信息安全风险评估探讨.doc

信息安全风险评估探讨文章对企业信息安全需求进行了分析，通过对信息安全管理标准BS7799描述，分析了其风险管理各要素间的关系，并定义了一种风险评估的基本流程，在此基础上构建了一种适于企业的风险分析法。 现代企业的成功发展主要以企业的各项经营活动健康运作为基础，健康的经营运作又以企业信息化高度发展作为保障基础，其信息化的水平主要体现在企业的信息化系统是否能够稳定而有效地运转。信息化系统的有效运行依赖于其运行环境、硬件设备以及在其上流动的信息数据及其安全，因此企业有必要将信息视为重要资产，并采取安全措施加以严格保护。1 企业信息安全的需求 企业往往会根据自身需求来确定所需要保护的信息资产的范围和这类资料的受保护程度，而这些需求，一般来源于如下方面： 11 企业自身的原则、目标和规定方面 企业从自身业务和经营管理的需求出发，必然会在信息技术方面提出一些卓有远见的方针、目标、原则和要求，以此明确自己的信息安全要求，确保企业支撑业务以及相关内容运作的信息处理活动的安全性。 1.2 企业在法律、法规方面 法律法规通常包括国际法律、国家法律、各部委和地方的规范性文件或者规章。企业只需要关注与自身相关的法律或规范性文件，尤其应重视与信息化和信息安全相关的部分，因为国家所规定的与企业信息安全相关的法律法规是企业必须遵循的强制性法规，企业应将此部分转化为企业的信息安全需求。此外，企业还要必须考虑到合作伙伴或者商业客户对企业提出的具体的信息安全要求，这些需求通常体现在合同约定、招标条件和安全承诺等内容上。 13 风险评估方面 我们通常将信息安全的风险评估作为确定企业安全需求最主要的途径之一，以风险评估内容与结果，企业确定最终对信息资产的保护程度、保护措施、控制方式。企业根据每种资产所面临的威胁、自身的弱点、以及潜在影响和发生的可能性等因素，可分析并确定具体的安全需求。 企业信息的安全评估是一个较为复杂的工作，主要是因为评估的因素是动态、不确定的，且往往是随机的，如何将被动、零散、无序地应对信息资产安全风险方式转变成主动、系统、连续有效地管理风险是企业最终需要重视的问题。而合适、合理进行风险评估与管理的设计与实施是一种十分有效的方式，因为风险评估是企业信息安全管理的基础。风险管理是围绕信息安全风险而展开的评估、处理和控制活动，风险评估是建立信息安全管理体系的前提，可见信息安全实质就是信息资产的风险管理的问题。基于风险评估结果，企业可以对当前的信息安全状况有一个系统且全面的掌握，并能从中找出潜在的安全风险问题，并对其进行合理分析，判断风险的严重性和影响程度，以此为基础确定自身在信息安全建设方面的需求。而BS7799在当前来讲是一套很好的安全管理与控制体系，其围绕风险评估从管理和技术两方面建立了一套完整、可实现的信息安全评估体系，十分适于企业安全管理。 BS7799是英国标准协会发布的一个关于信息安全管理的标准，由两个部分组成：分别为ISO17799和ISO27001标准。BS7799标准明确了企业所有选择控制目标和控制的举动，都应该根据由风险评估而导出的真实需求来实施。其中，ISO27001是建立信息安全管理系统(ISMs)的一套需求规范，规范包括信息安全、安全技术、信息安全管理、以及安全需求等，在此规范中详细说明了建立、实施和维护信息安全管理体系的要求，指出实施机构应该遵循的风险评估标准。而ISO27001：20o5则指导相关人员如何应用ISO17799。 信息安全管理体系(IsMs)是企业整体管理体系中的重要部分，它是企业在整体或特定范围内所应建立的信息安全方针和目标以及完成这些目标所用方法的体系与结构。ISMS要求企业在其整体商业活动中，在风险环境下建立、实施、运作、监视、评审ISMS、维护和信息安全改进等一系列管理以及与之对应的活动，并最终转化为企业自身组织结构、策略方针、目标与原则、计划活动、过程与方法、人员与责任、资源应用等具体环节与要素的集合。 