時(shí)間:2022-05-20 11:23:22
開(kāi)篇:寫(xiě)作不僅是一種記錄,更是一種創(chuàng)造,它讓我們能夠捕捉那些稍縱即逝的靈感,將它們永久地定格在紙上。下面是小編精心整理的12篇信息安全風(fēng)險(xiǎn)評(píng)估,希望這些內(nèi)容能成為您創(chuàng)作過(guò)程中的良師益友,陪伴您不斷探索和進(jìn)步。
我國(guó)的信息安全標(biāo)準(zhǔn)化制定工作比歐美國(guó)家起步晚。全國(guó)信息化標(biāo)準(zhǔn)制定委員會(huì)及其下屬的信息安全技術(shù)委員會(huì)開(kāi)展了我國(guó)信息安全標(biāo)準(zhǔn)方面工作,完成了許多安全技術(shù)標(biāo)準(zhǔn)的制定,如GB/T18336、GB17859等。在信息系統(tǒng)的安全管理方面,我國(guó)目前在BS7799和ISO17799及CC標(biāo)準(zhǔn)基礎(chǔ)上完成了相關(guān)的標(biāo)準(zhǔn)修訂,我國(guó)信息安全標(biāo)準(zhǔn)體系的框架也正在逐步形成之中[1]。隨著信息系統(tǒng)安全問(wèn)題所產(chǎn)生的損失、危害不斷加劇,信息系統(tǒng)的安全問(wèn)題越來(lái)越受到人們的普遍關(guān)注,如今國(guó)內(nèi)高校已經(jīng)加強(qiáng)關(guān)于信息安全管理方面的研究與實(shí)踐。
2高校信息安全風(fēng)險(xiǎn)評(píng)估模型
2.1信息安全風(fēng)險(xiǎn)評(píng)估流程
[2]在實(shí)施信息安全風(fēng)險(xiǎn)評(píng)估時(shí),河南牧業(yè)經(jīng)濟(jì)學(xué)院成立了信息安全風(fēng)險(xiǎn)評(píng)估小組,由主抓信息安全的副校長(zhǎng)擔(dān)任組長(zhǎng),各個(gè)相關(guān)單位和部門(mén)的代表為成員,各自負(fù)責(zé)與本系部相關(guān)的風(fēng)險(xiǎn)評(píng)估事務(wù)。評(píng)估小組及相關(guān)人員在風(fēng)險(xiǎn)評(píng)估前接受培訓(xùn),熟悉運(yùn)作的流程、理解信息安全管理基本知識(shí),掌握風(fēng)險(xiǎn)評(píng)估的方法和技巧。學(xué)院的風(fēng)險(xiǎn)評(píng)估活動(dòng)包括以下6方面:建立風(fēng)險(xiǎn)評(píng)估準(zhǔn)則。建立評(píng)估小組,前期調(diào)研了解安全需求,確定適用的表格和調(diào)查問(wèn)卷等,制定項(xiàng)目計(jì)劃,組織人員培訓(xùn),依據(jù)國(guó)家標(biāo)準(zhǔn)確定各項(xiàng)安全評(píng)估指標(biāo),建立風(fēng)險(xiǎn)評(píng)估準(zhǔn)則。資產(chǎn)識(shí)別。學(xué)院一卡通管理系統(tǒng)、教務(wù)管理系統(tǒng)等關(guān)鍵信息資產(chǎn)的標(biāo)識(shí)。威脅識(shí)別。識(shí)別網(wǎng)絡(luò)入侵、網(wǎng)絡(luò)病毒、人為錯(cuò)誤等各種信息威脅,衡量威脅的可發(fā)性與來(lái)源。脆弱性識(shí)別。識(shí)別各類(lèi)信息資產(chǎn)、各控制流程與管理中的弱點(diǎn)。風(fēng)險(xiǎn)識(shí)別。進(jìn)行風(fēng)險(xiǎn)場(chǎng)景描述,依據(jù)國(guó)家標(biāo)準(zhǔn)劃分風(fēng)險(xiǎn)等級(jí)評(píng)價(jià)風(fēng)險(xiǎn),編寫(xiě)河南牧業(yè)經(jīng)濟(jì)學(xué)院信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告。風(fēng)險(xiǎn)控制。推薦、評(píng)估并確定控制目標(biāo)和控制,編制風(fēng)險(xiǎn)處理計(jì)劃。學(xué)院信息安全風(fēng)險(xiǎn)評(píng)估流程圖如圖1所示:
2.2基于PDCA循環(huán)的信息安全風(fēng)險(xiǎn)評(píng)估模型
PDCA(策劃—實(shí)施—檢查—措施)經(jīng)常被稱(chēng)為“休哈特環(huán)”或者“戴明環(huán)”,是由休哈特(WalterShewhart)在19世紀(jì)30年代構(gòu)想,隨后被戴明(EdwardsDeming)采納和宣傳。此概念的提出是為了有效控制管理過(guò)程和工作質(zhì)量。隨著管理理念的深入,該循環(huán)在各類(lèi)管理領(lǐng)域得到廣泛使用,取得良好效果。PDCA循環(huán)將一個(gè)過(guò)程定義為策劃、實(shí)施、檢查、措施四個(gè)階段,每個(gè)階段都有階段任務(wù)和目標(biāo),如圖2所示,四個(gè)階段為一個(gè)循環(huán),一個(gè)持續(xù)的循環(huán)使過(guò)程的目標(biāo)業(yè)績(jī)持續(xù)改進(jìn),如圖3所示。
3基于PDCA循環(huán)模型的信息安全風(fēng)險(xiǎn)評(píng)估的實(shí)現(xiàn)
[3-5]河南牧業(yè)經(jīng)濟(jì)學(xué)院信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的研究經(jīng)驗(yàn)積累不足,本著邊實(shí)踐邊改進(jìn),逐步優(yōu)化的原則,學(xué)院決定采用基于PDCA循環(huán)的信息安全評(píng)估模型。信息安全風(fēng)險(xiǎn)評(píng)估模型為信息安全風(fēng)險(xiǎn)評(píng)估奠定了理論依據(jù),是有效進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估的前提。學(xué)院擁有3個(gè)校區(qū),正在逐步推進(jìn)數(shù)字化校園的建設(shè)。校園網(wǎng)一卡通、教務(wù)、資產(chǎn)、檔案等管理系統(tǒng)是學(xué)院網(wǎng)絡(luò)核心業(yè)務(wù)系統(tǒng),同時(shí)各院系有自己的各類(lèi)教學(xué)系統(tǒng)平臺(tái),由于網(wǎng)絡(luò)環(huán)境的復(fù)雜性,經(jīng)常會(huì)監(jiān)控到信息系統(tǒng)受到內(nèi)外部的網(wǎng)絡(luò)攻擊,信息安全防范問(wèn)題已經(jīng)很突出。信息安全風(fēng)險(xiǎn)評(píng)估小組依據(jù)自行研發(fā)的管理系統(tǒng)對(duì)學(xué)院各類(lèi)信息系統(tǒng)進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估(圖4),以便下一步對(duì)存在的風(fēng)險(xiǎn)進(jìn)行有效的管理,根據(jù)信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估報(bào)告,提出相應(yīng)的系統(tǒng)安全方案建議,對(duì)全院信息系統(tǒng)當(dāng)前突出的安全問(wèn)題進(jìn)行實(shí)際解決。
3.1建立信息安全管理體系環(huán)境風(fēng)險(xiǎn)評(píng)估(P策劃)
風(fēng)險(xiǎn)規(guī)劃是高校開(kāi)展風(fēng)險(xiǎn)評(píng)估管理活動(dòng)的首要步驟。學(xué)院分析內(nèi)外環(huán)境及管理現(xiàn)狀,制定包括準(zhǔn)確的目標(biāo)定位、具體的應(yīng)對(duì)實(shí)施計(jì)劃、合理的經(jīng)費(fèi)預(yù)算、科學(xué)的技術(shù)手段等風(fēng)險(xiǎn)評(píng)估管理規(guī)劃。風(fēng)險(xiǎn)規(guī)劃內(nèi)容包括確定范圍和方針、定義風(fēng)險(xiǎn)評(píng)估的系統(tǒng)性方法、識(shí)別風(fēng)險(xiǎn)、評(píng)估風(fēng)險(xiǎn)、識(shí)別并評(píng)價(jià)風(fēng)險(xiǎn)處理的方法。信息安全評(píng)估風(fēng)險(xiǎn)評(píng)估管理工作獲得院領(lǐng)導(dǎo)批準(zhǔn),評(píng)估小組開(kāi)始實(shí)施和運(yùn)作信息安全管理體系。
3.2實(shí)施并運(yùn)行信息安全管理體系(D實(shí)施)
該階段的任務(wù)是管理運(yùn)作適當(dāng)?shù)膬?yōu)先權(quán),執(zhí)行選擇控制,以管理識(shí)別的信息安全風(fēng)險(xiǎn)。學(xué)院通過(guò)自行研發(fā)的信息安全風(fēng)險(xiǎn)管理工具,將常見(jiàn)的風(fēng)險(xiǎn)評(píng)估方法集成到軟件之中,包括有信息資產(chǎn)和應(yīng)用系統(tǒng)識(shí)別、風(fēng)險(xiǎn)識(shí)別與評(píng)估、風(fēng)險(xiǎn)處置措施及監(jiān)測(cè)、風(fēng)險(xiǎn)匯總與報(bào)告生成等功能。通過(guò)使用信息安全風(fēng)險(xiǎn)管理工具,安全風(fēng)險(xiǎn)評(píng)估工作都得到了簡(jiǎn)化,減輕人員的工作量,幫助信息安全管理人員完成復(fù)雜的風(fēng)險(xiǎn)評(píng)估工作,從而提高學(xué)院的信息安全管理水平。
3.3監(jiān)視并評(píng)審信息安全管理體系(C檢查)
檢查階段是尋求改進(jìn)機(jī)會(huì)的階段,是PDCA循環(huán)的關(guān)鍵階段。信息安全管理體系分析運(yùn)行效果,檢查到不合理、不充分的控制措施,采取不同的糾正措施。學(xué)院在系統(tǒng)實(shí)施過(guò)程中,規(guī)劃各院系的信息安全風(fēng)險(xiǎn)評(píng)估由本系專(zhuān)門(mén)人員上傳數(shù)據(jù),但在具體項(xiàng)目實(shí)施中,發(fā)現(xiàn)上傳的數(shù)據(jù)隨意甚至杜撰,嚴(yán)重影響學(xué)院整體信息系統(tǒng)安全評(píng)估的可靠性,為了強(qiáng)化人員責(zé)任意識(shí),除了加強(qiáng)風(fēng)險(xiǎn)評(píng)估的培訓(xùn)外,還制定相應(yīng)的懲罰獎(jiǎng)勵(lì)制度,實(shí)時(shí)進(jìn)行監(jiān)督檢查,盡最大可能保證風(fēng)險(xiǎn)評(píng)估數(shù)據(jù)的準(zhǔn)確性[6]。
3.4改進(jìn)信息安全管理體系(A措施)
經(jīng)過(guò)以上3個(gè)步驟之后,評(píng)估小組報(bào)告該階段所策劃的方案,確定該循環(huán)給管理體系是否帶來(lái)明顯的效果,是繼續(xù)執(zhí)行,還是升級(jí)改進(jìn)、放棄重新進(jìn)行新的策劃。學(xué)院在項(xiàng)目具體實(shí)施后,信息安全狀況有了明顯的改善,信息管理人員安全責(zé)任意識(shí)明顯提升,遭受到的內(nèi)外網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)病毒等風(fēng)險(xiǎn)因素能及時(shí)發(fā)現(xiàn)處理。評(píng)估小組考慮將成果具體擴(kuò)大到學(xué)院其他的部門(mén)或領(lǐng)域,開(kāi)始了新一輪的PDCA循環(huán)持續(xù)改進(jìn)信息安全風(fēng)險(xiǎn)評(píng)估。
4結(jié)語(yǔ)
關(guān)鍵詞:信息安全;風(fēng)險(xiǎn)評(píng)估;脆弱性;威脅
1. 引言
隨著信息技術(shù)的飛速發(fā)展,關(guān)系國(guó)計(jì)民生的關(guān)鍵信息資源的規(guī)模越來(lái)越大,信息系統(tǒng)的復(fù)雜程度越來(lái)越高,保障信息資源、信息系統(tǒng)的安全是國(guó)民經(jīng)濟(jì)發(fā)展和信息化建設(shè)的需要。信息安全的目標(biāo)主要體現(xiàn)在機(jī)密性、完整性、可用性等方面。風(fēng)險(xiǎn)評(píng)估是安全建設(shè)的出發(fā)點(diǎn),它的重要意義在于改變傳統(tǒng)的以技術(shù)驅(qū)動(dòng)為導(dǎo)向的安全體系結(jié)構(gòu)設(shè)計(jì)及詳細(xì)安全方案的制定,以成本一效益平衡的原則,通過(guò)評(píng)估信息系統(tǒng)面臨的威脅以及脆弱性被威脅源利用后安全事件發(fā)生的可能性,并結(jié)合資產(chǎn)的重要程度來(lái)識(shí)別信息系統(tǒng)的安全風(fēng)險(xiǎn)。信息安全風(fēng)險(xiǎn)評(píng)估就是從風(fēng)險(xiǎn)管理角度,運(yùn)用科學(xué)的分析方法和手段,系統(tǒng)地分析信息化業(yè)務(wù)和信息系統(tǒng)所面臨的人為和自然的威脅及其存在的脆弱性,評(píng)估安全事件一旦發(fā)生可能造成的危害程度,提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施,以防范和化解風(fēng)險(xiǎn),或者將殘余風(fēng)險(xiǎn)控制在可接受的水平,從而最大限度地保障網(wǎng)絡(luò)與信息安全。
2.網(wǎng)絡(luò)信息安全的內(nèi)容和主要因素分析
“網(wǎng)絡(luò)信息的安全”從狹義的字面上來(lái)講就是網(wǎng)絡(luò)上各種信息的安全,而從廣義的角度考慮,還包括整個(gè)網(wǎng)絡(luò)系統(tǒng)的硬件、軟件、數(shù)據(jù)以及數(shù)據(jù)處理、存儲(chǔ)、傳輸?shù)仁褂眠^(guò)程的安全。
網(wǎng)絡(luò)信息安全具有如下6個(gè)特征:(1) 保密性。即信息不泄露給非授權(quán)的個(gè)人或?qū)嶓w。(2)完整性。即信息未經(jīng)授權(quán)不能被修改、破壞。(3)可用性。即能保證合法的用戶(hù)正常訪問(wèn)相關(guān)的信息。(4)可控性。即信息的內(nèi)容及傳播過(guò)程能夠被有效地合法控制。(5)可審查性。即信息的使用過(guò)程都有相關(guān)的記錄可供事后查詢(xún)核對(duì)。網(wǎng)絡(luò)信息安全的研究?jī)?nèi)容非常廣泛,根據(jù)不同的分類(lèi)方法可以有多種不同的分類(lèi)。研究?jī)?nèi)容的廣泛性決定了實(shí)現(xiàn)網(wǎng)絡(luò)信息安全問(wèn)題的復(fù)雜性。
而通過(guò)有效的網(wǎng)絡(luò)信息安全風(fēng)險(xiǎn)因素分析,就能夠?yàn)榇藦?fù)雜問(wèn)題的解決找到一個(gè)考慮問(wèn)題的立足點(diǎn),能夠?qū)?fù)雜的問(wèn)題量化,同時(shí),也為能通過(guò)其他方法如人工智能網(wǎng)絡(luò)方法解決問(wèn)題提供依據(jù)和基礎(chǔ)。
網(wǎng)絡(luò)信息安全的風(fēng)險(xiǎn)因素主要有以下6大類(lèi):(1)自然界因素,如地震、火災(zāi)、風(fēng)災(zāi)、水災(zāi)、雷電等;(2)社會(huì)因素,主要是人類(lèi)社會(huì)的各種活動(dòng),如暴力、戰(zhàn)爭(zhēng)、盜竊等;(3)網(wǎng)絡(luò)硬件的因素,如機(jī)房包括交換機(jī)、路由器、服務(wù)器等受電力、溫度、濕度、灰塵、電磁干擾等影響;(4)軟件的因素,包括機(jī)房設(shè)備的管理軟件、機(jī)房服務(wù)器與用戶(hù)計(jì)算機(jī)的操作系統(tǒng)、各種服務(wù)器的數(shù)據(jù)庫(kù)配置的合理性以及其他各種應(yīng)用軟件如殺毒軟件、防火墻、工具軟件等;(5)人為的因素,主要包括網(wǎng)絡(luò)信息使用者和參與者的各種行為帶來(lái)的影響因素,如操作失誤、數(shù)據(jù)泄露、惡意代碼、拒絕服務(wù)、騙取口令、木馬攻擊等;(6)其他因素,包括政府職能部門(mén)的監(jiān)管因素、有關(guān)部門(mén)對(duì)相關(guān)法律法規(guī)立法因素、教育部門(mén)對(duì)相關(guān)知識(shí)的培訓(xùn)因素、宣傳部門(mén)對(duì)相關(guān)安全內(nèi)容的宣傳因素等。這些因素對(duì)于網(wǎng)絡(luò)信息安全均會(huì)產(chǎn)生直接或者間接的影響。
3.安全風(fēng)險(xiǎn)評(píng)估方法
3.1 定制個(gè)性化的評(píng)估方法
雖然已經(jīng)有許多標(biāo)準(zhǔn)評(píng)估方法和流程,但在實(shí)踐過(guò)程中,不應(yīng)只是這些方法的套用和拷貝,而是以他們作為參考,根據(jù)企業(yè)的特點(diǎn)及安全風(fēng)險(xiǎn)評(píng)估的能力,進(jìn)行“基因”重組,定制個(gè)性化的評(píng)估方法,使得評(píng)估服務(wù)具有可裁剪性和靈活性。評(píng)估種類(lèi)一般有整體評(píng)估、IT安全評(píng)估、滲透測(cè)試、邊界評(píng)估、網(wǎng)絡(luò)結(jié)構(gòu)評(píng)估、脆弱性掃描、策略評(píng)估、應(yīng)用風(fēng)險(xiǎn)評(píng)估等。
3.2 安全整體框架的設(shè)計(jì)
風(fēng)險(xiǎn)評(píng)估的目的,不僅在于明確風(fēng)險(xiǎn),更重要的是為管理風(fēng)險(xiǎn)提供基礎(chǔ)和依據(jù)。作為評(píng)估直接輸出,用于進(jìn)行風(fēng)險(xiǎn)管理的安全整體框架。但是由于不同企業(yè)環(huán)境差異、需求差異,加上在操作層面可參考的模板很少,使得整體框架應(yīng)用較少。但是,企業(yè)至少應(yīng)該完成近期 1~2 年內(nèi)框架,這樣才能做到有律可依。
3.3 多用戶(hù)決策評(píng)估
不同層面的用戶(hù)能看到不同的問(wèn)題,要全面了解風(fēng)險(xiǎn),必須進(jìn)行多用戶(hù)溝通評(píng)估。將評(píng)估過(guò)程作為多用戶(hù)“決策”過(guò)程,對(duì)于了解風(fēng)險(xiǎn)、理解風(fēng)險(xiǎn)、管理風(fēng)險(xiǎn)、落實(shí)行動(dòng),具有極大的意義。事實(shí)證明,多用戶(hù)參與的效果非常明顯。多用戶(hù)“決策”評(píng)估,也需要一個(gè)具體的流程和方法。
3.4 敏感性分析
由于企業(yè)的系統(tǒng)越發(fā)復(fù)雜且互相關(guān)聯(lián),使得風(fēng)險(xiǎn)越來(lái)越隱蔽。要提高評(píng)估效果,必須進(jìn)行深入關(guān)聯(lián)分析,比如對(duì)一個(gè)老漏洞,不是簡(jiǎn)單地分析它的影響和解決措施,而是要推斷出可能相關(guān)的其他技術(shù)和管理漏洞,找出病“根”,開(kāi)出有效的“處方”。這需要強(qiáng)大的評(píng)估經(jīng)驗(yàn)知識(shí)庫(kù)支撐,同時(shí)要求評(píng)估者具有敏銳的分析能力。
3.5 集中化決策管理
安全風(fēng)險(xiǎn)評(píng)估需要具有多種知識(shí)和能力的人參與,對(duì)這些能力和知識(shí)的管理,有助于提高評(píng)估的效果。集中化決策管理,是評(píng)估項(xiàng)目成功的保障條件之一,它不僅是項(xiàng)目管理問(wèn)題,而且是知識(shí)、能力等“基因”的組合運(yùn)用。必須選用具有特殊技能的人,去執(zhí)行相應(yīng)的關(guān)鍵任務(wù)。如控制臺(tái)審計(jì)和滲透性測(cè)試,由不具備攻防經(jīng)驗(yàn)和知識(shí)的人執(zhí)行,就達(dá)不到任何效果。
3.6 評(píng)估結(jié)果管理
安全風(fēng)險(xiǎn)評(píng)估的輸出,不應(yīng)是文檔的堆砌,而是一套能夠進(jìn)行記錄、管理的系統(tǒng)。它可能不是一個(gè)完整的風(fēng)險(xiǎn)管理系統(tǒng),但至少是一個(gè)非常重要的可管理的風(fēng)險(xiǎn)表述系統(tǒng)。企業(yè)需要這樣的評(píng)估管理系統(tǒng),使用它來(lái)指導(dǎo)評(píng)估過(guò)程,管理評(píng)估結(jié)果,以便在管理層面提高評(píng)估效果。
4.風(fēng)險(xiǎn)評(píng)估的過(guò)程
4.1 前期準(zhǔn)備階段
主要任務(wù)是明確評(píng)估目標(biāo),確定評(píng)估所涉及的業(yè)務(wù)范圍,簽署相關(guān)合同及協(xié)議,接收被評(píng)估對(duì)象已存在的相關(guān)資料。展開(kāi)對(duì)被評(píng)估對(duì)象的調(diào)查研究工作。
4.2 中期現(xiàn)場(chǎng)階段
