政务信息系统风险评估实施要点.doc

政务信息系统风险评估实施要点【 摘 要 】 文章介绍了政务信息系统风险评估实施的要点，包括风险评估的目的、范围及风险评估模型，风险评估项目的具体工作流程及相关方法、工具，以及为完成好风险评估项目所必备的相关项目管理要求。文章对于指导信息系统风险评估项目实施工作有很好的借鉴作用。【 关键词 】 风险评估；风险分析；项目管理【 abstract 】 this article describes the main points of the risk assessment of the implementation of the government information system, including risk assessment purpose, scope and risk assessment models, risk assessment project specific work processes and methods, tools, and related items necessary for the completion of the risk assessment projectmanagement requirements. good reference for guiding the risk assessment of information systems project implementation.【 keywords 】 risk assessment; risk analysis; project management0 引言政务信息系统关系到国计民生，因此保障电子政务系统的信息安全是我国经济与社会信息化的先决条件之一，是国家信息化建设的重要内容。如何保证政务信息系统的安全性，风险评估是一项很基础的工作。通过对政务信息系统进行风险评估，可以了解信息与网络系统目前与未来的风险所在，充分评估这些风险可能带来的威胁与影响的程度，依据系统的风险和威胁，进行针对性的防范，做到“对症下药”，可以有效解决政务信息系统的安全问题。1 政务系统风险评估概述1.1 风险评估的概念政务系统的信息安全关心的是保护政务信息资产免受威胁。风险评估是有效保证信息安全的前提条件，也是建立在网络入侵防护系统、实施风险管理程序所开展的一项基础性工作。其工作原理是对系统所采用的安全策略和管理制度进行评审，发现不合理的地方，采用模拟化攻击的方式对系统可能存在的安全漏洞进行逐项检查，确定存在的安全问题与风险级别。并根据检查结果向系统管理员提供周密可靠的安全性分析报告，为提高网络安全整体水平提供重要依据。风险评估的目的是全面、准确地了解政务信息系统的安全现状，发现系统的安全问题及其可能的危害，为后期进一步安全防护技术的实施提供了严谨的安全理论依据，为决策者制定网络安全策略、构架安全体系以及确定有效的安全措施、选择可靠的安全产品、建立全面的安全防护层次提供了一套完整、规范的指导模型。1.2 风险评估的范围政务信息系统风险评估的内容与范围需要涵盖整个系统，包括系统安全管理的状况、网络及安全防护技术架构、通信链路、系统数据及业务系统加密情况、系统访问控制状况等。在政务信息系统的安全防护工作中，“人”是关键要素，无论系统所采用的安全技术、安全策略和安全手段多么现代化与智能化，都需要“人”去操作、运行和管理。如果信息系统的安全管理水平落后，人员素质不高，那么政务信息系统的安全性就会减弱，安全漏洞就会增加。1.3 风险评估的原则和依据1.3.1指导原则由于政务信息系统风险评估涉及的内容较多，因此在进行评估时就需要本着多角度、多层面的原则，从软件到硬件，从理论到实际，从技术到管理，从设备到人员，来具体制定详细的评估计划和分析步骤，避免遗漏。在评估时一般需遵循的如下几个原则：标准性、可靠性、可控性、保密性、技术先进和成熟性、全面性、高效性、持续性。1.3.2相关法规和政策中华人民共和国计算机信息系统安全保护条例（国务院令147号）；商用密码管理条例（国务院令 273号）；计算机信息系统安全保护等级划分准则；计算机机房场地安全要求（gb9361-88）；信息安全技术-信息安全风险评估规范（ gb/t 209842007）。