮作用。

(3) 信息系統(tǒng)資料。風(fēng)險(xiǎn)評(píng)估還需要通過(guò)查閱、分析、整理信息系統(tǒng)相關(guān)資料來(lái)收集相關(guān)資料。如:系統(tǒng)規(guī)劃資料、建設(shè)資料、運(yùn)行記錄、事故處理記錄、升級(jí)記錄、管理制度等。

a) 分析方法

風(fēng)險(xiǎn)評(píng)估的關(guān)鍵在于根據(jù)所收集的資料,采取一定的分析方法,得出信息系統(tǒng)安全風(fēng)險(xiǎn)的結(jié)論,因此,分析方法的正確選擇是風(fēng)險(xiǎn)評(píng)估的核心。

結(jié)合內(nèi)蒙電力信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估工作的實(shí)踐,我們認(rèn)為電力行業(yè)信息安全風(fēng)險(xiǎn)分析的方法可以分為三類。

定量分析方法是指運(yùn)用數(shù)量指標(biāo)來(lái)對(duì)風(fēng)險(xiǎn)進(jìn)行評(píng)估,在風(fēng)險(xiǎn)評(píng)估與成本效益分析期間收集的各個(gè)組成部分計(jì)算客觀風(fēng)險(xiǎn)值,典型的定量分析方法有因子分析法、聚類分析法、時(shí)序模型、回歸模型、等風(fēng)險(xiǎn)圖法等。

定性分析方法主要依據(jù)評(píng)估者的知識(shí)、經(jīng)驗(yàn)、歷史教訓(xùn)、政策走向及特殊案例等非量化資料對(duì)系統(tǒng)風(fēng)險(xiǎn)狀況做出判斷的過(guò)程。在實(shí)踐中,可以通過(guò)調(diào)查表和合作討論會(huì)的形式進(jìn)行風(fēng)險(xiǎn)分析,分析活動(dòng)會(huì)涉及來(lái)自信息系統(tǒng)運(yùn)行和使用相關(guān)的各個(gè)部門的人員。

綜合分析方法中的安全風(fēng)險(xiǎn)管理的定性方法和定量方法都具有各自的優(yōu)點(diǎn)與缺點(diǎn)。在某些情況下會(huì)要求采用定量方法,而在其他情況下定性的評(píng)估方法更能滿足組織需求。

表1概括介紹了定量和定性方法的優(yōu)點(diǎn)與缺點(diǎn)。

b) 質(zhì)量保證

鑒于風(fēng)險(xiǎn)評(píng)估項(xiàng)目具有一定的復(fù)雜性和主觀性,只有進(jìn)行完善的質(zhì)量控制和嚴(yán)格的流程管理,才能保證風(fēng)險(xiǎn)評(píng)估項(xiàng)目的最終質(zhì)量。風(fēng)險(xiǎn)評(píng)估項(xiàng)目的質(zhì)量保障主要體現(xiàn)在實(shí)施流程的透明性以及對(duì)整體項(xiàng)目的可控性,質(zhì)量保障活動(dòng)需要在評(píng)估項(xiàng)目實(shí)施中提供足夠的可見性,確保項(xiàng)目實(shí)施按照規(guī)定的標(biāo)準(zhǔn)流程進(jìn)行。在內(nèi)蒙古電力風(fēng)險(xiǎn)評(píng)估的實(shí)踐中,設(shè)立質(zhì)量監(jiān)督員(或聘請(qǐng)獨(dú)立的項(xiàng)目監(jiān)理?yè)?dān)任)是一個(gè)有效的方法。質(zhì)量監(jiān)督員依照相應(yīng)各階段的實(shí)施標(biāo)準(zhǔn),通過(guò)記錄審核、流程監(jiān)理、組織評(píng)審、異常報(bào)告等方式對(duì)項(xiàng)目的進(jìn)度、質(zhì)量進(jìn)行控制。

6 內(nèi)蒙古電力信息安全風(fēng)險(xiǎn)評(píng)估的啟示

為了更好地開展風(fēng)險(xiǎn)評(píng)估工作,可以采取以下安全措施及管理辦法。

6.1 建立定期風(fēng)險(xiǎn)評(píng)估制度

信息安全風(fēng)險(xiǎn)管理是發(fā)達(dá)國(guó)家信息安全保障工作的通行做法。按照風(fēng)險(xiǎn)管理制度,適時(shí)開展風(fēng)險(xiǎn)評(píng)估工作,或建立風(fēng)險(xiǎn)評(píng)估的長(zhǎng)效機(jī)制,將風(fēng)險(xiǎn)評(píng)估工作與信息系統(tǒng)的生命周期和安全建設(shè)聯(lián)系起來(lái),讓風(fēng)險(xiǎn)評(píng)估成為信息安全保障工作運(yùn)行機(jī)制的基石。