編寫(xiě)測(cè)評(píng)方案,準(zhǔn)備現(xiàn)場(chǎng)測(cè)試表、管理問(wèn)卷,展開(kāi)現(xiàn)場(chǎng)階段的測(cè)試和調(diào)查研究階段。
4.3 后期評(píng)估階段
撰寫(xiě)系統(tǒng)測(cè)試報(bào)告。進(jìn)行補(bǔ)充調(diào)查研究,評(píng)估組依據(jù)系統(tǒng)測(cè)試報(bào)告和補(bǔ)充調(diào)研結(jié)果形成最終的系統(tǒng)風(fēng)險(xiǎn)評(píng)估報(bào)告。
5.風(fēng)險(xiǎn)評(píng)估的錯(cuò)誤理解
(1) 不能把最終的系統(tǒng)風(fēng)險(xiǎn)評(píng)估報(bào)告認(rèn)為是結(jié)果唯一。
(2)不能認(rèn)為風(fēng)險(xiǎn)評(píng)估可以發(fā)現(xiàn)所有的安全問(wèn)題。
(3) 不能認(rèn)為風(fēng)險(xiǎn)評(píng)估可以一勞永逸的解決安全問(wèn)題。
(4)不能認(rèn)為風(fēng)險(xiǎn)評(píng)估就是漏洞掃描。
(5)不能認(rèn)為風(fēng)險(xiǎn)評(píng)估就是 IT部門(mén)的工作,與其它部門(mén)無(wú)關(guān)。
(6) 不能認(rèn)為風(fēng)險(xiǎn)評(píng)估是對(duì)所有信息資產(chǎn)都進(jìn)行評(píng)估。
6.結(jié)語(yǔ)
總之,風(fēng)險(xiǎn)評(píng)估可以明確信息系統(tǒng)的安全狀況和主要安全風(fēng)險(xiǎn)。風(fēng)險(xiǎn)評(píng)估是信息系統(tǒng)安全技術(shù)體系與管理體系建設(shè)的基礎(chǔ)。通過(guò)風(fēng)險(xiǎn)評(píng)估及早發(fā)現(xiàn)安全隱患并采取相應(yīng)的加固方案是信息系統(tǒng)安全工程的重要組成部分,是建立信息系統(tǒng)安全體系的基礎(chǔ)和前提。加強(qiáng)信息安全風(fēng)險(xiǎn)評(píng)估工作是當(dāng)前信息安全工作的客觀需要和緊迫需求,但是,信息安全評(píng)估工作的實(shí)施也存在一定的難題,涉及信息安全評(píng)估的行業(yè)或系統(tǒng)各不相同,并不是所有的評(píng)估方法都適用于任何一個(gè)行業(yè),要選擇合適的評(píng)估方法,或開(kāi)發(fā)適合于某一特定行業(yè)或系統(tǒng)的特定評(píng)估方法,是當(dāng)前很現(xiàn)實(shí)的問(wèn)題,也會(huì)成為下一步研究的重點(diǎn)。
參考文獻(xiàn):
[1] 剛 , 吳昌倫. 信息安全風(fēng)險(xiǎn)評(píng)估的策劃[J]. 信息技術(shù)與標(biāo)準(zhǔn)化 , 2004,(09)
[2] 賈穎禾. 信息安全風(fēng)險(xiǎn)評(píng)估[J]. 中國(guó)計(jì)算機(jī)用戶(hù) , 2004,(24)
[3] 楊潔. 層次化的企業(yè)信息系統(tǒng)風(fēng)險(xiǎn)分析方法研究[J]. 軟件導(dǎo)刊 , 2007,(03)
[4] 楊晨. 建立健全信息安全風(fēng)險(xiǎn)評(píng)估工作機(jī)制勢(shì)在必行——信息安全專(zhuān)家趙戰(zhàn)生訪談[J]. 當(dāng)代通信 , 2004,(22)
關(guān)鍵詞:網(wǎng)絡(luò)審計(jì) 歷史財(cái)務(wù)報(bào)表審計(jì) 信息安全管理 風(fēng)險(xiǎn)評(píng)估
一、引言
從審計(jì)的角度,風(fēng)險(xiǎn)評(píng)估是現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)的核心理念。無(wú)論是在歷史財(cái)務(wù)報(bào)表審計(jì)還是在網(wǎng)絡(luò)審計(jì)中,現(xiàn)代風(fēng)險(xiǎn)導(dǎo)向?qū)徲?jì)均要求審計(jì)師在執(zhí)行審計(jì)工作過(guò)程中應(yīng)以風(fēng)險(xiǎn)評(píng)估為中心,通過(guò)對(duì)被審計(jì)單位及其環(huán)境的了解,評(píng)估確定被審計(jì)單位的高風(fēng)險(xiǎn)領(lǐng)域,從而確定審計(jì)的范圍和重點(diǎn),進(jìn)一步?jīng)Q定如何收集、收集多少和收集何種性質(zhì)的證據(jù),以便更有效地控制和提高審計(jì)效果及審計(jì)效率。從企業(yè)管理的角度,企業(yè)風(fēng)險(xiǎn)管理將風(fēng)險(xiǎn)評(píng)估作為其基本的要素之一進(jìn)行規(guī)范,要求企業(yè)在識(shí)別和評(píng)估風(fēng)險(xiǎn)可能對(duì)企業(yè)產(chǎn)生影響的基礎(chǔ)上,采取積極的措施來(lái)控制風(fēng)險(xiǎn),降低風(fēng)險(xiǎn)為企業(yè)帶來(lái)?yè)p失的概率或縮小損失程度來(lái)達(dá)到控制目的。信息安全風(fēng)險(xiǎn)評(píng)估作為企業(yè)風(fēng)險(xiǎn)管理的一部分,是企業(yè)信息安全管理的基礎(chǔ)和關(guān)鍵環(huán)節(jié)。盡管如此,風(fēng)險(xiǎn)評(píng)估在網(wǎng)絡(luò)審計(jì)、歷史財(cái)務(wù)報(bào)表審計(jì)和企業(yè)信息安全管理等工作中的運(yùn)用卻不盡相同,本文在分析計(jì)算機(jī)信息系統(tǒng)環(huán)境下所有特定風(fēng)險(xiǎn)和網(wǎng)絡(luò)審計(jì)風(fēng)險(xiǎn)基本要素的基礎(chǔ)上,從風(fēng)險(xiǎn)評(píng)估中應(yīng)關(guān)注的風(fēng)險(xiǎn)范圍、風(fēng)險(xiǎn)評(píng)估的目的、內(nèi)容、程序及實(shí)施流程等內(nèi)容展開(kāi),將網(wǎng)絡(luò)審計(jì)與歷史財(cái)務(wù)報(bào)表審計(jì)和信息安全管理的風(fēng)險(xiǎn)評(píng)估進(jìn)行對(duì)比分析,以期深化對(duì)網(wǎng)絡(luò)審計(jì)風(fēng)險(xiǎn)評(píng)估的理解。
二、網(wǎng)絡(luò)審計(jì)與歷史財(cái)務(wù)報(bào)表審計(jì)的風(fēng)險(xiǎn)評(píng)估比較
(一)審計(jì)風(fēng)險(xiǎn)要素根據(jù)美國(guó)注冊(cè)會(huì)計(jì)師協(xié)會(huì)的第47號(hào)審計(jì)標(biāo)準(zhǔn)說(shuō)明中的審計(jì)風(fēng)險(xiǎn)模型,審計(jì)風(fēng)險(xiǎn)又由固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)和檢查風(fēng)險(xiǎn)構(gòu)成。其中,固有風(fēng)險(xiǎn)是指不考慮被審計(jì)單位相關(guān)的內(nèi)部控制政策或程序的情況下,其財(cái)務(wù)報(bào)表某項(xiàng)認(rèn)定產(chǎn)生重大錯(cuò)報(bào)的可能性;控制風(fēng)險(xiǎn)是被審計(jì)單位內(nèi)部控制未能及時(shí)防止或發(fā)現(xiàn)財(cái)務(wù)報(bào)表上某項(xiàng)錯(cuò)報(bào)或漏報(bào)的可能性;檢查風(fēng)險(xiǎn)是審計(jì)人員通過(guò)預(yù)定的審計(jì)程序未能發(fā)現(xiàn)被審計(jì)單位財(cái)務(wù)報(bào)表上存在重大錯(cuò)報(bào)或漏報(bào)的可能性。在網(wǎng)絡(luò)審計(jì)中,審計(jì)風(fēng)險(xiǎn)仍然包括固有風(fēng)險(xiǎn)、控制風(fēng)險(xiǎn)和檢查風(fēng)險(xiǎn)要素,但其具體內(nèi)容直接受計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境下信息系統(tǒng)特定風(fēng)險(xiǎn)的影響。計(jì)算機(jī)及網(wǎng)絡(luò)技術(shù)的應(yīng)用能提高企業(yè)經(jīng)營(yíng)活動(dòng)的效率,為企業(yè)的經(jīng)營(yíng)管理帶來(lái)很大的優(yōu)越性,但同時(shí)也為企業(yè)帶來(lái)了一些新的風(fēng)險(xiǎn)。這些新的風(fēng)險(xiǎn)主要表現(xiàn)為:(1)數(shù)據(jù)與職責(zé)過(guò)于集中化。由于手工系統(tǒng)中的職責(zé)分工、互相牽制等控制措施都被歸并到計(jì)算機(jī)系統(tǒng)自動(dòng)處理過(guò)程中去了,這些集中的數(shù)據(jù)庫(kù)技術(shù)無(wú)疑會(huì)增加數(shù)據(jù)縱和破壞的風(fēng)險(xiǎn)。(2)系統(tǒng)程序易于被非法調(diào)用甚至遭到篡改。由于計(jì)算機(jī)系統(tǒng)有較高的技術(shù)要求,非專(zhuān)業(yè)人員難以察覺(jué)計(jì)算機(jī)舞弊的線索,這加大了數(shù)據(jù)被非法使用的可能性。如經(jīng)過(guò)批準(zhǔn)的系統(tǒng)使用人員濫用系統(tǒng),或者說(shuō),企業(yè)對(duì)接近信息缺乏控制使得重要的數(shù)據(jù)或程序被盜竊等。(3)錯(cuò)誤程序的風(fēng)險(xiǎn),例如程序中的差錯(cuò)反復(fù)和差錯(cuò)級(jí)聯(lián)、數(shù)據(jù)處理不合邏輯、甚至是程序本身存在錯(cuò)誤等。(4)信息系統(tǒng)缺乏應(yīng)用的審計(jì)接口,使得審計(jì)人員在審計(jì)工作中難以有效地采集或獲取企業(yè)信息系統(tǒng)中的數(shù)據(jù),從而無(wú)法正常開(kāi)展審計(jì)工作。(5)網(wǎng)絡(luò)系統(tǒng)在技術(shù)和商業(yè)上的風(fēng)險(xiǎn),如計(jì)算機(jī)信息系統(tǒng)所依賴(lài)的硬件設(shè)備可能出現(xiàn)一些不可預(yù)料的故障,或者信息系統(tǒng)所依賴(lài)的物理工作環(huán)境可能對(duì)整個(gè)信息系統(tǒng)的運(yùn)行效能帶來(lái)影響等。相對(duì)應(yīng)地,網(wǎng)絡(luò)審計(jì)的固有風(fēng)險(xiǎn)主要是指系統(tǒng)環(huán)境風(fēng)險(xiǎn),即財(cái)務(wù)電算化系統(tǒng)本身所處的環(huán)境引起的風(fēng)險(xiǎn),它可分為硬件環(huán)境風(fēng)險(xiǎn)和軟件環(huán)境風(fēng)險(xiǎn)。控制風(fēng)險(xiǎn)包括系統(tǒng)控制風(fēng)險(xiǎn)和財(cái)務(wù)數(shù)據(jù)風(fēng)險(xiǎn),其中,系統(tǒng)控制風(fēng)險(xiǎn)是指會(huì)計(jì)電算化系統(tǒng)的內(nèi)部控制不嚴(yán)密造成的風(fēng)險(xiǎn),財(cái)務(wù)數(shù)據(jù)風(fēng)險(xiǎn)是指電磁性財(cái)務(wù)數(shù)據(jù)被篡改的可能性。檢查風(fēng)險(xiǎn)包括審計(jì)軟件風(fēng)險(xiǎn)和人員操作風(fēng)險(xiǎn),審計(jì)軟件風(fēng)險(xiǎn)是指計(jì)算機(jī)審計(jì)軟件本身缺陷原因造成的風(fēng)險(xiǎn),人員操作風(fēng)險(xiǎn)是指計(jì)算機(jī)審計(jì)系統(tǒng)的操作人員、技術(shù)人員和開(kāi)發(fā)人員等在工作中由于主觀或客觀原因造成的風(fēng)險(xiǎn)。
(二)風(fēng)險(xiǎn)評(píng)估目的無(wú)論在網(wǎng)絡(luò)審計(jì)還是歷史財(cái)務(wù)報(bào)表審計(jì)中,風(fēng)險(xiǎn)評(píng)估只是審計(jì)的一項(xiàng)重要程序,貫穿于審計(jì)的整個(gè)過(guò)程。與其他審計(jì)程序緊密聯(lián)系而不是一項(xiàng)獨(dú)立的活動(dòng)。盡管如此,兩者所關(guān)注的風(fēng)險(xiǎn)范圍則有所不同。歷史財(cái)務(wù)報(bào)表審計(jì)的風(fēng)險(xiǎn)評(píng)估要求審計(jì)人員主要關(guān)注的是被審計(jì)單位的重大錯(cuò)報(bào)風(fēng)險(xiǎn)――財(cái)務(wù)報(bào)表在審計(jì)前存在重大錯(cuò)報(bào)的可能性。由于網(wǎng)絡(luò)審計(jì)的審計(jì)對(duì)象包括被審計(jì)單位基于網(wǎng)絡(luò)的財(cái)務(wù)信息和網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)兩類(lèi),因此審計(jì)人員關(guān)注的風(fēng)險(xiǎn)應(yīng)是被審計(jì)單位經(jīng)營(yíng)過(guò)程中與該兩類(lèi)審計(jì)對(duì)象相關(guān)的風(fēng)險(xiǎn)。(1)對(duì)于與企業(yè)網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)相關(guān)的風(fēng)險(xiǎn),審計(jì)人員應(yīng)該從信息系統(tǒng)生命周期的各個(gè)階段和信息系統(tǒng)的各組成部分及運(yùn)行環(huán)境兩方面出發(fā)進(jìn)行評(píng)估。信息系統(tǒng)生命周期是指該信息系統(tǒng)從產(chǎn)生到完成乃至進(jìn)入維護(hù)的各個(gè)階段及其活動(dòng),無(wú)論是在早期的線性開(kāi)發(fā)模型中還是在更為復(fù)雜的螺旋式等模型中,一個(gè)信息系統(tǒng)的生命周期大都包括規(guī)劃和啟動(dòng)、設(shè)計(jì)開(kāi)發(fā)或采購(gòu)、集成實(shí)現(xiàn)、運(yùn)行和維護(hù)、廢棄等五個(gè)基本階段。由于信息系統(tǒng)在不同階段的活動(dòng)內(nèi)容不同,企業(yè)在不同階段的控制目標(biāo)和控制行為也會(huì)有所不同,因此,審計(jì)人員的風(fēng)險(xiǎn)評(píng)估應(yīng)該貫穿于信息系統(tǒng)的整個(gè)生命周期。信息系統(tǒng)的組成部分是指構(gòu)成該信息系統(tǒng)的硬件、軟件及數(shù)據(jù)等,信息系統(tǒng)的運(yùn)行環(huán)境是指信息系統(tǒng)正常運(yùn)行使用所依托的物理和管理平臺(tái)。具體可將其分為五個(gè)層面:物理層,即信息系統(tǒng)運(yùn)行所必備的機(jī)房、設(shè)備、辦公場(chǎng)所、系統(tǒng)線路及相關(guān)環(huán)境;網(wǎng)絡(luò)層,即信息系統(tǒng)所需的網(wǎng)絡(luò)架構(gòu)的安全情況、網(wǎng)絡(luò)設(shè)備的漏洞情況、網(wǎng)絡(luò)設(shè)備配置的缺陷情況等;系統(tǒng)層,即信息系統(tǒng)本身的漏洞情況、配置的缺陷情況;應(yīng)用層,即信息系統(tǒng)所使用的應(yīng)用軟件的漏洞情況、安全功能缺陷情況;管理層,即被審計(jì)單位在該信息系統(tǒng)的運(yùn)行使用過(guò)程中的組織、策略、技術(shù)管理等方面的情況。(2)對(duì)于與企業(yè)基于網(wǎng)絡(luò)的財(cái)務(wù)信息相關(guān)的風(fēng)險(xiǎn),審計(jì)人員應(yīng)著重關(guān)注財(cái)務(wù)信息的重大錯(cuò)報(bào)風(fēng)險(xiǎn)和信息的安全風(fēng)險(xiǎn)。重大錯(cuò)報(bào)風(fēng)險(xiǎn)主要指被審計(jì)單位基于網(wǎng)絡(luò)的相關(guān)財(cái)務(wù)信息存在重大錯(cuò)報(bào)的可能性,它是針對(duì)企業(yè)借助于網(wǎng)絡(luò)信息系統(tǒng)或網(wǎng)絡(luò)技術(shù)對(duì)有關(guān)賬戶(hù)、交易或事項(xiàng)進(jìn)行確認(rèn)、計(jì)量或披露而言。網(wǎng)絡(luò)審計(jì)中關(guān)注的重大錯(cuò)報(bào)風(fēng)險(xiǎn)與傳統(tǒng)審CtT的內(nèi)涵基本上是一致的,審計(jì)人員在審計(jì)時(shí)應(yīng)當(dāng)考慮被審計(jì)單位的行業(yè)狀況、經(jīng)營(yíng)性質(zhì)、法律及監(jiān)管環(huán)境、會(huì)計(jì)政策和會(huì)計(jì)方法的選用、財(cái)務(wù)業(yè)績(jī)的衡量和評(píng)價(jià)等方面的情況對(duì)財(cái)務(wù)信息錯(cuò)報(bào)可能的影響。信息安全風(fēng)險(xiǎn)涉及信息的保密性、完整性、可用性及敏感性等方面可能存在的風(fēng)險(xiǎn),主要針對(duì)企業(yè)利用信息系統(tǒng)或一定的網(wǎng)絡(luò)平臺(tái)來(lái)存儲(chǔ)、傳輸、披露相關(guān)財(cái)務(wù)信息而言。在審計(jì)過(guò)程中,審eta員應(yīng)當(dāng)主要關(guān)注相關(guān)財(cái)務(wù)信息被盜用、非法攻擊或篡改及非法使用的可能性。當(dāng)然,這兩類(lèi)風(fēng)險(xiǎn)并非完全分離的,評(píng)估時(shí)審計(jì)人員應(yīng)將兩者結(jié)合起來(lái)考慮。
(三)風(fēng)險(xiǎn)評(píng)估內(nèi)容 廣泛意義的風(fēng)險(xiǎn)評(píng)估是指考慮潛在事件對(duì)目標(biāo)實(shí)現(xiàn)的影響程度。由于網(wǎng)絡(luò)審計(jì)與歷史財(cái)務(wù)報(bào)表審計(jì)風(fēng)險(xiǎn)評(píng)估的目的并不完全相同,因此兩者在風(fēng)險(xiǎn)評(píng)估的內(nèi)容上也是存在區(qū)別的。總的來(lái)說(shuō),網(wǎng)絡(luò)審計(jì)的風(fēng)險(xiǎn)評(píng)估內(nèi)容比歷史財(cái)務(wù)報(bào)表審計(jì)的風(fēng)險(xiǎn)評(píng)估內(nèi)容更廣泛和深入。根據(jù)《中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第1211號(hào)――了解被審計(jì)單位及其環(huán)境并評(píng)估重大錯(cuò)報(bào)風(fēng)
險(xiǎn)》,在歷史財(cái)務(wù)報(bào)表審計(jì)中,審計(jì)人員的風(fēng)險(xiǎn)評(píng)估應(yīng)以了解被審計(jì)單位及其環(huán)境為內(nèi)容。為識(shí)別和評(píng)價(jià)重大錯(cuò)報(bào)風(fēng)險(xiǎn),審計(jì)人員了解的具體內(nèi)容包括被審計(jì)單位所在行業(yè)狀況、法律環(huán)境與監(jiān)管環(huán)境以及其他外部因素、被審計(jì)單位的性質(zhì)、被審計(jì)單位對(duì)會(huì)計(jì)政策的選擇和運(yùn)用、被審計(jì)單位的目標(biāo)、戰(zhàn)略以及相關(guān)經(jīng)營(yíng)風(fēng)險(xiǎn)、被審計(jì)單位財(cái)務(wù)業(yè)績(jī)的衡量和評(píng)價(jià)及被審it@位的內(nèi)部控制等。在網(wǎng)絡(luò)審計(jì)中。為了識(shí)別和評(píng)估上文所述的兩類(lèi)風(fēng)險(xiǎn),審計(jì)人員除了從以上方面了解被審計(jì)單位及其環(huán)境外,還應(yīng)該關(guān)注其他相關(guān)的潛在事件及其影響,尤其是企業(yè)的財(cái)務(wù)信息系統(tǒng)及基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能面l臨的威脅或存在的脆弱點(diǎn)。其中,威脅是指對(duì)信息系統(tǒng)及財(cái)務(wù)信息構(gòu)成潛在破壞的可能性因素或者事件,它可能是一些如工作人員缺乏責(zé)任心、專(zhuān)業(yè)技能不足或惡意篡改等人為因素,也可能是一些如灰塵、火災(zāi)或通訊線路故障等環(huán)境因素。脆弱點(diǎn)是指信息系統(tǒng)及基于網(wǎng)絡(luò)的財(cái)務(wù)信息所存在的薄弱環(huán)節(jié),它是系統(tǒng)或網(wǎng)絡(luò)財(cái)務(wù)信息本身固有的,包括物理環(huán)境、組織、過(guò)程、人員、管理、配置、硬軟件及信息等各方面的弱點(diǎn)。一般來(lái)說(shuō),脆弱點(diǎn)本身不會(huì)帶來(lái)?yè)p失或信息錯(cuò)報(bào),威脅卻總是要利用網(wǎng)絡(luò)、系統(tǒng)的弱點(diǎn)來(lái)成功地引起破壞。因此,我們認(rèn)為網(wǎng)絡(luò)審計(jì)申風(fēng)險(xiǎn)評(píng)估的內(nèi)容應(yīng)包括以下幾方面:(1)識(shí)別被審計(jì)單位財(cái)務(wù)信息系統(tǒng)及其基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能面臨的威脅,并分析威脅發(fā)生的可能性;(2)識(shí)別被審計(jì)單位財(cái)務(wù)信息系統(tǒng)及其基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能存在的脆弱點(diǎn),并分析脆弱點(diǎn)的嚴(yán)重程度;(3)根據(jù)威脅發(fā)生的可能性和脆弱點(diǎn)發(fā)生的嚴(yán)重程度,判斷風(fēng)險(xiǎn)發(fā)生的可能性;(4)根據(jù)風(fēng)險(xiǎn)發(fā)生的可能性,評(píng)價(jià)風(fēng)險(xiǎn)對(duì)財(cái)務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能帶來(lái)的影響;(5)若被審計(jì)單位存在風(fēng)險(xiǎn)防范或化解措施,審計(jì)人員在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)還應(yīng)該考慮相應(yīng)措施的可行性及有效性。
