信息安全風險評估精選(九篇)
前言:一篇好文章的誕生,需要你不斷地搜集資料、整理思路,本站小編為你收集了豐富的信息安全風險評估主題范文,僅供參考,歡迎閱讀并收藏。
第1篇:信息安全風險評估范文
從企業內部業務出發,優化信息安全風險評估基本模型,設計了一個企業信息安全風險自評估實施模型,并深入分析了該模型的內容,使其適用于企業依托自身力量來有效開展自評估活動,從而提高企業信息安全風險防護能力。
關鍵詞:
信息安全;自評估;風險評估;模型設計
企業信息安全風險評估主要有2種模式,即他評估和自評估。相比較而言,自評估展現出越來越多的優點,比如外部依賴性小、投入費用低、評估周期短、次生風險低和可以提高內部安全意識等。除此之外,信息安全風險的動態化決定信息安全評估工作應是長期持續的,大部分的內部信息安全風險評估內容企業可采用自評估方式來完成。但信息安全風險評估的專業性、技術性、標準性比較高,企業難以掌握復雜的評估技術和方法。本文以企業業務為出發點,對信息安全風險評估基本模型進行優化,設計了一個更適用于企業依托自身力量來有效開展自評估的實施模型,以提高企業信息安全風險防護能力。
1信息安全風險評估基本模型
對風險評估模型的研究一直是信息安全風險評估領域的研究熱點之一。風險評估基本模型是一種基于資產、威脅和脆弱性的信息安全風險評估模型。其中,資產的評估主要是對資產進行相對估價,估價準則依賴于對其影響范圍的分析;威脅評估是對資產所受威脅發生可能性和威脅嚴重程度的評估;脆弱性評估是對資產脆弱程度的評估,也是對資產被威脅、利用成功的可能性的評估。信息安全風險評估基本模型的評估過程就是對資產信息、威脅信息和脆弱性信息進行綜合分析評估并且生成風險信息的過程,包含確定評估范圍、資產識別階段、安全威脅/脆弱性評估、風險分析和風險管理等階段。基于信息安全風險評估基本模型,很多學者從不同角度和目的做了優化和完善。但是,信息安全風險評估模型的研究還處于探索和完善階段,已有的研究存在一些缺陷,主要表現為以下3點:①缺乏對評估內容的逐層細化,難以評價和量化各要素,可操作性比較差;②缺乏對風險評估基本要素屬性的綜合思考,難以體現評估要素與企業業務的關系;③大部分模型比較復雜,評估方法和流程操作起來費時費力,企業難以采用。
2基于基本模型的企業信息安全自評估模型
針對信息安全風險評估模型的不足,本文綜合考慮企業自身的業務和內部約束條件,在基本模型和相關研究成果的基礎上,提出更加簡單、有效的企業信息安全風險自評估模型。本文認為,企業信息安全風險自評估模型應遵循自主、簡單、規范性、可行性和可擴展性的原則,基本思路是從企業業務出發,多角度研究自評估模型中資產、威脅、脆弱性的關系和指標,應用相關統計分析方法統計,運用層次分析法(AHP)評價、量化相關要素和風險,最終構建一個科學、合理、可操作的企業自評估模型。在此過程中,需要解決3方面的問題:①明確評估的對象、內容和流程;②構建評價方法,統一評估和度量風險基本要素;③統一不同層面、角度的評估結果。
2.1基于AHP的信息安全風險要素度量方法
AHP(AnalyticHierarchyProcess,層次分析法)是一種定性分析與定量分析相結合的多目標決策分析方法,其基本步驟是:①分析問題,建立遞階結構(評價模型);②構造比較判斷矩陣;③層次單排序;④一致性檢驗;⑤層次總排序與一致性檢驗;⑥選擇最優的解決方案。資產、威脅、脆弱性作為信息安全風險自評估模型的3個基本要素,需要分別識別和分析,并提煉出各自的評價指標。本文結合已有的理論和實踐成果,從自主性、簡單性、可行性和科學性原則出發,基于相關標準、企業環境和企業業務影響分析,提出信息資產的評價因素應包含經濟、名譽、法律法規、業務運營、社會秩序、商業利益和個人利益,等等,威脅可能性評價指標應包含威脅攻擊力、威脅動機、資產誘因和威脅頻率等,脆弱性嚴重程度賦值的評價因素應包含可用性、機密性和完整性。根據資產受到損害時對其評價因素帶來的損失為資產價值賦值(比如從1~4取值),數值越大,表明資產價值越高。得到各評價因素的綜合分值后,分值最大的為該資產的價值,即資產價值為A=max(i)。根據威脅評價指標和脆弱性評價因素,利用AHP方法建立威脅、脆弱性評價體系,體系由目標層、準則層和指標層(方案層)構成。為了方便對不同威脅發生可能性概率、不同脆弱性的嚴重程度進行類比、度量,使用統一的度量標準,采用相對等級的方式處理評價結果(比如從1~4取值),數值越大,威脅發生的可能性越高,帶來的損害越大。通過AHP用數量形式表達和處理個人主觀判斷結果,采用專家和團隊評分進一步比較各要素的重要性,并做一致性檢驗,最終確定各要素的值。
2.2企業信息安全自評估風險計算
在對資產價值、威脅、脆弱性分析和量化后,還要確定各要素之間的組合方式和具體的計算方法。《信息安全風險評估規范》(2007)對風險值的計算提出了如下函數:風險值=R(A,T,V)=R(L(T,V),F(Ia,Va)).(1)式(1)中:R為安全風險計算函數;A為資產;T為威脅;V為脆弱性;L為威脅利用資產的脆弱性導致安全事件的可能性;F為安全事件發生后造成的損失;Ia為安全事件所作用的資產價值;Va為脆弱性嚴重程度。信息安全風險值的計算方法主要有矩陣法、相乘法和預先價值矩陣查表法等,并且可以將多種方法結合使用。因為相乘法操作簡單,所以,在風險分析中的應用比較廣泛。該方法是一種定量的計算方法,主要思路是利用2個相關要素值的乘積計算出結果要素的值。按照簡單性、科學性原則,對于企業自評估,本文認為,相乘法比較適合企業使用,但不限于該方法。根據相乘法,企業信息安全風險值的計算過程是:①計算威脅利用資產的脆弱性導致安全事件的可能性,即L=L(T,V)=T×V;②計算安全事件發生后造成的損失,即F=F(Ia,Va)=Ia×Va;③計算風險值,即R=R(L,F)=L×F.