6.2 編制電力信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估實(shí)施細(xì)則

由于所有的信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)給出的都是指導(dǎo)性文件,并沒(méi)有給出具體實(shí)施過(guò)程、風(fēng)險(xiǎn)要素識(shí)別方法、風(fēng)險(xiǎn)分析方法、風(fēng)險(xiǎn)計(jì)算方法、風(fēng)險(xiǎn)定級(jí)方法等,因此建議在國(guó)標(biāo)《信息安全風(fēng)險(xiǎn)評(píng)估指南》的框架下,編制適合電力公司業(yè)務(wù)特色的實(shí)施細(xì)則,根據(jù)選用的或自定義的風(fēng)險(xiǎn)計(jì)算方法,,制各種模板,以在電力信息系統(tǒng)實(shí)現(xiàn)評(píng)估過(guò)程和方法的統(tǒng)一。

6.3 加強(qiáng)風(fēng)險(xiǎn)評(píng)估基礎(chǔ)設(shè)施建設(shè),統(tǒng)一選配風(fēng)險(xiǎn)評(píng)估工具

風(fēng)險(xiǎn)評(píng)估工具是保障風(fēng)險(xiǎn)評(píng)估結(jié)果可信度的重要因素。應(yīng)根據(jù)選用的評(píng)估標(biāo)準(zhǔn)和評(píng)估方法,選擇配套的專業(yè)風(fēng)險(xiǎn)評(píng)估工具,向分支機(jī)構(gòu)配發(fā)或推薦。如漏洞掃描、滲透測(cè)試等評(píng)估輔助工具,及向評(píng)估人員提供幫助的資產(chǎn)分類庫(kù)、威脅參考庫(kù)、脆弱性參考庫(kù)、可能性定義庫(kù)、算法庫(kù)等評(píng)估輔助專家系統(tǒng)。

6.4 統(tǒng)一組織實(shí)施核心業(yè)務(wù)系統(tǒng)的評(píng)估

由于評(píng)估過(guò)程本身的風(fēng)險(xiǎn)性,對(duì)于重要的實(shí)時(shí)性強(qiáng)、社會(huì)影響大的核心業(yè)務(wù)系統(tǒng)的評(píng)估,由電力公司統(tǒng)一制定評(píng)估方案、組織實(shí)施、指導(dǎo)加固整改工作。

6.5 以自評(píng)估為主,自評(píng)估和檢查評(píng)估相結(jié)合

自評(píng)估和檢查評(píng)估各有優(yōu)缺點(diǎn),要發(fā)揮各自優(yōu)勢(shì),配合實(shí)施,使評(píng)估的過(guò)程、方法和風(fēng)險(xiǎn)控制措施更科學(xué)合理。自評(píng)估時(shí),通過(guò)對(duì)實(shí)施過(guò)程、風(fēng)險(xiǎn)要素識(shí)別、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)計(jì)算方法、評(píng)估結(jié)果、風(fēng)險(xiǎn)控制措施等重要環(huán)節(jié)的科學(xué)性、合理性進(jìn)行分析,得出風(fēng)險(xiǎn)判斷。

6.6 風(fēng)險(xiǎn)評(píng)估與信息系統(tǒng)等級(jí)保護(hù)應(yīng)結(jié)合起來(lái)

信息系統(tǒng)等級(jí)保護(hù)若與風(fēng)險(xiǎn)評(píng)估結(jié)合起來(lái),則可相互促進(jìn),相互依托。等級(jí)保護(hù)的級(jí)別是依據(jù)系統(tǒng)的重要程度和安全三性來(lái)定義,而風(fēng)險(xiǎn)評(píng)估中的風(fēng)險(xiǎn)等級(jí)則是綜合考慮了信息的重要性、安全三性、現(xiàn)有安全控制措施的有效性及運(yùn)行現(xiàn)狀后的綜合結(jié)果。通過(guò)風(fēng)險(xiǎn)評(píng)估為信息系統(tǒng)確定安全等級(jí)提供依據(jù)。確定安全等級(jí)后,根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果作為實(shí)施等級(jí)保護(hù)、安全等級(jí)建設(shè)的出發(fā)點(diǎn)和參考,檢驗(yàn)網(wǎng)絡(luò)與信息系統(tǒng)的防護(hù)水平是否符合等級(jí)保護(hù)的要求。

參考文獻(xiàn)

[1] 魏曉菁, 柳英楠, 來(lái)風(fēng)剛. 國(guó)家電力信息網(wǎng)信息安全防護(hù)體系框架與策略. 計(jì)算機(jī)安全,2004,6.