(四)風(fēng)險(xiǎn)評(píng)估程序《中國(guó)注冊(cè)會(huì)計(jì)師審計(jì)準(zhǔn)則第1211-----了解被審計(jì)單位及其環(huán)境并評(píng)估重大錯(cuò)報(bào)風(fēng)險(xiǎn)》中要求,審計(jì)人員應(yīng)當(dāng)實(shí)施詢(xún)問(wèn)、分析程序、觀察和檢查等程序,以獲取被審計(jì)單位的信息,進(jìn)而評(píng)估被審計(jì)單位的重大錯(cuò)報(bào)風(fēng)險(xiǎn)。這些程序同樣適用于網(wǎng)絡(luò)審計(jì)中的風(fēng)險(xiǎn)評(píng)估。但在具體運(yùn)用時(shí)網(wǎng)絡(luò)審計(jì)中更加注重了解和分析被審計(jì)單位與信息系統(tǒng)及網(wǎng)絡(luò)技術(shù)使用相關(guān)的事項(xiàng)。在實(shí)施詢(xún)問(wèn)程序時(shí),審計(jì)人員的詢(xún)問(wèn)對(duì)象圍繞信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息可大致分為管理人員、系統(tǒng)開(kāi)發(fā)和維護(hù)人員(或信息編制人員)、系統(tǒng)使用人員(或信息的內(nèi)部使用人員)、系統(tǒng)或網(wǎng)絡(luò)技術(shù)顧問(wèn)及其他外部相關(guān)人員(如律師)等五類(lèi),分別從不同角度了解信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息可能存在的威脅和脆弱點(diǎn)。在實(shí)施分析程序時(shí),除了研究財(cái)務(wù)數(shù)據(jù)及與財(cái)務(wù)信息相關(guān)的非財(cái)務(wù)數(shù)據(jù)可能的異常趨勢(shì)外,審計(jì)人員應(yīng)格外關(guān)注對(duì)信息系統(tǒng)及網(wǎng)絡(luò)的特性情況,被審計(jì)單位對(duì)信息系統(tǒng)的使用情況等內(nèi)容的分析比較。實(shí)施觀察和檢查時(shí),除執(zhí)行常規(guī)程序外,審計(jì)人員應(yīng)注意觀察信息系統(tǒng)的操作使用和檢查信息系統(tǒng)文檔。除此之外,針對(duì)特定系統(tǒng)或網(wǎng)絡(luò)技術(shù)風(fēng)險(xiǎn)的評(píng)估,審計(jì)人員還需要實(shí)施一些特定的程序。技術(shù)方面如IOS取樣分析、滲透測(cè)試、工具掃描、安全策略分析等;管理方面如風(fēng)險(xiǎn)問(wèn)卷調(diào)查、風(fēng)險(xiǎn)顧問(wèn)訪談、風(fēng)險(xiǎn)策略分析、文檔審核等。其中,IDS取樣分析是指通過(guò)在核心網(wǎng)絡(luò)采樣監(jiān)聽(tīng)通信數(shù)據(jù)方式,獲取網(wǎng)絡(luò)中存在的攻擊和蠕蟲(chóng)行為,并對(duì)通信流量進(jìn)行分析;滲透測(cè)試是指在獲取用戶(hù)授權(quán)后,通過(guò)真實(shí)模擬黑客使用的工具、方法來(lái)進(jìn)行實(shí)際漏洞發(fā)現(xiàn)和利用的安全測(cè)試方法;工具掃描是指通過(guò)評(píng)估工具軟件或?qū)S冒踩u(píng)估系統(tǒng)自動(dòng)獲取評(píng)估對(duì)象的脆弱性信息,包括主機(jī)掃描、網(wǎng)絡(luò)掃描、數(shù)據(jù)庫(kù)掃描等,用于分析系統(tǒng)、應(yīng)用、網(wǎng)絡(luò)設(shè)備存在的常見(jiàn)漏洞。風(fēng)險(xiǎn)問(wèn)卷調(diào)查與風(fēng)險(xiǎn)顧問(wèn)訪談要求審計(jì)人員分別采用問(wèn)卷和面談的方式向有關(guān)主體了解被審計(jì)單位的風(fēng)險(xiǎn)狀況,使用時(shí)關(guān)鍵是要明確問(wèn)卷或訪談的對(duì)象情況風(fēng)險(xiǎn)策略分析要求審計(jì)人員對(duì)企業(yè)所設(shè)定的風(fēng)險(xiǎn)管理和應(yīng)對(duì)策略的有效性進(jìn)行分析,進(jìn)而評(píng)價(jià)企業(yè)相關(guān)風(fēng)險(xiǎn)發(fā)生的概率以及可能帶來(lái)的損失;文檔審核是一種事前評(píng)價(jià)方法,屬于前置軟件測(cè)試的一部分,主要包括需求文檔測(cè)試和設(shè)計(jì)文檔測(cè)試。這些特定程序主要是針對(duì)被審計(jì)單位信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)方面進(jìn)行評(píng)價(jià),審計(jì)人員在具體使用時(shí)應(yīng)結(jié)合被審計(jì)單位的業(yè)務(wù)性質(zhì)選擇合適的程序。
三、網(wǎng)絡(luò)審計(jì)與信息安全管理的風(fēng)險(xiǎn)評(píng)估比較
(一)風(fēng)險(xiǎn)評(píng)估的目的信息安全管理中的風(fēng)險(xiǎn)評(píng)估(即信息安全風(fēng)險(xiǎn)評(píng)估)是指根據(jù)國(guó)家有關(guān)信息安全技術(shù)標(biāo)準(zhǔn),對(duì)信息系統(tǒng)及由其處理、傳輸和存儲(chǔ)的信息的保密性、完整性和可用性等安全屬性進(jìn)行科學(xué)評(píng)價(jià)的過(guò)程。作為信息安全保障體系建立過(guò)程中的重要的評(píng)價(jià)方法和決策機(jī)制,信息安全風(fēng)險(xiǎn)評(píng)估是企業(yè)管理的組成部分,它具有規(guī)劃、組織、協(xié)調(diào)和控制等管理的基本特征,其主要目的在于從企業(yè)內(nèi)部風(fēng)險(xiǎn)管理的角度,在系統(tǒng)分析和評(píng)估風(fēng)險(xiǎn)發(fā)生的可能性及帶來(lái)的損失的基礎(chǔ)上,提出有針對(duì)性的防護(hù)和整改措施,將企業(yè)面臨或遭遇的風(fēng)險(xiǎn)控制在可接受水平,最大限度地保證組織的信息安全。而網(wǎng)絡(luò)審計(jì)是由獨(dú)立審計(jì)人員向企業(yè)提供的一項(xiàng)鑒證服務(wù),其風(fēng)險(xiǎn)評(píng)估的目的在于識(shí)別和評(píng)價(jià)潛在事件對(duì)被審計(jì)單位基于網(wǎng)絡(luò)的財(cái)務(wù)信息的合法性、公允性以及網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)的合規(guī)性、可靠性和有效性的影響程度,從而指導(dǎo)進(jìn)一步審計(jì)程序。因此,兩者風(fēng)險(xiǎn)評(píng)估的目的是不一樣。從評(píng)估所應(yīng)關(guān)注的風(fēng)險(xiǎn)范圍來(lái)看,兩者具有一致性,即都需要考慮與信息系統(tǒng)和信息相關(guān)的風(fēng)險(xiǎn)。但是,具體的關(guān)注邊界則是不一樣的。信息安全風(fēng)險(xiǎn)評(píng)估要評(píng)估企業(yè)資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性,并結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來(lái)判斷安全事件一旦發(fā)生對(duì)組織造成的影響,它要求評(píng)估人員關(guān)注與企業(yè)整個(gè)信息系統(tǒng)和所有的信息相關(guān)的風(fēng)險(xiǎn),包括實(shí)體安全風(fēng)險(xiǎn)、數(shù)據(jù)安全風(fēng)險(xiǎn)、軟件安全風(fēng)險(xiǎn)、運(yùn)行安全風(fēng)險(xiǎn)等。網(wǎng)絡(luò)審計(jì)中,審計(jì)人員是對(duì)被審計(jì)單位的網(wǎng)絡(luò)財(cái)務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息發(fā)表意見(jiàn),因此,風(fēng)險(xiǎn)評(píng)估時(shí)審計(jì)人員主要關(guān)注的是與企業(yè)財(cái)務(wù)信息系統(tǒng)和基于網(wǎng)絡(luò)的財(cái)務(wù)信息相關(guān)的風(fēng)險(xiǎn),而不是與企業(yè)的整個(gè)信息系統(tǒng)和所有的信息相關(guān)的風(fēng)險(xiǎn)。根據(jù)評(píng)估實(shí)施者的不同,信息安全風(fēng)險(xiǎn)評(píng)估形式包括自評(píng)估和他評(píng)估。自評(píng)估是由組織自身對(duì)所擁有的信息系統(tǒng)進(jìn)行的風(fēng)險(xiǎn)評(píng)估活動(dòng);他評(píng)估通常是由組織的上級(jí)主管機(jī)關(guān)或業(yè)務(wù)主管機(jī)關(guān)發(fā)起的,旨在依據(jù)已經(jīng)頒布的法規(guī)或標(biāo)準(zhǔn)進(jìn)行的具有強(qiáng)制意味的檢查。自評(píng)估和他評(píng)估都可以通過(guò)風(fēng)險(xiǎn)評(píng)估服務(wù)機(jī)構(gòu)進(jìn)行咨詢(xún)、服務(wù)、培訓(xùn)以及風(fēng)險(xiǎn)評(píng)估有關(guān)工具的提供。因此。對(duì)審計(jì)人員而言,受托執(zhí)行的信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)當(dāng)歸屬于管理咨詢(xún)類(lèi),即屬于非鑒證業(yè)務(wù),與網(wǎng)絡(luò)審計(jì)嚴(yán)格區(qū)分開(kāi)來(lái)。
(二)風(fēng)險(xiǎn)評(píng)估的內(nèi)容在我國(guó)國(guó)家質(zhì)量監(jiān)督檢驗(yàn)檢疫總局的《信息安全風(fēng)險(xiǎn)評(píng)估指南》(征求意見(jiàn)稿)國(guó)家標(biāo)準(zhǔn)中,它將信息安全風(fēng)險(xiǎn)評(píng)估的內(nèi)容分為兩部分:基本要素和相關(guān)屬性,提出信息安全風(fēng)險(xiǎn)評(píng)估應(yīng)圍繞其基本要素展開(kāi),并充分考慮與這些基本要素相關(guān)的其他屬性。其中,風(fēng)險(xiǎn)評(píng)估的基本要素包括資產(chǎn)、脆弱性、威脅、風(fēng)險(xiǎn)和安全措施;相關(guān)屬性包括業(yè)務(wù)戰(zhàn)略、資產(chǎn)價(jià)值、安全需求、安全事件、殘余風(fēng)險(xiǎn)等。在此基礎(chǔ)上的風(fēng)險(xiǎn)計(jì)算過(guò)程是:(1)對(duì)信息資產(chǎn)進(jìn)行識(shí)別,并對(duì)資產(chǎn)賦值;(2)對(duì)威脅進(jìn)行分析,并對(duì)威
脅發(fā)生的可能性賦值;(3)識(shí)別信息資產(chǎn)的脆弱性,并對(duì)弱點(diǎn)的嚴(yán)重程度賦值;(4)根據(jù)威脅和脆弱性計(jì)算安全事件發(fā)生的可能性;(5)根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用的資產(chǎn)的價(jià)值計(jì)算安全事件造成的損失;(6)根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失,計(jì)算安全事件一旦發(fā)生對(duì)組織的影響,即風(fēng)險(xiǎn)值。結(jié)合上文網(wǎng)絡(luò)審計(jì)風(fēng)險(xiǎn)評(píng)估五個(gè)方面的內(nèi)容可以看出,網(wǎng)絡(luò)審計(jì)和信息安全風(fēng)險(xiǎn)評(píng)估在內(nèi)容上有相近之處,即都需要針對(duì)信息系統(tǒng)和信息可能面臨的威脅和存在的脆弱點(diǎn)進(jìn)行識(shí)別。但是,信息安全管理作為企業(yè)的一項(xiàng)內(nèi)部管理,其風(fēng)險(xiǎn)評(píng)估工作需要從兩個(gè)層次展開(kāi):一是評(píng)估風(fēng)險(xiǎn)發(fā)生的可能性及其影響;二是提出防護(hù)或整改措施以控制風(fēng)險(xiǎn)。第一個(gè)層次的工作實(shí)質(zhì)上是為第二層次工作服務(wù)的,其重點(diǎn)在第二層次。《信息安全風(fēng)險(xiǎn)評(píng)估指南》(征求意見(jiàn)稿)提出,企業(yè)在確定出風(fēng)險(xiǎn)水平后,應(yīng)對(duì)不可接受的風(fēng)險(xiǎn)選擇適當(dāng)?shù)奶幚矸绞郊翱刂拼胧⑿纬娠L(fēng)險(xiǎn)處理計(jì)劃。其中,風(fēng)險(xiǎn)處理的方式包括回避風(fēng)險(xiǎn)、降低風(fēng)險(xiǎn)、轉(zhuǎn)移風(fēng)險(xiǎn)、接受風(fēng)險(xiǎn),而控制措施的選擇應(yīng)兼顧管理和技術(shù),考慮企業(yè)發(fā)展戰(zhàn)略、企業(yè)文化、人員素質(zhì),并特別關(guān)注成本與風(fēng)險(xiǎn)的平衡。網(wǎng)絡(luò)審計(jì)的風(fēng)險(xiǎn)評(píng)估工作主要集中在第一個(gè)層次,即審計(jì)人員通過(guò)風(fēng)險(xiǎn)評(píng)估,為進(jìn)一步審計(jì)中做出合理的職業(yè)判斷、有效地實(shí)施網(wǎng)絡(luò)審計(jì)程序和實(shí)現(xiàn)網(wǎng)絡(luò)審計(jì)目標(biāo)提供重要基礎(chǔ)。因此,兩者的評(píng)估內(nèi)容是存在區(qū)別的。
檔案信息安全保障體系的建設(shè)取得了一定的成績(jī),但同時(shí)存在許多問(wèn)題,我們必須及時(shí)加以糾正和改進(jìn)。檔案信息安全保障體系的建設(shè)不是一蹴而就的,是一個(gè)復(fù)雜的社會(huì)工程。首先要納入國(guó)家信息安全保障體系和電子政務(wù)信息安全保障體系的總體格局中,其次學(xué)習(xí)國(guó)內(nèi)外保障體系建設(shè)的經(jīng)驗(yàn),結(jié)合檔案信息資源的自身特點(diǎn),將檔案信息安全保障體系建設(shè)落到實(shí)處。檔案信息安全保障存在的問(wèn)題
1.對(duì)檔案信息安全保護(hù)和保障概念混淆
信息安全是一個(gè)發(fā)展的概念,從通信保密、信息保護(hù)發(fā)展到信息保障,或者說(shuō)是從保密、保護(hù)發(fā)展到保障。每個(gè)階段的安全屬性也是不斷擴(kuò)展的,保密階段為保密性:保護(hù)階段為保密性、完整性和可用性;保障階段為保密性、完整性、可用性、真實(shí)性和不可否認(rèn)性,甚至在國(guó)際標(biāo)準(zhǔn)《信息安全管理體系規(guī)范》ISO/IEC17799:2005中,又增加了可追溯性和可控性。信息安全屬性也是信息安全的目標(biāo)。保障階段應(yīng)采取相應(yīng)的措施達(dá)到“七性”。
信息安全保障的提出最早源自美國(guó)。1996年美國(guó)國(guó)防部(DoD)在國(guó)防部令S-3600,1對(duì)信息安全保障作了如下定義:“保護(hù)和防御信息及信息系統(tǒng),確保其可用性、完整性、保密性、可認(rèn)證性、不可否認(rèn)性等特性。這包括在信息系統(tǒng)中融入保護(hù)、檢測(cè)、反應(yīng)功能,并提供信息系統(tǒng)的恢復(fù)功能。”除安全屬性不斷豐富外,安全保障與安全保護(hù)主要區(qū)別是主動(dòng)防御和動(dòng)態(tài)保護(hù)。而與之對(duì)應(yīng)的信息保護(hù)是靜態(tài)保護(hù)(安全措施基本不變)和被動(dòng)保護(hù)(發(fā)生安全事故后再采取防護(hù)措施)。
然而,目前大部分檔案信息安全保障仍只達(dá)到安全保護(hù)水平。將安全保護(hù)和安全保障概念混淆,造成保障階段的能力也停留在保護(hù)水平,不能從主動(dòng)防御和動(dòng)態(tài)保護(hù)來(lái)保障檔案信息安全。在具體操作上。仍以身份認(rèn)證、數(shù)據(jù)備份、安裝防火墻、殺毒軟件和入侵檢測(cè)等被動(dòng)保護(hù)措施為主。在日益復(fù)雜的檔案信息系統(tǒng)和網(wǎng)絡(luò)環(huán)境下,檔案信息得不到應(yīng)有的保障。
2.偏重技術(shù),忽視管理
在美國(guó)國(guó)防部對(duì)安全保障的定義中,“保護(hù)、檢測(cè)、反應(yīng)和恢復(fù)”不僅體現(xiàn)動(dòng)態(tài)保護(hù),還體現(xiàn)安全管理,安全保障也是一個(gè)管理過(guò)程。
然而長(zhǎng)期以來(lái),人們對(duì)檔案信息安全偏重于依靠技術(shù)。但事實(shí)上僅僅依靠技術(shù)和產(chǎn)品保障信息安全的愿望卻往往難盡人意,許多復(fù)雜、多變的安全威脅和隱患靠產(chǎn)品是無(wú)法消除的,尤其是對(duì)內(nèi)網(wǎng)用戶(hù)的管理。“三分技術(shù),七分管理”這個(gè)在其他領(lǐng)域總結(jié)出來(lái)的實(shí)踐經(jīng)驗(yàn)和原則。在檔案信息安全領(lǐng)域也同樣適用。據(jù)有關(guān)部門(mén)統(tǒng)計(jì)。在所有的信息安全事件中,屬于管理方面的原因比重高達(dá)70%以上,而這些安全問(wèn)題是可以通過(guò)科學(xué)的信息安全管理來(lái)避免的。因此,安全管理已成為保障檔案信息安全的重要措施。
目前,國(guó)際上實(shí)現(xiàn)信息安全管理的有效手段是在信息安全等級(jí)保護(hù)制度下,進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估。“早在20世紀(jì)70年代初期美國(guó)政府就提出了風(fēng)險(xiǎn)評(píng)估的要求。2002年頒布的《2002聯(lián)邦信息安全管理法》對(duì)政務(wù)信息安全風(fēng)險(xiǎn)評(píng)估提出了更加具體的要求。”歐洲等其他信息化發(fā)達(dá)國(guó)家也非常重視開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作,將開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作作為提高信息安全保障水平的重要手段。國(guó)外風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)主要有:BS7799、ISO/1EC 17799、OCTAVE、NIST SP800―30、AS/NZ54360、SSE―CMM等。
3.缺失安全評(píng)估體系