2.3企業信息安全自評估模型和流程設計
企業信息安全風險自評估的基本目的是依據企業自身業務,識別出信息系統中存在的主要安全風險,并排列優先級,為風險信息計算提供數據支撐,進而為提出風險應對措施提供建議。基于上述方法,本文提出了企業信息安全風險自評估模型,如圖1所示。企業信息安全風險自評估模型的實施分為范圍確定、資產識別與量化、威脅分析、脆弱性分析、風險分析與計算、風險應對建議6個階段,每個階段的具體任務如圖2所示。本文提出的自評估模型綜合了企業自評估的約束條件、風險評估的基本原理、關鍵環節與流程、基本要素度量等,具有以下5個特點:①模型提供了統一的資產、威脅、脆弱性3個基本要素的度量和評價方法,依據模型中的評價指標可以進行量化和排序。②模型將企業業務與風險評估結合起來,體現了IT服務企業、服務業務的理念,在一定程度上反映出了信息安全風險評估對業務的影響程度和對企業的價值。③模型滿足信息安全的動態性要求,適應企業業務不斷發展和調整的需要。當業務調整時,企業僅需分析業務信息流,識別出相關資產、威脅和脆弱性等。④模型滿足信息安全的持續性要求,企業可建立相關制度,將自評估設立為日常性工作。當業務無法調整時,自評估活動僅需識別和分析新的脆弱性和威脅信息,從而節省大量資源。⑤模型具有較強的適應性,適用于不同類型的企業,企業可根據實際情況裁減和優化,根據各自的偏好選擇風險計算方法。
3結束語
第2篇:信息安全風險評估范文
關鍵詞:信息安全;風險評估;教學
信息安全風險評估是進行信息安全管理的重要依據,通過對信息系統進行系統的風險分析和評估,發現存在的安全問題并提出相應的措施,這對于保護和管理信息系統至關重要。目前國內外都高度重視信息安全風險評估工作。美國政府2002年頒布《聯邦信息安全管理法》,對信息安全風險評估提出了具體的要求;歐盟國家也把開展信息安全風險評估作為提高信息安全保障水平的重要手段;2003年7月23日,國家信息中心組建成立“信息安全風險評估課題組”,提出了我國開展信息安全風險評估的對策和辦法。2004年,國務院信息辦研究制訂了《信息安全風險評估指南》和《信息安全風險管理指南》兩個風險評估的標準;2006年又起草了《關于開展信息安全風險評估工作的意見》[1]。這些工作都對信息安全人才的培養提出了更高的要求,同時也為《信息安全風險評估》課程的開設和講授提供了必要的基礎和條件。《信息安全風險評估》課程教學,是信息安全專業一門重要的專業課程,能全面培養學生綜合運用專業知識,評估并解決信息系統安全問題的能力,是培養符合國家和社會需要的信息安全專業人才的重要課程之一。《信息安全風險評估》課程本身的理論性與實踐性都很強,課程發展十分迅速,涉及的學科范圍也較廣,傳統的教學的模式不能使該課程的特點很好地展示出來,無法適應社會經濟發展對信息安全從業人員的新要求,教學改革勢在必行。
一、現狀與存在的問題
信息安全風險評估是從風險管理角度,運用科學的方法和手段,系統地分析信息系統所面臨的安全威脅及其存在的脆弱性,評估安全事件一旦發生可能造成的危害程度,提出有針對性的抵御威脅的防護對策和整改措施。它涉及信息系統的社會行為、管理行為、物理行為、邏輯行為等的保密性、完整性和可用性檢測。風險評估的結果可以作為信息安全風險管理的指南,用來確定合適的管理方針和選擇相應的控制措施來保護信息資產,全面提高信息安全保障能力[2]。自2001年信息安全專業建立以來,高校在制訂本科專業教學培養目標和教學計劃時,側重于具體安全理論和技術的教學和講授,特別是重點強調了密碼學、防火墻、入侵檢測、網絡安全等安全理論與技術的傳授。從目前高校的教學內容看,多數側重于對“信息風險管理”、“風險識別”、“風險評估”和“風險控制”等基本內容的介紹上,而且教學課時數也較少,只有十個學時。當前從《信息安全風險評估》課程的教學情況來看,該課程在信息安全教育教學過程中地位有待提高,實踐教學的建設與研究迫切需要深化。
當前該課程的教學實踐中普遍存在以下幾個方面的問題,嚴重制約了《信息安全風險評估》課程教學質量的提高:
1.本科教學大都以理論內容為主體,實驗和課程設計的學時安排較少。一般高校的《信息安全風險評估》課程主要以理論內容的講授為主,實驗和課程設計的學時較少,實驗內容也大多屬于驗證性質,缺少具有研究和探索性質的信息安全風險評估實踐內容和課程設計;
2.教學方法單一,缺乏激勵學生求知欲的教學方法和手段。當前開設《信息安全風險評估》課程的高校還較少,師資力量相對薄弱,教學經驗也比較缺乏,仍以主要由教師講述的傳統教學方式為主,學生進行具體實踐和操作的課時較少,缺乏創新性的教學和研究,基本沒有具有探索性和創新性特點的教學內容,不利于發揮學生主觀能動性,提高其創新能力;
3.實驗環境無法滿足教學需求,缺乏專業的信息安全風險評估師資。我國信息安全風險評估的研究和教學工作起步晚,缺乏相關的實驗設備;而且受到資金和專業發展等多方面因素的制約,難以設立專門的信息安全風險評估實驗室。此外,信息安全風險評估是以計算機技術為核心,涉及管理科學、安全技術、通信和信息工程等多個學科,對于理論和實踐要求都很高。這就要求教師既要學習好各學科的基本知識,又要加強實踐訓練。
二、教學改革與探索
高校計算機相關專業開設《信息安全風險評估》課程,不是培養網絡信息安全方面的全才或戰略人才,而是培養在實際生活和工作中確實能解決某些具體安全問題的實用型人才。針對《信息安全風險評估》課程的特點和教學中存在的不足,我們從以下幾個方面對該課程的教學改革進行了探索:
1.重新確立課程培養目標。①重點培養學生分析和評估信息安全問題的能力:《信息安全風險評估》課程是一門理論性和實踐性緊密結合的課程,目前開設該課程的高校較少,各學校的教學內容也多種多樣。該課程的教學目標即要培養學生發現信息系統存在的安全風險,同時也需要培養他們科學地提出解決安全隱患的方案及能力。如何提高學生分析和評估信息安全問題的能力是該課程教學的首要目標。②培養學生實際操作的能力:信息安全風險評估的關鍵是對信息系統的資產進行分類,對其風險的識別、估計和評價做出全面的、綜合的分析。這就要求學生熟練地掌握目標對象的檢測和評估方法,包括使用各種自動化和半自動化的工具,可在模擬實驗里,通過不斷地訓練實現。③培養學生繼續學習、勇于探索創新的能力:隨著信息化的不斷發展,信息系統所面臨的安全威脅急劇增加,為此各國政府都不斷提出和完善了各類信息安全測評標準。這就要求我們在教學中不斷地學習、理解和解釋最新的國際、國內以及相關的行業標準,培養和提高學生繼續學習的能力。另外,《信息安全風險評估》課程也要求通過課堂教學、課后練習、實驗驗證和考試、考查等教學環節培養學生獨力分析信息系統安全的能力,培養學生對信息安全風險評估領域進行探索和研究的興趣,最終使學生掌握信息安全風險評估的知識和技能,能夠解決具體信息系統的安全問題。
2.增加信息安全風險評估理論和相關標準的教學。信息安全測評標準和相關法律法規是進行信息系統安全風險評估的依據和保障。2006年由原國信辦《關于開展信息安全風險評估工作的意見》(國信辦2006年5號文);同時,隨著信息安全等級保護制度的推行,公安部會同有關部門出臺了一系列政策文件,主要包括:《關于信息安全等級保護工作的實施意見》、《信息安全等級保護管理辦法》等;國家信息安全標準化委員會頒發了《信息安全風險評估規范》(GB/T 20984~2007)、《信息系統安全等級保護基本要求》(GB/T 22239-2008)等多個國家標準[3]。為了保證《信息安全風險評估》課程目標的實現,我們在教學過程中,增加了《GB/T20984-2007信息安全技術信息安全風險評估規范》、《GB/Z24364-2009信息安全風險管理指南》、《GB/T
22080-2008信息安全管理體系要求》、《GB/T22081-
2008信息安全管理實用規則》、《GB/T20269-2006信息系統安全管理要求》、《GB/T25063-2010?搖信息安全技術服務器安全測評要求》、《GB/T 20010-2005信息安全技術包過濾防火墻評估準則》、《GB/T20011-2005信息安全技術路由器安全評估準則》、《GA/T 672-2006信息安全技術終端計算機系統安全等級評估準則》、《GA/T 712-2007信息安全技術應用軟件系統安全等級保護通用測試指南》等相關評估標準和指南的學習,并編制相關的調查、檢查、測試表,重點強調對脆弱性檢測的理論依據的描述,檢測方法及其步驟的詳細記錄。
3.利用各種測評工具,提高學生實踐能力。在信息安全風險評估過程中,資產賦值、威脅量化分析、安全模型的建立等環節的教學和實踐對教師和學生都提出了較高的專業課程要求。我們在《信息安全風險評估》課程實踐中通過使用風險評估工具,并對具體的信息系統進行自動化或半自動化的分析,加深了學生信息安全風險評估的理論知識理解,同時注重培養學生動手實踐能力和探索新知識的能力。我們增加了主動型風險評估工具Tenable掃描門戶網站系統的實踐性教學內容。通過評估,該系統的服務器存在感染病毒的癥狀,其原因是服務器存在特定漏洞。為此我們使用漏洞掃描器對該服務器進行掃描,發現了“遠程代碼被執行”漏洞,而且該漏洞能被蠕蟲病毒利用,形成針對系統的攻擊。通過案例特征提供了的信息,培養學生使用測評工具對具體信息系統進行安全風險評估的能力,并進一步使其認識到主動型評估工具是信息安全風險評估中快速了解目標系統安全狀況不可或缺的重要手段。
筆者結合自己的教學實踐體會,論述了當前《信息安全風險評估》課程中存在的問題以及解決對策。《信息安全風險評估》課程教學改革和建設是一個長期的、系統化的工程,需要不斷地根據信息系統在新環境下面臨的各種威脅,制定新的評估標準和評估方案,并使得學生在有限的時間和環境下掌握相應的知識和技能,以滿足社會對信息安全人才的需求。
參考文獻:
[1]付沙.加強信息安全風險評估工作的研究[J].微型電腦應用,2010,26(8):6-8.