2 政务信息风险评估工作流程2.1 系统调查开展政务信息系统风险评估的第一步就是进行系统调查。通过调查政务信息系统上运行的所有应用，了解系统主要业务的流程，清楚的掌握支持业务运行的硬件基础设施的结构及安全系统现状，收集风险评估所需的系统全部信息。在进行系统调查的同时，还需对系统风险评估的评估范围进行分析、界定。对系统边界进行明确定义，有助于防止不必要的工作，并对改进风险评估的质量都是很重要的。2.2 资产分析政务信息系统风险评估的对象是该信息系统范围内的所有资产。首先在划定的评估范围内，根据系统拓扑图及业务系统流程图，列出政务系统中全部的物理资产、软件资产及数据资产。在识别出所有信息资产后，接着是为每项资产赋予价值。在进行资产估价时，不仅需要考虑资产的自身价值，更重要的是要考虑资产对于组织的重要性，即根据资产损失所引发的潜在的影响来决定具体资产的赋值。2.3 威胁分析威胁是指可能对资产或组织造成危害或破坏事故的潜在原因。作为风险评估的重要因素之一，威胁是一个客观存在的事物，无论对于多么安全的信息系统，它都存在。威胁分析首先要对组织需要保护的每一项关键资产进行威胁识别。识别出威胁由谁或什么事物引发以及威胁影响的资产是什么，即确认威胁的主体和客体。接着要做的是对每种威胁的严重性和发生的可能性进行分析，最终为其赋一相对等级值（0-5）。分析威胁发生的可能性是这一阶段的重要工作，评估者一般需要根据经验和行业统计数据来判断威胁发生的频率或者发生的概率。2.4 脆弱性测试脆弱性测试主要是对关键主机操作系统进行网络扫描，以发现系统安全漏洞。对服务器进行应用层扫描，以发现应用系统的安全漏洞。脆弱性测试所采用的方法主要为工具扫描、渗透测试等。2.5 安全功能测试安全功能测试的主要对象是系统中的网络设备、安全设备等。由于这些设备的作用是保障信息系统的稳定与安全，因此其自身的安全性也必然关系到真个系统的安全性是否可用、可控和可信。安全功能测试的主要内容包括：网络与安全设备的管理是否安全，安全系统所提供的防护措施是否正常和正确，网络及安全设备的配置是否最优，网络及安全设备是否存在漏洞或后门，网络与安全设备自身的保护机制是否实现，网络及安全设备是否定期升级或更新。2.6 安全管理检查安全管理检查主要是检查政务信息系统的安全管理制度及相关记录，确保安全管理体系健全并能发挥作用。在这一环节，评估人员可根据公安部、国家保密局颁布的信息系统安全管理的相关标准中的要求，通过问卷调查、翻阅管理制度及检查相关记录等方式对系统安全管理方面的脆弱性进行评估。具体评估时，可将系统现有的安全管理制度以及相关安全策略与国家相关标准的要求进行审计，查出系统安全管理中遗漏或管理薄弱的部分。2.7 脆弱性分析脆弱性是指系统资产分析阶段中所列资产中能被系统威胁分析阶段中列出的系统威胁所利用的弱点。具体包括物理环境脆弱性、组织机构脆弱性、业务流程脆弱性、人员脆弱性、管理脆弱性、硬件系统脆弱性、软件及通讯设施脆弱性等各个方面，上述脆弱性都可能被各种安全威胁利用来侵害政务信息系统。常用的脆弱性评估方法主要有问卷调查、人员问询、工具扫描、手动检查、文档审查、渗透测试等。2.8 风险分析安全风险是指系统中特定的威胁利用资产的一种或几种脆弱性，导致资产的损坏或丢失的潜在可能性，即特定威胁事件发生的可能性与后果的结合。在完成系统资产、威胁和脆弱性的分析后，就进入系统安全风险的评估阶段。在这个过程中，评估人员需要根据资产、威胁及脆弱性分析的结果，选择适当的风险测量方法或工具来确定风险的大小与风险等级。2.9 安全建议系统安全建议是以风险评估的结果为基础，以解决风险评估所发现的问题为目的，通过实施安全建议的内容，能使信息系统的安全性得到增强。安全建议分为评估结果的漏洞修补建议、系统架构建议、系统安全建议、安全管理策略建议。2.9.1漏洞修补建议漏洞修补建议是为了消除风险评估项目中发现的各种安全漏洞所做出的安全建议，使得信息系统整体的安全得到增强。2.9.2系统安全建议系统安全建议又分为网络设备安全建议、操作系统安全建议、应用系统与数据库系统安全建议2.9.3系统架构建议系统架构建议是针对体系结构分析所得出的风险因素以及与体系结构有关的各种风险因素提出的安全建议。2.9.4安全管理策略建议仅凭安全技术不能解决所有的安全问题，“三分技术、七分管理”已经形成共识。