目前,我國(guó)檔案信息安全保障體系的建設(shè)處于各自為政狀態(tài),沒(méi)有將基于等級(jí)保護(hù)制度下的檔案信息安全風(fēng)險(xiǎn)評(píng)估提到議事日程上來(lái)。由此造成檔案信息系統(tǒng)建立并采取安全措施后,仍不能明確自己的網(wǎng)絡(luò)和應(yīng)用系統(tǒng)是否達(dá)到安全要求?還有哪些安全漏洞?可能造成多大危害?應(yīng)該怎樣解決?系統(tǒng)升級(jí)或調(diào)整后又存在哪些安全風(fēng)險(xiǎn)?如何規(guī)劃?rùn)n案信息安全保障體系建設(shè)?作為檔案信息系統(tǒng)的擁有者、檔案信息系統(tǒng)安全構(gòu)建者和檔案信息系統(tǒng)安全的監(jiān)管者,必須有統(tǒng)一的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn),才可以做到檔案信息安全與否誰(shuí)也不能說(shuō)了算,而應(yīng)該按照統(tǒng)一的風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)來(lái)評(píng)價(jià)是否安全。應(yīng)采取什么措施。
檔案信息安全保障狀況需進(jìn)行風(fēng)險(xiǎn)評(píng)估
2006年3月7日,醞釀已久的《國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)》(簡(jiǎn)稱(chēng)《意見(jiàn)》)正式對(duì)外公布。《意見(jiàn)》要求。各信息化和信息安全主管部門(mén)要從抓試點(diǎn)開(kāi)始,逐步探索組織實(shí)施和管理的經(jīng)驗(yàn),用三年左右的時(shí)間在我國(guó)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)普遍推行信息安全風(fēng)險(xiǎn)評(píng)估工作,全面提升網(wǎng)絡(luò)和信息系統(tǒng)安全保障能力。
2005年9月,國(guó)務(wù)院信息化工作辦公室專(zhuān)門(mén)組織成立了“電子政務(wù)信息安全工作組”,并已編制了《電子政務(wù)信息安全等級(jí)保護(hù)實(shí)施指南(試行)》,其中提出將風(fēng)險(xiǎn)評(píng)估貫穿等級(jí)保護(hù)工作的整個(gè)流程。所以,作為電子政務(wù)系統(tǒng)中保存和管理信息的檔案信息系統(tǒng),與電子政務(wù)一脈相承,進(jìn)行風(fēng)險(xiǎn)評(píng)估是遲早的事。對(duì)檔案信息安全保障進(jìn)行風(fēng)險(xiǎn)評(píng)估主要有如下優(yōu)勢(shì)。
1.將檔案信息安全保障體系納入國(guó)家信息保障體系
國(guó)家已制定了風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)GB/T 20948―2007《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》,并將于2007年11月1日正式實(shí)施。作為我國(guó)信息資源重要組成部分的檔案信息,必須積極響應(yīng)國(guó)家信息安全政策和納入國(guó)家信息安全保障體系的總體格局。檔案信息安全風(fēng)險(xiǎn)評(píng)估可在此標(biāo)準(zhǔn)的基礎(chǔ)上,結(jié)合檔案信息自身特點(diǎn),先開(kāi)始在綜合檔案館和電信、銀行、稅務(wù)、電力等大型檔案信息管理系統(tǒng)中試驗(yàn),在此基礎(chǔ)上再逐步推廣,達(dá)到國(guó)家要求“2006年后三年內(nèi)在我國(guó)基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)普遍推行信息安全風(fēng)險(xiǎn)評(píng)估工作”基本目標(biāo)。
2.規(guī)范檔案信息安全保障體系建設(shè)
在檔案信息化過(guò)程中。我們已經(jīng)制定了GB/T17678.1―1999《CA D電子文件光盤(pán)存儲(chǔ)、歸檔與檔案管理要求。第一部分:電子文件歸檔與檔案管理》、GB/T18894―2002《電子文件歸檔與管理規(guī)范》、GB/T20163―2006《中國(guó)檔案機(jī)讀目錄格式》、DA/T 22―2000《歸檔文件整理規(guī)則》和DMT 3l一2005《紙質(zhì)檔案數(shù)字化技術(shù)規(guī)范》等國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn),然而與檔案信息安全相關(guān)的標(biāo)準(zhǔn)尚未出臺(tái),造成目前檔案信息安全保障體系的建設(shè)處于各自為政狀態(tài)。檔案信息風(fēng)險(xiǎn)評(píng)估的開(kāi)展。雖然可以參照國(guó)際和國(guó)家標(biāo)準(zhǔn),但最終還必須有針對(duì)性強(qiáng)的行業(yè)標(biāo)準(zhǔn)。為了改變目前的現(xiàn)狀,檔案行政管理部門(mén)應(yīng)重視針對(duì)檔案信息安全保障政策和標(biāo)準(zhǔn)的建設(shè),抓住國(guó)家推廣信息安全風(fēng)險(xiǎn)評(píng)估的機(jī)會(huì)。從風(fēng)險(xiǎn)評(píng)估作為切入點(diǎn),制定檔案信息風(fēng)險(xiǎn)評(píng)估和其他安全相關(guān)標(biāo)準(zhǔn),規(guī)范檔案信息安全保障的建設(shè)。由于對(duì)檔案信息風(fēng)險(xiǎn)評(píng)估是以信息安全保障要求為前提的,所以只要進(jìn)行風(fēng)險(xiǎn)評(píng)估就可以糾正信息保護(hù)和保障的混淆,并確認(rèn)是否達(dá)到相應(yīng)的保障要求。
3.貫徹安全技術(shù)和管理并重,保障檔案信息安全
等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估是信息安全管理的核心內(nèi)容,是信息安全管理的具體體現(xiàn)。國(guó)家提倡在等級(jí)保護(hù)制度下進(jìn)行風(fēng)險(xiǎn)評(píng)估,就是在對(duì)信息系統(tǒng)劃分等級(jí)后,采用風(fēng)險(xiǎn)評(píng)估測(cè)評(píng)系統(tǒng)是否達(dá)到相應(yīng)等級(jí)的安全要求,這樣可以改變以往只建設(shè)不測(cè)評(píng)的現(xiàn)狀。同時(shí),風(fēng)險(xiǎn)評(píng)估還要求貫穿信息系統(tǒng)的整個(gè)生命周期,即在信息系統(tǒng)的分析、設(shè)計(jì)、實(shí)現(xiàn)和運(yùn)行維護(hù)的整個(gè)生命周期內(nèi),都將進(jìn)行定期或不定期的風(fēng)險(xiǎn)評(píng)估,也體現(xiàn)信息安全保障的動(dòng)態(tài)安全和主動(dòng)防御。以往在我們檔案信息安全保障的建設(shè)中也強(qiáng)調(diào)信息安全管理機(jī)制的構(gòu)建,而風(fēng)險(xiǎn)評(píng)估就是很好的體現(xiàn)。風(fēng)險(xiǎn)評(píng)估的進(jìn)行過(guò)程中。有相應(yīng)的安全策略,按照“誰(shuí)主管誰(shuí)負(fù)責(zé)、誰(shuí)運(yùn)行誰(shuí)負(fù)責(zé)”的要求,對(duì)在崗的每一位員工也有相應(yīng)的安全職責(zé),這樣也提高了員工的安全意識(shí)。
4.完善檔案信息安奎保障體系
對(duì)于已建、在建或?qū)⒔ǖ臋n案信息系統(tǒng),以往沒(méi)有進(jìn)行風(fēng)險(xiǎn)評(píng)估的,應(yīng)積極開(kāi)展這項(xiàng)工作,在沒(méi)有正式出臺(tái)專(zhuān)門(mén)檔案信息風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)前,可參照國(guó)內(nèi)國(guó)際標(biāo)準(zhǔn)進(jìn)行,或者參與到電子政務(wù)信息的等級(jí)保護(hù)和風(fēng)險(xiǎn)評(píng)估中去。當(dāng)然風(fēng)險(xiǎn)評(píng)估并不是信息安全保障的唯一手段(還包括等級(jí)保護(hù)、應(yīng)急響應(yīng)和災(zāi)難恢復(fù)等),但它是檔案信息安全保障不可或缺的一個(gè)重要環(huán)節(jié)。通過(guò)風(fēng)險(xiǎn)評(píng)估,可完善目前還沒(méi)有達(dá)到保障要求的檔案信息系統(tǒng)安全保障。另外,對(duì)于新建設(shè)的檔案信息系統(tǒng)在設(shè)計(jì)階段就要融入風(fēng)險(xiǎn)評(píng)估,這樣可以防患于未然。
5.監(jiān)督和檢查檔案信息安全保障建設(shè)
關(guān)鍵詞:風(fēng)險(xiǎn)評(píng)估;FMEA;資產(chǎn)價(jià)值;威脅;脆弱性;失效影響;風(fēng)險(xiǎn)值
中圖分類(lèi)號(hào):C93 文獻(xiàn)標(biāo)識(shí)碼:A
原標(biāo)題:FMEA信息安全風(fēng)險(xiǎn)評(píng)估模型在檢驗(yàn)檢疫系統(tǒng)內(nèi)的應(yīng)用
收錄日期:2014年8月26日
一、背景
1998年3月,成立了中華人民共和國(guó)出入境檢驗(yàn)檢疫局(國(guó)家進(jìn)出口商品檢驗(yàn)局、原農(nóng)業(yè)部動(dòng)植物檢疫局和原衛(wèi)生部檢疫局合并組建)。出入境檢驗(yàn)檢疫機(jī)構(gòu)全面推行“一次報(bào)驗(yàn)、一次取樣、一次檢驗(yàn)檢疫、一次衛(wèi)生除害處理、一次收費(fèi)、一次簽證放行”六個(gè)一的管理模式,對(duì)外簡(jiǎn)化辦事手續(xù),避免政出多門(mén)、提高工作效率、方便外貿(mào)進(jìn)出口、降低收費(fèi)、減輕企業(yè)負(fù)擔(dān)、強(qiáng)化依法把關(guān)力度、促進(jìn)外貿(mào)經(jīng)濟(jì)健康發(fā)展具有十分重要的意義。
信息化工作是檢驗(yàn)檢疫業(yè)務(wù)中一項(xiàng)重要的基礎(chǔ)性工作,信息技術(shù)的應(yīng)用提高了檢驗(yàn)檢疫把關(guān)服務(wù)能力,為全面履行檢驗(yàn)檢疫職能提供了強(qiáng)有力的技術(shù)支撐和科技保障。在實(shí)際工作中,我們看到大量信息技術(shù)被應(yīng)用在檢驗(yàn)檢疫業(yè)務(wù)中,如 “預(yù)警信息管理系統(tǒng)助力醫(yī)學(xué)媒介生物監(jiān)測(cè)鑒定”、“體溫篩查系統(tǒng)助力旅客通關(guān)”、“視頻監(jiān)控系統(tǒng)助力口岸防控”、“射頻RAID技術(shù)助力進(jìn)出口貨物檢驗(yàn)檢疫跟蹤”成為推動(dòng)檢驗(yàn)檢疫服務(wù)水平與業(yè)務(wù)高效、創(chuàng)新的重要手段。而在檢驗(yàn)檢疫系統(tǒng)的內(nèi)部管理中,“CIQ2000系統(tǒng)數(shù)據(jù)大集中”、“視頻會(huì)議系統(tǒng)全覆蓋”、“業(yè)務(wù)無(wú)紙化流轉(zhuǎn)”、“政務(wù)網(wǎng)站大整合”等,成為提升檢驗(yàn)檢疫工作質(zhì)量和工作效率強(qiáng)有力的助推器。
隨著檢驗(yàn)檢疫業(yè)務(wù)(以下簡(jiǎn)稱(chēng)“CIQ”業(yè)務(wù))對(duì)信息系統(tǒng)依賴(lài)程度的日益增強(qiáng),信息安全問(wèn)題受到普遍關(guān)注。運(yùn)用風(fēng)險(xiǎn)評(píng)估去識(shí)別安全風(fēng)險(xiǎn),解決信息安全問(wèn)題得到了廣泛的認(rèn)識(shí)和應(yīng)用。
信息安全風(fēng)險(xiǎn)評(píng)估就是從風(fēng)險(xiǎn)管理角度,運(yùn)用科學(xué)的方法和手段,系統(tǒng)地分析信息系統(tǒng)所面臨的威脅及其存在的脆弱性,評(píng)估安全事件一旦發(fā)生可能造成的危害程度,提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施;為防范和化解信息安全風(fēng)險(xiǎn),將風(fēng)險(xiǎn)控制在可接受的水平,從而最大限度地保障信息安全提供科學(xué)依據(jù)。
信息安全風(fēng)險(xiǎn)評(píng)估作為信息安全保障工作的基礎(chǔ)性工作和重要環(huán)節(jié),要貫穿于信息系統(tǒng)的規(guī)劃、設(shè)計(jì)、實(shí)施、運(yùn)行維護(hù)以及廢棄各個(gè)階段,是信息安全管理體系與信息安全等級(jí)保護(hù)制度建設(shè)的重要科學(xué)方法之一。
二、風(fēng)險(xiǎn)評(píng)估介紹
目前最普遍使用的信息安全風(fēng)險(xiǎn)評(píng)估方法就是風(fēng)險(xiǎn)評(píng)估的國(guó)際標(biāo)準(zhǔn)ISO13335:2005,該標(biāo)準(zhǔn)已被等同轉(zhuǎn)化為中國(guó)國(guó)家標(biāo)準(zhǔn)《GB/T 20984:2007 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》(簡(jiǎn)稱(chēng)《國(guó)標(biāo)GB/T 20984》)。其中,關(guān)于風(fēng)險(xiǎn)大小的決定性因素的描述如下:1、業(yè)務(wù)戰(zhàn)略的實(shí)現(xiàn)對(duì)資產(chǎn)具有依賴(lài)性,依賴(lài)程度越高,要求其風(fēng)險(xiǎn)越小;2、資產(chǎn)是有價(jià)值的,組織的業(yè)務(wù)戰(zhàn)略對(duì)資產(chǎn)的依賴(lài)程度越高,資產(chǎn)價(jià)值就越大;3、風(fēng)險(xiǎn)是由威脅引發(fā)的,資產(chǎn)面臨的威脅越多則風(fēng)險(xiǎn)越大;4、資產(chǎn)的脆弱性可能暴露資產(chǎn)的價(jià)值,資產(chǎn)具有的脆弱性越多則風(fēng)險(xiǎn)越大;5、脆弱性是未被滿(mǎn)足的安全需求,威脅利用脆弱性危害資產(chǎn)。
對(duì)以上內(nèi)容進(jìn)行歸納,總結(jié)出風(fēng)險(xiǎn)分析的原理如圖1所示。(圖1)即,風(fēng)險(xiǎn)的大小是由風(fēng)險(xiǎn)的可能性和嚴(yán)重性決定的,威脅頻率和脆弱性決定風(fēng)險(xiǎn)的可能性(L),資產(chǎn)價(jià)值和脆弱性決定了風(fēng)險(xiǎn)的嚴(yán)重性(F),通過(guò)識(shí)別資產(chǎn)價(jià)值(A)、威脅(T)和資產(chǎn)脆弱性(V)就可以計(jì)算出該資產(chǎn)的風(fēng)險(xiǎn)值。
因此,風(fēng)險(xiǎn)分析的主要內(nèi)容就是:1、對(duì)資產(chǎn)進(jìn)行識(shí)別,并對(duì)資產(chǎn)的價(jià)值進(jìn)行賦值;2、對(duì)威脅進(jìn)行識(shí)別,描述威脅的屬性,并對(duì)威脅出現(xiàn)的頻率賦值;3、對(duì)脆弱性進(jìn)行識(shí)別,并對(duì)具體資產(chǎn)的脆弱性的嚴(yán)重程度賦值;4、根據(jù)威脅及威脅利用脆弱性的難易程度判斷安全事件發(fā)生的可能性;5、根據(jù)脆弱性的嚴(yán)重程度及安全事件所作用的資產(chǎn)的價(jià)值計(jì)算安全事件造成的損失;6、根據(jù)安全事件發(fā)生的可能性以及安全事件出現(xiàn)后的損失,計(jì)算安全事件一旦發(fā)生對(duì)組織的影響,即風(fēng)險(xiǎn)值。
風(fēng)險(xiǎn)值=R(V,P,W)=R(O(P,W),S (V,W))。(為了與后文統(tǒng)一,在公式中用V、P、W、O、S替換了《GB/T 20984》561章節(jié)原文中的對(duì)應(yīng)字母符號(hào))
其中,R表示安全風(fēng)險(xiǎn)計(jì)算函數(shù);V表示資產(chǎn)價(jià)值;P表示威脅頻率;W表示脆弱性;O表示威脅利用資產(chǎn)的脆弱性導(dǎo)致安全事件的可能性;S表示安全事件發(fā)生后造成的損失。有以下三個(gè)關(guān)鍵計(jì)算環(huán)節(jié):
(一)計(jì)算安全事件發(fā)生的可能性。根據(jù)威脅出現(xiàn)頻率及脆弱性的狀況,計(jì)算威脅利用脆弱性導(dǎo)致安全事件發(fā)生的可能性,即:安全事件的可能性=L(威脅出現(xiàn)頻率,脆弱性)=O (P,W)。
在具體評(píng)估中,應(yīng)綜合攻擊者技術(shù)能力(專(zhuān)業(yè)技術(shù)程度、攻擊設(shè)備等)、脆弱性被利用的難易程度(可訪問(wèn)時(shí)間、設(shè)計(jì)和操作知識(shí)公開(kāi)程度等)、資產(chǎn)吸引力等因素來(lái)判斷安全事件發(fā)生的可能性。
(二)計(jì)算安全事件發(fā)生后造成的損失。根據(jù)資產(chǎn)價(jià)值及脆弱性嚴(yán)重程度,計(jì)算安全事件一旦發(fā)生后所造成的損失,即:安全事件造成的損失=F(資產(chǎn)價(jià)值,脆弱性嚴(yán)重程度)=S (V,W)。
部分安全事件的發(fā)生造成的損失不僅僅是針對(duì)該資產(chǎn)本身,還可能影響業(yè)務(wù)的連續(xù)性;不同安全事件的發(fā)生對(duì)組織的影響也是不一樣的。在計(jì)算某個(gè)安全事件的損失時(shí),應(yīng)將對(duì)組織的影響也考慮在內(nèi)。
部分安全事件造成的損失的判斷還應(yīng)參照安全事件發(fā)生可能性的結(jié)果,對(duì)發(fā)生可能性極小的安全事件,如處于非地震帶的地震威脅、在采取完備供電措施狀況下的電力故障威脅等,可以不計(jì)算其損失。
(三)計(jì)算風(fēng)險(xiǎn)值。根據(jù)計(jì)算出的安全事件的可能性以及安全事件造成的損失,計(jì)算風(fēng)險(xiǎn)值,即:風(fēng)險(xiǎn)值=R(安全事件的可能性,安全事件造成的損失)=R(O (P,W),S (V,W))。
評(píng)估者可根據(jù)自身情況選擇相應(yīng)的風(fēng)險(xiǎn)計(jì)算方法計(jì)算風(fēng)險(xiǎn)值,如矩陣法或相乘法。矩陣法通過(guò)構(gòu)造一個(gè)二維矩陣,形成安全事件的可能性與安全事件造成的損失之間的二維關(guān)系;相乘法通過(guò)構(gòu)造經(jīng)驗(yàn)函數(shù),將安全事件的可能性與安全事件造成的損失進(jìn)行運(yùn)算得到風(fēng)險(xiǎn)值。
三、什么是FMEA風(fēng)險(xiǎn)評(píng)估方法
(一)FMEA的起源和背景。國(guó)際標(biāo)準(zhǔn)化組織(ISO)于2002年3月公布了一項(xiàng)行業(yè)性的質(zhì)量體系要求,它的全名是“質(zhì)量管理體系―汽車(chē)行業(yè)生產(chǎn)件與相關(guān)服務(wù)件的組織實(shí)施ISO9001:2000的特殊要求”,英文為ISO/TS16949。標(biāo)準(zhǔn)中提供了實(shí)施必需的五大工具以保障體系的有效落地,它們分別是:產(chǎn)品質(zhì)量先期策劃(APQP)、測(cè)量系統(tǒng)分析(MSA)、統(tǒng)計(jì)過(guò)程控制(SPC)、生產(chǎn)件批準(zhǔn)(PPAP)和潛在失效模式與后果分析(FMEA)。
潛在失效模式與后果分析(FMEA),又稱(chēng)為失效模式與影響后果分析、失效模式與效應(yīng)分析、故障模式與后果分析或故障模式與效應(yīng)分析等,是一種操作規(guī)程,旨在對(duì)系統(tǒng)范圍內(nèi)潛在的失效模式加以分析,以便按照嚴(yán)重程度加以分類(lèi),或者確定失效對(duì)于該系統(tǒng)的影響。FMEA廣泛應(yīng)用于制造行業(yè)產(chǎn)品生命周期、質(zhì)量控制、風(fēng)險(xiǎn)分析等的各個(gè)階段;而且FMEA在服務(wù)行業(yè)的應(yīng)用也在日益增多。失效原因是指業(yè)務(wù)服務(wù)、產(chǎn)品加工處理、設(shè)計(jì)過(guò)程中或項(xiàng)目/物品/信息資產(chǎn)項(xiàng)、本身存在的任何錯(cuò)誤或缺陷,尤其是那些將會(huì)對(duì)業(yè)務(wù)保障(或具體消費(fèi)者)造成影響的錯(cuò)誤或缺陷;失效原因可分為潛在的和實(shí)際的。影響分析指的是對(duì)于這些失效之處的調(diào)查研究。
FMEA是一種過(guò)程評(píng)價(jià)工具,于1950年起源于美國(guó)軍方和宇航局,它是通過(guò)逐一分析過(guò)程中的各種組成因素,找出潛在的失效模式,分析可能產(chǎn)生的后果,并評(píng)估其風(fēng)險(xiǎn),從而提前采取措施,以減少失效后的損失,降低發(fā)生的幾率,所以在本文中引入FMEA的分析方法來(lái)解決傳統(tǒng)風(fēng)險(xiǎn)評(píng)估方法中存在的一些缺陷。