[2]楊春暉,張昊,王勇.信息安全風險評估及輔助工具應用[J].信息安全與通信保密,2007,(12):75-77.
[3]潘平,楊平,羅東梅,何朝霞.信息系統安全風險檢查評估實踐教學探討[C]// Proceedings of 2011 National Teaching Seminar on Cryptography and Information Security(NTS-CIS 2011),2011,(8).
第3篇:信息安全風險評估范文
風險評估是一項周期性工作,是進行風險管理。由于風險評估的結果將直接影響到信息系統防護措施的選擇,從而在一定程度上決定了風險管理的成效。風險評估可以概括為:①風險評估是一個技術與管理的過程。②風險評估是根據威脅、脆弱性判斷系統風險的過程。③風險評估貫穿于系統建設生命周期的各階段。
2.信息安全風險評估方法
(1)安全風險評估。為確定這種可能性,需分析系統的威脅以及由此表現出的脆弱性。影響是按照系統在單位任務實施中的重要程度來確定的。風險評估以現實系統安全為目的,按照科學的程序和方法,對系統中的危險要素進行充分的定性、定量分析,并作出綜合評價,以便針對存在的問題,根據當前科學技術和經濟條件,提出有效的安全措施,消除危險或將危險降到最低程度。即:風險評估是對系統存在的固有和潛在危險及風險性進行定性和定量分析,得出系統發送危險的可能性和程度評價,以尋求最低的事故率、最少的損失和最優的安全投資效益。(2)風險評估的主要內容。①技術層面。評估和分析網絡和主機上存在的安全技術風險,包括物理環境、網絡設備、主機系統、操作系統、數據庫、應用系統等軟、硬件設備。②管理層面。從本單位的工作性質、人員組成、組織結構、管理制度、網絡系統運行保障措施及其他運行管理規范等角度,分析業務運作和管理方面存在的安全缺陷。(3)風險評估方法。①技術評估和整體評估。技術評估是指對組織的技術基礎結構和程序系統、及時地檢查,包括對組織內部計算環境的安全性及對內外攻擊脆弱性的完整性攻擊。整體風險評估擴展了上述技術評估的范圍,著眼于分析組織內部與安全相關的風險,包括內部和外部的風險源、技術基礎和組織結構以及基于電子的和基于人的風險。②定性評估和定量評估。定性分析方法是使用最廣泛的風險分析方法。根據組織本身歷史事件的統計記錄等方法確定資產的價值權重,威脅發生的可能性以及如將其賦值為“極低、低、中、高、極高”。③基于知識的評估和基于模型的評估。基于知識的風險評估方法主要依靠經驗進行。經驗從安全專家處獲取并憑此來解決相似場景的風險評估問題。該方法的優越性在于能直接提供推薦的保護措施、結構框架和實施計劃。(4)信息安全風險的計算。①計算安全事件發生的可能性。根據威脅出現頻率及弱點的狀況,計算威脅利用脆弱性導致安全事件發生的可能性。具體評估中,應綜合攻擊者技術能力、脆弱性被利用的難易程度、資產吸引力等因素判斷安全事件發生的可能性。②計算安全事件發生后的損失。根據資產價值及脆弱性的嚴重程度,計算安全事件一旦發生后的損失。部分安全事件損失的發生不僅針對該資產本身,還可能影響業務的連續性;不同安全事件的發生對組織造成的影響也不一樣。③計算風險值。根據計算出的安全事件發生的可能性以及安全事件的損失計算風險值。
3.風險評估模型選擇
參考多個國際風險評估標準,建立了由安全風險管理流程模型、安全風險關系模型和安全風險計算模型共同組成的安全風險模型(見圖1)。(1)安全風險管理過程模型。①風險評估過程。信息安全評估包括技術評估和管理評估。②安全風險報告。提交安全風險報告,獲知安全風險狀況是安全評估的主要目標。③風險評估管理系統。根據單位安全風險分析與風險評估的結果,建立本單位的風險管理系統,將風險評估結果入庫保存,為安全管理和問題追蹤提供數據基礎。④安全需求分析。根據本單位安全風險評估報告,確定有效安全需求。⑤安全建議。依據風險評估結果,提出相關建議,協助構建本單位安全體系結構,結合組織本地、遠程網絡架構,為制定完整動態的安全解決方案提供參考。⑥風險控制。根據安全風險報告,結合單位特點,針對面對的安全風險,分析將面對的安全影響,提供相應的風險控制建議。⑦監控審核。風險管理過程中每一個步驟都需要進行監控和審核程序,保證整個評估過程規范、安全、可信。⑧溝通、咨詢與文檔管理。整個風險管理過程的溝通、咨詢是保證風險評估項目成功實施的關鍵因素。(2)安全風險關系模型。安全風險關系模型以風險為中心,形象地描述了面臨的風險、弱點、威脅及其相應的資產價值、防護需求、保護措施等動態循環的復雜關系。(3)安全風險計算模型。安全風險計算模型中詳細、具體地提供了風險計算的方法,通過威脅級別、威脅發生的概率及風險評估矩陣得出安全風險。
4.結語
第4篇:信息安全風險評估范文
1 信息安全風險評估基本理論
1.1 信息安全風險
信息安全風險具有客觀性、多樣性、損失性、可變性、不確定性和可測性等多個特點。客觀性是因為信息安全風險在信息系統中普遍存在;多樣性是指信息系統安全涉及多個方面;損失性是指任何一種信息安全風險,都會對信息系統造成或大或小的損失;可變性是指信息安全風險在系統生命周期的各個階段動態變化;不確定性是一個安全事件可以有多種風險;可測試性是預測和計算信息安全風險的方法。
1.2 信息安全風險評估
信息安全風險評估,采用科學的方法和技術和脆弱性分析信息系統面臨的威脅,利用系統,評估安全事件可能會造成的影響,提出了防御威脅和保護策略,從而防止和解決信息安全風險,或控制在可接受范圍內的風險,最大限度地保護系統的信息安全。通過評價過程對信息系統的脆弱性進行評價,面臨威脅和漏洞威脅利用的負面影響,并根據信息安全事件的可能性和嚴重程度,確定信息系統的安全風險。
2 信息安全風險評估原理
2.1 風險評估要素及其關系
一般說來,信息安全風險評估要素有五個,除以上介紹的安全風險外,還有資產、威脅、脆弱性、安全措施等。信息安全風評估工作都是圍繞這些基本評估要素展開的。
2.1.1 資產
資產是在系統中有價值的信息或資源,是安全措施的對象。資產價值是資產的財產,也是資產識別的主要內容。它是資產的重要程度或敏感性。
2.1.2 威脅
威脅是導致不期望事件發生的潛在起因,這些不期望事件可能危害系統。
2.1.3 脆弱性
脆弱性是資產存在的弱點,利用這些弱點威脅資產的使用。
2.1.4 安全措施
安全措施是系統實施的各種保護機制,這種機制能有效地保護資產、減少脆弱性、抵御威脅、減少安全事件的發生或降低影響。風險評估圍繞上述基本要素。各要素之間存在著這樣的關系:
(1)資產是風險評估的對象,資產價值是由資產價值計量的,資產價值越高,證券需求越高,風險越小。
(2)漏洞可能會暴露資產的價值,使其被破壞,資產的脆弱性越大,風險越大;
(3)威脅引發風險事件的發生,威脅越多風險越大;
(4)威脅利用脆弱性來危害資產;
(5)安全措施可以防御威脅,減小安全風險,從而保護資產。
2.2 風險分析模型及算法
在信息安全風險評估標準中,風險分析涉及資產的三個基本要素,威脅和脆弱性。每個元素都有它自己的屬性,并由它的屬性決定。資產的屬性是資產的價值,而財產的威脅可以是主體、客體、頻率、動機等。財產的脆弱性是資產脆弱性的嚴重性。在風險分析模型中,資產的價值、威脅的可能性、脆弱性的嚴重程度、安全事件的可能性和安全事件造成的損失,兩者是整合的,它是風險的價值。
風險分析的主要內容為:
(1)識別資產并分配資產;
(2)確定威脅,并分配潛在的威脅;
(3)確定漏洞,并分配資產的脆弱性的嚴重程度;
(4)判斷安全事件的可能性。根據漏洞的威脅和使用的漏洞來計算安全事件的可能性。
安全事件發生可能性=L(威脅可能性,脆弱性)=L(T,V)
(5)計算安全事件損失。根據脆弱性嚴重程度和資產價值計算安全事件的損失。
安全事件造成的損失=F(資產價值,脆弱性嚴重程度)=F(Ia,Va);
(6)確定風險值。根據安全事件發生可能性和安全事件造成的損失,計算安全事件發生對組織的影響。
風險值=R(A,T,V)=R(F(Ia,Va),L(T,V))
其中,A是資產;T是威脅可能性;V是脆弱性;Ia是資產價值;Va是脆弱性的嚴重程度;L是威脅利用脆弱性發生安全事件的可能性;F是安全事件造成的損失,R是風險計算函數。
