- 相關(guān)推薦
公司信息系統(tǒng)安全風(fēng)險評估與管控的論文
當(dāng)前,信息安全風(fēng)險管理已成為企業(yè)信息化工作的關(guān)鍵,而信息系統(tǒng)安全風(fēng)險已經(jīng)成為企業(yè)信息化運營風(fēng)險中最為重要的組成部分。信息系統(tǒng)風(fēng)險管理是內(nèi)控框架中的核心內(nèi)容,并已成為判定企業(yè)成熟度的一項重要指標(biāo)。信息系統(tǒng)安全風(fēng)險評估是安全風(fēng)險管理的基礎(chǔ)和重要內(nèi)容,既是企業(yè)信息安全體系建設(shè)的起點,也將覆蓋其全生命周期。如何持續(xù)提升信息安全風(fēng)險評估意識和能力,妥當(dāng)開展信息系統(tǒng)安全風(fēng)險評估及風(fēng)險管控,是企業(yè)信息安全工作的重中之重,本文就此進(jìn)行探討研究。
一、評估目的、原則及方式
1.1 評估的目的。企業(yè)進(jìn)行信息系統(tǒng)安全風(fēng)險評估,是為了提高信息安全保障體系的有效性,主要包括:發(fā)現(xiàn)現(xiàn)有基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)的安全問題和隱患,提出針對性改進(jìn)措施;識別在用系統(tǒng)和在建系統(tǒng)在生命周期各個階段的安全風(fēng)險;分析現(xiàn)有與信息安全相關(guān)的組織管理機(jī)構(gòu)、管理制度和管理流程的缺陷與不足;評價已有信息安全措施的適當(dāng)性、合規(guī)性等。
1.2 評估的原則。進(jìn)行信息系統(tǒng)安全風(fēng)險評估,要遵循以下原則:
(1)整體性。系統(tǒng)安全風(fēng)險評估應(yīng)從企業(yè)實際需求出發(fā),不局限于網(wǎng)絡(luò)、主機(jī)等單一的安全層面,而是從業(yè)務(wù)角度進(jìn)行評估,包括技術(shù)、管理和業(yè)務(wù)運營的安全性。
(2)動態(tài)性。風(fēng)險評估應(yīng)是動態(tài)、階段性重復(fù)的,并非一次評估即可解決所有問題。每次評估應(yīng)達(dá)到有限的目標(biāo),并依據(jù)評估的動態(tài)特性考慮再次評估的時機(jī),形成良性的評估生命周期。
(3)適當(dāng)性。選擇恰當(dāng)?shù)脑u估對象、評估范圍、評估時機(jī),評估對象要有代表性,確定評估范圍的恰當(dāng)性、可行性等情況。
(4)規(guī)范化。應(yīng)嚴(yán)格規(guī)范評估過程和成果文檔,便于項目跟蹤和控制。
(5)可控性。評估過程和所使用的工具應(yīng)具有可控性。評估所采用的工具必須經(jīng)過實踐檢驗,可根據(jù)企業(yè)實際現(xiàn)狀與需求進(jìn)行定制。
(6)最小影響。評估工作應(yīng)充分準(zhǔn)備,精心籌劃,事先預(yù)見可能發(fā)生的情況并制定應(yīng)急預(yù)案,不能對網(wǎng)絡(luò)和信息系統(tǒng)的運行及業(yè)務(wù)的正常運作產(chǎn)生影響。
(7)保密性。參與評估的工作人員應(yīng)簽署保密協(xié)議,明確要求在評估過程中對所有的相關(guān)數(shù)據(jù)、信息嚴(yán)格保密,不得將評估中的任何數(shù)據(jù)用于與評估以外的任何活動。