(二)FMEA風(fēng)險(xiǎn)評(píng)估的原理。雖然ISO13335是目前全球使用最廣泛的信息安全風(fēng)險(xiǎn)評(píng)估方法論,但是由于這份標(biāo)準(zhǔn)是2005年制定的,至今已有十余個(gè)年頭。而這十年是信息技術(shù)蓬勃發(fā)展的十年,大量新的技術(shù)手段涌現(xiàn)并被人們使用。大數(shù)據(jù)、物聯(lián)網(wǎng)、云計(jì)算等等這些新技術(shù)在帶來(lái)技術(shù)革新和應(yīng)用便利的同時(shí),也帶來(lái)了新的安全隱患。我們需要關(guān)注的風(fēng)險(xiǎn)除了資產(chǎn)本身的風(fēng)險(xiǎn)之外,還需要關(guān)注資產(chǎn)失效后的影響衍生出的風(fēng)險(xiǎn),而傳統(tǒng)方法在這一領(lǐng)域又難以有效地準(zhǔn)確評(píng)價(jià)出風(fēng)險(xiǎn)的大小,因此我們需要一種能夠更準(zhǔn)確反映風(fēng)險(xiǎn)大小的評(píng)估方法。
對(duì)于風(fēng)險(xiǎn)值大小,我們還是遵循原有的規(guī)律,即嚴(yán)重性越高的風(fēng)險(xiǎn)越高;可能性越大的風(fēng)險(xiǎn)越高,即風(fēng)險(xiǎn)與嚴(yán)重性和可能性成正比。如圖2所示。(圖2)
在測(cè)量風(fēng)險(xiǎn)的嚴(yán)重性和可能性方面,相對(duì)于ISO13335:2005,我們多引入了一個(gè)參數(shù),失效模式的影響(E),這個(gè)參數(shù)可能會(huì)影響到風(fēng)險(xiǎn)的嚴(yán)重性。因此,F(xiàn)MEA的風(fēng)險(xiǎn)評(píng)估方法論可以總結(jié)為:1、所有資產(chǎn)自身都有一定的脆弱性;2、威脅利用了資產(chǎn)的脆弱性導(dǎo)致了資產(chǎn)的失效;3、由于資產(chǎn)的失效而產(chǎn)生了風(fēng)險(xiǎn);4、不同失效的程度導(dǎo)致風(fēng)險(xiǎn)的嚴(yán)重程度不同;5、資產(chǎn)價(jià)值和資產(chǎn)失效程度影響風(fēng)險(xiǎn)的嚴(yán)重性;6、威脅的頻率和弱點(diǎn)被利用的難易程度影響風(fēng)險(xiǎn)的可能性;7、嚴(yán)重性和可能性決定了最終的風(fēng)險(xiǎn)值。
對(duì)已上內(nèi)容進(jìn)行歸納,總結(jié)出風(fēng)險(xiǎn)分析的原理如圖3所示。(圖3)
四、FMEA風(fēng)險(xiǎn)評(píng)估在CIQ的應(yīng)用
FMEA風(fēng)險(xiǎn)評(píng)估方法自2008年首次被開(kāi)發(fā)在信息安全管理體系中應(yīng)用并于2009年通過(guò)國(guó)際第三方權(quán)威審核機(jī)構(gòu)的ISO27001認(rèn)證,經(jīng)過(guò)多年的修訂和持續(xù)研發(fā),目前在中國(guó)檢驗(yàn)檢疫系統(tǒng)內(nèi)已經(jīng)有常州出入境檢驗(yàn)檢疫局、蘇州出入境檢驗(yàn)檢疫局、江陰出入境檢驗(yàn)檢疫局等分支局在使用,跟檢驗(yàn)檢疫業(yè)務(wù)有關(guān)聯(lián)性的海關(guān)、口岸等相關(guān)單位也有部分落地的案例。
(一)失效影響的賦值。FMEA風(fēng)險(xiǎn)評(píng)估方法的核心是引入了“失效模式的影響(E)”這一評(píng)估參數(shù)使得得到的風(fēng)險(xiǎn)值更加準(zhǔn)確。如何對(duì)“失效模式的影響(E)”進(jìn)行賦值,就是FMEA風(fēng)險(xiǎn)評(píng)估方法用于實(shí)際風(fēng)險(xiǎn)值計(jì)算的關(guān)鍵。
在《國(guó)標(biāo)GB/T 20984》中將風(fēng)險(xiǎn)評(píng)估的所有參數(shù)(資產(chǎn)保密性、資產(chǎn)完整性、資產(chǎn)可用性、資產(chǎn)等級(jí)、威脅頻率、脆弱性)均分為5個(gè)級(jí)別進(jìn)行賦值,1級(jí)最低,5級(jí)最高。因?yàn)樵谟?jì)算風(fēng)險(xiǎn)值時(shí)也需要用到以上參數(shù),為了保持與《國(guó)標(biāo)GB/T 20984》的兼容性,我們將“失效模式的影響(E)”也同樣分為5個(gè)級(jí)別,如表1所示。(表1)
為了方便應(yīng)用,我們將這五個(gè)級(jí)別分別對(duì)應(yīng)為下列五種失效程度,如表2所示。(表2)
(二)FMEA風(fēng)險(xiǎn)計(jì)算的原理。FMEA風(fēng)險(xiǎn)計(jì)算是通過(guò)資產(chǎn)價(jià)值(V)、失效影響(E)、威脅頻率(P)和脆弱性(W)四個(gè)參數(shù)通過(guò)數(shù)學(xué)方法計(jì)算得到風(fēng)險(xiǎn)值(RPN)。
1、建立FMEA風(fēng)險(xiǎn)計(jì)算的數(shù)學(xué)模型首先要滿(mǎn)足參數(shù)對(duì)風(fēng)險(xiǎn)值影響的方向:
(1)因?yàn)橘Y產(chǎn)價(jià)值(V)、失效影響(E)、威脅頻率(P)和脆弱性(W)對(duì)最終的風(fēng)險(xiǎn)值(RPN)為正向影響,所以V、E、P、W的數(shù)值與RPN數(shù)值成正比。
(2)V、E、P、W四個(gè)參數(shù)都大的風(fēng)險(xiǎn)值必然大,即:若V1>V2;E1>E2;P1>P2;W1>W2,則RPN(V1、E1、P1、W1)>RPN(V2、E2、P2、W2)。
(3)若任意三個(gè)參數(shù)相同,第四個(gè)參數(shù)大的風(fēng)險(xiǎn)值大,即:若V1>V2,則RPN(V1、E1、P1、W1)>RPN(V2、E1、P1、W1);若E1>E2,則RPN(V1、E1、P1、W1)>RPN(V1、E2、P1、W1);若P1>P2,則RPN(V1、E1、P1、W1)>RPN(V1、E1、P2、W1);若W1>W2,則RPN(V1、E1、P1、W1)>RPN(V1、E1、P1、W2)。
2、為了準(zhǔn)確評(píng)價(jià)數(shù)學(xué)模型的有效性,應(yīng)將模型計(jì)算值的影響因素減至最少,提供一個(gè)不受權(quán)重等因素影響的純凈模型,以便于及時(shí)調(diào)整。
(1)風(fēng)險(xiǎn)計(jì)算的四個(gè)參數(shù),資產(chǎn)價(jià)值(V)、失效影響(E)、威脅頻率(P)和脆弱性(W)對(duì)最終的風(fēng)險(xiǎn)值(RPN)的影響應(yīng)該是相同的,即:RPN(V、E、P、W)=RPN(2、3、3、2)=RPN(2、2、3、3)=RPN(3、2、2、3)=RPN(3、3、2、2)。
(2)風(fēng)險(xiǎn)計(jì)算的四個(gè)參數(shù),資產(chǎn)價(jià)值(V)、失效影響(E)、威脅頻率(P)和脆弱性(W)的增幅對(duì)最終的風(fēng)險(xiǎn)值(RPN)的影響應(yīng)該是相同的,即:RPN(V1、E1、P1、W1)-RPN(V2、E2、P2、W2)=RPN(5、5、5、5)-RPN(4、4、4、4)=RPN(4、4、4、4)-RPN(3、3、3、3)=RPN(3、3、3、3)-RPN(2、2、2、2)=RPN(2、2、2、2)-RPN(1、1、1、1)。
(3)在純凈風(fēng)險(xiǎn)模型計(jì)算結(jié)果的基礎(chǔ)上,通過(guò)對(duì)比風(fēng)險(xiǎn)計(jì)算結(jié)果和實(shí)際風(fēng)險(xiǎn)差距,對(duì)風(fēng)險(xiǎn)分析的各個(gè)維度權(quán)重進(jìn)行調(diào)整。
(三)FMEA風(fēng)險(xiǎn)計(jì)算公式。風(fēng)險(xiǎn)評(píng)估中資產(chǎn)的價(jià)值不是以資產(chǎn)的經(jīng)濟(jì)價(jià)值來(lái)衡量,而是由資產(chǎn)在保密性、完整性、可用性這三個(gè)安全屬性上的達(dá)成程度或者其安全屬性未達(dá)成時(shí)所造成的影響程度來(lái)決定的。安全屬性達(dá)成程度的不同將使資產(chǎn)具有不同的價(jià)值,而資產(chǎn)面臨的威脅、存在的脆弱性,以及已采用的安全措施都將對(duì)資產(chǎn)安全屬性的達(dá)成程度產(chǎn)生影響。
風(fēng)險(xiǎn)計(jì)算方法:1、保密性、完整性和可用性決定資產(chǎn)價(jià)值:(1)保密性越高,資產(chǎn)價(jià)值越大;(2)完整性越高,資產(chǎn)價(jià)值越大;(3)可用性越高,資產(chǎn)價(jià)值越大。2、資產(chǎn)價(jià)值、資產(chǎn)失效程度決定風(fēng)險(xiǎn)嚴(yán)重性。3、威脅頻率和資產(chǎn)脆弱性決定風(fēng)險(xiǎn)可能性。4、風(fēng)險(xiǎn)嚴(yán)重性與風(fēng)險(xiǎn)可能性決定風(fēng)險(xiǎn)值:(1)資產(chǎn)價(jià)值越高,資產(chǎn)失效后風(fēng)險(xiǎn)越大;(2)資產(chǎn)失效越嚴(yán)重則風(fēng)險(xiǎn)越大;(3)風(fēng)險(xiǎn)是由威脅引發(fā)的,資產(chǎn)面臨的威脅越多則風(fēng)險(xiǎn)越大;(4)資產(chǎn)的脆弱性可能暴露資產(chǎn)的價(jià)值,資產(chǎn)具有的脆弱性越多則風(fēng)險(xiǎn)越大。
風(fēng)險(xiǎn)計(jì)算公式:
資產(chǎn)價(jià)值V=
嚴(yán)重性S=
可能性O(shè)=
風(fēng)險(xiǎn)值RPN=
RPN=
其中,C、I、A、E、P、W是風(fēng)險(xiǎn)值RPN的計(jì)算參數(shù),x、y、z、m、n、i、j、α、β是以上計(jì)算參數(shù)的權(quán)重。
假設(shè)權(quán)重系數(shù)全部為1的情況下,風(fēng)險(xiǎn)計(jì)算公式為:
RPN=
若在風(fēng)險(xiǎn)分析中,我們更側(cè)重于某項(xiàng)參數(shù)對(duì)風(fēng)險(xiǎn)值的影響,則可以調(diào)整該參數(shù)的權(quán)重值,如我們將權(quán)重參數(shù)設(shè)置為x=1、y=1、z=1、m=1、n=2、i=1、j=1、α=1、β=1,則表示失效影響(E)對(duì)風(fēng)險(xiǎn)值的影響更大,我們優(yōu)先降低失效影響,可以更高效控制風(fēng)險(xiǎn)。
(四)FMEA風(fēng)險(xiǎn)評(píng)估在CIQ的應(yīng)用成果。2012年末,常州出入境檢驗(yàn)檢疫局順利通過(guò)中國(guó)信息安全認(rèn)證中心(簡(jiǎn)稱(chēng)ISCCC)的ISO27001信息安全管理體系現(xiàn)場(chǎng)審核,成為國(guó)內(nèi)首家實(shí)施信息安全管理體系并通過(guò)ISO27001認(rèn)證的政府機(jī)構(gòu)。2012年中國(guó)合格評(píng)定國(guó)家認(rèn)可委員會(huì)(簡(jiǎn)稱(chēng)CNAS)信息安全認(rèn)證專(zhuān)業(yè)委員會(huì)年會(huì)上,該項(xiàng)目被選為推薦案例,并受邀出席會(huì)議現(xiàn)場(chǎng)介紹體系建設(shè)、推廣的成功經(jīng)驗(yàn),其中FMEA風(fēng)險(xiǎn)評(píng)估法作為該項(xiàng)目的重要?jiǎng)?chuàng)新點(diǎn),受到與會(huì)專(zhuān)家的特別關(guān)注,并受到與會(huì)專(zhuān)家的一致好評(píng)。通過(guò)對(duì)FMEA風(fēng)險(xiǎn)評(píng)估方法論的原理和分析模型的詳細(xì)介紹,經(jīng)與會(huì)專(zhuān)家論證,均認(rèn)可該方法的先進(jìn)性已經(jīng)超越了ISO13335:2005(國(guó)標(biāo)GB/T 20984:2007),在全球信息安全風(fēng)險(xiǎn)評(píng)估方法論的理論研究和實(shí)踐中處于領(lǐng)先水平。
五、結(jié)束語(yǔ)
隨著中國(guó)加入世貿(mào)組織,對(duì)外貿(mào)易和活動(dòng)日益頻繁,出入境檢驗(yàn)檢疫業(yè)務(wù)量激增,對(duì)信息系統(tǒng)的依賴(lài)程度也越來(lái)越大,因此對(duì)信息安全的要求也逐年提高,風(fēng)險(xiǎn)評(píng)估是信息安全管理的基礎(chǔ),其重要性不言而喻。本文系統(tǒng)地闡述了作者在信息安全風(fēng)險(xiǎn)管理領(lǐng)域的研究成果及在檢驗(yàn)檢疫系統(tǒng)內(nèi)單位的實(shí)施經(jīng)驗(yàn),對(duì)檢驗(yàn)檢疫系統(tǒng)內(nèi)其他單位在信息安全風(fēng)險(xiǎn)評(píng)估方面工作具有很好的參考性。
本文在研究的深度上還有待進(jìn)一步挖掘。特別是對(duì)于如何得到“失效模式的影響(E)”這一參數(shù)的精確值,作者設(shè)想可以從對(duì)“失效時(shí)間范圍”、“失效空間范圍”、“失效方式”、“失效程度”、“失效恢復(fù)能力”等方面進(jìn)行分析,通過(guò)一個(gè)數(shù)學(xué)模型計(jì)算得到以上失效因素對(duì)最終“失效模式的影響(E)”變化的影響,以便于分析結(jié)果更精準(zhǔn)。
主要參考文獻(xiàn):
[1]嵇國(guó)光,王大禹,嚴(yán)慶峰ISO\TS16949五大核心工具應(yīng)用手冊(cè)中國(guó)標(biāo)準(zhǔn)出版社,2010111
[2]孫遠(yuǎn)志,吳文忠檢驗(yàn)檢疫風(fēng)險(xiǎn)管理研究中國(guó)計(jì)量出版社,201411
[3]GB7826-87系統(tǒng)可靠性分析技術(shù),失效模式和效應(yīng)分析(FMEA)程序
[4]GB/T 20984-2007信息安全技術(shù)、信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范中國(guó)標(biāo)準(zhǔn)出版社,200781
經(jīng)過(guò)二年多的努力,我國(guó)信息安全風(fēng)險(xiǎn)評(píng)估國(guó)家標(biāo)準(zhǔn)《信息安全風(fēng)險(xiǎn)評(píng)估指南》已完成標(biāo)準(zhǔn)文稿編制工作,并由國(guó)務(wù)院信息辦組織, 2005年在北京、上海、黑龍江、云南、人民銀行、國(guó)家稅務(wù)總局、國(guó)家信息中心與國(guó)家電力總公司開(kāi)展了驗(yàn)證《信息安全風(fēng)險(xiǎn)評(píng)估指南》的可行性與可用性的試點(diǎn)工作,如今,《指南》正上報(bào)國(guó)家標(biāo)準(zhǔn)管理部門(mén)批準(zhǔn)。
《指南》規(guī)定了信息安全風(fēng)險(xiǎn)評(píng)估的工作流程、評(píng)估內(nèi)容、評(píng)估方法和風(fēng)險(xiǎn)判斷準(zhǔn)則,適用于信息系統(tǒng)的使用單位進(jìn)行自我風(fēng)險(xiǎn)評(píng)估,以及風(fēng)險(xiǎn)評(píng)估機(jī)構(gòu)對(duì)信息系統(tǒng)進(jìn)行獨(dú)立的風(fēng)險(xiǎn)評(píng)估。《信息安全風(fēng)險(xiǎn)評(píng)估指南》分為兩個(gè)部分:第一部分:主體部分。主要介紹風(fēng)險(xiǎn)評(píng)估的定義、風(fēng)險(xiǎn)評(píng)估的模型以及風(fēng)險(xiǎn)評(píng)估的實(shí)施過(guò)程。第二部分:附錄部分。包括信息安全風(fēng)險(xiǎn)評(píng)估的方法、工具介紹和實(shí)施案例。目的是使用戶(hù)了解到風(fēng)險(xiǎn)評(píng)估方法的多樣性和靈活性。
2005年12月16日,國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組正式通過(guò)了《關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估的若干意見(jiàn)》,標(biāo)志著我國(guó)將開(kāi)始在全國(guó)范圍內(nèi)推進(jìn)信息安全風(fēng)險(xiǎn)評(píng)估工作。今年3月,國(guó)家計(jì)劃在重要基礎(chǔ)信息網(wǎng)絡(luò)和重要信息系統(tǒng)開(kāi)始推行信息安全風(fēng)險(xiǎn)評(píng)估工作。
《指南》實(shí)施后,開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估有了依據(jù)。另外,可隨時(shí)掌握系統(tǒng)的安全狀態(tài),為及時(shí)采取有針對(duì)性的應(yīng)對(duì)措施提供依據(jù)。《指南》對(duì)被評(píng)估系統(tǒng)的資產(chǎn)、威脅和脆弱性給出了具體的定級(jí)依據(jù),。
最后,可提高信息安全管理工作水平。幫助系統(tǒng)管理者認(rèn)清信息安全環(huán)境、信息安全狀況,有助于達(dá)成共識(shí),明確責(zé)任,采取或完善安全保障措施,使其更加經(jīng)濟(jì)有效,并使信息安全策略保持一致性和持續(xù)性。
當(dāng)前,國(guó)家關(guān)鍵基礎(chǔ)設(shè)施對(duì)信息系統(tǒng)的依賴(lài)性,以及信息系統(tǒng)間的互依賴(lài)性越來(lái)越強(qiáng),信息資源越來(lái)越復(fù)雜,因此,許多重要信息網(wǎng)絡(luò)和重要信息系統(tǒng)單位對(duì)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估的需求越來(lái)越迫切,一些大的應(yīng)用行業(yè)在考慮信息系統(tǒng)建設(shè)的布局時(shí),已經(jīng)在信息安全評(píng)估、咨詢(xún)和規(guī)劃方面投入了實(shí)質(zhì)性的資金支持。全國(guó)范圍內(nèi)的大規(guī)模推廣將使市場(chǎng)需求大幅提升。
在信息安全風(fēng)險(xiǎn)評(píng)估過(guò)程中,要評(píng)估的部門(mén)會(huì)委托一些具有一定資質(zhì)的信息安全風(fēng)險(xiǎn)評(píng)估公司來(lái)做除最核心部分以外的信息安全風(fēng)險(xiǎn)評(píng)估工作。在這方面專(zhuān)業(yè)的信息安全公司都會(huì)擔(dān)當(dāng)信息安全風(fēng)險(xiǎn)評(píng)估的重要角色。
中國(guó)軟件市場(chǎng)走向和諧
賽迪顧問(wèn)統(tǒng)計(jì)結(jié)果顯示,2005年,中國(guó)軟件市場(chǎng)呈現(xiàn)理性發(fā)展態(tài)勢(shì),全年銷(xiāo)售額564.65億元,同比增長(zhǎng)17.9%。
2005年的中國(guó)軟件市場(chǎng)呈現(xiàn)的主要特征有:本地Linux廠商加快整合以應(yīng)對(duì)國(guó)際廠商競(jìng)爭(zhēng);存儲(chǔ)管理需求成為系統(tǒng)管理領(lǐng)域的亮點(diǎn);中間件平臺(tái)之爭(zhēng)漸入佳境等。
關(guān)鍵詞:信息安全;風(fēng)險(xiǎn)評(píng)估;風(fēng)險(xiǎn)分析
中圖分類(lèi)號(hào):TP311 文獻(xiàn)標(biāo)識(shí)碼:A 文章編號(hào):1007-9599 (2011) 22-0000-01
Research and Design of Power Information Network Risk Assessment Auxiliary System
Yang Dawei1,2,Liu Yu2
(1.School of Control and Computer Engineering North China Electric Power University,Baoding 071003,China;2.Panjin Power Supply Company,Panjin 124000,China)
Abstract:This paper designed a multi-expert assessment system,which runs in strict accordance with the"Guide"to assess the risk assessment process,making assessment results more comprehensive and objective.