3 信息風險分析方法探析
作為保障信息安全的重要措施,信息安全系統是信息安全的重要組成部分,而信息安全風險評估的算法分析方法,風險評估作為風險分析的重要手段,早已被提出并做了大量的研究工作和一些算法已成為正式信息安全標準的一部分。從定性定量的角度可以將風險分析方法分為三類,也就是定性方法、定量方法和定性定量相結合。
3.1 定性的風險分析方法
定性的方法是憑借分析師的經驗和知識的國際和國內的標準或做法,風險管理因素的大小或程度的定性分類,以確定風險概率和風險的后果。定性的方法的優點是,信息系統是不容易得到的具體數據的相對值計算,沒有太多的計算負擔。它有一定的缺陷,是很主觀的,要求分析有一定的經驗和能力。比較著名的定性分析方法有歷史比較法、因素分析方法、邏輯分析法、Delphi法等,這些方法的成敗與執行者的經驗有很大的關系。
3.2 定量的風險分析方法
定量方法是用數字來描述風險,通過數學和統計的援助,對一些指標進行處理和處理,來量化安全風險的結果。定量方法的優點是評價結果直觀,使用數據表示,使分析結果更加客觀、科學、嚴謹、更有說服力。缺點是,計算過程復雜,數據詳細,可靠的數據難以獲得。正式且嚴格的評估方法的數據一般是估計而來的,風險分析達到完全的量化也不太可能。與著名的定時模型定量分析方法、聚類分析法、因子分析法、回歸模型、決策樹等方法相比較,這些方法都是具有數學或統計工具的風險模型。
3.3 定性定量相結合的風險分析方法
是因為有優點和缺點的定量和定量的方法,只使用定性的方法,太主觀,但只有使用定量方法,數據是難以獲得的,所以目前常用的是定性和定量的風險分析方法相結合。這樣,既能克服定性方法主觀性太強的缺點,又能解決數據不好獲取的困難。典型的定性定量相結合的風險評估工具有@Risk、CORA等。
第5篇:信息安全風險評估范文
關鍵詞:信息安全、風險評估、重要問題
中圖分類號:TP309 文獻標識碼:A 文章編號:1007-9599 (2012) 17-0000-02
在現階段,由于快速發展的信息技術,致使那些極大影響著國計民生的關鍵信息資源,從其規模來看,具有越來越大的變化趨勢,至于其信息系統的結構,具有越來越高的復雜程度;在當前要促使我國國民經濟的持續發展以及能夠順利進行信息化建設,其中的一個關鍵因素就是要讓這些信息資源以及信息系統的安全性得到有力保障。而有關可用性、機密性以及完整性等等內容正是信息安全目標的具體表現。在當前進行安全建設一個出發點就是要進行信息安全風險評估,進行風險評估具有很多重要意義,其中把傳統的以技術驅動為導向的安全體系結構設計進行有力改變,這是它的一個重要意義;有關,信息安全風險評估,其對信息系統安全風險的識別,主要是結合資產的重要程度來進行,在遵循成本—效益這一原則的基礎上,當信息系統面臨著以下這兩種情況時,對它進行全面評估:第一種情況,當信息系統面臨著威脅;第二種情況,當信息系統因本身脆弱性而被威脅源所利用、導致本身可能出現安全問題、由此可見,所謂信息安全風險評估,就是基于安全管理這個角度考慮,采用合理的手段和分析方法,對有關信息系統以及信息化業務,當其面臨來自自然或者人為威脅時所產生的脆弱性進行比較系統地分析,并對可能造成安全事件的危害程度進行相應的評估,在此基礎上,并能夠把那些具有防御效果的對策以及整改措施有針對性地提出來,以讓網絡和信息安全能夠得到最大的保障。
1 有關信息安全風險評估中的幾個重要問題的認識
1.1 對有關網絡信息安全的主要內容以及主要因素這個重要問題的認識
(1)有關網絡信息安全的主要內容。所謂網絡信息安全,顧名思義就是指當前網絡中各種各樣網絡信息的安全,這是從狹義這個層面來考慮的;如果從廣義這個層面來看,除了前面所提到的各種信息安全外,還包括整個網絡系統的安全,諸如各種軟硬件、存儲以及傳輸、數據以及數據處理等等使用過程。總的看來,網絡信息安全具有以下五大方面上的典型特征,如下表所示:
五大典型特征 具體含義
①具有保密性特征 也就是不準把有關網絡信息泄漏給非授權的實體或者個人
②具有完整性特征 也就是對于未經授權的信息,一律不準對其進行修改或者加以破壞
③具有可用性特征 對于那些合法的用戶,能夠正常訪問相關的信息
④具有可控性特征 能夠有效并且合法控制相關的信息內容及其傳播過程
⑤具有可審查性特征 為使能事后查詢核對,在信息使用過程中要而且必須有進行相關的記錄
表一:網絡信息安全的典型特征
(2)有關網絡信息安全的風險因素。為了能夠對這個網絡信息安全問題所具有的復雜性進行有效解決并且能夠順利地找到一個解決或者考慮這類問題的出發點,就必須從研究有關網絡信息安全的那些風險因素入手,為了更好地認識和研究有關這些網絡信息安全風險因素,在現階段,可以把它們分為幾大類型,如下表所示:
主要類型 具體內容
①來自自然方面的因素 例如火災、水災、地震、雷電、臺風、寒潮、海嘯等等
②來自網絡硬件方面的因素 例如機房的(路由器、交換機以及服務器)等,因受外界因素(溫度、濕度、灰塵、電磁干擾)等所產生的影響
③來自軟件方面的因素 主要包括①機房設備(機房服務器和管理軟件等),②用戶計算機操作系統,③各種服務器數據庫配置的合理性與否,④殺毒軟件、防火墻等等其他應用軟件
④來自人為方面的因素 具體包括那些對網絡信息進行使用和管理的種種行為所帶來的種種影響,諸如惡意代碼、木馬攻擊、操作失誤、數據泄露、騙取口令、拒絕服務等等
表二:網絡信息安全風險因素的主要類型
1.2 對有關安全風險評估方法這個重要問題的認識
(1)有關定制個性化這種評估方法。在當前有關比較標準的評估方法極其流程雖然已經有了很多種,但是在具體的實際應用當中,單純的套用或者拷貝這些方法是不可取的,比較正確的做法應該是把它們作為一個參考,結合企業的具體情況以及企業相關安全風險評估方面的能力,對這些標準的評估方法進行重新組合,以產生出具有個性化特點的評估方法,從而促使相關進行的評估服務能夠具有靈活性以及可裁剪性的特點。具體的評估種類比較多,諸如網絡結構評估、IT安全評估、滲透測試以及整體評估等等。
(2)有關安全整體框架的設計。進行風險評估,其目的不僅僅要懂得風險,更為重要的是要進行風險管理并為之提供所需要的依據。管理風險,其安全整體框架在于評估的直接輸出;但是對于具體的企業來說,由于它們所處的環境不一樣,各自的需求也都不相同,此外,從他們工作層面這個角度考慮,其可供參考的模版都不是很多,這就到來了不是很多的整體框架應用。但是,把最近一、兩年內的框架完成好,這是企業至少也要做到的,這樣才有可能做到有據可依。
(3)有關多用戶決策的評估。由于不同的問題可以被不同層面的用戶所看到,因而要對風險進行全面了解,有關多用戶溝通評估這項工作就要經常進行。把多用戶的相關決策過程取自于其評估過程,將大大有利對風險進行全面的了解和深入的理解,并且能夠把對風險的管理真正落實到行動上。很多實踐表明,讓多用戶共同參與,具有非常顯著的效果。因此,進行多用戶相關的決策評估,具有一個具體的方法以及流程也顯得極其重要。
1.3 對有關風險評估過程這個重要問題的認識
(1)準備階段—前期。在這一階段,主要的工作有,首先要明確所評估的目標;其次是對于所涉及的評估范圍要進行確定,并且要把相關的協議以及合同簽署好;最后要把已經存在的那些被評估對象的相關材料進行接收,并就此對評估對象展開其研究調查工作。
(2)現場階段—中期。在這一階段,相關測評方案要進行編寫,并且要把相應的管理問卷以及現場測試表準備好,在這個基礎上,再把調查研究階段以及現場階段的測試有條不紊地進行開展。
(3)評估階段—后期。在最后這一階段,要把測試報告進行系統編寫,相關調查研究要進行相應的補充和完善,在把這兩項重要工作完成后,評估者要據此得出最終的風險評估報告。
2 結束語
總而言之,建設信息系統管理體系和安全體系的基礎就是信息安全風險評估;進行風險評估,不僅可以讓信息系統的安全狀況得到進一步的明確,也可以讓信息系統的主要安全風險得到進一步的明確;因此,在當前進行信息安全風險評估,對于及早發現信息系統的安全隱患并且采取相應的防御方案以保證信息系統安全具有極其重要的意義。
參考文獻:
[1]剛.信息安全風險評估的策劃[J].信息技術與標準化,2008,9.