在以往的安全评估项目中发现，绝大部分的安全问题都是由于缺乏安全意识、配置不当造成的，比如弱密码、没有加载最新补丁等。因此，建立政务信息系统安全管理体系非常必要。3 风险评估项目文档风险评估项目完成后，提交的文档主要分为两类，一类是项目管理类的文档，一类是风险评估技术文档。风险评估技术文档主要有：1) 政务网络与信息系统资产评估报告；2) 政务网络与信息系统威胁评估报告；3) 政务网络与信息系统安全扫描报告；4) 政务网络与信息系统脆弱性评估报告；5) 政务网络与信息系统风险分析报告；6) 政务网络与信息系统安全风险评估评估报告；7) 政务网络与信息系统安全建议方案；8) 政务网络与信息系统安全策略。项目管理类文档主要有：1) 项目工程管理计划书；2) 项目工程实施计划书；3) 项目完工报告；4) 项目验收申请报告；5) 项目验收报告；6) 项目实施日报；7) 项目实施周报；8) 项目实施报告。4 风险评估项目组织及管理4.1 项目管理概述政务网络与信息系统风险评估项目实施的管理体系可基于系统安全工程能力成熟模型 sse-cmm(systems security engineering capability maturity model)。sse-cmm的目的是建立和完善一套成熟的、可度量的信息安全工程过程。该模型定义了一个安全工程过程应有的特征，这些特征是完善的安全工程的根本保证。这个安全工程对于任何工程活动均是清晰定义的、可管理的、可测量的、可控制的并且是有效的。4.2 项目实施组织架构我们建议的项目组织结构主要包括：项目领导小组、工程实施小组(包括项目经理、系统技术负责人和系统设备负责人等)、质量保障小组等。4.2.1项目领导小组按照系统工程建设原则，建议设置项目领导组。领导组将对整个系统建设起到宏观调控作用，该组由机构负责人统一领导。4.2.2技术总负责人在政务网络与信息系统风险评估项目建设中承担安全技术顾问，和负责监督整个项目的实施过程，是否符合计划要求。4.2.3项目经理是项目团队的领导者，他所肩负的责任就是领导团队准时、优质地完成全部工作。作为项目的指挥者，项目经理要担任的职责是对项目的计划、组织和控制。4.2.4技术组主要职责是负责完成各项风险评估任务，如系统调查、资产分析、威胁分析、脆弱性测试、安全功能测试、安全管理检查、体系结构分析、脆弱性分析、安全措施分析、风险分析、安全建议、安全风险评估过程中文档的编辑整理等工作。4.2.5质量保证组负责协助项目经理制订项目的质量计划, 并监督其贯彻实施；参与本项目的评审和其它重要质量活动，并对评审和其他质量活动提出的问题进行跟踪检查。4.2.6文档汇编组负责管理由各组在实施和服务过程中所填写的各种记录文档和其它技术资料，包括电子文档和文字材料。在项目进行的各个阶段督促相关人员按时完成各种文档，工程交付后负责所有技术、质量文件的整理归档。4.3 项目实施流程风险评估项目的实施流程如图2所示。4.4 风险评估项目质量控制风险评估项目过程控制的实施要点是，制定并执行文件化的过程控制程序，对系统质量形成过程的五个基本要素实施全面控制与管理，一旦发生偏离能够立即发现和纠正，确保过程输出质量符合规定要求。五个要素是指：人（man）、机（machine）、物（matter）、料（material）、环境（environment）。其具体控制要求如下。1） 确保直接影响工程实施质量的风险评估过程处于受控状态。受控状态主要包括：* 按项目实施计划的要求完成各阶段的工作，并建立完成合格的标志。* 对评估阶段制定相应的实施方案及中间文档。现场使用的所有中间文档均应文文一致、完整、清晰并现行有效。* 使用合适的评估工具，并安排适宜的运行环境。* 严格按有关标准/法规、质量计划和实施方案的规定操作。* 评估时，对重要的业务和应用系统进行特殊的监视和控制。* 可行的情况下，对某些业务和应用的某些评估手段进行限制。* 实施人员的技术水平必须达到一定的要求，并持有相关资质证书。2） 对关键性的工作应制定相应的实施方案，并严格按照方案和质量控制要求进行实施，且必须由具备资格或能力的实施人员来完成，操作过程必须进行连续监视和控制，以确保满足规定要求。5 结束语重视政务信息系统安全风险评估是信息化比较发达的国家的基本经验。我国当前也高度重视信息系统安全保障工作，尤其是关系到国计民生的政府信息