Keywords:Information Security;Risk Assessment;Risk Analysis
一、前言
電力系統(tǒng)越來(lái)越依賴(lài)電力信息網(wǎng)絡(luò)來(lái)保障其安全、可靠、高效的運(yùn)行,該數(shù)據(jù)信息網(wǎng)絡(luò)出現(xiàn)的任何信息安全方面的問(wèn)題都可能波及電力系統(tǒng)的安全、穩(wěn)定、經(jīng)濟(jì)運(yùn)行,因此電力信息網(wǎng)絡(luò)的安全保障工作刻不容緩[1,2]。風(fēng)險(xiǎn)評(píng)估具體的評(píng)估方法從早期簡(jiǎn)單的純技術(shù)操作,逐漸過(guò)渡到目前普遍采用BS7799、OCTAVE、ISO13335、NIST SP800-30等相關(guān)標(biāo)準(zhǔn)的方法,充分體現(xiàn)以資產(chǎn)為出發(fā)點(diǎn),以威脅為觸發(fā),以技術(shù)、管理、運(yùn)行等方面存在的脆弱性為誘因的信息安全風(fēng)險(xiǎn)評(píng)估綜合方法及操作模型[3]。
二、信息安全風(fēng)險(xiǎn)評(píng)估
在我國(guó),風(fēng)險(xiǎn)評(píng)估工作已經(jīng)完成了調(diào)查研究階段、標(biāo)準(zhǔn)草案編制階段和全國(guó)試點(diǎn)工作階段,國(guó)信辦制定的標(biāo)準(zhǔn)草案《信息安全風(fēng)險(xiǎn)評(píng)估指南》[4](簡(jiǎn)稱(chēng)《指南》)得到了較好地實(shí)踐。本文設(shè)計(jì)的工具是基于《指南》的,涉及內(nèi)容包括:
(一)風(fēng)險(xiǎn)要素關(guān)系。圍繞著資產(chǎn)、威脅、脆弱性和安全措施這些基本要素展開(kāi),在對(duì)基本要素的評(píng)估過(guò)程中,需要充分考慮業(yè)務(wù)戰(zhàn)略、資產(chǎn)價(jià)值、安全需求、安全事件、殘余風(fēng)險(xiǎn)等與基本要素相關(guān)的各類(lèi)屬性。
(二)風(fēng)險(xiǎn)分析原理。資產(chǎn)的屬性是資產(chǎn)價(jià)值;威脅的屬性可以是威脅主體、影響對(duì)象、出現(xiàn)頻率、動(dòng)機(jī)等;脆弱性的屬性是資產(chǎn)弱點(diǎn)的嚴(yán)重程度。
(三)風(fēng)險(xiǎn)評(píng)估流程。包括風(fēng)險(xiǎn)評(píng)估準(zhǔn)備、資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別、已有安全措施確認(rèn)、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)消減[5]。
三、電力信息網(wǎng)風(fēng)險(xiǎn)評(píng)估輔助系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)
本文設(shè)計(jì)的信息安全風(fēng)險(xiǎn)評(píng)估輔助系統(tǒng)是基于《指南》的標(biāo)準(zhǔn),設(shè)計(jì)階段參考了Nipc-RiskAssessTool-V2.0,Microsoft Security Risk Self-Assessment Tool等風(fēng)險(xiǎn)評(píng)估工具。系統(tǒng)采用C/S結(jié)構(gòu),是一個(gè)多專(zhuān)家共同評(píng)估的風(fēng)險(xiǎn)評(píng)估工具。分為知識(shí)庫(kù)管理端、信息庫(kù)管理端、系統(tǒng)評(píng)估端、評(píng)估管理端。其中前兩個(gè)工具用于更新知識(shí)庫(kù)和信息庫(kù)。后兩個(gè)工具是風(fēng)險(xiǎn)評(píng)估的主體。下面對(duì)系統(tǒng)各部分的功能模塊進(jìn)行詳細(xì)介紹:
(一)評(píng)估管理端。評(píng)估管理端控制風(fēng)險(xiǎn)評(píng)估的進(jìn)度,綜合管理系統(tǒng)評(píng)估端的評(píng)估結(jié)果。具體表現(xiàn)在:開(kāi)啟評(píng)估任務(wù);分配風(fēng)險(xiǎn)評(píng)估專(zhuān)家;對(duì)準(zhǔn)備階段、資產(chǎn)識(shí)別階段、威脅識(shí)別階段、脆弱性識(shí)別階段、已有控制措施識(shí)別階段、風(fēng)險(xiǎn)分析階段、選擇控制措施階段這七個(gè)階段多個(gè)專(zhuān)家的評(píng)估進(jìn)行確認(rèn),對(duì)多個(gè)專(zhuān)家的評(píng)估數(shù)據(jù)進(jìn)行綜合,得到綜合評(píng)估結(jié)果。
(二)系統(tǒng)評(píng)估端。系統(tǒng)評(píng)估端由多個(gè)專(zhuān)家操作,同時(shí)開(kāi)展評(píng)估。系統(tǒng)評(píng)估端要經(jīng)歷如下階段:a.準(zhǔn)備階段:評(píng)估系統(tǒng)中CIA的相對(duì)重要性;b.資產(chǎn)識(shí)別階段;c.威脅識(shí)別階段;d.脆弱性識(shí)別階段;e.已有控制措施識(shí)別階段;f.風(fēng)險(xiǎn)分析階段;g.控制措施選擇階段。在完成了風(fēng)險(xiǎn)評(píng)估的所有階段之后,和評(píng)估管理端一樣,可以瀏覽、導(dǎo)出、打印評(píng)估的結(jié)果―風(fēng)險(xiǎn)評(píng)估報(bào)表系列。
(三)信息庫(kù)管理端。信息庫(kù)管理端由資產(chǎn)管理,威脅管理,脆弱點(diǎn)管理,控制措施管理四部分組成。具體功能是:對(duì)資產(chǎn)大類(lèi)、小類(lèi)進(jìn)行管理;對(duì)威脅列表進(jìn)行管理;對(duì)脆弱點(diǎn)大類(lèi)、列表進(jìn)行管理;對(duì)控制措施列表進(jìn)行管理。
(四)知識(shí)庫(kù)管理端。知識(shí)庫(kù)的管理分為系統(tǒng)CIA問(wèn)卷管理,脆弱點(diǎn)問(wèn)卷管理,威脅問(wèn)卷管理,資產(chǎn)屬性問(wèn)卷管理,控制措施問(wèn)卷管理,控制措施損益問(wèn)卷管理六部分。
四、總結(jié)
信息安全風(fēng)險(xiǎn)評(píng)估是一個(gè)新興的領(lǐng)域,本文在介紹了信息安全風(fēng)險(xiǎn)評(píng)估研究意義的基礎(chǔ)之上,詳細(xì)闡述了信息安全風(fēng)險(xiǎn)評(píng)估輔助工具的結(jié)構(gòu)設(shè)計(jì)和系統(tǒng)主要部分的功能描述。測(cè)試結(jié)果表明系統(tǒng)能對(duì)已有的控制措施進(jìn)行識(shí)別,分析出已有控制措施的實(shí)施效果,為風(fēng)險(xiǎn)處理計(jì)劃提供依據(jù)。
參考文獻(xiàn):
[1]Huisheng Gao,Yiqun Sun,Research on Indices System of Security Risk Evaluation for Electric Power.Optical Fiber Communication Network,IEEE,2007.
[2]Masami Hasegawa,Toshiki Ogawa,Security Measures for the Manufacture and Control System,SICE Annual Conference 2007.
[3]左曉棟等.對(duì)信息安全風(fēng)險(xiǎn)評(píng)估中幾個(gè)重要問(wèn)題的認(rèn)識(shí)[J].計(jì)算機(jī)安全,2004,7:64-66
關(guān)鍵詞 電子政務(wù) 信息安全 風(fēng)險(xiǎn)評(píng)估
中圖分類(lèi)號(hào):C931 文獻(xiàn)標(biāo)識(shí)碼:A
1 課題的研究背景與意義
風(fēng)險(xiǎn)管理是信息系統(tǒng)安全運(yùn)行的必要保證,是運(yùn)行維護(hù)體系中最重要的環(huán)節(jié),而風(fēng)險(xiǎn)評(píng)估則是風(fēng)險(xiǎn)管理的基礎(chǔ)。首先,風(fēng)險(xiǎn)評(píng)估是電子政務(wù)系統(tǒng)的安全需求。信息安全風(fēng)險(xiǎn)評(píng)估是電子政務(wù)系統(tǒng)安全保障體系建立過(guò)程中的重要評(píng)價(jià)和決策依據(jù)。信息系統(tǒng)安全是相對(duì)的,沒(méi)有絕對(duì)的安全系統(tǒng)。因此,為了實(shí)現(xiàn)電子政務(wù)系統(tǒng)的安全、穩(wěn)定運(yùn)行這一目標(biāo),就必須采取一系列的安全制度和技術(shù)保障方法,對(duì)電子政務(wù)系統(tǒng)風(fēng)險(xiǎn)進(jìn)行事先防患、事中控制、事后監(jiān)督及糾正,以化解因電子政務(wù)系統(tǒng)的脆弱性所造成的風(fēng)險(xiǎn)。其次,電子政務(wù)系統(tǒng)的脆弱性需要風(fēng)險(xiǎn)評(píng)估。電子政務(wù)系統(tǒng)軟硬件本身存在著很大的脆弱性,一方面表現(xiàn)在設(shè)備的自然損耗、制造缺陷和不可預(yù)測(cè)的自然環(huán)境因素,如火災(zāi)、水災(zāi)、地震、戰(zhàn)爭(zhēng)等不可抗拒的自然災(zāi)難;另一方面表現(xiàn)在由于技術(shù)發(fā)展的局限和人類(lèi)的能力限制,在設(shè)計(jì)龐大的操作系統(tǒng)、復(fù)雜的應(yīng)用程序之初人們不能認(rèn)識(shí)所有的問(wèn)題,失誤和考慮不周在所難免。再次,安全技術(shù)保障手段的欠缺需要風(fēng)險(xiǎn)評(píng)估。當(dāng)前我國(guó)電子政務(wù)系統(tǒng)信息安全建設(shè),在整體安全系統(tǒng)、內(nèi)部網(wǎng)絡(luò)安全監(jiān)控與防范、智能與主動(dòng)性安全防范體系、全面集中安全管理策略平臺(tái)定制等方面,都有很多不足之處,迫切需要進(jìn)行信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估來(lái)發(fā)現(xiàn)弱點(diǎn)彌補(bǔ)不足。
2 電子政務(wù)系統(tǒng)風(fēng)險(xiǎn)評(píng)估要素的提取原則和方法
電子政務(wù)系統(tǒng)安全的風(fēng)險(xiǎn)評(píng)估是一個(gè)復(fù)雜的過(guò)程,它涉及系統(tǒng)中物理環(huán)境、管理體系、主機(jī)安全、網(wǎng)絡(luò)安全和應(yīng)急體系等方面。要在這么廣泛的范圍內(nèi)對(duì)一個(gè)復(fù)雜的系統(tǒng)進(jìn)行全面的風(fēng)險(xiǎn)評(píng)估,就需要對(duì)系統(tǒng)有一個(gè)非常全面的了解,對(duì)系統(tǒng)構(gòu)架和運(yùn)行模式有一個(gè)清醒的認(rèn)識(shí)。可見(jiàn),要做到這一點(diǎn)就需要進(jìn)行廣泛的調(diào)研和實(shí)踐調(diào)查,深入系統(tǒng)內(nèi)部,運(yùn)用多種科學(xué)手段來(lái)獲得信息。
2.1評(píng)估要素的提取原則
評(píng)估要素提取是指通過(guò)各種方式獲取風(fēng)險(xiǎn)評(píng)估所需要的信息。評(píng)估要素提取是保證風(fēng)險(xiǎn)評(píng)估得以正常運(yùn)行的基礎(chǔ)和前提。評(píng)估要素提取成功與否,直接關(guān)系到整個(gè)風(fēng)險(xiǎn)評(píng)估工作和安全信息管理工作的質(zhì)量。為了保證所獲取信息的質(zhì)量,應(yīng)堅(jiān)持以下原則:
一是準(zhǔn)確性原則。該原則要求所收集到的信息要真實(shí)、可靠,這是信息收集工作的最基本要求;二是全面性原則。該原則要求所搜集到的信息要廣泛、全面完整;三是時(shí)效性原則。信息的利用價(jià)值取決于該信息是否能及時(shí)地提供,即具備時(shí)性。
2.2 評(píng)估要素提取的方法
信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估中涉及到的多種因素包括資產(chǎn)、威脅、漏洞和安全措施。信息系統(tǒng)的資產(chǎn)包括數(shù)據(jù)資產(chǎn)、軟件、人員、硬件和服務(wù)資產(chǎn)等。資產(chǎn)的價(jià)值由固有價(jià)值、它所受傷害的近期影響和長(zhǎng)期結(jié)果所組成。目前使用的風(fēng)險(xiǎn)評(píng)估方法大多需要對(duì)多種形式資產(chǎn)進(jìn)行綜合評(píng)估,所獲取的信息范圍應(yīng)包含全部的上述內(nèi)容,只有這樣,其結(jié)果才是有效全面的。同時(shí),評(píng)估時(shí)還要考慮:考慮業(yè)務(wù)中的關(guān)鍵部分,將其重點(diǎn)考慮起來(lái)。第二,哪些關(guān)于資產(chǎn)的重要決定取決于信息的準(zhǔn)確度、完整性或可用性,以及要對(duì)那些資產(chǎn)信息加以重點(diǎn)保護(hù)。第三必須要考慮安全時(shí)間會(huì)對(duì)業(yè)務(wù)或者組織的資產(chǎn)產(chǎn)生哪些影響,如信息資產(chǎn)的購(gòu)買(mǎi)價(jià)值,信息資產(chǎn)的損毀對(duì)政府形象的負(fù)面影響程度,信息資產(chǎn)的損毀程度對(duì)政府長(zhǎng)期規(guī)劃和遠(yuǎn)景發(fā)展的影響等等。
2.3 電子政務(wù)系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的流程及實(shí)施
2.3.1電子政務(wù)系統(tǒng)安全的評(píng)估流程
電子政務(wù)系統(tǒng)安全的風(fēng)險(xiǎn)評(píng)估是組織機(jī)構(gòu)確定信息安全需求的過(guò)程,包括環(huán)境特性評(píng)估、資產(chǎn)識(shí)別與評(píng)價(jià)、威脅和弱點(diǎn)評(píng)估、控制措施評(píng)估、風(fēng)險(xiǎn)認(rèn)定等在內(nèi)的一系列活動(dòng)。
2.3.2 電子政務(wù)系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的實(shí)施
電子政務(wù)系統(tǒng)安全的風(fēng)險(xiǎn)評(píng)估是一項(xiàng)復(fù)雜的工程,除了應(yīng)遵循一定的流程外,選擇合理的方法也很重要。為了使風(fēng)險(xiǎn)評(píng)估全面、準(zhǔn)確、真實(shí)地反映系統(tǒng)的安全狀態(tài),在實(shí)施風(fēng)險(xiǎn)評(píng)估過(guò)程中需要采用多種方法。評(píng)估流程實(shí)施過(guò)程如信息網(wǎng)絡(luò)安全技術(shù)測(cè)評(píng)是電子政務(wù)系統(tǒng)安全測(cè)評(píng)的重要手段,許多安全控制項(xiàng)都必須借助于技術(shù)手段來(lái)實(shí)現(xiàn),但是單獨(dú)依靠技術(shù)測(cè)評(píng)還不能全面系統(tǒng)的分析電子政務(wù)系統(tǒng)的安全。實(shí)踐經(jīng)驗(yàn)證明,僅有安全技術(shù)防范,而無(wú)嚴(yán)格的安全管理體系是難以保障系統(tǒng)的安全的。因此在測(cè)評(píng)中我們必須對(duì)被測(cè)評(píng)方制訂的一系列安全管理制度進(jìn)行測(cè)評(píng)。信息安全管理的測(cè)評(píng)可以單獨(dú)進(jìn)行也可以穿插到技術(shù)測(cè)評(píng)當(dāng)中。隨著信息技術(shù)的發(fā)展,信息安全測(cè)評(píng)工程師面臨越來(lái)越多的挑戰(zhàn),為提高測(cè)評(píng)能力和效率,應(yīng)充分的發(fā)揮主觀能動(dòng)性,利用各種現(xiàn)有的各種安全測(cè)試工具,開(kāi)發(fā)安全測(cè)試工具、報(bào)告生成工具等。信息安全測(cè)評(píng)機(jī)構(gòu)以及電子政務(wù)系統(tǒng)的運(yùn)行、維護(hù)方必須共同努力,為我國(guó)的信息化發(fā)展保駕護(hù)航。