第6篇:信息安全風險評估范文
關鍵詞:信息系統;安全風險;研究進展
一、國外研究進展
國外對動態風險評估研究主要包括動態風險評估的體系架構、工具和關鍵技術等。在動態風險評估的體系架構方面,1999年Tim Bass首次提出了網絡安全態勢感知概念,隨即又提出了基于多傳感器數據融合的入侵檢測框架,并把該框架用于下一代入侵檢測系統和網絡安全態勢感知系統,采用該框架實現入侵行為檢測、入侵率計算、入侵者身份和入侵者行為識別、態勢評估以及威脅評估等功能。StephenG. Batsell,JasonShifflet等人也提出了類似的模型。美國國防部提出了JDL(Joint Director of Laboratories)模型的網絡態勢感知總體框架結構,此模型主要包括多源異構數據采集、數據預處理、事件關聯和目標識別、態勢評估、威脅評估、響應與預警、態勢可視化顯示以及過程優化控制與管理等功能模塊。動態風險評估由于評估頻次高,因此應充分使用自動化工具代替人工勞動,力爭做到對實時風險的監控和計算,同時抓住最重要風險來分析。在動態風險評估的工具方面,可依托的工具包括評估威脅的入侵檢測系統、異常流量分析系統、日志分析系統等,評估脆弱性的網絡掃描器、應用掃描工具等。
在動態風險評估的技術方面,動態風險評估領域涉及到數據采集、數據融合、態勢可視化等多項技術,網絡動態風險評估的難點主要集中在對態勢的正確理解和合理預測上。關于動態風險評估相關技術研究很多,例如在數據采集技術方面,按照數據源分為基于系統配置信息(服務設置系統中存在的漏洞等)和基于系統運行信息(IDS日志中顯示的系統所受攻擊狀況等)兩大類數據采集;在數據融合技術方面,Tim Bass首次提出將JDL模型直接運用到網絡態勢感知領域,這為以后數據融合技術在網絡態勢感知領域的應用奠定了基礎,Christos Siaterlis等人運用數據融合技術設計出檢測DDoS攻擊的模型;在態勢可視化技術方面,H.Koike和K.Ohno專門為分析Snort日志以及Syslog數據開發了SnortView系統,可以實現每2min對視圖的一次更新,并可以顯示4h以內的報警數據。
二、國內研究進展
我國對網絡和信息安全保障工作高度重視,了中辦發[2003]27號《國家信息化領導小組關于加強信息安全保障工作的意見》、中辦發[2006]11號《2006—2020年國家信息化發展戰略》等文件部署安全風險評估等安全工作,但是由于我國關于安全風險評估研究起步的較晚,目前國內整體處于起步和借鑒階段,大多數研究主要面向信息系統,針對電信網絡的特點進行風險評估的研究和應用較少。
在安全風險評估模型、方法和工具方面,我國雖然已經有一些相關的文章和專著,但是也還局限在對已有國際模型、方法和工具的分析和模仿上,缺乏科學、有效、得到廣泛認可的方法和工具,尤其針對電信網的業務和網絡特點的可操作性強、得到普遍認可的風險評估方法和工具較少。
國內對安全動態風險評估的研究還屬于起步階段,相關研究主要包括動態風險評估的體系架構、相關關鍵技術等。在體系架構方面,西安交通大學研究并實現了基于IDS和防火墻的集成化網絡安全監控平臺,提出了基于統計分析的層次化(從上到下分為系統、主機、服務和攻擊/漏洞4個層次)安全態勢量化評估模型,采用了自下而上、先局部后整體的評估策略及相應計算方法,此方面也是在動態風險評估領域普遍采用的方法。北京理工大學信息安全與對抗技術研究中心研制了一套基于局域網絡的網絡安全態勢評估系統,由網絡安全風險狀態評估和網絡威脅發展趨勢預測兩部分組成,用于評估網絡設備及結構的脆弱性、安全威脅水平等。在關鍵技術方面,安全領域專家馮毅從我軍信息與網絡安全的角度出發,闡述了我軍積極開展網絡安全態勢感知研究的必要性和重要性,指出了多源傳感器數據融合和數據挖掘兩項關鍵技術。國防科技大學的胡華平等人提出了面向大規模網絡的入侵檢測與預警系統的基本框架及其關鍵技術與難點問題。另外,國內也有一些科研機構嘗試把數據融合技術應用到網絡安全領域,提出了應用數據融合技術的網絡安全分析評估系統、入侵檢測系統等。
但是總體來說,國內在動態風險評估研究方面取得的成果有限,仍沒有成熟的、實用的技術或工具,更缺乏針對電信網進行動態風險評估的相關研究,現有研究成果還存在動態評估的實時性不強、采集的數據不夠豐富有效、對風險態勢的預測研究不夠等諸多問題。
參考文獻:
[1] 彭凌西;陳月峰;劉才銘;曾金全;劉孫俊;趙輝;;基于危險理論的網絡風險評估模型[J];電子科技大學學報;2007年06期
[2] 李波;;入侵檢測技術面臨的挑戰與未來發展趨勢[J];電子科技;2007年07期
[3] 丁麗萍;論計算機取證的原則和步驟[J];中國人民公安大學學報(自然科學版);2005年01期
[4] 趙冬梅;張玉清;馬建峰;;網絡安全的綜合風險評估[J];計算機科學;2004年07期
第7篇:信息安全風險評估范文
【關鍵詞】電力企業;信息安全;風險防御
和諧社會的發展是政治、經濟、文化、社會和生態多方面合力的結果,科技的進步使得電力企業意識到亟需盡快的對電力系統進行革新,從計劃經濟到市場經濟體制的改革中,電力企業為了適應這樣的變化,加強了對管理體制的合理改變和生產效率的大步提高,拉開了電力系統改革的序幕。安全的信息網絡系統的構建是電力企業發展改革過程中至關重要的一個環節,有效的將電力企業的信息安全系統與其管理和考核進行有機結合,更好的服務于電力企業的生產、經營和管理,電力企業安全信息系統風險評估與防御也就成為了電力企業在經濟全球化進程中亟待重視的問題所在。
1 電力企業安全信息系統風險評估
1.1 企業規模發展迅速,信息網絡安全意識淡薄
電力資源是我們社會生活中必不可少的一部分,電力企業在相對壟斷的情況下,發展極其迅速,但在這樣的過程中,我們可以看到,大多數電力企業僅僅對基礎設施和簡單的網絡構建有著重視力度,卻沒有對安全信息系統的風險認識足夠,這種情況下必然產生了諸如網絡安全防御意識差,對網絡信息安全防范的資金投入不足等不良情況的出現。企業規模越來越大,對企業安全信息系統的維護資金投入卻并不高,網絡安全技術沒能及時加強,電力企業也就不能很好的抵御網絡風險,對網絡入侵也顯得無所適從。
1.2 信息化安全資金投入少,管理機制有待完善