1.3 評估方式。風(fēng)險評估的方式可分為自評估、檢查評估、委托評估三種。自評估是由企業(yè)自身實施,以發(fā)現(xiàn)現(xiàn)有信息技術(shù)設(shè)施和信息系統(tǒng)的弱點、實施安全管理為目的的評估方式。檢查評估是由主管部門發(fā)起,對下級單位的安全風(fēng)險管理工作進(jìn)行檢查而實施的評估活動。委托評估是指企業(yè)委托具有風(fēng)險評估能力和資質(zhì)的專業(yè)評估機(jī)構(gòu)實施的評估活動。
企業(yè)信息管理部門應(yīng)定期或在重大、特殊事件發(fā)生時組織進(jìn)行風(fēng)險評估,識別和分析風(fēng)險,實施控制措施,確保信息安全和信息系統(tǒng)的穩(wěn)定安全運行。
1.4 評估時機(jī)。企業(yè)信息系統(tǒng)風(fēng)險評估應(yīng)貫穿于系統(tǒng)的整個生命周期,方可做好風(fēng)險管控。在系統(tǒng)規(guī)劃設(shè)計階段,通過風(fēng)險評估明確系統(tǒng)建設(shè)的安全目標(biāo);在系統(tǒng)建設(shè)階段,通過風(fēng)險評估確定系統(tǒng)的安全目標(biāo)是否達(dá)到;在系統(tǒng)運行維護(hù)階段,實施風(fēng)險評估識別系統(tǒng)面臨不斷變化的風(fēng)險和脆弱性,從而確定安全措施的有效性,確保信息系統(tǒng)安全運行;在系統(tǒng)廢棄階段,確保硬件和軟件等資產(chǎn)的殘留信息得到適當(dāng)?shù)奶幹茫_保廢棄過程在安全的狀態(tài)下完成。
二、評估方法
企業(yè)信息系統(tǒng)的安全風(fēng)險評估大致可分為三個階段:計劃準(zhǔn)備階段、現(xiàn)場評估階段、分析報告階段。三個階段的工作內(nèi)容和步驟如圖 1 所示。
2.1 計劃準(zhǔn)備階段。在進(jìn)行安全風(fēng)險評估之前,充分的準(zhǔn)備工作是評估工作成功的基礎(chǔ)。在計劃準(zhǔn)備階段,需要開展以下工作:
(1)制定項目計劃。確定評估目標(biāo)、范圍和對象;明確評估人員組織,包括項目領(lǐng)導(dǎo)小組、項目負(fù)責(zé)人、項目技術(shù)顧問組、風(fēng)險評估小組、被評估單位項目協(xié)調(diào)人和項目配合人員;制定項目進(jìn)度計劃;明確項目溝通與配合制度。(2)召開項目啟動會。進(jìn)行評估前的項目動員。
(3)收集相關(guān)信息。收集所有評估對象資產(chǎn)信息;收集文檔信息,包括安全管理文檔、技術(shù)設(shè)施文檔、應(yīng)用系統(tǒng)文檔和機(jī)房環(huán)境文檔等。
2.2 現(xiàn)場評估階段。現(xiàn)場評估階段包含文檔審閱、問卷調(diào)查、脆弱性掃描、本地審計、滲透測試、現(xiàn)場觀測和人員訪談等工作內(nèi)容。
(1)文檔審閱。通過文檔審閱了解評估對象的基本信息(包括安全需求),了解各評估對象已被發(fā)現(xiàn)的問題、已實施的安全措施,確定需要通過訪談了解的信息和澄清的問題,以便盡量縮減人員訪談溝通時間,降低評估工作對相關(guān)人員正常業(yè)務(wù)工作的影響。
(2)問卷調(diào)查。由一組相關(guān)的封閉式或開放式問題組成,用于在評估過程中獲取信息系統(tǒng)在各個層面的安全狀況,包括安全策略、組織制度、執(zhí)行情況等。
(3)脆弱性掃描。利用技術(shù)手段對信息系統(tǒng)組件進(jìn)行脆弱性識別,收集各信息系統(tǒng)組件可能存在的技術(shù)脆弱性信息,以便在分析階段進(jìn)行詳細(xì)分析。