第一,參與系統(tǒng)實(shí)踐。系統(tǒng)實(shí)踐是獲得信息系統(tǒng)真實(shí)可靠信息的最重要手段。系統(tǒng)實(shí)踐是指深入信息系統(tǒng)內(nèi)部,親自參與系統(tǒng)的運(yùn)行,并運(yùn)用觀察、操作等方法直接從信息系統(tǒng)中了解情況,收集資料和數(shù)據(jù)的活動(dòng)。第二,問(wèn)卷調(diào)查。問(wèn)卷調(diào)查表是通過(guò)問(wèn)題表的形式,事先將需要了解的問(wèn)題列舉出來(lái),通過(guò)讓信息系統(tǒng)相關(guān)人員回答相關(guān)問(wèn)題而獲取信息的一種有效方式。現(xiàn)在的信息獲取經(jīng)常利用這種方式,它具有實(shí)施方便,操作方便,所需費(fèi)用少,分析簡(jiǎn)潔、明快等特點(diǎn),所以得到了廣泛的應(yīng)用。但是它的靈活性較少,得到的信息有時(shí)不太清楚,具有一定的模糊性,信息深度不夠等;還需要其他的方式來(lái)配合和補(bǔ)充。第三,輔助工具的使用,在信息系統(tǒng)中,網(wǎng)絡(luò)安全狀況、主機(jī)安全狀況等難以用眼睛觀察出來(lái),需要借助優(yōu)秀的網(wǎng)絡(luò)和系統(tǒng)檢測(cè)工具來(lái)監(jiān)測(cè)。輔助工具能夠發(fā)現(xiàn)系統(tǒng)的某些內(nèi)在的弱點(diǎn),以及在配置上可能存在的威脅系統(tǒng)安全的錯(cuò)誤,這些因素很可能就是破壞目標(biāo)主機(jī)安全性的關(guān)鍵性因素。輔助工具能幫助發(fā)現(xiàn)系統(tǒng)中的安全隱患,但并不能完全代替人做所有的工作,而且掃描的結(jié)果往往是不全面的。
參考文獻(xiàn)
[1] 閆強(qiáng),陳鐘,段云所,等.信息安全評(píng)估標(biāo)準(zhǔn)、技術(shù)及其進(jìn)展[J].計(jì)算機(jī)工程,2003
傳統(tǒng)信息安全風(fēng)險(xiǎn)主要包括3個(gè)要素:①資產(chǎn),它是信息系統(tǒng)內(nèi)部需要保護(hù)的重要資源或信息;②威脅,它是來(lái)自攻擊者的惡意攻擊,可能造成信息資產(chǎn)重大損失或外流的潛在因素;③脆弱性,它是信息系統(tǒng)內(nèi)部容易被攻擊的薄弱環(huán)節(jié)。實(shí)際的信息安全風(fēng)險(xiǎn)評(píng)估建立的模型對(duì)這3個(gè)要素有所深化和發(fā)展,并應(yīng)用于信息安全的標(biāo)準(zhǔn)化制定中。
(1)國(guó)際標(biāo)準(zhǔn)ISO15408。
該標(biāo)準(zhǔn)強(qiáng)調(diào)人為因素的作用,將信息系統(tǒng)的“屬主”從籠統(tǒng)的“資產(chǎn)”要素中分離出來(lái),將“攻擊者”從籠統(tǒng)的“威脅”要素中分離出來(lái)。該標(biāo)準(zhǔn)除了上述3個(gè)要素以外,還考慮漏洞、風(fēng)險(xiǎn)和措施這3個(gè)要素。
(2)國(guó)際標(biāo)準(zhǔn)ISO13335。
該標(biāo)準(zhǔn)細(xì)化了風(fēng)險(xiǎn)評(píng)估指標(biāo)體系。它除了考慮“資產(chǎn)”要素以外,還考慮“資產(chǎn)價(jià)值”要素;除了考慮“防護(hù)措施”要素以外,還考慮“防護(hù)需求”要素,進(jìn)一步強(qiáng)調(diào)了系統(tǒng)中要素的屬性。此外,該標(biāo)準(zhǔn)還考慮到威脅、脆弱性、風(fēng)險(xiǎn)等3個(gè)一級(jí)指標(biāo),7個(gè)要素。
(3)國(guó)務(wù)院信息化工作辦公室制定的《信息安全風(fēng)險(xiǎn)評(píng)估指南》。
它引入了“使命”要素,從源頭上強(qiáng)調(diào)了信息風(fēng)險(xiǎn)管理工作的驅(qū)動(dòng)力;引入了“殘余風(fēng)險(xiǎn)”要素,強(qiáng)調(diào)了安全防范不可能一蹴而就,需要不斷改進(jìn);同時(shí)引入了“事件”要素,強(qiáng)調(diào)了對(duì)突發(fā)事件的預(yù)判,比ISO13335擴(kuò)展了3個(gè)要素,建立了適合中國(guó)國(guó)情的10個(gè)要素的信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)。開(kāi)展信息安全風(fēng)險(xiǎn)的評(píng)估一般分為5個(gè)步驟。①評(píng)估準(zhǔn)備階段,主要是明確風(fēng)險(xiǎn)評(píng)估的目的和意義,制定評(píng)估方案,確定評(píng)估模型等。②要素識(shí)別階段,主要是按照上級(jí)制定的標(biāo)準(zhǔn),結(jié)合被評(píng)估對(duì)象的實(shí)際情況,識(shí)別信息安全風(fēng)險(xiǎn)評(píng)估的各個(gè)要素,同時(shí)根據(jù)權(quán)威標(biāo)準(zhǔn)的一級(jí)指標(biāo)體系合理擴(kuò)展為可以測(cè)度的二級(jí)指標(biāo)體系。③測(cè)度匯總階段,主要是使用二級(jí)指標(biāo)體系進(jìn)行測(cè)度,給出評(píng)估分值,并使用合適的數(shù)學(xué)模型進(jìn)行匯總評(píng)分。④風(fēng)險(xiǎn)分析階段,主要是根據(jù)二級(jí)指標(biāo)體系的評(píng)分結(jié)果和數(shù)學(xué)模型計(jì)算分析結(jié)果,綜合進(jìn)行風(fēng)險(xiǎn)判斷,分析外部威脅和內(nèi)部漏洞的危險(xiǎn)程度,計(jì)算各指標(biāo)蘊(yùn)含的安全風(fēng)險(xiǎn)。⑤落實(shí)整改階段,主要是通過(guò)評(píng)估工作的匯報(bào)驗(yàn)收,找到風(fēng)險(xiǎn)根源,落實(shí)整改措施,不斷調(diào)整完善,提高系統(tǒng)抗風(fēng)險(xiǎn)的能力。
2兩類(lèi)信息安全風(fēng)險(xiǎn)綜合評(píng)估指標(biāo)體系
安全風(fēng)險(xiǎn)評(píng)估和預(yù)警工作中,指標(biāo)體系的建立既很重要,也有很強(qiáng)的科學(xué)性。構(gòu)建信息安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系需要掌握以下7項(xiàng)原則:①目的性原則。建立評(píng)估指標(biāo)體系的根本目的是有效防范信息安全風(fēng)險(xiǎn)。②科學(xué)性原則。指標(biāo)體系必須科學(xué)有效地反映信息安全風(fēng)險(xiǎn)的所有特點(diǎn)。③系統(tǒng)性原則。建立的評(píng)價(jià)指標(biāo)體系必須協(xié)調(diào)統(tǒng)一,層次合理,最大限度地反映信息安全風(fēng)險(xiǎn)的基本特點(diǎn)。④重要性原則。抓住反映信息安全風(fēng)險(xiǎn)本質(zhì)特點(diǎn)的主要因素來(lái)設(shè)計(jì)指標(biāo),該指標(biāo)體系必須能突出主要風(fēng)險(xiǎn)因素,建立重點(diǎn)突出,簡(jiǎn)明實(shí)用的指標(biāo)體系。⑤互斥性原則。要求指標(biāo)間相互獨(dú)立,避免太多的涵蓋等出現(xiàn)而導(dǎo)致指標(biāo)內(nèi)涵的重復(fù)。同時(shí)指標(biāo)相互間又有密切聯(lián)系,需要一些不同角度指標(biāo)的設(shè)置來(lái)互相檢驗(yàn)、彌補(bǔ)。⑥層次性原則。對(duì)評(píng)估的目標(biāo)進(jìn)行層次分解,使結(jié)構(gòu)清晰,容易分析,邏輯性和科學(xué)性強(qiáng),提高評(píng)估結(jié)論的可信度。⑦操作性原則。指標(biāo)體系的各指標(biāo)必須是可以采集的和可以量化的,數(shù)據(jù)應(yīng)通過(guò)可靠來(lái)源直接或間接的獲取,評(píng)估指標(biāo)應(yīng)盡量避免難以獲得的參數(shù)。根據(jù)上述信息安全風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)和評(píng)估原則,結(jié)合被評(píng)估對(duì)象的實(shí)際情況,將兩類(lèi)安全風(fēng)險(xiǎn)綜合起來(lái),建立綜合評(píng)估的指標(biāo)體系。技術(shù)風(fēng)險(xiǎn)按照資產(chǎn)/業(yè)務(wù)、技術(shù)脆弱性、威脅3個(gè)方面組織指標(biāo)設(shè)計(jì)。在一般計(jì)算機(jī)系統(tǒng)中,其脆弱性方面也可以進(jìn)行展開(kāi)。之所以列出兩個(gè)表格,旨在指出這方面的指標(biāo)系統(tǒng)設(shè)計(jì)不是唯一的,可以根據(jù)上述原則,結(jié)合具體環(huán)境和條件進(jìn)行設(shè)計(jì)。非傳統(tǒng)的信息安全風(fēng)險(xiǎn)的評(píng)估,主要是指利用人的弱點(diǎn)產(chǎn)生的風(fēng)險(xiǎn),一般體現(xiàn)在內(nèi)部管理上的疏忽與過(guò)失,以及外部的蓄意攻擊和陰謀策劃。一般計(jì)算機(jī)系統(tǒng)可以進(jìn)行展開(kāi)。建立兩類(lèi)信息安全評(píng)估二級(jí)指標(biāo)體系是一個(gè)方面,運(yùn)用數(shù)學(xué)模型進(jìn)行安全風(fēng)險(xiǎn)分析是更重要的一個(gè)方面。李成耀很早就研究了多層協(xié)議和多層結(jié)構(gòu)的網(wǎng)絡(luò)信息安全分層模型;羅帆等運(yùn)用N-K模型分析了安全耦合風(fēng)險(xiǎn);楊亞?wèn)|等使用一般層次分析法(AHP)為安全監(jiān)管系統(tǒng)建立了風(fēng)險(xiǎn)評(píng)價(jià)指標(biāo)體系和綜合評(píng)估模型。結(jié)構(gòu)方程模型在這些模型中獨(dú)樹(shù)一幟,它既可以進(jìn)行指標(biāo)體系的匯總與路徑影響分析,還可以深入分析某些因素之間的中介效應(yīng)、調(diào)和效應(yīng)和交互效應(yīng)。筆者采用結(jié)構(gòu)方程模型(SEM)進(jìn)行兩類(lèi)信息安全風(fēng)險(xiǎn)綜合評(píng)估,其數(shù)學(xué)表達(dá)和計(jì)算可以參見(jiàn)文獻(xiàn)[13]。其提出了一種新的確定性算法,克服了傳統(tǒng)的偏最小二乘算法與協(xié)方差擬合算法需要反復(fù)迭代的弱點(diǎn),并且可以使用DASC軟件實(shí)現(xiàn)計(jì)算。結(jié)構(gòu)方程模型是針對(duì)一般信息系統(tǒng)的非傳統(tǒng)信息安全風(fēng)險(xiǎn)評(píng)估而設(shè)立的,它很容易改寫(xiě)為適應(yīng)其他二級(jí)指標(biāo)體系的模型,使用DASC軟件很容易實(shí)現(xiàn)數(shù)學(xué)計(jì)算。
3兩類(lèi)信息安全風(fēng)險(xiǎn)的綜合防范
信息安全風(fēng)險(xiǎn)評(píng)估的目的在于防范,不同的信息系統(tǒng)在不同的環(huán)境下,風(fēng)險(xiǎn)防范措施很不一樣。最近制定的信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估的國(guó)內(nèi)標(biāo)準(zhǔn)(GB/T9387-2)以及國(guó)際標(biāo)準(zhǔn)(ISO7498-2)都明確規(guī)定,信息安全實(shí)現(xiàn)主要以構(gòu)筑防火墻、建立入侵檢測(cè)系統(tǒng)、災(zāi)難備份和應(yīng)急響應(yīng)系統(tǒng)、物理隔離系統(tǒng)、殺毒軟件包等方式實(shí)現(xiàn)。物理隔離系統(tǒng)是絕對(duì)的隔離,效果比較理想。防火墻以及網(wǎng)關(guān)主要應(yīng)用于專(zhuān)用網(wǎng)絡(luò)與公用網(wǎng)絡(luò)的互聯(lián)環(huán)節(jié),技術(shù)復(fù)雜并在不斷改進(jìn)更新。入侵檢測(cè)系統(tǒng)把系統(tǒng)的安全管理能力擴(kuò)展到新的范圍,引入了模式匹配、實(shí)時(shí)檢測(cè)與響應(yīng)等技術(shù),使得信息系統(tǒng)建設(shè)得越來(lái)越復(fù)雜和龐大。非傳統(tǒng)信息安全風(fēng)險(xiǎn)的防范,從宏觀管理的角度主要考慮如下幾個(gè)方面:①健全法規(guī)標(biāo)準(zhǔn),加強(qiáng)高層對(duì)于信息安全的統(tǒng)一協(xié)調(diào),加快安全標(biāo)準(zhǔn)制定。②建立信任機(jī)制,建立服務(wù)商之間、服務(wù)商與用戶(hù)之間的信任關(guān)系,將是解決信息系統(tǒng)外部交流安全問(wèn)題的根本。③發(fā)展關(guān)鍵技術(shù),建立保證信息安全的技術(shù)體系,包括數(shù)據(jù)安全、可信計(jì)算和隱私保護(hù)技術(shù)等關(guān)鍵技術(shù)。④加強(qiáng)監(jiān)督管理,著眼長(zhǎng)效監(jiān)管,完善應(yīng)急機(jī)制,強(qiáng)化日志審計(jì)管理,提高溯源審查能力。非傳統(tǒng)信息安全風(fēng)險(xiǎn)的防范,從個(gè)體心理的角度主要考慮如下幾個(gè)方面:①加強(qiáng)心理防范,主要克服攻擊者往往利用人的好奇心和虛榮心等弱點(diǎn)。②定期安全培訓(xùn),讓全體員工熟悉了解新的攻擊者利用社會(huì)工程學(xué)的伎倆,學(xué)會(huì)防范非傳統(tǒng)信息安全風(fēng)險(xiǎn)。③區(qū)分友誼責(zé)任,明確友誼必須有一定的信任基礎(chǔ)。④提高安全意識(shí),管理部門(mén)要制定更為嚴(yán)格的安全方案,同時(shí)落實(shí)到每一個(gè)員工。⑤實(shí)時(shí)事故響應(yīng),一旦發(fā)生信息安全事故,立即啟動(dòng)應(yīng)急方案,除了檢查技術(shù)漏洞和損失以外,特別要對(duì)利用社會(huì)工程學(xué)的攻擊做出實(shí)時(shí)反應(yīng)。
4結(jié)論
【 關(guān)鍵詞 】 風(fēng)險(xiǎn)評(píng)估;風(fēng)險(xiǎn)分析;項(xiàng)目管理
Implementation of Government Information Systems Risk Assessment
Yu Ying-tao 1 Li Xin 1 Xue Jun 2
(1.North China Institute of Computing Technology Beijing 100083;
2. Solid Waste Management Center,Department of Environmental Protection Beijing 100029)
【 Abstract 】 This article describes the main points of the risk assessment of the implementation of the government information system, including risk assessment purpose, scope and risk assessment models, risk assessment project specific work processes and methods, tools, and related items necessary for the completion of the risk assessment projectmanagement requirements. Good reference for guiding the risk assessment of information systems project implementation.