[2] 魏曉菁,柳英楠,來(lái)風(fēng)剛. 國(guó)家電力信息網(wǎng)信息安全防護(hù)體系框架與策略研究. 電力信息化,2004,2(1).

[3] 沈亮. 構(gòu)建電力信息網(wǎng)安全防護(hù)框架. 電力信息化,2004,2(7).

[4] 梁運(yùn)華,李明,談順濤. 電力企業(yè)信息網(wǎng)網(wǎng)絡(luò)安全層次式防護(hù)體系探究. 電力信息化,2003,2(1).

[5] 周亮,劉開培,李俊娥. 一種安全的電力系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)構(gòu)建方案. 電網(wǎng)技術(shù),2004,28(23).

[6] 陳其,陳鐵,姚林等. 電力系統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估策略研究. 計(jì)算機(jī)安全,2007,6.

[7] 阮文峰. 電力企業(yè)網(wǎng)絡(luò)系統(tǒng)的安全風(fēng)險(xiǎn)分析和評(píng)估. 計(jì)算機(jī)安全,2003(4).

[8] 叢林,李志民,潘明惠等. 基于模糊綜合評(píng)判法的電力系統(tǒng)信息安全評(píng)估. 電力系統(tǒng)自動(dòng)化,2004,28(12).

[9] 胡炎,謝小榮,辛耀中. 電力信息系統(tǒng)建模和定量安全評(píng)估. 電力系統(tǒng)自動(dòng)化,2005,29(10).

作者簡(jiǎn)介:

第9篇:信息安全風(fēng)險(xiǎn)評(píng)估范文

關(guān)鍵詞:信息安全管理;ISO/IEC 27001;PDCA;資產(chǎn)識(shí)別;風(fēng)險(xiǎn)評(píng)估

中圖分類號(hào):TP393 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1009-2374(2011)30-0034-02

一、項(xiàng)目背景

電力工業(yè)是國(guó)民經(jīng)濟(jì)的支柱產(chǎn)業(yè),電力工業(yè)的安全問(wèn)題直接關(guān)系到各行各業(yè)的發(fā)展和人民的生活水平,關(guān)系到國(guó)家安全和社會(huì)穩(wěn)定。當(dāng)前流行的信息技術(shù)的廣泛應(yīng)用大大改變了電力企業(yè)傳統(tǒng)的經(jīng)營(yíng)管理模式和手段,支撐著電力生產(chǎn)、營(yíng)銷和管理的全過(guò)程。如何有效保障信息安全,從而保證整個(gè)電力企業(yè)的生產(chǎn)安全,成為電力行業(yè)目前積極探索的新課題。

在這個(gè)大環(huán)境下,玉溪供電局作為云南電網(wǎng)的改革試點(diǎn)單位,大力進(jìn)行改革創(chuàng)新,引入國(guó)際信息安全管理標(biāo)準(zhǔn)ISO/IEC 27001,建立了完整的信息安全管理體系,有效的保證了信息安全,取得了很好的收效。

二、ISO/IEC 27001簡(jiǎn)介

ISO/IEC 27001是有關(guān)信息安全管理的國(guó)際標(biāo)準(zhǔn)。最初源于英國(guó)標(biāo)準(zhǔn)BS7799,經(jīng)過(guò)十年的不斷改版,終于在2005年被國(guó)際標(biāo)準(zhǔn)化組織(ISO)轉(zhuǎn)化為正式的國(guó)際標(biāo)準(zhǔn),于2005年10月15日為ISO/IEC 27001:2005。該標(biāo)準(zhǔn)可用于組織的信息安全管理體系的建立和實(shí)施,保障組織的信息安全。標(biāo)準(zhǔn)的要求主要包括11個(gè)安全控制域、39個(gè)安全控制目標(biāo)和133項(xiàng)安全控制措施。標(biāo)準(zhǔn)采用PDCA過(guò)程方法,基于風(fēng)險(xiǎn)評(píng)估的風(fēng)險(xiǎn)管理理念,全面系統(tǒng)地持續(xù)改進(jìn)組織的安全管理。其正式名稱為:《ISO/IEC 27001:2005 信息技術(shù)―安全技術(shù)―信息安全管理體系―要求》。