(4)本地審計。本地審計與脆弱性掃描互補(bǔ),收集各信息系統(tǒng)組件可能存在的技術(shù)脆弱性信息,以便在分析階段進(jìn)行詳細(xì)分析。
(5)滲透測試。利用模擬XX攻擊方式發(fā)現(xiàn)網(wǎng)絡(luò)、系統(tǒng)存在的可利用弱點,目的是檢測系統(tǒng)的安全配置情況,發(fā)現(xiàn)配置隱患。主要通過后門利用測試、DDos 強(qiáng)度測試、強(qiáng)口令攻擊測試等手段實現(xiàn)。需要注意,滲透測試的風(fēng)險較其它幾種手段要大得多,在實際評估中需要慎重使用,未必每次評估都要進(jìn)行滲透測試。
(6)現(xiàn)場觀測。主要通過現(xiàn)場巡視和觀察等方法,觀察與應(yīng)用系統(tǒng)、機(jī)房環(huán)境等有關(guān)的管理制度、安全運維相關(guān)的機(jī)制、系統(tǒng)配置現(xiàn)狀(如系統(tǒng)現(xiàn)有賬號、日志功能等),了解制度實際執(zhí)行情況,保留檢查證據(jù)(截圖,日志文件等)并填寫現(xiàn)場觀測結(jié)果。
(7)人員訪談。訪談的對象包括:信息系統(tǒng)管理人員、應(yīng)用系統(tǒng)相關(guān)人員、網(wǎng)絡(luò)及設(shè)備負(fù)責(zé)人和機(jī)房管理人員。主要涉及信息系統(tǒng)控制環(huán)境評估,包括安全策略、組織安全、人員、資產(chǎn)管理、風(fēng)險管理、法律法規(guī)符合性等;信息系統(tǒng)通用控制評估,包括程序開發(fā)設(shè)計、變更管理、程序和數(shù)據(jù)訪問控制、投產(chǎn)上線、系統(tǒng)運維等;應(yīng)用系統(tǒng)的安全性評估,包括身份認(rèn)證、標(biāo)識與授權(quán)、會話管理、系統(tǒng)配置、日志與審計、用戶賬戶管理、輸入控制、異常處理、數(shù)據(jù)保護(hù)和通信等;應(yīng)用控制評估,包括業(yè)務(wù)操作、權(quán)限管理、職責(zé)分離、業(yè)務(wù)流程、備份等。
2.3 分析報告階段。分析報告階段的主要工作是整理現(xiàn)場評估獲得的數(shù)據(jù)、資料,進(jìn)行綜合分析以及生成最終評估報告。
綜合分析根據(jù)收集到的各種信息,整理出系統(tǒng) / 資產(chǎn)脆弱性,并對脆弱性進(jìn)行威脅分析,包括分析威脅發(fā)生的可能性、產(chǎn)生的后果,判定風(fēng)險級別,以及制定風(fēng)險處理計劃。綜合分析對分析人員的能力要求較高。主導(dǎo)綜合分析和報告生成的人員必須參與過信息系統(tǒng)風(fēng)險評估的各階段,對被評估系統(tǒng)有基本的了解,熟悉風(fēng)險評估的方法、手段、過程,掌握風(fēng)險計算方法,了解風(fēng)險評估基本理論,具備較強(qiáng)的文字功底。
最終編寫的風(fēng)險評估報告是風(fēng)險評估重要的結(jié)果文件,是企業(yè)實施風(fēng)險管理的主要依據(jù),是對風(fēng)險評估活動進(jìn)行評審和認(rèn)可的基礎(chǔ)資料。風(fēng)險評估報告通常應(yīng)包括以下內(nèi)容:
(1)概述。簡要描述被評估系統(tǒng)的基本情況,包括功能用途、系統(tǒng)體系結(jié)構(gòu)以及風(fēng)險評估所使用的評估方法、評估過程等。
(2)評估綜述。對被評估系統(tǒng)及其支撐平臺已經(jīng)實施的安全措施、評估發(fā)現(xiàn)的風(fēng)險進(jìn)行綜合評價。