電力企業對安全信息網絡的建設的重視并不充分,有些電力企業在管理過程中對信息管理部門完全忽視,只是將企業的網絡信息安全的管理安排給幾個技術員或掛靠到生產技術部門,電力企業作為高盈利企業卻對信息安全資金投入并不充分,信息化管理制度也很不健全。電力企業安全信息機制的構建是個長期的系統工程,我們必須注意到構建專門的信息化部門的重要性,才能在激烈的市場競爭中使得電力企業更好的滿足其發展體制對信息化管理的需求。
2 電力企業安全信息系統的主要問題
2.1 信息安全化管理未分區
國家電力管理委員會出臺的5號規定,對電網企業、發電企業、供電企業等電力相關企業做出了有關其信息安全網絡業務系統構建的明確規定,將這些企業的計算機和網絡技術系統大致分為了管理信息的部分以及生產控制的區域。信息管理區域可以依托各個企業不同的經營管理模式對安全區進行劃分,而生產控制區域一般來說應該由可控制區和非可控區兩大部分構成。在這樣兩個大的區域之間,電力企業必須在國家電力監測認定部門的監督下安裝電力生產專用的單向橫向安全的隔離裝置。如若不能很好的遵從這樣一個標準對電力企業網絡系統進行管理,就經常會出現企業管理信息大區部分網絡直接可以對生產控制區域的數據進行訪問,出現網絡安全事件,影響電力企業的安全生產和發展。
2.2 網絡端口接點存在風險
互聯網技術的革新的步伐越來越快,企業的網絡系統安全建設卻并不牢靠,在部分環節仍然十分脆弱,在電力企業的信息安全網絡建設中, Web程序漏洞、系統漏洞不斷出現,對病毒的侵入無力抵抗,為黑客、病毒制造者提供了入侵的機會,這些信息安全威脅的發生可能會引起電力企業網絡安全系統的癱瘓和網絡故障,為企業造成了這些安全威脅使得企業利益造成了巨大的損失。在最近的一項調查數據中顯示,電力企業中遭受到的網絡安全信息系統威脅中約有70%是由于網絡系統內部的危險侵襲。這種危害的可能發現于諸多方面:對于敏感數據的濫用,對于內部員工的信息監管不力使得信息泄露都提升了企業的運行風險。
2.3 互聯網病毒的侵害
從口語傳播時代到印刷傳播時代,直至現在的網絡傳播時代,互聯網的高速發展使得網絡病毒也迅速得以傳播和擴散。諸多的電力企業網絡內外相連,覆蓋范圍相當廣泛,網絡病毒經常可以有機可乘,牽一發而動全身,從一臺電腦的病毒侵害到整個電力網絡系統,造成網絡通信的阻塞,使得整個系統中的文件和關鍵數據得不到完整的保存,造成不可預計的后果。
2.4 信息安全人員防范意識較低
電力企業信息防范人員對信息安全應用系統的管理是保障信息網絡安全系統的重要一部分。數據庫操作系統的規劃和防范都離不開信息安全人員的有力防范,但在如今的電力企業信息安全系統的管理過程中,相關人員防范意識低下的情況屢屢發生,由此引發的網絡安全漏洞泄露了電力企業機密信息,造成了很大的安全隱患,使企業遭受安全沖擊。用戶的網絡安全防范意識低下是現如今網絡安全的通病,大多數的用戶都認為網絡自身有著一定的自我安全防范意識,對電腦提示的病毒預警視而不見,電力企業中也沒有很好的避免這一點,部分工作人員重技術輕管理,網絡安全信息管理機制的不完善,也給企業的網絡帶來了十分大的管理風險,這就迫切的要求應該對網絡的安全機制進行完善,也應該主動自高工作人員自身的安全防范意識。
3 電力企業安全信息系統風險防御
3.1 防火墻技術的運用
防火墻技術是現今社會經常用于互聯網風險防御的重要手段之一,多用于將可信任網絡和非信任網絡之間相隔開來。電力企業的生產經營和管理的過程中的運行調度中都應該加強在安全檢查中對網絡節點的關注,限制對含帶危險信息的領域的訪問。電力企業在生產經營、分散控制和運行調度的過程中對防火墻技術的運用有效的將信息的采集、整合和應用都限制在可掌控的范圍內,在不同的權限內最大限度的合理的運用著相關資源。
3.2 網絡病毒侵襲的防護
電力企業關系著國家重要電力資源的開發和應用,為了保護電力資源的安全,必須要從內到外的構建起全方位的網絡病毒防侵害系統,更好的對來自于各個方面的病毒信息進行防護。只有提高了企業的整體安全性,在互聯網和周邊的局域網內都安裝好防病毒侵襲的安全網關和內置的病毒防護軟件,才能使得電力企業免受網絡病毒的侵襲,各個方面的數據得以安全與穩定的保存。
在電力企業的網絡準入控制系統中,對接入點客戶的安全策略檢測和身份認證都是必不可少的,若不能通過檢測的用戶應該被嚴令禁止在網絡之外進行隔離。無論是無線用戶還是有限用戶,都將面對互聯網訪問客戶端從驗證、授權到阻止未授權的計算機網絡資源的過程,只有在一系列的檢測中得到審核通過才可以拿到進入內部網絡的通行證,網絡病毒越來越厲害,愈發侵入性越強,對此,電力企業對客戶端主機應該進行更加嚴密的考察,不間斷的對病毒特征信息庫進行更新,維護好網絡的完整和安全性。
3.3 虛擬網的數據備份技術
互聯網技術的網絡拓撲結構設置,加之很好的利用交換機、路由器等功能設置,可以使網絡管理員將任何一個相關局域網內的一些網段結合起來,組成一個局域網。在這個局域網里的信息傳遞速度更加迅速,傳播速度的加快使得網絡信息安全生產過程中的管理效率得到提高,使得電力企業的數據被竊聽的可能性不斷的降低。與此同時,現在電力企業在大多數情況下都會對重要的資料進行數據庫的備份工作,這樣構建起對電力企業信息網絡安全系統的應急預案,可以在出現網絡侵襲時及時的對關鍵業務和應用程序進行保護,確保核心數據系統在出現損害時,企業核心安全得到保護。
3.4 終端設備的網絡準入控制技術
可采用基于網關認證的硬件控制技術,實現對通過無線網絡、有線網絡、VPN網絡、wifi網絡等方式連接的設備進行接入控制。同時,采用“報備重定向+注冊重定向”的雙重認證保護技術,對非法接入的終端設備進行強制重定向安全檢查。對不符合安全等級要求的終端設備,可根據系統策略限制用戶接入網絡或將其訪問限制在隔離區。
網絡準入控制技術應以細致、準確、迅速為原則,對網絡資源訪問進行控制,尤其是一些核心的網絡應用,包括C/S、B/S以及服務器應用;以精益化的客戶端聯動管理為核心,基于多種授權方式,包括單用戶授權、用戶組授權、白名單授權等方式,實現對未受控客戶端實施不同用戶級別的可靠便捷的接入控制。
4 結論
電力企業的安全信息系統是電力企業信息化管理的重要內容之一,有效的對電力企業安全信息系統將要面臨的風險進行評估并且提出切實可行的防御措施,是保障電力企業現代化管理的有力手段。隨著近些年來互聯網技術的增強,電力企業的安全系統構建也愈發的完善,為電力企業的良性循環運行提供了必要的技術支持和保障,因此,我們應該重視對互聯網信息的保護,防御病毒的侵害,為為電力企業的安全信息系統的正常運行營造起安全的網絡環境。
參考文獻:
[1]陳偉.電力系統網絡安全體系研究[J].電力系統通信,2008(01).