三、項(xiàng)目實(shí)施方法論

玉溪供電局在整個(gè)信息安全體系建設(shè)過(guò)程中,根據(jù)安全風(fēng)險(xiǎn)是相對(duì)的和動(dòng)態(tài)的基本概念,遵循P(Plan 計(jì)劃)-D(Do 實(shí)施)-C(Check 檢查)-A(Act 持續(xù)改進(jìn))的方法論,見下圖:

四、項(xiàng)目實(shí)施中若干重要環(huán)節(jié)

標(biāo)準(zhǔn)中只是提出了一些原則性的建議和要求,但是如何按照這些要求建立一套符合局實(shí)際情況,能夠順利推行和實(shí)施的信息安全管理體系是非常具有挑戰(zhàn)性的。局項(xiàng)目組成員與上海天帷公司的同事一起積極探索,緊密結(jié)合局信息安全建設(shè)的現(xiàn)狀和要求,認(rèn)為資產(chǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估、文件編制、運(yùn)行實(shí)施、審核等是整個(gè)過(guò)程的重要環(huán)節(jié)。

(一)資產(chǎn)識(shí)別

資產(chǎn)識(shí)別是信息安全管理工作的重要步驟和基礎(chǔ),信息安全就是要保證信息和資產(chǎn)的安全。所謂資產(chǎn)識(shí)別就是要識(shí)別ISMS管理范圍內(nèi)的信息資產(chǎn)以及這些資產(chǎn)的所有者,形成資產(chǎn)清單。玉溪供電局在資產(chǎn)識(shí)別中把資產(chǎn)分為5類:文檔和數(shù)據(jù)、軟件和系統(tǒng)、硬件和設(shè)施、人力資源、其他等。

(二)風(fēng)險(xiǎn)評(píng)估

風(fēng)險(xiǎn)評(píng)估是信息安全工作的一個(gè)重要步驟,通過(guò)風(fēng)險(xiǎn)評(píng)估,找到組織在信息安全方面的差距,才能有針對(duì)性的制定相應(yīng)的策略和改進(jìn)措施。

通過(guò)風(fēng)險(xiǎn)評(píng)估,形成《風(fēng)險(xiǎn)評(píng)估表》、《風(fēng)險(xiǎn)評(píng)估報(bào)告》、《風(fēng)險(xiǎn)處置計(jì)劃》等。為了保證風(fēng)險(xiǎn)評(píng)估結(jié)果的客觀性和可操作性,建立了一個(gè)定量的風(fēng)險(xiǎn)評(píng)估方法論。

風(fēng)險(xiǎn)值=威脅發(fā)生可能性×影響程度等級(jí)×現(xiàn)有控制措施有效性賦值。通過(guò)制定風(fēng)險(xiǎn)等級(jí)劃分標(biāo)準(zhǔn)來(lái)確定風(fēng)險(xiǎn)等級(jí)。將等級(jí)劃分為五級(jí),等級(jí)越高,風(fēng)險(xiǎn)越高。

對(duì)于不可接受風(fēng)險(xiǎn)的確定和處理要慎重,不要一味的將所有的風(fēng)險(xiǎn)都?xì)w為不可接受風(fēng)險(xiǎn),要時(shí)刻牢記風(fēng)險(xiǎn)的處理是要付出成本的,所以需要綜合考慮風(fēng)險(xiǎn)控制成本與風(fēng)險(xiǎn)造成的影響來(lái)制定風(fēng)險(xiǎn)的可接受準(zhǔn)則。風(fēng)險(xiǎn)的處置有4種方式:規(guī)避風(fēng)險(xiǎn)、降低風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)、接受風(fēng)險(xiǎn)。對(duì)于不可接受風(fēng)險(xiǎn)應(yīng)根據(jù)選擇的風(fēng)險(xiǎn)處理方式控制殘余風(fēng)險(xiǎn)。

(三)文件編制

為了響應(yīng)云南電網(wǎng)公司的一體化管理制度,在信息安全建設(shè)中將針對(duì)信息安全標(biāo)準(zhǔn)ISO/IEC 27001要求的文件進(jìn)行統(tǒng)一整理,對(duì)原有《信息安全管理辦法》的修編。形成了新版的《信息安全管理辦法》,覆蓋了27001的11個(gè)安全領(lǐng)域的要求。