(3)評估詳述。概要描述評估過程所發(fā)現(xiàn)的被評估系統(tǒng)存在的風(fēng)險、以及不同級別的風(fēng)險數(shù)量和比例;針對被評估系統(tǒng)及其支撐平臺的每一個風(fēng)險點,進(jìn)行威脅分析、現(xiàn)有或計劃實施的安全措施分析、風(fēng)險評價等。
(4)整改建議。綜合以上分析,說明被評估系統(tǒng)及其支撐平臺需要采取的安全整改措施。
(5)附件。說明風(fēng)險評估過程中主要訪談的人員和審閱的文檔、脆弱性-風(fēng)險對應(yīng)表、控制措施-風(fēng)險對應(yīng)表等。
三、風(fēng)險控制措施
風(fēng)險評估的目的在于控制和規(guī)避風(fēng)險。風(fēng)險控制報告包括安全管理策略和風(fēng)險控制措施,要依據(jù)通過審批的風(fēng)險控制報告,落實控制措施。
控制信息安全風(fēng)險的重要措施是實施信息系統(tǒng)安全等級保護(hù),而等級保護(hù)的基本前提是信息系統(tǒng)等級的劃分。企業(yè)要根據(jù)公安部等四部委聯(lián)合發(fā)布的《關(guān)于信息安全等級保護(hù)工作的實施意見》,結(jié)合企業(yè)實際情況和國內(nèi)相關(guān)領(lǐng)域?qū)<业慕ㄗh,確定信息系統(tǒng)安全保護(hù)等級,實施相應(yīng)的等級保護(hù),有效控制信息安全風(fēng)險,支撐企業(yè)業(yè)務(wù)的連續(xù)運行。
四、風(fēng)險控制實施的監(jiān)督與跟蹤
風(fēng)險評估通常還包括一個至關(guān)重要的跟蹤過程,即對執(zhí)行與落實整改建議的情況進(jìn)行監(jiān)督與跟蹤,必要時再次進(jìn)行評估。
要充分利用風(fēng)險評估管理信息系統(tǒng)作為基礎(chǔ)性必備工具,實現(xiàn)對資產(chǎn)信息、安全威脅信息、脆弱性信息、評估結(jié)果的統(tǒng)一管理,以提升評估結(jié)果的可用性。
監(jiān)督與跟蹤主要工作包括建立監(jiān)督與跟蹤機(jī)制、制定跟蹤計劃、執(zhí)行主動監(jiān)督與報告等三個步驟:
(1)企業(yè)各級信息管理部門指定專門人員,建立監(jiān)督與跟蹤機(jī)制以跟蹤安全整改建議的實施和效果。
(2)對關(guān)鍵的、意義重大而且至關(guān)緊要的安全整改措施,制定并實施跟蹤計劃,包括實施計劃、預(yù)計實施時間、事項清單、驗收方法與過程等。
(3)實施單位主動監(jiān)督并報告整改實施的進(jìn)度與狀態(tài),并對所有要求的整改采取跟蹤行動,直到實施完成。執(zhí)行監(jiān)督與跟蹤可以包括一個再評估過程,也可以采用風(fēng)險評估管理信息系統(tǒng)來評估結(jié)果。
【公司信息系統(tǒng)安全風(fēng)險評估與管控的論文】相關(guān)文章:
信息安全風(fēng)險評估探究的論文10-09
信息系統(tǒng)安全風(fēng)險評估報告(通用15篇)12-30
信息系統(tǒng)安全風(fēng)險評估報告范文(精選5篇)11-21
關(guān)于信息安全風(fēng)險評估項目管理的論文10-09
系統(tǒng)安全風(fēng)險評估報告范文(精選5篇)11-18
住建系統(tǒng)安全風(fēng)險評估報告(精選13篇)03-22
住建系統(tǒng)安全風(fēng)險評估報告范文(通用11篇)11-21
醫(yī)院成本管控分析論文10-09