[2]牟奕欣.關于電力系統的網絡安全的探討[J].中國經貿,2010(14).
第8篇:信息安全風險評估范文
【 關鍵詞 】 內蒙古電力公司信息系統;信息安全;風險評估;探索與思考
The Exploration and Inspiration of Risk Assessment on Information Systems
in Inner Mongolia Power (Group) Co., Ltd.
Ao Wei 1 Zhuang Su-shuai 2
(1.Information Communication Branch of the Inner Mongolia Power (Group)Co., Ltd Inner MongoliaHohhot 010020;
2.Beijing Certificate Authority Co., Ltd Beijing 100080)
【 Abstract 】 Based on the conduct of information security risk assessment in Inner Mongolia Power (Group) Co. Ltd., we analyzed the general methods of risk assessment on power information systems. Besides, we studied the techniques and overall process of risk assessment on power information systems in Inner Mongolia Power (Group) Co. Ltd., whose exploration provides valuable inspiration to information security in electric power industry.
【 Keywords 】 information systems of Inner Mongolia Power (Group) Co., Ltd.; information security; risk assessment; exploration and inspiration
1 引言
目前,電力行業信息安全的研究只停留于網絡安全防御框架與防御技術的應用層面,缺少安全評估方法與模型研究。文獻[1]-[3]只初步分析了信息安全防護體系的構架與策略,文獻[4]、[5]研究了由防火墻、VPN、PKI和防病毒等多種技術構建的層次式信息安全防護體系。這些成果都局限于單純的信息安全保障技術的改進與應用。少數文獻對電力信息安全評估模型進行了討論,但對于安全風險評估模型的研究都不夠深入。文獻[6]、文獻[7]只定性指出了安全風險分析需要考慮的內容;文獻[8]討論了一種基于模糊數學的電力信息安全評估模型,這種模型本質上依賴于專家的經驗,帶有主觀性;文獻[9]只提出了一種電力信息系統安全設計的建模語言和定量化評估方法,但是并未對安全風險的評估模型進行具體分析。
本文介紹了內蒙古電力信息系統風險評估的相關工作,并探討了內蒙古電力信息系統風險評估工作在推動行業信息安全保護方面帶給我們的啟示。
2 內蒙古電力信息安全風險評估工作
隨著電網規模的日益擴大,內蒙古電力信息系統日益復雜,電網運行對信息系統的依賴性不斷增加,對電力系統信息安全的要求也越來越高。因此,在電力行業開展信息安全風險評估工作,研究電力信息安全問題,顯得尤為必要。
根據國家關于信息安全的相關標準與政策,并根據實際業務情況,內蒙古電力公司委托北京數字認證股份有限公司(BJCA)對信息系統進行了有效的信息安全風險評估工作。評估的內容主要包括系統面臨的安全威脅與系統脆弱性兩個方面,以解決電力信息系統面臨的的安全風險。
3 電力系統信息安全風險評估的解決方案
通過對內蒙古電力信息系統的風險評估工作,我們可以總結出電力信息系統風險評估的解決方案。
4 電力信息系統風險評估的流程
電力信息系統風險評估的一般流程。
(1) 前期準備階段。本階段為風險評估實施之前的必需準備工作,包括對風險評估進行規劃、確定評估團隊組成、明確風險評估范圍、準備調查資料等。
(2) 現場調查階段:實施人員對評估信息系統進行詳細調查,收集數據信息,包括信息系統資產組成、系統資產脆弱點、組織管理脆弱點、威脅因素等。
(3) 風險分析階段:根據現場調查階段獲得的相關數據,選擇適當的分析方法對目標信息系統的風險狀況進行綜合分析。
(4) 策略制定階段:根據風險分析結果,結合目標信息系統的安全需求制定相應的安全策略,包括安全管理策略、安全運行策略和安全體系規劃。
5 數據采集
在風險評估實踐中經常使用的數據采集方式主要有三類。
(1) 調查表格。根據一定的采集目的而專門設計的表格,根據調查內容、調查對象、調查方式、工作計劃的安排而設計。常用的調查表有資產調查表、安全威脅調查表、安全需求調查表、安全策略調查表等。
(2) 技術分析工具。常用的是一些系統脆弱性分析工具。通過技術分析工具可以直接了解信息系統目前存在的安全隱患的脆弱性,并確認已有安全技術措施是否發揮作用。
(3) 信息系統資料。風險評估還需要通過查閱、分析、整理信息系統相關資料來收集相關資料。如:系統規劃資料、建設資料、運行記錄、事故處理記錄、升級記錄、管理制度等。
a) 分析方法
風險評估的關鍵在于根據所收集的資料,采取一定的分析方法,得出信息系統安全風險的結論,因此,分析方法的正確選擇是風險評估的核心。
結合內蒙電力信息系統風險評估工作的實踐,我們認為電力行業信息安全風險分析的方法可以分為三類。
定量分析方法是指運用數量指標來對風險進行評估,在風險評估與成本效益分析期間收集的各個組成部分計算客觀風險值,典型的定量分析方法有因子分析法、聚類分析法、時序模型、回歸模型、等風險圖法等。
定性分析方法主要依據評估者的知識、經驗、歷史教訓、政策走向及特殊案例等非量化資料對系統風險狀況做出判斷的過程。在實踐中,可以通過調查表和合作討論會的形式進行風險分析,分析活動會涉及來自信息系統運行和使用相關的各個部門的人員。
綜合分析方法中的安全風險管理的定性方法和定量方法都具有各自的優點與缺點。在某些情況下會要求采用定量方法,而在其他情況下定性的評估方法更能滿足組織需求。
表1概括介紹了定量和定性方法的優點與缺點。
b) 質量保證
鑒于風險評估項目具有一定的復雜性和主觀性,只有進行完善的質量控制和嚴格的流程管理,才能保證風險評估項目的最終質量。風險評估項目的質量保障主要體現在實施流程的透明性以及對整體項目的可控性,質量保障活動需要在評估項目實施中提供足夠的可見性,確保項目實施按照規定的標準流程進行。在內蒙古電力風險評估的實踐中,設立質量監督員(或聘請獨立的項目監理擔任)是一個有效的方法。質量監督員依照相應各階段的實施標準,通過記錄審核、流程監理、組織評審、異常報告等方式對項目的進度、質量進行控制。
6 內蒙古電力信息安全風險評估的啟示
為了更好地開展風險評估工作,可以采取以下安全措施及管理辦法。
6.1 建立定期風險評估制度
信息安全風險管理是發達國家信息安全保障工作的通行做法。按照風險管理制度,適時開展風險評估工作,或建立風險評估的長效機制,將風險評估工作與信息系統的生命周期和安全建設聯系起來,讓風險評估成為信息安全保障工作運行機制的基石。
6.2 編制電力信息系統風險評估實施細則
由于所有的信息安全風險評估標準給出的都是指導性文件,并沒有給出具體實施過程、風險要素識別方法、風險分析方法、風險計算方法、風險定級方法等,因此建議在國標《信息安全風險評估指南》的框架下,編制適合電力公司業務特色的實施細則,根據選用的或自定義的風險計算方法,,制各種模板,以在電力信息系統實現評估過程和方法的統一。
6.3 加強風險評估基礎設施建設,統一選配風險評估工具
風險評估工具是保障風險評估結果可信度的重要因素。應根據選用的評估標準和評估方法,選擇配套的專業風險評估工具,向分支機構配發或推薦。如漏洞掃描、滲透測試等評估輔助工具,及向評估人員提供幫助的資產分類庫、威脅參考庫、脆弱性參考庫、可能性定義庫、算法庫等評估輔助專家系統。
6.4 統一組織實施核心業務系統的評估
由于評估過程本身的風險性,對于重要的實時性強、社會影響大的核心業務系統的評估,由電力公司統一制定評估方案、組織實施、指導加固整改工作。
6.5 以自評估為主,自評估和檢查評估相結合
自評估和檢查評估各有優缺點,要發揮各自優勢,配合實施,使評估的過程、方法和風險控制措施更科學合理。自評估時,通過對實施過程、風險要素識別、風險分析、風險計算方法、評估結果、風險控制措施等重要環節的科學性、合理性進行分析,得出風險判斷。
6.6 風險評估與信息系統等級保護應結合起來
信息系統等級保護若與風險評估結合起來,則可相互促進,相互依托。等級保護的級別是依據系統的重要程度和安全三性來定義,而風險評估中的風險等級則是綜合考慮了信息的重要性、安全三性、現有安全控制措施的有效性及運行現狀后的綜合結果。通過風險評估為信息系統確定安全等級提供依據。確定安全等級后,根據風險評估的結果作為實施等級保護、安全等級建設的出發點和參考,檢驗網絡與信息系統的防護水平是否符合等級保護的要求。
參考文獻
[1] 魏曉菁, 柳英楠, 來風剛. 國家電力信息網信息安全防護體系框架與策略. 計算機安全,2004,6.