另外,為了使新版的《信息安全管理辦法》能夠更好的落地執(zhí)行,在信息安全體系建設(shè)過(guò)程中,制定了60多個(gè)操作性很強(qiáng)的記錄表格表單,以輔助各部門能夠更好的執(zhí)行信息安全體系的要求,比如:《機(jī)房巡檢記錄表》、《防范病毒管理表》、《重要應(yīng)用系統(tǒng)權(quán)限評(píng)審表》等。

(四)運(yùn)行實(shí)施

我局在信息安全體系運(yùn)行實(shí)施的過(guò)程中采取了多種措施來(lái)促進(jìn)體系的落地工作,比如進(jìn)行信息安全意識(shí)和知識(shí)培訓(xùn),張貼宣傳海報(bào),在電梯口液晶電視和LED大屏上播放信息安全宣傳視頻,進(jìn)行模擬審核和安全工作檢查等,真正做到了全員參與。

同時(shí)我局還建立了暢通的意見反饋機(jī)制,任何人對(duì)當(dāng)前的信息安全體系有意見和建議,都可以通過(guò)局OA系統(tǒng)提交。信息運(yùn)營(yíng)中心會(huì)對(duì)所有提交的建議進(jìn)行整理和歸納,以發(fā)現(xiàn)改進(jìn)的機(jī)會(huì),真正實(shí)現(xiàn)了PDCA循環(huán),使局的信息安全管理工作持續(xù)改進(jìn)和螺旋式上升。

五、項(xiàng)目實(shí)施經(jīng)驗(yàn)和注意事項(xiàng)

玉溪供電局按照ISO/IEC 27001的要求建立了符合本局實(shí)際情況的信息安全管理體系,經(jīng)歷了資產(chǎn)識(shí)別、風(fēng)險(xiǎn)評(píng)估、體系建設(shè)和實(shí)施、內(nèi)審和審核,最后取得了認(rèn)證證書。在這個(gè)過(guò)程當(dāng)中,總結(jié)了一些實(shí)施的經(jīng)驗(yàn)和注意事項(xiàng)。

(一)領(lǐng)導(dǎo)重視

信息安全管理工作是一項(xiàng)牽扯到局各部門的工作,需要投入相應(yīng)的人力、物力和財(cái)力,所以必須有局領(lǐng)導(dǎo)的大力支持,才能順利的進(jìn)行和更好的實(shí)施。

(二)全員參與

安全不是某一個(gè)部門或者某一個(gè)人的事情,而是關(guān)乎全局所有部門。需要各個(gè)部門的共同努力和協(xié)調(diào)一致的工作,才能保證真正意義上的信息安全,任何一個(gè)部門出了問(wèn)題都將對(duì)局信息安全構(gòu)成威脅。

(三)持續(xù)改進(jìn)

信息安全工作不是一朝一夕的事情,需要持續(xù)改進(jìn)和不斷完善。而且風(fēng)險(xiǎn)也是動(dòng)態(tài)的,為了保證信息安全和控制風(fēng)險(xiǎn)始終在可接受的范圍內(nèi),信息安全工作應(yīng)當(dāng)是一件長(zhǎng)期的工作。

(四)平衡原則

安全只是相對(duì)的,沒(méi)有絕對(duì)的安全,而且任何降低風(fēng)險(xiǎn)的措施都是需要一定的投資,可能是金錢的,也可能是人力資源的。所以一定要平衡投資和風(fēng)險(xiǎn)降低之間的關(guān)系,不要一味的為了降低風(fēng)險(xiǎn)而作一些不適當(dāng)?shù)耐度搿?/p>

六、結(jié)語(yǔ)

玉溪供電局通過(guò)ISO 27001的認(rèn)證并獲得證書,不僅是對(duì)前期信息安全體系建設(shè)工作的充分肯定,而且對(duì)后續(xù)信息安全管理體系運(yùn)行工作提出了新的更高的要求和目標(biāo)。局信息運(yùn)營(yíng)中心要在局領(lǐng)導(dǎo)的正確領(lǐng)導(dǎo)和大力支持下,在以后局信息安全工作中,對(duì)現(xiàn)有體系進(jìn)行持續(xù)改進(jìn),使本體系更加符合玉溪供電局的實(shí)際情況,為玉溪供電局的信息安全工作保駕

護(hù)航。

參考文獻(xiàn)