ISO27001建立和维护信息安全管理体系的标准，它通过如下过程来建立ISMS框架：首先确定企业自身安全体系范围；其次以安全范围制定其信息安全策略，明确管理职责；最后通过风险评估确定控制目标和控制方式，并确定与实现。企业的安全管理与防护是个动态系统，安全体系一旦建立完成，企业仍需要不断在实施、维护和持续改进ISMS，以确保安全体系有效安全的运作。在IS027001体系中信息安全文件化的管理与实现工作，是一个十分重要的部分，ISMS的文件体系通常包括企业安全策略、选择与未选择的控制目标和控制措施、实施安全控制所需的文件、ISMS管理和操作规范与程序、企业围绕ISMS开展的所有活动的相关材料。与以往技术为主的安全体系不同，IS027001：2005提出的信息安全管理体系是一个系统化、文档化和程式化(我们也可以称之为流程化)的管理体系，技术措施将只是作为依据安全需求有选择有侧重地实现安全目标的手段而非全部。ISO 27001：2005标准指出ISMS所包含的内容：用于企业信息资产风险管理、确保企业信息安全的包括为制定、实施、评审和维护信息安全策略所需的企业机构、目标、职责、程序、过程和资源。IS027001：2005标准要求建立ISMS框架的过程：制定信息安全策略，确定体系范围，明确管理职责，通过风险评估确定控制目标和控制方式。体系一旦建立，企业应该实施、维护和持续改进ISMS，保持体系的有效性。 如图1所示，描述了企业信息安全中关于风险及相关要素之间的关系，这种关系将是企业进行信息安全风险管理的理论基础与评估出发点。点击图片查看大图 图1 风险管理各要素之间的关系2 风险评估流程 企业在实施风险评估时，通常由能够代表各个相关单位和部门的人员组建一个风险评估小组，以期各自负责与本部门相关的风险评估事务，并且能共同讨论一些共性问题。风险评估小组将指定一个能控制全局的人担任组长，负责风险评估事务以及各组员间的协调。在风险评估前，评估小组及相关人员应接受必要的培训，以熟悉企业运作的流程、安全需求，并且理解信息安全管理基本知识，掌握风险评估的方法和技巧。一个完整的风险评估活动，通常包括： (1)前期沟通。前期调研，了解安全需求； (2)启动风险评估项目。明确安全评估的目标和范围； (3)项目计划。对企业运行的环境进行描述，确定各项安全评估指标，建立评估小组，人员培训，并提供必须的各类支持资源，确定适用的表格、问卷等，制定项目计划； (4)资产评估。信息资产的标识与关键信息资产评估； (5)威胁评估。识别威胁，衡量威胁的可发性与来源； (6)弱点评估。识别各类信息资产以及各控制流程与管理中的弱点，衡量弱点的严重度； (7)风险评估。进行风险场景描述，划分风险等级，评价风险，编写风险评估报告； (8)风险处理。推荐、评估并确定控制目标和控制，编制风险处理计划。这些活动具有紧密的前后关联性，前一个节点的输出是下一个节点的输入，这种关系如图2所示：点击图片查看大图 图2 风险评估实施流程 对企业来说，事先选择适合的风险评估方法是非常重要的，这也是ISO27001标准所要求的(标准本身并没有规定具体的风险评估方法)。传统的风险评估方法主要是定量和定性两种，对ISO27001认证项目来说，选择定性方法应该是更简便有效的。实施者因为所处行业的特点，通常会选择一些带有很强行业特色的风险评估方法，比如很多与汽车配件生产相关的半导体制造企业，因为在实施ISOflX3 16949以及QS 9000质量管理体系时会采用FMEA (Failure Modes and EffectsAnalysis，失效模式和后果分析)方法，只需要将一些专业术语映射到信息安全领域，就很容易移植过来使用。3 风险分析方法 故障树分析法是一种演绎的风险分析法，其将系统总的风险状况作为树顶。通过分析造成安全风险事件的各种可能原因，以及彼此间的关系，绘制出故障树图。企业或评估机构将根据该逻辑关系图，以期确定安全事件所发生的概率和原因。并以此为依据，分析安全风险事件发生结果，确定被分析系统的薄弱环节、关键部位、应采取的措施、对安全性实验的要求等。 故障树分析法适用于BS7799标准的实