【 Keywords 】 risk assessment; risk analysis; project management
0 引言
政務(wù)信息系統(tǒng)關(guān)系到國(guó)計(jì)民生,因此保障電子政務(wù)系統(tǒng)的信息安全是我國(guó)經(jīng)濟(jì)與社會(huì)信息化的先決條件之一,是國(guó)家信息化建設(shè)的重要內(nèi)容。如何保證政務(wù)信息系統(tǒng)的安全性,風(fēng)險(xiǎn)評(píng)估是一項(xiàng)很基礎(chǔ)的工作。通過(guò)對(duì)政務(wù)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估,可以了解信息與網(wǎng)絡(luò)系統(tǒng)目前與未來(lái)的風(fēng)險(xiǎn)所在,充分評(píng)估這些風(fēng)險(xiǎn)可能帶來(lái)的威脅與影響的程度,依據(jù)系統(tǒng)的風(fēng)險(xiǎn)和威脅,進(jìn)行針對(duì)性的防范,做到“對(duì)癥下藥”,可以有效解決政務(wù)信息系統(tǒng)的安全問(wèn)題。
1 政務(wù)系統(tǒng)風(fēng)險(xiǎn)評(píng)估概述
1.1 風(fēng)險(xiǎn)評(píng)估的概念
政務(wù)系統(tǒng)的信息安全關(guān)心的是保護(hù)政務(wù)信息資產(chǎn)免受威脅。風(fēng)險(xiǎn)評(píng)估是有效保證信息安全的前提條件,也是建立在網(wǎng)絡(luò)入侵防護(hù)系統(tǒng)、實(shí)施風(fēng)險(xiǎn)管理程序所開(kāi)展的一項(xiàng)基礎(chǔ)性工作。其工作原理是對(duì)系統(tǒng)所采用的安全策略和管理制度進(jìn)行評(píng)審,發(fā)現(xiàn)不合理的地方,采用模擬化攻擊的方式對(duì)系統(tǒng)可能存在的安全漏洞進(jìn)行逐項(xiàng)檢查,確定存在的安全問(wèn)題與風(fēng)險(xiǎn)級(jí)別。并根據(jù)檢查結(jié)果向系統(tǒng)管理員提供周密可靠的安全性分析報(bào)告,為提高網(wǎng)絡(luò)安全整體水平提供重要依據(jù)。
風(fēng)險(xiǎn)評(píng)估的目的是全面、準(zhǔn)確地了解政務(wù)信息系統(tǒng)的安全現(xiàn)狀,發(fā)現(xiàn)系統(tǒng)的安全問(wèn)題及其可能的危害,為后期進(jìn)一步安全防護(hù)技術(shù)的實(shí)施提供了嚴(yán)謹(jǐn)?shù)陌踩碚撘罁?jù),為決策者制定網(wǎng)絡(luò)安全策略、構(gòu)架安全體系以及確定有效的安全措施、選擇可靠的安全產(chǎn)品、建立全面的安全防護(hù)層次提供了一套完整、規(guī)范的指導(dǎo)模型。
1.2 風(fēng)險(xiǎn)評(píng)估的范圍
政務(wù)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的內(nèi)容與范圍需要涵蓋整個(gè)系統(tǒng),包括系統(tǒng)安全管理的狀況、網(wǎng)絡(luò)及安全防護(hù)技術(shù)架構(gòu)、通信鏈路、系統(tǒng)數(shù)據(jù)及業(yè)務(wù)系統(tǒng)加密情況、系統(tǒng)訪問(wèn)控制狀況等。在政務(wù)信息系統(tǒng)的安全防護(hù)工作中,“人”是關(guān)鍵要素,無(wú)論系統(tǒng)所采用的安全技術(shù)、安全策略和安全手段多么現(xiàn)代化與智能化,都需要“人”去操作、運(yùn)行和管理。如果信息系統(tǒng)的安全管理水平落后,人員素質(zhì)不高,那么政務(wù)信息系統(tǒng)的安全性就會(huì)減弱,安全漏洞就會(huì)增加。
1.3 風(fēng)險(xiǎn)評(píng)估的原則和依據(jù)
1.3.1指導(dǎo)原則
由于政務(wù)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估涉及的內(nèi)容較多,因此在進(jìn)行評(píng)估時(shí)就需要本著多角度、多層面的原則,從軟件到硬件,從理論到實(shí)際,從技術(shù)到管理,從設(shè)備到人員,來(lái)具體制定詳細(xì)的評(píng)估計(jì)劃和分析步驟,避免遺漏。在評(píng)估時(shí)一般需遵循的如下幾個(gè)原則:標(biāo)準(zhǔn)性、可靠性、可控性、保密性、技術(shù)先進(jìn)和成熟性、全面性、高效性、持續(xù)性。
1.3.2相關(guān)法規(guī)和政策
《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(國(guó)務(wù)院令147號(hào));
《商用密碼管理?xiàng)l例》(國(guó)務(wù)院令 273號(hào));
《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》;
《計(jì)算機(jī)機(jī)房場(chǎng)地安全要求》(GB9361-88);
《信息安全技術(shù)-信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》( GB/T 20984—2007)。
2 政務(wù)信息風(fēng)險(xiǎn)評(píng)估工作流程
2.1 系統(tǒng)調(diào)查
開(kāi)展政務(wù)信息系統(tǒng)風(fēng)險(xiǎn)評(píng)估的第一步就是進(jìn)行系統(tǒng)調(diào)查。通過(guò)調(diào)查政務(wù)信息系統(tǒng)上運(yùn)行的所有應(yīng)用,了解系統(tǒng)主要業(yè)務(wù)的流程,清楚的掌握支持業(yè)務(wù)運(yùn)行的硬件基礎(chǔ)設(shè)施的結(jié)構(gòu)及安全系統(tǒng)現(xiàn)狀,收集風(fēng)險(xiǎn)評(píng)估所需的系統(tǒng)全部信息。在進(jìn)行系統(tǒng)調(diào)查的同時(shí),還需對(duì)系統(tǒng)風(fēng)險(xiǎn)評(píng)估的評(píng)估范圍進(jìn)行分析、界定。對(duì)系統(tǒng)邊界進(jìn)行明確定義,有助于防止不必要的工作,并對(duì)改進(jìn)風(fēng)險(xiǎn)評(píng)估的質(zhì)量都是很重要的。
(一)采用系統(tǒng)的思想
網(wǎng)絡(luò)安全的建設(shè)是一個(gè)系統(tǒng)工程,它需要對(duì)影響信息系統(tǒng)安全的各種因素進(jìn)行綜合考慮,同時(shí)需要對(duì)信息系統(tǒng)運(yùn)行的全過(guò)程進(jìn)行綜合分析,實(shí)現(xiàn)預(yù)警、防護(hù)、恢復(fù)等網(wǎng)絡(luò)安全的全過(guò)程環(huán)節(jié)的無(wú)縫銜接;另一方面要充分考慮技術(shù)、管理、人員等影響網(wǎng)絡(luò)安全的主要因素,實(shí)現(xiàn)技術(shù)、管理、人員的協(xié)同作戰(zhàn)。
(二)強(qiáng)調(diào)風(fēng)險(xiǎn)管理
基于風(fēng)險(xiǎn)管理,體現(xiàn)預(yù)防控制為主的思想,強(qiáng)調(diào)全過(guò)程和動(dòng)態(tài)控制,確保信息的保密性、完整性和可用性,保持系統(tǒng)運(yùn)作的持續(xù)性。
(三)動(dòng)態(tài)的安全管理
公安信息網(wǎng)絡(luò)安全模型中的“動(dòng)態(tài)”網(wǎng)絡(luò)安全有兩個(gè)含義:一是整個(gè)網(wǎng)絡(luò)的安全目標(biāo)是動(dòng)態(tài)的,而不再是傳統(tǒng)的、一旦部署完畢就固定不變的,從而支持部分或者全網(wǎng)范圍內(nèi)安全級(jí)別的動(dòng)態(tài)調(diào)整;二是達(dá)到安全目標(biāo)的手段、途徑必須能夠根據(jù)周邊/內(nèi)部環(huán)境的變化進(jìn)行動(dòng)態(tài)調(diào)整。
二、基于策略的動(dòng)態(tài)安全管理模型的定義
基于上述指導(dǎo)思想,建立基于策略的動(dòng)態(tài)安全管理模型,主要包括四類(lèi)要素:人員、管理、策略、流程(技術(shù)產(chǎn)品)。安全策略確定后,需要根據(jù)組織切實(shí)的安全需要,以上述定義的安全策略為基礎(chǔ),將安全周期內(nèi)各個(gè)階段的、反映不同安全需求的防護(hù)手段和實(shí)施方法以一種利于連動(dòng)的、協(xié)同的方式組織起來(lái),提高系統(tǒng)的安全性。總的指導(dǎo)原則是:第一,防護(hù)是基礎(chǔ),是基本條件,它包含了對(duì)系統(tǒng)的靜態(tài)保護(hù)措施,是保護(hù)信息系統(tǒng)必須實(shí)現(xiàn)的部分。第二,檢測(cè)和預(yù)測(cè)是手段,是擴(kuò)展條件,提供對(duì)系統(tǒng)的動(dòng)態(tài)監(jiān)測(cè)措施,是保護(hù)信息系統(tǒng)須擴(kuò)展實(shí)現(xiàn)的部分。第三,響應(yīng)是目標(biāo),是進(jìn)行安全控制和緩解入侵威脅的期望結(jié)果,反應(yīng)了系統(tǒng)的安全控制力度,是保護(hù)信息系統(tǒng)須優(yōu)先實(shí)現(xiàn)的部分。這些不同的安全技術(shù)和產(chǎn)品按照統(tǒng)一的策略集成在一起,保持防護(hù)、監(jiān)測(cè)、預(yù)警、恢復(fù)的動(dòng)態(tài)過(guò)程的無(wú)縫銜接,并隨著環(huán)境的變化而進(jìn)行適當(dāng)?shù)恼{(diào)整,這樣就能夠針對(duì)系統(tǒng)的薄弱環(huán)節(jié)有的放矢,有效防范,從而完善信息安全防護(hù)系統(tǒng)。
三、基于策略的動(dòng)態(tài)安全管理模型的實(shí)施過(guò)程
在公安信息安全管理體系的建立、實(shí)施和改進(jìn)的過(guò)程中引用PDCA(Plan-Do-Check-Act)模型,按照PDCA模型將信息安全管理體系分解成風(fēng)險(xiǎn)評(píng)估、安全設(shè)計(jì)與執(zhí)行、安全管理和再評(píng)估四個(gè)子過(guò)程。組織通過(guò)持續(xù)的執(zhí)行這些過(guò)程而使自身的信息安全水平得到不斷的提高。PDCA模型的主要過(guò)程如下:
(一)計(jì)劃(Plan)
計(jì)劃就是根據(jù)組織的業(yè)務(wù)目標(biāo)與安全要求,在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上,建立信息安全框架。包括下面三項(xiàng)主要工作:
1.明確安全目標(biāo),制定安全方針根據(jù)公安專(zhuān)用網(wǎng)絡(luò)信息安全需求及有關(guān)法律法規(guī)要求,制定信息安全方針、策略,通過(guò)風(fēng)險(xiǎn)評(píng)估建立控制目標(biāo)與控制方式,包括公安系統(tǒng)工程必要的過(guò)程與持續(xù)性計(jì)劃。
2.定義信息安全管理的范圍信息安全管理范圍的確定需要重點(diǎn)確定信息安全管理的領(lǐng)域,公安信息安全管理部門(mén)需要根據(jù)公安系統(tǒng)工程的實(shí)際情況,在整個(gè)金盾工程規(guī)劃中或者各業(yè)務(wù)部門(mén)構(gòu)架信息安全管理框架。
3.明確管理職責(zé)成立相應(yīng)的安全管理職能部門(mén),明確管理職責(zé),同時(shí)要對(duì)所有相關(guān)人員進(jìn)行信息安全策略的培訓(xùn),對(duì)信息安全負(fù)有特殊責(zé)任的人員要進(jìn)行特殊的培訓(xùn),以使信息安全方針真正植根于所有公安干警的腦海并落實(shí)到實(shí)際工作中。
(二)實(shí)施(Do)
實(shí)施過(guò)程就是按照所選定的控制目標(biāo)與方式進(jìn)行信息安全控制,即安全管理職能部門(mén)按照公安信息安全管理策略、程序、規(guī)章等規(guī)定的要求進(jìn)行信息安全管理實(shí)施。在實(shí)施過(guò)程中,以公安信息安全管理策略為核心,監(jiān)測(cè)、安全保護(hù)措施、風(fēng)險(xiǎn)評(píng)估、補(bǔ)救組成一個(gè)循環(huán)鏈,其中信息安全管理策略是保證整個(gè)安全系統(tǒng)能夠動(dòng)態(tài)、自適應(yīng)運(yùn)行的核心。
1.選擇安全策略根據(jù)公安業(yè)務(wù)目標(biāo)、公安信息安全管理目標(biāo)、公安信息安全管理指導(dǎo)方針選擇或制定信息安全策略。
2.部署安全策略對(duì)于高層策略,在此階段,首先應(yīng)將各種全局的高層策略規(guī)范編譯成低級(jí)(基本)策略。根據(jù)底層的服務(wù)或是應(yīng)用的要求將策略編譯成執(zhí)行組件可以理解的形式,針對(duì)特定類(lèi)型的策略實(shí)施封裝具體實(shí)施策略所需的行為,封裝執(zhí)行策略所必需的實(shí)現(xiàn)代碼,這些代碼與底層實(shí)現(xiàn)有關(guān)。將策略分發(fā)并載入到相應(yīng)的策略實(shí)施中,繼而可以對(duì)策略對(duì)象執(zhí)行啟用、禁用、卸載等策略操作。
3.執(zhí)行安全策略(1)監(jiān)測(cè)。對(duì)公安信息系統(tǒng)進(jìn)行安全保護(hù)以后并不能完全消除信息安全風(fēng)險(xiǎn),所以要定期地監(jiān)控整個(gè)信息系統(tǒng)以發(fā)現(xiàn)不正常的活動(dòng)。(2)進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)評(píng)估主要對(duì)公安信息安全管理范圍內(nèi)的數(shù)據(jù)信息進(jìn)行鑒定和估價(jià),然后對(duì)數(shù)據(jù)信息面對(duì)的各種威脅進(jìn)行評(píng)估,同時(shí)對(duì)已存在的或規(guī)劃的安全管理措施進(jìn)行鑒定。(3)公安信息安全風(fēng)險(xiǎn)處置。根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果進(jìn)行相應(yīng)的風(fēng)險(xiǎn)處置,公安信息安全風(fēng)險(xiǎn)處置措施主要包括降低風(fēng)險(xiǎn)、避免風(fēng)險(xiǎn)、轉(zhuǎn)嫁風(fēng)險(xiǎn)、接受風(fēng)險(xiǎn)等,使得公安業(yè)務(wù)可以正常進(jìn)行,并重新進(jìn)行風(fēng)險(xiǎn)分析與評(píng)估,增加或更改原有的信息安全保護(hù)措施。在公安信息系統(tǒng)正常運(yùn)行時(shí),要定期地對(duì)系統(tǒng)進(jìn)行備份。(4)根據(jù)公安信息安全策略調(diào)整控制安全措施。由于信息安全是一個(gè)動(dòng)態(tài)的系統(tǒng)工程,安全管理職能部門(mén)應(yīng)實(shí)時(shí)對(duì)選擇的管理目標(biāo)和管理措施加以校驗(yàn)和調(diào)整,以適應(yīng)變化了的情況,使公安系統(tǒng)數(shù)據(jù)資源得到有效、經(jīng)濟(jì)、合理的保護(hù)。
(三)檢查(Check)
檢查就是根據(jù)安全目標(biāo)、安全標(biāo)準(zhǔn),審查變化中環(huán)境的風(fēng)險(xiǎn)水平,執(zhí)行內(nèi)部信息安全管理體系審計(jì),報(bào)告安全管理的有效性,在實(shí)踐中檢查制定的安全目標(biāo)是否合適、安全策略和控制手段是否能夠保證安全目標(biāo)的實(shí)現(xiàn),系統(tǒng)還有哪些漏洞。
(四)改進(jìn)(Action)
改進(jìn)就是對(duì)信息安全管理體系實(shí)行改進(jìn),以適應(yīng)環(huán)境的變化。改進(jìn)內(nèi)容包括三部分:一是系統(tǒng)的安全目標(biāo)、安全指導(dǎo)思想、安全管理制度、安全策略。二是安全技術(shù)手段的改進(jìn)。隨著安全技術(shù)和安全產(chǎn)品的改進(jìn),系統(tǒng)的安全技術(shù)手段也要不定期地更換。但更換后的安全技術(shù)手段仍然要遵循相應(yīng)的信息安全策略。三是對(duì)人員的改進(jìn)。安全管理措施和手段改進(jìn)后,要對(duì)民警要進(jìn)行安全教育與培訓(xùn),并根據(jù)民警的不同角色為其制定不同的安全職責(zé)和年度信息安全計(jì)劃,并按照計(jì)劃進(jìn)行工作,年底時(shí)要對(duì)安全計(jì)劃的執(zhí)行情況進(jìn)行檢查。
四、結(jié)束語(yǔ)
建立完善管控體系
隨著信息化的發(fā)展,管理者的職能也在不斷變化。對(duì)于如何加快信息化的進(jìn)程來(lái)說(shuō),傳統(tǒng)工業(yè)時(shí)代下的管理控制模式已經(jīng)不能適應(yīng)發(fā)展的需求,因此,需要建立更加有效的信息化管理體制,確保信息化建設(shè)有序推進(jìn),最終實(shí)現(xiàn)組織信息化發(fā)展的戰(zhàn)略目標(biāo)。
在信息化時(shí)代下,完善的體制架構(gòu)被劃分為機(jī)構(gòu)協(xié)調(diào)、職能分工和運(yùn)作規(guī)則等幾個(gè)部分。就機(jī)構(gòu)協(xié)調(diào)而言,不再是傳統(tǒng)的金字塔模式,即信息自下而上層層傳遞,決策由上而下層層布置;而是采用更加扁平的組織流模式,管理趨向于文化,而不在是制度,組織的信息化水平越高,即信息傳遞速度越快,內(nèi)容描述得越精準(zhǔn),管理就變得越簡(jiǎn)單,國(guó)家或企業(yè)的安全就更加可控。
實(shí)施科學(xué)風(fēng)險(xiǎn)評(píng)估
風(fēng)險(xiǎn)評(píng)估作為保障信息安全的重要措施之一,其在信息化發(fā)展方面起著至關(guān)重要的作用。隨著信息化的不斷發(fā)展,各種社會(huì)組織都越來(lái)越多地依賴(lài)于信息技術(shù)和信息系統(tǒng)來(lái)處理其信息和管理業(yè)務(wù),從而提高自身競(jìng)爭(zhēng)力,風(fēng)險(xiǎn)管理也隨之在信息化的推進(jìn)和管理中扮演越來(lái)越重要的角色。信息化作為兩化融合的重要組成部分,所涉及的眾多信息都具有保密性,即使安全功能再?gòu)?qiáng)大的網(wǎng)絡(luò)系統(tǒng),也有被非法攻擊的可能性,因此,對(duì)基于兩化融合思路的信息安全風(fēng)險(xiǎn)評(píng)估服務(wù)也顯得更為重要。尋求完善有效的基于兩化融合思路信息安全風(fēng)險(xiǎn)評(píng)估模式,是保障信息安全的有效措施,也已成為世界各國(guó)兩化融合工作的新方向。
信息安全風(fēng)險(xiǎn)管理是一個(gè)包括識(shí)別風(fēng)險(xiǎn)、評(píng)估風(fēng)險(xiǎn)以及采取措施降低風(fēng)險(xiǎn)至可以接受的程度在內(nèi)的全過(guò)程,其目標(biāo)是要保護(hù)重要的信息系統(tǒng)和信息安全,幫助管理層更好地做出與管理風(fēng)險(xiǎn)相關(guān)的各種決策,幫助管理層更好地審批和建設(shè)信息系統(tǒng),掌握其可能面臨的風(fēng)險(xiǎn)。它從風(fēng)險(xiǎn)管理角度,運(yùn)用科學(xué)的方法和手段,系統(tǒng)分析網(wǎng)絡(luò)與信息系統(tǒng)所面臨的威脅及其存在的脆弱性,評(píng)估安全事件一旦發(fā)生可能造成的危害程度,提出有針對(duì)性的抵御威脅的防護(hù)對(duì)策和整改措施,為防范和化解信息安全風(fēng)險(xiǎn),將風(fēng)險(xiǎn)控制在可接受的水平。這樣綜合評(píng)估的結(jié)果可以幫助風(fēng)險(xiǎn)管理進(jìn)行決策,即需要采取什么樣的風(fēng)險(xiǎn)管理措施,優(yōu)先次序是什么,以及如何落實(shí)這些風(fēng)險(xiǎn)控制措施。
進(jìn)行整體安全防范
對(duì)信息網(wǎng)絡(luò)的整體安全防范應(yīng)該在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上進(jìn)行相應(yīng)的信息安全等級(jí)保護(hù)和重要信息安全保護(hù)。信息安全等級(jí)保護(hù)是指國(guó)家通過(guò)制定統(tǒng)一的信息安全等級(jí)保護(hù)管理規(guī)范和技術(shù)標(biāo)準(zhǔn),組織公民、法人和其他組織對(duì)信息系統(tǒng)分等級(jí)實(shí)行安全保護(hù),對(duì)等級(jí)保護(hù)工作的實(shí)施進(jìn)行監(jiān)督、管理。信息安全等級(jí)保護(hù)制度是國(guó)家在國(guó)民經(jīng)濟(jì)和社會(huì)信息化的發(fā)展過(guò)程中,提高信息安全保障能力和水平,維護(hù)國(guó)家安全、社會(huì)穩(wěn)定和公共利益,保障和促進(jìn)信息化建設(shè)健康發(fā)展的一項(xiàng)基本制度。實(shí)行信息安全等級(jí)保護(hù)制度,能夠充分調(diào)動(dòng)國(guó)家、法人和其他組織及公民的積極性,發(fā)揮各方面的作用,達(dá)到有效保護(hù)的目的,增強(qiáng)安全保護(hù)的整體性、針對(duì)性和實(shí)效性,使信息系統(tǒng)安全建設(shè)更加突出重點(diǎn)、統(tǒng)一規(guī)范、科學(xué)合理,對(duì)促進(jìn)我國(guó)信息安全的發(fā)展將起到重要推動(dòng)作用,進(jìn)而保障兩化融合的順利實(shí)施。
分析關(guān)鍵管理過(guò)程