[2] 魏曉菁,柳英楠,來風剛. 國家電力信息網信息安全防護體系框架與策略研究. 電力信息化,2004,2(1).
[3] 沈亮. 構建電力信息網安全防護框架. 電力信息化,2004,2(7).
[4] 梁運華,李明,談順濤. 電力企業信息網網絡安全層次式防護體系探究. 電力信息化,2003,2(1).
[5] 周亮,劉開培,李俊娥. 一種安全的電力系統計算機網絡構建方案. 電網技術,2004,28(23).
[6] 陳其,陳鐵,姚林等. 電力系統信息安全風險評估策略研究. 計算機安全,2007,6.
[7] 阮文峰. 電力企業網絡系統的安全風險分析和評估. 計算機安全,2003(4).
[8] 叢林,李志民,潘明惠等. 基于模糊綜合評判法的電力系統信息安全評估. 電力系統自動化,2004,28(12).
[9] 胡炎,謝小榮,辛耀中. 電力信息系統建模和定量安全評估. 電力系統自動化,2005,29(10).
作者簡介:
第9篇:信息安全風險評估范文
關鍵詞:信息安全管理;ISO/IEC 27001;PDCA;資產識別;風險評估
中圖分類號:TP393 文獻標識碼:A 文章編號:1009-2374(2011)30-0034-02
一、項目背景
電力工業是國民經濟的支柱產業,電力工業的安全問題直接關系到各行各業的發展和人民的生活水平,關系到國家安全和社會穩定。當前流行的信息技術的廣泛應用大大改變了電力企業傳統的經營管理模式和手段,支撐著電力生產、營銷和管理的全過程。如何有效保障信息安全,從而保證整個電力企業的生產安全,成為電力行業目前積極探索的新課題。
在這個大環境下,玉溪供電局作為云南電網的改革試點單位,大力進行改革創新,引入國際信息安全管理標準ISO/IEC 27001,建立了完整的信息安全管理體系,有效的保證了信息安全,取得了很好的收效。
二、ISO/IEC 27001簡介
ISO/IEC 27001是有關信息安全管理的國際標準。最初源于英國標準BS7799,經過十年的不斷改版,終于在2005年被國際標準化組織(ISO)轉化為正式的國際標準,于2005年10月15日為ISO/IEC 27001:2005。該標準可用于組織的信息安全管理體系的建立和實施,保障組織的信息安全。標準的要求主要包括11個安全控制域、39個安全控制目標和133項安全控制措施。標準采用PDCA過程方法,基于風險評估的風險管理理念,全面系統地持續改進組織的安全管理。其正式名稱為:《ISO/IEC 27001:2005 信息技術―安全技術―信息安全管理體系―要求》。
三、項目實施方法論
玉溪供電局在整個信息安全體系建設過程中,根據安全風險是相對的和動態的基本概念,遵循P(Plan 計劃)-D(Do 實施)-C(Check 檢查)-A(Act 持續改進)的方法論,見下圖:
四、項目實施中若干重要環節
標準中只是提出了一些原則性的建議和要求,但是如何按照這些要求建立一套符合局實際情況,能夠順利推行和實施的信息安全管理體系是非常具有挑戰性的。局項目組成員與上海天帷公司的同事一起積極探索,緊密結合局信息安全建設的現狀和要求,認為資產識別、風險評估、文件編制、運行實施、審核等是整個過程的重要環節。
(一)資產識別
資產識別是信息安全管理工作的重要步驟和基礎,信息安全就是要保證信息和資產的安全。所謂資產識別就是要識別ISMS管理范圍內的信息資產以及這些資產的所有者,形成資產清單。玉溪供電局在資產識別中把資產分為5類:文檔和數據、軟件和系統、硬件和設施、人力資源、其他等。
(二)風險評估
風險評估是信息安全工作的一個重要步驟,通過風險評估,找到組織在信息安全方面的差距,才能有針對性的制定相應的策略和改進措施。
通過風險評估,形成《風險評估表》、《風險評估報告》、《風險處置計劃》等。為了保證風險評估結果的客觀性和可操作性,建立了一個定量的風險評估方法論。
風險值=威脅發生可能性×影響程度等級×現有控制措施有效性賦值。通過制定風險等級劃分標準來確定風險等級。將等級劃分為五級,等級越高,風險越高。
對于不可接受風險的確定和處理要慎重,不要一味的將所有的風險都歸為不可接受風險,要時刻牢記風險的處理是要付出成本的,所以需要綜合考慮風險控制成本與風險造成的影響來制定風險的可接受準則。風險的處置有4種方式:規避風險、降低風險、轉移風險、接受風險。對于不可接受風險應根據選擇的風險處理方式控制殘余風險。
(三)文件編制
為了響應云南電網公司的一體化管理制度,在信息安全建設中將針對信息安全標準ISO/IEC 27001要求的文件進行統一整理,對原有《信息安全管理辦法》的修編。形成了新版的《信息安全管理辦法》,覆蓋了27001的11個安全領域的要求。
另外,為了使新版的《信息安全管理辦法》能夠更好的落地執行,在信息安全體系建設過程中,制定了60多個操作性很強的記錄表格表單,以輔助各部門能夠更好的執行信息安全體系的要求,比如:《機房巡檢記錄表》、《防范病毒管理表》、《重要應用系統權限評審表》等。
(四)運行實施
我局在信息安全體系運行實施的過程中采取了多種措施來促進體系的落地工作,比如進行信息安全意識和知識培訓,張貼宣傳海報,在電梯口液晶電視和LED大屏上播放信息安全宣傳視頻,進行模擬審核和安全工作檢查等,真正做到了全員參與。
同時我局還建立了暢通的意見反饋機制,任何人對當前的信息安全體系有意見和建議,都可以通過局OA系統提交。信息運營中心會對所有提交的建議進行整理和歸納,以發現改進的機會,真正實現了PDCA循環,使局的信息安全管理工作持續改進和螺旋式上升。
五、項目實施經驗和注意事項
玉溪供電局按照ISO/IEC 27001的要求建立了符合本局實際情況的信息安全管理體系,經歷了資產識別、風險評估、體系建設和實施、內審和審核,最后取得了認證證書。在這個過程當中,總結了一些實施的經驗和注意事項。
(一)領導重視
信息安全管理工作是一項牽扯到局各部門的工作,需要投入相應的人力、物力和財力,所以必須有局領導的大力支持,才能順利的進行和更好的實施。
(二)全員參與
安全不是某一個部門或者某一個人的事情,而是關乎全局所有部門。需要各個部門的共同努力和協調一致的工作,才能保證真正意義上的信息安全,任何一個部門出了問題都將對局信息安全構成威脅。
(三)持續改進
信息安全工作不是一朝一夕的事情,需要持續改進和不斷完善。而且風險也是動態的,為了保證信息安全和控制風險始終在可接受的范圍內,信息安全工作應當是一件長期的工作。
(四)平衡原則
安全只是相對的,沒有絕對的安全,而且任何降低風險的措施都是需要一定的投資,可能是金錢的,也可能是人力資源的。所以一定要平衡投資和風險降低之間的關系,不要一味的為了降低風險而作一些不適當的投入。
六、結語
玉溪供電局通過ISO 27001的認證并獲得證書,不僅是對前期信息安全體系建設工作的充分肯定,而且對后續信息安全管理體系運行工作提出了新的更高的要求和目標。局信息運營中心要在局領導的正確領導和大力支持下,在以后局信息安全工作中,對現有體系進行持續改進,使本體系更加符合玉溪供電局的實際情況,為玉溪供電局的信息安全工作保駕
護航。
參考文獻
